10. Pokročilé metody..

Download Report

Transcript 10. Pokročilé metody.. 

Evropský sociální fond
Praha & EU: Investujeme do vaší budoucnosti
Administrace OS Windows
10. Pokročilé metody správy AD
Miroslav Prágl
1
Pokročilé metody správy AD





ATFM (Avoid These F……. Mistakes)
Standardní nástroje pro řešení problémů
Další použití GP
Základy scriptingu
Utility
Miroslav Prágl
2
Avoid these frequent mistakes:

Instalace AD je relativně snadná a
bezproblémová, chyby vznikají zejména kvůli
chybám v nastavení:





DNS
Schema
Synchronizace času (NTP)
Replikace (FRS…)
TCP/IP, Bandwidth (blokování portů, replikace přes
WAN)
Miroslav Prágl
3
ATFM - DNS

DNS (99% všech problémů je způsobeno špatným
resolvingem)







Chybějící záznamy pro DC
Zakázané znaky ve jménech (typicky _ )
Služba DNS: doporučuje se binding na jediném interface (u
multihomed strojů)
Single DC: problém s registrací svého záznamu v DNS (start
služby netlogon před DNS)
Forwarding – snížení zátěže DNS předáním dotazů DNS
serveru ISP
Bezpečnost – vzhledem ke klíčovosti DNS pro AD není vhodná
přístupnost DNS z Internetu
Záložka „Monitoring“
Miroslav Prágl
4
Schema

Přidání Windows 2003 serveru do stávající
Windows 2000 domény – nutnost rozšíření
schématu pomocí utility ADPREP:



ADPREP /Forestprep
ADPREP /Domainprep
Další rozšíření např MSExchange
Miroslav Prágl
5
Synchronizace času

Rozdíl času mezi DC > 5 minut způsobí
odmítnutí Kerberos autentikace



Použití spolehlivého externího zdroje (ntp)
Synchronizace času uvnitř domény
Služba „Windows time“





net time /SETSNTP[:ntp server list]
W32tm
http://support.microsoft.com/kb/232386
http://support.microsoft.com/kb/816042
Windows jako NTP server
(http://support.microsoft.com/?id=223184)
Miroslav Prágl
6
Replikace


File Replication Service (FRS)
AD Replication

Repadmin.exe
Miroslav Prágl
7
TCP/IP, Bandwidth




Použití HW VPN
Otevřené porty (RPC, NetBIOS / CIFS, LDAP,
DNS …)
Resolving
Šířka pásma pro synchronizaci AD a
replikovaných souborů
Miroslav Prágl
8
Standardní nástroje








eventvwr.exe – monitorování logovaných události
Dcdiag – Analýza stavu doménových řadičů
Netdiag.exe – Kontrola síťové konektivity mezi dvěma body, kontrola
distribuovaných služeb
Ntdsutil.exe – Správa AD, single master operations, mazání metadat
(např. záznamů o již neexistujícím DC v případě jeho havárie) http://support.microsoft.com/kb/255504
Repadmin.exe – Kontrola konzistence replikace mezi replikačními
partnery. Monitorování stavu replikace, zobrazení metadat, vynucení
replikace
dsadd.exe, dsget.exe, dsmod.exe, dsmove.exe, dsquery.exe,
dsrm.exe – konzolové nástroje pro práci sobjekty v AD
Virtualizace jako vhodný nástroj pro instalaci dočasného
doménoveho řadiče pro přenos AD
Zálohování
Miroslav Prágl
9
Další použití GP

Software restriction policies



Snížení práv vybrané aplikace na
 Unrestricted
 Basic User
 Resticted
 Untrusted
 Disallowed
Podle
 Path
 Hash
 Certificate
 Internet zone
EPAL (Microsoft Elevated Privileges Application
Launcher)
Miroslav Prágl
10
Software restriction policies
Miroslav Prágl
11
EPAL


Microsoft Elevated Privileges Application
Launcher
http://www.microsoft.com/cze/technet/clanky/00
4.mspx



Spouštění programu pod uživatelem vyššími právy
(epal program.exe - obdoba sudo)
Integrace s AD, skupina uživatelů oprávněných
spustit aplikaci program.exe pomocí epal
Identifikace program.exe pomocí hash
epal /v /c:"OU=ProcExp,OU=EPAL Applications" /r z:\procexp.exe
Miroslav Prágl
12
Základy scriptingu v AD
Dim RootDSE, DomainNC, Connection, Command, RecordSet
Set RootDSE = GetObject("LDAP://rootDSE")
DomainNC = RootDSE.Get("defaultNamingContext")
Set Connection = CreateObject("ADODB.Connection")
Connection.Open("Provider=ADsDSOObject;")
Set Command = CreateObject("ADODB.Command")
Command.ActiveConnection = Connection
Command.CommandText = "<LDAP://" & DomainNC & ">;(objectCategory=User);CN;subtree"
Command.Properties("Cache Results") = False
Command.Properties("Page Size") = 100
Command.Properties("Sort On") = "CN"
Command.Properties("Timeout") = 30
Set RecordSet = Command.Execute()
Do While Not RecordSet.EOF
WScript.Echo RecordSet.Fields("CN").Value
RecordSet.MoveNext()
Loop
Connection.Close()
Miroslav Prágl
13
Utility

ADMT (Active Directory Migration Tool)


Změna struktury AD
Migrace uživatelů, skupin a počítačů (vč. hesel)
 Z NT4 domény do AD



AD Explorer




Mezi AD doménami v různých forestech
Mezi AD doménami v rámci jednoho forest
AD viewer a editor
Hledání, editace, záložky
Snapshots pro offline prohlížení a porovnávání
AD restore

Obnova smazaných (tombstoned) účtů
Miroslav Prágl
14
ADMT
Miroslav Prágl
15
ADSIEdit.msc
Miroslav Prágl
16
AD Explorer
Miroslav Prágl
17
Zdroje:


Tato přednáška vychází ze zdrojů programu “Windows®
Academic Program”:
http://www.microsoft.com/resources/sharedsource/licen
sing/windowsacademic.mspx
Doporučené odkazy:


http://www.microsoft.com/technet/prodtechnol/windo
ws2000serv/technologies/activedirectory/maintain/op
sguide/part1/adogd07.mspx
news://list.vyvojar.cz/cz.vyvojar.list.win
Miroslav Prágl
18