active directory domain services
Post on 01-Jan-2016
49 Views
Preview:
DESCRIPTION
TRANSCRIPT
Active Directory Domain Services
Gál Tamásv-tagal@microsoft.com rendszermérnökMicrosoft Magyarország
TerminológiaActive Directory Domain Services
Az „Active Directory” helyett
Active Directory Lightweight Directory Services
Az „ADAM” helyett
Active Directory Certificate ServicesTanúsítványok kezelése a PKI infrastruktúra részeként
Active Directory Federation ServicesAzonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez
Active Directory Rights Management ServicesKözponti szabályzású, információvédelmi megoldás
TartalomTelephelyes környezet
RODC
Felügyelet és üzemeltetésAuditing, DCPromo, újraindítható DS, Snapshot Browser
Read-Only Domain ControllerElőnyökKevésbé biztonságos helyen is használható
Alapesetben a user/computer jelszó nincs tárolvaRead-only Partial Attribute Set: az alkalmazások jogosultságainak tárolása (így replikálása a RODC-re) tiltható
Kevesebb lehetőség a címtár távoli „megpiszkálására”
„Unidirectional” replikáció – AD / FRS / DFSRMinden RODC rendelkezik saját KDC KrbTGT fiókkal
Helyben hitelesítés, ergo szeparálás a központtól
Read-Only Domain ControllerElőnyök (folytatás)Kevesebb lehetőség a címtár távoli
„megpiszkálására”Delegálható DCPROMO > nem kell Domain Adminként futtatni a telephelyen
dcpromo /UseExistingAccount:Attach
Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t egy SRV rekordbaA RODC csak egy szimpla workstation fiókkal rendelkezik
Nem tagja az Enterprise-DC vagy a Domain-DC csoportoknakTovábbi erős korlátok a címtárba íráskor
Ha van RODC:• Biztonságosabb és
kevésbé költséges a DS infrastruktúra
• Nincs szükség nagytudású Domain Admin-ra a telephelyen
• „Bengedhető” a külső cég is a DC-re
• …és persze a hagyományos DC-k nélkül, az esetleges WAN hibák esetén is megy tovább az élet
Datacenter, vagy biztos
hely
Telephelyek és/vagy kevéssé biztosított
helyszínek
Read-Only
Read-Only
Read-Only
Read-Only
Read-Only
Írható DC(k)
Egy elképzelt DS infrastruktúra
Read-Only Domain ControllerTovábbi következményekRead-only DNS
Elsődleges típus, névfeloldásra tökéletesen alkalmas
Rekordszinten frissít „fentről”, ha kell
Mindent replikál (alkalmazásparticiók, domainDNSZones, ForestDNSZones, stb.)De nem írható
Különválasztott GC szerepkörA RODC csak speciális esetben lehet
Read-Only Domain ControllerAlkalmazási szkenáriókRODC a telephelyen – elsődlegesen ajánlott
Tipikusan a limitált fizikai biztonságú helyekre
RODC a DMZ-ben(még nincs ajánlás)
Az AD nagyon sok előnye elérhető lenne kívülre és belülre is – tűrhető biztonsági körülmények között
RODC az Interneten(még nincs ajánlás)
Egyszerűen elérhetővé válna – minimális munkával – bár…
RODC telepítés
demó
Read-Only Domain ControllerHogyan működik az első belépés?
Hub
`
Read-Only DCHub W2K8 DC
Branch
2. RODC „észleli”, hogy e fiók hitelesítését nem tudja elvégezni
3. Hajrá tovább a központi W2K8 felé
4. A hub W2K8 hitelesít
5. Az eredmény (és a TGT) visszaküldése a RODC-nek
6. RODC átnyújtja a saját TGT-jét a fióknak és megjegyzi, hogy innentől saját maga kezeli majd
7. A központi DC megvizsgálja a Password Replication Policy-t, és a beállításnak megfelelően leküldi (vagy nem) a jelszót a RODC-re
1. A kliens TGT kérésének elküldése a RODC-nek
1
23
45
6
6
7
7
Read-Only Domain Controller Password Replication Policy - Mikor, mit nyerünk?Nincs jelszó cachelés (alapértelmezett)
pro: magasan a legbiztonságosabbkontra: viszont ha offline a központ > nincs hitelesítő DC > nincs belépés
Sok és fontos fiók kijelölésepro: egyszerű megoldás, mindenki beléphet, minden esetbenkontra: nem elég biztonságos, „ott vagyunk ahol a part szakad”
Csak a kevésbé fontos (pl. csak a telephelyi) fiókok kiválasztása
pro: nem esik csorba a biztonságon, a fontos fiókok védve maradnakkontra: több munka van vele
Password Replication Policy
demó
Read-Only Domain ControllerAz admin jogok szétválasztásaA problémák
Egy DC sem élhet a Domain Admins csoport nélkül
pedig a legtöbb feladathoz nem kell ez a jogosultság, még egy DC-n se
A helyi Administrators csoport ismeretlen a DC-nEzért a külső partnereket is muszáj sokszor Domain Admins csoportaggá tenni
A RODC elveinek abszolút ellentmondHiszen tisztán „belenyúlhatna” a címtárba is
Read-Only Domain ControllerAdmin jogok elválasztásaA megoldás
Egy újfajta „lokális admin” fiókAmi az összes beépített helyi csoport tagjai is egyúttal (Backup, Print, Server Operators, stb)
A címtártól viszont teljes tiltásMár a telepítés közben is megadhatjuk
Később is bármikor
További korlátokCsak egy már működő tartományi fiók lehetDe csak az adott RODC-n admin!
Helyi admin a RODC-n
demó
Read-Only Domain
ControllerTelepítési kritériumokWindows 2003 működési szint
Erdő és tartomány is
A PDC FSMO csak W2K8 lehetLegalább egy W2K8 DC szükséges
Ez lesz majd kapcsolatban a RODC-velNem baj, ha több van > rendelkezésre állás
DNS alkalmazásparticiók frissítése Adprep /RodcPrep
RODC eltávolítás
demó
TartalomTelephelyes környezet
RODC
Felügyelet és üzemeltetésAuditing, DCPromo, újraindítható DS, Snapshot Browser
AuditingAz új, DS-hez kapcsolódó Eseménynapló bejegyzés (Event ID: 5136) „megmondja”:
Ki eszközölte a változást? Mikor történt?Mely objektum / jellemző változott?Mi volt / lett az előző / jelenlegi állapot?
Az auditálás engedélyezhető / tilthatóA globális audit házirendbenA SACL vagy akár a séma segítségévelAuditpol.exe
DS telepítésA DCPromo immár képes
A működési szint kiválasztására (erdő, tartomány)Választható DNS telepítésre, automatikus delegálással és beállítássalA cél site kiválasztásáraDelegált futtatásra (RODC)Szükséges esetben az automatikus Infrastructure Master <> GC szerep transzferreTöbb új, unattended telepítés opció használatára
Stop / Start a gép újraindítása nélkülMiért jó nekünk ez?
Karbantartás, AD patchelésA többi szolgáltatás működhet tovább
Az NTDS.dit offlineBelépés > DSRMHálózati belépés is
Újraindítható Active Directory
FelügyeletMinden ADUC objektumon ADSIEdit tulajdonság fülDFSR for SYSVOL (FRS V2) – SYSVOL replikáció – RDC isAD MP SP1 a W2K8 DC / RODC-khez
Külön menedzsment csomagok - AD LDS, DNS Server, stb.
Snapshot browser (viewer / exposure /
stb.)
Nagy segítség lesz a címtárból törölt objektumok visszaállításánálÚjraindítás és a DSRM nélkül megszemlélhetjük az AD lementett példányátVisszaállításra nem használható
NTDSUTIL.EXE DSAMAIN.EXE LDP.EXE
A pillanatfelvétel LDAP szerverré
alakítása
A read-only címtár példány
megtekintése
Pillanatfelvétel készítése a DS/LDS-ről
SnaphotBrowser
demó
Kérdések és válaszok
Budai Péter ÁttekintésGál TamásActive Directory Domain Services
top related