Конспект лекций по курсу microsoft 70-649
TRANSCRIPT
Коллеги ! Помните, это всего лишь конспект, который я составлял для
подготовки к экзамену, а не учебник по 2008 серверу.
Удачи на экзамене. [email protected]
[email protected] Новые возможности Windows 2008 Server
Active Directory Certificate Services (AD CS) o Online Certificate Status Protocol o Network Device Enrollment Service o Web enrollment (новый элемент управления для Web-интерфейса) o Policy settings (новые политики) o Restricted Enrollment Agent (ограничения для пользователей выпускающих сертификаты
для смарткарт других пользователей) o Enterprise PKI (PKIView) (инструмент мониторинга состояния CA)
Active Directory Domain Services (AD DS) o Логирование изменения атрибутов объектов o Возможность назначать разные политики паролей разным пользователям в пределах
одного домена o DC «только для чтения» o Перезапуск служб AD без перезапуска сервера
Active Directory Federation Services (AD FS) – решения по аутентификации и авторизации для разных (не-Windows) платформ в среде Windows (used for synchronizing external Active Directory domains for authentication purposes)
Active Directory Lightweight Directory Services (AD LDS) – расширение раздела каталога AD приложений (used in situations when all of the features of a full Active Directory are not required)
Active Directory Rights Management Services (AD RMS) - служба управляющая правами на доступ к файлу созданного RMS-совместимым приложением
o Введена как серверная роль o Интеграция с AD FS
Server Manager – единое приложение для управления всеми задачами и конфигурирования сервера
Server Core – установка сервера без GUI
Терминальный сервер o Улучшенный клиент подключения – RDC 6.1 o Перенаправление устройств для медиаплееров и цифровых камер o Одна точка авторизации
o Remote App – публикация отдельных приложений на терминальном сервере o Terminal Web Access o Terminal Services Gateway – подключение пользователей извне к корпоративным
терминалам используя RPC over http o Упрощение управления пользовательскими принтерами (не надо устанавливать драйвера
на сервере) o Брокер сеанса — новая функция, являющаяся упрощенной альтернативой службе
балансировки сетевой нагрузки Майкрософт для служб терминалов. Не имея ограничений на конкретное число серверов, она особенно полезна для ферм, в которые входит от двух до пяти серверов. Брокер сеанса служб терминалов распределяет новые сеансы по наименее загруженным серверам в составе фермы с целью повышения производительности, а пользователи могут повторно подключаться к существующему сеансу, даже не имея понятий о сервере, на котором он был создан. С помощью этой функции ИТ-специалисты могут сопоставить IP-адрес каждого сервера терминалов отдельной записи службы доменных имен (DNS). Кроме того, такая конфигурация обеспечивает отказоустойчивость: если один из серверов фермы недоступен, пользователь подключается к следующему наименее загруженному серверу.
DNS-сервер o Фоновая загрузка зоны (DNS обслуживает запросы в тот момент когда зона еще грузится) o Полная копия read-only DNS zone на read-only DC o GlobalNames zone – для назначения соответствия CNAME и FQDN
FileServer Resource Manager – квотирование по папкам, предотвращение создания файлов определенных типов, генерация отчетов
Network Policy and Access Services (NPAS)
Виртуализация
IIS7 Новые наименования служб AD Новое название Старое название Описание
Службы доменов AD (AD DS) AD Служба каталогов AD, проверка подлинности пользователей и компьютеров при помощи NTLM и Kerberos, управление объектами AD
Службы облегченного доступа к каталогам (AD LDS)
ADAM Сервер LDAP на базе ADDS
Службы сертификации (AD CS) Служба сертификатов Проверка подлинности на основе сертификатов X.509
Службы управления правами (AD RMS)
Сервер управления правами
Защита электронных документов путем создания контейнеров для них и присвоения им прав
Службы федерации (AD FS) Службы федерации Единый вход и федерация идентификации
Системные требования
Компонент Минимум Рекомендовано
Процессор 1 Ггц (х86) 1,4 ггц (х64) 2 Ггц
Память 512 Мб 2 Гб (GUI) 1 Гб (Core)
Дисковое пространство 10 Гб 1 Гб (Core) 40 Гб
Версии сервера 2008
Редакция 32 bit 64 bit
Web
Только Web-сервер, остальные роли не доступны
CPU 4 4
RAM 4 Гб 32 Гб
St
CPU 4 4
RAM 4 Гб 32 Гб
Enterprise
Failover Clustering, AD FS
CPU 8 8
RAM 64 Гб 2 Тб
Datacenter
Неограниченное число вирутальных имиджей, AD FS
CPU 32 64
RAM 64 Гб 2 Тб
Itanium-based
CPU 64
RAM 2 Тб
Обновление до 2008 сервера
Редакция сервера 2003 апгредится на такую же редакцию
От 2000 апгрейд невозможен
Core никого не апгрейдит
При апгрейде AD требуется дополнительное место (10% или 250 Мб от размера базы данных AD и 50 Мб на лог-файл)
Апгрейд 64-bit версии требует наличия драйверов под 2008 с цифровой подписью. Если возникают проблемы с неподписанными драйверами, то:
o F8 o Advanced Boot Options o Disable Driver Signature Enforcement o Загрузиться и удалить неподписанный драйвер
Установка AD - особенности
Перед включением в домен 2003 сервера под 2008 надо подготовить домен и лес o adprep /forestprep – выполнить на Schema Master леса (Enterprise Admins и Schema
Admins). Определяется в Схема AD – Хозяин операций. o adprep /domainprep – выполнить на каждом Infrastucture Master каждого домена в лесу
(Domain Admins или Enterprise Admins). Определяется в ADUC. o adperp /rodcprep – подготовка к внедрению RODC (Enterprise Admins, на любом
контроллере в лесу).
Перед созданием первого RO DC нужно выполнить команду adprep /rodcprep на любом DC в лесу (рекомендуется на Schema Master) (Enterprise Admins)
При выполненении Install from Media (IFM) используется команда dcpromo /adv. IFM имеет следующие ограничения – работает только с резервной копией из своего домена, и резервная копия должна быть не старше 60 дней. С помощью IFM нельзя создать новый домен.
Порядок установки AD в новом лесу – сначала добавляем роль Active Directory Domain Services, затем выполняем dcpromo
В конце работы dcpromo есть возможность экспортировать настройки в файл ответов щелчком по кнопке Export Settings
В процессе установки можно выбрать следующие дополнительные возможности: o RODC o DNS o Global Catalog
Server Core
В этом режиме доступны 2 апплета панели управления – RegionalSettings (intl.cpl) и Time And Date (timedate.cpl)
Установка роли контроллера выполняется с помощью dcpromo и заранее подготовленного файла ответов
Core-режим может выполнять следующие роли:
Datacenter Enterprise Standart Web
o AD DS + + + - o AD LDS + + + - o DNS + + + - o DHCP server + + + - o File Server + + + - o Print Server + + + - o Windows Media Server + + + - o TS Gateway + + + - o IIS7 (без поддержки .NET) + + + + o Hiper-V + + + -
Core-режим поддерживает следующие возможности (features) o Failover clustering o NLB o Subsystem for UNIX applications o Backup o Multipath IO o Removable Storage o BitLocker o SNMP o WINS o Telnet o Network Time Protocol (NTP)
Конфигурирование Core-сервера
netsh interface ipv4 show interfaces
netsh interface ipv4 set address name=”<ID>” source=static address=<StaticIP> mask=<SubnetMask> gateway=<DefaultGateway>
netsh interface ip set address name="Local Area Connection" source=static 192.168.111.254 255.255.255.0 192.168.111.1
netsh interface ipv4 add dnsserver name=”ID>” address=<DNSIP> index=1
netdom renamecomputer <ComputerName> /NewName:<NewComputerName>
netdom join <ComputerName> /domain:<DomainName> /userd: <UserName> /password:*
dcpromo answer:\answer.txt – установка DC с помощью файла ответов
Службы развертывания Windows (RIS -> WDS) не включены в Web Edition и Itanium based
AD
DNS
DHCP
NTFS volume
WDS server
Требуется:
TFTP server
PXE server
\WDSClientUnattend
\source
unattend.xml
*.wim
WIM файлы
находятся на
дисках 2008 и
Vista
Управление хранилищами
RAID 0 Striped Disk Array наивысшая производительность для приложений требующих
интенсивной обработки запросов ввода/вывода и данных большого объема
RAID 1 Mirror невысокая скорость передачи данных
RAID 2 Hamming Code ECC низкая скорость обработки запросов (не подходит для систем ориентированных на обработку транзакций)
RAID 3 Parallel Transfer Disks with Parity
Данные разбиваются на подблоки на уровне байт и записываются одновременно на все диски массива кроме одного, который используется для четности
RAID 4 Independent Data disks with shared Parity disk
Данные разбиваются на блочном уровне. Каждый блок данных записывается на отдельный диск и может быть прочитан отдельно. Четность для группы блоков генерируется при записи и проверяется при чтении. Главное отличие между RAID 3 и 4 состоит в том, что в последнем, расслоение данных выполняется на уровне секторов, а не на уровне битов или байтов
RAID 5 Independent Data disks with distributed parity blocks
Этот уровень похож на RAID 4, но в отличие от предыдущего четность распределяется циклически по всем дискам массива. Это изменение позволяет увеличить производительность записи небольших объемов
данных в многозадачных системах
Кластеризация Failover Clusters (Enterprise Datacenter)
Witness disk
бывший quorum
FibreChannel
SAN
Особенности:
32 бита – 8 нод, 64 бита – 16 нод
Поддерживаются GPT диски (размер более 2 Тб)
Больше не требуется NetBios и WINS
Требуется совместимое с кластеризацией железо
Нельзя смешивать контроллеры домена и рядовые серверы в качестве узлов кластера
Учетные записи всех серверов должны располагаться в одном OU
Все узлы должны быть одной архитектуры (x86 x64)
Все узлы должны быть под управлением 2008 (Enterprise или Datacenter) Восстановление (2 возможных сценария)
1. non-authoritative – восстанавливается отказавшая нода 2. authoritative – восстанавливается состояние кластера на определенный момент времени
NLB Особенности:
Для внедрения NLB не нужно специальное железо.
Поддерживает до 32 хостов
Все хосты должны быть в одной подсети
Новые возможности Active Directory Read-only domain controller (RO DC) – контроллер домена только для чтения.
На RODC хранятся копии всех объектов AD (кроме паролей).
На ROCD нельзя произвести какие-либо изменения базы данных AD.
Репликация происходит только однонаправленно.
DNS на RODC тоже только для чтения.
На RODC хранится только необходимое число скэшированных аккаунтов и всегда можно узнать какие именно аккаунты были скэшированы.
RODC не реплицируется с другими RODC
Может работать в смешанном режиме 2003 если перед этим была проведена подготовка adperp /rodcprep
Выбор возможности быть RODC производится в процессе dcpromo Можно заранее создать запись для RODC в AD, и указать учетные данные пользователя который завершит инсталляцию с помощью dcpromo /UseExistingAccount:Attach Active Directory Lightweight Directory Service (AD LDS) – расширяет возможности приложений по хранению данных в AD. Фактически, LDS используется когда есть приложение, которому надо обращаться к AD, но не нужен доступ ко всей схеме в пределах домена или леса. Новые возможности:
Аудит создания – изменения – удаления объектов схемы, сохраняется новое и предыдущее значения.
Поддержка в режиме Core.
Управление репликацией LDS с помощью AD Sites & Services.
Database mounting tool – возможность сравнения данных содержащихся в актуальной базе данных и ее резервной копии.
Установка и конфигурирование:
Добавляем роль Active Directory Lightweight Directory Services
Administrative Tools -> Active Directory Lightweight Directory Services Setup Wizard o Unique Instance o Имя инстанции o Порты прослушиваемые LDS (по умолчанию 389 636) o Application Directory Partition -> Имя партиции
o Расположение файлов LDS o Service Account – по умолчанию Network Service o Указать административный аккаунт для AD LDS o Указать LDIF-файл (для использования AD Sites & Services)
Инструменты для работы с LDS
ADSI Edit (соединится с сервером LDS, указать порт)
AD Sites & Services (управление репликацией между сайтами содержащими LDS). o В процессе конфигурирования LDS-инстанции должен быть импортирован файл MS-
ADLDS-DisplaySpecifiers.ldf для использования ADS&S o указать сервер LDS, указать порт (LDSServer.office.local:389)
Active Directory Rights Management Service (AD RMS) – средство назначения прав на документ.
Создание файла с
защищенным
содержимым
RMS
Выпускает rights account certificate
удостоверяющий что пользователь
имеет право создавать защищенное
содержимое
Выпуск лицензий для открытия
защищенного содержимого и
применение политик использования
содержимого
До установки требуется установить IIS и MessageQueuing
В процессе конфигурирования установки надо будет указать сертификат (если будет
использоваться SSL, а не HTTP)
Теперь может использовать самоподписанные сертификаты (предыдущие версии получали от Микрософт) – т.е. требуется CA
Возможность делегирования встроенных RMS-ролей для администрирования: o AD RMS Service Group o AD RMS Enterprise Administrators o AD RMS Template Administrators o AD RMS Auditors
Интеграция с AD FS Active Directory Federation Services (AD FS) только Enterprise и Datacenter – средство «объединенной» аутентификации. Не может соединятся с Windows 2003 AD (с R2 может).
Инфрастуктура открытого ключа Новые возможности PKI
Оснастка PKIView – позволяет мониторить CA
Обновленный элемент управления Web Enrollment
Новые возможност и настройки сертификатов с помощью групповой политики
Петя Маша
private key
public key
Петя отправляет сертификат своего открытого ключа Маше
Маша
Маша расшифровывает полученное письмо открытым ключом
Маша
Маша шифрует отправляемое письмо открытым ключом
Маша
Петя расшифровывает полученное письмо закрытым ключомПетя
private key
public key
Public и Private key хранятся в профиле пользователя: Public - Documents and Settings\%UserName%\System Certificates\My\Certificates Private - Documents and Settings\%UserName%\Crypto\RSA При удалении профиля пользователя ключи будут утеряны. Выпуск сертификата стандарта X.509:
private key
public key
Пользователь или компьютер генерирует пару окрытый/закрытый ключ и отправляет
запрос + открытый ключ САСА
private key
public key
САСА проверяет открытый ключ и данные и выпускает сертификат
При установке CA следует указывать distinguished name (различающееся имя) . CN=Litware ,DC=Fabrikam,DC=COM String Attribute type DC domainComponent CN commonName OU organizationalUnitName O organizationName Типы используемых сертификатов:
User certificate – наиболее часто используемый тип сертификатов. Обычно выпускаются автоматически, без вмешательства пользователя.
Machine certificate – основное применение это взаимная аутентификация сервер-сервер или клиент-сервер.
Application certificate
Для смарткарт используется только протокол аутентификации EAP Типы СА
Enterprise Для работы требуется AD. Использует Kerberos или NTLM для предварительной аутентификации пользователей перед выдачей сертификата.
Standart
Root
Subordinate Способы запроса сертификата
Autoenrollment Доступен только пользователям XP 2003 2008. Может быть сконфигурирован с помощью групповой политики.
Оснастка Сертификаты
Web браузер http://servername/certsrv
Резервное копирование Микрософт рекомендует делать backup состояния системы, при этом резервируется и хранилище сертификатов. Второй вариант – сделать backup CA из оснастки управления – certsrv.mgr
Роли для администрирования
CA Administrator
Certificate Manager
Backup Operator
Auditor
Enrollee
Public-Key Cryptography Standards (PKCS)
PKCS #1 – описывает синтаксис public (сертификаты) и private keys
PKCS #5 – метод шифрования с использованием строки секретного ключа
PKCS #8 – Private-key Information Syntax Standard and describes a method of communication for private-key information that includes the use of public-key algorithm and additional
PKCS #9 – Selected Attribute Types and defines the types of attributes for use in extended certificates (PKCS #6), digitally signed messages (PKCS #7), and private-key information (PKCS #8)
AD Резервное копирование и восстановление В Windows 2008 используется новая технология backup-а, не совместимая с предыдущей NTBackup. Backup 2008 работает с vhd-файлами, не может делать копии на ленту, но может на DVD, диски, и сетевые ресурсы.
Windows Backup – это features
С его помощью нельзя сделать резервную копию определенных файлов и папок, только дисков
Расписания backup-а не могут делать резервные копии на сетевые диски и папки
Утилита управления резервным копированием из командной строки – wbadmin
Данные состояния системы можно резервировать только с помощью wbadmin WBADMIN START SYSTEMSTATEBACKUP -backupTarget:e:
Данные состояния системы можно резервировать только на локальные диски и только потом переносить куда-либо
На DVD и флешки можно делать резервные копии только с помощью wbadmin
С DVD или флешек восстановить можно только целиком том, нельзя восстановить отдельные файлы и папки
Если нам нужно открыть старые архивы BKF, то грузим с сайта Микрософт ntbackup для 2008
только диски целиком
wbadmin состояние системы
Восстановление системы на рядовом сервере
1. wbadmin get versions – список резервных копий сделанных на этом сервере 2. выделить в командной строке нужную версию и скопировать в буфер - 01/13/2008-05:55 3. wbadmin Start SystemStateRecovery -version: 01/13/2008-05:55
Восстановление отдельных файлов и папок
1. Указать дату на которую требуется восстановление 2. Выбрать тип восстановления:
a. Files and folders b. Applications c. Volumes
3. Выбрать Files and folders, указать требуемые элементы 4. Указать место куда надо восстанавливать файлы и папки
Восстановление контроллера домена
F8 – Directory Services Restore Mode
Если предварительно надо было сменить пароль режима восстановления, то: o ntdsutil o ser dsrm password o reset password on server NULL o password o quit
Authoritative Restore – используется когда объект удален и изменения реплицированы на остальные DC
o грузимся в DSRM o wbadmin get versions o выбираем версию резервной копии, которая сделана до удаления объекта o wbadmin start SystemStateRecovery –version:имя версии o НЕ перезагружаем компьютер o ntdsutil o activate instance ntds o authoritative restore o restore subtree CN =
restore subtree “cn=users,dc=office,dc=local” – контейнер Users restore subtree “dc=office,dc=local” – весь домен
o quit o ПЕРЕЗАГРУЖАЕМ
Резервное копирование и восстановление GPO С помощью GPMC (собственно ничего не изменилось по сравнению с 2003). Единственное важное отличие – в 2008 появилось понятие Starter GPO. StarterGPO не резервируется таким образом, надо выделить папку StarterGPO и отдельно выбрать команду BackupAll
Обслуживание AD В 2008 появилась возможность останавливать AD Domain Services без перезагрузки компьютера и остановки других сервисов. Остановка AD Directory Services также останавливает:
File Replication Services
Kerberos Key Distribution Center
Intersite messaging
DNS
DFS Replication Перезагрузка AD DS также перезагружает все указанные сервисы. Дефрагментация базы данных AD (ntds.dit – c:\windows\NTDS)
Stop AD DS
Run – ntdsutil
Activate instance ntds
Files
Info
Compact to c:\windows\ntds\defragged
Quit
Удалить ntds.dit из c:\windows\ntds
Удалить edb.log из c:\windows\ntds
Переместить ntds.dit из c:\windows\defragged в c:\windows\ntds
Restart AD DS Расчет размера под файлы AD
Ntds.dit +20% или 500 Мб свободного пространства
Лог-файлы +20% или 500 Мб свободного пространства
Диагностика AD Replmon – устанавливается из SupportTools с DVD Server 2008 (не нашел никаких SupportTools на диске 2008, скачал с сайта Микрософт exe-шник, установил, заработало).
Просмотр статуса репликации и топологии репликации
Запуск репликации
Update Status Перепроверка статуса репликации на данном сервере
Check Replication Topology Вызов KCC для перерасчета топологии репликации
Synchronize Each Directory Partition with all Servers
Запуск немедленной репликации всех разделов каталога с каждым партнером репликации
Show Domain Controllers in Domain Список всех DC
Show Replication Topologies Графическое представление топологии репликации
Show Group Policy Object Status Список всех политик домена с номерами
версий
Show Global Catalog Servers in Enterprise Список всех серверов GC
Show Bridgehead Servers Все bridgehead серверы в двух вариантах – этого сайта и всего предприятия
Show Trust Relationships Все трасты в домене
Show Attribute Meta-Data for AD Object Данные аттрибута указанного объекта AD
RepAdmin – утилита командной строки. Устанавливается также с SupportTools
Просмотр и изменение топологии репликации
Запуск репликации System Resource Manager (WSRM) – features устанавливаемая при необходимости. Позволяет задавать политики распределения загрузки процессора, когда нагрузка становится более 70%
Equal per process – распределение процессорного времени равномерно между процессами.
Equal per user – распределение процессорного времени равномерно среди пользователей. Полезно для сервера приложений.
Equal per session – распределение равномерно между сессиями. Полезно для терминальных серверов.
Equal per IIS application pool session – равномерно среди веб приложений IIS, остальным по остаточном принципу.
Также можно создавать свои политики и назначать правила смены политик.
Reliability and Performance monitor - perfmon (монитор производительности и надежности)
Причины создания нескольких доменов
Группы пользователей имеют сильноразличающиеся требования по безопасной аутентификации и контролю доступа.
Группы пользователей должны быть административно разделены по соображениям безопасности.
Требуется обязательное децентрализованное администрирование.
Требуются различающиеся адресные пространства.
Разделение огромного географически распределенного домена на более управляемые участки.
Наследование от существующей структуры NT. Репликация разделов каталога
Schema partition
Configuration partition
Application partition
Любой набор
контроллеров домена
Domain partition
Global Catalog
Сервера глобального каталога
Все контроллеры леса
Все контроллеры домена
Описание всех объектов и их возможных свойств
Топология репликации (в том числе и сайты)
Все объекты домена и их свойства
Частичная реплика объектов леса, для облегчения поиска (при поиске незвестно либо DN либо какая партиция леса может содержать этот объект)
Когда DC не находит в базе аккаунта пользователя, он обращается к GC
GC хранит информацию о членстве в универсальных группах
Сервера глобального каталога размещаются:
o Во всех сайтах содержащих приложения использующие GC для аутентификации o Во всех сайтах соединенных низкоскоростными линиями связи
GC реплицируется через порт 3268
Правильно иметь GC в сайте с 50 или более клиентами
Информация о членстве в универсальных группах хранится только на серверах глобального каталога, рекомендуется редко изменять членство в универальных группах, для уменьшения траффика репликации GC
Универсальные группы могут содержать членов из разных доменов
Для редактирования схемы AD - regsvr32 schmmgmt.dll, после этого добавить оснастку Schema Кэширование членства в универсальных группах – DC при первом входе пользователя опрашивает GC на тему его членства в универсальных группах, кэширует информацию, а затем каждые 8 часов обновляет. Это позволяет сократить время обращения если GC находится на медленной линии от DC. Включается на уровне сайта, в его NTDS settings. Также там можно указать – с какого именно GC обновлять информацию.
Виды репликации и их особенности
Intrasite replication – каждые 15 минут , KCC автоматически создает кольцевую топологию
Intersite replication – по расписанию, по умолчанию каждые 180 минут
SMTP можно использовать только при репликации контроллеров из разных доменов, требуется CA для подписи сообщений.
Мост связей сайтов создает цепочку связей сайтов, через которую контроллеры доменов с разных сайтов в связях сайтов могут напрямую поддерживать связь. Запуск репликации:
Диагностика проблем репликации Event Viewer-ом Включение записи событий в EventViewer В HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics выбрать требуемый параметр AD и указать ему требуемый уровень логирования. Уровень может быть от 0 (только критические события) до 5 (максимально полный). Функциональные уровни лесов и доменов Уровни леса:
Наименование Контроллеры Примечание
2000 2000,2003,2008 Поддерживает смешанное окружение при обновлении. Минимум безопасности при максимуме совместимости
2003 2003,2008 Поддерживает обновление с 2003 на 2008
Улучшенная репликация членства в группах
Новые алгоритмы KCC
Новые аттрибуты в GC
Cross-forest trust
Переименование доменов
Уменьшение ntds.dit RODC
2008 2008
Не добавляет функциональности, но любой домен
добавленный в такой лес будет создаваться уже как домен уровня 2008
Уровни домена:
Наименование Контроллеры Возможности Примечание
2000
2000 Универсальные группы безопасности Поддерживает обновление с 2000 на 2008
2003 Вложенность групп
2008 Преобразование групп из распостранения в безопасность
SIDhistory
Переименование DC
Logon timeshtamp репликация
Пароль для InetOrgPerson
Перенаправление контейнеров User Computers
2003
2003 Универсальные группы безопасности Поддерживает обновление с 2003 на 2008. Включены все возможности 2003
2008 Вложенность групп
Преобразование групп из распостранения в безопасность
SIDhistory
Переименование DC
Logon timeshtamp репликация
Пароль для InetOrgPerson
Перенаправление контейнеров User Computers
2008
2008 Отказоустойчивая репликация SYSVOL Включены все возможности 2008 Kerberos – AES 128 AES 256
Множественные политики паролей для пользователей и групп
Роли FSMO
Лес
Schema Master Только на нем вносятся изменения в схему леса
Domain Naming Master Хранит и изменяет список доменов леса
Домен
Infrastucture Master Хранит ссылки с объектов домена на другие домены
RID Master Выпускает наборы уникальных идентификаторов которые становятся частью SID
PDC Emulator Представляется PDC для всех старых ОС, также только на нем вносятся все изменения паролей и создаются trust relationships
Правильное расположение ролей на контроллерах
RID и PDC Emulator – на одном контроллере
Infrastructure Master – не работает на GC, если домен только один – на любом контроллере (так как IM не используется)
Infrastructure Master должен иметь устойчивую связь с GC
Schema Master + Domain Naming Master – лучше располагать на одном и лучше если он будет GC
DC1 DC2
Schema Master
Domain Naming
RID Master
PDC Emulator
GC Infrastructure Master
Перенос ролей FSMO
Роль Transfer Seize
Schema Master AD Schema ntdsutil*) ntdsutil
Domain Naming Master Domains and Trusts ntdsutil ntdsutil
Infrastucture Master Users and Computers ntdsutil ntdsutil
RID Master Users and Computers ntdsutil ntdsutil
PDC Emulator Users and Computers ntdsutil ntdsutil
*) ntdsutil
roles connections connect to server DC2008 q seize PDC
Доверительные отношения между доменами
dogs.com
fish.com
cats.com
Non-transitive trust Non-transitive trust
В силу нетранзитивности – нет
доверительных отношений
Доступ к ресурсам идет в
обратном направлении
отношениям
User
User
Характеристики доверительных отношений:
Метод создания – автоматический или ручной.
Прозрачность (transitivity) – пример transitive trust – Домен А доверяет домену Б – домен Б доверяет домену С, в результате домены А и С доверяют друг другу. Non-transitive – домены А и С не доверяют друг другу.
Направление – односторонние (домен А доверяет домену Б) и двухсторонние (домен А доверяет домену Б и домен Б доверяет домену А).
Виды доверительных отношений:
Tree-root trust – доверительные отношения установленные между корневыми доменами разных деревьев одного леса. Transitive, two-way.
Parent-child trust – доверительные отношения между доменом и поддоменом. Автоматически создаются при создании домена нижнего уровня, таким образом все объекты в доменах одного дерева автоматически доступны для всех доменов этого дерева. Transitive, two-way.
Shortcut trust – создаются вручную и связывают два любых домена в лесу. Transitive, two-way или one-way.
External trust – создаются вручную между доменами разных лесов или доменами 2003Server и доменами NT4. Nontransitive, two-way или one-way. При добавлении одной компании к другой создаются временно, чтобы не делать серьезных изменений, но дать возможность авторизации.
Forest trust – создаются вручную между корневыми доменами разных лесов. Transitive только между двумя деревьями, two-way или one-way. Позволяет уменьшить число external trust. Т.е. нельзя соединить несколько лесов подряд, авторизация будет работать только в пределах связи двух соседних. Добавили одну компанию к другой, но хотим сохранить оба не связанных леса.
Realm trusts – отношения создающиеся между Windows и не-Windows доменами. Nontransitive, transitive, two-way или one-way.
Implicit (подразумевающиеся) – создаются автоматически между доменами в пределах дерева и между root-доменами деревьев в пределах леса.
Explicit (явные) – создаются вручную.
Создание отношений – New Trust Wizard или netdom. Фильтрация SID Фильтрация SID защищает исходящие доверительные отношения. Она призвана воспрепятствовать раздаче администраторами доверенных доменов неправомерных полномочий в пределах доверяющих доменов. Фильтр SID следит за тем, чтобы в доверяющем домене аутентифицировались только те пользователи доверенного домена, чьи SID содержат SID этого домена. Если деактивировать фильтрацию SID, то внешний пользователь, обладающий правами администратора в доверенном домене, сможет прослушать сетевой трафик доверяющего домена, определить SID администратора, а затем присоединить этот SID к своей истории SID и заполучить права администратора в доверяющем домене. Потенциальной проблемой является то, что если пользователь содержит SID еще какого-то домена (кроме домена А), то ему будет запрещен доступ к ресурсам домена В.
A B
SID только из домена
А ? (и нет никаких
дополнительных)
ДА
НЕ
Т
Фильтр SID
Контроллеры домена только для чтения (RODC) Использование RODC:
Уровень леса должен быть не ниже 2003
Если в домене только контроллеры 2003, то надо выполнить adprep с диска 2008: o Лес: adprep /forestprep на Schema Master o Домен: adprep /domainprep /gpprep o Лес: adprep /rodcprep
Цели развертывания RODC:
1. На RODC по умолчанию хэшированные пароли не хранятся в DIT. Когда пользователь авторизуется в первый раз, RODC передает запрос на авторизацию «настоящему» контроллеру и только тогда получает хэшированный пароль пользователя.
2. Политика репликации паролей на RODC настраивается, т.е. можно указать объекты пароли которых можно кэшировать, и объекты пароли которых хэшировать никогда нельзя.
3. Центр распостранения ключей Kerberos имеет собственный пароль учетной записи krbTGT и собственные ключи.
4. На полном DC RODC не указываются как доверенные (фактически это просто серверы входящие в домен).
5. RODC не включаются в общую топологию репликации.
Схема домена с сайтами (иллюстрация ко всему разделу)
Быстрая линия связи
Медленная линия связи
GC
Клиентов 50 и более
Кэширование членства в универсальных группах. Для того, чтобы не обращаться к GC по медленной линии связи
Частичная реплика всех объектов леса
Членство в универсальных группах
Если в базе DC не
найден аккаунт
пользователя
Репликация по расписанию (180 минут по умолчанию)
Мост связей сайтов (для репликации с несвязанным сайтом напрямую)
Schema master
Domain Naming master
Infrastucture master
PDC emulator
RID master
Репликация автоматически через 15 минут
GC
Лес
Домен
IIS 7 В режиме Core не доступны следующие возможности:
.NET
ASP.NET
Консоль и сервис управления Управление IIS В режиме Server Core нельзя управлять графическими инструментами (даже с удаленной машины). Можно:
WinRS –remote:WebServer …\AppCmd.exe команда
WMI
Com и .Net интерфейсы программирования Appcmd – программа для управления IIS из командной строки. В режиме графического интерфейса:
Безопасность Web-сайта и приложений Встроенные объекты безопасности:
IIS_IUSRS group – группа безопасности, используется для регистрации пула приложений в IIS
IUSR account – имеет одинаковые SID (и сложный случайный пароль) на всех серверах где установлен IIS
Transport Security
VPN
IPSec
SSL/TSL с использованием цифровых сертификатов o Клиент запрашивает безопасное соединение o Сервер отправляет свой public key o Клиент проверяет что это за publlic key
Если клиент доверяет серверному public key, то: Отправляет серверу свой public key Сервер генерирует пароль, шифрует его public key клиента + private key сервера и
отправляет клиенту Начинается обмен информацией зашифрованной сгенерированным паролем
IIS 7 может сам генерить self-signed сертификаты прямо из графического интерфейса. Организация безопасной связи с конкретным сайтом:
1. Нужный сайт – Edit Bindings
2. Add
Authentication security
Anonymous – включена по умолчанию.
Basic – требует имени пользователя и пароля. Подходит для всех платформ, но для защиты логина/пароля требуется SSL
Digest – вместо пароля передается хэш MD5. Минус – пароли хранятся с использованием обратимого шифрования. Advansed Digest не требует обратимого шифрования, но требует IE5 и выше.
Windows – для интранета, браузер передает данные текущего пользователя Windows.
Client Certificates – пользователь представляет сертификат связанный с его аккаунтом. Маппинг сертификатов клиентов может быть:
1. AD Client Certificate Mapping (включается графическим интерфейсом, если включен остальные способы недоступны)
2. One-to-One (правкой текстового файла) 3. Many-to-One (правкой текстового файла)
Authorization security
URL authorization – запрещение/разрешение на доступ к определенным папкам (путям) сайта на основании имени пользователя или членства в группе.
IP authorization - запрещение/разрешение на доступ к определенным папкам (путям)
сайта на основании IP-адреса, сети или доменного имени.
Request Filtering – фильтр запросов на основании расширения файла, ограничения количества запросов, HTTP-методов и так далее. Нет графического интерфейса для конфигурирования.
Уровни доверия ASP.Net приложений Full Устанавливает неограниченные разрешения. Предоставляет приложению ASP.NET разрешения на доступ к
любому ресурсу, управляемому механизмами безопасности операционной системы. Поддерживаются все привилегированные операции.
High Не может: Вызов неуправляемого кода. Вызов компонентов служб. Запись в журнал событий. Обращение к очередям службы очередей сообщений Майкрософт.
Доступ к источникам данных ODBC, OleDb или Oracle.
Medium Не может: Обращение к файлам, располагающимся вне каталога приложения. Доступ к реестру. Выполнение сетевых вызовов и вызовов веб-службы
Low Не может: Запись в файловую систему. Вызов метода Assert.
Minimal Устанавливает минимальный уровень управления доступом для кода, при котором приложению назначаются только разрешения на выполнение.
По умолчанию используется значение Full (без ограничений).
Конфигурационные файлы IIS
schema IIS_Schema.xml FX_Schema.xml ASPNET_Schema.xml RSCAExt.xml
server
site
folder
Web.config
Web.config
Web.config
Machine.config ApplicationHost.config Administration.config Redirection.config
Windows\System32\inetsrv\Config\Schema
Windows\Microsoft.Net\Framework\<VERSION>\Config
Конфигурация
сайта и
приложений
Все приложения
ASP.NET
Windows\System32\inetsrv\Config
Альтернативное
расположение
конфигурации
сервера
Определяет
сайты,
виртуальные
директории и
пулы
приложений
Модули
загружаемые для
администрирования
URL авторизация для
доступа
Логирование IIS По умолчанию – %SystemDrive%\inetpub\logs\LogFiles Масштабирование и производительность IIS
Output caching – наиболее часто статический контент (картинки, клиентские скрипты) сохраняются в памяти, уменьшая число обращений к диску. Кэширование устанавливается в настройках Web-сервера созданием политики кэширования базирующейся на расширениях имен файлов.
Compression – включается на уровне сервера и на уровне сайта
Уровень сервера Уровень сайта
NLB – имеется возможность хранить конфигурационные файлы (administration.config и applicationHost.config) файлы в общем сетевом хранилище.
Резервное копирование и восстановление IIS Делается только из командной строки: AppCmd.exe Add Backup <Описание> AppCmd.exe Restore Backup <Описание> AppCmd.exe List Backup
AppCmd.exe Delete Backup <Описание> По умолчанию резервная копия делается в windows\system32\inetsrv\Backup\папка-<Описание> (см. рисунок): appcmd add backup MyIIS
FTP Активный и пассивный режим FTP
21 >1024
активный
пассивный
20
Номер порта для подключения (>1024)
Сообщенный
номер порта
(>1024)
Номер порта для подключения (>1024)
Сообщенный
номер порта
(>1024) Безопасность FTP
1. Транспортного уровня - SSL a. Клиент запрашивает безопасную сессию b. Сервер посылает клиенту открытый ключ c. Клиент просматривает ключ чтобы убедится, что это подлинный сервер d. Клиент посылает свой открытый ключ e. Сервер генерирует пароль и шифрует его своим закрытым и клиентским открытыми
ключами f. Клиент расшифровывает пароль
Политика SSL (Разрешить – Требовать – Запретить) устанавливается раздельно для Control Channel и Data Channel
2. Аутентификация a. Анонимная b. Базовая – пароль открытым текстом, рекомендуется использовать SSL (см. 1)
3. Авторизация a. URL авторизация – указываем пользователей и их разрешения – Read Write b. IP авторизация – разрешение/запрет доступа на основании IP или домена клиента
Изоляция пользователей (можно установить только при создании нового FTP-сайта):
SMTP SMTP-сервер – это отдельная features, не входящая в число опции IIS Вопросы и ответы по IIS
1. На сервере выполняется несколько приложений, надо чтобы они выполнялись с разными учетными данными – устанавливается на уровне Application Pool
2. URL-авторизация устанавливается в web.config файле сайта
Termial Services
Терминальные службы Server 2008
RDP WEB
desktop remoteApp desktop remoteApp
Компоненты терминального сервера и элементы управления:
Terminal Server o TS Manager – мониторинг пользователей, сессий и процессов на сервере o TS Configuration – свойства RDP-соединения + конфигурирование ферм и управление
Session Broker o TS RemoteApp Manager – управление доступом к определенным приложениям
Terminal Services Licensing – управление CAL
Terminal Services Web Access – Web-доступ к рабочему столу (или приложениям) предварительно сконфигурированных с помощью RemoteApp Manager
Terminal Services Gateway – предоставляет возможность соединения с терминальными серверами компании извне, без установки VPN-канала, RDP-траффик упаковывается в HTTPS (возможные ресурсы к которым может быть предоставлен доступ: терминальные сервера, RemoteApp, компьютеры с включенным RDP)
Terminal Services Session Broker – балансировка нагрузки на ферму терминальных серверов.
Terminal server
Terminal Services Web Access
Terminal Services Gateway
Terminal Services Session Broker
RDP - HTTPS
Terminal server
Terminal server
Terminal server
Возможные области действия сервера лицензирования терминалов:
Forest – рекомендуемая Микрософт практика (для установки требуются права Enterprise Admin). Для того чтобы сервер выпускал пользовательские CAL для другого домена он должен быть добавлен в Terminal Server License Servers группу «другого» домена.
Domain – по умолчанию
Workgroup – эта опция активна, только если сервер лицензирования ставится на компьютер не член домена
Если сервер лицензирования на включен в домен, то на пользователя лицензии не выдаются. Порядок поиска сервера лицензирования:
Явно заданный сервер (настройкой на терминале или групповой политикой)
Расположенный на том же компьютере, что и терминальный сервер
Опубликованный в AD
Расположенный на каком-либо из котроллеров того же домена Публикация сервера лицензирования терминалов (Enterprise Admins + Local Admins):
1. Terminal Server Licenzing Manager -> Review Configuration -> Publish 2. ADSI Edit -> Connect to -> Configuration, в разделе сайты создать новый объект. В AD Sites &
Services связать этот объект с именем требуемого компьютера. Резервное копирование сервера лицензирования терминалов:
1. System State 2. windows\system32\lserver
Распределение ресурсов с помощью Windows System Resource Manager WSRM – дополнительно устанавливаемая feature, которая позволяет распределять ресурсы на основании политик, привязок ко времени и динамически на основании загрузки сервера. Специальные политики для терминального сервера позволяют распределять ресурсы на пользователя и на сессию. Terminal Services Gateway Задача TS Gateway – организация доступа к корпоративным приложениям без VPN. Для достижения этой цели RDP инкапсулируется в HTTPS, TS gateway извлекает RDP траффик и перенаправляет его на требуемые сервера. Последовательность разворачивания TS Gateway
1. Установить SSL сертификат (внешний или выпущенный AD) 2. Связать сертификат с TS Gateway 3. Включить TS Gateway в состав домена 4. Создать Connection Authorization Policy (CAP) (политика авторизации подключения)
Политики авторизации TS CAP определяют, кто может подключиться к шлюзу служб терминалов и указывают, при каких условиях пользователи могут подключаться. Группа пользователей такая-то с помощью метода авторизации смарт-карты, им будут доступны следующие возможности – перенаправление дисков и т.д.
Если пользователь использует
следующий метод авторизации:пароль
смарт-карта
Если пользователь принадлежит к
следующей группе:
Группа пользователей
Группа компьютеров
И (опционально)
Ему доступны следующие возможности:
5. Создать Resource Authorization Policy (RAP) (политика авторизации служб)
TS RAP определяют к каким внутренним ресурсам пользователи могут получить доступ через шлюз служб терминалов. Если пользователь принадлежит к группе то разрешить коннект с указанными компьютерами через указанный диапазон портов.
Если пользователь принадлежит к
следующей группе:
Группа пользователей
Он может соединятся со следующими
терминальными серверами:Через следующий порт (набор портов)
3389
...
Параметры групповой политики для терминальных серверов Компьютер Пользователь
Remote App Доступны через:
1. Web-link (Web-access) – http://имя–терминального-сервера/ts
Требуется RDP 6.1 (2008, Vista SP1, XP SP3) 2. Предварительно созданный RDP-файл
Свойства RDP-соединения Разрешения для терминального доступа:
Full control
Users access
Guest access
Query Information
Запрос информации о терминальном сервере и сессиях
Set information
Разрешение конфигурировать свойства соединения
Remote control Просмотр и управление другими сессиями
Logon Подключение к сессии
Logoff Отключение от сессии
Message Посылка сообщения пользовательской сессии
Connect Подключение к сессии другого пользователя
Disconnect Отключение сессии другого пользователя
Virtual Channels
Назначение разрешений на перенаправление ресурсов и доступ к устройствам клиентского компьютера
Особенности развертывания приложений
1. Перевод сервера терминала в режим инсталляции chgusr /install 2. Перевод сервера терминала в режим выполнения chgusr /execute 3. Есть два сервера TS1 TS2, на TS1 Web-access, но на нем не видны приложения TS2. Опубликовать
приложения с обоих серверов в AD, как репозиторий. Опубликовать приложения с помощью GPO для всех пользователей которые используют Web access.
4. При перемещении приложений на другой сервер RDP-файл надо пересоздать. 5. При использовании Session Broker надо создавать GPO которое назначает терминальным
серверам компьютер на котором расположен Session Broker как их Session Broker компьютер.
IPv6 Сравнение IPv4 и IPv6 IPv4 IPv6
Длина адреса 32 бита 128 бит
Стиль записи 4 октета по 3 цифры, разделитель - . 8 октетов по 4 цифры, разделитель - :
Сокращение .000. = 0 .0000. = ::
Типы адресов public, private, multicast global, local unicast, anycast
IPsec Опционально Требуется
Фрагментация Хосты и роутеры Хосты
Диагностика ICMP ICMPv6
Router discovery Опционально Требуется
Конфигурирование DHCP, manual DHCP, manual, automatic
DNS записи A AAAA
PTR PTR – in-addr.arpa PTR – ip6.arpa
Типы адресов IPv6
Local-link – адреса доступные только в локальной сети FE80::/64
Unique local IPv6 unicast – роутинг в пределах сети, но не в интернет
Global unicast – роутинг в интернет IPv6 2000::/3
Multicast – хост коммуницирует с несколькими получателями
Anycast – адреса назначенные несколькими интерфейсам (только маршрутизаторы)
Special – loopback и другие ::1/128 – loopback
Конфигурирование DHCP IPv6
Весь DHCP траффик использует UDP 67-68
DHCP сервер и DHCP relay agent не могут быть развернуты на одном устройстве
DHCP сервер IPv6 имеет два состояния:
o Statefull – отправляет клиенту адрес и настройки конфигурации o Stateless – только настройки конфигурации
Технологии аутентификации WiFi
EAP-TLS Подключающийся объект и сервер обмениваются сертификатами и взаимно проверяют их подлинность
PEAP-TLS шифрованная сессия создается перед обменом сертфикатами
MS-CHAP2 Аутентификация по паролю, используется только в отсутствии сертификатов
IPSec – фактически, в туннельном режиме (в отличии от транспортного) к пакету пришивается новый IP header
Сетевые технологии 2008 сервера RRAS Изменения в 2008 по сравнению с 2003:
X.25 не поддерживается
IEEE 1394 не поддерживается
IPX/SPX не поддерживается
OSRF не поддерживается
SPAP, MD5-CHAP, MS-CHAP не поддерживаются Протоколы удаленного доступа:
PPTP
L2TP
SSTP – инкапсуляция PPP траффика внутри HTTPS
NAP Созданная с помощью мастера политика «рассыпается» на несколько политик:
Connection Request
Условия (Port type – VPN) Методы аутентификации RADIUS сервер
Network Разрешить/Запретить Группа пользователей Ограничения (время доступа и т.д.) Health Policy
Health Используемый health validator Health validator
Тип ОС – Vista XP Включен ли файрволл Включен ли антивирус
Дата обновления антивируса Автоматическое обновление
Polices
Connection Request
Политика A
Политика N
Network Политика A
Политика B
Политика N
Health
Политика N
NAP
System Health Validators Windows Validator
Политика NAP применятся к следующим видам доступа:
DHCP o DHCP сервер при выдаче адреса проверяет состояние клиента o Если здоров, то выдает полную конфигурацию IP o Если не здоров, то выдает только IP, маску и маршруты к серверам исправлений в
карантинной сети
VPN o VPN проверяет состояние подключающегося клиента (по PEAP) o Если здоров, то разрешает доступ в сеть o Если не здоров, то применяет набор фильтров пакетов, разрешающий доступ
только к ограниченной сети с серверами исправлений
IPSec o Клиент не изолируется, просто не получает сертификата состояния. К другим
машинам сети заранее применяется политика разрешающая соединение только при наличии серфтиката состояния
802.1x o Клиент соединяется с коммутатором с поддержкой 802.1х, коммутатор
перенаправляет запросы клиента на NAP. o Если клиент здоров, то коммутатор разрешает соединение o Если клиент не здоров, коммутатор закрывает этот порт