close

Вход

Забыли?

вход по аккаунту

?

Конспект лекций по курсу Microsoft 70-649

код для вставкиСкачать
 Коллеги ! Помните, это всего лишь конспект
,
который я соста
влял для подготовки к экзамену, а не учебник по 2008 серверу.
Удачи на экзамене.
v
italy
579@
yandex
.
ru
v
italy5
79@
hotmail
.
com
Новые возможности Windows 2008 Server
·
Active
Directory
Certificate
Services (
AD CS
)
o
Online Certificate Status Protocol
o
Network Device Enrollment Service
o
Web
enrollment
(
новый элемент управления для Web
-
интерфейса
)
o
Policy settings
(новые политики)
o
Restrict
ed
Enrollment
Agent
(ограничения для пользователей выпускающих сертификаты для смарткарт других пользователей)
o
Enterprise
PKI
(
PKIView
)
(инструмент мониторинга состояния A)
·
Active Directory Domain Services (
AD DS
)
o
Логирование изменения атрибутов объектов
o
Возможность назначать разные политики паролей разным пользователям в пределах одного домена
o
DC «только для чтения»
o
Перезапуск служб AD без перезапуска сервера
·
Active
Directory
Federation
Services
(
AD
FS
) –
решения
по
аутентификации
и
авторизации
для
разных
(
не
-
Windows) платформ
в
среде
Windows
(
used for synchronizing external Active Directory domains for authentication purposes
)
·
Active Directory Lightweight Directory Services (
AD LDS
)
–
расширение раздела
каталога
AD приложений
(
used in situations when all of the features of a full Active Directory are not required
)
·
Active Directory Rights Management Services (
AD RMS
)
-
сл
у
жба
управляющая
правами
на
доступ
к
файлу
созданного
RMS
-
совместимым
приложением
o
Введена как серверная роль
o
Интеграция с AD FS
·
Server
Ma
nager
–
единое приложение для управления всеми задачами и конфигурирования сервера
·
Server
Core
–
установка сервера без GUI
·
Терминальный сервер
o
Улучшенный клиент подключения
–
RDC 6.1
o
Перенаправление устройств для медиаплееров и цифровых камер
o
Одна точка ав
торизации
o
Remote
App
–
публикация отдельных приложений на терминальном сервере
o
Terminal Web Access o
Terminal
Services
Gateway
–
подключение пользователей извне к корпоративным терминалам используя RP over http
o
Упрощение управления пользовательскими принте
рами (не надо устанавливать драйвера на сервере)
o
Брокер сеанса —
новая функция, являющаяся упрощенной альтернативой службе балансировки сетевой нагрузки Майкрософт для служб терминалов. Не имея ограничений на конкретное число серверов, она особенно полезна
для ферм, в которые входит от двух до пяти серверов. Брокер сеанса служб терминалов распределяет новые сеансы по наименее загруженным серверам в составе фермы с целью повышения производительности, а пользователи могут повторно подключаться к существующему
сеансу, даже не имея понятий о сервере, на котором он был создан. С помощью этой функции ИТ
-
специалисты могут сопоставить IP
-
адрес каждого сервера терминалов отдельной записи службы доменных имен (DNS). Кроме того, такая конфигурация обеспечивает отказоус
тойчивость: если один из серверов фермы недоступен, пользователь подключается к следующему наименее загруженному серверу.
·
DNS
-
сервер
o
Фоновая загрузка зоны (
DNS
обслуживает запросы в тот момент когда зона еще грузится
)
o
Полная
копия
read
-
only DNS zone на
rea
d
-
only DC
o
GlobalNames
zone
–
для назначения соответствия CNAME
и FQDN
·
FileServer
Resource
Manager
–
квотирование
по
папкам, предотвращение создания файлов определенных типов, генерация отчетов
·
Network Policy and Access Services (NPAS)
·
Виртуализация
·
IIS7
Н
овые наименования служб AD
Новое название
Старое название
Описание
Службы доменов AD (
AD DS
)
AD
Служба каталогов AD, проверка подлинности пользователей и компьютеров при помощи NTLM и Kerberos, управление объектами AD
Службы облегченного доступа к катал
огам (
AD
LDS
)
ADAM
Сервер LDAP на базе ADDS
Службы сертификации (
AD CS
)
Служба сертификатов
Проверка подлинности на основе сертификатов X.509
Службы управления правами (
AD RMS
)
Сервер управления правами
Защита электронных документов путем создания контей
неров для них и присвоения им прав
Службы федерации (
AD FS
)
Службы федерации
Единый вход и федерация идентификации
Системные
требования
Компонент
Минимум
Рекомендовано
Процессор
1 Ггц (х86) 1,4 ггц (х64)
2 Ггц
Память
512 Мб
2 Гб (
1 Гб (ore)
Ди
сковое пространство
10 Гб
1 Гб (ore)
40 Гб
Версии сервера 2008
Редакция
32 bit
64 bit
Web
Только Web
-
сервер, остальные роли не доступны
CPU
4
4
RAM
4 Гб
32 Гб
St
CPU
4
4
RAM
4 Гб
32 Гб
Enterprise
Failover Clustering
, AD FS
CPU
8
8
RAM
64 Гб
2 Тб
Datacenter
Неограниченное число вирутальных имиджей
, AD
FS
CPU
32
64
RAM
64 Гб
2 Тб
Itanium
-
based
CPU
64
RAM
2 Тб
Обновление до 2008 сервера
·
Редакция сервера 2003 апгредится на такую же редакцию
·
От 2000 апгрейд невозможен
·
ore никого не апгр
ейдит
·
При апгрейде AD требуется дополнительное место (10% или 250 Мб от размера базы данных AD и 50 Мб на лог
-
файл)
·
Апгрейд 64
-
b
it версии требует наличия драйверов под 2008 с цифровой подписью. Если возникают проблемы с неподписанными драйверами, то:
o
F8
o
Ad
vanced Boot Options
o
Disable Driver Signature Enforcement
o
Загрузиться и удалить неподписанный драйвер
Установка AD -
особенности
·
Перед включением в домен 2003 сервера под 2008 надо подготовить домен и лес
o
adprep /forestprep –
выполнить на
Schema Master
ле
са
(Enterprise Admins и Schema Admins)
. Определяется в Схема AD –
Хозяин операций.
o
adprep /domainprep –
выполнить
на
каждом
Infrastucture Master каждого
домена
в
лесу
(
Domain Admins или Enterprise Admins
)
. Определяется в A
DUC.
o
adperp
/
rodcprep
–
подготовка
к
внедрению
RODC
(
Enterprise
Admins
, на любом контроллере
в
лесу
).
·
Перед
созданием
первого
RO
DC
нужно
выполнить
команду
adprep
/
rodcprep
на
любом
DC
в
лесу
(
рекомендуется
на
Schema Master)
(
Enterprise
Admins
)
·
При
выполненении
Install
from
Media
(
IFM
) исп
ользуется команда dcpromo
/
adv
. I
FM
имеет следующие ограничения –
работает только с резервной копией из своего домена, и резервная копия должна быть не старше 60 дней.
С
помощью IFM нельзя создать новый домен.
·
Порядок установки AD в новом лесу –
сначала до
бавля
е
м роль Active
Directory
Domain
Services
, затем выполняем dcpromo
·
В конце работы dcpromo
есть возможность экспортировать настройки в файл ответов щелчком по кнопке Export
Settings
·
В процессе установки можно выбрать следующие дополнительные возможности
:
o
RODC
o
DNS
o
Global Catalog
Server Core
·
В
этом
режиме
доступны
2 апплета
панели
управления
–
RegionalSettings (
intl
.
cpl
) и
Time
And
Date
(
timedate.cpl
)
·
Установка роли контроллера выполняется с помощью dcpromo и заранее подготовленного файла ответов
·
Core
-
р
ежим
может
выполнять
следующие
роли
:
Datacenter
Enterprise
Standart
Web
o
AD DS
+
+
+
-
o
AD LDS
+
+
+
-
o
DNS
+
+
+
-
o
DHCP server
+
+
+
-
o
File Server
+
+
+
-
o
Print Server
+
+
+
-
o
Windows Media Server
+
+
+
-
o
TS Gateway
+
+
+
-
o
IIS
7 (без поддержки .NET
鸞
+
+
+
+
o
Hiper
-
V
+
+
+
-
·
Core
-
режим поддерживает следующие возможности (
features
)
o
Failover clustering
o
NLB
o
Subsystem for UNIX applications
o
Backup
o
Multipath IO
o
Removable Storage
o
BitLocker
o
SNMP
o
WINS
o
Telnet
o
Network Time Protocol (NTP)
Конфигурирование Co
re
-
сервера
·
netsh interface ipv4 show interfaces
·
netsh interface ipv4 set address name=”<ID>” source=static address=<StaticIP> mask=<SubnetMask> gateway=<DefaultGateway>
netsh interface ip set address name="Local Area Connection" source=static 192.168.111.2
54 255.255.255.0 192.168.111.1
·
netsh interface ipv4 add dnsserver name=”ID>” address=<DNSIP>
index=1
·
netdom renamecomputer <ComputerName> /NewName:<NewComputerName>
·
netdom join <ComputerName> /domain:<DomainName> /userd: <UserName> /password:*
·
dcpromo answ
er:
\
answer.txt
–
установка DC
с помощью файла ответов
Службы
развертывания
Windows
(
RIS
-
> WDS
)
не
включены
в
Web
Edition
и
Itanium
based
Управление хранилищами
RAID 0
Striped Disk Array
наивысшая производительность для приложений требующих
интенсивной обработки запросов ввода/в
ывода и данных большого объема
RAID 1
Mirror
невысокая скорость передачи данных
RAID 2
Hamming Code ECC
низкая скорость обработки запросов (не подходит для систем ориентированных на обработку транзакций)
RAID 3
Parallel Transfer Disks with Parity
Данные разбиваются на подблоки на уровне байт и записываются одновременно на все диски массива кроме одного, который используется для четности
RAID 4
Independent Data disks with shared Parity disk
Данные разбиваются на
блочном уровне. Каждый блок данных записывается на отдельный диск и может быть прочитан отдельно. Четность для группы блоков генерируется при записи и проверяется при чтении. Главное отличие между RAID 3 и 4
состоит в том, что в последнем, расслоение данн
ых выполняется на уровне секторов, а не на уровне битов или байтов
RAID 5
Independent Data disks with distributed parity blocks
Этот уровень похож на RAID 4
, но в отличие от предыдущего четность распределяется циклически по всем дискам массива. Это измен
ение позволяет увеличить производительность записи небольших объемов данных в многозадачных системах
Кластеризация
Failover Clusters
(Enterprise Datacenter)
Особенности
:
·
32 бита –
8 нод, 64 бита –
16 нод
·
Поддерживаются
GPT
диски (размер более 2 Тб)
·
Больше не требуется Netios и WINS
·
Требуется совместимое с кластеризацией железо
·
Нельзя смешивать контроллеры домена и рядовые серверы в качестве узлов кластера
·
Учетные записи всех серверов должны располагаться в одном OU
·
Все
узлы должны быть одной архитектуры (x86 x64)
·
Все узлы должны быть под управлением 2008
(
Enterprise
ил
и Datacenter
)
Восстановление (2 возможных сценария)
1.
non
-
authoritative
–
восстанавливается отказавшая нода
2.
authoritative
–
восстанавливается состояние кла
стера на определенный момент времени
NLB
Особенности:
·
Для внедрения NL не нужно специальное железо.
·
Поддерживает до 32 хостов
·
Все хосты должны быть в одной подсети
Новые возможности Active Directory
Read
-
only domain controller (RO
DC)
–
контроллер доме
на
только
для
чтения
.
·
На ROD хранятся копии всех объектов AD (
кроме паролей
)
. ·
На ROD нельзя произвести какие
-
либо изменения базы данных AD.
·
Репликация происходит только однонаправленно.
·
DNS
на RODC
тоже только для чтения.
·
На ROD хранится только необход
имое число скэшированных аккаунтов и всегда можно узнать какие именно аккаунты были скэшированы.
·
RODC
не реплицируется с другими RODC
·
Может работать в смешанном режиме 2003
если перед этим была проведена подготовка adperp
/
rodcprep
Выбор возможности быть ROD производится в процессе dcpromo
Можно заранее создать запись для ROD в AD, и указать учетные данные пользователя который завершит инсталляцию с помощью dcpromo /UseExistingAccount:Attach
Active
Directory
Lightweight
Directory
Service
(
AD
LDS
)
–
рас
ширяет
возможности
приложений
по
хранению
данных
в
AD
.
Фактически, LDS используется когда есть приложение, которому надо обращаться к AD, но не нужен доступ ко всей схеме в пределах домена или леса. Новые возможности:
·
Аудит
создания –
изменения –
удаления
объектов схемы, сохраняется новое и предыдущее значения.
·
Поддержка в режиме ore.
·
Управление репликацией LDS с помощью AD Sites & Services.
·
Database
mounting
tool
–
возможность сравнения данных содержащихся в актуальной базе данных и ее резервной копии.
Установка и конфигурирование:
·
Добавляем
роль
Active Directory Lightweight Directory Services
·
Administrative Tools -
>
Active Directory Lightweight Directory Services Setup Wizard
o
Unique Instance o
Имя инстанции
o
Порты прослушиваемые LDS
(по умолчанию 389
636)
o
Application Directory Partition
-
>
Имя
партиции
o
Расположение файлов LDS
o
Service Account –
по умолчанию
Network Service
o
Указать административный аккаунт для AD LDS
o
Указать
LDIF
-
файл (для использования AD
Sites
& Services
)
Инструменты для работы с LDS
·
ADSI
Edit
(соединится с сервером LDS
, указать порт)
·
AD
Sites
& Services
(
управление репликацией между сайтами содержащими LDS
)
.
o
В
процессе
конфигурирования
LDS
-
инстанции
должен
быть
импортирован
файл MS
-
ADLDS
-
DisplaySpecifiers
.
ldf
для использования ADS
&
S
o
указа
ть сервер LDS, указать порт
(
LDSServer
.
office
.
local
:389)
Active Directory Rights Management Service (AD
RMS)
–
средство назначения
прав
на
документ
.
·
До установки требуется установить
IIS и MessageQu
euing
·
·
В процессе конфиг
урирования установки надо будет указать сертификат (если будет использоваться SSL, а не HTTP)
·
Теперь может использовать самоподписанные сертификаты (предыдущие версии получали от Микрософт)
–
т.е. требуется A
·
Возможность делегирования встроенных RMS
-
ролей
для администрирования:
o
AD RMS Service Group
o
AD RMS Enterprise Administrators
o
AD RMS Template Administrators
o
AD RMS Auditors
·
Интеграция с AD FS
Active
Directory
Federation
Services
(
AD
FS
)
только
Enterprise и Datacenter
–
средство
«
объединенной
» аутентифи
кации
.
Не может соединятся с Windows 2003 AD
(с R
2 может).
Инфрастуктура открытого ключа
Новые возможности PKI
·
Оснастка PKIView –
позволяет мониторить A
·
Обновленный элемент управления Web Enrollment
·
Новые возможност и настройки сертификатов с помощью гр
упповой политики
Public
и Private
key
хранятся в профиле пользователя:
Public
-
Documents and Settings
\
%UserName%
\
System Certificates
\
My
\
Certificates
Private
-
Documents and Settings
\
%UserName%
\
Crypto
\
RSA При удалении профи
ля пользователя ключи будут утеряны.
Выпуск
сертификата стандарта X.509
:
При установке A следует указывать distinguished
name (различающееся имя)
.
CN=Litware
,DC=Fabrikam,DC=COM
String
Attribute type
DC
domainComponent
CN
commonName
OU
organizationalUnitName
O
organizationName
Типы
используемых
сертификатов
:
·
User
certificate
–
наиболее часто используемый тип сертификатов. Обычно выпускаются автоматически, без вмешательства пользователя.
·
Machine
cert
ificate
–
основное применение это взаимная аутентификация сервер
-
сервер или клиент
-
сервер.
·
Application certificate
Для смарткарт используется только протокол аутентификации EAP
Типы СА
·
Enterprise
Для работы требуется AD. Использует Kerberos или NTLM для
предварительной аутентификации пользователей перед выдачей сертификата.
·
Standart
·
Root
·
Subordinate
Способы запроса сертификата
·
Autoenrollment
Доступен только пользователям XP 2003 2008. Может быть сконфигурирован с помощью групповой политики.
·
Оснастка Се
ртификаты
·
Web браузер
http://servername/certsrv
Резервное копирование
Микрософт рекомендует делать backup состояния системы, при этом резервируется и хранилище сертификатов. Второй вариант –
сделать backup A из оснастки управления –
certsrv.mgr
Роли для администрирования
·
CA Administrator
·
Certificate Manager
·
Backup Operator
·
Auditor
·
Enrollee
Public
-
Key Cryptography Standards (PKCS) ·
PKCS #1 –
описывает синтаксис public (сертификаты) и private keys
·
PKCS #5 –
мето
д шифрования с использованием строки секретного ключа
·
PKCS #8 –
Private
-
key Information Syntax Standard and describes a method of communication for private
-
key information that includes the use of public
-
key algorithm and additional
·
PKCS #9 –
Selected Att
ribute Types and defines the types of attributes for use in extended certificates (PKCS #6), digitally signed messages (PKCS #7), and pr
ivate
-
key information (PKCS #8)
AD
Резервное копирование и восстановление
В Windows
2008 используется новая технологи
я backup
-
а
, не совместимая с предыдущей NTackup
. Backup
2008 работает с vhd
-
файлами, не может делать копии на ленту, но может на DVD, диски, и сетевые ресурсы.
·
Windows Backup –
это features
·
С его помощью нельзя сделать резервную копию определенных файлов
и папок, только дисков
·
Расписания backup
-
а не могут делать резервные копии на сетевые диски и папки
·
Утилита управления резервным копированием из командной строки –
wbadmin
·
Данные состояния системы можно резервировать только с помощью wbadmin
WBADMIN START
SYSTEMSTATEBACKUP -
backupTarget:e:
·
Данные состояния системы можно резервировать только на локальные диски и только потом переносить куда
-
либо
·
На DVD
и флешки можно делать резервные копии только с помощью wbadmin
·
С DVD или флешек восстановить можно только целиком том, нельзя восстановить отдельные файлы и папки
·
Если нам нужно открыть старые архивы KF, то грузим с сайта Микрософт n
tbackup для 2008
Восстановление системы
на рядовом сервере
1.
wbadmin get versions
–
список резерв
ных копий сделанных на этом сервере
2.
выделить в командной строке нужную версию и скопировать в буфер
-
01/13/2008
-
05:55
3.
wbadmin Start SystemStateRecovery -
version:
01/13/2008
-
05:55
Восстановление отдельных файлов и папок
1.
Указать дату на которую требуется в
осстановление
2.
Выбрать тип восстановления:
a.
Files and folders
b.
Applications
c.
Volumes
3.
Выбрать Files and folders, указать требуемые элементы
4.
Указать место куда надо восстанавливать файлы и папки
Восстановление контроллера домена
·
F8 –
Directory Services Restore Mode
·
Если предварительно надо было сменить пароль режима восстановления, то:
o
ntdsutil
o
ser dsrm password
o
reset password on server NULL
o
password
o
quit
·
Authoritative
Restore
–
используется когда объект удален и изменения реплицированы на остальные D
o
г
рузимся в DSRM
o
wbadmin get versions
o
выбираем версию резервной копии, которая сделана до удаления объекта
o
wbadmin start SystemStateRecovery –
version:
имя
версии
o
НЕ перезагружаем компьютер
o
ntdsutil
o
activate instance ntds
o
authoritative restore
o
restore subtree CN = restore subtree cn=users,dc=office,dc=local –
контейнер Users
restore subtree dc=office,dc=local –
весь
домен
o
quit
o
ПЕРЕЗАГРУЖАЕМ
Резервное копирование и восстановление GPO
С помощью GPM (собственно ничего не изменилось по сравнению с 2003).
Е
динственное важное отличие –
в 2008 появилось понятие Starter GPO. не резервируется таким образом, надо выделить папку и отдельно выбрать команду О
бслуживание AD
В 2008 появилась возможность останавливать AD Domain Se
rvices без перезагрузки компьютера и остановки других сервисов.
Остановка AD Directory Services также останавливает:
·
File Replication Services
·
Kerberos Key Distribution Center
·
Intersite messaging
·
DNS
·
DFS Replication
Перезагрузка AD DS также перезагружает
все указанные сервисы.
Дефрагментация базы данных AD (
ntds
.
dit
–
c
:
\
windows
\
NTDS
)
·
Stop AD DS
·
Run –
ntdsutil
·
Activate instance ntds
·
Files
·
Info
·
Compact to c:
\
windows
\
ntds
\
defragged
·
Quit
·
Удалить
ntds.dit из
c:
\
windows
\
ntds
·
Удалить
edb.log из
c:
\
windows
\
ntds
·
Переместить
ntds.dit из
c:
\
windows
\
defragged в
c:
\
windows
\
ntds
·
Restart AD DS
Расчет размера под файлы AD
·
Ntds
.
dit
+20% или 500 Мб свободного пространства
·
Лог
-
файлы +20% или 500 Мб свободного пространства
Диагностика AD
Replmon
–
устанавливается из Supp
ortTools с DVD Server 2008
(не нашел никаких SupportTools
на диске 2008, скачал с сайта Микрософт exe
-
шник, установил, заработало).
·
Просмотр статуса репликации и топологии репликации
·
Запуск репликации
Update Status
Перепроверка статуса репликации на да
нном сервере
ﱩ說
Вызов K для перерасчета топологии репликации
沈若說若
Запуск немедленной репликации всех разделов каталога с каждым партнером репликации
ﵡ葉ﱬ葉
ﵡ
Список всех D
ﱩ說︠ﱯ
Графическое представление топологии р
епликации
Show Group Policy Object Status
Список всех политик домена с номерами версий
Show Global Catalog Servers in Enterprise
Список всех серверо
в G
Show Bridgehead Servers
Все bridgehead серверы в двух вариантах –
этого сайта и всего предприятия
Show Trust Relationships
Все трасты в домене
Show Attribute Meta
-
Data for AD Object
Данные аттрибута указанного объекта AD
RepAdmin
–
утилита команд
ной строки. Устанавливается также с SupportTools
·
Просмотр и изменение топологии репликации
·
Запуск репликации
System Resource Manager
(WSRM)
–
features устанавливаемая при необходимости.
Позволяет задавать политики распределения загрузки процессора, когда нагрузка становится более 70%
·
Equal
per
process
–
распределение процессорного времени равномерно между процессами.
·
Equal
per
user
–
распределение процессорного времени равномерно среди пользователей. Полезно для сервера приложений.
·
Equal
per
session
–
расп
ределение равномерно между сессиями. Полезно для терминальных серверов.
·
Equal
per
IIS
application
pool
session
–
равномерно среди веб приложений IIS, остальным по остаточном принципу.
Также можно создавать свои политики и назначать правила смены политик.
Reliability and Performance monitor
-
perfmon
(монитор производительности и надежности)
Причины создания нескольких доменов
·
Группы пользователей имеют сильноразличающиеся требования по безопасной аутентификации и контрол
ю доступа.
·
Группы пользователей должны быть административно разделены по соображениям безопасности.
·
Требуется обязательное децентрализованное администрирование.
·
Требуются различающиеся адресные пространства.
·
Разделение огромного географически распределенно
го домена на более управляемые участки.
·
Наследование от существующей структуры NT.
Репликация разделов каталога
·
Сервера глобального каталога размещаются:
o
Во всех сайтах содержащих приложения использующие G для аутентификации
o
Во всех сайтах соединенных низкоскоростными линиями связи
·
G реплицируется через порт 3268
·
Правильно иметь GC
в сайте с 50 или более клиентами
·
Информация о членстве в универсальных группах хранится только на серверах глобального каталога, рекомендуется ре
дко изменять членство в универальных группах, для уменьшения траффика репликации G
·
Универсальные группы могут содержать членов из разных доменов
·
Для редактирования схемы AD -
regsvr32 schmmgmt.dll
, после этого добавить оснастку Schema
Кэширование членств
а в универсальных группах
–
DC
при первом входе пользователя опрашив
ает G на тему его членства в универсальных группах, кэширует информацию, а затем каждые 8 часов обновляет. Это позволяет сократить время обращения если G находится на медленной линии от DC. Включается на уровне сайта, в его NTDS settings.
Также там можно указать –
с какого именно G обновлять информацию.
Виды репликации и их особенности
·
Intrasite replication
–
каждые 15 минут , K автоматически создает кольцевую топологию
·
Intersite
rep
lication
–
по расписанию, по умолчанию каждые 180 минут
·
SMTP
можно использовать только при репликации контроллеров из разных доменов
, требуется A для подписи сообщений.
Мост связей сайтов
создает цепочку связей сайтов, через которую контроллеры доменов с
разных сайтов в связях сайтов могут напрямую поддерживать связь.
Запуск репликации:
Диагностика проблем репликации
Event Viewer
-
ом
Включение записи событий в EventViewer
В
HKEY
_
LOCAL
_
MACHINE
\
SYSTEM
\
CurrentControlSet
\
Services
\
NTDS
\
Diagnostics
выбрать требуемый параметр AD и указать ему требуемый уровень логирования. Уровень может быть от 0 (только критические события) до 5 (максимально полный).
Функциональные уровни лесов и доменов
Уровни леса:
Наименование
Контроллеры
Примечание
2000
2000,2003,2008
Поддерживает смешанное окружение при обновлении. Минимум безопасности при максимуме совместимости
Поддерживает обновление с 2003 на 2008
Улучшенная репликация членства в группах
Новые алгоритмы K
Новые аттрибуты в G
ウ
Переименование доменов
Уменьшение ntds.dit
RODC
2008
2008
Не добавляет функциональности, но любой домен добавленный в такой лес будет создаваться уже как домен уровня 2008
Уровни домена:
Наименование
Контроллеры
Возможности
Примеча
ние
2000
2000
Универсальные группы
безопасности
Поддерживает обновление с 2000 на Вложенность групп
Преобразование групп из распостранения в безопасность
拾
Переименование D
Logon timeshtamp репликация
П
ароль для InetOrgPerson
Перенаправление контейнеров User ﵰ
Универсальные группы
безопасности
Поддерживает обновление с 2003 на 2008. Включены все возможности 2003
Вложенность групп
Преобразование групп из распостранения
в безопасность
拾
Переименование D
Logon timeshtamp репликация
Пароль для InetOrgPerson
Перенаправление контейнеров User ﵰ
Отказоустойчивая репликация SYSVOL
Включены все возможности 2008
ﭥ
–
Множественные политики паролей для пользователей и групп
Роли FSMO
Лес
Только на нем вносятся изменения в схему леса
ﵡ葉葉
Хранит и изменяет список доменов леса
Домен
葉
Хранит ссылки с объектов домена на другие домены
Выпускает наборы уникальных идентификаторов которые становятся частью SID
ﱡ
Представляется PD для всех старых ОС, также только на нем вносятся все изменения паролей и создаются trust rela
說ﹳ殺
Правильное расположение ролей на контроллерах
·
RID
и PDC
Emulator
–
на одном контроллере
·
Infrastructure
Master
–
не работает на G, если домен только один –
на любом контроллере (так как IM не используется)
·
Infrastructure
Master
должен иметь у
стойчивую связь с G
·
Schema
Master
+ Domain
Naming
Master
–
лучше располагать на одном и лучше если он будет G
Перенос ролей FSMO
Роль
Transfer
Seize
Schema Master
AD Schema
ntdsutil
*)
ntdsutil
Domain Naming Master
Domains
and Trusts
ntdsutil
ntdsutil
Infrastucture Master
Users and Computers
ntdsutil
ntdsutil
RID Master
Users and Computers
ntdsutil
ntdsutil
PDC Emulator
Users and Computers
ntdsutil
ntdsutil
*)
ntdsutil
roles
connections
connect to server DC2008
q
seize
PDC
Доверительные отношения между доменами
Характеристики доверительных отношений:
·
Метод создания
–
автоматический или ручной.
·
Прозрачность
(transitivity) –
пример transitive
trust
–
Домен А доверяет домену Б –
домен Б доверяет домену С, в результате домены А и С доверяют друг другу. Non
-
transitive
–
домены А и С не доверяют друг другу.
·
Направление
–
односторонние (домен А доверяет домену Б) и двухсторонние (домен А доверяет домену Б и домен Б доверяет домену А).
Виды
доверительных отношений:
·
Tree
-
root
trust
–
доверительные отношения установленные между корневыми доменами разных деревьев одного леса. Transitive
, two
-
way
.
·
Parent
-
child
trust
–
доверительные отношения между доменом и поддоменом. Автоматически создаются пр
и создании домена нижнего уровня, таким образом все объекты в доменах одного дерева автоматически доступны для всех доменов этого дерева. Transitive, two
-
way
.
·
Shortcut
trust
–
создаются вручную и связывают два любых домена в лесу. Transitive, two
-
way
или o
ne
-
way
.
·
External
trust
–
создаются вручную между доменами разных лесов или доменами 2003
Server
и доменами NT4.
Nontransitive
, two
-
way
или one
-
way
.
При добавлении одной компании к другой создаются временно, чтобы не делать серьезных изменений, но дать возмо
жность авторизации.
·
Forest
trust
–
создаются вручную между корневыми доменами разных лесов. Transitive только
между
двумя
деревьями
, two
-
way
или
one
-
way
.
П
озволяет уме
ньшить число external trust.
Т.е. нельзя соединить несколько лесов подряд, авторизация бу
дет работать только в пределах связи двух соседних.
Добавили одну компанию к другой, но хотим сохранить оба не связанных леса.
·
Realm
trusts
–
отношения
создающиеся
между
Windows
и
не
-
Windows
доменами
.
Nontransitive
, transitive
,
two
-
way
или
one
-
way
.
·
Implic
it
(подразумевающиеся) –
создаются автоматически между доменами в пределах дерева и между root
-
доменами деревьев в пределах леса.
·
Explicit
(явные)
–
создаются вручную.
Создание отношений –
New Trust
Wizard
или netdom
.
Фильтрация SID
Фильтрация SID защищ
ает исходящие доверительные отношения. Она призвана воспрепятствовать раздаче администраторами доверенных доменов неправомерных полномочий в пределах доверяющих доменов. Фильтр SID следит за тем, чтобы в доверяющем домене аутентифицировались только те поль
зователи доверенного домена, чьи SID содержат SID этого домена
. Если деактивировать фильтрацию SID, то внешний пользователь, обладающий правами администратора в доверенном домене, сможет прослушать сетевой трафик доверяющего домена, определить SID админист
ратора, а затем присоединить этот SID к своей истории SID и заполучить права администратора в доверяющем домене.
Потенциальной проблемой является то, что если пользователь содержит SID еще какого
-
то домена (кроме домена А), то ему будет запрещен доступ к ресурсам домена В.
Контроллеры домена только для чтения
(
RODC
)
Использование ROD:
·
Уровень леса должен быть не ниже 2003
·
Если в домене только контроллеры 2003, то
надо выполнить adprep
с диска 2008
:
o
Лес
: adprep /forestprep на
Schema Master
o
Домен: adprep /domainprep /gpprep
o
Лес: adprep /rodcprep
Цели развертывания ROD
:
1.
На ROD по умолчанию хэшированные пароли не хранятся в DIT. Когда пользователь авторизуется в первый раз, ROD передает запрос на авторизацию «настоящему» конт
роллеру и только тогда получает хэшированный пароль пользователя.
2.
Политика репликации паролей на ROD настраивается, т.е. можно указать объекты пароли которых можно кэшировать, и объекты пароли которых хэшировать никогда нельзя.
3.
Центр распостранения ключей
Kerberos имеет собственный пароль учетной записи krbTGT и собственные ключи.
4.
На полном D ROD не указываются как доверенные (фактически это просто серверы входящие в домен).
5.
RODC
не включаются в общую топологию репликации.
Схема домена с сайтами
(иллюс
трация ко всему разделу)
IIS
7
В режиме ore не доступны следующие возможности:
·
.
NET
·
ASP
.
NET
·
Консоль и сервис управления
Управление IIS
В режиме Server
Core
нельзя управлять графическими инструментами (даже с удаленной м
ашины). Можно:
·
WinRS
–
remote:WebServer …
\
AppCmd.exe команда
·
WMI
·
om и .Net интерфейсы программирования
Appcmd
–
программа для управления IIS из командной строки.
В режиме графического интерфейса:
Безопасность Web
-
сайта и приложений
Встроенные объекты безопасности:
·
IIS_IUSRS group –
группа безопасности, используется для регистрации пула приложений в IIS
·
IUSR
account
–
имеет одинаковые SID (и сложный случайный пароль) на всех серверах где установлен IIS Transport Security
·
VPN
·
IPSec
·
SSL
/
TSL
с использова
нием цифровых сертификатов
o
Клиент запрашивает безопасное соединение
o
Сервер отправляет свой public key
o
Клиент проверяет что это за publlic key
Если клиент доверяет серверному public
key
, то:
Отправляет серверу свой public key
Сервер генерирует пароль, шифру
ет его public key клиента + private key сервера и отправляет клиенту
Начинается обмен информацией зашифрованной сгенерированным паролем
IIS
7 может сам генерить self
-
signed
сертификаты прямо из графического интерфейса.
Организация безопасной связи с конкр
етным сайтом:
1.
Нужный сайт –
Edit Bindings
2.
Add
Authentication security
·
Anonymous
–
включена по умолчанию.
·
Basic –
требует имени пользователя и пароля. Подходит для всех платформ, но для защиты логина/пароля требуется SSL
·
Digest
–
вместо пароля передае
тся хэш MD5. М
инус –
пароли хранятся с использованием обратимого шифрования. Advansed
Digest
не требует обратимого шифрования, но требует IE
5 и выше.
·
Windows
–
для интранета, браузер передает данные текущего пользователя Windows
.
·
Client
Certificates
–
поль
зователь представляет сертификат связанный с его аккаунтом.
Маппинг сертификатов клиентов может быть:
1.
AD lient ertificate Mapping (включается графическим интерфейсом, если включен остальные способы недоступны)
2.
One
-
to
-
One
(правкой текстового файла)
3.
Many
-
t
o
-
One
(правкой текстового файла)
Authorization security
·
URL
authorization
–
запрещение/
разрешение на доступ к определенным папкам (путям) сайта на основании имени пользователя или членства в группе.
·
IP
authorization
-
запрещение/
разрешение на доступ к о
пределенным папкам (путям) сайта на основании
IP
-
адреса, сети или доменного имени.
·
Request
Filtering
–
фильтр запросов на основании расширения файла, ограничения количества запросов, HTTP
-
методов и так далее. Нет графического интерфейса для конфигурировани
я.
Уровни доверия ASP.Net приложений
Full
Устанавливает неограниченные разрешения. Предоставляет приложению ASP.NET разрешения на доступ к любому ресурсу, управляемому механизмами безопасности операционной системы. Поддерживаются все привилегированные оп
ерации.
High
Не может:
Вызов неуправляемого кода.
Вызов компонентов служб.
Запись в журнал событий.
Обращение к очередям службы очередей сообщений Майкрософт.
Доступ к источникам данных OD, OleDb или Oracle.
Medium
Не может:
Обращение к файлам, распола
гающимся вне каталога приложения.
Доступ к реестру.
Выполнение сетевых вызовов и вызовов веб
-
службы
Low
Не может:
Запись в файловую систему.
Вызов метода Assert.
Minimal
Устанавливает минимальный уровень управления доступом для кода, при котором приложен
ию назначаются только разрешения на выполнение.
По умолчанию используется значение Full
(без ограничений).
Конфигурационные файлы IIS
Логирование IIS
По
умолчанию
–
%SystemDrive%
\
inetpub
\
logs
\
LogFiles
Масштабирование и производительность IIS
·
Output
caching
–
наиболее часто статический контент (картинки, клиентские скрипты) сохраняются в памяти, уменьшая число обращений к диску. Кэширование устанавливается в настройках Web
-
сервера созданием политики кэширования базирующе
йся на расширениях имен файлов.
·
Compression
–
включается на уровне сервера и на уровне сайта
Уровень сервера
Уровень сайта
NLB
–
имеется возможность хранить конфигурационные файлы (administration.config и applicat
ionHost.config) файлы в общем сетевом хранилище.
Резервное копирование и восстановление IIS
Делается только из командной строки:
Appmd.exe Add ackup <Описание>
AppCmd.exe Restore
Backup <
Описание
>
AppCmd.exe List Backup
AppCmd.exe Delete
Backup <
Описан
ие
>
По умолчанию резервная копия делается в windows
\
system32
\
inetsrv
\
Backup
\
папка
-
<Описание>
(см. рисунок):
appcmd add backup MyIIS
FTP
Активный и пассивный режим FTP
Безопасность FTP
1.
Транспортного
уровня
-
SSL
a.
Клиент запрашивает безопасную сессию
b.
Сервер посылает клиенту открытый ключ
c.
Клиент просматривает ключ чтобы убедится, что это подлинный сервер
d.
Клиент посылает свой открытый ключ
e.
Сервер генерирует пароль и шифрует его своим закрытым и клиентски
м открытыми ключами
f.
Клиент расшифровывает пароль
Политика SSL (Разрешить –
Требовать –
Запретить) устанавливается раздельно для ontrol hannel и Data hannel
2.
Аутентификация
a.
Анонимная
b.
Базовая
–
пароль открытым текстом, рекомендуется использовать SSL (см. 1
)
3.
Авторизация
a.
URL
авторизация
–
указываем пользователей и их разрешения –
Read Write
b.
IP
авторизация
–
разрешение/запрет доступа на основании IP
или домена клиента
Изоляция пользователей
(можно установить только при создании нового FTP
-
сайта):
SMTP
SMT
P
-
сервер –
это отдельная features, не входящая в число опции IIS
Вопросы и ответы по IIS
1.
На сервере выполняется несколько приложений, надо чтобы они выполнялись с разными учетными данными –
устанавливается на уровне Application Pool
2.
URL
-
авторизация устан
авливается в web
.
config
файле сайта
Termial
Services
Компоненты терминального сервера
и элементы управления
:
·
Terminal Server
o
TS
Manager
–
мониторинг пользователей
,
сессий и процессов на сервере
o
TS
Configuration
–
свойства R
DP
-
соединения
+ конфигурирование ферм и управление Session Broker
o
TS
RemoteApp
Manager
–
управление доступом к определенным приложениям
·
Terminal Services Licensing –
управление CAL
·
Terminal
Services
Web
Access
–
Web
-
доступ
к
рабочему
столу
(
или
приложениям
) предварительно сконфигурированных с помощью RemoteApp
Manager
·
Terminal
Servi
c
es
Gateway
–
предоставляет возможность соединения с терминальными серверами компании извне, без установки VPN
-
канала, RDP
-
траффик упаковывается в HTTPS
(возможные ресурсы к кото
рым может быть предоставлен доступ: терминальные сервера, RemoteApp
, компьютеры с включенным RDP
)
·
Terminal
Services
Session
Broker
–
балансировка нагрузки на ферму терминальных серверов.
Возможные области действия сервера лицензирования терминалов:
·
Forest
–
рекомендуемая Микрософт практика
(для установки требуются права Enterprise Admin)
. Для того чтобы сервер выпускал пользовательские AL для другого домена он должен быть добавлен в Terminal
Server
License
Servers
группу «
другого» домена.
·
Domain
–
по умолчанию
·
Workgroup
–
эта опция активна, только если сервер лицензирования ставится на компьютер не член домена
Если сервер лицензирования на включен в домен, то на пользователя лицензии не выдаются.
Порядок поиска сервера ли
цензирования:
·
Явно заданный сервер (настройкой на терминале или групповой политикой)
·
Расположенный на том же компьютере, что и терминальный сервер
·
Опубликованный в AD
·
Расположенный на каком
-
либо из котроллеров того же домена Публикация сервера лицензиров
ания терминалов
(
Enterprise
Admins
+ Local
Admins
)
:
1.
Terminal Server Licenzing Manager -
> Review Configuration -
> Publish
2.
ADSI
Edit
-
> Connect
to
-
> Configuration
,
в разделе сайты создать новый объект
.
В AD Sites & Services связать этот объект с именем треб
уемого компьютера.
Резервное копирование сервера лицензирования терминалов:
1.
System State
2.
windows
\
system32
\
lserver
Распределение ресурсов с помощью Windows
System
Resource
Manager
WSRM
–
дополнительно устанавливаемая feature, которая позволяет распредел
ять ресурсы на основании политик, привязок ко времени и динамически на основании загрузки сервера.
Специальные политики для терминального сервера позволяют распределять ресурсы на пользователя и на сессию
.
Terminal Services Gateway
Задача TS Gateway –
ор
ганизация доступа к корпоративным приложениям без VPN.
Для достижения этой цели RDP
инкапсулируется в HTTPS
, TS
gateway
извлекает RDP
траффик и перенаправляет его на требуемые сервера.
Последовательность разворачивания TS Gateway
1.
Установить SSL
сертификат
(
внешний или выпущенный AD
)
2.
Связать сертификат с TS Gateway
3.
Включить TS Gateway в состав домена
4.
Создать
Connection Authorization Policy (CAP)
(политика авторизации подключения)
Политики авторизации TS AP определяют, кто может подключиться к шлюзу служб т
ерминалов и указывают, при каких условиях пользователи могут подключаться.
Группа пользователей такая
-
то с помощью метода авторизации смарт
-
карты, им будут доступны следующие возможности –
перенаправление дисков и т.д.
5.
Создать
Resource Authorization Policy (
RAP
)
(политика авторизации служб)
TS RAP определяют к каким внутренним ресурсам пользователи могут получить доступ через шлюз служб терминалов.
Если пользователь принадлежит к группе то разрешить коннект с указанными компьют
ерами через указанный диапазон портов.
Параметры групповой политики для терминальных серверов
Компьютер
Пользователь
Remote App
Доступны через:
1.
Web
-
link
(Web
-
access
)
–
http://
имя
–
терминального
-
сервера
/
ts
Требуется
RDP 6.1
(2008, Vista SP1, XP SP3)
2.
Предварительно созданный RDP
-
файл
Свойства RDP
-
соединения
Разрешения для терминального доступа:
Full control
Users access
Guest access
Query Information
Запрос информации о терминальном сервере и сессиях
Разрешение конфигурировать свойства соединения
ﵯ
Просмотр и управление другими сессиями
ﱯ
Подключение к сессии
ﱯ
Отключение от сессии
Посылка сообщения пользовательской сессии
Подключение к сессии другого пользователя
拾
Отключение сессии другого пользователя
沈ﰠ
Назначение разрешений на перенаправление ресурсов и доступ к устройствам клиен
тского компьютера
Особенности развертывания приложений 1.
Перевод сервера терминала в режим инсталляции chgusr /install
2.
Перевод сервера терминала в режим выполнения chgusr /execute
3.
Есть два сервера TS1 TS2, на TS1 Web
-
access, но на нем не видны приложения
TS2. Опубликовать приложения с обоих серверов в AD, как репозиторий. Опубликовать приложения с помощью GPO для всех пользователей которые используют Web access
.
4.
При перемещении приложений на другой сервер RDP
-
файл надо пересоздать.
5.
При использовании Sessi
on
Broker
надо создавать GPO
которое назначает терминальным серверам компьютер на котором расположен Session
Broker
как их Session
Broker
компьютер.
I
P
v6
Сравнение IPv4 и IPv6
IPv4
IPv6
Длина адреса
32 бита
128 бит
Стиль записи
4 октета по 3 цифры
,
разделитель -
.
8 октетов по 4 цифры, разделитель -
:
Сокращение
.000. = 0
.0000. = ::
Т
и
пы адресов
public, private, multicast
global, local unicast, anycast
IPsec
Опционально
Требуется
Фрагментация
Хосты и роутеры
Хосты
Диагностика
ICMP
ICMPv6
Rout
er discovery
Опционально
Требуется
Конфигурирование
DHCP, manual
DHCP, manual, automatic
DNS записи
A
AAAA
PTR
PTR –
in
-
addr.arpa
PTR –
ip6.arpa
Типы адресов IPv6
·
Local
-
link
–
адреса доступные только в локальной сети
FE80::/64
·
Unique
local
IPv
6 unica
st
–
роутинг в пределах сети, но не в интернет
·
Global
unicast
–
роутинг в интернет IPv6
2000::/3
·
Multicast
–
хост коммуницирует с несколькими получателями
·
Anycast
–
адреса назначенные несколькими интерфейсам
(только маршрутизаторы)
·
Special
–
loopback и дру
гие
::1/128 –
loopback
Конфигурирование DHP IPv6
·
Весь DHP траффик использует UDP 67
-
68
·
DHCP
сервер и DHCP
relay
agent
не могут быть развернуты на одном устройстве
·
DHP сервер IPv6 имеет два состояния:
o
Statefull
–
отправляет клиенту адрес и настройк
и конфигурации
o
Stateless –
только настройки конфигурации
Технологи
и аутентификации
WiFi
EAP
-
TLS
Подключающийся объект и сервер обмениваются сертификатами и взаимно проверяют их подлинность
ﱓ
шифрованная сессия создается перед обменом сертфиката
ми
ﵓ
Аутентификация по паролю, используется только в отсутствии сертификатов
縷
–
фактически
, в туннельном режиме (в отличии от транспортного) к пакету пришивается новый IP header
Сетевые технологии 2008 сервера
RRAS
Изменения в 2008 по ср
авнению с 2003
:
·
X.25 не поддерживается
·
IEEE 1394 не поддерживается
·
IPX/SPX не поддерживается
·
OSRF не поддерживается
·
SPAP
, MD
5
-
CHAP
, MS
-
CHAP
не поддерживаются
Протоколы удаленного доступа:
·
PPTP
·
L2TP
·
SSTP
–
инкапсуляция PPP траффика внутри HTTPS
NAP
Созда
нная с помощью мастера политика «рассыпается» на несколько политик:
Connection Request
Условия (Port type –
Методы аутентификации
RADIUS сервер
Разрешить/Запретить
Группа пользователей
Ограничения (время доступа и т.д.)
ﱴﱩ
Используемый health validator
ﱴ
ﱩ
Тип ОС –
拾
Включен ли файрволл
Включен ли антивирус Дата обновления антивируса
Автоматическое обновление Polices
Connection Request
Политика A
Политика N
Network
Политика A
Политика B
Политика N
Health
Политика N
NAP
System Health Validators
Windows Valid
ator
Политика NAP применятся к следующим видам доступа:
·
DHCP
o
DHCP
сервер при выдаче адреса проверяет состояние клиента
o
Если здоров, то выдает полную конфигурацию IP
o
Если не здоров, то выдает только IP, маску и маршруты к серверам испр
авлений в карантинной сети
·
VPN
o
VPN проверяет состояние подключающегося клиента
(по PEAP)
o
Если здоров, то разрешает доступ в сеть
o
Если не здоров, то применяет набор фильтров пакетов, разрешающий доступ только к ограниченной сети с серверами исправлений
·
IPSe
c
o
Клиент не изолируется, просто не получает сертификата состояния. К другим машинам сети заранее применяется политика разрешающая соединение только при наличии серфтиката состояния
·
802.1x
o
Клиент соединяется с коммутатором с поддержкой 802.1х, коммутатор пе
ренаправляет запросы клиента на NAP. o
Если клиент здоров, то коммутатор разрешает соединение
o
Если клиент не здоров, коммутатор закрывает этот порт
Автор
m-yachmen
Документ
Категория
Образование
Просмотров
685
Размер файла
2 773 Кб
Теги
учебные материалы, microsoft
1/--страниц
Пожаловаться на содержимое документа