AD - infrastructure

Obsah Prednášky AD Master Servers AD Sites AD Trusts

FSMO (Flexible Single-Master) role Doménová struktura (pouze jednou) Hlavní server schémat Hlavní server domény Role domény (pro každou doménu) Hlavní server relativních ID Emulátor primárního řadiče domény Hlavní server infrastruktury Mohou být pouze Windows server 2000 a novější Seize a role - ntdsutil

Infrastructure master Master Roles - FSMO First domain controller in the forest root domain Forest-wide roles Schema master Domain naming master PDC emulator RID master Infrastructure master Domain-wide roles

Nutný prístup při zmene schémy Schema Master Jediný DC vo Foreste Nutný prístup při zmene schémy Schema mmc konzola – registrcia: regsvr32 schmmgmt.dll http://technet.microsoft.com/en-us/library/bb727064.aspx

Domain naming Master Server nutný pre pridanie novej domény

PDC Emulator Kontaktuje MS Time server Ako prvý obsahuje info o zmene hesla užívateľov Emuluje Primary Domain C pre NT systemy

RID master Relative identifier Master Prideľuje ostatným DC v doméne určitý pool ID čísel, ktoré můžu vydať při vytvorené nového objektu. Ked sa čísla pre DC minú tak DC musí kontaktovať RID

Infrastructure Master Server, ktorý kontroluje zmenu objektov v iných doménach. Nemal by byť na DC kde je Global Catalog, ak GC nie je na všetkých DC servroch v doméne. Pretože by nezistil zmenu. Ak jedna doména je celý forest, tak nehraje roli

Likvidácia Mastra Seize role cez ntdsutil Nutnosť dodržať podmeinky prípadného obnovenia Niektoré – Schema, Naming, RID, nutné kompletne reinštalovať servre. Ak b sa zapojili do AD bez reinštalácia, tak vznika nestabilita AD

Právo na seize

Postup seize Cez ntdsutil sa pripojíme na server, ktorý ma získat danú rolu a z neho sa pôvodná rola seize

AD Sites Sites predstavujú fyzickú štruktúru Servre, ktoré sú spojené rýchlou linkou, tak v jednej site. Inter a intra site replication

Intra Site Replication Protokol RPC vo svojej špec funkčnosti. Replikacia každych 3 sekundy medzi dvoma servrami. Topologia, je „ring“ alebo „mash“. Ring – kruh, max tri skoky, ak potrebujem viac tak automaticky mash Topologiu zaistuje KCC – Knowledge consitency checker

Intra site replication – mash topology KCC A8 KCC Automatic Generation of Replication Topology

Default First Site – prvá site v ktorej sú všetky servre Server / NTDS – napr nastavenie GC

Subnets Vzhľadom na to, že v rámci site sú servre rýchlo spojené, tak majú často a IP zo stejnej siete. Vytvárame IP podsiete, teda rozsahy, kt. Sú pripradené sitam. Potom napr.: ak užívateľ hľada tiskárnu tak nájde najbližsiu na základe ip site, alebo update neprebieha z inej ale zo tejnej site

Sites and subnets B1 IP Subnet A1 Active Directory Sites and Services Console Window Help Active View Tree Sites Default-First-Site-Name Servers Inter-Site Transports Subnets Site Inter-Site Transport Container Subnets Container Name Type Redmond-Site DENVER NTDS Settings B1 A1 IP Subnet

Inter site links Site links, vyjadruju logické spojenia medzi Sitami Stanovujeme ktore site sú spojené a akou rýchlou linkou Default first site link – prvá site link

Site Link IP – je RPC protokol, ktorý ale nie je tak náročný, nie každých 3 s a nevyžaduje okamžitú odpoveď SMTP – starší postup, nutnosť používať certifkačné autority

Site Link Vytvorenie Site Link Určujem ktoré site link sú spojené Nemusia byť len dve

Site Link Cost – náklady - čím pomalšia linka, tým väčší cost Cost vhodné uvádzať v násobku, napr T1 je asi 3 krát pomalšia ako T3 tak T1 cost 30, T3 cost 10, ale dial up cost 300 Cost – MAX 99999 Replicate every – ako často dochádza k replikacii default 3 h, MAX 10080 – tyždeň v min

Site links Site Site Link Cost Site IP Subnet IP Subnet IP Subnet A1 RPC or SMTP A2 IP Subnet IP Subnet Site B1 B2 Site Link IP Subnet B3 Cost IP Subnet Site

Bridge Head Server O riadenie replikacie na každej strane site link sa stara bridge Head Server Je určený automaticky na základe GUID servru Môžem určiť manuálne ale neodporúča sa, pretože ak by vypadol tak iný by sa automaticky neurčil

Protokoly: RPC(IP), SMTP Bridgehead server IP Subnet A1 A2 Bridgehead Server Replication B2 Bridgehead Server B1 Intersite Topology Generator Protokoly: RPC(IP), SMTP

Site Link bridges Vytváraju spojenia medzi Site Linkami. Nie je nutné default vytvárať pretože existuje def nastavenie – Bridge all site links

Site link bridges Site Link Bridge Site Link BC Site Link AB Site B IP Subnet Site B Site A A1 A2 Site Link Bridge B2 Site Link BC Site Link AB B1 B3 C2 C1 Site C

Trusts Trusts predstavujú dôveru medzi doménami. Dôvera znamená že si navzájom autentifikujú napr objekty, alebo vedia ich dohľadať navzájom Niekoľko typov trustov

Trusts Forest 1 Forest 2 Tree/Root Trust Forest Trust Parent/Child Trust Forest (root) Forest (root) Domain D Domain E Domain A Domain B Domain P Domain Q Shortcut Trust Realm Trust External Trust Domain F Domain C Kerberos Realm

Trusts

Delenie Incoming trusts – prichádzajúci trust Moja doména je B a mám incomming trust z A, potom platí, že mojí užívatelia: franta@B.com sa můžu autentifikovať na počítačoch domány A Outgoing trust – znamená že moja doména dôveruje doméne inej a jej užívateľom. Každý Incomin vytvára na druhej strane outgoing trust

Global Catalog Cetrálna DB všetkých objektov v celom foreste Default je na Forest root domain C Obsahuje Read only katalóg ale len základných atribútov objektov Nutná dostupnosť pre zistenie členstva v skupinách Môžem ho mať na všetkých DC servroch – zle zvýšená záťaž siete

Global catalog Global Catalog Read Only

Proces AD Edb.chk Update checkpoint Write Request Commint tranzakcie Zápis do transation buffer Zápis do DB na disku Začiatok tranzakcie Zapis do transaction LOG Ntds.dit na disku EDB.log

NTDS Ntds.dit – databaza AD Edb.log – write ahead buffer Ed.chk – checkpointy Res1/2 = bezpečnostné 10 MB súbory ak dôjde miesto na disku

Backup NTBACKUP je nahradené Windows Server Backupom NTBACKUP bol file based backup, Windows Server Backup je volume based backup – zalohuje cele disky. Nie je možné zálohovať na pásku ale iba na disk, resp USB, Sieťový disk, DVD. Nemôžem zalóhovať na stejný disk, ktorý zálohujem. Vytvára .vhd súbor, je možné pripojiť do Virtual Server 2005 app, ako ďalší ale nie bootovací disk.

Server Backup Default nie je nainštalovaný nutná inštalácia: Nainštaluje sa MMC konzole aj CMD príkazy

MMC Windows Server Backu konzola

Možnosť FULL – zálohuje všetky partície – neumožní na disk ale len na sieť alebo DVD Možnosť Custom – zvolím ktoré partície a na ktorý disk uložiť. Možnosť nastavenia plánovania Backupu

Obnovene AD Start F8 do DSRM módu alebo zmena bcdEditu: Zmena boot do AD restore modu C:\> bcdedit /set safeboot dsrepair Prípadne naspäť: C:\> bcdedit /deletevalue safeboot

Non authoritative restore Zistenei verzii: wbadmin get versions -backuptarget:<targetDrive>: -machine:<BackupComputerName> Obnovenie C:\> wbadmin start systemstaterecovery –version:12/03/2007-18:25 No authoritative – obnový DC, ale ak existuje iný DC v doméne a dáta na nom sú aktuálnejšie, tak poštarte bude náš obnovený DC zase prepísaný

Authoritative restore wbadmin start systemstaterecovery <otheroptions> -authsysvol Authoritative restor, pozor, všetky AD objekty z obnovenej Ad prepíšu dáta na ostatných DC

Novinka Win 2008 – trvá krátko, ukladá na lokal disk Snapshot Backup Novinka Win 2008 – trvá krátko, ukladá na lokal disk ntdsutil: snapshot snapshot: activate instance ntds Active instance set to "ntds". snapshot: create Creating snapshot... Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully. snapshot: quit ntdsutil: quit

Mount Snapshotu Snapshot je možne mountnut na LDAP port napr 10000, táto ad je potom dostupná cez konzoly ako AD users, AD Domains and Trusts, ADSIEdit,.... Možnosť obnoviť konkrétny objekt C:\> dsamain –dbpath c:\$snap_200712032318_volumed$\ntds\dit \ntds.dit -ldapport 10000