Скачать презентацию Správa MS Windows II Vladimír Pečený Osnova Скачать презентацию Správa MS Windows II Vladimír Pečený Osnova

d24bd3cdd693758f7f9e6c57a7ecf2bb.ppt

  • Количество слайдов: 29

Správa MS Windows II Vladimír Pečený Správa MS Windows II Vladimír Pečený

Osnova o o Pracovní skupina vs doména Active Directory n n n o DNS Osnova o o Pracovní skupina vs doména Active Directory n n n o DNS n o Historie Technologie Pojmy V AD? Instalace AD

Pracovní skupina vs. doména o Pracovní skupina n n n o Do 10 počítačů Pracovní skupina vs. doména o Pracovní skupina n n n o Do 10 počítačů n uživatelů x m strojů = počet účtů : -( Toť vše. Doména n Centrální prostor s o o Množinou účtů uživatelů Sadou nastavení aplikovatelná na stroje i uživatele

Když doménu… o o o …tak v Active Directory Poprvé ve Windows 2000 Server Když doménu… o o o …tak v Active Directory Poprvé ve Windows 2000 Server edition Adresářová služba založena na protokolu LDAP Centralizace zdrojů, služeb, uživatelů Možnost hierarchického uspořádání

LDAP o Lightweight Directory Access Protocol n n Protokol pro síťový přístup k adresářové LDAP o Lightweight Directory Access Protocol n n Protokol pro síťový přístup k adresářové službě Adresář o o n n n Množina informací s podobnými atributy organizována do logické, hierarchické jednotky Telefonní seznam Z potřeb telefonních společností vznikla vyčerpávající specifikace X. 500 Její implementace DAP a voilá … …nutná redukce a přidání podpory TCP/IP a máme LDAP.

Struktura LDAP o o Adresář je tvořen záznamy ve stromové struktuře Záznam tvořen množinou Struktura LDAP o o Adresář je tvořen záznamy ve stromové struktuře Záznam tvořen množinou atributů n o Atribut má své jméno, hodnoty Každý záznam má v rámci stromu jedinečné jméno n Distinguished Name (DN, RDN? )

Záznam v LDAP dn: cn=John Doe, dc=example, dc=com cn: John Doe given. Name: John Záznam v LDAP dn: cn=John Doe, dc=example, dc=com cn: John Doe given. Name: John sn: Doe telephone. Number: +1 888 555 6789 telephone. Number: +1 888 555 1234 mail: john@example. com manager: cn=Barbara Doe, dc=example, dc=com object. Class: inet. Org. Person object. Class: organizational. Person object. Class: person object. Class: top

Logická struktura AD o o Kopíruje administrativní požadavky Doména n n n o Strom Logická struktura AD o o Kopíruje administrativní požadavky Doména n n n o Strom n o Známe… Sada účtů, pravidel, nastavení Poddoména, child-parent vztah a vzniká. . Strom ke stromu, máme. . Les

Logická struktura v AD o o Doména? Moc velké … Organizační jednotky n n Logická struktura v AD o o Doména? Moc velké … Organizační jednotky n n n o Vlastní objekty n o Kontejner pro vlastní objekty Nejjemnější aplikace Group Policy Decentralizace správy Množina jedinečných atributů určena ve schematu Samotné atributy n Lze přidávat nové, editovat staré, …

Globální katalog o Použit při prohledávání Lesa n n Množina objektů s podmnožinou atributů Globální katalog o Použit při prohledávání Lesa n n Množina objektů s podmnožinou atributů (vyhledávacích klíčů? ) Read only

Vztah důvěry, Trust o o Umožňují uživatelům z jedné domény přistupovat ke zdrojům v Vztah důvěry, Trust o o Umožňují uživatelům z jedné domény přistupovat ke zdrojům v druhé doméně. Základní hranicí důvěry je Les, nikoliv doména n n S každou vytvořenou doménou se vytváří i vztah two-way transitive důvěry Tedy každá s každou a nelze to zrušit

Typy důvěry o o o Jedno- dvoucestná, tranzitivní Implicitní Shortcut n o External n Typy důvěry o o o Jedno- dvoucestná, tranzitivní Implicitní Shortcut n o External n o Domény z různých lesů, T, 1 - 2 Forest n o Domény z různých stromů, T, 1 - 2 Mezi lesy, T, 1 - 2 Realm n Připojení do non-AD domén, N- T, 1 - 2

Forest 1 Tree/Root Trust Parent/Child Trust Domain A Shortcut Trust Domain F Forest (root) Forest 1 Tree/Root Trust Parent/Child Trust Domain A Shortcut Trust Domain F Forest (root) Domain D Domain E Forest 2 Forest Trust Domain C Domain B Realm Trust Kerberos Realm Domain P Domain Q External Trust

Fyzická struktura AD o Sleduje a optimalizuje síťový provoz n o Kdy a jak Fyzická struktura AD o Sleduje a optimalizuje síťový provoz n o Kdy a jak bude probíhat replikace mezi servery Domain Controllers n n n Počítač s Windows Server 2000/2003 a službou Active Directory Každý z řadičů domény poskytuje úložné a replikační funkce Pouze jedna doména na jednom řadiči Porovnání s Windows NT? Všechny DC jsou si rovny, ale …

Operations Masters o o Multimaster replikace Existují operace, které musí být prováděny výhradně na Operations Masters o o Multimaster replikace Existují operace, které musí být prováděny výhradně na jednom DC, ze kterého se později replikují n n o Single master replication Přidání domény, změna schématu Tyto operace sjednoceny do operations master roles n Stroje jež je provádějí o Operations Masters

Flexible Single Master Operations o Forest-Wide n Schema Master o n Domain Naming Master Flexible Single Master Operations o Forest-Wide n Schema Master o n Domain Naming Master o o Změny schématu Přidání či rušení domény Domain-Wide n PDC emulator o n Kvůli zpětné kompatibilitě s BDC s Windows NT 4. Relative Identifier Master o Každý objekt dostane po vytvoření jedinečné SID n n n Skládá se ze SIDu domény a jedinečného RIDu Každž DC ma svůj pool přidělený RID masterem Pří nedostatkyu žádá nový

Flexible Single Master Operations n Infrastructure Master o n Aktualizuje záznamy při přesunu objektu Flexible Single Master Operations n Infrastructure Master o n Aktualizuje záznamy při přesunu objektu mezi doménami Máme 12 domén v 1 lesu… o Kolik máme Operations Masters?

Fyzická struktura AD o Active Directory Sites n Logická jednotka řadičů s rychlým připojením Fyzická struktura AD o Active Directory Sites n Logická jednotka řadičů s rychlým připojením o o Mezi těmito stroji probíhá komunikace velmi často za účelem replikace údajů Active Directory Partitions n Domain partition o o n Doménové objekty Určeno k replikaci Configuration partition o Záznamy o topologii Lesu

Fyzická struktura AD o Schema partition n o Definice forest-wide schématu Každý les má Fyzická struktura AD o Schema partition n o Definice forest-wide schématu Každý les má pouze jedno schéma kvůli konzistenci Replikováno na každý z DC Application partition n Volitelné Nevztahují se k bezpečnosti, ale aplikacím Lze replikovat na vybrané DC

Schéma o o Definuje všechny druhy objektů v AD Object classes n o User, Schéma o o Definuje všechny druhy objektů v AD Object classes n o User, Printer, computer Attributes n n Jediněčně definovány Skládáním tvoříme objekty

Instalace AD o Minimální požadavky n n n Windows 2003 Server NTFS oddíl s Instalace AD o Minimální požadavky n n n Windows 2003 Server NTFS oddíl s min. 250 MBM Administrátorská práva Protokol TCP/IP DNS Server s podporou SRV záznamů

Instalace AD o o Dcpromo DC n n o pro novou doménu Existující doménu Instalace AD o o Dcpromo DC n n o pro novou doménu Existující doménu Doména n n n v novém lese Child doména Nový doménový strom v lese

Instalace AD o DNS název domény n o Dále určíme úložiště důležitých souborů n Instalace AD o DNS název domény n o Dále určíme úložiště důležitých souborů n o Pro zpětnou kompatibilitu i Net. Bios jméno Databáze AD & Logy Vytvoření SYSVOL složky n n Slouží k potřebám replikace Uložení politik, přihlašovacích skriptů (NETLOGON)

Přidání počítače do domény Přidání počítače do domény

Nástroje pro správu AD o Vizuální MMC Snap-in n n o Active Directory Users Nástroje pro správu AD o Vizuální MMC Snap-in n n o Active Directory Users and Computers Active Directory Domains and Trusts Active Directory Sites and Services Active Directory Schema Group Policy Management Příkazová řádka n n Dsadd Dsmod Dsquery Dsmove

DNS o o o Jmenná služba Obsahuje důležité informace o zdrojích a službách v DNS o o o Jmenná služba Obsahuje důležité informace o zdrojích a službách v AD Stroje v síti tak mohou jednoduše lokalizovat AD služby Jméno stroje v DNS = jméno stroje v AD Název Primary zone odpovídá názvu domény Dynamická aktualizace záznamů?

DNS o o o DNS domain name (Primary DNS suffix) = jméno domény v DNS o o o DNS domain name (Primary DNS suffix) = jméno domény v AD Integrace AD s DNS umožňuje lokalizaci DC v síti tak, že se klient může přihlásit … …a to díky SRV záznamům

DNS and Active Directory Namespaces DNS Namespace “. ” DNS Root Domain com. Active DNS and Active Directory Namespaces DNS Namespace “. ” DNS Root Domain com. Active Directory Namespace microsoft. msft training sales training. microsoft. msft sales. microsoft. msft computer 1 = DNS node (domain or computer) = Active Directory domain

SRV záznamy o o o Identifikují stroj a služby, které nabízí. Autentizace, prohledávání, … SRV záznamy o o o Identifikují stroj a služby, které nabízí. Autentizace, prohledávání, … Formát _Service_. Protocol. Name Ttl Class SRV Priority Weight Port Target _ldap. _tcp. contoso. msft 600 IN SRV 0 100 389 london. contoso. msft