Správa MS Windows II Vladimír Pečený Osnova o Pracovní skupina vs doména o Active Directory n Historie n Technologie n Pojmy o DNS n V AD? o Instalace AD Pracovní skupina vs. doména o Pracovní skupina n Do 10 počítačů n n uživatelů x m strojů = počet účtů :-( n Toť vše. o Doména n Centrální prostor s o Množinou účtů uživatelů o Sadou nastavení aplikovatelná na stroje i uživatele Když doménu… o …tak v Active Directory o Poprvé ve Windows 2000 Server edition o Adresářová služba založena na protokolu LDAP o Centralizace zdrojů, služeb, uživatelů o Možnost hierarchického uspořádání LDAP o Lightweight Directory Access Protocol n Protokol pro síťový přístup k adresářové službě n Adresář o Množina informací s podobnými atributy organizována do logické, hierarchické jednotky o Telefonní seznam n Z potřeb telefonních společností vznikla vyčerpávající specifikace X.500 n Její implementace DAP a voilá … n …nutná redukce a přidání podpory TCP/IP a máme LDAP. Struktura LDAP o Adresář je tvořen záznamy ve stromové struktuře o Záznam tvořen množinou atributů n Atribut má své jméno, hodnoty o Každý záznam má v rámci stromu jedinečné jméno n Distinguished Name (DN, RDN?) Záznam v LDAP dn: cn=John Doe,dc=example,dc=com cn: John Doe givenName: John sn: Doe telephoneNumber: +1 888 555 6789 telephoneNumber: +1 888 555 1234 mail: john@example.com manager: cn=Barbara Doe,dc=example,dc=com objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: top Logická struktura AD o Kopíruje administrativní požadavky o Doména n Známe… n Sada účtů, pravidel, nastavení n Poddoména, child-parent vztah a vzniká .. o Strom n Strom ke stromu, máme .. o Les Logická struktura v AD o Doména? Moc velké … o Organizační jednotky n Kontejner pro vlastní objekty n Nejjemnější aplikace Group Policy n Decentralizace správy o Vlastní objekty n Množina jedinečných atributů určena ve schematu o Samotné atributy n Lze přidávat nové, editovat staré, … Globální katalog o Použit při prohledávání Lesa n Množina objektů s podmnožinou atributů (vyhledávacích klíčů?) n Read only Vztah důvěry, Trust o Umožňují uživatelům z jedné domény přistupovat ke zdrojům v druhé doméně. o Základní hranicí důvěry je Les, nikoliv doména n S každou vytvořenou doménou se vytváří i vztah two-way transitive důvěry n Tedy každá s každou a nelze to zrušit Typy důvěry o Jedno- dvoucestná, tranzitivní o Implicitní o Shortcut n Domény z různých stromů, T, 1- 2 o External n Domény z různých lesů, T, 1- 2 o Forest n Mezi lesy, T, 1- 2 o Realm n Připojení do non-AD domén, N- T, 1- 2 Fyzická struktura AD o Sleduje a optimalizuje síťový provoz n Kdy a jak bude probíhat replikace mezi servery o Domain Controllers n Počítač s Windows Server 2000/2003 a službou Active Directory n Každý z řadičů domény poskytuje úložné a replikační funkce n Pouze jedna doména na jednom řadiči n Porovnání s Windows NT? n Všechny DC jsou si rovny, ale … Operations Masters o Multimaster replikace o Existují operace, které musí být prováděny výhradně na jednom DC, ze kterého se později replikují n Single master replication n Přidání domény, změna schématu o Tyto operace sjednoceny do operations master roles n Stroje jež je provádějí o Operations Masters Flexible Single Master Operations o Forest-Wide n Schema Master o Změny schématu n Domain Naming Master o Přidání či rušení domény o Domain-Wide n PDC emulator o Kvůli zpětné kompatibilitě s BDC s Windows NT 4. n Relative Identifier Master o Každý objekt dostane po vytvoření jedinečné SID n Skládá se ze SIDu domény a jedinečného RIDu n Každž DC ma svůj pool přidělený RID masterem n Pří nedostatkyu žádá nový Flexible Single Master Operations n Infrastructure Master o Aktualizuje záznamy při přesunu objektu mezi doménami n Máme 12 domén v 1 lesu… o Kolik máme Operations Masters? Fyzická struktura AD o Active Directory Sites n Logická jednotka řadičů s rychlým připojením o Mezi těmito stroji probíhá komunikace velmi často za účelem replikace údajů o Active Directory Partitions n Domain partition o Doménové objekty o Určeno k replikaci n Configuration partition o Záznamy o topologii Lesu Fyzická struktura AD o Schema partition n Definice forest-wide schématu n Každý les má pouze jedno schéma kvůli konzistenci n Replikováno na každý z DC o Application partition n Volitelné n Nevztahují se k bezpečnosti, ale aplikacím n Lze replikovat na vybrané DC Schéma o Definuje všechny druhy objektů v AD o Object classes n User, Printer, computer o Attributes n Jediněčně definovány n Skládáním tvoříme objekty Instalace AD o Minimální požadavky n Windows 2003 Server n NTFS oddíl s min. 250 MBM n Administrátorská práva n Protokol TCP/IP n DNS Server s podporou SRV záznamů Instalace AD o Dcpromo o DC n pro novou doménu n Existující doménu o Doména n v novém lese n Child doména n Nový doménový strom v lese Instalace AD o DNS název domény n Pro zpětnou kompatibilitu i NetBios jméno o Dále určíme úložiště důležitých souborů n Databáze AD & Logy o Vytvoření SYSVOL složky n Slouží k potřebám replikace n Uložení politik, přihlašovacích skriptů (NETLOGON) Přidání počítače do domény Nástroje pro správu AD o Vizuální MMC Snap-in n Active Directory Users and Computers n Active Directory Domains and Trusts n Active Directory Sites and Services n Active Directory Schema n Group Policy Management o Příkazová řádka n Dsadd n Dsmod n Dsquery n Dsmove DNS o Jmenná služba o Obsahuje důležité informace o zdrojích a službách v AD o Stroje v síti tak mohou jednoduše lokalizovat AD služby o Jméno stroje v DNS = jméno stroje v AD o Název Primary zone odpovídá názvu domény o Dynamická aktualizace záznamů? DNS o DNS domain name (Primary DNS suffix) = jméno domény v AD o Integrace AD s DNS umožňuje lokalizaci DC v síti tak, že se klient může přihlásit … o …a to díky SRV záznamům DNS and Active Directory Namespaces SRV záznamy o Identifikují stroj a služby, které nabízí. o Autentizace, prohledávání, … o Formát _Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target _ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft