Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti 10. Pokročilé metody správy AD Administrace OS Windows 1Miroslav Prágl
2 Pokročilé metody správy AD ATFM (Avoid These F……. Mistakes) Standardní nástroje pro řešení problémů Další použití GP Základy scriptingu Utility
Miroslav Prágl3 Avoid these frequent mistakes: Instalace AD je relativně snadná a bezproblémová, chyby vznikají zejména kvůli chybám v nastavení: DNS Schema Synchronizace času (NTP) Replikace (FRS…) TCP/IP, Bandwidth (blokování portů, replikace přes WAN)
Miroslav Prágl4 ATFM - DNS DNS (99% všech problémů je způsobeno špatným resolvingem) Chybějící záznamy pro DC Zakázané znaky ve jménech (typicky _ ) Služba DNS: doporučuje se binding na jediném interface (u multihomed strojů) Single DC: problém s registrací svého záznamu v DNS (start služby netlogon před DNS) Forwarding – snížení zátěže DNS předáním dotazů DNS serveru ISP Bezpečnost – vzhledem ke klíčovosti DNS pro AD není vhodná přístupnost DNS z Internetu Záložka „Monitoring“
Miroslav Prágl5 Schema Přidání Windows 2003 serveru do stávající Windows 2000 domény – nutnost rozšíření schématu pomocí utility ADPREP: ADPREP /Forestprep ADPREP /Domainprep Další rozšíření např MSExchange
Miroslav Prágl6 Synchronizace času Rozdíl času mezi DC > 5 minut způsobí odmítnutí Kerberos autentikace Použití spolehlivého externího zdroje (ntp) Synchronizace času uvnitř domény Služba „Windows time“ net time /SETSNTP[:ntp server list] W32tm Windows jako NTP server (
Miroslav Prágl7 Replikace File Replication Service (FRS) AD Replication Repadmin.exe
Miroslav Prágl8 TCP/IP, Bandwidth Použití HW VPN Otevřené porty (RPC, NetBIOS / CIFS, LDAP, DNS …) Resolving Šířka pásma pro synchronizaci AD a replikovaných souborů
Miroslav Prágl9 Standardní nástroje eventvwr.exe – monitorování logovaných události Dcdiag – Analýza stavu doménových řadičů Netdiag.exe – Kontrola síťové konektivity mezi dvěma body, kontrola distribuovaných služeb Ntdsutil.exe – Správa AD, single master operations, mazání metadat (např. záznamů o již neexistujícím DC v případě jeho havárie) Repadmin.exe – Kontrola konzistence replikace mezi replikačními partnery. Monitorování stavu replikace, zobrazení metadat, vynucení replikace dsadd.exe, dsget.exe, dsmod.exe, dsmove.exe, dsquery.exe, dsrm.exe – konzolové nástroje pro práci sobjekty v AD Virtualizace jako vhodný nástroj pro instalaci dočasného doménoveho řadiče pro přenos AD Zálohování
Miroslav Prágl10 Další použití GP Software restriction policies Snížení práv vybrané aplikace na Unrestricted Basic User Resticted Untrusted Disallowed Podle Path Hash Certificate Internet zone EPAL (Microsoft Elevated Privileges Application Launcher)
Miroslav Prágl11 Software restriction policies
Miroslav Prágl12 EPAL Microsoft Elevated Privileges Application Launcher 4.mspx Spouštění programu pod uživatelem vyššími právy (epal program.exe - obdoba sudo) Integrace s AD, skupina uživatelů oprávněných spustit aplikaci program.exe pomocí epal Identifikace program.exe pomocí hash epal /v /c:"OU=ProcExp,OU=EPAL Applications" /r z:\procexp.exe
Miroslav Prágl13 Základy scriptingu v AD Dim RootDSE, DomainNC, Connection, Command, RecordSet Set RootDSE = GetObject("LDAP://rootDSE") DomainNC = RootDSE.Get("defaultNamingContext") Set Connection = CreateObject("ADODB.Connection") Connection.Open("Provider=ADsDSOObject;") Set Command = CreateObject("ADODB.Command") Command.ActiveConnection = Connection Command.CommandText = " ;(objectCategory=User);CN;subtree" Command.Properties("Cache Results") = False Command.Properties("Page Size") = 100 Command.Properties("Sort On") = "CN" Command.Properties("Timeout") = 30 Set RecordSet = Command.Execute() Do While Not RecordSet.EOF WScript.Echo RecordSet.Fields("CN").Value RecordSet.MoveNext() Loop Connection.Close()
Miroslav Prágl14 Utility ADMT (Active Directory Migration Tool) Změna struktury AD Migrace uživatelů, skupin a počítačů (vč. hesel) Z NT4 domény do AD Mezi AD doménami v různých forestech Mezi AD doménami v rámci jednoho forest AD Explorer AD viewer a editor Hledání, editace, záložky Snapshots pro offline prohlížení a porovnávání AD restore Obnova smazaných (tombstoned) účtů
Miroslav Prágl15 ADMT
Miroslav Prágl16 ADSIEdit.msc
Miroslav Prágl17 AD Explorer
Miroslav Prágl18 Zdroje: Tato přednáška vychází ze zdrojů programu “Windows ® Academic Program”: sing/windowsacademic.mspx sing/windowsacademic.mspx Doporučené odkazy: ws2000serv/technologies/activedirectory/maintain/op sguide/part1/adogd07.mspx ws2000serv/technologies/activedirectory/maintain/op sguide/part1/adogd07.mspx news://list.vyvojar.cz/cz.vyvojar.list.win news://list.vyvojar.cz/cz.vyvojar.list.win