Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti 10. Pokročilé metody správy AD Administrace OS Windows 1Miroslav Prágl.

Podobné prezentace


Prezentace na téma: "Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti 10. Pokročilé metody správy AD Administrace OS Windows 1Miroslav Prágl."— Transkript prezentace:

1 Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti 10. Pokročilé metody správy AD Administrace OS Windows 1Miroslav Prágl

2 2 Pokročilé metody správy AD ATFM (Avoid These F……. Mistakes) Standardní nástroje pro řešení problémů Další použití GP Základy scriptingu Utility

3 Miroslav Prágl3 Avoid these frequent mistakes: Instalace AD je relativně snadná a bezproblémová, chyby vznikají zejména kvůli chybám v nastavení:  DNS  Schema  Synchronizace času (NTP)  Replikace (FRS…)  TCP/IP, Bandwidth (blokování portů, replikace přes WAN)

4 Miroslav Prágl4 ATFM - DNS DNS (99% všech problémů je způsobeno špatným resolvingem)  Chybějící záznamy pro DC  Zakázané znaky ve jménech (typicky _ )  Služba DNS: doporučuje se binding na jediném interface (u multihomed strojů)  Single DC: problém s registrací svého záznamu v DNS (start služby netlogon před DNS)  Forwarding – snížení zátěže DNS předáním dotazů DNS serveru ISP  Bezpečnost – vzhledem ke klíčovosti DNS pro AD není vhodná přístupnost DNS z Internetu  Záložka „Monitoring“

5 Miroslav Prágl5 Schema Přidání Windows 2003 serveru do stávající Windows 2000 domény – nutnost rozšíření schématu pomocí utility ADPREP:  ADPREP /Forestprep  ADPREP /Domainprep Další rozšíření např MSExchange

6 Miroslav Prágl6 Synchronizace času Rozdíl času mezi DC > 5 minut způsobí odmítnutí Kerberos autentikace  Použití spolehlivého externího zdroje (ntp)  Synchronizace času uvnitř domény  Služba „Windows time“ net time /SETSNTP[:ntp server list] W32tm http://support.microsoft.com/kb/232386 http://support.microsoft.com/kb/816042 Windows jako NTP server (http://support.microsoft.com/?id=223184)http://support.microsoft.com/?id=223184

7 Miroslav Prágl7 Replikace File Replication Service (FRS) AD Replication  Repadmin.exe

8 Miroslav Prágl8 TCP/IP, Bandwidth Použití HW VPN Otevřené porty (RPC, NetBIOS / CIFS, LDAP, DNS …) Resolving Šířka pásma pro synchronizaci AD a replikovaných souborů

9 Miroslav Prágl9 Standardní nástroje eventvwr.exe – monitorování logovaných události Dcdiag – Analýza stavu doménových řadičů Netdiag.exe – Kontrola síťové konektivity mezi dvěma body, kontrola distribuovaných služeb Ntdsutil.exe – Správa AD, single master operations, mazání metadat (např. záznamů o již neexistujícím DC v případě jeho havárie) - http://support.microsoft.com/kb/255504 http://support.microsoft.com/kb/255504 Repadmin.exe – Kontrola konzistence replikace mezi replikačními partnery. Monitorování stavu replikace, zobrazení metadat, vynucení replikace dsadd.exe, dsget.exe, dsmod.exe, dsmove.exe, dsquery.exe, dsrm.exe – konzolové nástroje pro práci sobjekty v AD Virtualizace jako vhodný nástroj pro instalaci dočasného doménoveho řadiče pro přenos AD Zálohování

10 Miroslav Prágl10 Další použití GP Software restriction policies  Snížení práv vybrané aplikace na Unrestricted Basic User Resticted Untrusted Disallowed  Podle Path Hash Certificate Internet zone EPAL (Microsoft Elevated Privileges Application Launcher)

11 Miroslav Prágl11 Software restriction policies

12 Miroslav Prágl12 EPAL Microsoft Elevated Privileges Application Launcher http://www.microsoft.com/cze/technet/clanky/00 4.mspx  Spouštění programu pod uživatelem vyššími právy (epal program.exe - obdoba sudo)  Integrace s AD, skupina uživatelů oprávněných spustit aplikaci program.exe pomocí epal  Identifikace program.exe pomocí hash epal /v /c:"OU=ProcExp,OU=EPAL Applications" /r z:\procexp.exe

13 Miroslav Prágl13 Základy scriptingu v AD Dim RootDSE, DomainNC, Connection, Command, RecordSet Set RootDSE = GetObject("LDAP://rootDSE") DomainNC = RootDSE.Get("defaultNamingContext") Set Connection = CreateObject("ADODB.Connection") Connection.Open("Provider=ADsDSOObject;") Set Command = CreateObject("ADODB.Command") Command.ActiveConnection = Connection Command.CommandText = " ;(objectCategory=User);CN;subtree" Command.Properties("Cache Results") = False Command.Properties("Page Size") = 100 Command.Properties("Sort On") = "CN" Command.Properties("Timeout") = 30 Set RecordSet = Command.Execute() Do While Not RecordSet.EOF WScript.Echo RecordSet.Fields("CN").Value RecordSet.MoveNext() Loop Connection.Close()

14 Miroslav Prágl14 Utility ADMT (Active Directory Migration Tool)  Změna struktury AD  Migrace uživatelů, skupin a počítačů (vč. hesel) Z NT4 domény do AD Mezi AD doménami v různých forestech Mezi AD doménami v rámci jednoho forest AD Explorer  AD viewer a editor  Hledání, editace, záložky  Snapshots pro offline prohlížení a porovnávání AD restore  Obnova smazaných (tombstoned) účtů

15 Miroslav Prágl15 ADMT

16 Miroslav Prágl16 ADSIEdit.msc

17 Miroslav Prágl17 AD Explorer

18 Miroslav Prágl18 Zdroje: Tato přednáška vychází ze zdrojů programu “Windows ® Academic Program”: http://www.microsoft.com/resources/sharedsource/licen sing/windowsacademic.mspx http://www.microsoft.com/resources/sharedsource/licen sing/windowsacademic.mspx Doporučené odkazy:  http://www.microsoft.com/technet/prodtechnol/windo ws2000serv/technologies/activedirectory/maintain/op sguide/part1/adogd07.mspx http://www.microsoft.com/technet/prodtechnol/windo ws2000serv/technologies/activedirectory/maintain/op sguide/part1/adogd07.mspx  news://list.vyvojar.cz/cz.vyvojar.list.win news://list.vyvojar.cz/cz.vyvojar.list.win


Stáhnout ppt "Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti 10. Pokročilé metody správy AD Administrace OS Windows 1Miroslav Prágl."

Podobné prezentace


Reklamy Google