Uvítání.

Podobné dokumenty
Windows Server 2003 Active Directory

Osnova dnešní přednášky

Překlad jmen, instalace AD. Šimon Suchomel

DNS, DHCP DNS, Richard Biječek

Instalace Active Directory

Active Directory organizační jednotky, uživatelé a skupiny

Serverové systémy Microsoft Windows

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Poslední aktualizace: 1. srpna 2011

Windows Server 2003 Active Directory GPO Zásady zabezpečení

Serverové systémy Microsoft Windows

Souborové služby. Richard Biječek

Serverové systémy Microsoft Windows

Y36SPS Jmenné služby DHCP a DNS

Radim Dolák Gymnázium a Obchodní akademie Orlová

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Jmenné služby a adresace

DNS. Počítačové sítě. 11. cvičení

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

Administrace OS Windows

Group policy. Jan Žák

Úvod 17 ČÁST 1. Kapitola 1: Principy návrhu doménové struktury služby Active Directory 21

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Č á s t 1 Příprava instalace

Active Directory (Active Directory Directory Services) Jan Žák

Windows 2008 R2 - úvod. Lumír Návrat

Active Directory Replikace, hlavní operační servery, topologie

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Autor. Potřeba aplikací sdílet a udržovat informace o službách, uživatelích nebo jiných objektech

Serverové systémy Microsoft Windows

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Úvod Ovládáme základní nástroje 17

Použití zásad skupin k instalaci klientské komponenty ESO9

SSL Secure Sockets Layer

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Téma 2 - DNS a DHCP-řešení

Serverové systémy Microsoft Windows

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

DHCP, DNS, skupiny a domény

DNSSEC Pavel Tuček

Group Policy od A do Z. Lukáš Brázda MCT, MCSA, MCSE lukas@brazda.org

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

WINDOWS Nastavení GPO - ukázky

PŘÍRUČKA SÍŤOVÝCH APLIKACÍ

Domain Name System (DNS)

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Serverové systémy Microsoft Windows

Cíl kapitoly: Žák rozumí pojmu síťové služby, uvede příklady; umí popsat adresářové služby a zná jejich výhody pro provoz sítě.

Domain Name System (DNS)

PDS. Obsah. protokol LDAP. LDAP protokol obecně. Modely LDAP a jejich funkce LDIF. Software pro LDAP. Autor : Petr Štaif razzor_at

Použití Single Sign On (SSO) v IBM Informix Serveru

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Nastavení DCOM. Uživatelský manuál

Nastavení složek systému Atollon Server Platform

Technologie počítačových sítí 5. cvičení

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ. MEIV Windows server 2003 (seznámení s nasazením a použitím)

Rychlý průvodce instalací

Možnosti využití Windows Server 2003

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

ČÁST 1 ÚVOD. Instalace operačního systému 21 Aktualizace operačního systému 57 Příkazový řádek 77 Windows Script Host 103 ČÁST 2 ŘEŠENÍ

Serverové systémy Microsoft Windows

Použití služby Active Directory

Serverové systémy Microsoft Windows

KAPITOLA 1 Instalace Exchange Server

PV176 Správa systémů MS Windows II

PŘÍPADOVÁ STUDIE ACTIVE DIRECTORY A POLITIKA

Serverové systémy Microsoft Windows

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Acronis Backup Advanced Version 11.7

Instalace Windows 2012 Správa účtů počítačů

Identifikátor materiálu: ICT-3-03

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

Téma 3 - řešení s obrázky

Nastavení skenování do u Technický průvodce

DHCP a DNS a jak se dají využít v domácí síti

Administrace služby - GTS Network Storage

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Bezpečnost sítí

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

IP telephony security overview

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Zásobník protokolů TCP/IP

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Stručný Obsah. IntelliMirror, 1. část: Přesměrování složek, Soubory offline, Správce synchronizace a Diskové kvóty 349

Migrace Windows Small Business 2011 do Windows Server 2012 Essentials

Podzim Boot možnosti

Příprava k certifikaci , TS: Windows 7, Configuring

Active Directory. (Active Directory Directory Services)

Jak funguje SH Síť. Ondřej Caletka

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

Analýza aplikačních protokolů

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Adresářové služby, DNS

Transkript:

Uvítání Ing. Petr Bouška ČVUT FEL Microsoft MCSE, MCSA, MCITP, MCTS, MCSE, MCSA, MCP Cisco CCNP, CCDP, CCNA, CCDA VMware VCP ITIL IT manager, OKsystem a.s. www.samuraj-cz.com

Program semináře 09:30 část I., 11:30 coffee break, 12:00 část II., 13:30 závěr Active Directory Domain Sevices (les, doména, řadič, Site, objekty, schéma) služby DNS a DHCP stručný úvod do Kerberos protokolu Group Policy a Group Policy Preferences Distributed File System (DFS) a DFS Replication Certification Authority, PKI, certifikáty

Active Directory Domain Sevices

Na co je Active Directory? služba pro centralizovanou správu a organizaci síťových zdrojů (počítače, uživatelé, tiskárny, skupiny, apod.) - objektů poskytuje jednotnou identitu máme jeden uživatelský účet, kterým se můžeme přihlásit v celé doméně na různé IS, tento účet má přidělená různá oprávnění řeší autentizaci (včetně SSO) a autorizaci přístup ke sdíleným zdrojům můžeme vytvořit hierarchickou (stromovou) strukturu, která odráží organizační strukturu umožňuje centralizovaně nastavovat parametry operačních systémů (uživatele a počítače) pomocí Group Policy poskytuje řadu integrovaných služeb

Active Directory Domain Services (AD DS) adresářová služba od Microsoftu jde o řadu služeb a protokolů poskytuje distribuovanou databázi, která v hierarchické struktuře obsahuje síťové objekty (jako je uživatel, počítač, skupina) zajišťuje také autentizaci a autorizaci uživatelů a počítačů v síti základ tvoří LDAP (Lightweight Directory Access Protocol) protokol, rozšířený Kerberos verze 5 a DNS (Domain Name System) Remote Server Administration Tools (RSAT) nástroje pro správu, součást serveru, možno instalovat na stanici Domain Controller (DC) - doménový řadič, server, kde běží AD DS

Doména a strom Doména (Domain) logická skupina objektů (počítač, uživatel, zařízení), které sdílí společnou AD databázi identifikuje se pomocí jmenného prostoru - namespace (DNS jména), může obsahovat písmena, číslice, pomlčku a tečku (pouze pro oddělení komponent), maximální délka je 64 znaků z důvodu kompatibility se také používá 15 znakové pre-windows 2000 jméno - NetBIOS doménové jméno Strom (Tree) jedna nebo více domén tvoří strom kořenová doména (Tree Root Domain) - má svůj jmenný prostor (třeba firma.local) Child Domain - obsahují jmenný prostor nadřazené domény (Parent Domain) a svoje relativní jméno (tedy třeba test.firma.local)

Les a schéma Les (Forest) jeden nebo více stromů tvoří les sdílí společné adresářové schéma, globální katalog, logickou strukturu existuje jedna kořenová doména (Forest Root Domain), prvně vytvořená doména v daném lese, ta obsahuje skupiny Enterprise Admins a Schema Admins Schéma (Schema) definuje objekty (classes a attributes), které mohou být uloženy v adresáři každá doména má vlastní databázi (obsah), replikovanou na DC, ale stejnou strukturu (schéma) nástroj Active Directory Schema - regsvr32 schmmgmt.dll Důvěra (Trust) automaticky všechny domény v rámci lesa - Two-way Transitive Trust

Globální katalog, objekty a Site Globální katalog (Global Catalog) zapnutí AD Sites and Services - NTDS Settings obsahuje částečnou repliku všech objektů (s omezenou skupinou atributů) v adresáři lesa používá se pro vyhledávání, slouží pouze ke čtení můžeme tak nalézt objekty z jiné domény, kdy dopředu nevíme, na jakém DC jsou poskytuje informace o členství v univerzálních skupinách, které jsou potřeba při přihlašovacím procesu Objekty (Objects) data v adresáři AD DS, reprezentují věci různého významu, popsány pomocí atributů AD DS obsahuje hierarchii objektů, každá instance objektu je obsahem jiného objektu kontejner (container) zabudovaný objekt, nemůžeme aplikovat GPO, oprávnění organizační jednotka (OU - Organizational Unit) slouží seskupování objektů do logických administračních skupin, můžeme delegovat oprávnění, aplikovat GPO Site používají se pro řešení fyzické topologie, tedy fyzického umístění definuje se pomocí subnetů, obsahuje DC, využívá se pro replikace, přiřazení DC uživateli

Operations Master role AD DS podporuje multimaster replikaci adresářových dat, ale některé změny musí být řízeny jedním místem (single master) pro každou doménu převod pomocí ADUC Primary Domain Controller (PDC) Emulator řeši aktualizace hesel Relative Identifier (RID) Master spravuje bloky RID pro doménu a zajišťuje unikátnost ID všech security principals (entita, která se může autentizovat) Infrastructure Operations Master spravuje seznam security principals z jiných domén, kteří jsou členy skupin z jeho domény pro každý les Schema Operations Master spravuje schéma, převod pomocí AD Schema Domain Naming Operations Master přidává a odebírá domény v rámci lesa, převod pomocí AD Domains and Trusts Functional Level - určuje vlastnosti, které AD DS nabízí, povýšení ADUC, AD Domains and Trusts

Jména objektů - Naming Attributes objekty v AD DS mají několik jmen, která můžeme použít pro odkazování, vazby jsou pomocí ID, ostatní je možno měnit, příklady pro uživatelský účet Relative Distinguished Name (RDN) - relativní LDAP jméno v rámci kontejneru (Organizational Unit), u uživatelů jde o Common Name (CN), atribut cn, příklad bouska Distinguished Name (DN) - globální unikátní LDAP jméno, obsahuje RDN a umístění objektu v rámci AD hierarchie, atribut distinguishedname, příklad CN=bouska,CN=Users,DC=firma,DC=local Canonical Name - obdoba DN v jiné notaci, jde o konstruovaný atribut (vytváří se při dotazu) canonicalname, příklad firma.local/users/bouska Name - je stejné jako Common Name (CN), atribut name Security Identifier (SID) - unikátní identifikátor uživatele, používá se pro Kerberos a zařazování do skupin, atribut objectsid Globally Unique Identifier (GUID) - unikátní identifikátor objektu, atribut objectguid DN název využívá tři klíčová slova dle LDAP normy, jde o CN - Common Name, OU - Organizational Unit a DC - Domain Component, Canonical Name využívá DNS formát

Uživatelský účet - typy přihlašovacího jména samaccountname - Security Accounts Manager (SAM) Account Name označuje se také jako Pre-Windows 2000 Name používá se zápis Domain\sAMAccountName, který se označuje jako NetBIOS Logon Name maximální délka je 20 znaků je unikátní v rámci domény a povinný ukládá se do atributu samaccountname User Principal Name (UPN) označuje se jako Internet-style login name a je založen na RFC 822 skládá se ze dvou částí, UPN předpony (UPN prefix) - uživatelské přihlašovací jméno (User Logon Name) a UPN přípony (UPN suffix) - DNS doménové jméno, spojených pomocí znaku @, příklad logon.name@firma.local alternativní UPN sufix můžeme definovat pomocí AD Domains and Trust maximální délka je 64 znaků je unikátní v rámci lesa a nepovinný ukládá se do atributu userprincipalname net user bouska /domain, whoami /upn, whoami /fqdn, whoami /user /fo list

SPN - Service Principal Name unikátní identifikátor instance služby využívá Kerberos, každá služba, kde má fungovat jej musí mít atribut serviceprincipalname u účtu (počítač, uživatel) jeden účet může mít více SPN, ale stejné SPN může být pouze u jednoho účtu syntaxe ServiceClass/Host:Port/ServiceName, příklad HTTP/www.firma.local setspn -Q HTTP/* - práce se SPN

Skupiny (Groups) skupina je objekt, do kterého můžeme vložit další objekty (primárně uživatel, počítač, skupina), slouží tedy k logickému seskupování typ skupiny Security pro přiřazení oprávnění na sdílené zdroje, můžeme přiřazovat uživatelská práva (user rights) a oprávnění (permissions) na sdílené zdroje (jako je složka, tiskárna), práva se doporučuje nastavovat přes skupiny a ne přímo na uživatele, může být také mail-enabled Distribution pro mailové distribuční seznamy, nejsou security enabled (nelze ACL) rozsah (scope) skupin Domain Local (DL) může přidělovat oprávnění pouze v rámci domény, vkládáme účty nebo G a U skupiny ze stejného lesa, DL ze stejné domény Global (G) oprávnění ve stejném nebo důvěryhodném lese, vkládáme účty nebo G skupiny ze stejné domény Universal (U) - oprávnění ve stejném nebo důvěryhodném lese, vkládáme účty nebo G a U skupiny ze stejného lesa

Služby DNS a DHCP

DNS - Domain Name System primárně překlad doménových jmen na IP adresy, UDP/TCP port 53, EDNS výhoda jmen je lepší pamatování a možnost změny fyzického umístění (IP adresy) Forward - kořenová doména, TLD Top Level Domain, Second Level Domain, Subdomain, www.samuraj-cz.com. Reverse - pseudo doména in-addr.arpa, 1.0.168.192.in-addr.arpa. adresa DNS serveru patří mezi základní nastavení sítě ptáme se na záznam svého DNS serveru, ten využije cache rekurzivní dotazy - root hints (autoritativní severy pro kořen stromu) Forwarders > TLD NS > 2 nd level NS Zóna většinou jedna doména (část jmenného prostoru), autoritativní informace o spravovaných doménách, Zone File (txt), Zone Transfer nslookup řádkový příkaz pro DNS dotazy

DNS pokračování Typy zón primary kopie pro čtení a zápis, pouze jedna secondary - kopie pro čtení, pro redundanci, využívá zone transfer stub - pouze info o DNS serverech domény Active Directory-Integrated primární zóna, data uložena v AD spolu se replikují, může jich být více (stejně jako DC může se nacházet pouze na DC) Typy záznamů Host address (A nebo AAAA) běžný záznam Alias Canonical Name (CNAME) další jméno pro existující záznam Mail Exchanger (MX) adresa poštovního serveru Service Location (SRV) adresa některé služby, jako ldap, kerberos, ftp, a další Name Server (NS) seznam serverů, které zajišťují DNS služby pro doménu Pointer (PTR) užívají se pro reverzní překlad Start of Authority (SOA) odkazuje na server, kde jsou primární údaje (primární NS), a obsahuje údaje pro zone transfer WINS - Windows Internet Name Service - name server pro NetBIOS

DHCP - Dynamic Host Configuration Protocol dynamické přidělování IP adres a dalších síťových konfiguračních parametrů klient odesílá DHCP broadcast DISCOVER, libovolný DHCP server na síti odpoví OFFER, klient požaduje nabídnutou adresu REQUEST, server ACK, UDP 67 (server), 68 (klient) server přiděluje IP adresy ze zadaného rozsahu (Pool Scope), může jich být více, použije dle IP rozhraní, kde přišel požadavek DHCP Options další přidělované parametry, 3 router, 6 - DNS, 150 Cisco VoIP rezervace pro určitou MAC přiřazena IP APIPA MS, když nedostane adresu z DHCP, použije Zeroconf Address 169.254.0.0/16 DHCP Relay Agent služba, přeposílá DHCP komunikaci jako unicast na DHCP server DHCP Snooping na switchim ochrana před podvrženým DHCP serverem IPAM - IP Address Management

Stručný úvod do Kerberos protokolu

Kerberos SSO SSO - Single Sign-On - jednotné přihlašování, pohodlnost, bezpečnost SSO v rámci domény probíhá neustále, možno pro web aplikace pomocí Negotiate v hlavičce Kerberos - síťový autentizační protokol, využívá tikety a symetrické šifrování, stále se používá verze 5 z roku 1993, potažmo 2005 (RFC 4120), MS využívá rozšíření MS-KILE o autorizační údaje (seznam skupin), TCP port 88 Kerberos autentizace vždy se přihlašujeme ke službě, účastník je klient, ověřuje se u autentizační služby KDC (DC), ověření pro nějakou službu (aplikace, nemusí být členem domény, nekomunikuje s DC)

Kerberos termíny KDC - Key Distribution Center, běží na DC Authentication Service (AS) - provádí autentizaci uživatele a odesílá mu TGT Ticket-Granting Service (TGS) - na základě TGT ověří uživatele a odesílá Service Ticket pro požadovanou službu Secret Key - tajný klíč, vzniká z hesla, přidá se sůl a provede hash funkce Ticket - tiket představuje Kerberos credentials, může být použit pro ověření identity, v síti se neposílají hesla, ale šifrované tikety klist textový příkaz pro tikety Kerberos Realm u MS je ekvivalentem pro Active Directory doménu Principal - unikátní identita, které můžeme přiřadit tiket, primary@realm nebo primary/instance@realm

Kerberos princip autentizace 1 Autentizace uživatele - získání TGT při přihlašování do počítače zadá uživatel svoje přihlašovací údaje (credentials) na stanici [1] stanice si vytvoří uživatelův Secret Key nalezne se DC pro autentizaci a komunikuje se s KDC AS (která má přístup k AD databázi uživatelů) za pomoci šifrování se Secret Key se získá Ticket-Granting Ticket (TGT) [2]

Kerberos princip autentizace 2 Získání Service Ticket - když chce klient přistoupit k nějaké síťové službě (třeba aplikaci na webovém serveru), která podporuje Kerberos a vyžaduje autentizaci, tak se použije princip SSO klient se obrátí na svoje DC na KDC službu TGS požádá o Service Ticket, v žádosti se posílá (mimo jiné) typ služby (třeba HTTP, KRBTGT, LDAP, CIFS) a adresa serveru (třeba www.firma.local), což dohromady tvoří Service Principal Name (SPN), tedy unikátní identifikátor služby běžící na serveru pokud TGS nalezne SPN v Active Directory (a jsou splněny další autentizační podmínky), tak odesílá v odpovědi Service Ticket (ten je šifrovaný pomocí Secret Key služby) [3]

Kerberos princip autentizace 2 Autentizace u služby - ověření klienta na síťové službě (serveru) pomocí protokolu, kterým komunikuje aplikační server, odešle klient data na server a ta (mimo jiné) obsahují Service Ticket server rozšifruje tiket pomocí svého klíče a z něj se dozví údaje o uživateli (jeho jméno) ve vlastním procesu autentizace server nekomunikuje s KDC (tedy DC), ale pouze s klientem pokud je zapnuta obousměrná autentizace (Mutual Authentication), tak server odesílá klientovi šifrovanou časovou známku a dojde i k ověření serveru na klientovi [4]

Group Policy a Preferences

Group Policy umožňuje centralizovaně nastavovat (povinné) parametry operačních systémů, část Computer Configuration a User Configuration správa - Group Policy Object Editor (gpedit.msc), Group Policy Management (Group Policy Results) GPO - Group Policy Objects skupina nastavení, linkujeme na OU, Site, doménu, dědění, můžeme dále filtrovat, ukládají se do \\FQDN\SYSVOL\FQDN\policies když se GPO uplatní v OS, tak se uplatní nastavené hodnoty a znemožní se jejich konfigurace v OS (položky zašednou) nejčastěji se hodnoty nastavují pomocí registrů HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, HKCU\Software\Microsoft\Windows\CurrentVersion\Policies aplikace při startu/přihlášení, znovu po 90 + rand(30) minut, gpupdate /force

Group Policy Administrative Templates Group Policy má pevně dané části Software Settings, Windows Settings a rozšiřitelnou Administrative Templates, načítá se ze souborů (ADM a ADMX/ADML) - šablon, nastavení pomocí registrů šablony slouží pouze pro konfiguraci, hodnoty nastavené v GPO se uloží do registry.pol a ten se aplikuje šablony jsou součástí OS, s každou novou verzí vznikají nové, pak jsou speciální (třeba pro MS Office) a můžeme vytvářet vlastní ADM jsou součástí politiky, nové ADMX ne (od 2008) načítání z Central Store (\\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions), pak lokálně c:\windows\policydefinitions vyhledávání pomocí filtrování

Group Policy Preferences další možnost nastavování (volitelných) parametrů, hodnoty je možno na klientovi změnit mohou se uplatnit pouze jednou (přednastavení) nebo se uplatňují znovu (default 90 minut) standardně nastavení zůstává, i když není GPP linkováno na OS umožňuje nastavit nejen registry, třeba mapování disků, kopírování souborů, chování služeb

Distributed File System (DFS) a DFS Replication

DFS - Distributed File System přístup k datům na různých serverech přes jednu síťovou UNC cestu DFS Namespaces (DFSN) - domain-based (integrováno do AD DS) nebo standalone, jmenný prostor Namespace server - udržuje informace o struktuře Namespace, může jít o DC, ideálně více serverů, využívá se Site info Namespace root síťová cesta k Namespace \\jmeno.domeny\dfs\ Folder složka, tvoří hierarchii, pokud má Folder Target, tak vede k datům pomocí transparentního přesměrování odkazem (referral) Folder Target cesta ke sdílené složce, souborový server, kde jsou data konfigurace v AD CN=Dfs-Configuration,CN=System,DC=domena,DC=local Namespace server registry HKEY_LOCAL_MACHINE\Software\Microsoft\Dfs\Roots\domainV2, struktura C:\DFSRoots

Access-Based Enumeration u sdílených složek na souborovém serveru uživatel nevidí složky, na které nemá oprávnění, od DFS ve Windows Server 2008 mode je podpora i v rámci DFS pro sdílené složky zapínáme na souborových serverech (Server Manager\File and Storage Services\Shares - Properties) pro DFS Folder se uplatní práva na Namespace server a až při přesměrování se uplatní práva na Folder Target, takže musíme ručně konfigurovat práva pro každý Folder přes DFS Management Folder Properties - Advanced - Set explicit view permissions on the DFS folder celkově je třeba zapnout na Namespace - Properties - Advanced - Enable access-based enumeration for this namespace

DFS Replication náhrada File Replication Service (FSR), může replikovat i SYSVOL umožňuje efektivně replikovat složky mezi několika servery a Site využívá Remote Differential Compression (RDC), replikuje pouze změněné bloky ze souborů, funguje samostatně nebo s DFS Namespace o průběhu replikace máme informace pouze v logu událostí, třeba Event ID 4104 dokončení úvodní replikace, můžeme generovat Diagnostic Report replikovat složku můžeme mezi několika servery a můžeme řídit z kterého na který se replikace provádí můžeme nastavit kalendář, kdy replikace probíhají a nastavit šířku pásma, které mohou využít

Certification Authority, PKI, certifikáty

Public Key Infrastructure PKI - Public Key Infrastructure vše okolo šifrování s veřejným klíčem, tedy role, politiky, procedury pro vytváření, správu, distribuci, ukládání, odvolání digitálních certifikátů, například ve firmě využíváme vlastní CA a čipové karty CA - Certification Authority digitálně podepisuje a publikuje veřejný klíč, vystavuje digitální certifikáty, zodpovídá za údaje certifikátu šifrování s veřejným klíčem - asymetrické algoritmy, veřejný šifrovací klíč, privátní dešifrovací klíč, využívá se pro výměnu klíčů pro symetrické šifrování, certifikáty využívají RSA minimálně 2048 bitů, pro podpis hash SHA-2, vychází ze standardu X.509 vyhledání certifikátu CA je většinou pomocí jména (ne ID), můžeme vyměnit certifikát CA a korektně ověří dříve vydané certifikát (přechod na SHA-2) certifikáty CA můžeme distribuovat pomocí Group Policy (integrated CA se vloží automaticky) Windows úložiště certifikátů mmc Certificates - uživatel, počítač, služba (Personal, Trusted Root Certification Authorities, Intermediate Certification Authority Certificates ), certutil - user, enterprise, grouppolicy, service, computer

Microsoft Certification Authority role Active Directory Certificate Services (AD CS) Stand-alone CA nebo Enterprise CA (AD integrated) one-tier vs. two-tier CA (Root a Intermediate), CRL pro nastavení některých parametrů před instalací CA C:\Windows\CAPolicy.inf Certificate Templates šablony či politiky pro určitý typ certifikátu (jedna CA může vystavovat uživatelské podpisové certifikáty, stejně jako serverové), specifikuje parametry vystavení certifikátu - ručně (mmc, web) nebo automatické (autoenrollment), publikace do AD, schvalování (approval) Enrollment Agent - vydání certifikátu pro jiného uživatele

Děkuji Petr Bouška bouska@oksystem.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář