Administrace OS Windows

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Administrace OS Windows 13. Řešení krizových situací. Windows v heterogenním prostředí. 1

NTBACKUP - záloha: Zálohování Filesystemu Systém State: Nastavení (Registry, Boot files, Com+ database) AD Restore AD Directory Services Restore Mode Primary (pád celé domény není žádný aktivní DC) Authoritative (po smazání objektů a jeho zreplikování) Ntdsutil authoritative restore (restore database/subtree <name>) Normal 2

Zálohování Directory Services Restore Mode 3

Základní nástroje Windows MMC consoles (vyžaduje Administrative Tools) WMI nástroje (skripty, WMIC) Event log PerfMon Debug tools Support Tools Resource Kit SFC 4

DLL problémy (DLL hell) Cílem je určit, které knihovny jsou chybné, mají nekorektní verzi nebo jsou špatně zaregistrované POZOR knihovny jsou nejprve hledány v. Dependency Walker COMExp nebo alternativa ProcMon\FileMon + nastavení filtrů RegShot\InstallRite For /f nebo mass copy v připade že se jedná o širší problém 5

FileMon\Process Monitor InstallRite Handle\WhoLocksMe Streams Filesystem 6

Security Standard User Analyzer FileMon\RegMon\ProcMon Regular *NIX tools - NetCat or NMap 7

Event Log Group Policy logging RSOP WinPolicies Group Policy 8

Fix implementations Application Compatibility Toolkit (5.0) GPO 9

Application Compatibility Toolkit Univerzální nástroj od Microsoftu Cílem je nejen řešit kompatibilitu ale také poskytnout lepší kontrolu nad systémem Nevýhoda většina funkcionality není dobře zdokumentovaná 10

Administrace Windows v heterogenním prostředí Běžné / historické nástroje pro vzdálenou administraci Integrační nástroje Services for Unix Integrace Windows / domény / AD s nejběžnějšími Unix službami Samba Squid 11

Běžné / historické nástroje Využití běžných nástrojů pro vzdálené ovládání a přenos souborů Znakové telnet, ssh Grafické vnc, rdesktop, X-window system Přenos souborů ftp -s:filename, wget Exporty, importy, přenosy textových souborů s dávkovým zpracováním pomocí cron / Scheduled tasks 12

Services for Unix SFU 3.5 Finální verze SFU, ke stažení zdarma (leden 2004). Určena pro Windows 2000, Windows XP Professional a Windows Server 2003 na platformě x86 platforms. Obsahuje Interix subsystem verze 8.0 (release 3.5) s vícejazykovou podporou a POSIX threadingem. Podporované verze Unixu: Solaris 7 a 8, Red Hat Linux 8.0, AIX 5L 5.2 a HP-UX 11i SFU přímo obsaženo v Windows Server 2003 R2 Windows Vista Enterprise a Ultimate 13

Services for Unix - Komponenty Base Utilities for Interix (BaseUtils; including X11R6 utilities) UNIX Perl for Interix (UNIXPerl) Interix SDK (InterixSDK; including headers and libraries for development and a wrapper for Visual Studio compiler) GNU Utilities for Interix (GNUUtils) GNU SDK for Interix (GNUSDK; including gcc and g++) NFS Client for Windows (NFSClient) NFS Gateway for Windows (NFSGateway) NFS Server for Windows (NFSServer) NIS Server for Windows (NIS) Password Synchronization (PasswdSync) Windows Remote Shell Service (RshSvc) Telnet Server for Windows (TelnetServer) NFS User Name Mapping (Mapsvc) NFS Authentication Server (NFSServerAuth) PCNFS Server (Pcnfsd) ActiveState Perl (Perl) 14

Services for Unix - Instalace 15

SFU integrace do AD Users and computers 16

Mapování uživatelů a skupin 17

Synchronizace hesel 18

Sdílení protokolem NFS 19

Připojení NFS složek 20

Tisk pomocí lpr Podpora sdílení Windows tiskáren protokolem lpr Nemožnost omezení přístupu Připojení lpr tiskáren k Windows Ve Windows je lpr lokální port lpr -S czhqdc001 -P "hplaserjet4100" text.txt 21

Tisk pomocí lpr 22

Integrace Windows / domény / AD s nejběžnějšími Unix službami Konfigurace OS Linux pro spolupráci s OS Windows nejčastěji používané aplikace: Síťové služby (WINS, DNS, DHCP) SAMBA Přístup Windows -> Linux a Linux -> Windows Squid Automatická NTLM autentikace uživatelů proxy 23

NTLM Winbind / samba: Smb.conf [global] workgroup = [WORKGROUP] netbios name = [MACHINE_NAME] password server = [PDC] security = domain winbind uid = 10000-20000 winbind gid = 10000-20000 winbind use default domain = yes Zařazení serveru do domény #smbpasswd -j [DOMAIN] -r [PDC] -U [user_name] Test #wbinfo t Secret is good 24

AD / KDC Kdc / samba: krb5.conf [libdefaults] default_realm = DOMAIN.NET [realms] DOMAIN.NET = {kdc = server.domain.net} [domain_realms].kerberos.server = DOMAIN.NET Připojení Kerberos # kinit Administrator@DOMAIN.NET Password for Administrator@DOMAIN.NET - /etc/hosts (pro jistý resolving) x.x.x.x server.domain.net - Smb.conf server [global] workgroup = domain realm = DOMAIN.NET security = ADS Zařazení do AD # net ads join -U Administrator Administrator's password: 25

Squid Běžné použití pro automatickou autentikaci přihlášeného uživatele Windows (MSIE) a kontrolu ACL auth_param ntlm program /usr/bin/ntlm_auth --helperprotocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic program /usr/bin/ntlm_auth --helperprotocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 5 hours acl NTLMUsers proxy_auth REQUIRED http_access allow all NTLMUsers 26

Zdroje: Tato přednáška vychází ze zdrojů programu Windows Academic Program : http://www.microsoft.com/resources/sharedsource/licen sing/windowsacademic.mspx Doporučené odkazy: http://www.microsoft.com/technet/sysinternals/default.mspx http://www.microsoft.com/reskit news://list.vyvojar.cz/cz.vyvojar.list.win 27