Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Administrace OS Windows 10. Pokročilé metody správy AD Miroslav Prágl 1
Pokročilé metody správy AD ATFM (Avoid These F. Mistakes) Standardní nástroje pro řešení problémů Další použití GP Základy scriptingu Utility Miroslav Prágl 2
Avoid these frequent mistakes: Instalace AD je relativně snadná a bezproblémová, chyby vznikají zejména kvůli chybám v nastavení: DNS Schema Synchronizace času (NTP) Replikace (FRS ) TCP/IP, Bandwidth (blokování portů, replikace přes WAN) Miroslav Prágl 3
ATFM - DNS DNS (99% všech problémů je způsobeno špatným resolvingem) Chybějící záznamy pro DC Zakázané znaky ve jménech (typicky _ ) Služba DNS: doporučuje se binding na jediném interface (u multihomed strojů) Single DC: problém s registrací svého záznamu v DNS (start služby netlogon před DNS) Forwarding snížení zátěže DNS předáním dotazů DNS serveru ISP Bezpečnost vzhledem ke klíčovosti DNS pro AD není vhodná přístupnost DNS z Internetu Záložka Monitoring Miroslav Prágl 4
Schema Přidání Windows 2003 serveru do stávající Windows 2000 domény nutnost rozšíření schématu pomocí utility ADPREP: ADPREP /Forestprep ADPREP /Domainprep Další rozšíření např MSExchange Miroslav Prágl 5
Synchronizace času Rozdíl času mezi DC > 5 minut způsobí odmítnutí Kerberos autentikace Použití spolehlivého externího zdroje (ntp) Synchronizace času uvnitř domény Služba Windows time net time /SETSNTP[:ntp server list] W32tm http://support.microsoft.com/kb/232386 http://support.microsoft.com/kb/816042 Windows jako NTP server (http://support.microsoft.com/?id=223184) Miroslav Prágl 6
Replikace File Replication Service (FRS) AD Replication Repadmin.exe Miroslav Prágl 7
Použití HW VPN TCP/IP, Bandwidth Otevřené porty (RPC, NetBIOS / CIFS, LDAP, DNS ) Resolving Šířka pásma pro synchronizaci AD a replikovaných souborů Miroslav Prágl 8
Standardní nástroje eventvwr.exe monitorování logovaných události Dcdiag Analýza stavu doménových řadičů Netdiag.exe Kontrola síťové konektivity mezi dvěma body, kontrola distribuovaných služeb Ntdsutil.exe Správa AD, single master operations, mazání metadat (např. záznamů o již neexistujícím DC v případě jeho havárie) - http://support.microsoft.com/kb/255504 Repadmin.exe Kontrola konzistence replikace mezi replikačními partnery. Monitorování stavu replikace, zobrazení metadat, vynucení replikace dsadd.exe, dsget.exe, dsmod.exe, dsmove.exe, dsquery.exe, dsrm.exe konzolové nástroje pro práci sobjekty v AD Virtualizace jako vhodný nástroj pro instalaci dočasného doménoveho řadiče pro přenos AD Zálohování Miroslav Prágl 9
Další použití GP Software restriction policies Snížení práv vybrané aplikace na Unrestricted Basic User Resticted Untrusted Disallowed Podle Path Hash Certificate Internet zone EPAL (Microsoft Elevated Privileges Application Launcher) Miroslav Prágl 10
Software restriction policies Miroslav Prágl 11
EPAL Microsoft Elevated Privileges Application Launcher http://www.microsoft.com/cze/technet/clanky/00 4.mspx Spouštění programu pod uživatelem vyššími právy (epal program.exe - obdoba sudo) Integrace s AD, skupina uživatelů oprávněných spustit aplikaci program.exe pomocí epal Identifikace program.exe pomocí hash epal /v /c:"ou=procexp,ou=epal Applications" /r z:\procexp.exe Miroslav Prágl 12
Základy scriptingu v AD Dim RootDSE, DomainNC, Connection, Command, RecordSet Set RootDSE = GetObject("LDAP://rootDSE") DomainNC = RootDSE.Get("defaultNamingContext") Set Connection = CreateObject("ADODB.Connection") Connection.Open("Provider=ADsDSOObject;") Set Command = CreateObject("ADODB.Command") Command.ActiveConnection = Connection Command.CommandText = "<LDAP://" & DomainNC & ">;(objectcategory=user);cn;subtree" Command.Properties("Cache Results") = False Command.Properties("Page Size") = 100 Command.Properties("Sort On") = "CN" Command.Properties("Timeout") = 30 Set RecordSet = Command.Execute() Do While Not RecordSet.EOF WScript.Echo RecordSet.Fields("CN").Value RecordSet.MoveNext() Loop Connection.Close() Miroslav Prágl 13
Utility ADMT (Active Directory Migration Tool) Změna struktury AD Migrace uživatelů, skupin a počítačů (vč. hesel) Z NT4 domény do AD Mezi AD doménami v různých forestech Mezi AD doménami v rámci jednoho forest AD Explorer AD viewer a editor Hledání, editace, záložky Snapshots pro offline prohlížení a porovnávání AD restore Obnova smazaných (tombstoned) účtů Miroslav Prágl 14
ADMT Miroslav Prágl 15
ADSIEdit.msc Miroslav Prágl 16
AD Explorer Miroslav Prágl 17
Zdroje: Tato přednáška vychází ze zdrojů programu Windows Academic Program : http://www.microsoft.com/resources/sharedsource/licen sing/windowsacademic.mspx Doporučené odkazy: http://www.microsoft.com/technet/prodtechnol/windo ws2000serv/technologies/activedirectory/maintain/op sguide/part1/adogd07.mspx news://list.vyvojar.cz/cz.vyvojar.list.win Miroslav Prágl 18