Tomek Onyszko Microsoft Services | W2K.PL
description
Transcript of Tomek Onyszko Microsoft Services | W2K.PL
![Page 1: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/1.jpg)
Tomek OnyszkoMicrosoft Services | W2K.PL
Windows Community Launch
Windows 2008 R2 a usługa katalogowa
![Page 2: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/2.jpg)
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Offline Domain Join (ODJ)
Managed Service
Accounts (MSA)
Web Services (ADWS)
Recycle Bin
Powershell for Active
Directory Module
Authentication Mechanism Assurance
(AMA)
Nowe elementy \ funkcjonalność
![Page 3: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/3.jpg)
Na początek – architektura …
![Page 4: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/4.jpg)
LDAP
Web Services
S.DS.P / S.DS.AM / S.DS.AD
AD PowerShell MUX
WCF.NET
WPF.NET
.NET
Windows Server 2008 R2
Serwer
Klient
WCF.NET
Windows Server 2008
ADUC/ADSS/ADDT WSH
ADSI
LDAP
MMC
…
GUI
DS RPC-Based Protocols…DRSSAM
CLI
Active Directory Core
DS RPC-Based Protocols…DRSSAM
Administrative CenterGUI
BPA
![Page 5: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/5.jpg)
… a teraz - funkcjonalność
![Page 6: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/6.jpg)
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Managed Service
Accounts (MSA)
Web Services (ADWS)
Recycle Bin
Powershell for Active
Directory Module
Authentication Mechanism Assurance
(AMA)
Offline Domain Join (ODJ)
![Page 7: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/7.jpg)
Po co to?Pozwala na pełne dodanie klienta do domeny bez kontaktu z kontrolerem domeny
ZaletyMożliwość aplikacji na VHDMaszyna dołączana do sieci nie musi posiadać połączenia sieciowego
Jednak jeżeli nie ma cached credentials na stacji połączenie może się przydać
WymaganiaBRAK zależności od poziomu lasu \ domenyNIE WYMAGA kontrolera domeny 2008 R2WYMAGA klienta Windows 7 lub Windows Server 2008 R2
Offline Domain Join (ODJ)
![Page 8: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/8.jpg)
ODJ – jak to działa?
Polecenie DJOIN.exe przejmuje poświadczenia potrzebne do wykonania operacji i tworzy “plik”
”plik” zawieraInformacje o maszynie
Nazwę, hasłoInformacje o docelowej domenie
Nazwa, GUID, SIDInformacje o lesie
NazwęInformację o pomocniczym DC
Nazwę, adres, informację o lokacji
![Page 9: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/9.jpg)
ODJ – co należy pamiętać
Tworzony jest jeden plik dla maszynyNIE MOGĄ być użyte ponownie
Zawartość “pliku” nie jest szyfrowana (base64)
Zawiera hasło w zasadzie w czystym tekścieNależy je chronić przed przejęciem
Wygenerowane pliki nie mają czasu życia
![Page 10: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/10.jpg)
1. Zainstalować nową maszynę Win 7 lub R22. Zamknąć system operacyjny nowej maszyny, uzyskać dostęp
do jej dysku3. Na innej maszynie dołączonej do domeny wykonać polecenie
(z odpowiednimi uprawnieniami) –
4. Włączyć system operacyjny nowego klienta
ODJ – jak to zrobić?
djoin /provision /domain <docelowa domena>/machine <nazwa nowej maszyny> /savefile <nazwa pliku>
djoin /requestODJ /loadfile <nazwa pliku> /windowspath <folderu %windir% na nowym systemie >
![Page 11: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/11.jpg)
Managed Service
Accounts (MSA)
Recycle Bin
Authentication Mechanism Assurance
(AMA)
Web Services (ADWS)
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Powershell for Active
Directory Module
Offline Domain Join (ODJ)
![Page 12: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/12.jpg)
Co to?Web Services nasłuchująca na porcie TCP/9389
Dostępna dla usługi katalogowej (DS) i Lightweight Directory Services (LDS)
Zbudowana w oparciu o protokoły WS-* i WCFWS-Enum, WS-Transfer, IMDA
Podstawa dla przyszłych interfejsów programistycznych
Do zapamiętaniaUzupełnienie interfejsów LDAP i RPC dla zarządzaniaWykrywana przez klienta poprzez proces lokatora – LDAP Ping (skalowanie)Nie wymaga instalacji IIS na DC
AD Web Services (ADWS)
![Page 13: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/13.jpg)
ADWS
Wymagania
Kontroler domeny Windows Server 2008 R2 Domain Controller lub instancja AD LDS
Wsparcie dla Windows Server 2003 i 2008Active Directory Management Gateway (ADMG) - uaktualnienie OOB
Musi działać lokalnie na DC lub instancji LDS
Wymagane wdrożenie na odpowiedniej liczbie DC Wymagane na DC dla każdego NC zarządzanego przez mechanizmy ADWS
![Page 14: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/14.jpg)
Managed Service
Accounts (MSA)
Web Services (ADWS)
Recycle Bin
Authentication Mechanism Assurance
(AMA)
Powershell for Active
Directory Module
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Offline Domain Join (ODJ)
![Page 15: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/15.jpg)
Co to?PowerShell for Active Directory Module to zestaw poleceń PowerShell przeznaczonych do zarządzania AD i AD LDSInterfejs administracyjny, dostęp do konfiguracji i do zapytań
Po co?Podstawa pod przyszłe mechanizmy zarządzania katalogiemDe-facto standard zarządzania w środowisku Windows Server
WymaganiaWindows 7 lub Windows Server 2008 R2PowerShell 2.0ADWS (lub ADMG) na zarządzanym DC(s)
Cmdlet’y z modułu nie używają LDAP
Moduł PowerShell
![Page 16: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/16.jpg)
PowerShell dla AD
Instalowany poprzezServer Manager / Windows Server 2008 R2’s DCpromoRemote Server Admin Tools dla Windows 7 client (RSAT)
Moduł rozszerzający PowerShell
PS C:\> import-module ActiveDirectory PS C:\> Get-Command -module ActiveDirectory
~90 cmdlet dla AD i AD LDS
PowerShell Provider dla Active Directory
![Page 17: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/17.jpg)
Moduł PowerShell dla Active Directory
demo
![Page 18: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/18.jpg)
Managed Service
Accounts (MSA)
Web Services (ADWS)
Recycle Bin
Powershell for Active
Directory Module
Authentication Mechanism Assurance
(AMA)
Best Practices Analyzer (BPA)
Administrative Center (ADAC)
Offline Domain Join (ODJ)
![Page 19: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/19.jpg)
Co to?Analizuję konfiguracje usługi i wskazuje odstępstwa od best practicesWskazuje rozwiązania problemów
Nie wykonuje modyfikacji \ akcji naprawczych samodzielnie
Jak?Skan uruchamiany poprzez Server Manager lub PowerShell
Loklanie lub zdalnieSkanowanie manualny (task scheduler)Skan wykonywany lokalnie na DC
Nie skanuje całego środowiska katalogu
Wymaga Windows 2008 R2 (tylko R2 !!!)Kwartalne uaktualnienia dla BPA dostępne będą przez Windows Update
Best Practice Analyzer (BPA)
![Page 20: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/20.jpg)
BPA – uruchomienie skanu
… Server Manager
… PowerShellImport-Module BestPracticesInvoke-BPAmodel Microsoft\Windows\
DirectoryServicesGet-BPAresult Microsoft\Windows\
DirectoryServices
![Page 21: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/21.jpg)
DNSRejestracja i rozwiązanie rekordów A/AAAA
Disaster RecoveryIlość DC \ domenaCzas życia kopii zapasowych
ReplicationCo najmniej 1 GC \ siteStan KCC Informacje dla VMs
BPA – co jest sprawdzane (RTM)
TopologiaRozmieszczenie i dostępność DC z rolami FSMO
Lingering ObjectsStan Strict Replication Consistency
Time servicePDC time source Wartości graniczne Max[POS|NEG]PhaseCorrection
![Page 22: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/22.jpg)
Best Practices Analyzer
demo
![Page 23: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/23.jpg)
Recycle Bin
Managed Service
Accounts (MSA)
Web Services (ADWS)
Authentication Mechanism Assurance
(AMA)
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Offline Domain Join (ODJ)
Powershell for Active
Directory Module
![Page 24: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/24.jpg)
Co to?Pozwala na odzyskanie skasowanego obiektu w jego oryginalnym kształcie z wszystkimi wartościamiGłówna zaleta – linki pozostają nienaruszone po skasowaniu obiektu
Dodatkowy stan linku \ kolumna w bazie danych (link_deActiveTime)
Po co?Pełna możliwość odzyskania obiektu bez użycia kopii zapasowejWyeliminowanie obiektów tombstone z procesu odtworzenia
WymaganiaPoziom lasu 4 (WIN2008R2)
Zmiana procesu usuwania fantomów w danych
Włączenie funkcjonalności w katalogu
Recycle Bin
![Page 25: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/25.jpg)
Tombstone Object
Windows Server 2008- bez Recycle Bin
GarbageCollection
Brian
Auth Restore/Odzyskanie
Skasowanie
TombstoneLifetime180 dni
RecycledObject
Deleted Object
Windows Server 2008- z włączonym Recycle Bin
GarbageCollection
Skasowanie
Odzyskanie Deleted Object Lifetime180 dni
Recycled (Tombstone) ObjectLifetime180 dni
Brian
Żywot Briana (jako obiektu)
![Page 26: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/26.jpg)
Żywot Briana c.d.
Brian Deleted Object Recycled Object
Tombstone Object
180 Days 180 Days
180 dni
Garbage collection
Garbage collection
Brian
Windows Server 2008
Windows Server 2008 R2- z włączonym Recycle Bin
LDAP OID 1.2.840.113556.1.4.417
LDAP OID 1.2.840.113556.1.4.2064
Zwraca Tombstones
Zwraca Deleted i Recycled
Zwraca Deleted
![Page 27: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/27.jpg)
Wpływ na DITPierwszy DC generuje ruch replikacyjny
isRecycled = True dla wszystkich skasowanych obiektów
Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia
Dostępy jako dodatkowa funkcjaPierwsza (jak dotąd jedyna) implementacja optional featureWłączana poprzez modyfikację atrybutu katalogu (Powershell lub LDAP)
Enable-ADOptionalFeature ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet –Target {docelowy DC lub instancja LDS}
Zmiany w kataloguPo ustawienia isRecycled, blokowane jest odzyskanie tombstone
Możliwe poprzez dodatkową opcje NTDSUTIL.EXE
Recycle Bin – trzeba wiedzieć
![Page 28: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/28.jpg)
Optional features
CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=W2K,DC=PL
Recycle Bin
objectClass: msDS-OptionalFeature
msDS-OptionalFeatureFlags: FOREST_OPTIONAL_FEATURE
msDS-OptionalFeatureGuid: 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a
msDS-RequiredForestBehaviorVersion: DS_BEHAVIOR_WIN7
CN=Partitions,CN=Configuration,DC=W2K,DC=PL
msDS-EnabledFeature
msDS-EnabledFeatureBL
![Page 29: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/29.jpg)
Recycle bin – warto wiedzieć
Czas życia obiektów:Atrybuty CN=Directory Services,cn=Windows NT…
msDS-DeletedObjectLifetime (DOL)tombstoneLifetime (TSL, ROL)
Domyślnie DOL == ROL == 180 dni Każdy z nich może mieć inną wartość
Czas życia kopii zapasowychMIN (DOL, ROL)Dotyczny kopii zapasowych i IFM
Nie wolno odzyskiwać obiektów w stanie RECYCLED
![Page 30: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/30.jpg)
Recycle Bin – odtwarzanie
Brak GUIPowerShell lub LDAP
Deleted ObjectsPłaska lista obiektówZmieniony RDN (<RDN>+DEL:+CHAR(0A))
Zachowane wszystkie atrybuty (linki)Wypełnione lastKnownParent and lastKnownRDN
Obiekt MUSI być odtwarzany do istniejącego rodzica
Odtworzenie obiektów top-down
OU=Finanse
OU=Admins
CN=Tom
CN=Sally
CN=Mark
CN=Deleted Objects
OU=Admins\0ADEL:…
CN=Tom\0ADEL:…
CN=Sally\0ADEL:…
CN=Mark\0ADEL:…
OU=Finanse\0ADEL:...
Delete
Undelete
OU=Finanse
OU=Admins
CN=Tom
CN=Sally
CN=Mark
CN=Robert\0ADEL:…
![Page 31: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/31.jpg)
Recycle Bin
demo
![Page 32: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/32.jpg)
Recycle Bin
Authentication Mechanism Assurance
(AMA)
Managed Service
Accounts (MSAs)
Web Services (ADWS)
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Offline Domain Join (ODJ)
Powershell for Active
Directory Module
![Page 33: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/33.jpg)
Co to?Nowa klasa podmiotów bezpieczeństwa (security principal)Przewidziana do użycia przez usługiZastępstwo dla standardowych kont serwisowychDostarczają mechanizmów automatycznego zarządzania hasłami
Do zapamiętaniaMożna używać tylko jednego MSA per usługa \ serwer
Nie można współdzielić jednego MSA na różnych maszynachWymaga Windows 7 lub Windows 2008 R2
Managed Service Accounts (MSA)
![Page 34: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/34.jpg)
Hasła MSAGenerowane przez system operacyjnySkomplikowane hasła z dużą entropią
Długość hasła: 240 bajtówZmieniane zgodnie z ustawieniem NETLOGON MaximumPasswordAgeZarządzanie manualne hasłem
PS C:\> reset-ADServiceAccountPassword <MSA>PS C:\> nltest /sc_change_pwd:<SAMAcctName>
Hasła MSA Nie podlegają domenowej polityce hasełNie podlegają mechanizmom FGPP
MSA – zarządzanie hasłami
![Page 35: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/35.jpg)
1. Utworzenie MSAPS C:\> New-ADServiceAccount –Name {nazwa} –Path {ścieżka w DS}
2. Przypisanie MSA do serweraAdd-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA}
3. Instalacja MSA na lokalnym systemieInstall-ADServiceAccount –Identity {MSA}
MSA – krótka ściąga
![Page 36: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/36.jpg)
Podsumowując
![Page 37: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/37.jpg)
Windows 2008 R2 to …
… ewolucja a nie rewolucjaNowe funkcjeNowe mechanizmy zarządzania
PowerShellAD AC, BPA
… zmiany będące podstawą dla dalszego rozwoju usługi
AD Web ServiceOptional features
![Page 38: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/38.jpg)
Funkcjonalność a wymagania
Minimalne wymaganie … ... pozwalające na użycie
Windows 7 lub Windows 2008 R2 jako klient
Offline Domain JoinManaged Service Accounts
+ jedna lub więcej instancji Web Services (również ADMG)
Active Directory Administrative CenterModuł PowerShell dla Active Directory
+ jeden lub więcej kontroler domeny Windows Server 2008 R2
Best Practices AnalyzerSynchronizacja hasła DSRM
+ Windows Server 2008 R2 Domain Functional Level
Authentication Mechanism Assurance
+ Windows Server 2008 R2 Forest Functional Level
Recycle Bin
![Page 39: Tomek Onyszko Microsoft Services | W2K.PL](https://reader038.fdocuments.us/reader038/viewer/2022102910/568143b1550346895db039de/html5/thumbnails/39.jpg)
… i ewentualnie odpowiedzi
Pytania …