Zarządzanie usługą katalogową Active Directory oraz magazyny danych PAWEŁ PŁAWIAK Training and Development Manager for Microsoft Technology Compendium - Centrum Edukacyjne pawel.plawiak@compendium.pl
Kontakt z prelegentem Compendium Centrum Edukacyjne Training and Development Manager pawel.plawiak@compendium.pl Warszawska Grupa Użytkowników i Specjalistów Windows Lider pawel.plawiak@wguisw.org
Zakres cyklu 98-349 Windows Operating System Fundamentals 9 S E S J I 98-365 Windows Server Administration Fundamentals 98-366 Networking Fundamentals 98-367 Security Fundamentals
Informacje techniczne Pomocy technicznej online przez cały czas trwania sesji udzielają: Krzysztof Jóźwiak Emil Wasilewski Krzysiek / Wsparcie techniczne Emil / Wsparcie techniczne
Informacje techniczne W trakcie każdego spotkania dyżur pełni autoryzowany administrator Prometric (Test Center Administrator Prometric) Anna Rubińska Ania / Prometric
Informacje techniczne Jeżeli po podłączeniu do sesji Live Meeting 2007 pojawia się komunikat błędu, proszę go zamknąć i wybrać opcję Join Audio.
Informacje techniczne Plik z prezentacją jest do pobrania z poziomu klienta Live Meeting.
Informacje techniczne Wszystkie informacje o cyklu i spotkaniach znajdują się na http://www.srodyzcertyfikatem.pl
Informacje techniczne Zachęcamy do dyskusji i wyrażania opinii na Facebooku. http://www.facebook.com/srodyzcertyfikatem
Informacje techniczne Pytania do prowadzącego oraz odpowiedzi na pytania konkursowe przekazujemy wyłącznie poprzez moduł Q&A.
Konkurs 1 27 lutego 2 6 marca 3 13 marca 4 20 marca 9 szt. LOSOWANIE 5 27 marca FINAŁOWE 6 3 kwietnia 9 szt. 7 10 kwietnia 8 17 kwietnia 9 24 kwietnia 9 szt.
Konkurs W trakcie każdego LM (od dziś) w pewnym momencie zostanie przedstawione na slajdzie pytanie. Trzy pierwsze osoby, które odpowiedzą prawidłowo wygrywają (do wyboru wg kolejności) jedną z nagród: kubek Środy z certyfikatem, długopis Compendium CE z czytnikiem kart micro SD, puzzle HP Edukacja. Liczą się odpowiedzi udzielone wyłącznie przez moduł Q&A. Osoby, które w trakcie spotkania lub najpóźniej do godziny 23.59 tego samego dnia prześlą na adres konkurs@srodyzcertyfikatem.pl poprawną odpowiedź oraz poprawne odpowiedzi (minimum z sześciu spotkań) w trakcie pozostałych spotkań (wg tych samych zasad) będą uczestniczyły w finałowym losowaniu nagród.
Nagrody finałowe 5 szt. 1 szt. 1 szt. 5 szt. 3 szt. 2 szt. 2 szt. 5 szt. 41 szt. 1 szt. 3 szt. 1 szt. 1 szt. 1 szt. 8 szt. 11 szt. 1 szt. 1 szt.
Fundatorzy nagród
Tematyka spotkania Storage RAID Tworzenie woluminu łączonego Tworzenie woluminu rozłożonego Tworzenie woluminu lustrzanego Tworzenie woluminu RAID-5 Hybrid RAID Dyski zapasowe Network Attached Storage Storage Area Network Host Bus Adapter LUNs Fibre Channel iscsi Storage Explorer Struktura dysku Partycjonowanie Styl partycjonowania Rodzaje dysków Woluminy Systemy plików Ograniczenia systemów plików Disk Management Inicjalizacja dysku Konwersja do dysku dynamicznego Tworzenie woluminu prostego Przypisywanie litery lub ścieżki Formatowanie Rozszerzanie woluminu Rozpoznawanie nazw Plik HOSTS Domain Name System Rekordy DNS Rodzaje stref DNS DNS Round Robin Zapytania i transfery DNS Windows Internet Service (WINS) DHCP Directory Services Active Directory Struktura logiczna Active Directory Struktura fizyczna Narzędzia zarządzania Active Directory Serwer członkowski FSMO Roles FSMO - las FSMO - domena Global Catalogs Functional Levels Jednostki organizacyjne Delegowanie kontroli Obiekty Active Directory Konta użytkowników Właściwości użytkownika Konta komputerów Grupy Rodzaje grup i zakresy działania Wykorzystanie grup Built-In Groups Group Policies Stosowanie i przetwarzanie GPO Group Policy Management Console Prawa użytkowników Uprawnienia
Storage Istotnym elementem każdego serwera jest podsystem dyskowy. Windows Server może korzystać z podsystemów dyskowych dołączonych w różny sposób. IDE SCSI RAID SAN NAS
RAID Większość dysków stanowią urządzenia elektronicznomechaniczne. Konfiguracja RAID wymaga zastosowania minimum dwóch dysków. W celu zapewnienia wysokiej dostępności danych, ochrony przed ich utratą oraz zwiększenia wydajności dyski łączymy ze sobą poprzez specjalne kontrolery. RAID (redundant array of independent disks) to technika umożliwiająca uzyskanie rozwiązań odpornych na błędy oraz zwiększających wydajność. Implementacja RAID może być programowa lub sprzętowa.
Dyski zapasowe Dyski zapasowe wykorzystywane są przez rozwiązania RAID do zastąpienia urządzeń, które uległy awarii z jednoczesnym przebudowanie magazynu i powrotem do stanu sprzed awarii.
Network Attached Storage NAS jest magazynem danych na poziomie plików, który jest podłączony do sieci zapewniając dostęp do udostępnionych napędów lub folderów, zazwyczaj z wykorzystaniem SMB/CIFS. Urządzenia NAS zawierają najczęściej wiele napędów w postaci RAID i są zarządzane z wykorzystaniem interfejsów Web.
Storage Area Network SAN jest architekturą wykorzystywaną do macierzy dyskowych, bibliotek taśmowych oraz szaf optycznych aby stanowić lokalnie dołączone napędy w serwerze. SAN zawsze wykorzystuje postać RAID oraz inne technologie zapewniające redundancję przed awarią dysku z jednoczesnym zapewnieniem wysokiej wydajności. SAN mogą zawierać dyski zapasowe. Wysoki poziom przepływu danych w rozwiązaniach SAN jest zapewniony poprzez użycie protokołu SCSI oraz rozwiązań iscsi oraz Fibre Channel.
Host Bus Adapter Host bus adapter (HBA) łączy komputer z siecią lub urządzeniem masowym Termin HBA jest używany do określenia połączeń SCSI, Fibre Channel oraz esata.
LUNs LUN (Logical Unit Numer) umożliwia podział urządzeń fizycznych na urządzenia logiczne.
Fibre Channel Fibre Channel (FC) jest technologią pracującą z szybkością gigabitową wykorzystywaną do połączeń z pamięciami masowymi. Przewody FC są medium optycznym. Protokół Fibre Channel Protocol (FCP) jest protokołem transportowym, który umożliwia przesyłanie poleceń SCSI poprzez połączenie Fibre Channel.
iscsi Internet Small Computing System Interface (iscsi) bazuje na protokole IP i umożliwia nawiązywanie połączeń sieciowych do pamięci masowych. Standard iscsi umożliwia klientom przesyłanie poleceń SCSI poprzez sieć TCP/IP za pośrednictwem portu 3260. Podobnie do Fibre Channel, iscsi umożliwia komunikację gigabitową zapewniając dostęp wielu serwerom do sieci SAN.
iscsi Initiator
Storage Explorer Windows Server 2008 zawiera Storage Explorer oraz Storage Manager for SANs umożliwiający zarządzanie Fibre Channel, iscsi, oraz LUNs. Storage Explorer umożliwia podgląd oraz zarządzanie Fibre Channel oraz strukturą szkieletową iscsi, która jest dostępna w ramach SAN. Storage Explorer umożliwia wyświetlanie szczegółowych informacji dotyczących podłączonych serwerów do sieci SAN oraz komponentów szkieletowych takich jak HBA, przełączniki Fibre Channel oraz inicjatory i cele iscsi.
Struktura dysku Przed użyciem dysku należy utworzyć na nim partycje lub woluminy a następnie sformatować. Użycie dysku w systemie Windows wiąże się z dokonaniem wyborów w zakresie: określenia stylu partycjonowania rodzaju dysku rodzaju woluminu systemu plików
Partycjonowanie Partycjonowanie definiuje i dzieli fizyczny lub wirtualny dysk w logiczne woluminy określanie mianem partycji. Każda partycja funkcjonuje jako niezależny napęd, który ma przypisany literę. Formatowanie dysku przygotowuje system plików poprzez utworzenie tablicy alokacji pliku, w której odbywa się śledzenie położenia plików i folderów na woluminie. Śledzenie podziału dysku jest realizowane poprzez tablicę partycji dysku.
Styl partycjonowania Styl partycjonowania określa metodę, którą Windows używa do organizacji partycji na dysku. Windows Server 2008 R2 wspiera dwa rodzaje styli partycjonowania dysku: Master Boot Record (MBR) GUID Partition Table (GPT)
Rodzaje dysków Występują w konfiguracji master boot record (MBR) oraz GUID partition table (GPT) Dyski podstawowe (basic disks) Dyski dynamiczne (dynamic disks) Zawierają tylko proste woluminy Organizowane są wokół woluminów Wykorzystują partycje i dyski logiczne Umożliwiają tworzenie woluminów prostych, łączonych, rozłożonych, lustrzanych oraz.
Woluminy Wolumin prosty (simple volume) Wolumin łączony (spanned volume) Wolumin lustrzany (mirrored volume) Wolumin rozłożony (striped volume) Wolumin RAID-5 Wykorzystuje określoną ilość miejsca na pojedynczym dysku Rozszerza wolumin prosty na wiele dysków, maksymalnie 32 Dokonuje duplikacji danych dysku na drugim zapewniając redundancję i odporność na błędy Przechowuje dane rozłożone na dwóch lub więcej dyskach Dane i informacje o parzystości są rozkładane w sposób nieciągły na co najmniej trzech dyskach fizycznych
Systemy plików System plików jest metodą przechowywania i organizowania plików oraz danych na komputerze w sposób umożliwiający łatwe wyszukiwanie oraz dostępu do tych informacji. FAT FAT32 exfat NTFS
Ograniczenia systemów plików System Maksymalny rozmiar Maksymalny rozmiar pliku plików partycji FAT 2 GB 2 GB FAT32 32 GB 4 GB exfat 64 ZB 16 EB NTFS 256 TB 16 TB
Disk Management Disk Management jest niezależną przystawką ale stanowi również część konsoli Computer Management. Disk Management umożliwia: Dodawanie nowych dysków Modyfikację konfiguracji istniejących dysków Konwersję dysków
Inicjalizacja dysku
Konwersja do dysku dynamicznego
Tworzenie woluminu prostego
Tworzenie woluminu łączonego SpannedVolume A1 A2 A3 A4 An An1 An2 An3 An4 Ann Disk 0 Disk 1
Tworzenie woluminu rozłożonego StripedVolume (RAID-0) A1 A2 A3 A4 An B1 B2 B3 B4 Bn Disk 0 Disk 1
Tworzenie woluminu lustrzanego MirroredVolume (RAID-1) A1 A2 A3 A4 An A1 A2 A3 A4 An Disk 0 Disk 1
Tworzenie woluminu RAID-5 RAID-5 A1 A2 A3 Ap B1 B2 Bp B3 C1 Cp C2 C3 Dp D1 D2 D3 Disk 0 Disk 1 Disk 2 Disk 3
Hybrid RAID Rozwiązania hybrydowe RAID zakładają połączenie ze sobą dwóch rozwiązań RAID w jedno. RAID-0 RAID-1 RAID-1 RAID-1 RAID-0 RAID-0 A1 A1 A2 A2 A1 A2 A1 A2 A3 A3 A4 A4 A3 A4 A3 A4 A5 A5 A6 A6 A5 A6 A5 A6 A7 A7 A8 A8 A7 A8 A7 A8 Disk 0 Disk 1 Disk 2 Disk 3 Disk 0 Disk 1 Disk 2 Disk 3
Przypisywanie litery lub ścieżki
Formatowanie
Rozszerzanie woluminu
Rozpoznawanie nazw Rozpoznawanie nazw nazwa > adres adres > nazwa Najbardziej popularnym systemem rozpoznawania nazw jest system nazw domenowych Domain Name System (DNS)
Plik HOSTS # Copyright (c) 1994 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows 95 # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the computer name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 212.77.100.101 wp.pl
Domain Name System DNS jest systemem hierarchicznym pozwalającym na wykonywanie obustronnej translacji między nazwami hostów a adresami IP. Budowa systemu DNS rozpoczyna się kropką. root domain. top-level domains com org pl it hp wguisw compendium certbook microsoft
Rekordy DNS
Rodzaje stref DNS Konfigurując DNS tworzy się strefy. Strefa wyszukiwania do przodu (forward lookup zone) odpowiada za translację nazw na adresy IP. Strefa wyszukiwania wstecznego (reverse lookup zone) odpowiada za translację adresów IP na nazwy.
DNS Round Robin Karuzela DNS jest mechanizmem udostępniającym i dystrybuującym rekordy serwera DNS. Round Robin odpowiada za obracanie kolejności rekordów, które mapują na tę samę nazwę.
Zapytania i transfery DNS Zapytania i transfery DNS pomiędzy strefami podstawowymi i zapasowymi wykonywane są poprzez protokoły TCP/UDP na porcie 53. Do prawidłowego działania zapytań oraz transferów może być konieczna rekonfiguracja zapory.
Windows Internet Service (WINS) Windows Internet Name Service (WINS) jest płaskim systemem rozpoznawania nazw. Serwer WINS umożliwia translację nazw NetBIOS na adresy IP oraz adresów IP na nazwy NetBIOS. Serwer WINS zawiera bazę adresów IP i nazw NetBIOS, która jest dynamicznie aktualizowana. Istnieje możliwość dodania w sposób statyczny rekordu do bazy serwera WINS.
DHCP Protokół Dynamic Host Configuration Protocol (DHCP) umożliwia automatyczne przyznawanie adresów IP oraz powiązanych parametrów (maska, brama domyślna, czas trwania dzierżawy) do hostów. Serwer DHCP utrzymuje listę adresów IP w ramach puli adresowej. Klient wykorzystując ruch rozgłoszeniowy odpytuje dostępny serwer DHCP o potrzebną konfigurację TCP/IP. Komunikacja od klienta do serwera DHCP odbywa się poprzez protokół UDP na porcie 67. Komunikacja od serwera DHCP do klienta odbywa się poprzez protokół UDP na porcie 68.
Directory Services Usługa katalogowa przechowuje, organizuje i dostarcza dostęp do informacji przechowywanych w katalogu. Usługi katalogowe są wykorzystywane do lokalizowania, zarządzania, administrowania i organizowania różnych elementów infrastruktury IT i zasobów sieciowych, takich jak woluminy, foldery, pliki, drukarki, użytkownicy, grupy, urządzenia, numery telefonów czy inne obiekty. Jedną z usług katalogowych jest Microsoft Active Directory.
Active Directory Active Directory jest technologią utworzoną przez Microsoft. LDAP LDAP Zapewnia uwierzytelnianie Kerberos oraz w modelu Single Sign-On DNS Active Directory wykorzystuje system rozpoznawania nazw DNS do określania nazw i informacji sieciowych. CENTRALIZACJA ZARZĄDZANIA Active Directory zapewnia model scentralizowanego zarządzania administracją oraz delegowania zadań administracyjnych.
Struktura logiczna Active Directory STRUKTURA LOGICZNA ACTIVE DIRECTORY OBEJMUJE: domeny Struktura logiczna pozwala łatwo wyrazić faktyczną strukturę organizacji dzięki czemu zarządzanie staje się prostsze. drzewa domen lasy domen Dostęp użytkowników między domenami jest możliwy dzięki wykorzystaniu relacji zaufania (trust relationships).
Struktura fizyczna STRUKTURA FIZYCZNA ACTIVE DIRECTORY OBEJMUJE: Lokacje obiekty, które powiązane są z podsieciami IP pozwalającymi na określenie geograficznej struktury organizacji. Kontrolery domeny serwery z Windows Server, które przechowują kopię bazy katalogowej Active Directory. Stanowią granicę zabezpieczeń dla domeny.
Narzędzia zarządzania Active Directory Active Directory Users and Computers Do zarządzania usługą Active Directory Domain Services wykorzystywane są różne konsole administracyjne. Active Directory Domains and Trusts Active Directory Sites and Services Active Directory Administrative Center Group Policy Management Console (GPMC)
Serwer członkowski Member server Serwer, który dołączony jest do domeny ale nie pełni roli kontrolera domeny określany jest mianem serwera członkowskiego. Demote DC Obniżenie poziomu kontrolera domeny do poziomu serwera członkowskiego może być wykonane za pomocą polecenia (programu) dcpromo.
FSMO Roles Active Directory wykorzystuje replikację w modelu multimaster, która oznacza, że nie ma głównego kontrolera domeny. Niezależnie, dla poprawnego działania usługi katalogowej niektóre funkcje musza być utrzymywane pojedynczo przez wybrane kontrolery domeny. Funkcje te są zorganizowane wokół tzw. wzorców operacji FSMO (Flexible Single Master Operations).
FSMO - las SchemaMaster 1 na las Odpowiada za aktualizację i modyfikację schematu Active Directory. Domain Naming Master 1 na las Kontroluje dodawanie i usuwanie domen z lasu.
FSMO - domena PDC Emulator 1 na domenę Emulator PDC odpowiada za kompatybilność wsteczną dla klientów NT4. Pełni również rolę serwera odpowiedzialnego za zmianę haseł oraz jest wzorcem czasu. RIDMaster 1 na domenę Odpowiada za przyznawanie identyfikatorów względnych do tworzonych obiektów. InfrastructureMaster 1 na domenę Odpowiada za synchronizację zmian w zakresie członkostwa w grupach między domenami.
Global Catalogs Kontroler domeny przechowuje informacje o domenie, którą utrzymuje przez co nie ma informacji o obiektach znajdujących się w innych domenach. Każdy kontroler domeny może pełnić rolę katalogu globalnego. Katalog globalny Katalog globalny to serwer pełniący rolę kontrolera domeny, który przechowuje informacje o wszystkich obiektach w drzewie lub w lesie domen. Domyślnie serwer wykazu globalnego tworzony jest automatycznie na pierwszym kontrolerze domeny w lesie.
Functional Levels Usługa katalogowa Active Directory może być utrzymywana przez kontrolery domeny pracujące pod kontrolą różnych wersji Windows Server: Windows 2000 Server Poziom funkcjonalności domeny oraz poziom funkcjonalności lasu zależy od wersji Windows Server, które zostały użyte do utworzenia kontrolerów domeny. Windows Server 2003 Poziom funkcjonalności kontroluje, które funkcje są dostępne na poziomie domeny i/lub lasu. Windows Server 2008
Jednostki organizacyjne
Delegowanie kontroli Delegowanie kontroli umożliwia nadawanie uprawnień i praw do wykonywania czynności administracyjnych dla określonych użytkowników oraz grup.
Obiekty Active Directory Obiekt Active Directory jest unikalnym elementem, z którym skojarzone są atrybuty lub właściwości jednoznacznie określające zasób w sieci. Zwyczajowymi obiektami w Active Directory są komputery, użytkownicy, grupy i drukarki. Atrybuty przyjmują wartości, które definiują określony obiekt. Obiekty Active Directory mają przypisany 128-bitowy unikalny numer określany jako Globally Unique Identifier (GUID).
Konta użytkowników Konto użytkownika umożliwia mu logowanie się do komputera i domeny. Konto użytkownika odzwierciedla tożsamość użytkownika co umożliwia jednoznacznie nadawanie dostępu do różnych zasobów. Konto użytkownika może być wykorzystane do przeprowadzenia audytu wykonywanych przez niego czynności. Istnieją dwa rodzaje kont użytkownika: Lokalne Domenowe
Właściwości użytkownika
Konta komputerów Konta komputerów umożliwiają uwierzytelnianie i przeprowadzanie audytów dostępu do niego w obrębie domeny. Każdy komputer, któremu chcemy nadać dostęp musi mieć swoje unikalne konto w Active Directory.
Grupy Grupy są zbiorem lub listą kont użytkowników i/lub kont komputerów. Grupy nie przechowują informacji o użytkownikach i/lub grupach. Grupy uproszczają administrację, szczególnie w zakresie nadawania praw i/lub uprawnień. zabezpieczeń W ramach Active Directory dostępne są dwa rodzaje grup. dystrybucyjne
Rodzaje grup i zakresy działania
Wykorzystanie grup Efektywne zarządzanie grupami wymaga znajomości oznaczeń stosowanych w modelach grup. A Accounts P Permissions U Universal DL Domain Local G Global
Built-In Groups Grupy wbudowane są stałymi elementami Windows Server i dzięki predefiniowanym ustawieniom umożliwiają sprawne nadawanie praw i/lub uprawnień. Everyone Authenticated Users Domain Admins Przykładowymi grupami wbudowanymi są Backup Operators Domain Users Account Operators
Group Policies Zasady grupowe należą do jednej z najciekawszych funkcji, które dostarcza usługa Active Directory. GPO umożliwia kontrolę środowiska pracy kont komputerów oraz kont użytkowników. GPO zapewnia centralizację zarządzania i konfiguracji systemów operacyjnych, aplikacji oraz ustawień w środowisku Active Directory.
Stosowanie i przetwarzanie GPO Kiedy GPO jest ustawione, kolejność jego stosowania przedstawia się następująco: Local GPO może być w obrębie Active Directory ustawione na różnych poziomach: Site Lokacja Domena Jednostka organizacyjna Domain OU
Group Policy Management Console
Prawa użytkowników
Uprawnienia Uprawnienia definiuje rodzaj dostępu, który został nadany do obiektu lub jego atrybutu. Obiekt jest identyfikowany identyfikatorem zabezpieczeń SID (Security ID). Najczęściej uprawnienia są nadawane do plików i folderów NTFS, drukarek oraz obiektów Active Directory. Informacje o nadanych uprawnieniach są zapisywane w ramach list kontroli dostępu ACL (Access Control List) poprzez umieszczenie na nich użytkowników, grup lub innych obiektów, którym uprawnienia mogą zostać przyznane.
Zarządzanie usługą katalogową Active Directory oraz magazyny danych PYTANIA