Коллеги ! Помните, это всего лишь конспект, который я составлял для

подготовки к экзамену, а не учебник по 2008 серверу.

Удачи на экзамене. vitaly579@yandex.ru

vitaly579@hotmail.com Новые возможности Windows 2008 Server

Active Directory Certificate Services (AD CS) o Online Certificate Status Protocol o Network Device Enrollment Service o Web enrollment (новый элемент управления для Web-интерфейса) o Policy settings (новые политики) o Restricted Enrollment Agent (ограничения для пользователей выпускающих сертификаты

для смарткарт других пользователей) o Enterprise PKI (PKIView) (инструмент мониторинга состояния CA)

Active Directory Domain Services (AD DS) o Логирование изменения атрибутов объектов o Возможность назначать разные политики паролей разным пользователям в пределах

одного домена o DC «только для чтения» o Перезапуск служб AD без перезапуска сервера

Active Directory Federation Services (AD FS) – решения по аутентификации и авторизации для разных (не-Windows) платформ в среде Windows (used for synchronizing external Active Directory domains for authentication purposes)

Active Directory Lightweight Directory Services (AD LDS) – расширение раздела каталога AD приложений (used in situations when all of the features of a full Active Directory are not required)

Active Directory Rights Management Services (AD RMS) - служба управляющая правами на доступ к файлу созданного RMS-совместимым приложением

o Введена как серверная роль o Интеграция с AD FS

Server Manager – единое приложение для управления всеми задачами и конфигурирования сервера

Server Core – установка сервера без GUI

Терминальный сервер o Улучшенный клиент подключения – RDC 6.1 o Перенаправление устройств для медиаплееров и цифровых камер o Одна точка авторизации

o Remote App – публикация отдельных приложений на терминальном сервере o Terminal Web Access o Terminal Services Gateway – подключение пользователей извне к корпоративным

терминалам используя RPC over http o Упрощение управления пользовательскими принтерами (не надо устанавливать драйвера

на сервере) o Брокер сеанса — новая функция, являющаяся упрощенной альтернативой службе

балансировки сетевой нагрузки Майкрософт для служб терминалов. Не имея ограничений на конкретное число серверов, она особенно полезна для ферм, в которые входит от двух до пяти серверов. Брокер сеанса служб терминалов распределяет новые сеансы по наименее загруженным серверам в составе фермы с целью повышения производительности, а пользователи могут повторно подключаться к существующему сеансу, даже не имея понятий о сервере, на котором он был создан. С помощью этой функции ИТ-специалисты могут сопоставить IP-адрес каждого сервера терминалов отдельной записи службы доменных имен (DNS). Кроме того, такая конфигурация обеспечивает отказоустойчивость: если один из серверов фермы недоступен, пользователь подключается к следующему наименее загруженному серверу.

DNS-сервер o Фоновая загрузка зоны (DNS обслуживает запросы в тот момент когда зона еще грузится) o Полная копия read-only DNS zone на read-only DC o GlobalNames zone – для назначения соответствия CNAME и FQDN

FileServer Resource Manager – квотирование по папкам, предотвращение создания файлов определенных типов, генерация отчетов

Network Policy and Access Services (NPAS)

Виртуализация

IIS7 Новые наименования служб AD Новое название Старое название Описание

Службы доменов AD (AD DS) AD Служба каталогов AD, проверка подлинности пользователей и компьютеров при помощи NTLM и Kerberos, управление объектами AD

Службы облегченного доступа к каталогам (AD LDS)

ADAM Сервер LDAP на базе ADDS

Службы сертификации (AD CS) Служба сертификатов Проверка подлинности на основе сертификатов X.509

Службы управления правами (AD RMS)

Сервер управления правами

Защита электронных документов путем создания контейнеров для них и присвоения им прав

Службы федерации (AD FS) Службы федерации Единый вход и федерация идентификации

Системные требования

Компонент Минимум Рекомендовано

Процессор 1 Ггц (х86) 1,4 ггц (х64) 2 Ггц

Память 512 Мб 2 Гб (GUI) 1 Гб (Core)

Дисковое пространство 10 Гб 1 Гб (Core) 40 Гб

Версии сервера 2008

Редакция 32 bit 64 bit

Web

Только Web-сервер, остальные роли не доступны

CPU 4 4

RAM 4 Гб 32 Гб

St

CPU 4 4

RAM 4 Гб 32 Гб

Enterprise

Failover Clustering, AD FS

CPU 8 8

RAM 64 Гб 2 Тб

Datacenter

Неограниченное число вирутальных имиджей, AD FS

CPU 32 64

RAM 64 Гб 2 Тб

Itanium-based

CPU 64

RAM 2 Тб

Обновление до 2008 сервера

Редакция сервера 2003 апгредится на такую же редакцию

От 2000 апгрейд невозможен

Core никого не апгрейдит

При апгрейде AD требуется дополнительное место (10% или 250 Мб от размера базы данных AD и 50 Мб на лог-файл)

Апгрейд 64-bit версии требует наличия драйверов под 2008 с цифровой подписью. Если возникают проблемы с неподписанными драйверами, то:

o F8 o Advanced Boot Options o Disable Driver Signature Enforcement o Загрузиться и удалить неподписанный драйвер

Установка AD - особенности

Перед включением в домен 2003 сервера под 2008 надо подготовить домен и лес o adprep /forestprep – выполнить на Schema Master леса (Enterprise Admins и Schema

Admins). Определяется в Схема AD – Хозяин операций. o adprep /domainprep – выполнить на каждом Infrastucture Master каждого домена в лесу

(Domain Admins или Enterprise Admins). Определяется в ADUC. o adperp /rodcprep – подготовка к внедрению RODC (Enterprise Admins, на любом

контроллере в лесу).

Перед созданием первого RO DC нужно выполнить команду adprep /rodcprep на любом DC в лесу (рекомендуется на Schema Master) (Enterprise Admins)

При выполненении Install from Media (IFM) используется команда dcpromo /adv. IFM имеет следующие ограничения – работает только с резервной копией из своего домена, и резервная копия должна быть не старше 60 дней. С помощью IFM нельзя создать новый домен.

Порядок установки AD в новом лесу – сначала добавляем роль Active Directory Domain Services, затем выполняем dcpromo

В конце работы dcpromo есть возможность экспортировать настройки в файл ответов щелчком по кнопке Export Settings

В процессе установки можно выбрать следующие дополнительные возможности: o RODC o DNS o Global Catalog

Server Core

В этом режиме доступны 2 апплета панели управления – RegionalSettings (intl.cpl) и Time And Date (timedate.cpl)

Установка роли контроллера выполняется с помощью dcpromo и заранее подготовленного файла ответов

Core-режим может выполнять следующие роли:

Datacenter Enterprise Standart Web

o AD DS + + + - o AD LDS + + + - o DNS + + + - o DHCP server + + + - o File Server + + + - o Print Server + + + - o Windows Media Server + + + - o TS Gateway + + + - o IIS7 (без поддержки .NET) + + + + o Hiper-V + + + -

Core-режим поддерживает следующие возможности (features) o Failover clustering o NLB o Subsystem for UNIX applications o Backup o Multipath IO o Removable Storage o BitLocker o SNMP o WINS o Telnet o Network Time Protocol (NTP)

Конфигурирование Core-сервера

netsh interface ipv4 show interfaces

netsh interface ipv4 set address name=”<ID>” source=static address=<StaticIP> mask=<SubnetMask> gateway=<DefaultGateway>

netsh interface ip set address name="Local Area Connection" source=static 192.168.111.254 255.255.255.0 192.168.111.1

netsh interface ipv4 add dnsserver name=”ID>” address=<DNSIP> index=1

netdom renamecomputer <ComputerName> /NewName:<NewComputerName>

netdom join <ComputerName> /domain:<DomainName> /userd: <UserName> /password:*

dcpromo answer:\answer.txt – установка DC с помощью файла ответов

Службы развертывания Windows (RIS -> WDS) не включены в Web Edition и Itanium based

AD

DNS

DHCP

NTFS volume

WDS server

Требуется:

TFTP server

PXE server

\WDSClientUnattend

\source

unattend.xml

*.wim

WIM файлы

находятся на

дисках 2008 и

Vista

Управление хранилищами

RAID 0 Striped Disk Array наивысшая производительность для приложений требующих

интенсивной обработки запросов ввода/вывода и данных большого объема

RAID 1 Mirror невысокая скорость передачи данных

RAID 2 Hamming Code ECC низкая скорость обработки запросов (не подходит для систем ориентированных на обработку транзакций)

RAID 3 Parallel Transfer Disks with Parity

Данные разбиваются на подблоки на уровне байт и записываются одновременно на все диски массива кроме одного, который используется для четности

RAID 4 Independent Data disks with shared Parity disk

Данные разбиваются на блочном уровне. Каждый блок данных записывается на отдельный диск и может быть прочитан отдельно. Четность для группы блоков генерируется при записи и проверяется при чтении. Главное отличие между RAID 3 и 4 состоит в том, что в последнем, расслоение данных выполняется на уровне секторов, а не на уровне битов или байтов

RAID 5 Independent Data disks with distributed parity blocks

Этот уровень похож на RAID 4, но в отличие от предыдущего четность распределяется циклически по всем дискам массива. Это изменение позволяет увеличить производительность записи небольших объемов

данных в многозадачных системах

Кластеризация Failover Clusters (Enterprise Datacenter)

Witness disk

бывший quorum

FibreChannel

SAN

Особенности:

32 бита – 8 нод, 64 бита – 16 нод

Поддерживаются GPT диски (размер более 2 Тб)

Больше не требуется NetBios и WINS

Требуется совместимое с кластеризацией железо

Нельзя смешивать контроллеры домена и рядовые серверы в качестве узлов кластера

Учетные записи всех серверов должны располагаться в одном OU

Все узлы должны быть одной архитектуры (x86 x64)

Все узлы должны быть под управлением 2008 (Enterprise или Datacenter) Восстановление (2 возможных сценария)

1. non-authoritative – восстанавливается отказавшая нода 2. authoritative – восстанавливается состояние кластера на определенный момент времени

NLB Особенности:

Для внедрения NLB не нужно специальное железо.

Поддерживает до 32 хостов

Все хосты должны быть в одной подсети

Новые возможности Active Directory Read-only domain controller (RO DC) – контроллер домена только для чтения.

На RODC хранятся копии всех объектов AD (кроме паролей).

На ROCD нельзя произвести какие-либо изменения базы данных AD.

Репликация происходит только однонаправленно.

DNS на RODC тоже только для чтения.

На RODC хранится только необходимое число скэшированных аккаунтов и всегда можно узнать какие именно аккаунты были скэшированы.

RODC не реплицируется с другими RODC

Может работать в смешанном режиме 2003 если перед этим была проведена подготовка adperp /rodcprep

Выбор возможности быть RODC производится в процессе dcpromo Можно заранее создать запись для RODC в AD, и указать учетные данные пользователя который завершит инсталляцию с помощью dcpromo /UseExistingAccount:Attach Active Directory Lightweight Directory Service (AD LDS) – расширяет возможности приложений по хранению данных в AD. Фактически, LDS используется когда есть приложение, которому надо обращаться к AD, но не нужен доступ ко всей схеме в пределах домена или леса. Новые возможности:

Аудит создания – изменения – удаления объектов схемы, сохраняется новое и предыдущее значения.

Поддержка в режиме Core.

Управление репликацией LDS с помощью AD Sites & Services.

Database mounting tool – возможность сравнения данных содержащихся в актуальной базе данных и ее резервной копии.

Установка и конфигурирование:

Добавляем роль Active Directory Lightweight Directory Services

Administrative Tools -> Active Directory Lightweight Directory Services Setup Wizard o Unique Instance o Имя инстанции o Порты прослушиваемые LDS (по умолчанию 389 636) o Application Directory Partition -> Имя партиции

o Расположение файлов LDS o Service Account – по умолчанию Network Service o Указать административный аккаунт для AD LDS o Указать LDIF-файл (для использования AD Sites & Services)

Инструменты для работы с LDS

ADSI Edit (соединится с сервером LDS, указать порт)

AD Sites & Services (управление репликацией между сайтами содержащими LDS). o В процессе конфигурирования LDS-инстанции должен быть импортирован файл MS-

ADLDS-DisplaySpecifiers.ldf для использования ADS&S o указать сервер LDS, указать порт (LDSServer.office.local:389)

Active Directory Rights Management Service (AD RMS) – средство назначения прав на документ.

Создание файла с

защищенным

содержимым

RMS

Выпускает rights account certificate

удостоверяющий что пользователь

имеет право создавать защищенное

содержимое

Выпуск лицензий для открытия

защищенного содержимого и

применение политик использования

содержимого

До установки требуется установить IIS и MessageQueuing

В процессе конфигурирования установки надо будет указать сертификат (если будет

использоваться SSL, а не HTTP)

Теперь может использовать самоподписанные сертификаты (предыдущие версии получали от Микрософт) – т.е. требуется CA

Возможность делегирования встроенных RMS-ролей для администрирования: o AD RMS Service Group o AD RMS Enterprise Administrators o AD RMS Template Administrators o AD RMS Auditors

Интеграция с AD FS Active Directory Federation Services (AD FS) только Enterprise и Datacenter – средство «объединенной» аутентификации. Не может соединятся с Windows 2003 AD (с R2 может).

Инфрастуктура открытого ключа Новые возможности PKI

Оснастка PKIView – позволяет мониторить CA

Обновленный элемент управления Web Enrollment

Новые возможност и настройки сертификатов с помощью групповой политики

Петя Маша

private key

public key

Петя отправляет сертификат своего открытого ключа Маше

Маша

Маша расшифровывает полученное письмо открытым ключом

Маша

Маша шифрует отправляемое письмо открытым ключом

Маша

Петя расшифровывает полученное письмо закрытым ключомПетя

private key

public key

Public и Private key хранятся в профиле пользователя: Public - Documents and Settings\%UserName%\System Certificates\My\Certificates Private - Documents and Settings\%UserName%\Crypto\RSA При удалении профиля пользователя ключи будут утеряны. Выпуск сертификата стандарта X.509:

private key

public key

Пользователь или компьютер генерирует пару окрытый/закрытый ключ и отправляет

запрос + открытый ключ САСА

private key

public key

САСА проверяет открытый ключ и данные и выпускает сертификат

При установке CA следует указывать distinguished name (различающееся имя) . CN=Litware ,DC=Fabrikam,DC=COM String Attribute type DC domainComponent CN commonName OU organizationalUnitName O organizationName Типы используемых сертификатов:

User certificate – наиболее часто используемый тип сертификатов. Обычно выпускаются автоматически, без вмешательства пользователя.

Machine certificate – основное применение это взаимная аутентификация сервер-сервер или клиент-сервер.

Application certificate

Для смарткарт используется только протокол аутентификации EAP Типы СА

Enterprise Для работы требуется AD. Использует Kerberos или NTLM для предварительной аутентификации пользователей перед выдачей сертификата.

Standart

Root

Subordinate Способы запроса сертификата

Autoenrollment Доступен только пользователям XP 2003 2008. Может быть сконфигурирован с помощью групповой политики.

Оснастка Сертификаты

Web браузер http://servername/certsrv

Резервное копирование Микрософт рекомендует делать backup состояния системы, при этом резервируется и хранилище сертификатов. Второй вариант – сделать backup CA из оснастки управления – certsrv.mgr

Роли для администрирования

CA Administrator

Certificate Manager

Backup Operator

Auditor

Enrollee

Public-Key Cryptography Standards (PKCS)

PKCS #1 – описывает синтаксис public (сертификаты) и private keys

PKCS #5 – метод шифрования с использованием строки секретного ключа

PKCS #8 – Private-key Information Syntax Standard and describes a method of communication for private-key information that includes the use of public-key algorithm and additional

PKCS #9 – Selected Attribute Types and defines the types of attributes for use in extended certificates (PKCS #6), digitally signed messages (PKCS #7), and private-key information (PKCS #8)

AD Резервное копирование и восстановление В Windows 2008 используется новая технология backup-а, не совместимая с предыдущей NTBackup. Backup 2008 работает с vhd-файлами, не может делать копии на ленту, но может на DVD, диски, и сетевые ресурсы.

Windows Backup – это features

С его помощью нельзя сделать резервную копию определенных файлов и папок, только дисков

Расписания backup-а не могут делать резервные копии на сетевые диски и папки

Утилита управления резервным копированием из командной строки – wbadmin

Данные состояния системы можно резервировать только с помощью wbadmin WBADMIN START SYSTEMSTATEBACKUP -backupTarget:e:

Данные состояния системы можно резервировать только на локальные диски и только потом переносить куда-либо

На DVD и флешки можно делать резервные копии только с помощью wbadmin

С DVD или флешек восстановить можно только целиком том, нельзя восстановить отдельные файлы и папки

Если нам нужно открыть старые архивы BKF, то грузим с сайта Микрософт ntbackup для 2008

только диски целиком

wbadmin состояние системы

Восстановление системы на рядовом сервере

1. wbadmin get versions – список резервных копий сделанных на этом сервере 2. выделить в командной строке нужную версию и скопировать в буфер - 01/13/2008-05:55 3. wbadmin Start SystemStateRecovery -version: 01/13/2008-05:55

Восстановление отдельных файлов и папок

1. Указать дату на которую требуется восстановление 2. Выбрать тип восстановления:

a. Files and folders b. Applications c. Volumes

3. Выбрать Files and folders, указать требуемые элементы 4. Указать место куда надо восстанавливать файлы и папки

Восстановление контроллера домена

F8 – Directory Services Restore Mode

Если предварительно надо было сменить пароль режима восстановления, то: o ntdsutil o ser dsrm password o reset password on server NULL o password o quit

Authoritative Restore – используется когда объект удален и изменения реплицированы на остальные DC

o грузимся в DSRM o wbadmin get versions o выбираем версию резервной копии, которая сделана до удаления объекта o wbadmin start SystemStateRecovery –version:имя версии o НЕ перезагружаем компьютер o ntdsutil o activate instance ntds o authoritative restore o restore subtree CN =

restore subtree “cn=users,dc=office,dc=local” – контейнер Users restore subtree “dc=office,dc=local” – весь домен

o quit o ПЕРЕЗАГРУЖАЕМ

Резервное копирование и восстановление GPO С помощью GPMC (собственно ничего не изменилось по сравнению с 2003). Единственное важное отличие – в 2008 появилось понятие Starter GPO. StarterGPO не резервируется таким образом, надо выделить папку StarterGPO и отдельно выбрать команду BackupAll

Обслуживание AD В 2008 появилась возможность останавливать AD Domain Services без перезагрузки компьютера и остановки других сервисов. Остановка AD Directory Services также останавливает:

File Replication Services

Kerberos Key Distribution Center

Intersite messaging

DNS

DFS Replication Перезагрузка AD DS также перезагружает все указанные сервисы. Дефрагментация базы данных AD (ntds.dit – c:\windows\NTDS)

Stop AD DS

Run – ntdsutil

Activate instance ntds

Files

Info

Compact to c:\windows\ntds\defragged

Quit

Удалить ntds.dit из c:\windows\ntds

Удалить edb.log из c:\windows\ntds

Переместить ntds.dit из c:\windows\defragged в c:\windows\ntds

Restart AD DS Расчет размера под файлы AD

Ntds.dit +20% или 500 Мб свободного пространства

Лог-файлы +20% или 500 Мб свободного пространства

Диагностика AD Replmon – устанавливается из SupportTools с DVD Server 2008 (не нашел никаких SupportTools на диске 2008, скачал с сайта Микрософт exe-шник, установил, заработало).

Просмотр статуса репликации и топологии репликации

Запуск репликации

Update Status Перепроверка статуса репликации на данном сервере

Check Replication Topology Вызов KCC для перерасчета топологии репликации

Synchronize Each Directory Partition with all Servers

Запуск немедленной репликации всех разделов каталога с каждым партнером репликации

Show Domain Controllers in Domain Список всех DC

Show Replication Topologies Графическое представление топологии репликации

Show Group Policy Object Status Список всех политик домена с номерами

версий

Show Global Catalog Servers in Enterprise Список всех серверов GC

Show Bridgehead Servers Все bridgehead серверы в двух вариантах – этого сайта и всего предприятия

Show Trust Relationships Все трасты в домене

Show Attribute Meta-Data for AD Object Данные аттрибута указанного объекта AD

RepAdmin – утилита командной строки. Устанавливается также с SupportTools

Просмотр и изменение топологии репликации

Запуск репликации System Resource Manager (WSRM) – features устанавливаемая при необходимости. Позволяет задавать политики распределения загрузки процессора, когда нагрузка становится более 70%

Equal per process – распределение процессорного времени равномерно между процессами.

Equal per user – распределение процессорного времени равномерно среди пользователей. Полезно для сервера приложений.

Equal per session – распределение равномерно между сессиями. Полезно для терминальных серверов.

Equal per IIS application pool session – равномерно среди веб приложений IIS, остальным по остаточном принципу.

Также можно создавать свои политики и назначать правила смены политик.

Reliability and Performance monitor - perfmon (монитор производительности и надежности)

Причины создания нескольких доменов

Группы пользователей имеют сильноразличающиеся требования по безопасной аутентификации и контролю доступа.

Группы пользователей должны быть административно разделены по соображениям безопасности.

Требуется обязательное децентрализованное администрирование.

Требуются различающиеся адресные пространства.

Разделение огромного географически распределенного домена на более управляемые участки.

Наследование от существующей структуры NT. Репликация разделов каталога

Schema partition

Configuration partition

Application partition

Любой набор

контроллеров домена

Domain partition

Global Catalog

Сервера глобального каталога

Все контроллеры леса

Все контроллеры домена

Описание всех объектов и их возможных свойств

Топология репликации (в том числе и сайты)

Все объекты домена и их свойства

Частичная реплика объектов леса, для облегчения поиска (при поиске незвестно либо DN либо какая партиция леса может содержать этот объект)

Когда DC не находит в базе аккаунта пользователя, он обращается к GC

GC хранит информацию о членстве в универсальных группах

Сервера глобального каталога размещаются:

o Во всех сайтах содержащих приложения использующие GC для аутентификации o Во всех сайтах соединенных низкоскоростными линиями связи

GC реплицируется через порт 3268

Правильно иметь GC в сайте с 50 или более клиентами

Информация о членстве в универсальных группах хранится только на серверах глобального каталога, рекомендуется редко изменять членство в универальных группах, для уменьшения траффика репликации GC

Универсальные группы могут содержать членов из разных доменов

Для редактирования схемы AD - regsvr32 schmmgmt.dll, после этого добавить оснастку Schema Кэширование членства в универсальных группах – DC при первом входе пользователя опрашивает GC на тему его членства в универсальных группах, кэширует информацию, а затем каждые 8 часов обновляет. Это позволяет сократить время обращения если GC находится на медленной линии от DC. Включается на уровне сайта, в его NTDS settings. Также там можно указать – с какого именно GC обновлять информацию.

Виды репликации и их особенности

Intrasite replication – каждые 15 минут , KCC автоматически создает кольцевую топологию

Intersite replication – по расписанию, по умолчанию каждые 180 минут

SMTP можно использовать только при репликации контроллеров из разных доменов, требуется CA для подписи сообщений.

Мост связей сайтов создает цепочку связей сайтов, через которую контроллеры доменов с разных сайтов в связях сайтов могут напрямую поддерживать связь. Запуск репликации:

Диагностика проблем репликации Event Viewer-ом Включение записи событий в EventViewer В HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics выбрать требуемый параметр AD и указать ему требуемый уровень логирования. Уровень может быть от 0 (только критические события) до 5 (максимально полный). Функциональные уровни лесов и доменов Уровни леса:

Наименование Контроллеры Примечание

2000 2000,2003,2008 Поддерживает смешанное окружение при обновлении. Минимум безопасности при максимуме совместимости

2003 2003,2008 Поддерживает обновление с 2003 на 2008

Улучшенная репликация членства в группах

Новые алгоритмы KCC

Новые аттрибуты в GC

Cross-forest trust

Переименование доменов

Уменьшение ntds.dit RODC

2008 2008

Не добавляет функциональности, но любой домен

добавленный в такой лес будет создаваться уже как домен уровня 2008

Уровни домена:

Наименование Контроллеры Возможности Примечание

2000

2000 Универсальные группы безопасности Поддерживает обновление с 2000 на 2008

2003 Вложенность групп

2008 Преобразование групп из распостранения в безопасность

SIDhistory

Переименование DC

Logon timeshtamp репликация

Пароль для InetOrgPerson

Перенаправление контейнеров User Computers

2003

2003 Универсальные группы безопасности Поддерживает обновление с 2003 на 2008. Включены все возможности 2003

2008 Вложенность групп

Преобразование групп из распостранения в безопасность

SIDhistory

Переименование DC

Logon timeshtamp репликация

Пароль для InetOrgPerson

Перенаправление контейнеров User Computers

2008

2008 Отказоустойчивая репликация SYSVOL Включены все возможности 2008 Kerberos – AES 128 AES 256

Множественные политики паролей для пользователей и групп

Роли FSMO

Лес

Schema Master Только на нем вносятся изменения в схему леса

Domain Naming Master Хранит и изменяет список доменов леса

Домен

Infrastucture Master Хранит ссылки с объектов домена на другие домены

RID Master Выпускает наборы уникальных идентификаторов которые становятся частью SID

PDC Emulator Представляется PDC для всех старых ОС, также только на нем вносятся все изменения паролей и создаются trust relationships

Правильное расположение ролей на контроллерах

RID и PDC Emulator – на одном контроллере

Infrastructure Master – не работает на GC, если домен только один – на любом контроллере (так как IM не используется)

Infrastructure Master должен иметь устойчивую связь с GC

Schema Master + Domain Naming Master – лучше располагать на одном и лучше если он будет GC

DC1 DC2

Schema Master

Domain Naming

RID Master

PDC Emulator

GC Infrastructure Master

Перенос ролей FSMO

Роль Transfer Seize

Schema Master AD Schema ntdsutil*) ntdsutil

Domain Naming Master Domains and Trusts ntdsutil ntdsutil

Infrastucture Master Users and Computers ntdsutil ntdsutil

RID Master Users and Computers ntdsutil ntdsutil

PDC Emulator Users and Computers ntdsutil ntdsutil

*) ntdsutil

roles connections connect to server DC2008 q seize PDC

Доверительные отношения между доменами

dogs.com

fish.com

cats.com

Non-transitive trust Non-transitive trust

В силу нетранзитивности – нет

доверительных отношений

Доступ к ресурсам идет в

обратном направлении

отношениям

User

User

Характеристики доверительных отношений:

Метод создания – автоматический или ручной.

Прозрачность (transitivity) – пример transitive trust – Домен А доверяет домену Б – домен Б доверяет домену С, в результате домены А и С доверяют друг другу. Non-transitive – домены А и С не доверяют друг другу.

Направление – односторонние (домен А доверяет домену Б) и двухсторонние (домен А доверяет домену Б и домен Б доверяет домену А).

Виды доверительных отношений:

Tree-root trust – доверительные отношения установленные между корневыми доменами разных деревьев одного леса. Transitive, two-way.

Parent-child trust – доверительные отношения между доменом и поддоменом. Автоматически создаются при создании домена нижнего уровня, таким образом все объекты в доменах одного дерева автоматически доступны для всех доменов этого дерева. Transitive, two-way.

Shortcut trust – создаются вручную и связывают два любых домена в лесу. Transitive, two-way или one-way.

External trust – создаются вручную между доменами разных лесов или доменами 2003Server и доменами NT4. Nontransitive, two-way или one-way. При добавлении одной компании к другой создаются временно, чтобы не делать серьезных изменений, но дать возможность авторизации.

Forest trust – создаются вручную между корневыми доменами разных лесов. Transitive только между двумя деревьями, two-way или one-way. Позволяет уменьшить число external trust. Т.е. нельзя соединить несколько лесов подряд, авторизация будет работать только в пределах связи двух соседних. Добавили одну компанию к другой, но хотим сохранить оба не связанных леса.

Realm trusts – отношения создающиеся между Windows и не-Windows доменами. Nontransitive, transitive, two-way или one-way.

Implicit (подразумевающиеся) – создаются автоматически между доменами в пределах дерева и между root-доменами деревьев в пределах леса.

Explicit (явные) – создаются вручную.

Создание отношений – New Trust Wizard или netdom. Фильтрация SID Фильтрация SID защищает исходящие доверительные отношения. Она призвана воспрепятствовать раздаче администраторами доверенных доменов неправомерных полномочий в пределах доверяющих доменов. Фильтр SID следит за тем, чтобы в доверяющем домене аутентифицировались только те пользователи доверенного домена, чьи SID содержат SID этого домена. Если деактивировать фильтрацию SID, то внешний пользователь, обладающий правами администратора в доверенном домене, сможет прослушать сетевой трафик доверяющего домена, определить SID администратора, а затем присоединить этот SID к своей истории SID и заполучить права администратора в доверяющем домене. Потенциальной проблемой является то, что если пользователь содержит SID еще какого-то домена (кроме домена А), то ему будет запрещен доступ к ресурсам домена В.

A B

SID только из домена

А ? (и нет никаких

дополнительных)

ДА

НЕ

Т

Фильтр SID

Контроллеры домена только для чтения (RODC) Использование RODC:

Уровень леса должен быть не ниже 2003

Если в домене только контроллеры 2003, то надо выполнить adprep с диска 2008: o Лес: adprep /forestprep на Schema Master o Домен: adprep /domainprep /gpprep o Лес: adprep /rodcprep

Цели развертывания RODC:

1. На RODC по умолчанию хэшированные пароли не хранятся в DIT. Когда пользователь авторизуется в первый раз, RODC передает запрос на авторизацию «настоящему» контроллеру и только тогда получает хэшированный пароль пользователя.

2. Политика репликации паролей на RODC настраивается, т.е. можно указать объекты пароли которых можно кэшировать, и объекты пароли которых хэшировать никогда нельзя.

3. Центр распостранения ключей Kerberos имеет собственный пароль учетной записи krbTGT и собственные ключи.

4. На полном DC RODC не указываются как доверенные (фактически это просто серверы входящие в домен).

5. RODC не включаются в общую топологию репликации.

Схема домена с сайтами (иллюстрация ко всему разделу)

Быстрая линия связи

Медленная линия связи

GC

Клиентов 50 и более

Кэширование членства в универсальных группах. Для того, чтобы не обращаться к GC по медленной линии связи

Частичная реплика всех объектов леса

Членство в универсальных группах

Если в базе DC не

найден аккаунт

пользователя

Репликация по расписанию (180 минут по умолчанию)

Мост связей сайтов (для репликации с несвязанным сайтом напрямую)

Schema master

Domain Naming master

Infrastucture master

PDC emulator

RID master

Репликация автоматически через 15 минут

GC

Лес

Домен

IIS 7 В режиме Core не доступны следующие возможности:

.NET

ASP.NET

Консоль и сервис управления Управление IIS В режиме Server Core нельзя управлять графическими инструментами (даже с удаленной машины). Можно:

WinRS –remote:WebServer …\AppCmd.exe команда

WMI

Com и .Net интерфейсы программирования Appcmd – программа для управления IIS из командной строки. В режиме графического интерфейса:

Безопасность Web-сайта и приложений Встроенные объекты безопасности:

IIS_IUSRS group – группа безопасности, используется для регистрации пула приложений в IIS

IUSR account – имеет одинаковые SID (и сложный случайный пароль) на всех серверах где установлен IIS

Transport Security

VPN

IPSec

SSL/TSL с использованием цифровых сертификатов o Клиент запрашивает безопасное соединение o Сервер отправляет свой public key o Клиент проверяет что это за publlic key

Если клиент доверяет серверному public key, то: Отправляет серверу свой public key Сервер генерирует пароль, шифрует его public key клиента + private key сервера и

отправляет клиенту Начинается обмен информацией зашифрованной сгенерированным паролем

IIS 7 может сам генерить self-signed сертификаты прямо из графического интерфейса. Организация безопасной связи с конкретным сайтом:

1. Нужный сайт – Edit Bindings

2. Add

Authentication security

Anonymous – включена по умолчанию.

Basic – требует имени пользователя и пароля. Подходит для всех платформ, но для защиты логина/пароля требуется SSL

Digest – вместо пароля передается хэш MD5. Минус – пароли хранятся с использованием обратимого шифрования. Advansed Digest не требует обратимого шифрования, но требует IE5 и выше.

Windows – для интранета, браузер передает данные текущего пользователя Windows.

Client Certificates – пользователь представляет сертификат связанный с его аккаунтом. Маппинг сертификатов клиентов может быть:

1. AD Client Certificate Mapping (включается графическим интерфейсом, если включен остальные способы недоступны)

2. One-to-One (правкой текстового файла) 3. Many-to-One (правкой текстового файла)

Authorization security

URL authorization – запрещение/разрешение на доступ к определенным папкам (путям) сайта на основании имени пользователя или членства в группе.

IP authorization - запрещение/разрешение на доступ к определенным папкам (путям)

сайта на основании IP-адреса, сети или доменного имени.

Request Filtering – фильтр запросов на основании расширения файла, ограничения количества запросов, HTTP-методов и так далее. Нет графического интерфейса для конфигурирования.

Уровни доверия ASP.Net приложений Full Устанавливает неограниченные разрешения. Предоставляет приложению ASP.NET разрешения на доступ к

любому ресурсу, управляемому механизмами безопасности операционной системы. Поддерживаются все привилегированные операции.

High Не может: Вызов неуправляемого кода. Вызов компонентов служб. Запись в журнал событий. Обращение к очередям службы очередей сообщений Майкрософт.

Доступ к источникам данных ODBC, OleDb или Oracle.

Medium Не может: Обращение к файлам, располагающимся вне каталога приложения. Доступ к реестру. Выполнение сетевых вызовов и вызовов веб-службы

Low Не может: Запись в файловую систему. Вызов метода Assert.

Minimal Устанавливает минимальный уровень управления доступом для кода, при котором приложению назначаются только разрешения на выполнение.

По умолчанию используется значение Full (без ограничений).

Конфигурационные файлы IIS

schema IIS_Schema.xml FX_Schema.xml ASPNET_Schema.xml RSCAExt.xml

server

site

folder

Web.config

Web.config

Web.config

Machine.config ApplicationHost.config Administration.config Redirection.config

Windows\System32\inetsrv\Config\Schema

Windows\Microsoft.Net\Framework\<VERSION>\Config

Конфигурация

сайта и

приложений

Все приложения

ASP.NET

Windows\System32\inetsrv\Config

Альтернативное

расположение

конфигурации

сервера

Определяет

сайты,

виртуальные

директории и

пулы

приложений

Модули

загружаемые для

администрирования

URL авторизация для

доступа

Логирование IIS По умолчанию – %SystemDrive%\inetpub\logs\LogFiles Масштабирование и производительность IIS

Output caching – наиболее часто статический контент (картинки, клиентские скрипты) сохраняются в памяти, уменьшая число обращений к диску. Кэширование устанавливается в настройках Web-сервера созданием политики кэширования базирующейся на расширениях имен файлов.

Compression – включается на уровне сервера и на уровне сайта

Уровень сервера Уровень сайта

NLB – имеется возможность хранить конфигурационные файлы (administration.config и applicationHost.config) файлы в общем сетевом хранилище.

Резервное копирование и восстановление IIS Делается только из командной строки: AppCmd.exe Add Backup <Описание> AppCmd.exe Restore Backup <Описание> AppCmd.exe List Backup

AppCmd.exe Delete Backup <Описание> По умолчанию резервная копия делается в windows\system32\inetsrv\Backup\папка-<Описание> (см. рисунок): appcmd add backup MyIIS

FTP Активный и пассивный режим FTP

21 >1024

активный

пассивный

20

Номер порта для подключения (>1024)

Сообщенный

номер порта

(>1024)

Номер порта для подключения (>1024)

Сообщенный

номер порта

(>1024) Безопасность FTP

1. Транспортного уровня - SSL a. Клиент запрашивает безопасную сессию b. Сервер посылает клиенту открытый ключ c. Клиент просматривает ключ чтобы убедится, что это подлинный сервер d. Клиент посылает свой открытый ключ e. Сервер генерирует пароль и шифрует его своим закрытым и клиентским открытыми

ключами f. Клиент расшифровывает пароль

Политика SSL (Разрешить – Требовать – Запретить) устанавливается раздельно для Control Channel и Data Channel

2. Аутентификация a. Анонимная b. Базовая – пароль открытым текстом, рекомендуется использовать SSL (см. 1)

3. Авторизация a. URL авторизация – указываем пользователей и их разрешения – Read Write b. IP авторизация – разрешение/запрет доступа на основании IP или домена клиента

Изоляция пользователей (можно установить только при создании нового FTP-сайта):

SMTP SMTP-сервер – это отдельная features, не входящая в число опции IIS Вопросы и ответы по IIS

1. На сервере выполняется несколько приложений, надо чтобы они выполнялись с разными учетными данными – устанавливается на уровне Application Pool

2. URL-авторизация устанавливается в web.config файле сайта

Termial Services

Терминальные службы Server 2008

RDP WEB

desktop remoteApp desktop remoteApp

Компоненты терминального сервера и элементы управления:

Terminal Server o TS Manager – мониторинг пользователей, сессий и процессов на сервере o TS Configuration – свойства RDP-соединения + конфигурирование ферм и управление

Session Broker o TS RemoteApp Manager – управление доступом к определенным приложениям

Terminal Services Licensing – управление CAL

Terminal Services Web Access – Web-доступ к рабочему столу (или приложениям) предварительно сконфигурированных с помощью RemoteApp Manager

Terminal Services Gateway – предоставляет возможность соединения с терминальными серверами компании извне, без установки VPN-канала, RDP-траффик упаковывается в HTTPS (возможные ресурсы к которым может быть предоставлен доступ: терминальные сервера, RemoteApp, компьютеры с включенным RDP)

Terminal Services Session Broker – балансировка нагрузки на ферму терминальных серверов.

Terminal server

Terminal Services Web Access

Terminal Services Gateway

Terminal Services Session Broker

RDP - HTTPS

Terminal server

Terminal server

Terminal server

Возможные области действия сервера лицензирования терминалов:

Forest – рекомендуемая Микрософт практика (для установки требуются права Enterprise Admin). Для того чтобы сервер выпускал пользовательские CAL для другого домена он должен быть добавлен в Terminal Server License Servers группу «другого» домена.

Domain – по умолчанию

Workgroup – эта опция активна, только если сервер лицензирования ставится на компьютер не член домена

Если сервер лицензирования на включен в домен, то на пользователя лицензии не выдаются. Порядок поиска сервера лицензирования:

Явно заданный сервер (настройкой на терминале или групповой политикой)

Расположенный на том же компьютере, что и терминальный сервер

Опубликованный в AD

Расположенный на каком-либо из котроллеров того же домена Публикация сервера лицензирования терминалов (Enterprise Admins + Local Admins):

1. Terminal Server Licenzing Manager -> Review Configuration -> Publish 2. ADSI Edit -> Connect to -> Configuration, в разделе сайты создать новый объект. В AD Sites &

Services связать этот объект с именем требуемого компьютера. Резервное копирование сервера лицензирования терминалов:

1. System State 2. windows\system32\lserver

Распределение ресурсов с помощью Windows System Resource Manager WSRM – дополнительно устанавливаемая feature, которая позволяет распределять ресурсы на основании политик, привязок ко времени и динамически на основании загрузки сервера. Специальные политики для терминального сервера позволяют распределять ресурсы на пользователя и на сессию. Terminal Services Gateway Задача TS Gateway – организация доступа к корпоративным приложениям без VPN. Для достижения этой цели RDP инкапсулируется в HTTPS, TS gateway извлекает RDP траффик и перенаправляет его на требуемые сервера. Последовательность разворачивания TS Gateway

1. Установить SSL сертификат (внешний или выпущенный AD) 2. Связать сертификат с TS Gateway 3. Включить TS Gateway в состав домена 4. Создать Connection Authorization Policy (CAP) (политика авторизации подключения)

Политики авторизации TS CAP определяют, кто может подключиться к шлюзу служб терминалов и указывают, при каких условиях пользователи могут подключаться. Группа пользователей такая-то с помощью метода авторизации смарт-карты, им будут доступны следующие возможности – перенаправление дисков и т.д.

Если пользователь использует

следующий метод авторизации:пароль

смарт-карта

Если пользователь принадлежит к

следующей группе:

Группа пользователей

Группа компьютеров

И (опционально)

Ему доступны следующие возможности:

5. Создать Resource Authorization Policy (RAP) (политика авторизации служб)

TS RAP определяют к каким внутренним ресурсам пользователи могут получить доступ через шлюз служб терминалов. Если пользователь принадлежит к группе то разрешить коннект с указанными компьютерами через указанный диапазон портов.

Если пользователь принадлежит к

следующей группе:

Группа пользователей

Он может соединятся со следующими

терминальными серверами:Через следующий порт (набор портов)

3389

...

Параметры групповой политики для терминальных серверов Компьютер Пользователь

Remote App Доступны через:

1. Web-link (Web-access) – http://имя–терминального-сервера/ts

Требуется RDP 6.1 (2008, Vista SP1, XP SP3) 2. Предварительно созданный RDP-файл

Свойства RDP-соединения Разрешения для терминального доступа:

Full control

Users access

Guest access

Query Information

Запрос информации о терминальном сервере и сессиях

Set information

Разрешение конфигурировать свойства соединения

Remote control Просмотр и управление другими сессиями

Logon Подключение к сессии

Logoff Отключение от сессии

Message Посылка сообщения пользовательской сессии

Connect Подключение к сессии другого пользователя

Disconnect Отключение сессии другого пользователя

Virtual Channels

Назначение разрешений на перенаправление ресурсов и доступ к устройствам клиентского компьютера

Особенности развертывания приложений

1. Перевод сервера терминала в режим инсталляции chgusr /install 2. Перевод сервера терминала в режим выполнения chgusr /execute 3. Есть два сервера TS1 TS2, на TS1 Web-access, но на нем не видны приложения TS2. Опубликовать

приложения с обоих серверов в AD, как репозиторий. Опубликовать приложения с помощью GPO для всех пользователей которые используют Web access.

4. При перемещении приложений на другой сервер RDP-файл надо пересоздать. 5. При использовании Session Broker надо создавать GPO которое назначает терминальным

серверам компьютер на котором расположен Session Broker как их Session Broker компьютер.

IPv6 Сравнение IPv4 и IPv6 IPv4 IPv6

Длина адреса 32 бита 128 бит

Стиль записи 4 октета по 3 цифры, разделитель - . 8 октетов по 4 цифры, разделитель - :

Сокращение .000. = 0 .0000. = ::

Типы адресов public, private, multicast global, local unicast, anycast

IPsec Опционально Требуется

Фрагментация Хосты и роутеры Хосты

Диагностика ICMP ICMPv6

Router discovery Опционально Требуется

Конфигурирование DHCP, manual DHCP, manual, automatic

DNS записи A AAAA

PTR PTR – in-addr.arpa PTR – ip6.arpa

Типы адресов IPv6

Local-link – адреса доступные только в локальной сети FE80::/64

Unique local IPv6 unicast – роутинг в пределах сети, но не в интернет

Global unicast – роутинг в интернет IPv6 2000::/3

Multicast – хост коммуницирует с несколькими получателями

Anycast – адреса назначенные несколькими интерфейсам (только маршрутизаторы)

Special – loopback и другие ::1/128 – loopback

Конфигурирование DHCP IPv6

Весь DHCP траффик использует UDP 67-68

DHCP сервер и DHCP relay agent не могут быть развернуты на одном устройстве

DHCP сервер IPv6 имеет два состояния:

o Statefull – отправляет клиенту адрес и настройки конфигурации o Stateless – только настройки конфигурации

Технологии аутентификации WiFi

EAP-TLS Подключающийся объект и сервер обмениваются сертификатами и взаимно проверяют их подлинность

PEAP-TLS шифрованная сессия создается перед обменом сертфикатами

MS-CHAP2 Аутентификация по паролю, используется только в отсутствии сертификатов

IPSec – фактически, в туннельном режиме (в отличии от транспортного) к пакету пришивается новый IP header

Сетевые технологии 2008 сервера RRAS Изменения в 2008 по сравнению с 2003:

X.25 не поддерживается

IEEE 1394 не поддерживается

IPX/SPX не поддерживается

OSRF не поддерживается

SPAP, MD5-CHAP, MS-CHAP не поддерживаются Протоколы удаленного доступа:

PPTP

L2TP

SSTP – инкапсуляция PPP траффика внутри HTTPS

NAP Созданная с помощью мастера политика «рассыпается» на несколько политик:

Connection Request

Условия (Port type – VPN) Методы аутентификации RADIUS сервер

Network Разрешить/Запретить Группа пользователей Ограничения (время доступа и т.д.) Health Policy

Health Используемый health validator Health validator

Тип ОС – Vista XP Включен ли файрволл Включен ли антивирус

Дата обновления антивируса Автоматическое обновление

Polices

Connection Request

Политика A

Политика N

Network Политика A

Политика B

Политика N

Health

Политика N

NAP

System Health Validators Windows Validator

Политика NAP применятся к следующим видам доступа:

DHCP o DHCP сервер при выдаче адреса проверяет состояние клиента o Если здоров, то выдает полную конфигурацию IP o Если не здоров, то выдает только IP, маску и маршруты к серверам исправлений в

карантинной сети

VPN o VPN проверяет состояние подключающегося клиента (по PEAP) o Если здоров, то разрешает доступ в сеть o Если не здоров, то применяет набор фильтров пакетов, разрешающий доступ

только к ограниченной сети с серверами исправлений

IPSec o Клиент не изолируется, просто не получает сертификата состояния. К другим

машинам сети заранее применяется политика разрешающая соединение только при наличии серфтиката состояния

802.1x o Клиент соединяется с коммутатором с поддержкой 802.1х, коммутатор

перенаправляет запросы клиента на NAP. o Если клиент здоров, то коммутатор разрешает соединение o Если клиент не здоров, коммутатор закрывает этот порт