Embed Size (px)
DESCRIPTION
Практический опыт внедрения Microsoft Active Directory в распределенных организациях. Константин Леонтьев [email protected] 17 февраля 2012, Киев. Проектирование Active Directory Влияние на логическую архитектуру версий Windows Server. логическая архитектура. - PowerPoint PPT Presentation
Citation preview
Практический опыт внедрения Microsoft Active Directory
в распределенных организациях
Константин Леонтьев[email protected] февраля 2012, Киев
ЛОГИЧЕСКАЯ АРХИТЕКТУРА
Проектирование Active DirectoryВлияние на логическую архитектуру версий Windows Server
Элементы логической архитектуры
• Схема именования объектов (SLD)• Количество лесов• Количество доменов (+Empty Root Domain)• Структура OU• Логика организации групп и вложенности• Количество и размещение GC• Размещение FSMO-ролей
Новые функции для Active Directory Windows Server 2008 Windows Server 2008 R2
Fine Grain Password Policy Инструмент AD Best Practice Analyzer
DFS-R для репликации SYSVOL Корзина - «AD Recycle Bin»
Работа со снимками Базы Данных NTDS.DIT Инструмент AD Administrative Center
Перезапуск служб AD и DSRM Managed Services Accounts
Расширенный аудит событий Поддержка Offline Domain Join
Read Only Domain Controller (RoDC) Обновленный MP для SC Operation Manager
Поддержка AD на Server Core Технология Authentication Mechanism Assurance
Полная поддержка AD на Hyper-V Набор из 76 cmd-lets для Active Directory
Предотвращение случайных удалений в AD Поддержка PowerShell 2.0 в Server Core
Защита контроллера домена BitLocker Службы AD Web Services
Функции Advance Group Policy Management
ФИЗИЧЕСКАЯ АРХИТЕКТУРА
Влияние процесса «DC Locator» на архитектуру Влияние механизмов репликации на архитектуру Влияние протоколов аутентификации на архитектуру
Варианты топологии сайтов
Настройки сайтов
Настройки Branch Office
dnscmd /Config <zone> /AllowNSRecordsAutoCreation <ip list>
dnscmd /Config /RoundRobin
dnscmd /Config /LocalNetPriority
dnscmd /Config /LocalNetPriorityNetMask 0x00000FFF
Microsoft & МРСК-СЗ Confidential
Сетевые настройки портов для репликации
Служба Ветвь реестра Имя Тип
NTDS HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
TCP/IP Port REG_DWORD
NetLogon HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
DCTcpipPort REG_DWORD
NTFRS HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
RPC TCP/IP Port Assignment
REG_DWORD
dfsrdiag StaticRPC /port:<NUMBER> /Member:<SERVERNAME>
Microsoft & МРСК-СЗ Confidential
Трафик пользователей
Канал Только AD AD + Exchange
128 23 9256 47 18512 95 36
Канал Только AD AD + Exchange128 39 15256 79 30512 159 60
Загрузка канала на 30% Загрузка канала на 50%
Работа Kerberos
Работа NTLM
РИСКИ И ПУТИ ИХ РЕШЕНИЯ В ХОДЕ МИГРАЦИИ
Общие риски для разных стратегий миграцииЧастные риски для случая обновления ADЧастные риски для случая миграции ADMT
Общие риски и проблемы
• Риски на КД и серверах:– Поддержка NT4Crypto– Поддержка AES и DES– Леса Single Label– Механизма хранения членства в группах– Ограничения RoDC– Перенос FSMO роли PDC-E– Проблемы в конфигурации Active
Directory
• Риски на рабочих станциях:– WMI filtering в групповых политиках– Выбор ближайшего КД– Выбор ближайшего SYSVOL– Протокол Kerberos (TCP/UDP)
Общие риски:Некорректная архитектура системСбои в NTFS и на дискахКорректная работа разрешения имен DNS/WINSОстановленные службыНекорректные права доступа и локальные политики безопасностиСетевые настройки и межсетевые экраны, NAT, пересечение адресных пространствБизнес-приложения и их совместимость с новой AD
Из практики – основные риски обновления
• Риски на КД и серверах:– Качество репликации и
ее объемы– Методика тестирования
и обновления схемы– Поддержка ПО
установленного на КД
• Риски на рабочих станциях:– Перерыв доступа к КД
Из практики – основные риски миграции
• Риски на КД и серверах:– Взаимное разрешение имен– Совпадение имен доменов– Маршрутизация суффиксов на
доверительных отношениях– Размер билета Kerberos, /3GB– Механизм PAC Validation– Открытые/Закрытые
подмножество групп/пользователей
– Проблема миграции доменных локальных групп
– Установление доверительных отношений W2K8R2 и NT4 (Samba)
• Риски на рабочих станциях:– Зашифрованные файлы EFS– Пароли сайтов в Internet
Explorer– Пароли ящиков в Outlook
Express– Размер билета Kerberos– Обновление профиля MS
Outlook– Домен входа по умолчанию– Членство УЗ мигратора в
локальной группе Administrators– Потери доступа на основе Well
Known Groups домена
Миграция и тестирование приложений• Новый домен: изменяются DNS и NetBIOS имена домена• FQDN имя машины (ее доменный суффикс)• Набор применяемых групповых политик• Доменная часть имен пользователей (UPN суффикс и NetBIOS префикс)• Месторасположение объектов в структуре OU (изменится DN объектов)• SID'ы и GUID'ы пользователей и групп. При этом старые SID'ы могут
сохранятся в атрибуте SID History• Профиль пользователя должен будет ассоциирован с новой учетной
записью• Настройки DNS/WINS в свойствах TCP/IP• Сертификат компьютера• Набор доверенных Root CA• Меняется Default EFS Recovery Agent• Меняется имя и версия PDC Emulator• … и т.п.
