Osnova dnešní přednášky Pracovní skupina x doména Active Directory Ø Něco z historie Ø Použité technologie Ø Pojmy Instalace Active Directory DNS Ø DNS v Active Directory Pracovní skupina x doména Pracovní skupina Ø Malé skupiny PC Ø Omezené možnosti migrace uživatelů Ø Žádné služby navíc Doména Ø Větší množství uživatelů, Ø počítačů Ø a nastavení aplikovatelných na ně Historie — 1993 … Windows NT 3.1 (Advanced Server) — 1994 … Windows NT 3.5 — 1995 … Windows NT 3.51 — 1996 … Windows NT 4.0 — 2000 … Windows Server 2000 (NT 5.0) — 2003 … Windows Server 2003 (NT 5.2) — 2008 … Windows Server 2008 (NT 6.0) Active Directory (AD) Proč? Ø Centralizuje správu síťových zdrojů Ø Centralizuje a decentralizuje management zdrojů Ø Je bezpečným skladištěm objektů s logickou hierarchickou strukturou Ø Optimalizuje síťový provoz Adresářová služba je založena na protokolu LDAP Centralizovaný management AD Decentralizovaný management AD LDAP Lightweight Directory Access Protocol Ø Protokol pro síťový přístup k adresářové službě Ø Co je adresář? Ø Množina informací s podobnými atributy organizovaná do logické hierarchické struktury Ø Potřeby telefonních služeb vedly ke vzniku specifikace X.500 a její implementace DAP Ø DAP nebyl zcela nejvhodnější, chyběla podpora TCP/IP, vznik LDAP Struktura LDAP Ø Adresář je tvořen záznamy ve stromové struktuře Ø Záznamy jsou tvořeny množinou atributů Ø Každý záznam má v rámci stromu jedinečné jméno – Distinguished Name Adresářová služba (Directory Service) Distinguished Name (DN) Logická struktura AD Kopíruje administrativní požadavky, geografickou polohu, … Doména ØSada účtů, počítačů, pravidel, … ØPoddoména – vztah child-parent Strom (tree) ØDvě a více domén se vztahem child-parent Les (forest) ØDva a více stromů Logická struktura AD Je možné zjemňovat členění v doméně: Organizační jednotka (Object Unit, OU) Ø Kontejner pro vlastní objekty Ø Nejjemnější aplikace Group Policy Ø Decentralizace správy Vlastní objekty Ø Množina jedinečných atributů určena ve Schematu Atributy Ø Lze přidávat nové Ø Editovat staré Logická struktura AD Global Catalog (GC) Ø K prohledávání forestu Ø Množina objektů s podmnožinou atributů Trusts Trusty umožňují uživatelům z jedné domény přistupovat ke zdrojům v doméně druhé. Základní hranicí důvěry je forest, nikoliv doména! ØS každou vytvořenou doménou se vytváří i vztah two-way transitive důvěry Typy ØJednocestný x dvoucestný ØTranzitivní ØImplicitní ØShortcut ØExternal ØForest ØRealm Trusts Fyzická struktura AD Sleduje a optimalizuje síťový provoz Ø Kdy a jak bude probíhat replikace mezi servery Domain Controller (DC) Ø Počítač s Windows Server 2000/2003/2008 a službou AD Ø Každý z řadičů domény poskytuje úložné a replikační funkce Ø Na jednom řadiči pouze jedna doména Active Directory Sites Ø Logická jednotka řadičů s rychlým připojením Ø Mezi těmito stroji probíhá komunikace velmi často za účelem replikace údajů Fyzická struktura AD AD partitions Ø Domain partition Ø Doménové objekty Ø Určeno k replikaci Ø Configuration Partition Ø Záznamy o topologii forestu Ø Schema partition Ø Definice forest-wide schématu Ø Každý les má pouze jedno schéma kvůli konzistenci Ø Replikováno na každý z DC Fyzická struktura AD Application partition Ø Volitelné Ø Nevztahují se k bezpečnosti, ale k aplikacím Ø Lze replikovat na vybrané DC § Domain Controllers § Sites § WAN Links Fyzická struktura AD Schema Definuje všechny druhy objektů v AD Object classes Ø User, Printer, Computer Attributes Ø Jediněčně definovány Ø Skládáním tvoříme objekty Operation Masters Multi-master replikace Ø Více masterů – při výpadku jednoho nahrazení jiným Ø Snižuje síťový provoz Flexible single master operation (FSMO) Ø Přidání domény, změna schématu Tyto operace sjednoceny do operations master roles Ø Stroje jež je provádějí – Operation Masters Operation Masters Flexible Single Master Operations Forest-wide Ø Schema Master Ø Udržuje veškeré modifikace schematu forestu Ø Domain Name Master Ø Sleduje jména všech domén ve forestu a je potřeba při přidávání nové nebo rušení existující domény z forestu Flexible Single Master Operations Domain-wide Ø Relative ID Master Ø Každý objekt dostane po vytvoření jedinečné SID Ø Skládá se ze SIDu domény a jedinečného RIDu Ø Každé DC má svůj pool přidělený RID masterem Ø Při nedostatku žádá nový Ø Infrastructure Master Ø Uchovává SIDy, GUIDy a DNs pro možnost odkazování objektů přes domény Ø Aktualizuje záznamy při přesunu objektu mezi doménami Flexible Single Master Operations Ø PDC Emulator Ø Zajišťuje zpětnou kompatibilitu s BDC v NT 4.0 Ø Autoritativní zdroj času v doméně Ø Je upřednostňovaný ostatními DC pro replikaci a ověřování hesel Instalace AD Minimální požadavky Ø Operační systém Windows Server Ø NTFS oddíl s min. 250 MB Ø Administrátorská práva Ø Protokol TCP/IP Ø DNS Server s podporou SRV záznamů Spuštění pomocí Ø Příkazu dcpromo Ø Manage Your Server (v Administrative Tools) Instalace AD DNS název domény Ø Pro zpětnou kompatibilitu i NetBios jméno Dále určíme úložiště důležitých souborů Ø Databáze AD a logy Vytvoření SYSVOL složky Ø Slouží k potřebám replikace Ø Uložení politik, přihlašovacích skriptů (NETLOGON) Nástroje pro správu AD Vizuální MMC Snap-in Ø Active Directory Users and Computers Ø Active Directory Domains and Trusts Ø Active Directory Sites and Services Ø Active Directory Schema Ø Group Policy Management Nástroje pro správu AD Příkazová řádka Ø Dsadd Ø Dsmod Ø Dsquery Ø Dsmove Windows Script Host DNS — Jmenná služba. — Obsahuje důležité informace o zdrojích a službách v AD. — Stroje v síti tak mohou jednoduše lokalizovat AD služby. — Jméno stroje v DNS = jméno stroje v AD. — Název Primary zone odpovídá názvu domény. — DNS domain name (Primary DNS suffix) = jméno domény v AD. — Integrace AD s DNS umožňuje lokalizaci DC v síti tak, že se klient může přihlásit a to díky SRV záznamům. DNS SRV záznamy — SRV záznamy jsou DNS záznamy, které mapují službu na počítač, který ji poskytuje. — Formát SRV záznamu _Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target — Příklad _ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft Konec Děkuji za pozornost J