1. AD - infrastructure

2. Obsah Prednášky
AD Master Servers
AD Sites
AD Trusts

3. FSMO (Flexible Single-Master) role
Doménová struktura (pouze jednou)
Hlavní server schémat
Hlavní server domény
Role domény (pro každou doménu)
Hlavní server relativních ID
Emulátor primárního řadiče domény
Hlavní server infrastruktury
Mohou být pouze Windows server 2000 a novější
Seize a role - ntdsutil

4. Infrastructure master
Master Roles - FSMO
First domain controller in the forest root domain
Forest-wide roles
Schema master
Domain naming master
PDC emulator
RID master
Infrastructure master
Domain-wide roles

5. Nutný prístup při zmene schémy
Schema Master
Jediný DC vo Foreste
Nutný prístup při zmene schémy
Schema mmc konzola – registrcia: regsvr32 schmmgmt.dll

6. Domain naming Master
Server nutný pre pridanie novej domény

7. PDC Emulator
Kontaktuje MS Time server
Ako prvý obsahuje info o zmene hesla užívateľov
Emuluje Primary Domain C pre NT systemy

8. RID master
Relative identifier Master
Prideľuje ostatným DC v doméne určitý pool ID čísel, ktoré můžu vydať při vytvorené nového objektu.
Ked sa čísla pre DC minú tak DC musí kontaktovať RID

9. Infrastructure Master
Server, ktorý kontroluje zmenu objektov v iných doménach.
Nemal by byť na DC kde je Global Catalog, ak GC nie je na všetkých DC servroch v doméne. Pretože by nezistil zmenu.
Ak jedna doména je celý forest, tak nehraje roli

10. Likvidácia Mastra
Seize role cez ntdsutil
Nutnosť dodržať podmeinky prípadného obnovenia
Niektoré – Schema, Naming, RID, nutné kompletne reinštalovať servre. Ak b sa zapojili do AD bez reinštalácia, tak vznika nestabilita AD

11. Právo na seize

12. Postup seize
Cez ntdsutil sa pripojíme na server, ktorý ma získat danú rolu a z neho sa pôvodná rola seize

13. AD Sites
Sites predstavujú fyzickú štruktúru
Servre, ktoré sú spojené rýchlou linkou, tak v jednej site.
Inter a intra site replication

14. Intra Site Replication
Protokol RPC vo svojej špec funkčnosti. Replikacia každych 3 sekundy medzi dvoma servrami.
Topologia, je „ring“ alebo „mash“.
Ring – kruh, max tri skoky, ak potrebujem viac tak automaticky mash
Topologiu zaistuje KCC – Knowledge consitency checker

15. Intra site replication – mash topology
KCC A8
KCC
Automatic Generation of Replication Topology

16. Default First Site – prvá site v ktorej sú všetky servre
Server / NTDS – napr nastavenie GC

17. Subnets
Vzhľadom na to, že v rámci site sú servre rýchlo spojené, tak majú často a IP zo stejnej siete.
Vytvárame IP podsiete, teda rozsahy, kt. Sú pripradené sitam.
Potom napr.: ak užívateľ hľada tiskárnu tak nájde najbližsiu na základe ip site, alebo update neprebieha z inej ale zo tejnej site

18. Sites and subnets B1 IP Subnet A1 Active Directory Sites and Services
Console Window Help
Active View
Tree
Sites
Default-First-Site-Name
Servers
Inter-Site Transports
Subnets
Site
Inter-Site Transport Container
Subnets Container
Name
Type
Redmond-Site
DENVER
NTDS Settings B1 A1
IP Subnet

19. Inter site links
Site links, vyjadruju logické spojenia medzi Sitami
Stanovujeme ktore site sú spojené a akou rýchlou linkou
Default first site link – prvá site link

20. Site Link
IP – je RPC protokol, ktorý ale nie je tak náročný, nie každých 3 s a nevyžaduje okamžitú odpoveď
SMTP – starší postup, nutnosť používať certifkačné autority

21. Site Link
Vytvorenie Site Link
Určujem ktoré site link sú spojené
Nemusia byť len dve

22. Site Link
Cost – náklady - čím pomalšia linka, tým väčší cost
Cost vhodné uvádzať v násobku, napr T1 je asi 3 krát pomalšia ako T3 tak T1 cost 30, T3 cost 10, ale dial up cost 300
Cost – MAX 99999
Replicate every – ako často dochádza k replikacii default 3 h, MAX – tyždeň v min

24. Site links Site Site Link Cost Site IP Subnet IP Subnet IP SubnetA1
RPC or SMTP A2
IP Subnet
IP Subnet
Site B1 B2
Site Link
IP Subnet B3
Cost
IP Subnet
Site

25. Bridge Head Server
O riadenie replikacie na každej strane site link sa stara bridge Head Server
Je určený automaticky na základe GUID servru
Môžem určiť manuálne ale neodporúča sa, pretože ak by vypadol tak iný by sa automaticky neurčil

26. Protokoly: RPC(IP), SMTP
Bridgehead server
IP Subnet A1 A2
Bridgehead Server
Replication B2
Bridgehead Server B1
Intersite Topology Generator
Protokoly: RPC(IP), SMTP

27. Site Link bridges
Vytváraju spojenia medzi Site Linkami.
Nie je nutné default vytvárať pretože existuje def nastavenie – Bridge all site links

28. Site link bridges Site Link Bridge Site Link BC Site Link AB Site B
IP Subnet
Site B
Site A A1 A2
Site Link Bridge B2
Site Link BC
Site Link AB B1 B3 C2 C1
Site C

29. Trusts
Trusts predstavujú dôveru medzi doménami.
Dôvera znamená že si navzájom autentifikujú napr objekty, alebo vedia ich dohľadať navzájom
Niekoľko typov trustov

30. Trusts Forest 1 Forest 2 Tree/Root Trust Forest Trust
Parent/Child Trust
Forest
(root)
Forest
(root)
Domain D
Domain E
Domain A
Domain B
Domain P
Domain Q
Shortcut Trust
Realm
Trust
External
Trust
Domain F
Domain C
Kerberos Realm

31. Trusts

32. Delenie
Incoming trusts – prichádzajúci trust Moja doména je B a mám incomming trust z A, potom platí, že mojí užívatelia: sa můžu autentifikovať na počítačoch domány A
Outgoing trust – znamená že moja doména dôveruje doméne inej a jej užívateľom.
Každý Incomin vytvára na druhej strane outgoing trust

33. Global Catalog
Cetrálna DB všetkých objektov v celom foreste
Default je na Forest root domain C
Obsahuje Read only katalóg ale len základných atribútov objektov
Nutná dostupnosť pre zistenie členstva v skupinách
Môžem ho mať na všetkých DC servroch – zle zvýšená záťaž siete

34. Global catalog
Global Catalog
Read Only

35. Proces AD Edb.chk Update checkpoint Write Request Commint tranzakcie
Zápis do transation buffer
Zápis do DB na disku
Začiatok tranzakcie
Zapis do transaction LOG
Ntds.dit na disku
EDB.log

36. NTDS
Ntds.dit – databaza AD
Edb.log – write ahead buffer
Ed.chk – checkpointy
Res1/2 = bezpečnostné 10 MB súbory ak dôjde miesto na disku

37. Backup
NTBACKUP je nahradené Windows Server Backupom
NTBACKUP bol file based backup, Windows Server Backup je volume based backup – zalohuje cele disky.
Nie je možné zálohovať na pásku ale iba na disk, resp USB, Sieťový disk, DVD.
Nemôžem zalóhovať na stejný disk, ktorý zálohujem.
Vytvára .vhd súbor, je možné pripojiť do Virtual Server app, ako ďalší ale nie bootovací disk.

38. Server Backup
Default nie je nainštalovaný nutná inštalácia:
Nainštaluje sa MMC konzole aj CMD príkazy

39. MMC Windows Server Backu konzola

40. Možnosť FULL – zálohuje všetky partície – neumožní na disk ale len na sieť alebo DVD
Možnosť Custom – zvolím ktoré partície a na ktorý disk uložiť.
Možnosť nastavenia plánovania Backupu

41. Obnovene AD Start F8 do DSRM módu alebo zmena bcdEditu:
Zmena boot do AD restore modu
C:\> bcdedit /set safeboot dsrepair
Prípadne naspäť:
C:\> bcdedit /deletevalue safeboot

42. Non authoritative restore Zistenei verzii:
wbadmin get versions -backuptarget:<targetDrive>: -machine:<BackupComputerName>
Obnovenie
C:\> wbadmin start systemstaterecovery –version:12/03/ :25
No authoritative – obnový DC, ale ak existuje iný DC v doméne a dáta na nom sú aktuálnejšie, tak poštarte bude náš obnovený DC zase prepísaný

43. Authoritative restore
wbadmin start systemstaterecovery <otheroptions> -authsysvol
Authoritative restor, pozor, všetky AD objekty z obnovenej Ad prepíšu dáta na ostatných DC

44. Novinka Win 2008 – trvá krátko, ukladá na lokal disk
Snapshot Backup
Novinka Win 2008 – trvá krátko, ukladá na lokal disk
ntdsutil: snapshot
snapshot: activate instance ntds
Active instance set to "ntds".
snapshot: create
Creating snapshot...
Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully.
snapshot: quit
ntdsutil: quit

45. Mount Snapshotu
Snapshot je možne mountnut na LDAP port napr 10000, táto ad je potom dostupná cez konzoly ako AD users, AD Domains and Trusts, ADSIEdit,....
Možnosť obnoviť konkrétny objekt
C:\> dsamain –dbpath
c:\$snap_ _volumed$\ntds\dit
\ntds.dit -ldapport 10000