Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Administration und Management. Björn Schneider Consultant IT-Security ITaCS GmbH Technical Level 300.

Ähnliche Präsentationen


Präsentation zum Thema: "Administration und Management. Björn Schneider Consultant IT-Security ITaCS GmbH Technical Level 300."—  Präsentation transkript:

1 Administration und Management

2 Björn Schneider Consultant IT-Security ITaCS GmbH Technical Level 300

3 Agenda Verbesserungen der Administration Verbesserungen der Administration Management mit Gruppenrichtlinien Management mit Gruppenrichtlinien Active Directory im Detail Active Directory im Detail Automated System Recovery (ASR) Automated System Recovery (ASR) Softwaremanagement mit RIS und SUS Softwaremanagement mit RIS und SUS Windows System Ressource Management Windows System Ressource Management Die neuen Terminal Services Die neuen Terminal Services

4 Verbesserungen der Administration DCPROMO Management Console (MMC) Effektive Berechtigungen

5 DCPROMO Automatische DNS Fehlererkennung Erkennt DNS Probleme beim Hochstufen Erkennt DNS Probleme beim Hochstufen Liefert detaillierte DNS Informationen Liefert detaillierte DNS Informationen Bietet dem Admin eine Autokonfiguration Bietet dem Admin eine Autokonfiguration Konfiguration der Netzwerkkarten Konfiguration der Netzwerkkarten Automatische Installation des DNS Services Automatische Installation des DNS Services Erstellung der DNS Zonen Erstellung der DNS Zonen domain.de domain.de _msdcs.domain.de _msdcs.domain.de DNS

6 DCPROMO AD Installation von Backup Medien Installation eines DCs in einer Außenstelle Installation eines DCs in einer Außenstelle DCPROMO auch mit 128 K/bit Anbindung DCPROMO auch mit 128 K/bit Anbindung Initiale Replikation erfolgt mit Systemstate- Backup (*.bkf) Initiale Replikation erfolgt mit Systemstate- Backup (*.bkf) Grundlage ist ein DC aus der gleichen Domäne Grundlage ist ein DC aus der gleichen Domäne Backup darf nicht älter als 60 Tage sein Backup darf nicht älter als 60 Tage sein Differenzielle Replikation danach übers Netzwerk Differenzielle Replikation danach übers Netzwerk Funktion wird mit Setup Schalter gestartet >dcpromo /adv Funktion wird mit Setup Schalter gestartet >dcpromo /adv

7 Management ConsoleObject Picker und Saved Queries Object Picker zum Finden von Objekten Object Picker zum Finden von Objekten Einfache Suchmaske zum Auffinden und Auswählen von AD-Objekten wie… Einfache Suchmaske zum Auffinden und Auswählen von AD-Objekten wie… Benutzer-, Gruppen- und Computernamen Benutzer-, Gruppen- und Computernamen Saved Queries bei häufigen Suchanfragen Saved Queries bei häufigen Suchanfragen Beliebige LDAP Suchanfragen wiederverwenden Beliebige LDAP Suchanfragen wiederverwenden z.B. Finde alle Benutzerkonten bei denen die letzte Anmeldung mehr als 60 Tage zurückliegt z.B. Finde alle Benutzerkonten bei denen die letzte Anmeldung mehr als 60 Tage zurückliegt

8 Effective Rights Ermitteln der effektiven NTFS-Berechtigungen eines Objektes z.B. Benutzer oder Gruppe Ermitteln der effektiven NTFS-Berechtigungen eines Objektes z.B. Benutzer oder Gruppe Darf Erwin Lindemann die Datei Gehalt.txt lesen?

9 Object Picker Saved Queries Effective Rights

10 Gruppenrichtlinien Neue Policies WMI Filter GPMC, RSoP

11 Gruppenrichtlinien Neue Policy Viele Computer- Ergebnisse Viele User- Ergebnisse Windows 2003 Domain

12 Gruppenrichtlinien Was ist neu? Neue Richtlinien für… Neue Richtlinien für… Drahtlose Netzwerke Drahtlose Netzwerke Terminal Service & IIS Einstellungen Terminal Service & IIS Einstellungen Software Restriction Policy Software Restriction Policy Verwaltbarkeit Verwaltbarkeit Alle Richtlinien voll dokumentiert Alle Richtlinien voll dokumentiert Resultant Set Of Policies (RSoP) Resultant Set Of Policies (RSoP) Group Policy Management Console (GPMC) Group Policy Management Console (GPMC) WMI-Filter WMI-Filter

13 Gruppenrichtlinien Software Restriction Policies Erhöhte Systemsicherheit gegenüber Bedrohung durch malicious code Erhöhte Systemsicherheit gegenüber Bedrohung durch malicious code Erkennt unbekannte oder untrusted Software Erkennt unbekannte oder untrusted Software Wird über GPO verteilt Wird über GPO verteilt 2 Sicherheitslevel (Allow/Deny) 2 Sicherheitslevel (Allow/Deny) Kein Ersatz für Anti-Virus-Programm Kein Ersatz für Anti-Virus-Programm

14 Gruppenrichtlinien Software Restriction Policies

15 Gruppenrichtlinien Group Policy Management Console (GPMC) Verwaltet GPOs im ganzen AD Forrest Verwaltet GPOs im ganzen AD Forrest Einfache Verwaltung aller GPOs in einem Tool Einfache Verwaltung aller GPOs in einem Tool Sehr übersichtliche GPO und OU Darstellung Sehr übersichtliche GPO und OU Darstellung Saubere Dokumentation aller GPO Settings Saubere Dokumentation aller GPO Settings Erstellung von HTML Zusammenfassungen Erstellung von HTML Zusammenfassungen Bequeme Suche nach bestimmten GPOs Bequeme Suche nach bestimmten GPOs z.B. Finde alle GPOs, in denen die Gruppe EDV Rechte zum Editieren besitzt und Folder Redirections gesetzt sind z.B. Finde alle GPOs, in denen die Gruppe EDV Rechte zum Editieren besitzt und Folder Redirections gesetzt sind

16 Gruppenrichtlinien Group Policy Management Console (GPMC) Planungsmodus zur Analyse von GPOs Planungsmodus zur Analyse von GPOs What if Szenarien mit Resultant Set of Policies What if Szenarien mit Resultant Set of Policies Ermöglicht eine Überprüfung von GPOs am Live System Ermöglicht eine Überprüfung von GPOs am Live System OU Planung mit Group Policy Modeling OU Planung mit Group Policy Modeling Ermöglicht Planung von GPOs auf OU Basis Ermöglicht Planung von GPOs auf OU Basis Backup/Restore sowie Import/Export von Gruppenrichtlinien Backup/Restore sowie Import/Export von Gruppenrichtlinien Austausch von GPOs zwischen Active Directories Austausch von GPOs zwischen Active Directories Backup and Restore von GPOs für Notfälle Backup and Restore von GPOs für Notfälle

17 Gruppenrichtlinien Software Restriction Policy WMI Filter GPMC

18 Active Directory im Detail ReplikationTrustsRename Windows 2003 Domain

19 Verbesserte AD Replikation Die neuen Transport Generatoren Gruppenmitglieder sind nun einzelne Objekte Gruppenmitglieder sind nun einzelne Objekte Beseitigung des Two-Way-Edit Problems Beseitigung des Two-Way-Edit Problems Geringere Latenzen bei Intra-Site Replikation Geringere Latenzen bei Intra-Site Replikation Windows 2000: AD Änderungen wurden alle 5 Minuten mit einer Latenzzeit von 30 Sec Repliziert (willkürlich) Windows 2000: AD Änderungen wurden alle 5 Minuten mit einer Latenzzeit von 30 Sec Repliziert (willkürlich) Windows 2003: AD Änderungen werden alle 15 Sec mit einer Latenzzeit von 3 Sec Repliziert Windows 2003: AD Änderungen werden alle 15 Sec mit einer Latenzzeit von 3 Sec Repliziert Schnelle Kompression bei Inter-Site Replikationen (XPRESS Algorithmus) Schnelle Kompression bei Inter-Site Replikationen (XPRESS Algorithmus)

20 Verbesserte AD Replikation Gecachte Global Catalog Informationen Windows 2000 Global Catalog Problematik Windows 2000 Global Catalog Problematik GC ist für eine Domänen Anmeldung erforderlich, da Speicherort der Universal Group Mitgliedschaften GC ist für eine Domänen Anmeldung erforderlich, da Speicherort der Universal Group Mitgliedschaften Windows 2003 DCs können Globale Cataloge cachen Windows 2003 DCs können Globale Cataloge cachen Es werden nur die benötigten Daten über das WAN abgerufen Es werden nur die benötigten Daten über das WAN abgerufen Gecachte Daten werden beim Ausfall des WANs Links genutzt Gecachte Daten werden beim Ausfall des WANs Links genutzt Domänen Anmeldung ist nun mit einem Offline GC möglich Domänen Anmeldung ist nun mit einem Offline GC möglich

21 Cross Forest Authentifizierung Neuer Wizard für Vertrauensstellungen Einfache Erstellung von Vertrauensstellungen Einfache Erstellung von Vertrauensstellungen Zwischen zwei Forests über Kerberos (Transitiv) Zwischen zwei Forests über Kerberos (Transitiv) Zeitgleiche Konfiguration der beiden Active Directory Forests Zeitgleiche Konfiguration der beiden Active Directory Forests Zwischen einzelnen Domänen (W2k3, W2k, NT4) Zwischen einzelnen Domänen (W2k3, W2k, NT4) Zwischen AD und nativem Kerberos v5 Realm Zwischen AD und nativem Kerberos v5 Realm Trust-Firewall beschränkt die Zugriffe Trust-Firewall beschränkt die Zugriffe Eingebauter SID Filter verhindert SID History Angriffe Eingebauter SID Filter verhindert SID History Angriffe Wahlweise eingeschränkter Zugriff über Vertrauensstellungen Wahlweise eingeschränkter Zugriff über Vertrauensstellungen

22 Cross Forest Authentifizierung Geltungsbereiche der Vertrauensstellungen Forest Trust A-B Forest Trust B-C Kein Trust! X

23 Umbenennen von DCs, Domänen Corporate Identity für das Active Directory Umbenennen von Domänen Controller Umbenennen von Domänen Controller Mit Hilfe der UI Computernamen ändern Mit Hilfe der UI Computernamen ändern Mit dem Befehlszeilen Programm NETDOM.EXE Mit dem Befehlszeilen Programm NETDOM.EXE Windows Server 2003 Domain Rename Tool Windows Server 2003 Domain Rename Tool Umbenennen von ganzen Forest Strukturen Umbenennen von ganzen Forest Strukturen Umbenennen einer einzelnen Win2003 Domäne Umbenennen einer einzelnen Win2003 Domäne Umbenennen eines ganzen Win2003 Trees Umbenennen eines ganzen Win2003 Trees Domäne/Forest muss im 2003er Modus sein! Domäne/Forest muss im 2003er Modus sein! Original Kommentar aus dem Domain Rename Whitepaper: it is not intended to make domain rename a routine operation

24 Neue Active Directory Funktionen Und die vielen Änderungen am Rande… Redirecting Default Users and Computers Containers Redirecting Default Users and Computers Containers Deactivation of Attributes/Classes in the Schema Deactivation of Attributes/Classes in the Schema Kerberos Delegation Model Improvements Kerberos Delegation Model Improvements Prevent Overloading Domain Controllers Prevent Overloading Domain Controllers Lingering Objects Removal Mechanism Lingering Objects Removal Mechanism Forceful Domain Controller Demotion Forceful Domain Controller Demotion Synchronize Restore Mode Password Synchronize Restore Mode Password Enhanced Replication Monitoring Enhanced Replication Monitoring Application Directory Partitions Application Directory Partitions Active Directory Object Quotas Active Directory Object Quotas LDAP Improvements LDAP Improvements … und noch einige mehr!

25 Universal Group Caching

26 Desaster Recovery Automated System Recovery (ASR)

27 Disaster Recovery Grundlagen Disaster: Disaster: Physikalische Zerstörung von Computersystemen Physikalische Zerstörung von Computersystemen Feuer, Erdbeben, Wassereinbruch, etc. Feuer, Erdbeben, Wassereinbruch, etc. Katastrophaler Hardwarefehler Katastrophaler Hardwarefehler Meist Storage-Systeme Meist Storage-Systeme Recovery: Recovery: Wiederherstellen der Hardwarekonfiguration Wiederherstellen der Hardwarekonfiguration Wiederherstellen des Betriebssystems und der Anwendungen Wiederherstellen des Betriebssystems und der Anwendungen Wiederherstellen der Nutzdaten Wiederherstellen der Nutzdaten

28 Manuelle Systemwiderherstellung Früher Beschaffung und Einbau neuer Hardware Beschaffung und Einbau neuer Hardware Installation von Windows Server Installation von Windows Server Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen Installation der Backup-Software sowie der benötigten Backupmedien-Treiber Installation der Backup-Software sowie der benötigten Backupmedien-Treiber Wiederherstellung des Betriebssystems Wiederherstellung des Betriebssystems Reboot und Überprüfen der Dienste Reboot und Überprüfen der Dienste Wiederherstellen der Daten Wiederherstellen der Daten

29 Automated System Recovery (ASR) Heute (2003 und XP) Beschaffung und Einbau der neuen Hardware Beschaffung und Einbau der neuen Hardware Booten von der Windows CD Booten von der Windows CD Ausführen von ASR Ausführen von ASR Einlegen des Backupmediums Einlegen des Backupmediums Wiederherstellen der Daten Wiederherstellen der Daten

30 Windows Innstallations- medium ASR Backup Medium ASR Floppy Backup Medium für Daten Online Installationsmedium Backup Software (Optional) Windows CD Automated System Recovery Ablauf

31 Stadium für non-bootable Systeme schaffen, von dem aus Backup/Restore Applikationen ausgeführt werden können Stadium für non-bootable Systeme schaffen, von dem aus Backup/Restore Applikationen ausgeführt werden können Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen Widerherstellung des Betriebssystems und aller Dienste und Anwendungen mit ihren Einstellungen Widerherstellung des Betriebssystems und aller Dienste und Anwendungen mit ihren Einstellungen Mechanismus für Hersteller um auf die ASR- Features zuzugreifen Mechanismus für Hersteller um auf die ASR- Features zuzugreifen Automated System Recovery Ziele

32 Automated System Recovery Unterstützte Konfigurationen Basic und Dynamische Festplatten Basic und Dynamische Festplatten x86 und ia64 Plattformen x86 und ia64 Plattformen MBR und GPT (EFI) Laufwerke MBR und GPT (EFI) Laufwerke Benötigt Floppy Laufwerk ! Benötigt Floppy Laufwerk ! ASR ist keine Netzwerkwiederherstellung, aber ASR ist keine Netzwerkwiederherstellung, aber ASR kann komplett mit RIS automatisiert werden ASR kann komplett mit RIS automatisiert werden Keine Floppy notwendig da PXE Boot Keine Floppy notwendig da PXE Boot Kein F2 um ASR zu starten Kein F2 um ASR zu starten

33 Automated System Recovery

34 Softwaremanagement mit RIS und SUS Remote Installation Service (RIS) Software Update Service (SUS)

35 Remote Installation Service Neue Features Installation von Servern via RIS Installation von Servern via RIS 64-Bit Unterstützung 64-Bit Unterstützung Windows XP 64 Bit Windows XP 64 Bit Windows Server Bit Edition Windows Server Bit Edition NTLMv2 als Authentifizierungsprotokoll NTLMv2 als Authentifizierungsprotokoll Automatisches Autorisierung im AD Automatisches Autorisierung im AD

36 Remote Installation Service Neue Features Unterstützung mehrerer Sprachen Unterstützung mehrerer Sprachen Bearbeiten der multilng.osc und abspeichern als welcome.osc Bearbeiten der multilng.osc und abspeichern als welcome.osc PXE Start auch ohne F12 PXE Start auch ohne F12 startrom.com Starten mit F12 startrom.com Starten mit F12 startrom12.com kein Bestätigen mit F12 startrom12.com kein Bestätigen mit F12

37 Software Update Service Installieren von Betriebssystemupdates über einen internen Install-Server Installieren von Betriebssystemupdates über einen internen Install-Server Für alle Windows 2000, Windows XP und Windows Server 2003 Clients Für alle Windows 2000, Windows XP und Windows Server 2003 Clients Gilt derzeit nur für QFEs von Windows und Internet Explorer Gilt derzeit nur für QFEs von Windows und Internet Explorer Neue Version SUS 2.0 wird erwartet Neue Version SUS 2.0 wird erwartet Alle Patches aller MS Produkte Alle Patches aller MS Produkte Auch Treiber und Empfohlene Software Auch Treiber und Empfohlene Software 3rd Party Integration für andere Software 3rd Party Integration für andere Software

38 Software Update Service Windows Update XML & SOAP Internet Signed Cabs Device Drivers Software Intranet Clientkomponenten: Automatic Update Automatic Update Dynamic Update Dynamic Update Device Manager Device Manager Microsoft XML & SOAP Software Update Server WHQL QFEsFeatures SUS

39 Software Update Service Voraussetzungen Betriebssystem Serverseitig Betriebssystem Serverseitig Windows 2000 Server (IIS 5) Windows 2000 Server (IIS 5) Small Business Server 2000 (IIS 5) Small Business Server 2000 (IIS 5) Windows Server 2003 (IIS 6) Windows Server 2003 (IIS 6) Rollen Serverseitig Rollen Serverseitig Memberserver (Empfohlen) Memberserver (Empfohlen) Seit SUS SP1 auch DC Seit SUS SP1 auch DC Konfiguration der Clients (ab Windows 2000) Konfiguration der Clients (ab Windows 2000) Gruppenrichtline (Empfohlen) Gruppenrichtline (Empfohlen) Registry Eintrag Registry Eintrag

40 Software Update Service

41 Windows System Ressource Management (WSRM) Einsatzmöglichkeiten

42 Windows Ressource Management Was kann WSRM? Definieren von Ressourcenverbrauch für bestimmte Applikationen (CPU und Memory) Definieren von Ressourcenverbrauch für bestimmte Applikationen (CPU und Memory) Wahl des Prozesses, der gemanagt werden soll Wahl des Prozesses, der gemanagt werden soll Setzen der Werte bzw. Limits für Ressourcenverbrauch Setzen der Werte bzw. Limits für Ressourcenverbrauch Managen von Ressourcen mittels Policies Managen von Ressourcen mittels Policies CPU Auslastung (% CPU) CPU Auslastung (% CPU) Process working set size (physical resident pages) Process working set size (physical resident pages) Zugewiesener Speicher (page table und page file usage) Zugewiesener Speicher (page table und page file usage)

43 Windows Ressource Management Was kann WSRM? Zuweisen von Richtlinien zu bestimmten Zeiten Zuweisen von Richtlinien zu bestimmten Zeiten Benachrichtigung bei speziellen Events Benachrichtigung bei speziellen Events Generierung, Darstellung, Speicherung und Export der gesammelten Daten Generierung, Darstellung, Speicherung und Export der gesammelten Daten

44 Windows Ressource Management Einsatzmöglichkeiten Serverkonsolidierungsszenario Serverkonsolidierungsszenario Skalierung von Systemressourcen für Skalierung von Systemressourcen für Eine oder mehrere wichtige LOB Applikationen Eine oder mehrere wichtige LOB Applikationen Große Terminal Server Systeme Große Terminal Server Systeme Mehrere SQL Server Instanzen Mehrere SQL Server Instanzen Ressourcenverbrauch von individuellen IIS6 Applikationspools auf einem Server Ressourcenverbrauch von individuellen IIS6 Applikationspools auf einem Server Falls SQL Server, IIS und Exchange auf der selben Maschine laufen sollten Falls SQL Server, IIS und Exchange auf der selben Maschine laufen sollten

45 Terminal Services RDP 5.2 Session Directory

46 Terminal Dienste Überblick Remote Desktop (Administrationsmodus) Remote Desktop (Administrationsmodus) Lizenzfrei, keine Installation erforderlich Lizenzfrei, keine Installation erforderlich 2 Administratoren + 1 Konsolensitzung MSTSC /CONSOLE 2 Administratoren + 1 Konsolensitzung MSTSC /CONSOLE Zunächst disabled (Paradigma!) Zunächst disabled (Paradigma!) Anwendungsmodus Anwendungsmodus 2x mehr gleichzeitige Nutzer 2x mehr gleichzeitige Nutzer Session Directory Session Directory Zwei Sicherheitsmodelle Zwei Sicherheitsmodelle

47 Terminal Dienste Der neue RDP Client RDP 5.1/5.2 RDP 5.1/5.2 True Color 24 Bit, 1600 x 1024 Auflösung True Color 24 Bit, 1600 x 1024 Auflösung Redirection Redirection Lokale und Netzwerklaufwerke Lokale und Netzwerklaufwerke Lokale und Netzwerkdrucker Lokale und Netzwerkdrucker Serielle und Parallele Ports Serielle und Parallele Ports Sound, Zeitzone Sound, Zeitzone Ganzseitendarstellung, Verbindungsoptimierung Ganzseitendarstellung, Verbindungsoptimierung Volle 128Bit Verschlüsselung (FIPS 140-1) Volle 128Bit Verschlüsselung (FIPS 140-1) Smartcard-Unterstützung Smartcard-Unterstützung

48 Terminal Dienste Der neue RDP Client Windows Client als… Windows Client als… Full Client (.MSI-File) Full Client (.MSI-File) MMC SnapIn MMC SnapIn Web Client (ActiveX-control) Web Client (ActiveX-control) RDP 5.1 Client auch für andere Betriebssysteme RDP 5.1 Client auch für andere Betriebssysteme Windows 9.x, ME Windows 9.x, ME Windows NT Windows NT Windows 2000 Windows 2000 Apple Mac OS X Apple Mac OS X

49 Terminal Dienste Bessere Verwaltung Bessere Verwaltung Remote Desktop Users - Gruppe Remote Desktop Users - Gruppe Neue Gruppenrichtlinien (z.B. Software Restriction Policy, TS Settings) Neue Gruppenrichtlinien (z.B. Software Restriction Policy, TS Settings) Windows System Resource Manager (WSRM) Windows System Resource Manager (WSRM) ADSI und WMI-Zugang zu TS-Settings ADSI und WMI-Zugang zu TS-Settings Fast Reconnect Fast Reconnect Session Cookie zum Identifizieren des Benutzers Session Cookie zum Identifizieren des Benutzers Session Directory Session Directory Erlaubt das Zuordnen verlorener TS-Sessions zum ursprünglichen NLB-Knoten Erlaubt das Zuordnen verlorener TS-Sessions zum ursprünglichen NLB-Knoten

50 Terminal Dienste Session Directory TS-2 TS-1 TS-3 Cluster für Session Directory und Benutzerprofile TSFARM (NLB) Jane Doe *********** Jane Doe Keine aktive Session X

51 Terminal Dienste Session Directory TS-2 TS-1 TS-3 Cluster für Session Directory und Benutzerprofile Jane Doe *********** Jane Doe Aktive Session auf TS-2 Reconnect to TS-2 ! Jane Doe ***********

52 Terminaldienste Session Directory

53 Ressourcen Windows Server 2003 Home Windows Server 2003 Home Neue Features /evaluation/features/featuresorter.aspx Neue Features /evaluation/features/featuresorter.aspx /evaluation/features/featuresorter.aspx /evaluation/features/featuresorter.aspx Windows Resource Manager /downloads/wsrm.mspx Windows Resource Manager /downloads/wsrm.mspx /downloads/wsrm.mspx /downloads/wsrm.mspx Domain Rename Tools /downloads/domainrename.mspx Domain Rename Tools /downloads/domainrename.mspx /downloads/domainrename.mspx /downloads/domainrename.mspx Lizenzierung /howtobuy/licensing/default.mspx Lizenzierung /howtobuy/licensing/default.mspx /howtobuy/licensing/default.mspx /howtobuy/licensing/default.mspx

54

55

56 Ihr Potenzial. Unser Antrieb.


Herunterladen ppt "Administration und Management. Björn Schneider Consultant IT-Security ITaCS GmbH Technical Level 300."

Ähnliche Präsentationen


Google-Anzeigen