Administration und Management <<Presentation Title>> Administration und Management Administration - Betriebssysteme und Applikationen erfolgreich bereitstellen Zu den wichtigsten Aufgaben der Administration gehören die Konfiguration der Clients und die Bereitstellung der Applikationen für die Benutzer. Gruppenrichtlinien, Remote Installation Services, Terminal Services und Windows Update Service sind hier die Stichworte. Wir durchleuchten die Gruppenrichtlinienvereinfachungen mit der neuen GPMC, schauen uns die erweiterten RSoP - Funktionalität (Resultant Set of Policies) genauer an. Mit WMI Filtern lassen sich Gruppenrichtlinien in Abhängigkeit von Benutzer- oder Clienthardware-Eigenschaften anwenden. Die neuen Terminalservices bieten eine Vielzahl neuer und erweiterter Möglichkeiten und lassen sich via AD leicht konfigurieren. Die Windows Update Services ermöglichen das Aufsetzen eines Intranetservers, von dem sich Clients automatisch die neuesten Patches "ziehen".

Administration und Management <<Presentation Title>> Administration und Management Björn Schneider Consultant IT-Security ITaCS GmbH Technical Level 300

Agenda Verbesserungen der Administration Management mit Gruppenrichtlinien Active Directory im Detail Automated System Recovery (ASR) Softwaremanagement mit RIS und SUS Windows System Ressource Management Die neuen Terminal Services

Verbesserungen der Administration DCPROMO Management Console (MMC) Effektive Berechtigungen

DCPROMO Automatische DNS Fehlererkennung Erkennt DNS Probleme beim Hochstufen Liefert detaillierte DNS Informationen Bietet dem Admin eine Autokonfiguration Konfiguration der Netzwerkkarten Automatische Installation des DNS Services Erstellung der DNS Zonen domain.de _msdcs.domain.de

DCPROMO AD Installation von Backup Medien Installation eines DCs in einer Außenstelle DCPROMO auch mit 128 K/bit Anbindung Initiale Replikation erfolgt mit Systemstate-Backup (*.bkf) Grundlage ist ein DC aus der gleichen Domäne Backup darf nicht älter als 60 Tage sein Differenzielle Replikation danach übers Netzwerk Funktion wird mit Setup Schalter gestartet >dcpromo /adv

Management Console „Object Picker“ und „Saved Queries“ „Object Picker“ zum Finden von Objekten Einfache Suchmaske zum Auffinden und Auswählen von AD-Objekten wie… Benutzer-, Gruppen- und Computernamen „Saved Queries“ bei häufigen Suchanfragen Beliebige LDAP Suchanfragen wiederverwenden z.B. „Finde alle Benutzerkonten bei denen die letzte Anmeldung mehr als 60 Tage zurückliegt“

Effective Rights Ermitteln der effektiven NTFS-Berechtigungen eines Objektes z.B. Benutzer oder Gruppe „Darf Erwin Lindemann die Datei Gehalt.txt lesen?“

<<Presentation Title>> Object Picker Saved Queries Effective Rights

Neue Policies WMI Filter GPMC, RSoP Gruppenrichtlinien Neue Policies WMI Filter GPMC, RSoP

<<Presentation Title>> Gruppenrichtlinien Windows 2003 Domain “Neue Policy” Gruppenrichtlinien kurz erklärt Problemstellung des Kunden: Wünsche nach weiteren Steuerungsmöglichkeiten durch GPOs (z.B. Terminal Service, IIS) GPOs können komplex werden Anwendung der GPOs auf Zielobjekte könnte noch flexibler sein Viele Computer- Ergebnisse Viele User- Ergebnisse

Gruppenrichtlinien Was ist neu? <<Presentation Title>> Gruppenrichtlinien Was ist neu? Neue Richtlinien für… Drahtlose Netzwerke Terminal Service & IIS Einstellungen Software Restriction Policy Verwaltbarkeit Alle Richtlinien voll dokumentiert Resultant Set Of Policies (RSoP) Group Policy Management Console (GPMC) WMI-Filter Antworten auf Problemstellung: Hunderte neuer Richtlinien, z.B. Terminalservice IIS-Installationsverbot Eigene Dokumente-Redirection Neue Steuerungsmöglichkeiten Drahtlose Netzwerke Softwareeinschränkung Software-Full Install Flexiblere Anwendungskriterien WMI-Filter Übersichtlichere Verwaltungswerkzeuge RSoP GPMC

Gruppenrichtlinien Software Restriction Policies <<Presentation Title>> Gruppenrichtlinien Software Restriction Policies Erhöhte Systemsicherheit gegenüber Bedrohung durch „malicious code“ Erkennt unbekannte oder „untrusted“ Software Wird über GPO verteilt 2 Sicherheitslevel (Allow/Deny) Kein Ersatz für Anti-Virus-Programm Software restriction policies address the need to regulate unknown or untrusted software. With software restriction policies, you can protect your computing environment from untrusted software by identifying and specifying which software is allowed to run. You can define a default security level of unrestricted or disallowed for a GPO so that software is either allowed or not allowed to run by default. You can make exceptions to this default security level by creating rules for specific software. Systemsicherheit erhöhen gegenüber Virusbedrohung Erkennt unbekannte oder untrusted SW Kein Ersatz für Anti-Virus-Programm Wird über GPO verteilt Sicherheitslevel Unrestricted und Disallowed 4 zusätzliche Regeln möglich Hash, Certificate, Internet Zone, Path

Gruppenrichtlinien Software Restriction Policies <<Presentation Title>> Gruppenrichtlinien Software Restriction Policies

Gruppenrichtlinien Group Policy Management Console (GPMC) Verwaltet GPOs im ganzen AD Forrest Einfache Verwaltung aller GPOs in einem Tool Sehr übersichtliche GPO und OU Darstellung Saubere Dokumentation aller GPO Settings Erstellung von HTML Zusammenfassungen Bequeme Suche nach bestimmten GPOs z.B. „Finde alle GPOs, in denen die Gruppe EDV Rechte zum Editieren besitzt und Folder Redirections gesetzt sind“

Gruppenrichtlinien Group Policy Management Console (GPMC) Planungsmodus zur Analyse von GPOs „What if“ Szenarien mit Resultant Set of Policies Ermöglicht eine Überprüfung von GPOs am Live System OU Planung mit Group Policy Modeling Ermöglicht Planung von GPOs auf OU Basis Backup/Restore sowie Import/Export von Gruppenrichtlinien Austausch von GPOs zwischen Active Directories Backup and Restore von GPOs für Notfälle

<<Presentation Title>> Gruppenrichtlinien Software Restriction Policy WMI Filter GPMC

Active Directory im Detail Windows 2003 Domain Active Directory im Detail Replikation Trusts Rename

Verbesserte AD Replikation Die neuen Transport Generatoren Gruppenmitglieder sind nun einzelne Objekte Beseitigung des Two-Way-Edit Problems Geringere Latenzen bei Intra-Site Replikation Windows 2000: AD Änderungen wurden alle 5 Minuten mit einer Latenzzeit von 30 Sec Repliziert (willkürlich) Windows 2003: AD Änderungen werden alle 15 Sec mit einer Latenzzeit von 3 Sec Repliziert Schnelle Kompression bei Inter-Site Replikationen (XPRESS Algorithmus)

Verbesserte AD Replikation Gecachte Global Catalog Informationen Windows 2000 Global Catalog Problematik GC ist für eine Domänen Anmeldung erforderlich, da Speicherort der Universal Group Mitgliedschaften Windows 2003 DCs können Globale Cataloge cachen Es werden nur die benötigten Daten über das WAN abgerufen Gecachte Daten werden beim Ausfall des WANs Links genutzt Domänen Anmeldung ist nun mit einem Offline GC möglich

Cross Forest Authentifizierung Neuer Wizard für Vertrauensstellungen Einfache Erstellung von Vertrauensstellungen Zwischen zwei Forests über Kerberos (Transitiv) Zeitgleiche Konfiguration der beiden Active Directory Forest‘s Zwischen einzelnen Domänen (W2k3, W2k, NT4) Zwischen AD und nativem Kerberos v5 Realm Trust-Firewall beschränkt die Zugriffe Eingebauter SID Filter verhindert SID History Angriffe Wahlweise eingeschränkter Zugriff über Vertrauensstellungen

Cross Forest Authentifizierung Geltungsbereiche der Vertrauensstellungen Forest Trust A-B Forest Trust B-C X Kein Trust!

Umbenennen von DC‘s, Domänen Corporate Identity für das Active Directory Umbenennen von Domänen Controller Mit Hilfe der UI „Computernamen ändern“ Mit dem Befehlszeilen Programm NETDOM.EXE Windows Server 2003 Domain Rename Tool Umbenennen von ganzen Forest Strukturen Umbenennen einer einzelnen Win2003 Domäne Umbenennen eines ganzen Win2003 Trees Domäne/Forest muss im 2003er Modus sein! Original Kommentar aus dem Domain Rename Whitepaper: “it is not intended to make domain rename a routine operation”

Neue Active Directory Funktionen Und die vielen Änderungen am Rande… Redirecting Default Users and Computers Containers Deactivation of Attributes/Classes in the Schema Kerberos Delegation Model Improvements Prevent Overloading Domain Controllers Lingering Objects Removal Mechanism Forceful Domain Controller Demotion Synchronize Restore Mode Password Enhanced Replication Monitoring Application Directory Partitions Active Directory Object Quotas LDAP Improvements … und noch einige mehr!

<<Presentation Title>> Universal Group Caching

Automated System Recovery (ASR) Desaster Recovery Automated System Recovery (ASR)

Disaster Recovery Grundlagen Physikalische Zerstörung von Computersystemen Feuer, Erdbeben, Wassereinbruch, etc. Katastrophaler Hardwarefehler Meist Storage-Systeme Recovery: Wiederherstellen der Hardwarekonfiguration Wiederherstellen des Betriebssystems und der Anwendungen Wiederherstellen der Nutzdaten

Manuelle Systemwiderherstellung Früher Beschaffung und Einbau neuer Hardware Installation von Windows Server Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen Installation der Backup-Software sowie der benötigten Backupmedien-Treiber Wiederherstellung des Betriebssystems Reboot und Überprüfen der Dienste Wiederherstellen der Daten

Automated System Recovery (ASR) Heute (2003 und XP) Beschaffung und Einbau der neuen Hardware Booten von der Windows CD Ausführen von ASR Einlegen des Backupmediums Wiederherstellen der Daten

Automated System Recovery Ablauf <<Presentation Title>> Automated System Recovery Ablauf Backup Medium für Daten Installationsmedium Backup Software (Optional) Windows CD Windows Innstallations-medium Online ASR Backup Medium ASR Floppy

Automated System Recovery Ziele Stadium für „non-bootable“ Systeme schaffen, von dem aus Backup/Restore Applikationen ausgeführt werden können Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen Widerherstellung des Betriebssystems und aller Dienste und Anwendungen mit ihren Einstellungen Mechanismus für Hersteller um auf die ASR-Features zuzugreifen

Automated System Recovery Unterstützte Konfigurationen Basic und Dynamische Festplatten x86 und ia64 Plattformen MBR und GPT (EFI) Laufwerke Benötigt Floppy Laufwerk ! ASR ist keine Netzwerkwiederherstellung, aber ASR kann komplett mit RIS automatisiert werden Keine Floppy notwendig da PXE Boot Kein F2 um ASR zu starten

<<Presentation Title>> Automated System Recovery

Softwaremanagement mit RIS und SUS <<Presentation Title>> Softwaremanagement mit RIS und SUS Remote Installation Service (RIS) Software Update Service (SUS)

Remote Installation Service Neue Features <<Presentation Title>> Remote Installation Service Neue Features Installation von Servern via RIS 64-Bit Unterstützung Windows XP 64 Bit Windows Server 2003 64 Bit Edition NTLMv2 als Authentifizierungsprotokoll Automatisches Autorisierung im AD Features Mehrere Sprachen Bearbeiten der multilng.osc und abspeichern als welcome.osc Auswahl der entsprechend unterstützten Sprachen PXE Start ohne “F12“ 2 Dateien: Startrom.com und Startrom12.com Startrom.com: Standard, starten mit F12 Startrom12.com: kein Bestätigen mit F12 Umbenennen der startrom12.com in startrom.com 64-bit Unterstützung Verwendet NTLMv2 Authentifizierungs Protokoll

Remote Installation Service Neue Features Unterstützung mehrerer Sprachen Bearbeiten der multilng.osc und abspeichern als welcome.osc PXE Start auch ohne “F12“ startrom.com  Starten mit F12 startrom12.com  kein Bestätigen mit F12

Software Update Service Installieren von Betriebssystemupdates über einen internen Install-Server Für alle Windows 2000, Windows XP und Windows Server 2003 Clients Gilt derzeit nur für QFEs von Windows und Internet Explorer Neue Version SUS 2.0 wird erwartet Alle Patches aller MS Produkte Auch Treiber und Empfohlene Software 3rd Party Integration für andere Software

Software Update Service WHQL QFEs Features Microsoft Device Drivers Software Windows Update http://windowsupdate.microsoft.com Internet Signed Cabs SUS Intranet XML & SOAP Software Update Server Clientkomponenten: Automatic Update Dynamic Update Device Manager XML & SOAP

Software Update Service Voraussetzungen Betriebssystem Serverseitig Windows 2000 Server (IIS 5) Small Business Server 2000 (IIS 5) Windows Server 2003 (IIS 6) Rollen Serverseitig Memberserver (Empfohlen) Seit SUS SP1 auch DC Konfiguration der Clients (ab Windows 2000) Gruppenrichtline (Empfohlen) Registry Eintrag

<<Presentation Title>> Software Update Service

Windows System Ressource Management (WSRM) Einsatzmöglichkeiten

Windows Ressource Management Was kann WSRM? Definieren von Ressourcenverbrauch für bestimmte Applikationen (CPU und Memory) Wahl des Prozesses, der gemanagt werden soll Setzen der Werte bzw. Limits für Ressourcenverbrauch Managen von Ressourcen mittels Policies CPU Auslastung (% CPU) Process working set size (physical resident pages) Zugewiesener Speicher (page table und page file usage)

Windows Ressource Management Was kann WSRM? Zuweisen von Richtlinien zu bestimmten Zeiten Email Benachrichtigung bei speziellen Events Generierung, Darstellung, Speicherung und Export der gesammelten Daten

Windows Ressource Management Einsatzmöglichkeiten <<Presentation Title>> Windows Ressource Management Einsatzmöglichkeiten Serverkonsolidierungsszenario Skalierung von Systemressourcen für Eine oder mehrere wichtige LOB Applikationen Große Terminal Server Systeme Mehrere SQL Server Instanzen Ressourcenverbrauch von individuellen IIS6 Applikationspools auf einem Server Falls SQL Server, IIS und Exchange auf der selben Maschine laufen sollten

Terminal Services RDP 5.2 Session Directory

Terminal Dienste Überblick <<Presentation Title>> Terminal Dienste Überblick Remote Desktop (Administrationsmodus) Lizenzfrei, keine Installation erforderlich 2 Administratoren + 1 Konsolensitzung MSTSC /CONSOLE Zunächst „disabled“ (Paradigma!) Anwendungsmodus 2x mehr gleichzeitige Nutzer Session Directory Zwei Sicherheitsmodelle

Terminal Dienste Der neue RDP Client <<Presentation Title>> Terminal Dienste Der neue RDP Client RDP 5.1/5.2 True Color 24 Bit, 1600 x 1024 Auflösung Redirection Lokale und Netzwerklaufwerke Lokale und Netzwerkdrucker Serielle und Parallele Ports Sound, Zeitzone Ganzseitendarstellung, Verbindungsoptimierung Volle 128Bit Verschlüsselung (FIPS 140-1) Smartcard-Unterstützung

Terminal Dienste Der neue RDP Client Windows Client als… Full Client (.MSI-File) MMC SnapIn Web Client (ActiveX-control) RDP 5.1 Client auch für andere Betriebssysteme Windows 9.x, ME Windows NT Windows 2000 Apple Mac OS X

Terminal Dienste Bessere Verwaltung Fast Reconnect Session Directory Remote Desktop Users - Gruppe Neue Gruppenrichtlinien (z.B. Software Restriction Policy, TS Settings) Windows System Resource Manager (WSRM) ADSI und WMI-Zugang zu TS-Settings Fast Reconnect Session Cookie zum Identifizieren des Benutzers Session Directory Erlaubt das Zuordnen verlorener TS-Sessions zum ursprünglichen NLB-Knoten

Terminal Dienste Session Directory TS-1 TSFARM (NLB) Cluster für Session Directory und Benutzerprofile TS-2 Jane Doe *********** X Jane Doe Keine aktive Session TS-3

Terminal Dienste Session Directory TS-1 Cluster für Session Directory und Benutzerprofile TS-2 Jane Doe *********** Jane Doe *********** Aktive Session auf TS-2 TS-3 Reconnect to TS-2 ! Jane Doe

<<Presentation Title>> Terminaldienste Session Directory

Ressourcen Windows Server 2003 Home http://www.microsoft.com/germany/ms/windowsserver2003/ Neue Features http://www.microsoft.com/windowsserver2003 /evaluation/features/featuresorter.aspx Windows Resource Manager http://www.microsoft.com/windowsserver2003 /downloads/wsrm.mspx Domain Rename Tools http://www.microsoft.com/windowsserver2003 /downloads/domainrename.mspx Lizenzierung http://www.microsoft.com/windowsserver2003 /howtobuy/licensing/default.mspx

<<Presentation Title>> Final Slide #1 Questions and Answers This Slide should be included in all presenations

Ihr Potenzial. Unser Antrieb.