понедельник, 30 августа 2010 г.

Active Directory Schema

http://www.comptechdoc.org/os/windows/win2k/win2kadschema.html

All databases have a schema which is a formal definition (set of rules) which govern the database structure and types of objects and attributes which can be contained in the database. The schema contains a list of all classes and attributes in the forest.

The schema keeps track of:

  • Classes
  • Class attributes
  • Class relationships such as subclasses (Child classes that inherit attributes from the super class) and super classes (Parent classes).
  • Object relationships such as what objects are contained by other objects or what objects contain other objects.

There is a class Schema object for each class in the Active Directory database. For each object attribute in the database, there is an attributeSchema object.

 

Partitions

Active Directory objects are stored in the Directory Information Tree (DIT) which is broken into the following partitions:

  • Schema partition - Defines rules for object creation and modification for all objects in the forest. Replicated to all domain controllers in the forest. Replicated to all domain controllers in the forest, it is known as an enterprise partition.
  • Configuration partition - Information about the forest directory structure is defined including trees, domains, domain trust relationships, and sites (TCP/IP subnet group). Replicated to all domain controllers in the forest, it is known as an enterprise partition.
  • Domain partition - Has complete information about all domain objects (Objects that are part of the domain including OUs, groups, users and others). Replicated only to domain controllers in the same domain.
    • Partial domain directory partition - Has a list of all objects in the directory with a partial list of attributes for each object.

The DIT holds a subset of Active Directory information and stores enough information to start and run the Active Directory service.

 

Schema Container

The schema container is a special container at the top of the schema partitionand is an object created from the directory Management Domain (dMD). It can be viewed using the MMC "Active Directory Schema" console or the Active Directory Services Interface (ADSI) edit utility from the installation CDROM. The distinguished name schema container address is:

/CN=schema/CN=configuration/DC=forest root <domain_name>

Classes and attributes are stored in classSchema objects and attributeSchema objects respectively.

attributeSchema Mandatory Attributes

These attributes provide information about attributes of another Active Directory object.

  • attributeID - Identifies the attribute with a unique value.
  • attributeSyntax - Identifies the object which defines the attribute type.
  • cn - A unicode string name of the attribute.
  • isSingleValued - A boolean variable which when true indicates there is only one value for the attribute. If false, the attribute can have several values.
  • LDAPDisplayName - LDAP unicode name string used to identify the attribute.
  • NTSecurityDescriptor - The object security descriptor.
  • ObjectClass - Is always attributeSchema.
  • OMSyntax - Identifies the object syntax specified by the open object model.
  • SchemaIDGUID - Unique global ID value of the attribute.

classSchema Mandatory Attributes

These attributes provide information about another Active Directory object.

  • cn - A unicode string name of the object.
  • DefaultObjectCategory - A distinguished name of where the object belongs.
  • GovernsID - A unique number identifying the class.
  • LDAPDisplayName - LDAP unicode name string used to identify the object.
  • NTSecurityDescriptor - The object security descriptor.
  • ObjectClass - Is always classSchema.
  • ObjectClassCategory - An integer describing the object class type. The class type is one of the following with values in "()" indicating the integer value used to signify them:
    • Abstract class (2) - A class that can't be an object, but is used to pass attributes down to subclasses.
    • Auxillary class (3) - Used to provide structural or abstract classes with attributes
    • Structural class (1) - These classes can have objects created from them and are the class type that is contained as objects in the directory.
    • Type 88 class (0) - These classes don't have a type and they are class types created before 1993 before class types were established in the X.500 standard.
  • SchemaIDGUID - Unique global ID value of the class.
  • SubClassOf - Identifier of the class parent class.

System Attributes

These system attributes can only be changed by the Directory System Agent (DSA) which manages the Active directory database.

  • systemAuxillaryClass - Identifies the auxiliary protected classes that compose the class.
  • systemMayContain - Optional system protected class attributes.
  • systemMustContain - Required system protected class attributes.
  • systemPossSuperiors - Parent system protected classes.
SAM Read Only Attributes

The SAM is the Security Access Manager.

  • badPasswordCount
  • badPasswordTime
  • creationTime
  • domainReplica
  • isCriticalSystemObject
  • lastLogoff
  • lastLogon
  • LockoutTime
  • modifiedCount
  • ntPwdHistory
  • PrimaryGroupName
  • revision
  • SAMAccountName
  • SAMAccountType
Schema Modifications

The schema should only be modified when absolutely necessary. Control mechanisms include:

  • The schema operations master domain controller is the only controller that the schema can be changed from.
  • The Schema console must have schema modification set to enabled.
  • Each schema object has permissions set through the Windows 2000 security model.

Ways to modify the schema include:

  • Using an application programming interface (API).
  • Lightweight Directory Interface Format (LDIF) scripts.
  • LDIFDE bulk schema modification tool.
  • CSVDE bulk schema update tool.

Document the following when changing the schema:

  • Object issuing authority
  • Object ID
  • Class heirarchy
  • NT security descriptor
  • LDAP display name
  • Common name
  • Class attributes

When the schema is changed, the following checks are done by Active Directory:

  • Consistency - Makes sure identifiers are unique and mandatory attributes exist. Also existance of superclasses in the schema is checked.
  • Safety - Check to be sure Active Directory functionality is not disrupted. Checks the following object types:
    • Category 1
    • Category 2

Understanding the Operations Master Roles

http://www.tech-faq.com/understanding-and-managing-operations-master-roles.html

Active Directory operates in a multi-master replication manner. What this means is that each domain controller in the domain holds a readable, writable replica of the Active Directory data store. In multi-master replication, any domain controller is able to change objects within Active Directory. Multi-master replication is ideal for the majority of information located in Active Directory. However, certain Active Directory functions or operations are not managed in a multi-master manner because they cannot be shared without causing some data uniformity issues. These functions are called Flexible Single Master Operations (FSMOs).

There are five Operations Master (OM) roles which are automatically installed when you install the first domain controller. These five OMs are installed on the domain controller. Two of these OM roles apply to the entire Active Directory forest. The roles that apply to the forest are the Schema Master role and the Domain Naming Master role. The other three OM roles apply to each domain. The roles that apply to a domain are the Relative identifier (RID)/relative ID Master role, the Primary Domain Controller (PDC) Emulator role, and the Infrastructure Master role. When a domain controller is assigned a FSMO, that domain controller becomes a role master. The particular domain controller that is assigned these roles performs single-master replication within the Active Directory environment.

Because domain controllers generally contain the same Active Directory information, when one domain controller is unavailable, the remainder of the domain controllers are able to provide access to Active Directory objects. However, if the domain controller that is lost has one of these OM roles installed, you could find that no new objects can be added to the domain.

Forest-Wide Operations Master Roles

Each Forest-wide OM role can exist on only one domain controller in the entire forest. What this means is that these roles have to be unique in the entire forest. The two forest-wide OM roles are:

  • Schema Master role: Because the objects that exist in the in the schema directory partition define the Active Directory structure for a forest, great control is placed on who can add objects to this partition. Since each domain controller in an Active Directory environment have a common schema, the information in the schema has to be consistent on each domain controller. It is the domain controller that is assigned the Schema Master role that controls which objects are added, changed, or removed from the schema. The domain controller with the Schema Master role is the only domain controller in the entire Active Directory forest that can perform any changes to the schema. You can use the Active Directory Schema MMC snap-in to make changes to the schema, and only if you are a member of the Schema Admins group. Any changes made to the schema would affect each domain controller within the Active Directory forest. You can transfer the Schema Master role to a different domain controller within the forest. You can also seize the role if the existing domain controller holding the role had a failure and cannot be recovered.

  • Domain Naming Master role: As is the case with the Schema Master role, only one Domain Naming Master role is allowed in the entire forest. The domain controller that is assigned the Domain Naming Master role is responsible for tracking all the domains within the entire Active Directory forest to ensure that duplicate domain names are not created. The domain controller with the Domain Naming Master role is accessed when new domains are created for a tree or forest. This ensures that domains are not simultaneously created within the forest. The default configuration is that the first domain controller promoted in a forest, is assigned this role. You can however transfer the Domain Naming Master role to a different domain controller within te forest.

Domain-Wide Operations Master Roles

The three domain-wide OM roles have to unique in each domain within a forest. What this means is that there should be one of each of these roles in each domain. The three domain-wide OM roles are:

  • Relative identifier (RID) Master role: When a security object is created within Active Directory, it is allocated a security ID. The security ID is made up of the domain security ID and a relative ID. The domain security ID is exactly the same for each security ID created in the particular domain. The relative ID on the other hand is unique to each security ID created within the domain. Because each relative ID has to be unique, the domain controller that is assigned the RID Master role is responsible for tracking and for assigning unique relative IDs to domain controllers whenever new objects are created. To ensure efficiency when assigning relative IDs to domain controllers, the domain controller assigned the RID Master role actually generates a set of 500 relative IDs to allocate to domain controllers. As the number of available relative IDs decreases, the RID Master generates more relative IDs to maintain the number of relative IDs available as 500. The default configuration is that the RID Master role and PDC Emulator role is assigned to the identical domain controller. You can however transfer the RID Master role to a different domain controller within the domain.

  • PDC Emulator role: In domains that contain Windows NT Glossary Link Backup Domain Controllers (BDCs), the domain controller which is assigned the PDC Emulator role functions as the Windows NT Primary Domain Controller (PDC). The PDC Emulator role has importance when it comes to replication - BDCs only replicate from a Primary Domain Controller! Objects that are security principles can only be created and replicated by the PDC Emulator. Security principles are Users, Computers, and Groups. It is therefore the PDC Emulator that enables down-level operating systems to co-exist in Windows 2000 and Windows Server 2003 Active Directory environments. After the domain is operating in the Windows Server 2003 functional level, the domain controller assigned the PDC Emulator role continues to perform other operations for the domain.
    These additional functions include the following:

    • All password changes and account lockout requests are forwarded to the PDC Emulator. A domain controller within a domain checks first with the PDC Emulator to verify whether a bad password provided by a user was a recently changed password, and is therefore a valid password.

    • Group policies consist of a Group Policy Container (GPC) in Active Directory, and a Group Policy Template (GPT) in the SYSVOL folder. Because these two items can become out of sync due to multi-master replication, the Group Policy Editor is by default set to the PDC Emulator. This prevents group policy changes from being made on all domain controllers within the domain.

  • Infrastructure Master role: The domain controller assigned the Infrastructure Master role has the following functions within the domain:

    • Updates the group-to-user references when the members of groups are changed. These updates are sent by the Infrastructure Master to the remainder of the domain controllers within the domain via multi-master replication.

    • Deletes any stale or invalid group-to-user references within the domain. To do this, the Infrastructure Master role checks with the Global Catalog for stale group-to-user references.

Planning the Placement of the FSMOs

A mentioned previously, all the OM roles are by default automatically assigned to the first domain controller created for the first domain in a new Active directory forest. Then, when you create either a Glossary Link root domain of a new tree in a forest, or a new child domain, the three domain specific OM roles are assigned to the first domain controller in that domain. In cases where a doain has only one domain controller, each domain specific OM role has to exist on that single domain controller. The two forest specific OM roles stay on the initial domain controller for the first domain created within the forest.

OM roles are usually transferred to other domain controllers when you need to perform maintenance activities, or load balance the existing load of the domain controllers, or simply move the particular OM role to a better equipped domain controller.

In instances where multiple domain controllers exist for a particular domain, consider the following recommendations when placing your Operations Master roles within the domain:

  • Where you have two domain controllers that are direct replication partners and are well-connected, assign the RID Master role, PDC Emulator role and Infrastructure Master role to one domain controller. This particular domain controller would become the OM domain controller for the domain. The remaining domain controller would become the designated standby OM domain controller.

  • It is generally recommended to assign the PDC Emulator and RID Master roles to the same domain controller.

  • However, if the domain which you are placing FSMO roles for is large in size, consider locating the RID Master role and PDC Emulator role on two different domain controllers. Each of these domain controllers should be well-connected to the domain controller designated as the standby OM domain controller for these two roles. This strategy is usually implemented to reduce the load on the domain controller assigned the PDC Emulator.

  • You should place the Schema Master role and the Domain Naming Master role on the same domain controller.

  • You should refrain from assigning the Infrastructure Master role to a domain controller that contains the Global Catalog. The domain controller assigned the Infrastructure Master role should be well-connected to the Global Catalog server. The Infrastructure Master would not operate correctly if the Global Catalog is hosted on the identical domain controller.

Managing Operations Master Roles

Since only one or a few domain controllers are assigned the Operations Master roles, it is important that these specific domain controllers remain functioning in the Active Directory environment. There are essentially two processes involved in the management of FSMOs. These management tasks are outlined below:

  • Because the FSMOs are automatically created when the first domain controller is installed, you might need to transfer OM roles to a more robust server. You would also need to transfer OM roles to a different server before demoting the domain controller hosting them.

  • When a lost domain controller cannot be recovered, you would to need any seize OM roles assigned to the particular domain controller.

Transferring an Operations Master role, involves moving it from one server to a different server. To transfer the Schema Master role, you need to have Schema Admins rights, and to transfer the Domain Naming Master role, you need to have Enterprise Admin rights.

You can use an Active Directory console or a command-line utility to transfer OM roles. The Active Directory MMC consoles that can be utilized to transfer the different FSMOs are outlined below:

  • Active Directory Schema MMC snap-in: For transferring the Schema Master role

  • Active Directory Domains and Trusts console: For transferring the Domain Naming Master role

  • Active Directory Users and Computers console: For transferring the RID Master role, PDC Emulator role, and Infrastructure Master role.

When you seize an OM role, you do it without the cooperation of the existing domain controller that is assigned with the particular OM role. When an OM role is seized, it is basically reassigned to a different domain controller. Before you attempt to seize any OM roles, first try to determine what the reason is for the filure of the existing domain controller which is assigned with the particular OM role. Certain network issues which are likely to be corrected in short time fames are well worth enduring through. Before you seize OM roles, first ensure that the domain controller you are planning to shift these roles to; is indeed powerful enough to uphold these roles. In summary, you should only really seize an OM role if the existing OM cannot be recovered again. You would need to use the Ntdsutil tool command-line tool to seize OM roles.

The Consequences of FSMOs Failing

The following section looks at what actually happens when each FSMO role fails:

  • A Schema Master failure is basically only evident when an Administrator attempts to change the Active Directory schema. What this means is that a Schema Master failure is invisible to your standard network users. You should only seize this role to the domain controller designated as the standby schema master if the existing Schema Master can in fact never be recovered.

  • As is the case with a Schema Master failure, Domain Naming Master failure is only evident if an Administrator is attempting to add a domain to the forest, or remove a domain from the forest. A Domain Naming Master failure can generally not be perceived by your standard network users. You should only seize this role to the domain controller designated as its standby when the existing Domain Naming Master would never be operational again.

  • A RID Master failure is only evident to Administrators if they are attempting to add new Active Directory objects in the particular domain where the RID Master failed. When this happens, the RID Master is unable to allocate relative IDs to the domain controllers on which the new Active Directory objects are being created. A RID Master failure cannot be detected by your conventional network users. You should also generally only seize this OM role when the existing domain controller assigned with the RID Master role would never recover from the failure.

  • An Infrastructure Master failure is also not visible to your standard network users. The failure only impacts Administrators that are attempting to move user accounts, or rename them. Consider moving the role to the designated standby domain controller if the existing domain controller assigned with the Infrastructure Master is to be unavailable for a reasonably extended period of time, and the changes that need to be made are pertinent.

  • Unlike the OM role failures previously described that are not evident to your standard network users, a PDC Emulator failure does impact network users. It is important to immediately seize this role to its designated standby domain controller if the domain contains any Windows NT backup domain controllers. You can always return this role to its previous domain controller when it is recovered and online again.

How to view the existing Schema Master role assignment

  1. Open a command prompt, and enter regsvr32 schmmgmt. Glossary Link dll to register the schmmgmt.dll on the computer.

  2. Click Start, Run, and enter mmc in the Run dialog box. Click OK.

  3. From the File menu, select Add/Remove Snap-in and then select Add.

  4. In the list of available snap-ins, double-click Active Directory Schema.

  5. Click Close. Click OK.

  6. Open the Active Directory Schema snap-in.

  7. In the console tree, right-click Active Directory Schema and select Operations Masters from the shortcut menu.

  8. The Change Schema Master dialog box opens.

  9. You can view the name of the existing Schema Master in the Current Schema Master (Online) box.

  10. Click Close.

How to view the existing Domain Naming Master role assignment

  1. Open the Active Directory Domains And Trusts console from the Administrative Tools menu.

  2. In the console tree, right-click Active Directory Domains And Trusts and select Operations Masters from the shortcut menu.

  3. The Change Operations Master dialog box opens.

  4. You can view the name of the existing Domain Naming Master in the Domain Naming Operations Master box.

  5. Click Close.

How to view the existing RID Master role, PDC Emulator, and Infrastructure Master role assignments

  1. Open the Active Directory Users And Computers console from the Administrative Tools menu.

  2. In the console tree, right-click Active Directory Users And Computers and click All Tasks, and then Operations Masters from the shortcut menu.

  3. The Operations Masters dialog box contains the following tabs:

    • RID tab: The name of the existing RID Master is displayed in the Operations Master box of this tab.

    • PDC tab: In the Operations Master box of the PDC tab, you can view the name of the existing PDC Emulator.

    • Infrastructure tab: The existing Infrastructure Master's name is displayed in the Operations Master box.

  4. Click Close.

How to transfer the Schema Master role to another domain controller

Before you can transfer the Schema Master role to another domain controller, ensure that you have the required Schema Admins rights, and that both domain controllers you are planning to work with are available. Before you can use the Active Directory Schema MMC snap-in, you first have to add it to a MMC.

To add the Active Directory Schema snap-in to a MMC,

  1. Open a command prompt, and enter regsvr32 schmmgmt.dll to register the schmmgmt.dll on the computer.

  2. Click Start, Run, and enter mmc in the Run dialog box. Click OK.

  3. From the File menu, select Add/Remove Snap-in and then select Add.

  4. In the list of available snap-ins, double-click Active Directory Schema.

  5. Click Close. Click OK

To transfer the Schema Master role,

  1. Open the Active Directory Schema snap-in.

  2. Right-click Active Directory Schema in the console tree, and select Change Domain Controller from the shortcut menu.

  3. The options available when the Change Domain Controller dialog box opens are

    • Any DC: If this option is selected, Active Directory will select a new domain controller for the Schema Master role.

    • Specify Name: If this option is enabled, you have to enter the name of the new location for the Schema Master Role.

  4. Click OK

  5. Right-click Active Directory Schema in the console tree again, and choose Operations Master from the shortcut menu.

  6. When the Change Schema Master dialog box opens, click Change.

  7. Click OK when a message appears prompting for verification of the OM role transfer you want to perform.

  8. Click OK to exit the Change Schema Master dialog box.

How to transfer the Domain Naming Master role to another domain controller

You have to be a member of the Enterprise Admin group to transfer the Domain Naming Master role to another domain controller.

  1. Open the Active Directory Domains And Trusts console from the Administrative Tools menu.

  2. In the console tree, right-click Active Directory Domains And Trusts and select Connect To Domain Controller from the shortcut menu.

  3. The Connect To Domain Controller dialog box opens. This is where you specify the name of the new domain controller that should be assigned the Domain Naming Master role.

  4. Click OK

  5. In the console tree, right-click Active Directory Domains And Trusts and select Operations Masters from the shortcut menu.

  6. When the Change Operations Master dialog box opens, click Change

  7. Click Close

How to transfer the RID Master role, PDC Emulator role, or Infrastructure Master role to another domain controller

  1. Open the Active Directory Users And Computers console from the Administrative Tools menu.

  2. In the console tree, right-click Active Directory Users And Computers and click Connect To Doman from the shortcut menu.

  3. When the Connect To Domain dialog box opens, enter the domain name that you want to work with.

  4. Click OK

  5. In the console tree, right-click Active Directory Users And Computers and click Connect To Domain Controller from the shortcut menu.

  6. When the Connect To Domain Controller dialog box opens, specify the new domain controller for the OM role that you are transferring.

  7. Click OK

  8. In the console tree, right-click Active Directory Users And Computers and click All Tasks, and then click Operations Masters from the shortcut menu.

  9. The Operations Masters dialog box opens. On one of the following tabs,

    • RID tab: Click Change to change the location of the RID Master

    • PDC tab: Click Change to change the location of the PDC Emulator

    • Infrastructure tab: Click Change to change the location of the Infrastructure Master.

  10. Click Yes to verify that you want to transfer the particular OM role to a different domain controller.

  11. Click OK. Click Close.

How to seize an Operations Master role

When you seize an OM role, you need to perform the following tasks:

  • Verify that the new domain controller for the role is completely updated with changes performed on the existing domain controller of the particular role. You can use the Replication Diagnostics command-line utility for this verification. Repadmin.exe is included with the Windows Support Tools on the Windows Server 2003 CD- Glossary Link ROM.

  • You would not use the Ntdsutil tool to seize the particular OM role. The Ntdsutil tool first attempts to transfer the role before it actually proceeds to seize the role.

However, if you need to seize the PDC Emulator or Infrastructure FSMOs, you can use the Active Directory Users and Computers console. The Ntdsutil tool has to though be used to seize the other FSMOs - Schema Master role, Domain Naming Master role, and RID Master role. You can however also use the Ntdsutil tool to seize the PDC Emulator role or Infrastructure Master role.

To seize the PDC Emulator or Infrastructure FSMOs using the Active Directory Users and Computers console,

  1. Open the Active Directory Users and Computers console

  2. In the console tree, right-click the domain object, and choose Connect to Domain Controller from the shortcut menu.

  3. Enter the name of the other domain controller. Click OK

  4. To perform the seizure of the role, right-click the domain object and choose Operations Masters from the shortcut menu.

  5. Click either the PDC tab, or the Infrastructure tab

  6. You will notice that the particular OM role is indicated as being offline.

  7. Click Change.

  8. Click OK to verify that you want to transfer the OM role.

  9. Click Yes when prompted to verify that you want to perform a forced transfer.

To seize any OM roles using the Ntdsutil tool,

  1. Click Start, Command Prompt.

  2. Enter the following at the command prompt: ntdsutil. Press Enter

  3. Enter the following at the ntdsutil prompt: roles. Press Enter

  4. Enter the following at the fsmo maintenance prompt: connections. Press Enter

  5. Enter the following at the server connections prompt: connect to server, and the fully qualified domain name (FQDN). Press Enter

  6. Enter the following at the server connections prompt: quit. Press Enter.

  7. Enter one of the following at the fsmo maintenance prompt:

    • seize schema master. Press Enter

    • seize domain naming master. Press Enter

    • seize RID master. Press Enter

    • seize PDC. Press Enter

    • seize infrastructure master. Press Enter

  8. Enter quit at the fsmo maintenance prompt. Press Enter

  9. Enter quit at the ntdsutil prompt.

How to perorm a metadata cleanup

The class objects and attribute objects of the schema are referred to as Glossary Link metadata. A metadata cleanup is usually performed when you are unable to restore a failed domain controller. The cleanup removes any references to the failed domain controller in Active Directory.

To perform the metadata cleanup,

  1. From the command prompt, enter ntdsutil and press Enter.

  2. Enter the following at the ntdsutil prompt: metadata cleanup. Press Enter

  3. Enter the following at the metadata cleanup prompt: connections. Press Enter

  4. Enter the following at the server connections prompt: connect to server, followed by the server name. Press Enter

  5. Enter quit, and press Enter

  6. Enter the following at the metadata cleanup prompt: select operation target. Press Enter

  7. Enter list domains. Press Enter

  8. Enter select domain, followed by the number of the domain that holds the server that you want to remove. Press Enter

  9. Enter list sites. Press Enter

  10. Enter select site, followed by the number of the site that holds the server that you want to remove. Press Enter

  11. Enter list servers in site. Press Enter

  12. Enter select server, followed by the number of the server that you want to remove. Press Enter.

  13. Enter quit and press Enter to return to the metadata cleanup prompt.

  14. Enter remove selected server, and press Enter.

  15. When a message box appears prompting you to verify whether the server should be removed, click Yes

  16. Quit from Ntdsutil.

Windows 2003 Active Directory: An overview

http://www.windowsnetworking.com/articles_tutorials/Windows_2003_Active_Directory_Overview.html

Active directory has been around since the release of Windows 2000 several years ago, and is now a standard sight in many offices. Its inclusion marked a radical change at the heart of the Windows Server platform, one that people are still adjusting to today. In this article, we will be taking a brief look at the history of Active Directory, as well as the current version, Active Directory 2003, and possible future inclusions to the platform.

Published: Dec 18, 2003
Updated: Jul 16, 2004
Section: Articles & Tutorials :: Windows 2003
Author: Oliver Marshall

Times gone by

Some years ago, you could have been excused for thinking that selecting the right server software for your Windows network was a tough job. Microsoft hasn’t always been the toughest dog in the pound. On one hand Microsoft’s NT4 platform provided good integration and, more importantly, a platform that IT managers were immediately familiar with. On the other hand, Novell had a rock solid, lean, and world proven product in Novell Netware (4.1 or 5). The secret at the heart of the world dominance of Novell, and the foot blocking the door of Microsoft in the critical international corporate server market, was the inclusion of a directory service called NDS (Novell Directory Services). Such a directory allowed for scalable and more easily managed networks, and lent itself well to multi-office, global networks, at least it was the better alternative to the provisions in Windows NT4.


Fig 1: Novells NDS was world class…at the time.

For those of you knew to the idea of a Directory in network terms, you can think of it as a telephone directory, with each entry being a network object, such as a user or a printer or a network share, rather than a piece of contact information. This information can be structured in to logical containers, called Organisational Units (OU’s) allowing for a more manageable environment when dealing with large numbers of users and other objects. This directory can be duplicated and replicated across multiple servers, allowing for redundancy and a distributed structure to be built in to the network design. This directory, like its paper based name sake, can be searched quickly an easily, though this can be done far faster than turning the pages of the book. Allowing for a logical structure and design allows IT Departments to apply policies to groups of users or computers based upon the needs of the business.

Clearly, in order for Microsoft to gain global dominance in the server field, they had to rework the server platform, and make it scalable, reliable and resilient from the ground up, and without completely reinventing the wheel. Thus Active Directory was born.

Learning the basics

Before we begin, lets quickly cover the basics of Active Directory. Any Active Directory installation goes hand in hand with a correctly setup DNS server running on your network. The reliance on DNS is apparent in Windows 2000, and it’s almost impossible to run a Windows 2000 network with out it being underpinned by DNS. This is very different from the old NT networks, which could do without, or would most likely use WINS which was a Microsoft ‘alternative’ to DNS offered up at the time. Such is the reliance on DNS, that it should be the first point of call when fault finding an issues with AD working or replication issues.

Active Directory itself is made up of three ‘logical’ partitions, these being ‘Domain’, ‘Configuration’ and ‘Schema’. Within the file system these are stored in the NTDS.DIT on any domain controller. The Domain partition stores information relating to the domain, while the Configuration partition holds information relating to the forest structure. Finally the Schema holds information on the definition of objects within the network. These can roughly be associated, in order, with the following tools; Active Directory Users and Computers, Active Directory Sites and Services, and ADSIEdit.

 

Is there a spin doctor in the house?

You’re not going to be bowled over by swathes of new features in Active Directory 2003, the most visible new features are to be found in the management tools which, as part of the Admin Pak, can be installed on a Windows XP machine and will work quite happily with Windows 2000. One of the most useful features of the new AD tools, for the general IT person, is the ability to create and store queries in Active Directory Users and Computers. You can now create queries to display users, computers, or any other object you can think of, based on pretty much any attribute you can think of. Microsoft have wisely included some predefined criteria, for performing the most common searches, which include; Disabled Accounts, Accounts not logged for xx days, Username (which can be the usual starts with, ends with, or contains etc), Description, and Expired Passwords. These queries alone should be able to help most IT folk, but the list of objects and attributes are endless.


Fig 2: Queries let you quickly find common groups of objects

We will be covering queries in further detail in a future article. There are also significant changes to the Group Policy management facilities of AD Users and Computers. Again, these features will be covered in further detail in future articles.

There are also, however, several overhauls under the bonnet as well that should be given due attention. Clearly the priority with which you regard these new features will depend squarely upon the kind of network you have, it’s structure, and your job role.

 

AD/AM

One of the most interesting features of this release is in actual a separate release balancing on the coat tails of Active Directory 2003. Active Directory / Application Mode (or ADAM to it’s closest friends) is a separate application that should proof to be a boon to application developers and IT Managers alike. As Active Directory is a customisable database that allows for replication across various internet links and connections, many applications (bespoke and otherwise) can use it to store data relating to a package and its users, as well as for authorisation of users. This means that the programmers of such applications needn’t reinvent the wheel when it comes to creating distributed data stores, and development cycles can be reduced. It does, however, introduce several massive problems in turn mainly a big increase in bandwidth and big lag. Network links between branch offices are often slow, the additional data added by such applications can easily result in these lines crawling to halt. Even in the biggest of offices, with the fastest of lines, replication data management can be black art, and additional replication data is never needed. In addition to this issue is that of replication speed. In a busy office with multiple branches (the kind of network that could well make use of such bespoke applications running on distributed data stores such as AD) the replication of all this new data means that none of the offices are ever going to be seeing the latest of information.

Due to these issues most application developers have turned away from using AD as an application data store. Microsoft seeks to change that by introducing a stand alone version of Active Directory tailored towards application data storage. ADAM is available as a download from Microsoft and is installable on either a Windows 2003 server or a Windows XP workstation. When installed it runs in the context of a nominated account, and as it’s separate to Active Directory replication schedules can be configured separately. On top of that, multiple instances of ADAM can run on the same machine, which should allow developers and others alike to test different schema setups far more easily that before.


Fig 3: Active Directory running under XP, who would of thought it!

It should be said that Microsoft has included a new Application Directory Partition feature in AD2003, which allows for a new fourth ‘logical’ partition, called ‘Application’. This new partition is tailor made to store data from 3rd party AD aware programs, and means that data for Ad aware programs can be stored outside of the main three partitions, and can have separate replication schedules. This obviously has several of the advantages that benefit the ADAM approach, but with ADAM you are able to run multiple instances, something which cannot be done with a normal AD installation.

 

Replication improvements

One of the areas that people have been most vocal about is that of replication traffic. Microsoft have long had a reputation for bloat-ware, applications that seem to be unnecessarily large in the file department, and they have been working hard to try to cut down on the amount of data moved across network links in the name of AD replication.

One of the most apparent examples of the new improvements in replication techniques can be seen in the form of Linked Value Replication. This new feature will seem logical to some, but was much desired in the Active Directory 2000. Linked Value Replication allows single values of multi-value attributes to be replicated between servers, so that, for example, when you add a new member to a security group containing 1000 users, only that one new user is replicated. Previously, all the values in multi-valued attributes where replicated, so that all 1000 members would have had to have been replicated in order for just that one new user to be included in the group. Even in my current small network, with three branch offices and 6 servers, this could make a real difference. On side note, Microsoft have now removed the maximum limit of objects within a group which was set to 5000. You can now have an infinite number of members within a group.

With bandwidth in mind, Microsoft has also included ‘cached credentials’. Cached Credentials allow users at remote branch offices, which have a domain controller running,, to log on even without a connection to a Global Catalogue server. Even though modern leased line and wan links are far more reliable than they once were and have up times rated in the area of 99.99%, they still fail, and if you consider that a lot of small remote offices are connected via some form of fixed DSL line you can see why anything that allowed users to get working while a line was down would be a great boon.

One last improvement that can be grouped in to the bandwidth saving category is ‘Install of Replica from Media”, which is, as I’m sure you would agree, a catchy title! In simple terms this allows you install a copy of the Active Directory database via a network copy, or a CD or any other media, rather than relying on the replication to take place across the network.  Imagine, if you will, that you are on site at a remote branch office installing a new Domain Controller. The connection to the branch office is a low speed leased line, or possibly a form of DSL (which may not be the most reliable of beasts), and you know that the AD replication will take some time. In a hurry to move on you pull out a copy of the AD database on CD, or DVD, from your bag of tricks, and install it in a matter of minutes. It would seem that we are being smothered in new bandwidth saving features, which in all is no bad thing.

While I hope that, after reading this article, you agree with me that Active Directory 2003 has some significant improvements over the previous version, there are still several areas where future improvements could be made. The Active Directory is an important, and complex, part of any network, and as such further facilities to document the layout of any Active Directory setup would be very useful.  On a more important note, better tools are needed in the area of Health Monitoring. There are several good tools in the market for monitoring and assessing your Active Directory installation, but these often come with a great cost. Its about time that these kind of tools, at least basic versions of them, where a feature of even the most minimal installations.

If the current version is anything to go by, the future of Active Directory is promising.

Oliver Marshall

воскресенье, 29 августа 2010 г.

Windows Server 2008 R2: Введение

автор Уильям Станек

 

Краткий обзор:

Версии Windows Server

Тур стоимостью 5 долларов

Windows PowerShell 2.0 и WinRM 2.0

Core Parking (Парковка ядра)

План изменений в Active Directory

Кэширование филиалов

К этому моменту, возможно, вы слышали или даже установили Windows Server 2008 R2, который в данной статье я буду называть просто R2. Так как R2 является дополнительным выпуском, вы можете добавить информацию о данном сервере к тому, что вы уже знаете о Windows Server 2008 и Windows 7. Windows Server 2008 R2 строится на усовершенствованиях компании Microsoft, представленных в Windows Server 2008, а также использует одно ядро с Windows 7. Ввиду этого общего ядра, R2 и Windows 7 обладают одинаковыми функциями и компонентами, которыми вы управляете одинаковым способом, работаете ли вы с Windows 7 или R2.

Как и Windows Server 2008, сервер R2 продолжает использовать модульность для языковой независимости и создания образа диска. Компания Microsoft распространяет Windows Server 2008 R2 с образами дисков в формате образов Windows (WIM). Как и Windows 7, R2 использует Windows Preinstallation Environment 3.0 (Windows PE 3.0) для обеспечения служб предустановки и предзагрузки с помощью диспетчера загрузки, которые позволят вам выбирать приложение для загрузки операционной системы. На системах с несколькими операционными системами вы получаете доступ к операционным системам, предшествующим ОС Windows Vista, в среде загрузки с помощью традиционной установки ОС.

Программа установки для Windows Server 2008 R2 устанавливает раздел Windows Recovery Environment (Windows RE) на ваш сервер. Windows RE позволяет вам получить доступ к командной строке для решения проблем, повторной установки из системного образа и выполнения диагностики памяти.

В отличие от Windows 7, Windows Server 2008 R2 не имеет усовершенствований Windows Aero (Aero Glass, Flip, 3D Flip и т.д.), боковую панель Windows, мини-приложений Windows или других усовершенствований внешнего вида. Однако вы можете установить функцию Desktop Experience для того, чтобы добавить возможности рабочего стола Windows 7 на сервер. Добавленные функции Windows 7 включают:таблицу символов, темы рабочего стола, очистку диска, ножницы, звукозапись, центр синхронизации, видео для Windows (поддержка формата AVI), антишпионский модуль Windows Defender и Windows Media Player. Хотя эти функции и позволяют использовать сервер в качестве настольного компьютера, они могут снизить общую производительность сервера.

Знакомство с новшествами в R2

Кроме общего ядра, Windows R2 значительно отличается от Windows 7. Для начала, R2 является первой 64-разрядной операционной системой, выпущенной компанией Microsoft. А именно, R2 поддерживает 64-разрядные системы, разработанные для архитектуры x64. Поддержка 64-разрядных процессоров Itanium (IA-64) больше не является стандартом в операционных системах Windows. Компания Microsoft разработала отдельную версию R2 для компьютеров с процессором Itanium.

Рис. 1. Использование Центра поддержки

Семейство операционных систем R2 включает следующие версии:

  • Windows Server 2008 R2 Foundation Edition предоставляет экономичную основу начального уровня для небольших организаций. Данная версия не имеет поддержки Служб федерации Active Directory (ADFS) или Hyper-V. Ее можно использовать для развертывания центров сертификации, но без обслуживания соответствующих служб. Данная версия поддерживает другие роли, но с некоторыми ограничениями. Также не поддерживаются функции Управления DirectAccess и Отказоустойчивой кластеризации. Версия Foundation Edition поддерживает до 8 ГБ ОЗУ и односокетный дискретный процессор.
  • Windows Server 2008 R2 Standard Edition предоставляет основные службы и ресурсы другим системам в сети. Данная версия поддерживает Hyper-V и имеет ряд ограничений по отношению к другим службам, но не поддерживает ADFS. Ее можно использовать для развертывания центров сертификации, но без обслуживания соответствующих служб. Также не поддерживается функция Отказоустойчивой кластеризации. Версия Standard Edition поддерживает до 32 ГБ ОЗУ и четырехсокетный дискретный процессор.
  • Windows Server 2008 R2 Enterprise Edition предоставляет масштабируемость и доступность корпоративного уровня. Данная версия имеет поддержку всех серверных ролей без ограничений версий Foundation или Standard, и добавляет ряд функций, включая функцию Отказоустойчивой кластеризации. Версия Enterprise Edition поддерживает до 2 ТБ ОЗУ и восьмисокетный дискретный процессор.
  • Windows Server 2008 R2 Datacenter Edition предоставляет глобальную масштабируемость и доступность уровня центра обработки данных и имеет ряд усовершенствованных функций для оперативного добавления памяти, процессоров, оперативной замены памяти и оперативной замены процессоров. Версия Datacenter Edition поддерживает до 2 ТБ ОЗУ и 64-сокетные дискретные процессоры.
  • Windows Server 2008 R2 для систем на основе процессора Itanium предоставляет платформу корпоративного уровня для критически важных бизнес-приложений и для внедрения крупномасштабных решений виртуализации. Данная версия не предназначена для служб ядра, и она поддерживает только роли Application Server и Web Server (IIS) и функцию Отказоустойчивой кластеризации. На момент написания этой статьи больше никакие роли не поддерживались. Данная версия поддерживает до 2 ТБ ОЗУ и 64-сокетные дискретные процессоры.
  • Windows Web Server 2008 предоставляет веб-службы для развертывания веб-узлов и веб-приложений. Данная версия имеет только платформу Microsoft .NET Framework, IIS, ASP.NET, сервер приложений и функции сетевой балансировки нагрузок, а также DNS-сервер, Службу обновления Windows Server и Службы мультимедиа. Данная версия поддерживает до 32 ГБ ОЗУ и четырехсокетный дискретный процессор.

Итак, я представил вам семейство серверов, а теперь посмотрим, как R2 работает, и какие новые функции доступны нам.

Рис. 2. Решение проблем

Тур стоимостью 5 долларов

Центр поддержки, показанный на рис. 1, является базой для всего, связанного с безопасностью и обслуживанием. Если встроенное средство диагностики обнаруживает проблемы, вы найдете информацию об этих проблемах в Центре поддержки и получите больше информации о каждой проблеме. Часто при получении подробной информации о проблеме, вам также будет предложено возможное решение. В примере, показанном на рис. 1, на сервере возникли проблемы со звуковой картой и устройством Intel Active Management. Щелкнув кнопку View Message Details, вы получите подробное сообщение и ссылку на загрузку обновленного драйвера, как показано на рис. 2.

Встроенное средство диагностики не всегда будет выявлять проблемы и предлагать решения, но соответствующие процессы были усовершенствованы по сравнению с предыдущими реализациями. На панели Maintenance panel, вы можете щелкнуть ссылку Check for solutions («Найти решения») для проверки проблем, которые не были определены автоматически.

Единый центр управления сетевыми возможностями, показанный на рис. 3, продолжает быть сервером-концентратором для настройки сети. В Windows Server 2008 R2 сети определяются в соответствии с одной из следующих категорий:

  • Доменная сеть
  • Рабочая сеть
  • Общая сеть

Рис. 3. Использование единого центра управления сетевыми возможностями

У каждой категории есть соответствующий профиль сети. Технология R2 сохраняет настройки обнаружения сети, общего доступа и брандмауэра отдельно для каждой категории сети, что позволяет серверу иметь разные настройки обнаружения сети и общего доступа для каждой категории сети. Брандмауэр Windows обрабатывает входящие правила, исходящие правила и правила безопасности отдельно для каждого профиля сети, а R2 может содержать несколько активных профилей брандмауэра в зависимости от сетей, к которым подключен сервер.

Как и Windows Server 2008, R2 поддерживает функцию TCP Chimney Offload, которая позволяет сетевой подсистеме переместить работу соединения TCP/IP с серверных процессоров на сетевые адаптеры, так как сетевые адаптеры поддерживают разгрузку работы TCP/IP. Как на соединениях TCP/IPv4, так и на соединениях TCP/IPv6 можно произвести разгрузку. По умолчанию, в соединениях TCP можно произвести разгрузку на сетевых адаптерах 10 Гбит/с, но невозможно произвести разгрузку на сетевых адаптерах 1 Гбит/с. Вы можете настроить соответствующие параметры с помощью команды Netsh.

В сервере Windows Server 2008 R2 добавлена поддержка расширений DNS Security Extensions (DNSSEC). DNS-клиент Windows 7 и R2 могут отправлять запросы, отражающие поддержку DNSSEC, записи соответствующих процессов и определять, подтвердил ли DNS-сервер записи со своей стороны. Поддержка DNSSEC позволяет вашему DNS-серверу безопасно подписывать зоны и размещать зоны, подписанные DNSSEC. Также она позволяет DNS-серверам обрабатывать соответствующие записи и проверять достоверность и подлинность записей.

R2 заменяет Службы терминалов и все соответствующие компоненты на обновленное и усовершенствованное предложение под названием Службы удаленного рабочего стола. Службы удаленного рабочего стола дают возможность доступа на основе сеанса к настольным системам, виртуальным машинам и приложениям, размещенным на удаленных серверах. В R2 все роли служб удаленного рабочего стола были переименованы, так как они имеют аналогичные средства управления. На рис. 4 представлено старое и новое имя для каждой службы ролей. На рис. 5 представлено старое и новое имя для каждого средства управления.

Старое имя службы ролей
Новое имя службы ролей

Службы терминалов
Службы удаленных рабочих столов

Сервер терминалов
Узел сеансов удаленных рабочих столов (Узел сеансов RD)

Лицензирование служб терминалов (Лицензирование TS)
Лицензирование удаленных рабочих столов (Лицензирование RD)

Шлюз служб терминалов (Шлюз TS)
Шлюз удаленных рабочих столов (Шлюз RD)

Посредник сеансов служб терминалов (Посредник сеансов TS)
Посредник подключений к удаленному рабочему столу (Посредник подключения RD)

Веб-доступ к службам терминалов (Веб-доступ к TS)
Веб-доступ к удаленным рабочим столам (Веб-доступ к RD)

Рис. 4. Имена служб ролей

Что касается R2, службы сертификации Active Directory (AD CS) добавляют несколько функций и служб, которые упрощают развертывание инфраструктуры открытого ключа (PKI), и предоставляют лучшую поддержку защиты доступа к сети (NAP). Веб-службы регистрации сертификатов и политики регистрации сертификатов активируют регистрацию сертификатов через HTTP и в лесах. Это позволяет консолидировать центр сертификации (CA) в развернутых системах на основе нескольких лесов и уменьшает размеры баз данных CA для некоторых развертываний NAP.

Служба Windows AppLocker заменяет функцию политик ограниченного использования программ. Служба AppLocker помогает администраторам контролировать то, каким образом пользователи могут получить доступ и использовать файлы, например исполняемые файлы, файлы DLL, сценарии и установочные файлы Windows. Служба AppLocker выполняет контроли при помощи установленных правил разрешения, если для файла установлено такое разрешения — он будет выполняться. Файлы, которые не включены в правила, выполняться не будут.

Предыдущее имя средства
Новое имя средства

Диспетчер служб терминалов
Диспетчер служб удаленного рабочего стола

Конфигурация служб терминалов
Конфигурация узла сеансов удаленных рабочих столов

Диспетчер шлюза служб терминалов
Диспетчер шлюза удаленного рабочего стола

Диспетчер лицензирования служб терминалов
Диспетчер лицензирования удаленного рабочего стола

Диспетчер удаленных приложений RemoteApp служб терминалов
Диспетчер удаленных приложений RemoteApp

Рис. 5. Имена средств управления

Версии R2 Enterprise Edition, Database Edition и версия для процессора Itanium имеют поддержку отказоустойчивых кластеров. Отказоустойчивый кластер представляет собой группу независимых серверов, совместно работающих для увеличения доступности приложений и служб. Каждый сервер в кластере, именуемый узлом, может быть настроен на прием отказавших приложений или служб другого сервера в кластере. Технология R2 добавляет командлеты Windows PowerShell для отказоустойчивых кластеров, улучшает процесс проверки достоверности для кластеров и управление кластеризованными виртуальными машинами (поддерживается Hyper-V), которые теперь могут использовать общие тома кластера.

Кроме служб и приложений, которые вы могли настраивать в отказоустойчивом кластере до этого, теперь вы можете настраивать посредника подключения к удаленному рабочему столу для балансировки нагрузок и повторного подключения сессий в ферме серверов удаленного рабочего стола со сбалансированной нагрузкой. Также вы можете настроить процесс репликации DFS для синхронизации папок между серверами внутри сетевых подключений с ограничением пропускной способности. Вы можете внести любой сервер домена в группу репликации.

Пока я рассказывал о кластерах, в R2 были добавлены новые функции для вашего сверхмощного оборудования и решений центра обработки данных, включая Программный инициатор iSCSI и Многопутевой ввод/вывод (MPIO). Программный инициатор Microsoft iSCSI позволяет вам подключать сервер Windows к массиву хранения данных на основе iSCSI через сетевой адаптер Ethernet. В R2 пользовательский интерфейс Инициатора iSCSI был переработан для упрощения доступа к общим настройкам, а также были добавлены новые функции, включая Quick Connect, позволяющие подключаться к основным устройствам хранения данных одним нажатием кнопки.Поддержка загрузки iSCSI для 32 путей в течение времени загрузки, циклический избыточностный контроль и разгрузка дайджеста данных также доступна.

Технология MPIO поддерживает несколько путей хранения данных и улучшает уровень отказоустойчивости соединений для хранения данных. Технология R2 содержит улучшенную систему MPIO для создания отчетов о состоянии, а теперь и для создания отчетов о конфигурации. Оба изменения облегчают процесс получения путей данных. Также вы можете настроить политики балансировки нагрузки с помощью утилиты командной строки MPClaim.

Рис. 6. Использование Центра администрирования Active Directory

Компонент Hyper-V также был значительно улучшен. Улучшения Hyper-V включают в себя новую оперативную функциональную возможность миграции, поддержку динамического хранилища данных виртуальных машин и усовершенствования поддержки процессора и сети.

В конце нашего довольно краткого обзора, я хочу остановиться на Центре администрирования Active Directory, изображенном на рис. 6. Это новое средство предоставляет интерфейс, ориентированный на задачи управления Active Directory. Вы можете использовать это средство для выполнения следующих задач:

  • Подключение к одному или нескольким доменам
  • Создание и управление учетными данными пользователя
  • Создание и управление группами пользователей
  • Создание и управление структурными подразделениями
  • Выполнение глобальных поисков Active Directory

Центр администрирования Active Directory использует Windows PowerShell для выполнения задач администрирования и использует платформу Microsoft .NET Framework 3.5.1. В силу этого обе функции необходимо установить и правильно настроить для использования Центра администрирования Active Directory при администрировании. Кроме того, Центр администрирования Active Directory использует веб-службы, предоставляемые веб-службами Active Directory (ADWS). По крайней мере, один контроллер домена в каждом домене Active Directory, которым вы хотите управлять, должен иметь ADWS и соответствующие службы. Подключения осуществляются через TCP порт 9389 (по умолчанию), а политики брандмауэра должны включать исключение данного порта для ADWS.

Windows PowerShell 2.0 и WinRM 2.0

Может возникнуть вопрос о том, как получить заманчивые командлеты Windows PowerShell? Итак, компонент Windows PowerShell 2.0 установлен по умолчанию в большинстве конфигураций R2. При полной установке сервера, консоль Windows PowerShell доступна в панели быстрого запуска, и вы можете установить графическую среду сценариев с помощью мастера добавления компонентов. У вас появилась возможность установки Windows PowerShell и при установке ядра сервера.
После запуска Windows PowerShell, вы можете ввести имя командлета в окне и он появиться аналогично команде командной строки. Также вы можете исполнять командлеты при помощи сценариев. Командлеты именованы с помощью пар глагол-существительное. Глагол сообщает функцию командлета в общем. Существительное указывает на то, с чем конкретно работает командлет. Например, командлет «start-service» запускает службу Windows, а командлет «stop-service» приостанавливает работу службы Windows.
Командлеты «yummy», которые обслуживают Центр администрирования Active Directory также доступны. Для того чтобы использовать их, вы должны импортировать модуль Active Directory, введя команду Import-Module ActiveDirectory в командной строке оболочки Windows PowerShell. После импорта модуля, вы можете использовать его с текущим экземпляром Windows PowerShell. В следующий раз при запуске Windows PowerShell вам придется вновь импортировать модуль, если вы хотите использовать его компоненты. Как вариант, вы можете выбрать модуль Active Directory, который хотите импортировать при запуске Windows PowerShell,

в меню «Администрирование», как показано на рис. 7

Рис. 7. Использование модуля Active Directory для Windows PowerShell

Также вы можете использовать Windows PowerShell для удаленного управления. Компоненты удаленной работы поддерживаются протоколом WS-Management Protocol и службой удаленного управления Windows (WinRM), реализующей WS-Management в Windows. R2 содержит WinRM 2.0. Как Windows 7, так и Windows Server 2008 R2 имеют встроенную поддержку удаленного управления с помощью WinRM. В ранних выпусках Windows вы могли устанавливать платформу управления Windows Management Framework, включающую Windows PowerShell 2.0 и WinRM 2.0.

При каждом использовании Windows PowerShell для удаленного управления, вы должны запускать данное приложение с правами администратора. Также вы должны корректно настроить WinRM на своем компьютере управления и целевом сервере или серверах. Вы можете проверить и обновить настройки WinRM, выполнив команду «winrm quickconfig».

Вы можете использовать Диспетчер серверов (и другие консоли управления Microsoft Management Consoles) для выполнения некоторых задач управления на удаленных компьютерах, но при условии, что компьютеры находятся в одном домене или вы работаете в рабочей группе и добавили удаленные компьютеры в домен в качестве доверенных узлов. Вы можете подключаться к серверам, работающим, как на установках полного сервера, так и только ядра сервера.

После активации удаленного управления для Диспетчера серверов вы можете использовать Диспетчер серверов для выполнения некоторых задач управления, включая следующие:

  • Просмотр и управление ролями, службами ролей и функциями (кроме добавления и удаления)
  • Просмотр и управление дополнительными компонентами брандмауэра Windows Firewall
  • Просмотр и управление событиями и службами Windows
  • Просмотр и управление наблюдением за производительностью
  • Просмотр и управление назначенными заданиями
  • Просмотр и управление дисками
  • Настройка создания отчетов об ошибках и статусе рабочей среды пользователя
  • Просмотр состояния автоматических обновлений

Удаленное управление использует Windows PowerShell и зависит от корректной настройки WinRM. Как на установках полного сервера, так и ядра сервера вы должны включить удаленное управление в Диспетчере серверов.

Рис. 8. Использование сценариев Windows PowerShell для групповой политики

На установках полного сервера, вы можете использовать функцию настройки удаленного управления с помощью Диспетчера серверов, при входе в систему локально или с использованием сценария Configure-SMRemoting.ps1. На установках ядра сервера вы можете использовать утилиту Server Configuration (Sconfig.exe).

R2 содержит командлеты, которые позволяют управлять групповой политикой из Windows PowerShell. Просто импортируйте модуль групповой политики, введя Import-Module GroupPolicy в командной строке Windows PowerShell. После импорта модуля вы можете использовать командлеты групповой политики с текущим экземпляром Windows PowerShell.

Также вы можете запустить сценарии Windows PowerShell во время входа в систему, выхода из системы, включения и отключения систем. Как показано на рис. 8, вы можете настроить сценарии Windows PowerShell на запуск перед сценариями других типов. Также есть вариант использования сценариев Windows PowerShell после запуска сценариев других типов. В своих сценариях не забудьте настроить рабочую среду, импортировав любой из необходимых модулей.

Знакомство с технологией Core Parking (Парковка ядра)

Core Parking — функция R2, о которой, вы, возможно, уже слышали. Но, возможно, вы не знаете о том, откуда взялась эта функция и как она работает. Технология Core Parking спроектирована для снижения потребления электроэнергии за счет регулирования или перехода в состояние простоя процессорных ядер, в зависимости от нагрузки на серверы. Данная функция возможна, потому что Windows 7 и Windows Server 2008 R2 имеют поддержку технических характеристик Advanced Configuration и Power Interface (ACPI) 4.0, которая была закончена в июне 2009 года.Так как, скорее всего, вы не захотите читать более 700 страниц официальной спецификации, я предоставлю вам несколько выдержек об управлении питанием.

Windows использует интерфейс ACPI для осуществления контроля и перехода в различные состояния энергопотребления. Windows устанавливает устройства в состояния высокого потребления (работа), низкого энергопотребления или выключения для снижения потребления электроэнергии. Состояние низкого энергопотребления или пониженный режим требует снижение рабочей частоты процессора. Выключенное или состояние простоя, требует установки процессора в спящий режим.
Настройки питания для сервера берутся из плана активной мощности. По умолчанию план активной мощности в Windows Server 2008 R2 является «Сбалансированным», и он использует преимущества усовершенствований интерфейса ACPI для снижения потребления энергии. Хотя в технических характеристиках интерфейса ACPI 3.0 определены минимальные и максимальные состояния процессора как способы регулирования производительности процессоров, спецификация была разработана для работы с дискретными сокетными процессорами, а не логическими процессорными ядрами. Решение для регулирования и перехода в состояние простоя логических процессорных ядер предоставляется именно интерфейсом ACPI 4.0 (наряду с несколькими другими компонентами, которые не являются такими интересными).

Благодаря интерфейсу ACPI 4.0 при определении максимальных и минимальных ограничений состояний процессора в политике энергопотребления, Windows знает, как применять эти состояния к логическим процессорным ядрам, а также к дискретным сокетным процессорам. Максимальные и минимальные значения определяют рамки допустимых состояний производительности. Например, если верхний предел составляет 100 процентов, а нижний – 5 процентов, Windows может регулировать процессоры в данном диапазоне при допустимых рабочих нагрузках, для снижения потребления электроэнергии. На компьютере с несколькими процессорами с частотой 4 ГГц, Windows настраивает рабочую частоту процессоров от 2,5 ГГц до 4 ГГц.

На рис. 9, только для иллюстративных целей, показан пример регулирования частоты процессора и перехода его в состояние простоя. Компьютер имеет четыре дискретных сокетных процессора, каждый с четырьмя логическими процессорами. Процессорные ядра, которые не используются при текущей рабочей нагрузке, переходят в состояние простоя, а процессорные ядра, которые частично необходимы для работы, регулируются. Например, первое логическое ядро задействовано на 90 процентов, в то время как другие логические ядра 2, 3 и 4 используются только на 80 процентов. Для процессора 4 ГГц это означает, что логическое ядро 1 работает на частоте 3,6 ГГц, в то время как другие логические ядра 2, 3 и 4 работают на частоте 3,2 ГГц. Также можно увидеть, что у процессоров 3 и 4 ядра полностью приостановлены и находятся в спящем режиме.

Рис. 9. Объяснение различных состояний процессора

Для того чтобы оперативная система Windows находилась в определенном состоянии производительности, вы можете использовать аналогичные максимальные и минимальные значения. В данном случае Windows не регулирует рабочую частоту процессора. Важно отметить, что такая работа процессора снижает эффективность данной функции, поэтому вы захотите провести тщательное планирование при настройке параметров сходства для приложений.

План изменений в Active Directory

Доменные службы Active Directory(AD DS) в R2 имеют много новых функций. При использовании R2 и развертывании ОС на всех контроллерах домена во всех доменах вашего леса Active Directory, ваши домены могут работать на функциональном уровне домена R2, а лес может работать на функциональном уровне леса R2. Эти новые эксплуатационные уровни позволяют вам использовать усовершенствования Active Directory, улучшающие управляемость, производительность и обеспечение технической поддержкой.

Одним из самых важных усовершенствований является корзина Active Directory. Данная функция позволяет администраторам отменять случайное удаление объектов Active Directory. При включении функции корзины, все атрибуты удаленных объектов со значениями и без значений сохраняются, что позволяет вам восстанавливать объект в том состоянии, в котором он был удален без запуска полномочного восстановления. Данный подход значительно отличается от более ранних установок, в которых использовалось полномочное восстановление для удаленных объектов. Ранее, если вы удаляли объект, большинство его атрибутов без значений очищались, а все атрибуты со значениями удалялись, что означало, что хотя вы и могли восстановить удаленный объект, он восстанавливался не полностью.

Управляемые учетные записи являются еще одним важным усовершенствованием. Приложения, критические для функционирования, часто используют учетные записи служб. На локальном компьютере вы можете настроить приложения, чтобы они запускались как встроенные учетные записи пользователя, например локальная служба или локальная система. Однако данные учетные записи являются общими для нескольких приложений и служб, и ими можно управлять на уровне домена. Если вы настроили приложения для использования учетных записей домена, вы можете изолировать привилегии для приложений, но затем вы должны вручную установить пароли учетных записей и имена участников служб (SPN), необходимые для проверки подлинности Kerberos.

Для снижения издержек, связанных с обслуживанием учетных записей служб, R2 поддерживает два новых типа управляемых учетных записей:

  • Управляемые учетные записи служб
  • Управляемые виртуальные учетные записи

Управляемые учетные записи служб являются особым типом учетных записей пользователя домена для управляемых служб, которые снижают количество сбоев служб и других проблем при помощи автоматического управления Windows паролями учетных записей и соответствующих имен участников служб. Управляемые виртуальные учетные записи являются особым типом локальной учетной записи компьютера для управляемых служб, которые предоставляют возможность доступа к сети с помощью удостоверения компьютера доменной среды.

В управляемых учетных записях служб создайте фактическую учетную запись, которая по умолчанию сохраняется в подразделении управляемых учетных записей служб Active Directory. Затем установите управляемую учетную запись на локальном сервере для ее добавления в качестве учетной записи локального пользователя. Теперь, вы можете настроить локальную службу для использования этой учетной записи.
С помощью виртуальных учетных записей настройте локальную службу для доступа к сети с помощью удостоверения компьютера доменной среды. Так как используется удостоверение компьютера, то не нужно создавать учетную запись, и управление паролями не понадобится.

В R2 не представлен интерфейс пользователя для создания и управления этими учетными записями. Вам придется использовать модуль Active Directory для управления ими с помощью Windows PowerShell.
С R2 вы получаете преимущества новых инструментов управления проверкой подлинности. Технология Authentication Mechanism Assurance улучшает процесс проверки подлинности, позволяя администраторам контролировать доступ к ресурсам, даже если пользователь заходит в систему с помощью метода входа на основе сертификата. Затем пользователь может получить один набор прав доступа при входе в систему с помощью смарт-карты и другой набор при неудачном входе с помощью смарт-карты.

Наконец, R2 предоставляет возможность осуществления автономных подключений к домену, хотя эта функция не требует повышения функционального уровня домена или леса. С помощью автономных подключений к домену, администраторы могут предварительно обеспечивать учетные записи компьютера в домене при подготовке операционных систем для развертывания. Далее предварительно обеспеченные компьютеры можно подключить к домену без необходимости связи с контроллером домена. Утилита командной строки для предварительного обеспечения учетных записей называется Djoin.exe.

Настройка кэширования филиалов

Windows BranchCache является компонентом кэширования филиала, работающим совместно с фоновой рациональной службой передачи (BITS). В доменной среде, где настольные компьютеры работают с ОС Windows 7, а серверы работают с R2, администраторы могут включить кэширование филиалов для того, чтобы позволить настольным компьютерам извлекать документы и другие типы файлов из локального кэша, а не с удаленных серверов.
Ввиду того, что кэширование филиалов работает с файлами, переданными через протоколы HTTP и SMB, файлы, переданные от веб-серверов интрасети или внутренних файловых серверов, могут кэшироваться. На основном уровне кэширование филиалов работает следующим образом:

  1. При включении кэширования филиалов, при первом доступе к файлу из веб-узла интрасети или файлового сервера, Windows передает файл с исходящего сервера, а затем кэширует файл локально внутри филиала.
  2. Если тот же или другой пользователь в филиале хочет получить доступ к этому файлу, Windows выполняет поиск файла в локальном кэше. Если файл найден, Windows отправляет запрос исходящему серверу для того, чтобы проверить, изменялся ли файл с момента кэширования.
  3. Если файл не изменялся, Windows извлекает файл из локального кэша, устраняя необходимость передачи файла через глобальную сеть. Если файл изменялся, Windows извлекает файл из исходящего сервера и обновляет копию файла в кэше.

Вы можете настроить кэширование филиалов либо в режиме распределенного кэша, либо в режиме кэширования хоста. С помощью режима распределенного кэша настольные компьютеры, работающие с ОС Windows 7, хранят файлы в распределенном кэше. Сервер филиала не нужен, потому что каждый локальный компьютер кэширует и отправляет файлы. С помощью режима кэширования хоста, сервер, работающий с R2 и расположенный в филиале, хранит кэшированные файлы локально. Данный сервер кэширует файлы и отправляет их клиентам. Как вы можете предположить, кэширование филиалов может значительно улучшить время отклика и значительно уменьшить время передачи документов, веб-страниц и мультимедийного содержимого.

 

Заключение

Итак, подведем итоги. Здесь был представлен краткий обзор Windows Server 2008 R2 из доступных источников. Надеюсь, что эта статья покажется вам полезной, и вы заинтересуетесь моими новыми книгами: «Карманный консультант администратора по Windows PowerShell 2.0», «Карманный консультант администратора по Windows 7» и «Карманный консультант администратора по Windows Server 2008, второе издание».

Уильям Р. Станек (William R. Stanek ) (williamstanek.com) — ведущий специалист-технолог, великолепный преподаватель и отмеченный наградами автор более 100 книг. Книги, которые уже имеются в продаже, или скоро там появятся: «Карманный консультант администратора по Active Directory», «Карманный консультант администратора по групповой политике», «Карманный консультант администратора по Windows 7», «Карманный консультант администратора по Windows PowerShell 2.0» и «Windows Server 2008. Взгляд изнутри». Заходите в его чат Twitter на WilliamStanek.

Great Ways to Send, Receive or Share Large Files

http://www.techlore.com/blog/entry/18653/Great-Ways-to-Send--Receive-or-Share-Large-Files/

image We get this question quite a bit. "How can I send this file to..(put name here)........" and our answer always depends on the abilities of the person asking the question.
There are tons of ways to send, share or receive files. But most folks are looking for an easy way to do it and also don't do it very often.

So we decided to put together a list of some of the ways you can send files. Some of them require additional programs to be installed and some don't.

  • FTP (file transfer protocol) is the way most geeks shuttle big files around. It’s how many Web designers upload the files and graphics for their Web sites. Average people generally don’t have much contact with FTP, but it's not especially complicated. But it is not something that you would probably use for the occasional files sharing. .
  • Chat programs—AIM, iChat, Yahoo Messenger, etc. You can just drag a file icon into the little box where you type, and then hit Return. These work good for small files and is fast. But if you want to send large files they usually crash. .
  • Pando a free, cross-platform, super-simple program designed expressly for idiot proof file transfers, even big ones. Pando is free P2P software that makes publishing, sending and downloading large media files fast and easy. .
  • Yousendit an FTP replacement web site which is as easy as pie and which requires no software installation. .
  • UltraVNC A powerful, easy to use free software that can display the screen of another computer (via internet or network) on your own screen.. It lets you work on a remote computer, as if you were sitting in front of it, right from your current location. It also let's you transfer files back and forth between them. Great if you usually transfer files from a machine you own to another machine you own. Not good if you need to send a file to someone that does not have VNC or doesn't want to install it or give you access. .
  • Foldershare, The BC Blogs favorite. This one is cool and FREE. You can automatically sync two folders from one computer to another. So say you have a Music or Photo library that you want to keep on your laptop and your desktop at the same time. You just tell FolderShare to keep the synced. After that you never have to worry about it. If you want to send files to your friends or for business, you just create a folder that you will share with them. They install FolderShare and they can access those files, and ONLY those files. Only drawback, I would guess is that they have to install the program too. .
  • Xdrive from AOL. You can back up your files - your music, photos and more - automatically. Access all your files from anywhere, share your files with friends and you get 5GB for Free. Natrually you have to sign up and install the software. .
  • Mailbigfile This is one of the several services out there that you upload the file, the recipient receives an email, with a link to download

    it and the the recipient downloads file. Very simple and good to use for folks that are not too computer savvy or don't have to send large files often. natrually if youwant to send 2GB files you will need to sign up and pay for their 'Pro" service. .
  • Webcargo- Let's you send files of any type, up to 2 GB at a time to anyone, and all you need is a web browser. No additional software is required. Free trial period with limited file size.
  • There are also photo sharing sites like Flickr, Photobucket, Kodak, Hello and shoot even Sam's Club let's you do it. Then you could preview online and folks can just download the ones they want. Very easy to use if you just want to share pictures.
  • GoToMyPC Similar to UltranVNC, you can transfers files between two machines that have the program installed. Good for using on machines you own, not for sending files to friends or family.
  • LogMeIn - Very similar to GoToMyPC.
  • ElephantDrive - Similar to FolderShare, without the syncing setup.
  • TubesNow Another FolderShare type application. Tubes instantly builds synchronized, secure connections (what we call a "tube") between your desktop and the desktop of your friends, family, co-workers - even your other computers. Now anything you drop in a tube is whisked to the desktop of anyone you choose - and vice versa. And Tubes syncs any changes in every tube ensuring you’re always up to date - even when you dons't have an internet connection. Click to learn more. .
  • SmugMug Similar to the other photo sharing sites, but this one is BC Blog recommended.
  • IGet for you Mac guys. I have heard some good stuff on it.
  • MediaMax - Another place that gives you a private and secure place to upload, store, access, and share your personal videos, photos, movies, music, and files.
  • CrossLoop Very similar to UltranVnc, LogMeIn or GoToMyPC.
  • Senduit A wanna be YouSendIt.
  • SendSpace - They say you can send a file to anyone, anywhere in the world, up to 300MB! We have not tried this one.
  • Rapidshare.com Another one very similar to YouSendit.
  • MegaUpload - They say you can get free 50 GB online storage including a file manager. But, it is ad-financed for free users and they say they offer an affordable premium online storage/remote backup capacity, sophisticated uploading and downloading tools, and high-volume business accounts including pay-per-download facilities ("Fileshop"). Other users downloading your files earn you reward points that you can redeem for premium accounts and cash. Not BC Blog recommended.
  • izimi - This one we have NOT tested, but here is what they say: There’s no need to upload your content to any server: you decide what you’ll publish, there are no limits on quantity or quality (we won’t degrade your videos, photos or music), and you retain ownership and control. You have to download the free izimi application to start publishing anything you like, to anyone you like. Use it for photos, videos, music, documents, anything - Izimi gives you simple URLs that you can use in email, IM, or any website, blog, or forum.
  • Dropboks Yet another online disk, very easy to use. DropBoks is free, though some people choose to support their ad-free service by making a small payment. This is one you should check out!
  • BoxNet - Thier PR says: Box makes it easy to get your files from anywhere you have an internet connection. Access important documents from your desktop, laptop, or even mobile phone on the go. Once you've uploaded your files to Box, you can also share them with anyone, or just keep them safe for as long as you want.
  • Freesender - another web app you can use to send a file to yourself or others. Similar to YouSendit.

There is also a Gmail account that allows you to download a free little extension program that allows you to drag and drop files into your Gmail account just as if it where a harddrive. See it here.
We might have missed a few, but these are the biggies out there. One thing to always keep in mind though, especially when using services that you upload a file to and then email someone with the download address, is that these files are stored on someone's computer.

They can access them and do whatever else they want with them. So if you don't care if someone else see the files they work fine. If not, you need to find a more secure way to send them. Which of course, unless you are on a private network, sending files via the internet is never 100% secure or private.

вторник, 24 августа 2010 г.

Windows Server 2008- Active Directory Domain Services Role

Active Directory Domain Services Role ( AD DS )
The following topics describe changes in AD DS functionality available in this release
AD DS: Auditing
AD DS: Fine-Grained Password Policies
AD DS: Read-Only Domain Controllers
AD DS: Restart able Active Directory Domain Services
AD DS: Data Mining Tool
AD DS: User Interface Improvements

AD DS: Auditing New values when changes are made to AD DS objects and their attributes
The global audit policy Audit directory service access controls whether auditing for directory service events is enabled or disabled. This security setting determines whether events are logged in the Security log when certain operations are carried out on objects in the directory. You can control what operations to audit by modifying the system access control list (SACL) on an object. In Windows Server 2008, this policy is enabled by default
Auditing AD DS access In Windows 2000 Server and Windows Server 2003, there was one audit policy, Audit directory service access that controlled whether auditing for directory service events was enabled or disabled.
In Windows Server 2008, this policy is divided into four subcategories:
Directory Service Access
Directory Service Changes
Directory Service Replication
Detailed Directory Service Replication

AD DS: Fine-Grained Password Policies The Windows Server® 2008 operating system provides organizations with a way to define different password and account lockout policies for different sets of users in a domain. In Microsoft® Windows® 2000 and Windows Server® 2003 Active Directory domains, only one password policy and account lockout policy could be applied to all users in the domain. These policies were specified in the Default Domain Policy for the domain. As a result, organizations that wanted different password and account lockout settings for different sets of users had to either create a password filter or deploy multiple domains. Both options are costly for different reasons.

AD DS: Read-Only Domain Controllers
A read-only domain controller (RODC) is a new type of domain controller in the Windows Server® 2008 operating system. With an RODC, organizations can easily deploy a domain controller in locations where physical security cannot be guaranteed. An RODC hosts read-only partitions of the Active Directory® Domain Services (AD DS) database
Before the release of Windows Server 2008, if users had to authenticate with a domain controller over a wide area network (WAN), there was no real alternative. In many cases, this was not an efficient solution. Branch offices often cannot provide the adequate physical security that is required for a writable domain controller. Furthermore, branch offices often have poor network bandwidth when they are connected to a hub site. This can increase the amount of time that is required to log on. It can also hamper access to network resources
Beginning with Windows Server 2008, an organization can deploy an RODC to address these problems.

As a result, users in this situation can receive the following benefit: Improved security
Faster logon times
More efficient access to resources on the network
Who will be interested in this feature?
Relatively few users
Poor physical security
Relatively poor network bandwidth to a hub site
Little knowledge of information technology (IT)
This feature provides: Read-only AD DS database
Unidirectional replication
Credential caching
Administrator role separation
Read-only Domain Name System (DNS)
Read-only AD DS database
Except for account passwords, an RODC holds all the Active Directory objects and attributes that a writable domain controller holds
RODC filtered attribute set you can dynamically configure a set of attributes in the schema for domain objects that will not replicate to an RODC. This set of attributes is called the RODC filtered attribute set. Attributes that are defined in the RODC filtered attribute set are not allowed to replicate to any RODCs in the forest
Administrator role separation
You can delegate local administrative permissions for an RODC to any domain user without granting that user any user rights for the domain or other domain controllers
Read-only DNS
You can install the DNS Server service on an RODC. An RODC is able to replicate all application directory partitions that DNS uses, including ForestDNSZones and DomainDNSZones. If the DNS server is installed on an RODC, clients can query it for name resolution as they query any other DNS server

AD DS: Restartable Active Directory Domain Services
Restartable AD DS reduces the time that is required to perform certain operations. AD DS can be stopped so that updates can be applied to a domain controller; also, administrators can stop AD DS to perform tasks such as offline defragmentation of the Active Directory database, without restarting the domain controller. Other services that are running on the server and that do not depend on AD DS to function, such as Dynamic Host Configuration Protocol (DHCP), remain available to satisfy client requests while AD DS is stopped.
AD DS: Data Mining Tool
The data mining tool (Dsamain.exe) can improve recovery processes for your organization by providing a means to compare data as it exists in snapshots or backups that are taken at different times so that you can better decide which data to restore after data loss. This eliminates the need to restore multiple backups to compare the Active Directory data that they contain.
Using the data mining tool, you can examine any changes that are made to data that is stored in Active Directory Domain Services (AD DS). For example, if an object is accidentally modified, you can use the data mining tool to examine the changes and help you better decide how to correct them if necessary.
AD DS: User Interface Improvements
To improve the installation and management of Active Directory® Domain Services (AD DS), Windows Server® 2008 includes an updated Active Directory Domain Services Installation Wizard. Windows Server 2008 also includes changes to the Microsoft Management Console (MMC) snap-in functions that manage AD DS.

New wizard page

Description

Additional Domain Controller Options

Specifies that during the domain controller installation, the domain controller will also be configured to be a DNS server, global catalog server, or RODC. An RODC can also be a DNS server and a global catalog server.

Select a Domain

Specifies the name of the domain where you are installing an additional domain controller.

Select a Site

Specifies the site in which the domain controller should be installed.

Set Functional Levels

Sets the domain and forest functional level during the installation of a new domain or forest.

Delegation of RODC Installation and Administration

Specifies the name of the user or group who will install and administer the RODC in a branch office.

Password Replication Policy

Specifies which account passwords to allow or deny from being cached on an RODC. This page appears only if the Use advanced mode installation check box is selected.

DNS delegation creation

Provides a default option to create a DNS delegation based on the type of domain controller installation (as specified on the Choose a Deployment Configuration page) and the DNS environment.

 

ACTIVE DIRECTORY (AD DS)
AD INSTALLATION

AD users and computers tool
New in 2008

Read only DCS

GPMC - new in 2008 - GPO

GPO search and filter

ACTIVE DIRECTORY (AD DS)
NEW IN 2008
STOP AD 2008 without restarting the DC

ACTIVE DIRECTORY (AD DS)
SERVER 2008 - AD 2008 AUDITING