Window Server 2012 版本: Standard / Data center
功能相同,一個 license 最多使用 2 CPU
Standard 版本 送 Hyper V 底下 2 guest OS license
Datacenter 版本 Hyper V 底下 Unlimited guest OS license
Active Directory 源於1992 Novell NDS
使用AD目的: Single sign on 階層管理
AD 命名規則 參考DNS
必須有 "." 如: xxx.edu.tw
不支援 flat name
若使用flat name 會造成dynamic update 失敗
Object 物件: 屬性(欄位)
Domain
OU
Group
User
Computer
建議 IT : User 比例 => 1:25
Organizational Unit : 部門/工作地點/專案
目的: 委派管理、Apply group policy
使用domain驗證:
使用者輸入帳號密碼後由LSA Local security authority判斷登入至本機或網域
比對完AD資料庫 回傳結果
建立Access Token
-User ID
-所屬群組SID
-具備權限(驗證成功)
Domain數量越少越好
一個Domain 至少要有兩台DC 雙向複寫 (multi-master replication)
DC間不分階級 沒有誰先誰後
Domain中有多台DC時 驗證會隨機採用任意DC
集中式IT管理 domain數量較少 甚至只有一個
Domain trust : 多個domain間的 single sign on
Forest: AD的能力
每個forest 可擁有40億個物件
每個domain 可擁有10億個物件
本機帳號資料庫:
C:\Windows\System32\config\SAM
本機電腦升級成DC 會先安裝AD DS 並停用本機帳號資料庫
並建立AD DB
\Windows\NTDS\NTDS.DIT
若AD DB資料庫 NTSD.DIT有問題 可使用
可重新啟動的ADDS
先將ADDS關閉(停用AD DB) 此時會啟用本機帳號資料庫
進行AD DB 維護
可重新啟動的ADDS 讓DC不需要重新啟動電腦進入AD維護模式 方便進行遠端維護
在domain: abc.com 中 Sales OU裡的Alex
LDAP Distinguished name:
CN=Alex, OU=Sales, DC=abc, DC=com
Global catlog:加速AD物件查詢
一個AD forest只要一台GC
實務上可將所有DC設為GC
Site: 限制驗證流量範圍,要用DC、DNS、GC
在跨WAN環境中使用 如台北 台中
Domain functional level: 限定domain中DC的最低版本
Forest functional level: 限定forest中DC的最低版本
DC也是LDAP server
AD DS 與AD LDS角色區分:
AD DS: AD DC並且也是 LDAP server
AD LDS: LDAP server only (很少人使用)
提供給以下server:
ISA Server 2004/2006
TMG 2010
Exchange 2007/2010 Edge
一台SERVER上 避免service combination 理由有三:
1.避免軟體衝突
2.系統失效時復原時間較久
3.避免軟體漏洞影響其他服務
Domain 內的電腦 DNS設定 只能指向AD內的DNS
不可指向外部的DNS
MS AD環境中 DNS查詢必須在 3秒內回應
關閉 negative cache
避免儲存DNS查詢錯誤的結果 而不再傳送DNS query
To force Windows XP not to cache negative entries we need to add a new DWORD to the following Registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
DWORD: MaxNegativeCacheTtl
Value: 0
This will now ensure NO negative entries are stored.
清除DNS cache
ipconfig.exe /flushdns
ipconfig.exe /displaydns
DSRM (設定本機administrator密碼)
檢查DC上的DNS設定
SOA 主要伺服器
1.DC的FQDN
2.結尾有 "."
名稱伺服器
DC的FQDN 及 IP
使用nslookup查詢
set type=srv (不可有空格)
_ldap._tcp.dc._msdcs.xxx.com
使用
net share 查詢 DC上的共享資料夾
sysvol => 儲存 Group Policy
不要變更權限
不要停止 Server 服務
不要讓防毒軟體掃描此目錄
使用whoami 查詢使用何種帳號登入
可在 win7 上安裝 RSAT (Remote server administration tool)
角色管理工具 -> AD DS 及 AD LDS管理工具
隨機連到某台DC 使用 TCP 389 port
此台電腦需要加入domain
用此方式server負載輕
如果使用遠端桌面 (會用到 TCP 3389 port)
不須將client電腦加入domain
但server負載增加
AD使用 kerberos V5 驗證
時間誤差必須小於5分鐘
超過誤差拒絕驗證
加入網域後 電腦內的windows time service自動啟動
DC 會自動扮演 PDC emulator
讓domain內的電腦進行時間同步 每15分鐘同步一次
無法登入domain可能原因
1. 時間誤差
2. 網路慢,產生negative cache
3. 因ghost後產生不存在的網卡,DHCP client會使用此不存在的網卡發boradcast
導致無法取得IP,而自動啟動APIPA機制產生169.254.x.x IP
移除non present device:
set devmgr_show_nonpresent_devices=1
start devmgmt.msc -> 檢視 -> 顯示隱藏裝置 刪除不存在的網卡
在新樹系的第一台DC 可由本機administrators 群組成員 操作
在舊樹系第二台DC 可由Domain Admins群組成員 操作
在新子樹系的第一台DC 可由 Enterprise admins 群組成員 操作
在舊子樹系第二台DC 可由Domain Admin群組成員 操作
將電腦加入domain 可由domain admins 及 domain users 群組成員 操作
預設 domain users 可加入domain的電腦數為10
數值設定於 ms-DS-MachineAccountQuota
可由 adsiedit.msc 連線至DC 檢視 內容 ms-DS-MachineAccountQuota 修該
將電腦退出domain 只可由
domain admins 群組成員 操作
Domain Admins只可管理自身domain,無法管理樹系內子網域
Enterprise Admins 才可管理整個AD Forest
檢查DC是否正確運作
1. Restart netlogon service
2. DNS 正向區域 有無所有DC 的 A記錄 與 SRV記錄
3. AD站台及服務 -> default-first-site-name ->DC -> NTDS settings
點右鍵->所有工作->
檢查複寫拓樸 (觸發KCC)
4.將DC上的第一DNS 指向自己 其他DNS指向另一台DC
如DC2突然失效,可用下列方式強制移除DC2:
1. 找一台可用的DC 開啟 AD站台及服務 找到default-first-site-name
-> 刪除 DC2->NTDS Settings 再刪除DC2
2. DNS正向區域->網域內->刪除所有有關DC2的記錄
或刪除_msdcs _sites _tcp _udp 再重新啟動 netlogon service
退出domain的電腦帳號是否刪除?
1.未來不再加入domain,則可以刪除
2.電腦超過30天為連上domain 不可刪除
在DC上選擇電腦帳號->右鍵
重設帳戶 (允許相同名稱電腦更新資訊)
將電腦退出domain後再重新加入domain
3.原電腦損毀,重裝一台後使用相同名稱 , 解法同2
登入格式:
SAM account:
網域名\帳戶
UPN(User principle name):
帳戶@網域名
群組原則管理
注意 default domain policy
與 default domain controller policy 差異
手動立即更新policy: gpupdate /force
否則預設5分鐘後更新 policy
AD 使用者和電腦
開啟進階功能: 檢視>進階功能 (顯示詳細資訊)
在Domain名 按右鍵->尋找
找到物件後->物件標籤 可查到物件位於何處
新增UPN尾碼
AD網域及信任 -> AD網域及信任上按右鍵 -> 內容
新增 替用的UPN尾碼 如aaa.com
變更使用者帳戶 @aaa.com
填寫帳號資訊的目的:
協助搜尋物件
若有使用Exchange server 可讓使用者查詢
要將帳戶刪除前 先將帳戶停用三至六個月
確認沒有帳戶相依問題
幫使用者重設密碼後
使用者先前加密過的檔案無法開啟
IE儲存資料會清除
個人設定會清除
大量建立帳號:
csvde -i -v -f file.txt
file.txt 內容:
DN,objectClass,displayName,userAccountControl,sAMAccountName,userPrincipalName
"CN=test003,OU=sales,DC=xxx,DC=com",user,test003,514,test003,test003@xxx.com
群組 方便管理者設定權限
兩種群組類型: 安全性 或 發佈
安全性: 可設定權限 並 做為 Distribution List (for Exchange server)
發佈:只能做為 Distribution List (for Exchange server)
群組領域(群組範圍):
網域本機:只會在自己domain中出現
全域:在所有AD Forest中都可以看到
萬用:在所有AD Forest中都可以看到 (最快 因為儲存在GC)
AD內 Client查詢步驟:
1.向DNS查詢SRV資訊
2.詢問GC物件在哪裡及基本資訊
3.向DC查詢物件詳細資料
AGDLP:
Account -> Group (表達工作性質) -> Domain local group (表達擁有權限) -> Permits
套用群組原則:
WinXP 必須安裝KB943729更新 才可正確執行群組原則新功能
WinXP 還需要 User profile hive cleanup service 修正關機時間過長的問題
Group policy 套用順序:
本機原則 (可由gpedit.msc修改)
Site Policy
Domain Policy
OU Policy
Group policy 包含
電腦設定:開機過程套用
使用者設定:登入時套用
Group policy 套用順序詳細過程:
本機原則-電腦設定
Site Policy-電腦設定
Domain Policy-電腦設定
OU Policy-電腦設定
停止套用 直到使用者登入在套用下列原則:
本機原則-使用者設定
Site Policy-使用者設定
Domain Policy-使用者設定
OU Policy-使用者設定
群組原則只能對使用者及OU套用,
無法套用至使用者群組!!!
原則與喜好設定差異:
原則:強制執行的規則
喜好設定:目的減少script撰寫,初始設定使用者可更改
(注意:XP預設不支援喜好設定!!!! 除非安裝KB943729更新)
多個 Group policy 的設定項目相同時,但各policy設定的值衝突時
以後面執行的policy為準
Server 或 使用者電腦 每90-120分鐘自動檢查group policy
DC 會在5分鐘內生效
可在client端手動觸發立即生效!!!
gpupdate 只套用變更的部分
gpupdate /force 所有group policy重新套用
gpresult /r 確認 group policy執行狀態
回送模式Loopback processing mode:電腦與使用者帳號分屬不同OU policy
取代(Replace) 只參考電腦帳號位置
合併(Merge) 先參考使用者位置,再參考電腦位置
例如: PC1 在
Sales OU: User1在
Finance OU
PC1 開機套用的群組原則順序如下:
PC1本機原則-電腦設定
Site Policy-電腦設定
Domain Policy-電腦設定
Sales Policy-電腦設定
-----------------------------
PC1本機原則-使用者設定
Site Policy-使用者設定
Domain Policy-使用者設定
Finance OU Policy-使用者設定 (只在合併模式開啟時執行)
Sales OU Policy-使用者設定
Default Domain Policy - 電腦設定 -原則 -系統管理範本 -系統 -群組原則
設定
使用者群組原則回送處理模式
Domain中的帳戶原則設定於
Default Domain Policy -電腦設定 -原則 - Windows設定 - 安全性設定- 帳戶原則
若在OU的policy設定帳戶原則,只會影響OU電腦的本機帳戶
密碼最短長度建議為8個字
因為windows內密碼每7個字做編碼 所以每超過7個字的編碼後長度會增一倍
密碼錯誤閥值建議為7-8次
內建Administrator不受影響
whoami /user 可查User SID
User SID = Domain SID + RID
內建的Administrator RID一定是
500
Honey pot: 可先將內建的Administrator更改名稱,再建立一個無權限的Administrator帳號
群組原則套用失敗:
有可能複寫問題 或 防毒軟體將sysvol資料夾底下檔案隔離
Group policy 複寫方式: 確認底下兩個services正確執行
Server 2003使用
FRS方式複寫到其他DC
Server 2008之後使用
DFS Replication
群組原則模型
依據假設的條件 計算出會套用的設定
群組原則結果
依據指定的電腦與使用者 列出真實登入domain後的套用設定
利用GPO佈署軟體
放在電腦設定內的軟體安裝 會使用 local system account 安裝
放在使用者設定內的軟體安裝 會以使用者權限安裝
wininstall 將軟體打包成 msi
AD 佈署軟體給client 只是將捷徑丟給client 並不是真正進行安裝
當使用者第一次使用軟體時才會正式安裝
重新佈署: 強制用戶重新安裝軟體
例如: 使用者反應之前 msi 無法運作,重新製作 msi 時 可以使用重新佈署
軟體限制原則: 只會限制某個軟體的固定版本 (版本更新就不會限制)
Applocker: 建立規則後 需設定Applocker
將Applocker按右鍵->內容-> 可執行檔規則部分 勾選已設定 並選取 強制執行
並且需要啟動用戶端電腦的
Application Identity 服務 才會執行
Win 7/8 /2008/2012 才支援Applocker
若同一時間 軟體限制原則 及 Applocker 設定衝突時,以Applocker 為準
每一種windows OS支援軟體限制原則
DC複寫原則: multi-master replication
DC上有資料庫變動
1.通知其他DC
2.其他DC發出複寫請求
3.將變動資料複寫至另一台DC
server 2008以後 15秒內會同步完成
網路連線速度<10Mbps 視為不同site
不同site 間 DC不會相互複寫 除非建立site link
Domain內五大角色
Schema master
Domain naming master
Infrastructure master
RID master
PDC emulator
要管理schema master 需先註冊管理元件 schmmgmt.dll
regsvr32 schmmgmt.dll
MMC -> 新增/移除嵌入式管理單元 -> 新增 Active Directory架構 -> 右鍵 操作主機
要管理Domain naming master
AD網域及信任 -> 右鍵 操作主機
要管理PDC、 RID、 Infrastructure
AD使用者和電腦 -> Domain名 -> 右鍵 操作主機
扮演 PDC emulator 的DC
才需要時間校正:
w32tm /config /manualpeerlist:time.nist.gov
DC移轉步驟
1.在舊DC上確認複寫是否正常
2.轉移五大角色至新DC
3.匯出EFS憑證
MMC-> 新增/移除嵌入式管理單元 -> 憑證 (使用者)
憑證(目前使用者)->個人->憑證 加密檔案系統
4.在新DC上匯入EFS憑證 (並勾選可再匯出)
5.DHCP server 上client的 DNS指向DC2
6.執行dcpromo 降級成一般server
強制移轉 seizure
執行 ntdsutil
roles
connections
connect to server dc2.xxx.com
quit
seize pdc
seize rid master
seize schema master
seize domain naming master
seize infrastructure mster
強制移轉後的原有角色若修復成功 不能再加入domain 需要重新安裝OS
備份伺服器
Server 2003: NTBackup
Server 2008: Windows server bacup
安裝角色及功能 ->
功能 選擇Windows server bacup
Windows server backup
動作 -> 一次性備份 -> 不同選項 -> 自訂
新增項目 -> 勾選 系統狀態 (未來還原到本機) -> 存在本機磁碟
選擇完整伺服器才可以還原至其他機器
將其他機器用光碟開機 選擇 修復電腦 -> 疑難排解 -> 系統映像修復
修復AD DB (如果使用傳統BIOS開機)
bcddit /set {bootmgr} displaybootmenu yes
開機過程 F8
DSRM目錄服務還原模式開機
bcdedit /set safeboot dsrepair 進入DSRM
shutdown -r -t 0
登入 administrator
Windows server backup
修復 -> 系統狀態 -> 原始位置
非授權還原 (以新資料為準)
當某台DC上的AD DB掛掉 可執行windows server backup 復原 系統狀態
復原後重新開機 新資料將從其他DC複寫過來
授權還原 (以舊資料為準 將此資料復原並複寫至其他DC)
當誤刪DC上資料時 如誤刪 xyz OU底下所有的資料
可執行windows server backup 復原 系統狀態
復原後 執行
ntdsutil
activate instance ntds
authoritative restore
restore subtree "OU=xyz,DC=xxx,DC=com"
quit
quit
復原完成後 輸入以下指令離開DSRM
bcdedit /deletevalue safeboot
shutdown -r -t 0
CA伺服器
兩種CA差異:
企業級CA:一定要加進domain , domain中電腦會自動信任CA
獨立CA:不用進domain,但電腦要自行信任憑證
新增角色及功能 ->AD憑證服務
選取 憑證授權單位 及 憑證授權單位網頁註冊
設定AD憑證服務 企業CA 根CA
Domain內的電腦 可以用MMC 新增移除 憑證 使用者
檢查受信任的根憑證 是否存在
連線到憑證伺服器
http://dc2/certsrv
下載 CA 憑證、憑證鏈結或 CRL
MMC 新增移除 憑證 使用者
點選 受信任的根憑證 右鍵 匯入憑證
管理預設的憑證範本
憑證範本 右鍵 管理 點選範本
安全性 讀取(可見) 註冊(可以申請)
申請憑證
1. MMC 新增移除 憑證 使用者
憑證 右鍵 所有工作 要求憑證
2.https://dc2/certsrv 要求憑證
自動發行憑證
憑證授權單位工具 選取 憑證範本 右鍵 管理
點選範本 右鍵 複製範本
到 一般 標籤頁 重新命名; 安全性 標籤頁 勾選 讀取、註冊、自動註冊
回到 憑證授權單位工具 選取 憑證範本 右鍵 新增 要發出的管理憑證
選取剛剛建立的管理範本
設定group policy
電腦設定 與 使用者設定都啟用
原則 windows設定 安全性設定 公開金鑰原則 啟用"憑證服務用戶端-自動註冊"
