• Artykuł

Windows Server 2008

Zdalne lokalizacje - wdrażanie i administracja Udostępnij na: Facebook

Opublikowano: 15 października 2007

Zawartość strony
Wstęp   Wstęp
Nowy kreator instalacji usług domenowych Active Directory   Nowy kreator instalacji usług domenowych Active Directory
Kontrolery domeny tylko do odczytu   Kontrolery domeny tylko do odczytu
Baza danych Active Directory tylko do odczytu   Baza danych Active Directory tylko do odczytu
Replikacja jednokierunkowa   Replikacja jednokierunkowa
Buforowanie poświadczeń   Buforowanie poświadczeń
System nazw domen (DNS) tylko do odczytu   System nazw domen (DNS) tylko do odczytu
Możliwość ponownego uruchamiania usług domenowych Active Directory   Możliwość ponownego uruchamiania usług domenowych Active Directory

Wstęp

Zarządzanie serwerami, usługami oraz bezpieczeństwem w zdalnych lokalizacjach niezmiennie stanowi spore wyzwanie dla specjalistów IT. System Windows Server 2008 upraszcza zdalne wdrażanie oraz bieżące administrowanie serwerami znajdującymi się w filiach siedziby głównej. Liczne nowe funkcje i ulepszenia pozwalają sprostać potrzebom oraz problemom biur filii. Zaliczają się do nich:

  • Lepsze możliwości zarządzania usługą katalogową Active Directory®
  • Wprowadzenie do kontrolerów domen tylko do odczytu
  • Funkcja BitLocker
  • Separacja ról
  • Technologia Server Core

 Do początku strony Do początku strony

Nowy kreator instalacji usług domenowych Active Directory

Nowy kreator zawarty w systemie Windows Server 2008 ułatwia instalację. Wszystkie kontrole błędów ustawień sieci lokalnych, zawarte w nowym kreatorze, takie jak ustawienia klienckie protokołu TCP/IP oraz ustawienia DNS, znajdują się w jednym miejscu. Funkcje związane wyłącznie z tworzeniem nowej domeny, np. nazwa NetBIOS oraz uprawnienia anonimowego dostępu, znajdują się w pobliżu opcji wyboru nowej domeny.

Kreator instalacji usług domenowych Active Directory udostępnia nową opcję na stronie powitalnej, umożliwiającą uaktywnienie trybu zaawansowanego, jako alternatywę do uruchomiania programu dcpromo z przełącznikiem “/adv” (np. dcpromo /adv). Tryb zaawansowany wprowadza dodatkowe opcje, które umożliwiają bardziej zaawansowane konfiguracje i dają bardziej doświadczonym użytkownikom lepsze możliwości kontroli nad operacjami, takimi jak:

  • tworzenie nowego drzewa domen,
  • wykorzystanie nośnika kopii zapasowej z istniejącego kontrolera domeny w tej samej domenie, aby zredukować ruch w sieci związany z replikacją początkową,
  • wybór źródłowego kontrolera domeny do instalacji,
  • określenie zasad replikacji hasła dla kontrolera domeny tylko do odczytu.

Oprócz wyżej wymienionych zmian, kreator instalacji Active Directory Domain Services Installation Wizard posiada nowe strony pól dialogowych, które wymienione zostały w tabeli poniżej.

Tabela 1. Opcje kreatora instalacji usług domenowych Active Directory
Nowa strona kreatora Opis
Dodatkowe opcje Wskazuje, że podczas instalacji kontrolera domeny zostanie on skonfigurowany także jako serwer DNS, globalny serwer katalogowy lub kontroler domeny tylko do odczytu.
Wybór witryny Wskazuje domenę, w której ma zostać zainstalowany kontroler domeny.
Ustawienie poziomów funkcjonalności Umożliwia ustawienie poziomów funkcjonalności domeny i lasu podczas instalacji nowej domeny lub lasu.
Zasady replikacji haseł Wskazuje, które hasła do kont mają być buforowane w kontrolerze domeny tylko do odczytu. Ta strona jest wyświetlana jedynie, jeśli wybrany zostanie zaawansowany tryb instalacji.
Tworzenie delegacji DNS Umożliwia domyślne tworzenie delegacji DNS w oparciu o rodzaj instalacji kontrolera domeny (określony na stronie wyboru konfiguracji wdrażania) i środowisko DNS.

Inne ulepszenia redukują ryzyko pojawienia się błędu podczas instalacji usług domeny Active Directory. Na przykład, podczas instalacji dodatkowego kontrolera domeny, użytkownik może wybrać nazwę domeny z widoku drzewa domen, zamiast wpisywać ją ręcznie. W systemie Windows Server 2008 dostępne są nowe opcje uruchamiania dyskretnej instalacji usług domeny Active Directory. Inaczej niż w systemie operacyjnym Microsoft Windows Server 2003, instalacja dyskretna w systemie Windows Server 2008 nigdy nie wymaga reagowania na żadne monity interfejsu użytkownika, dotyczące np. ponownego uruchomienia kontrolera domeny. Jest to niezbędne, aby zainstalować usługi domeny Active Directory w procesie instalacji technologii Server Core systemu Windows Server 2008, tzn. nowej opcji instalacyjnej systemu Windows Server 2008, która w przeciwieństwie do kreatora nie zapewnia opcji interfejsu użytkownika.

 Do początku strony Do początku strony

Kontrolery domeny tylko do odczytu

Kontroler domeny tylko do odczytu to nowy typ kontrolera domeny, dostępny w systemie operacyjnym Windows Server 2008. Zapewnia on sposób na bezpieczniejsze wdrażanie kontrolera domeny w filiach firmy, wymagających szybkich, niezawodnych oraz solidnych usług uwierzytelniania.

Kontroler RODC został zaprojektowany przede wszystkim z myślą o wdrożeniach w środowiskach oddziałów danej organizacji. Zwykle mają one stosunkowo niewielu użytkowników, słabe zabezpieczenia fizyczne, niską przepustowość sieci do siedziby głównej i dysponują niewielką wiedzą na temat lokalnego zarządzania IT. Nieodpowiednie zabezpieczenia fizyczne są najczęstszym powodem skłaniającym do wdrożenia kontrolera RODC. Przedsiębiorstwo może również zdecydować się na wdrożenie go ze względu na specjalne wymagania administracyjne.

Biura filii stanowią wyzwanie dla administratorów sieci, do których należy zapewnienie usług domeny Active Directory użytkownikom połączonym przez wolne łącza sieci rozległej WAN. Brak lokalnego kontrolera domeny może powodować opóźnienia w logowaniu się, przetwarzaniu zasad grupy oraz w uzyskiwaniu dostępu do usług sieciowych, spowodowane ograniczeniami łączy sieci WAN. Z drugiej strony, wdrażanie i konserwacja kontrolera domeny w filii może również stanowić wyzwanie, jeśli na miejscu w filii nie pracuje personel IT lub gdy nie można zagwarantować fizycznego bezpieczeństwa serwera. Kontroler RODC rozwiązuje problemy przy użyciu następujących funkcji:

  • baza danych Active Directory tylko do odczytu,
  • replikacja jednokierunkowa,
  • buforowanie poświadczeń,
  • separacja ról administratorskich,
  • nowe funkcje wtyczki MMC,

 Do początku strony Do początku strony

Baza danych Active Directory tylko do odczytu

Kontroler domeny tylko do odczytu przechowuje wszystkie te obiekty i atrybuty Active Directory, które są przechowywane w zwykłym kontrolerze domeny, oprócz haseł do kont. Zmian jednak nie można dokonywać w replice zapisanej na kontrolerze RODC. Zapobiega to wprowadzaniu zmian, które mogłyby uszkodzić las.

Aplikacje lokalne, które żądają dostępu do odczytu do katalogu, uzyskują go. Aplikacje protokołu LDAP, które żądają dostępu do zapisu, otrzymują odpowiedź odsyłającą protokół LDAP, która kieruje je do zapisywalnego kontrolera domen, znajdującego się zwykle się w siedzibie głównej organizacji.

 Do początku strony Do początku strony

Replikacja jednokierunkowa

Ponieważ żadne zmiany nie są zapisywane bezpośrednio w kontrolerze tylko do odczytu, nie może być on źródłem zmian. Odpowiednio, zapisywalne kontrolery domeny, które są partnerami replikacyjnymi, nie muszą pobierać zmian z kontrolera RODC. Obniża to obciążenie serwerów czołowych w koncentratorze oraz wymaga mniej wysiłku przy monitorowaniu replikacji. Jednokierunkową replikację kontrolera RODC można zastosować zarówno w usługach domeny Active Directory, jak i podczas replikacji rozproszonego systemu plików (DFS). Kontroler tylko do odczytu przeprowadza zwykłą wejściową replikację dla zmian usług domeny Active Directory oraz replikacji rozproszonego systemu plików. W przypadku oddziałów firm korzystających z łączy sieci rozproszonej do łączenia się z serwerami centralnymi, przyczynia się to do optymalizacji wykorzystania przepustowości między oddziałami a siedzibami głównymi.

 Do początku strony Do początku strony

Buforowanie poświadczeń

Buforowanie poświadczeń to przechowywanie poświadczeń użytkownika lub komputera. Poświadczenia są małymi zbiorami haseł związanych z głównymi zasadami bezpieczeństwa (konta użytkownika i komputera). Kontroler tylko do odczytu domyślnie nie przechowuje poświadczeń użytkownika lub komputera. Wyjątki to konto komputera kontrolera tylko do odczytu oraz specjalne konto Kerberos Ticket-Granting-Ticket (krbtgt), istniejące w każdym kontroler tylko do odczytu. Administrator musi wyraźnie zezwolić na buforowanie wszelkich innych poświadczeń w kontrolerze RODC.

Kontroler tylko do odczytu jest anonsowany jako główne centrum dystrybucyjne dla oddziału firmy. Do zapisywania w zwykłym kontrolerze domeny i do podpisywania oraz szyfrowania żądań biletu TGT (Ticket-Granting Ticket) używane są inne konta i hasła krbtgt. Po uwierzytelnieniu konta, kontroler tylko do odczytu próbuje skontaktować się z zapisywalnym kontrolerem domeny w siedzibie głównej oraz żąda kopii potrzebnych poświadczeń. Zapisywalny kontroler domeny rozpoznaje, że żądanie pochodzi z kontrolera tylko do odczytu i odwołuje się do zasad replikacji haseł dla danego kontrolera tylko do odczytu.

Zasady replikacji haseł określają, czy poświadczenia użytkownika lub komputera mogą być replikowane z zapisywalnego kontrolera domeny na kontrolerze tylko do odczytu. Jeśli zasady zezwolą, zapisywalny kontroler domeny replikuje poświadczenia na kontrolerze tylko do odczytu, gdzie są one buforowane.

Po przeprowadzeniu procesu buforowania poświadczeń na kontrolerze tylko do odczytu, może on bezpośrednio obsługiwać żądanie zalogowania użytkownika aż do momentu zmiany poświadczeń. Gdy bilet TGT zostaje podpisany kontem krbtgt kontrolera tylko do odczytu, kontroler rozpoznaje w nim zbuforowaną kopię poświadczeń. Jeśli bilet TGT zostanie podpisany przez inny kontroler, kontroler tylko do odczytu przekaże żądanie do zapisywalnego kontrolera domeny. Dzięki ograniczeniu buforowania poświadczeń wyłącznie do użytkowników, którzy okazali poświadczenia w kontrolerze tylko do odczytu, ogranicza się również potencjalne narażanie poświadczeń spowodowane naruszeniem kontrolera tylko do odczytu.

Dzieje się tak, ponieważ zwykle tylko mała grupa użytkowników domeny posiada poświadczenia zbuforowane na danym kontrolerze tylko do odczytu. Jeśli nastąpi naruszenie kontrolera tylko do odczytu, jedynie zbuforowane poświadczenia mogą potencjalnie ulec naruszeniu. Pozostawienie wyłączonej usługi buforowania poświadczeń może ograniczyć zagrożenie, ale w rezultacie wszystkie żądania poświadczenia będą przesyłane do zapisywalnego kontrolera domeny, często połączonego z łączem sieci WAN o mniejszej prędkości przesyłu. Administrator może modyfikować domyślne zasady replikacji haseł, aby zezwolić na buforowanie poświadczeń użytkownika na kontrolerze tylko do odczytu.

Po wdrożeniu kontrolera RODC, zasady replikacji haseł, będące jego partnerem replikacyjnym, należy skonfigurować na zapisywalnym kontrolerze domeny. Zasady replikacji haseł zachowują się tak, jak lista kontroli dostępu (ACL). Określają one, czy należy zezwolić kontrolerowi tylko do odczytu przeprowadzić proces buforowania hasła. Po otrzymaniu przez kontroler żądania logowania użytkownika lub komputera, odwołuje się on do zasad replikacji haseł, aby określić, czy hasło do konta powinno przejść przez proces buforowania. Kolejne logowania przez to samo konto mogą być zatem wykonywane bardziej efektywnie.

Zasady replikacji haseł zawierają listę kont, które mogą być buforowane oraz kont, które wyraźnie nie mogą zostać poddane temu procesowi. Lista kont użytkowników i komputerów, które mogą być buforowane, niekoniecznie oznacza, że kontroler tylko do odczytu przeprowadził buforowanie haseł do tych kont. Na przykład, administrator może z wyprzedzeniem wskazać dowolne konto, jakie kontroler tylko do odczytu będzie mógł w przyszłości zbuforować. W ten sposób kontroler tylko do odczytu może poświadczać takie konta (jak tylko ich poświadczenia zostaną zbuforowane), nawet, jeśli sieć WAN nie ma połączenia z siedzibą główną.

 Do początku strony Do początku strony

System nazw domen (DNS) tylko do odczytu

Usługa serwera systemu nazw domeny może zostać zainstalowana w kontrolerze tylko do odczytu. Może on replikować wszystkie partycje aplikacji katalogów, z jakich korzysta system DNS, w tym ForestDNSZones oraz DomainDNSZones. Jeśli serwer DNS zostanie zainstalowany w kontrolerze domen tylko do odczytu, urządzenia klienckie mogą wysłać kwerendę o rozpoznanie nazwy, tak jak wysyłają kwerendy do dowolnych serwerów DNS. Pozwala to urządzeniom klienckim rozpoznawać nazwy w lokalnej sieci LAN o wysokiej prędkości, bez potrzeby wysyłania przez wolne łącza sieci WAN żądań o rozpoznanie nazwy.

Serwer DNS w kontrolerze tylko do odczytu nie obsługuje jednak bezpośrednio aktualizacji urządzeń klienckich. W rezultacie, nie rejestruje on zapisów zasobów nazwy serwera dla żadnej strefy zintegrowanej z usługą Active Directory, dla jakiej jest on hostem. Kiedy urządzenie klienckie próbuje aktualizować swoje zapisy systemu DNS dotyczące kontrolera tylko do odczytu, serwer zwraca polecenie do zapisywalnego kontrolera domeny. Urządzenie klienckie może próbować aktualizować serwer DNS zawarty w poleceniu. Następnie w tle serwer DNS na kontrolerze domen tylko do odczytu będzie próbował replikować zaktualizowany zapis z serwera DNS, który przeprowadził aktualizację. Żądanie replikacji dotyczy tylko pojedynczego obiektu, czyli zapisu systemu DNS. Pełna lista zmienionych danych strefy lub domeny nie jest replikowana w trakcie specjalnego żądania replikacji pojedynczego obiektu.

 Do początku strony Do początku strony

Możliwość ponownego uruchamiania usług domenowych Active Directory

Administratorzy mogą zatrzymać i uruchomić ponownie usługi domenowe Active Directory w systemie Windows Server 2008, wykorzystując wtyczki konsoli Microsoft Management Console (MMC) lub wiersz poleceń. Możliwość ponownego uruchomienia usług domenowych Active Directory redukuje czas potrzebny do wykonania pewnych operacji, takich jak zastosowanie aktualizacji wobec serwera. Administratorzy mogą również wstrzymać wykonywanie przez usługi domenowe Active Directory takich zadań, jak defragmentacja bazy danych Active Directory w trybie offline, bez potrzeby ponownego uruchamiania kontrolera domeny. Inne usługi uruchomione na serwerze, których działanie nie zależy od usług domenowych Active Directory, takie jak protokół Dynamic Host Configuration Protocol (DHCP), pozostają dostępne i mogą odpowiadać na żądania urządzeń klienckich.

Mimo że zatrzymanie usług domenowych Active Directory podobne jest do logowania się w trybie przywracania usług katalogowych, to nowa funkcjonalność oznacza wprowadzenie nowego stanu kontrolera domeny pracującego w systemie Windows Server 2008 – zatrzymania usług domenowych Active Directory. Trzy możliwe stany kontrolera domeny pracującego w systemie Windows Server 2008 to:

  • uruchomione usługi domenowe Active Directory. W tym stanie usługi domenowe Active Directory są uruchomione. Dla urządzeń klienckich oraz innych usług uruchomionych na serwerze, kontroler domeny systemu Windows Server 2008 pracujący w tym stanie jest taki sam, jak kontroler domeny działający w systemie Windows 2000 Server lub Windows Server 2003.

  • Zatrzymane usługi domenowe Active Directory. W tym stanie usługi domenowe Active Directory są zatrzymane. Mimo że jest to unikalny stan, ma on niektóre cechy zarówno kontrolera domeny w trybie przywracania usług katalogowych, jak i serwera przyłączonego do domeny.

    • Tak jak w przypadku trybu przywracania usług katalogowych, baza danych Active Directory (Ntds.dit) znajduje się w trybie offline. Ponadto hasło trybu przywracania może zostać wykorzystane do lokalnego logowania się, jeśli nie można w tym celu połączyć się z innym kontrolerem domeny.
    • Serwer jest przyłączony do domeny. Użytkownicy mogą logować się interakcyjnie lub poprzez sieć, przy użyciu innego kontrolera domeny. Kontroler domeny nie powinien jednak pozostawać w tym stanie zbyt długo, ponieważ nie może on wtedy obsługiwać żądań logowania lub replikacji z innymi kontrolerami domeny. Kiedy urządzenie klienckie odnawia przyporządkowanie do kontrolera domeny, oraz jeśli oryginalny kontroler domeny posiada kopię zapasową i jest uruchomiony, urządzeniu zostanie przywrócone dawne przyporządkowanie.

  • Tryb przywracania usług katalogowych. Tryb ten (lub stan) pozostaje niezmieniony w stosunku do systemu Windows Server 2003.

Tabela sekwencji zadań przedstawiona poniżej pokazuje, jak kontroler domeny pracujący w systemie Windows Server 2008 może przechodzić przez trzy możliwe stany.

Tabela 2. Trzy stany kontrolera domeny pracującego w systemie Windows Server 2008
  Serwer wyłączony  
 

Uruchomić jako kontroler domeny?

Tak

 Nie->Tryb przywracania usług katalogowych
  Powodzenie? Nie->Ponowne uruchomienie
  Tak  
  Usługa Active Directory uruchomiona  
  Zatrzymanie Active Directory  
  Usługa Active Directory zatrzymana  
Nie Powodzenie polecenia rozpoczęcia? Tak
 Do początku strony Do początku strony

Windows Server 2008