Практический опыт внедрения Microsoft Active Directory в распределенных организациях Константин Леонтьев 17 февраля 2012, Киев

ЛОГИЧЕСКАЯ АРХИТЕКТУРА Проектирование Active Directory Влияние на логическую архитектуру версий Windows Server

Элементы логической архитектуры Схема именования объектов (SLD) Количество лесов Количество доменов (+Empty Root Domain) Структура OU Логика организации групп и вложенности Количество и размещение GC Размещение FSMO-ролей

Новые функции для Active Directory Windows Server 2008Windows Server 2008 R2 Fine Grain Password PolicyИнструмент AD Best Practice Analyzer DFS-R для репликации SYSVOLКорзина - «AD Recycle Bin» Работа со снимками Базы Данных NTDS.DITИнструмент AD Administrative Center Перезапуск служб AD и DSRMManaged Services Accounts Расширенный аудит событийПоддержка Offline Domain Join Read Only Domain Controller (RoDC)Обновленный MP для SC Operation Manager Поддержка AD на Server CoreТехнология Authentication Mechanism Assurance Полная поддержка AD на Hyper-VНабор из 76 cmd-lets для Active Directory Предотвращение случайных удалений в ADПоддержка PowerShell 2.0 в Server Core Защита контроллера домена BitLockerСлужбы AD Web Services Функции Advance Group Policy Management

ФИЗИЧЕСКАЯ АРХИТЕКТУРА Влияние процесса «DC Locator» на архитектуру Влияние механизмов репликации на архитектуру Влияние протоколов аутентификации на архитектуру

Варианты топологии сайтов

Настройки сайтов

Настройки Branch Office dnscmd /Config /AllowNSRecordsAutoCreation dnscmd /Config /RoundRobin dnscmd /Config /LocalNetPriority dnscmd /Config /LocalNetPriorityNetMask 0x00000FFF

Microsoft & МРСК-СЗ Confidential Сетевые настройки портов для репликации dfsrdiag StaticRPC /port: /Member:

Microsoft & МРСК-СЗ Confidential Трафик пользователей КаналТолько ADAD + Exchange КаналТолько ADAD + Exchange Загрузка канала на 30% Загрузка канала на 50%

Работа Kerberos

Работа NTLM

РИСКИ И ПУТИ ИХ РЕШЕНИЯ В ХОДЕ МИГРАЦИИ Общие риски для разных стратегий миграции Частные риски для случая обновления AD Частные риски для случая миграции ADMT

Общие риски и проблемы Риски на КД и серверах: – Поддержка NT4Crypto – Поддержка AES и DES – Леса Single Label – Механизма хранения членства в группах – Ограничения RoDC – Перенос FSMO роли PDC-E – Проблемы в конфигурации Active Directory Риски на рабочих станциях: – WMI filtering в групповых политиках – Выбор ближайшего КД – Выбор ближайшего SYSVOL – Протокол Kerberos (TCP/UDP) Общие риски: Некорректная архитектура систем Сбои в NTFS и на дисках Корректная работа разрешения имен DNS/WINS Остановленные службы Некорректные права доступа и локальные политики безопасности Сетевые настройки и межсетевые экраны, NAT, пересечение адресных пространств Бизнес-приложения и их совместимость с новой AD

Из практики – основные риски обновления Риски на КД и серверах: – Качество репликации и ее объемы – Методика тестирования и обновления схемы – Поддержка ПО установленного на КД Риски на рабочих станциях: – Перерыв доступа к КД

Из практики – основные риски миграции Риски на КД и серверах: – Взаимное разрешение имен – Совпадение имен доменов – Маршрутизация суффиксов на доверительных отношениях – Размер билета Kerberos, /3GB – Механизм PAC Validation – Открытые/Закрытые подмножество групп/пользователей – Проблема миграции доменных локальных групп – Установление доверительных отношений W2K8R2 и NT4 (Samba) Риски на рабочих станциях: – Зашифрованные файлы EFS – Пароли сайтов в Internet Explorer – Пароли ящиков в Outlook Express – Размер билета Kerberos – Обновление профиля MS Outlook – Домен входа по умолчанию – Членство УЗ мигратора в локальной группе Administrators – Потери доступа на основе Well Known Groups домена

Миграция и тестирование приложений Новый домен: изменяются DNS и NetBIOS имена домена FQDN имя машины (ее доменный суффикс) Набор применяемых групповых политик Доменная часть имен пользователей (UPN суффикс и NetBIOS префикс) Месторасположение объектов в структуре OU (изменится DN объектов) SID'ы и GUID'ы пользователей и групп. При этом старые SID'ы могут сохранятся в атрибуте SID History Профиль пользователя должен будет ассоциирован с новой учетной записью Настройки DNS/WINS в свойствах TCP/IP Сертификат компьютера Набор доверенных Root CA Меняется Default EFS Recovery Agent Меняется имя и версия PDC Emulator … и т.п.