DIG IN TO Nätverksadministration 2018-04-07 1
Nätverksadministration Systemadministration Active Directory implementation Projektering
Nätverksadministration Systemadministration
Agenda Vad är Active Directory Domain Services? Active Directory komponenter LDAP protokoll och Inloggningsprocessen Active Directory replikering vid installationer Serverroller Active Directory och DNS integrering Begrepp: Domain, tree, forest Active Directory installation Första inloggning på en domänkontrollant Global katalog Funktionalitetsnivåer Projektering 4
Nätverksmiljö Integration 5
Datoriserade system Ett system är en samling av flera komponenter som tillsammans samverkar för ett gemensamt mål. Ett system kan delas upp i flera delsystem eller gruppera flera system till ett större system. Ett system kan implementeras som datorbaserade system där data samlas, lagras, bearbetas och hanteras digitalt. Att hantera ett system uppfattas som administration eller systemadministration. 6
Systemadministration Administrera datoriserade system implementerat som domän. En domän har ett unikt namn som adresserar organisationens datorer och resurser anslutna till Internet. I en domän finns många komponenter som ska administreras, främst serversystem, datoranvändare och nätverksresurser. I en domänmiljö integreras människor, teknik, processer, verktyg/program. Microsoft har haft en robust plattform för systemadministration, Identity and Access Infrastructure (IDA). Idag delas upp komponenterna beroende på organisationers nätverks uppbyggande (on- eller off-premises) 7
IDA infrastruktur Grundteknologier och verktyg med syfte att integrera människor, processer och teknik. AD DS samlar in och lagrar hela företagets IDA information i en databas som kallas Active Directory data store. AD DS fungerar som ett nav för ytterligare Active Directory tjänster, kommunikation och information, som tillsammans bildar en komplett IDAinfrastruktur. Identity and Access infrastructure 8
IDA infrastruktur AD CS utfärdar och hanterar certifikat. AD RMS är en informationsskydd teknik som baseras på lämpliga och konsekventa principer. AD LDS är ett anpassat schema för att stödja applikationer utan att ändra schemat för AD DS. AD FS möjliggör samarbete mellan flera olika organisationer grundad på förtroenderelationer Identity and Access infrastructure 9
Nätverksadministration Active Directory implementation
Vad är domän? En logisk gruppering av datoranvändare, datorer, skrivare, och andra objekt i en gemensam databas. För att skapa en domän ska man först installera Active Directory Domain Services på en Windows server. En sådan server kallas för "domänkontrollant" diginto.local Windows Server 2008 R2 D C 11
Vad är domän? Trianglar representerar domäner Domain Tree Forest diginto.local Forest Root Domain diglima.diginto.local Child Domain 12
Vad är Active Directory? En katalogtjänst som innehåller information om användare och resurser i ett nätverk. Databasen i Active Directory kallas för Active Directory Data Store eller ibland endast Directory Det primära målet med Active Directory är: Möjliggöra en hanterbar organisation (administration) Förse användare med inloggning och verifiering Förse användare med åtkomst till alla gemensamma resurser 13
Vad är Active Directory? AD är en katalogtjänst som innehåller objekt, användare, datorer, gemensamma resurser samt konfigurationsinformation. Domain Objects Services User and Groups Resources
AD systemkomponenter DNS Policies Builtin Computers Domain Controllers System NTDS.DIT Users Configuration Services Sites Schema Default-First-Site-Name Servers 15
Built-in grupper Varje Windowsdator har lokala användarkonton Om en klientdator eller en ensamstående server är medlem i en domän behåller dem sina lokala användarkonton. Men så fort en server har promotas till en domänkontrollant gäller inte längre lokala konton. De ersätts med Built-in grupper. 16
Lightweight Directory Access Protocol - LDAP A D Domain Services är en X.500 standard databas. Som default denna databas skapas och lagras i en domänkontrollant på c:\windows\ntds\ntds.dit Domänkomponenter kommunicerar med varandra via protokoll som LDAP LDAP CN=Erik Svensson, OU=Design, DC=Diginto, DC=local NTDS.DIT Erik Svensson DISTINGUISHED NAME X.500 databas 17
Inloggningsprocessen A D används varje gång man loggar in på en domän. Domänkontrollanten är huvudserver i domänen! Användarens inloggningsuppgifter verifieras av Kerberos Efter användarens autentisering tilldelas denne en access token Domain Controller Login Request OK Kerberos Permissions, Rights, Access Active Directory Database 18
AD databas replikering vid installationer Oftast finns flera domänkontrollanter i en domän Den första domänkontrollanten distribuerar en mäster kopia av AD databasen till ny domänkontrollanter. Distribuering av AD databasen kallas REPLIKERING Domänkontrollanter är jämlika tills de får olika roller. Domain Controller 1 Domain Controller 2 Domain Controller 3 Active Directory Database 19
Serverroller master roller En domänkontrollant kan ha en eller flera master roller Den första domänkontrollant får alla fem master roller samt DNS server beroende på AD implementationen. Det går att installera/konfigurera flera roller till en och samma server men, det rekommenderas inte. Schema master Domain naming master Relativ ID (RID) master Infrastructure master Primary domain controller (PDC) emulator master 20
AD och DNS integrering Varje objekt i en domän måste ha ett unikt namn. Namnet måste godkännas först av ett NAMNSYSTEM. En Windows domän har två namnsystem, NetBIOS och DNS Vid AD-installation ska antingen finnas en DNS server i drift eller installeras denna tillsammans med AD. DNS och AD DS bör integreras DNS AD DS 21
DNS namn Domänens DNS namn används för att döpa alla objekt i domänen, vilket kallas för name space gonzalo.rivera@diginto.local grivera@diginto.local Namnformatet kallas User Principal Name och den kan användas när man loggar in på en domän. sandra.elm@diginto.local pcl02.diginto.local stodc1.diginto.local sebastian.larsson@diginto.local pcl03.diginto.local AD DS pr01.diginto.local 22
Sammanfattning En domän är en logisk gruppering av datoranvändare, datorer, skrivare, och andra objekt i en gemensam databas. Active Directory är en katalogtjänst som innehåller information om användare och resurser i ett nätverk. Ett AD-objekt kan vara användarkonto, grupper, organisationsenheter, konfigurationer, sajter, mm. AD-objekt kommunicerar med varandra via protokollet LDAP Den första domänkontrollanten distribuerar en mäster kopia av AD databasen till ny domänkontrollanter. Den första domänkontrollant får alla fem master roller samt DNS server beroende på AD implementationen. En Windows domän har två namnsystem, NetBIOS och DNS Vid AD-installation ska antingen finnas en DNS server i drift eller installeras denna tillsammans med AD. DNS och AD DS bör integreras. 23
Nätverksadministration Projektering
Kravställning vid upphandling Krav är inte bara till för att veta vad som ska levereras, men de är i lika stor grad till för att de som beställer ska veta vad de vill ha. Om du inte vet vilka krav beställaren ska ställa på projektet, så kan du inte heller veta vad du ska vara nöjd med projektet. Att ställa krav kan vara svårt och det kan kännas jobbigt att formulera alla tekniska behov på ett strukturerat sätt. Det finns få saker som är så viktiga som att ställa rätt krav från början. 2018-04-07 25
Diginto Organisationen har sin verksamhet i Syd Amerika (Windows server 2008 R2) och i Europa (Windows server 2012 R2). Organisationen utsträcker sig till Nord Amerika där AD DS i Windows server 2016 ska användas. Organisationer vill ha en skalbar, säker och hanterbar globalt infrastruktur. Diginto vill: Implementation av en global domän. Domänen baseras på olika server versioner. Från Windows server 2008 och 2012 till 2016 Uppgradera senare alla servrar till 2016 2018-04-07 26
Projektering Projektet kommer att omfatta tre faser: Planering Den logiska strukturen byggs upp associerad till organisationens verksamhet uppdelade i avdelningar. Installationer En virtuell laborationsmiljö byggs upp och där installeras respektive Windows servrar och domäner Test och felsökning När installationerna är klara ska de testas och vid fel åtgärdas. 2018-04-07 27
Planering Organisationens struktur Den operativa kärnan gör det arbete som organisationen har till uppgift att utföra för att nå sina överordnade mål. Mellancheferna har huvudansvaret för att övervaka och samordna produktionen och som förmedla information i organisationen. Den strategiska ledningen har det högsta administrativa ansvaret. Teknologiska strukturen består av en grupp som inte ingår i själva produktionen men påverkar denna genom att utföra planer, sätta upp rutiner och bedriva utbildning eller ekonomikontroll. Dessutom består de flesta organisationer av en huvuddel som man ofta glömmer, nämligen servicestrukturen, till exempel support, kundtjänst, städning, personalmatsal, löneutbetalning. mm. 2018-04-07 28
Planering Organisationens struktur En organisationsstruktur gör det möjligt att utnyttja organisationens resurser. En organisationsstruktur kan definieras utifrån Funktionalitet Affärsenheter Nätverksfunktionalitet 29
Planering Organisationens struktur En organisationsstruktur datoriseras för att underlätta hantering av personal, tjänster, processer, samarbete. Det är här som Active Directory kommer in och ser till att kommunikationen flödar genom och mellan organisationerna. 30
Planering Organisationens struktur Identifiera organisationens struktur Utför en övergripande bedömning av den befintliga miljön och korrekt identifiera och associera avdelningars verksamhet med AD tjänster. Identifiera det befintliga nätverkskonfigurationer så att uppgraderingar, systemmigrering, ominstallationer, mm kan planeras. 2018-04-07 31
Planering - Active Directory logisk struktur design Den logiska strukturen för AD DS möjliggör en effektiv hantering av domänresurser och åtkomst till de. I AD DS finns funktioner som stödjer organisationers verksamhet grundad i organisationsenheter. Lokala nätverksresurser kan nås inom och utanför domänen via lämpliga identitetshanteringar. DIGLIMA 2018-04-07 32
Planering - Active Directory logisk struktur design Vi installerar först diginto.local i Stockholm som huvuddomän Därefter underdomänen diglima.diginto.local Till en början installerar vi domänsystemet inne i en enskild träd-skog Single Tree Forest, se rutan till vänster. MULTIPLE TREE FOREST DIGLIMA 33
Planering - Sajt-topologi design Sajt-topologin är en logisk representation av det fysiska nätverket. Den innehåller information om sajter där du placerar domänkontrollanter och andra nätverksresurser. För att säkerställa prestanda AD DS, måste du bestämma antalet domänkontrollanter för varje sajt och kontrollera att de uppfyller maskinvarukraven som kräver Windows nätverksoperativsystem. stodc1.diginto.local stodc2.diginto.local limdc1.diglima.diginto.local limdc2.diglima.diginto.local 2018-04-07 34
Diginto Detta ska vi åstadkomma. stodc1.diginto.local stodc2.diginto.local limdc1.diglima.diginto.local diginto.local Forest Root Domain limdc1.diglima.diginto.local diglima.diginto.local Child Domain 35
Sammanfattning Att ställa krav kan vara svårt och det kan kännas jobbigt att formulera sina behov på ett strukturerat sätt. Ett globalt domänsystem ska implementeras. Projektet kommer att omfatta tre faser: planering, installationer, test och felsökning. Identifiera organisationens struktur Utför en övergripande bedömning av den befintliga miljön och korrekt identifiera och associera avdelningars verksamhet med AD tjänster. Identifiera det befintliga nätverkskonfigurationer så att uppgraderingar, systemmigrering, ominstallationer, mm kan planeras. En organisationsstruktur kan definieras utifrån funktionalitet, affärsenheter eller nätverksfunktionalitet. Den logiska strukturen för AD DS möjliggör en effektiv hantering av domänresurser och åtkomst till de. 36