La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist

Presentazioni simili


Presentazione sul tema: "Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist"— Transcript della presentazione:

1 Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist

2 | | Agenda Introduzione Introduzione ad Active Directory Installazione automatizzata di computer Creazione e gestione di ambienti di test

3 | | Introduzione Necessità tipiche nella gestione di unaula Autenticazione degli utenti Controllo dellambiente operativo degli utenti Installazione automatizzata dei computer Creazione di ambienti di test

4 INTRODUZIONE AD ACTIVE DIRECTORY

5 | | Comè fatta Active Directory? Architettura LSASS DSA LDAP SAM MAPI REPL KDC Lanman DNS FRS dipendenze

6 | | Comè fatta Active directory Tecnologie usate in Active Directory DHCP DNS SNTP LDAP Kerberos X.509 TCP/IP LDIF

7 | | Componenti logici: Schema Lista di Attributi accountExpires badPasswordTime mail cAConnect dhcpType eFSPolicy fromServer governsID Name … Gli Attributi di User possono contenere: accountExpires badPasswordTime mail name Esempi di Attributi: Esempi di Attributi: Esempi di Classi di Oggetti: Esempi di Classi di Oggetti: Computer User Server Disponibile e modificabile Dinamicamente e protetto da DACL

8 | | Componenti logici: Partizioni Porzioni del database di Active Directory Partizione di Dominio Partizione Configuration Partizione Schema Global Catalog Partizioni Applicative

9 | | Componenti logici: domini Organizzazioni logiche di gestione Non sono confini di sicurezza Le proprietà di sicurezza e le policy di configurazione (GPO) NON sono ereditate tra domini Forniscono un confine alle repliche Il livello gerarchico inferiore: Organizational Unit (OU) Il livello gerarchico superiore : Albero di domini

10 | | Componenti logici: enterprise root domain È il primo dominio creato nella struttura – Non può essere cancellato senza eliminare lintera struttura – Il ruolo non può essere trasferito Può essere un semplice segnaposto – Nome della foresta = nome del root domain – Non deve necessariamente essere nello stesso spazio dei nomi/albero del dominio di produzione principale

11 | | Componenti logici: alberi di domini Uno o più domini con una relazione di fiducia con un root domain Domini nello stesso albero formano uno spazio dei nomi contiguo Schema è comune a tutti i domini di una foresta Sicurezza è gestita attraverso relazioni di fiducia Kerberos Gli utenti possono cercare informazioni allinterno dellintera foresta

12 | | Componenti logici: foresta Un insieme di alberi di domini –Schema e Configurazione comune –Global Catalog comune –Sicurezza gestita da Kerberos Utile per sicurezza: confini tra applicazioni che richiedono autonomia gestionale Utenti possono cercare tutte le informazioni nella foresta usando il Global Catalog (GC) GC consente ricerche rapide in AD senza interrogare tutti i domini

13 | | Componenti logici: organizational unit Consentono di raggruppare oggetti in Active Directory Strumento di amministrazione Utenti non possono navigare la struttura di OU Usate per delega amministrativa Usate per assegnare le policy comuni È il livello a cui si ottiene la separazione della gestione dei dati dalla gestione dei servizi

14 | | Alberi e Foreste Contoso.com us.contoso.com eu.contoso.com nwtraders.com hr.nwtraders.com rd.nwtraders.com NTDOMAIN builder.com eu.builder.com Parent-Child Trust Interforest Trust External Trust

15 | | Il GC in ogni dominio ha un puntatore alle proprie informazioni (che sono complete) In più ha informazioni parziali provenienti da tutti gli altri domini della foresta Componenti fisici: global catalog

16 | | Componenti fisici: operation master Funzioni particolari assegnate ad alcuni DC Domain Naming Master Schema Master RID (Resource IDentifier) Master PDC (Primary Domain Controller) Emulator Infrastructure Master

17 | | Legati direttamente alla topologia e alla connettività di rete Definiti come aree di buona connettività (= 10Mb o maggiore) Connessi da link (tabelle di routing) Effetti primari – Confinamento del logon utenti – Ricerca delle risorse – Traffico di replica I confini di sito indipendenti da quelli di domini Componenti fisici: siti

18 ACTIVE DIRECTORY E DNS

19 | | Active Directory e DNS AD usa il DNS per registrare i servizi I record SRV sono registrati allavvio Il file NETLOGON.dns elenca i record SRV NY-DC-01.contoso.com NY-NS-01.contoso.com Service Protocol Site TTLTypePriorityWeightPortHost _ldap._tcp600SRV NY-DC-01.contoso.com _kerberos._tcp600SRV010088NY-DC-01.contoso.com _kpasswd._tcp600SRV NY-DC-01.contoso.com _gc._tcp600SRV NY-DC-01.contoso.com

20 | | Active Directory e DNS Localizzazione dei Servizi Tilbury Site London Site New York Site Site Link Cost 25 Site Link Cost 50 NY-DC-01 LON-DC-01 TIL-DNS-01 Qualè la più vicina stampante di rete? NY-DC-01 e LON-DC-01 sono Global Catalog Global Catalog? NY-DC-01 e LON-DC-01 Ricerca della stampante sul GC

21 ACTIVE DIRECTORY E AUTENTICAZIONE

22 | | Kerberos Standard de facto per lautenticazione Disponibile per molte diverse piattaforme Non definisce standard per i dati di autorizzazione Consente la mutua autenticazione Client/Server Riduce i tempi di connessione Client/Server Consente la delega di identità Versione attuale Kerberos 5

23 | | Autenticazione con Messaggi Criptati Cosè e come funziona Kerberos Gli attori Server Chiave utente generata dalla password di logon Chiave host generata durante il join al dominio Database di Security Principal User Tutti gli attori sono parte del realm Kerberos Per comunicare con fiducia devono condividere un segreto KDC Chiave KDC generata durante la creazione del ruolo DC

24 | | Cosè e come funziona Kerberos Visione dinsieme 1 - Richiesta di autenticazione 2 – Se lutente è riconosciuto viene restituito un Ticket-Granting-Ticket che consente la richiesta di service ticket TGT SR 3 – Viene richiesto un Service Ticket per accedere alla macchina Linux1. Nella richiesta è passato anche il TGT che identifica lutente 4 – Il KDC rilascia un Service Ticket per laccesso al server Linux1 ST KDC ST Server TGT

25 INSTALLAZIONE AUTOMATIZZATA DI COMPUTER

26 | | Windows imaging Formato WIM per i file immagine Immagini multiple in un file WIM Indipendenza delle immagini dallhardware Tool di cattura dello stato dei sistemi – Windows AIK: Scaricabile dal WEB alluscita di Windows Vista ImageX Driver filtro per file system WIMFS Windows PE 2.0 Windows Deployment Service

27 | | Formato WIM Header firma, dimensione, versione, GUID, lista parti, indice di boot Header firma, dimensione, versione, GUID, lista parti, indice di boot Risorse file Una per ogni file in blocchi di dati Risorse file Una per ogni file in blocchi di dati Tabella risorse Riferimenti (hash) alle risorse, usati per lookup nellimmagine Tabella risorse Riferimenti (hash) alle risorse, usati per lookup nellimmagine Dati XML Informazioni di descrizione, personalizzabili Dati XML Informazioni di descrizione, personalizzabili Metadati Un blocco per ogni immagine: struttura dir, nomi file, attributi, reparse point, stream, hard link FILE WIM FILE WIM

28 | | ImageX Appende limmagine di un volume ad un file WIM Termina il mount di unimmagine (con o senza commit delle modifiche) Cancella unimmagine da un file WIM Elenca il contenuto di un volume in un file WIM Suddivide un file WIM per la scrittura su CD Monta unimmagine in una directory (RO – RW) (anche da share di rete e device rimovibili) Installa unimmagine contenuta in un file WIM Cattura il contenuto di un HD/directory Esporta unimmagine in un file WIM separato Mostra le informazioni relative ad unimmagine

29 | | Windows PE 2.0 WIM file di meno di 100 MB – salvabile su device rimovibili (CD, USBKey,...) Avviabile direttamente dai device rimovibili – in molti casi completamente caricabile in RAM Caricabile da server di distribuzione via PXE Contiene le funzionalità base di Vista – Multithreading e multitasking, Win32, WSH, WMI,... Contiene la maggior parte dei driver di Vista – Possibile aggiungere driver allimmagine WinPE Usabile come tool per troubleshooting

30 | | Windows Deployment Services Servizio di Windows per eseguire installazioni – Da metallo nudo o reinstallazione – Supporta Windows: Vista, LH, XP, W2K3 e W2K – Supporta immagini sysprep (in formato WIM) – Nuova applicazione lato client rimpiazza OSChooser – Si integra con Active Directory Server PXE scalabile con architettura modulare – I plug-in consentono di espandere le funzionalità di – API pubbliche File di boot di WinPE per server PXE di terze parti Protocollo di comunicazione Client Server – Applicazioni personalizzate di deployment (es. SMS e BDD)

31 CREAZIONE E GESTIONE DI AMBIENTI DI TEST

32 | | Usare la virtualizzazione in aula Aumento dellutilizzazione dei server Diminuzione dei costi/tempi di crezione degli ambienti di test Aumento della disponibilità Aumento della capacità di risposta alle necessità

33 | | Architettura di Virtual Server 2005 Windows 2003 Kernel VMM.sys Ring 0 Hardware Ring 1 Ring 3 Windows in VM VM Additions Applicazioni guest Ring 3 Virtual Server Service IIS Admin Web Site Hardware virtuale HostGuest ( VM ) Ring 1

34 | | Architettura di Virtual Server 2005 con VT Windows 2003 Kernel VMM.sys Ring 0 Hardware HostGuest ( VM ) Ring 1 Ring 3 Windows in VM VM Additions Applicazioni guest Ring 3 Virtual Server Service IIS Admin Web Site Hardware virtuale CPU Ring "-1"

35 | | Windows Server Virtualization Soluzione per Windows basata su hypervisor – Dimensione ridotta: < 1 MB Virtualizzazione come ruolo integrato Nuovo modello di condivisione dellIO per migliorare le performance Ambiente virtuale dinamico – Aggiunta a caldo di memoria virtuale, dischi virtuali, CPU virtuali e schede di rete virtuali

36 | | Windows Server Virtualization Windows (core) Kernel Windows Hypervisor Ring 0 Hardware Partizione parent Partizione child Ring 3 Applicazioni guest Ring "-1" Windows/Linux VMBus Enlightments Kernel VSPs VSCs Stack di virtualizzazione VM Service WMI VM Worker Drivers

37 | | VS2005 vs WSV Virtual Server 2005 R2Windows Server Virtualization VM a 32-bit?Si VM a 64-bit?NoSi VM multi-processore?NoSi, fino a 8 processori per VM RAM per VM?3.6 GB per VMPiù di 32 GB per VM Supporto di memory overcommit?NoSi Aggiunta di RAM/CPU a caldo?NoSi Aggiunta di Dischi/NIC a caldo?NoSi Gestibile da System Center Virtual Machine Manager? Si Supporto di Microsoft Cluster?Si Scrittabile / Estensibile?Si, COMSi, WMI Numero di VM attive in contemporanea?64 Tante quante consentite dalle risorse HW Interfaccia di amministrazioneInterfaccia WebInterfaccia MMC 3.0

38 | | Per altre informazioni…

39 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Scaricare ppt "Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist"

Presentazioni simili


Annunci Google