Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist

Presentazione sul tema: "Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist"— Transcript della presentazione:

1 Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist
3/27/2017 2:28 AM Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2 Agenda Introduzione Introduzione ad Active Directory
Installazione automatizzata di computer Creazione e gestione di ambienti di test

3 Introduzione Necessità tipiche nella gestione di un’aula
Autenticazione degli utenti Controllo dell’ambiente operativo degli utenti Installazione automatizzata dei computer Creazione di ambienti di test

4 Introduzione ad Active Directory

5 Com’è fatta Active Directory? Architettura
LSASS LDAP MAPI REPL KDC Lanman DSA SAM DNS FRS dipendenze

6 Com’è fatta Active directory Tecnologie usate in Active Directory
DNS SNTP DHCP LDAP TCP/IP LDIF X.509 Kerberos

7 Componenti logici: Schema
Esempi di Classi di Oggetti: Disponibile e modificabile Dinamicamente e protetto da DACL Gli Attributi di User possono contenere: accountExpires badPasswordTime mail name Esempi di Attributi: Computer Lista di Attributi accountExpires badPasswordTime mail cAConnect dhcpType eFSPolicy fromServer governsID Name … User Server

8 Componenti logici: Partizioni
Porzioni del database di Active Directory Partizione di Dominio Partizione Configuration Partizione Schema Global Catalog Partizioni Applicative

9 Componenti logici: domini
Organizzazioni logiche di gestione Non sono confini di sicurezza Le proprietà di sicurezza e le policy di configurazione (GPO) NON sono ereditate tra domini Forniscono un confine alle repliche Il livello gerarchico inferiore: Organizational Unit (OU) Il livello gerarchico superiore : Albero di domini

10 Componenti logici: enterprise root domain
È il primo dominio creato nella struttura Non può essere cancellato senza eliminare l’intera struttura Il ruolo non può essere trasferito Può essere un semplice “segnaposto” Nome della foresta = nome del root domain Non deve necessariamente essere nello stesso spazio dei nomi/albero del dominio di produzione principale

11 Componenti logici: alberi di domini
Uno o più domini con una relazione di fiducia con un root domain Domini nello stesso albero formano uno spazio dei nomi contiguo Schema è comune a tutti i domini di una foresta Sicurezza è gestita attraverso relazioni di fiducia Kerberos Gli utenti possono cercare informazioni all’interno dell’intera foresta

12 Componenti logici: foresta
Un insieme di alberi di domini Schema e Configurazione comune Global Catalog comune Sicurezza gestita da Kerberos Utile per sicurezza: confini tra applicazioni che richiedono autonomia gestionale Utenti possono cercare tutte le informazioni nella foresta usando il Global Catalog (GC) GC consente ricerche rapide in AD senza interrogare tutti i domini

13 Componenti logici: organizational unit
Consentono di raggruppare oggetti in Active Directory Strumento di amministrazione Utenti non possono navigare la struttura di OU Usate per delega amministrativa Usate per assegnare le policy comuni È il livello a cui si ottiene la separazione della gestione dei dati dalla gestione dei servizi

14 Alberi e Foreste Contoso.com builder.com nwtraders.com us.contoso.com
eu.builder.com us.contoso.com eu.contoso.com nwtraders.com hr.nwtraders.com rd.nwtraders.com NTDOMAIN Parent-Child Trust Interforest Trust External Trust

15 Componenti fisici: global catalog
Il GC in ogni dominio ha un puntatore alle proprie informazioni (che sono complete) In più ha informazioni parziali provenienti da tutti gli altri domini della foresta

16 Componenti fisici: operation master
Funzioni particolari assegnate ad alcuni DC Domain Naming Master Schema Master RID (Resource IDentifier) Master PDC (Primary Domain Controller) Emulator Infrastructure Master

17 Componenti fisici: siti
Legati direttamente alla topologia e alla connettività di rete Definiti come aree di buona connettività (= 10Mb o maggiore) Connessi da link (“tabelle di routing”) Effetti primari Confinamento del logon utenti Ricerca delle risorse Traffico di replica I confini di sito indipendenti da quelli di domini

18 Active Directory e DNS

19 Active Directory e DNS AD usa il DNS per registrare i servizi
I record SRV sono registrati all’avvio Il file NETLOGON.dns elenca i record SRV Service Protocol Site TTL Type Priority Weight Port Host _ldap._tcp 600 SRV 100 389 NY-DC-01.contoso.com _kerberos._tcp 88 _kpasswd._tcp 464 _gc._tcp 3268 NY-DC-01.contoso.com NY-NS-01.contoso.com

20 Active Directory e DNS Localizzazione dei Servizi
NY-DC-01 e LON-DC-01 sono Global Catalog Qual’è la più vicina stampante di rete? Global Catalog? NY-DC-01 e LON-DC-01 Site Link Cost 50 Site Link Cost 25 TIL-DNS-01 Ricerca della stampante sul GC Tilbury Site Site Link Cost 25 NY-DC-01 LON-DC-01 New York Site London Site

21 Active Directory e Autenticazione

22 Kerberos Standard de facto per l’autenticazione
Disponibile per molte diverse piattaforme Non definisce standard per i dati di autorizzazione Consente la mutua autenticazione Client/Server Riduce i tempi di connessione Client/Server Consente la delega di identità Versione attuale Kerberos 5

23 Cos’è e come funziona Kerberos Gli attori
Chiave KDC generata durante la creazione del ruolo DC KDC User Autenticazione con Messaggi Criptati Database di Security Principal Chiave utente generata dalla password di logon Server Chiave host generata durante il join al dominio Tutti gli attori sono parte del realm Kerberos Per comunicare con fiducia devono condividere un segreto

24 Cos’è e come funziona Kerberos Visione d’insieme
1 - Richiesta di autenticazione TGT 2 – Se l’utente è riconosciuto viene restituito un Ticket-Granting-Ticket che consente la richiesta di service ticket KDC TGT SR 3 – Viene richiesto un Service Ticket per accedere alla macchina Linux1. Nella richiesta è passato anche il TGT che identifica l’utente ST ST 4 – Il KDC rilascia un Service Ticket per l’accesso al server Linux1 Server

25 Installazione automatizzata di computer

26 Windows imaging Formato WIM per i file immagine
Immagini multiple in un file WIM Indipendenza delle immagini dall’hardware Tool di cattura dello stato dei sistemi Windows AIK: Scaricabile dal WEB all’uscita di Windows Vista ImageX Driver filtro per file system WIMFS Windows PE 2.0 Windows Deployment Service

27 Formato WIM Header Risorse file FILE WIM Metadati Tabella risorse
firma, dimensione, versione, GUID, lista parti, indice di boot Risorse file Una per ogni file in blocchi di dati FILE WIM Metadati Un blocco per ogni immagine: struttura dir, nomi file, attributi, reparse point, stream, hard link Tabella risorse Riferimenti (hash) alle risorse, usati per lookup nell’immagine Dati XML Informazioni di descrizione, personalizzabili

28 ImageX Appende l’immagine di un volume ad un file WIM
Installa un’immagine contenuta in un file WIM Cattura il contenuto di un HD/directory Cancella un’immagine da un file WIM Elenca il contenuto di un volume in un file WIM Esporta un’immagine in un file WIM separato Mostra le informazioni relative ad un’immagine Suddivide un file WIM per la scrittura su CD Monta un’immagine in una directory (RO – RW) (anche da share di rete e device rimovibili) Termina il mount di un’immagine (con o senza commit delle modifiche)

29 Windows PE 2.0 WIM file di meno di 100 MB
salvabile su device rimovibili (CD, USBKey,...) Avviabile direttamente dai device rimovibili in molti casi completamente caricabile in RAM Caricabile da server di distribuzione via PXE Contiene le funzionalità base di Vista Multithreading e multitasking, Win32, WSH, WMI, ... Contiene la maggior parte dei driver di Vista Possibile aggiungere driver all’immagine WinPE Usabile come tool per troubleshooting

30 Windows Deployment Services
3/27/2017 2:28 AM Servizio di Windows per eseguire installazioni Da “metallo nudo” o reinstallazione Supporta Windows: Vista, LH, XP, W2K3 e W2K Supporta immagini sysprep (in formato WIM) Nuova applicazione lato client rimpiazza OSChooser Si integra con Active Directory Server PXE scalabile con architettura modulare I plug-in consentono di espandere le funzionalità di API pubbliche File di boot di WinPE per server PXE di terze parti Protocollo di comunicazione Client  Server Applicazioni personalizzate di deployment (es. SMS e BDD) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

31 Creazione e gestione di ambienti di test

32 Usare la virtualizzazione in aula
Aumento dell’utilizzazione dei server Diminuzione dei costi/tempi di crezione degli ambienti di test Aumento della disponibilità Aumento della capacità di risposta alle necessità

33 Architettura di Virtual Server 2005
Host Guest (VM) Admin Web Site Virtual Server Service IIS Applicazioni guest Ring 3 Ring 3 Ring 1 Ring 1 VM Additions Windows in VM Hardware virtuale Ring 0 Windows 2003 Kernel VMM.sys Hardware

34 Architettura di Virtual Server 2005 con VT
Host Guest (VM) Admin Web Site Virtual Server Service IIS Applicazioni guest Ring 3 Ring 3 Ring 1 Ring 0 VM Additions Windows 2003 Windows in VM Kernel VMM.sys Ring "-1" Hardware virtuale CPU Hardware

35 Windows Server Virtualization
Soluzione per Windows basata su hypervisor Dimensione ridotta: < 1 MB Virtualizzazione come ruolo integrato Nuovo modello di condivisione dell’IO per migliorare le performance Ambiente virtuale dinamico Aggiunta a caldo di memoria virtuale, dischi virtuali, CPU virtuali e schede di rete virtuali

36 Windows Server Virtualization
Partizione parent Partizione child Stack di virtualizzazione WMI VM Service VM Worker Applicazioni guest Ring 3 Windows (core) Windows/Linux VSPs VSCs Kernel Kernel VMBus Drivers Enlightments Ring 0 Windows Hypervisor Ring "-1" Hardware

37 VS2005 vs WSV Virtual Server 2005 R2 Windows Server Virtualization
Virtual Server 2005 R2 Windows Server Virtualization VM a 32-bit? Si VM a 64-bit? No VM multi-processore? Si, fino a 8 processori per VM RAM per VM? 3.6 GB per VM Più di 32 GB per VM Supporto di memory overcommit? Aggiunta di RAM/CPU a caldo? Aggiunta di Dischi/NIC a caldo? Gestibile da System Center Virtual Machine Manager? Supporto di Microsoft Cluster? Scrittabile / Estensibile? Si, COM Si, WMI Numero di VM attive in contemporanea? 64 Tante quante consentite dalle risorse HW Interfaccia di amministrazione Interfaccia Web Interfaccia MMC 3.0

38 Per altre informazioni…

39 © 2006 Microsoft Corporation. All rights reserved
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.