Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist 3/27/2017 2:28 AM Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist Piergiorgio.malusardi@microsoft.com http://blogs.technet.com/pgmalusardi http://blogs.technet.com/italy © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda Introduzione Introduzione ad Active Directory Installazione automatizzata di computer Creazione e gestione di ambienti di test

Introduzione Necessità tipiche nella gestione di un’aula Autenticazione degli utenti Controllo dell’ambiente operativo degli utenti Installazione automatizzata dei computer Creazione di ambienti di test

Introduzione ad Active Directory

Com’è fatta Active Directory? Architettura LSASS LDAP MAPI REPL KDC Lanman DSA SAM DNS FRS dipendenze

Com’è fatta Active directory Tecnologie usate in Active Directory DNS SNTP DHCP LDAP TCP/IP LDIF X.509 Kerberos

Componenti logici: Schema Esempi di Classi di Oggetti: Disponibile e modificabile Dinamicamente e protetto da DACL Gli Attributi di User possono contenere: accountExpires badPasswordTime mail name Esempi di Attributi: Computer Lista di Attributi accountExpires badPasswordTime mail cAConnect dhcpType eFSPolicy fromServer governsID Name … User Server

Componenti logici: Partizioni Porzioni del database di Active Directory Partizione di Dominio Partizione Configuration Partizione Schema Global Catalog Partizioni Applicative

Componenti logici: domini Organizzazioni logiche di gestione Non sono confini di sicurezza Le proprietà di sicurezza e le policy di configurazione (GPO) NON sono ereditate tra domini Forniscono un confine alle repliche Il livello gerarchico inferiore: Organizational Unit (OU) Il livello gerarchico superiore : Albero di domini

Componenti logici: enterprise root domain È il primo dominio creato nella struttura Non può essere cancellato senza eliminare l’intera struttura Il ruolo non può essere trasferito Può essere un semplice “segnaposto” Nome della foresta = nome del root domain Non deve necessariamente essere nello stesso spazio dei nomi/albero del dominio di produzione principale

Componenti logici: alberi di domini Uno o più domini con una relazione di fiducia con un root domain Domini nello stesso albero formano uno spazio dei nomi contiguo Schema è comune a tutti i domini di una foresta Sicurezza è gestita attraverso relazioni di fiducia Kerberos Gli utenti possono cercare informazioni all’interno dell’intera foresta

Componenti logici: foresta Un insieme di alberi di domini Schema e Configurazione comune Global Catalog comune Sicurezza gestita da Kerberos Utile per sicurezza: confini tra applicazioni che richiedono autonomia gestionale Utenti possono cercare tutte le informazioni nella foresta usando il Global Catalog (GC) GC consente ricerche rapide in AD senza interrogare tutti i domini

Componenti logici: organizational unit Consentono di raggruppare oggetti in Active Directory Strumento di amministrazione Utenti non possono navigare la struttura di OU Usate per delega amministrativa Usate per assegnare le policy comuni È il livello a cui si ottiene la separazione della gestione dei dati dalla gestione dei servizi

Alberi e Foreste Contoso.com builder.com nwtraders.com us.contoso.com eu.builder.com us.contoso.com eu.contoso.com nwtraders.com hr.nwtraders.com rd.nwtraders.com NTDOMAIN Parent-Child Trust Interforest Trust External Trust

Componenti fisici: global catalog Il GC in ogni dominio ha un puntatore alle proprie informazioni (che sono complete) In più ha informazioni parziali provenienti da tutti gli altri domini della foresta

Componenti fisici: operation master Funzioni particolari assegnate ad alcuni DC Domain Naming Master Schema Master RID (Resource IDentifier) Master PDC (Primary Domain Controller) Emulator Infrastructure Master

Componenti fisici: siti Legati direttamente alla topologia e alla connettività di rete Definiti come aree di buona connettività (= 10Mb o maggiore) Connessi da link (“tabelle di routing”) Effetti primari Confinamento del logon utenti Ricerca delle risorse Traffico di replica I confini di sito indipendenti da quelli di domini

Active Directory e DNS

Active Directory e DNS AD usa il DNS per registrare i servizi I record SRV sono registrati all’avvio Il file NETLOGON.dns elenca i record SRV Service Protocol Site TTL Type Priority Weight Port Host _ldap._tcp 600 SRV 100 389 NY-DC-01.contoso.com _kerberos._tcp 88 _kpasswd._tcp 464 _gc._tcp 3268 NY-DC-01.contoso.com NY-NS-01.contoso.com

Active Directory e DNS Localizzazione dei Servizi NY-DC-01 e LON-DC-01 sono Global Catalog Qual’è la più vicina stampante di rete? Global Catalog? NY-DC-01 e LON-DC-01 Site Link Cost 50 Site Link Cost 25 TIL-DNS-01 Ricerca della stampante sul GC Tilbury Site Site Link Cost 25 NY-DC-01 LON-DC-01 New York Site London Site

Active Directory e Autenticazione

Kerberos Standard de facto per l’autenticazione Disponibile per molte diverse piattaforme Non definisce standard per i dati di autorizzazione Consente la mutua autenticazione Client/Server Riduce i tempi di connessione Client/Server Consente la delega di identità Versione attuale Kerberos 5

Cos’è e come funziona Kerberos Gli attori Chiave KDC generata durante la creazione del ruolo DC KDC User Autenticazione con Messaggi Criptati Database di Security Principal Chiave utente generata dalla password di logon Server Chiave host generata durante il join al dominio Tutti gli attori sono parte del realm Kerberos Per comunicare con fiducia devono condividere un segreto

Cos’è e come funziona Kerberos Visione d’insieme 1 - Richiesta di autenticazione TGT 2 – Se l’utente è riconosciuto viene restituito un Ticket-Granting-Ticket che consente la richiesta di service ticket KDC TGT SR 3 – Viene richiesto un Service Ticket per accedere alla macchina Linux1. Nella richiesta è passato anche il TGT che identifica l’utente ST ST 4 – Il KDC rilascia un Service Ticket per l’accesso al server Linux1 Server

Installazione automatizzata di computer

Windows imaging Formato WIM per i file immagine Immagini multiple in un file WIM Indipendenza delle immagini dall’hardware Tool di cattura dello stato dei sistemi Windows AIK: Scaricabile dal WEB all’uscita di Windows Vista ImageX Driver filtro per file system WIMFS Windows PE 2.0 Windows Deployment Service

Formato WIM Header Risorse file FILE WIM Metadati Tabella risorse firma, dimensione, versione, GUID, lista parti, indice di boot Risorse file Una per ogni file in blocchi di dati FILE WIM Metadati Un blocco per ogni immagine: struttura dir, nomi file, attributi, reparse point, stream, hard link Tabella risorse Riferimenti (hash) alle risorse, usati per lookup nell’immagine Dati XML Informazioni di descrizione, personalizzabili

ImageX Appende l’immagine di un volume ad un file WIM Installa un’immagine contenuta in un file WIM Cattura il contenuto di un HD/directory Cancella un’immagine da un file WIM Elenca il contenuto di un volume in un file WIM Esporta un’immagine in un file WIM separato Mostra le informazioni relative ad un’immagine Suddivide un file WIM per la scrittura su CD Monta un’immagine in una directory (RO – RW) (anche da share di rete e device rimovibili) Termina il mount di un’immagine (con o senza commit delle modifiche)

Windows PE 2.0 WIM file di meno di 100 MB salvabile su device rimovibili (CD, USBKey,...) Avviabile direttamente dai device rimovibili in molti casi completamente caricabile in RAM Caricabile da server di distribuzione via PXE Contiene le funzionalità base di Vista Multithreading e multitasking, Win32, WSH, WMI, ... Contiene la maggior parte dei driver di Vista Possibile aggiungere driver all’immagine WinPE Usabile come tool per troubleshooting

Windows Deployment Services 3/27/2017 2:28 AM Servizio di Windows per eseguire installazioni Da “metallo nudo” o reinstallazione Supporta Windows: Vista, LH, XP, W2K3 e W2K Supporta immagini sysprep (in formato WIM) Nuova applicazione lato client rimpiazza OSChooser Si integra con Active Directory Server PXE scalabile con architettura modulare I plug-in consentono di espandere le funzionalità di API pubbliche File di boot di WinPE per server PXE di terze parti Protocollo di comunicazione Client  Server Applicazioni personalizzate di deployment (es. SMS e BDD) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Creazione e gestione di ambienti di test

Usare la virtualizzazione in aula Aumento dell’utilizzazione dei server Diminuzione dei costi/tempi di crezione degli ambienti di test Aumento della disponibilità Aumento della capacità di risposta alle necessità

Architettura di Virtual Server 2005 Host Guest (VM) Admin Web Site Virtual Server Service IIS Applicazioni guest Ring 3 Ring 3 Ring 1 Ring 1 VM Additions Windows in VM Hardware virtuale Ring 0 Windows 2003 Kernel VMM.sys Hardware

Architettura di Virtual Server 2005 con VT Host Guest (VM) Admin Web Site Virtual Server Service IIS Applicazioni guest Ring 3 Ring 3 Ring 1 Ring 0 VM Additions Windows 2003 Windows in VM Kernel VMM.sys Ring "-1" Hardware virtuale CPU Hardware

Windows Server Virtualization Soluzione per Windows basata su hypervisor Dimensione ridotta: < 1 MB Virtualizzazione come ruolo integrato Nuovo modello di condivisione dell’IO per migliorare le performance Ambiente virtuale dinamico Aggiunta a caldo di memoria virtuale, dischi virtuali, CPU virtuali e schede di rete virtuali

Windows Server Virtualization Partizione parent Partizione child Stack di virtualizzazione WMI VM Service VM Worker Applicazioni guest Ring 3 Windows (core) Windows/Linux VSPs VSCs Kernel Kernel VMBus Drivers Enlightments Ring 0 Windows Hypervisor Ring "-1" Hardware

VS2005 vs WSV Virtual Server 2005 R2 Windows Server Virtualization   Virtual Server 2005 R2 Windows Server Virtualization VM a 32-bit? Si VM a 64-bit? No VM multi-processore? Si, fino a 8 processori per VM RAM per VM? 3.6 GB per VM Più di 32 GB per VM Supporto di memory overcommit? Aggiunta di RAM/CPU a caldo? Aggiunta di Dischi/NIC a caldo? Gestibile da System Center Virtual Machine Manager? Supporto di Microsoft Cluster? Scrittabile / Estensibile? Si, COM Si, WMI Numero di VM attive in contemporanea? 64 Tante quante consentite dalle risorse HW Interfaccia di amministrazione Interfaccia Web Interfaccia MMC 3.0

Per altre informazioni… http://www.live.com

© 2006 Microsoft Corporation. All rights reserved © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.