Na drodze do certyfikatu Microsoftu cz. 2
Tak jak pisałem w poprzednim wpisie chciałem napisać czego ciekawego się dowiedziałem podczas szkolenia.
Sprawy organizacyjne
O 8:40 byłem gotowy do pochłaniania wiedzy. Papierosek, próba dobudzenia się i jazda. Trenerem Microsftu okazał się pracownik Dagmy który specjalizuje się właśnie w systemach serwerowych (również Linux) oraz w technologiach sieciowych (UTM NetASQ). Poinformował o wstępnych wymaganiach dotyczących wiedzy i doświadczenia kursantów i co ciekawe Microsoft zaleca, aby w szkoleniu brali udział ludzi z co najmniej półrocznym doświadczeniem z administracją co najmniej 500 hostów....cóż...już widzę osobę bez doświadczenia pracującą przy takiej sieci. Ponadto czas na ćwiczenia jest dwa razy dłuższy niż potrzeba...wychodzi na to, że nie będziemy siedzieć od 9 do 17, tylko do 15‑15:30 (a w tym są 3‑4 krótkie przerwy około 5‑10 minut + 30 minut przerwy obiadowej) - odnośnie obiadu, organizator zapewnił nam obiady w tajskiej restauracji - ciekawe doznania również kulinarne.
Wstęp odnośnie szkolenia
Każdy z nas dostał oficjalne materiały szkoleniowe Microsoft. Są to dwie książki (a właściwie jedna książka i jedna księga:P), gdzie można znaleźć wszystko to co na kursie wraz z opisem i ćwiczeniami krok po kroku rozpisanymi. Podczas szkolenia korzystamy ze środowiska Hyper-V i jest tam około 10 specjalnie przygotowanych maszyn wirtualnych do różnych ćwiczeń.
Duży minus dla organizatora - wprowadził mnie w błąd
Pisałem Wam, że na tym szkoleniu jest do przerobienia materiał wymagany do 3 egzaminów Microsoftu.....w tym punkcie zostałem wprowadzony w błąd. Okazuje się, że wyczerpuje jedynie zakres pierwszego egzaminu (70‑640), a pozostałe jedynie częściowo. W sumie i tak chciałbym wziąć udział w takim szkoleniu, ale po tym jak zrobił mnie w trąbę przedstawiciel organizatora to mi troszkę przeszło. Następnie odnośnie egzaminu, tak jak pisałem kosztuje 100$ (ciekawostka: w Niemczech kosztuje 100....euro, a w Anglii 100 funtów - chociaż za to muszą więcej zapłacić:P)
Introducing Active Directory Domain Services
Rozróżnienie pojęć autoryzacji i autentykacji, sposoby działania mechanizmów logowania i sprawdzania uprawnień, sposób w jaki system rozróżnia użytkowników (podobnie jak w Linuksie używany jest do tego SID). Troszkę odnośnie samej korzyści z wdrożenia domeny. Przy okazji dowiedzieliśmy się, że najważniejsze pliki w usłudze AD są w
- %systemroot%\NTDS\ntds.dit
- %systemroot%\SYSVOL
Plik ntds.dit oraz pliki w katalogu SYSVOL zawierają podobno całą konfigurację domeny...cóż ciekawe. Również schemat, który odpowiada za definiowanie obiektów w systemie (np. komputer).
Replikacja
Następnie dowiedzieliśmy się troszkę odnośnie replikacji - np. replikacja w jednej sieci lokalnej może trwać do 45 sekund, a replikacja między różnymi lokalizacjami nawet do 4 godzin (można skrócić, ale takie opóźnienie jest z powodu chęci uniknięcia przeciążeń sieci. Oprócz tego oczywistymi zaleceniami MS są co najmniej dwa kontrolery domeny w sieci oraz w przypadku kontrolera w miejscu w którym nie jest on fizycznie zabezpieczonym zalecenia dotyczące systemu - system tylko w wersji Core oraz w trybie RODC (Read-Only Domain Controllers) - chodzi o to, że kontroler w takiej lokalizacji może tylko się replikować - sam nie potrafi zmieniać żadnych swoich ustawień.
AD Schema
Usługa AD to de facto baza danych, gdzie różne obiekty są opisane za pomocą odpowiednich atrybutów. Bezsensowne jest, aby MS dokładał do tego schematu najróżniejsze elementy umożliwiające współpracę np. ze wszystkimi UTM'ami na rynku - zamiast tego umożliwił zmianę schematu, dzięki której np. można tak skonfigurować AD i sprzętowy firewall (na Linuksie firewall też powinien tak działać), aby badanie dostępu do konkretnych adresów jest per użytkownika.
Jednostki organizacyjne (Organizational Unit - OU)
Trochę wyjaśnienia dotyczące OU. Jednostki organizacyjne służą do organizacji objektów w domenie, delegowanie uprawnień administracyjnych, łatwego zrządzania zgrupowanymi zasobami. Trzeba się dokładnie zastanowić nad tym w jaki sposób zorganizować swoją domenę. W niektórych przypadkach lepszym rozwiązaniem będzie na podstawie lokalizacji, w innym na podstawie funkcji jaką dana jednostka pełni. Dużo zależy od specyfiki danej organizacji w której wdrażamy domenę.
Domena będąca w drzewie, a drzewo w lesie
Uzasadnieniem dla którego MS zaleca doświadczenie w dużym środowisku przed szkoleniem są narzędzia i metody które poznajemy. Niekiedy szybciej coś można zrobić ręcznie klikając, niż korzystać z narzędzi bardziej zaawansowanych (np. PowerShell). Świat informatyki jest wywrócony do góry nogami - świetnie to widać n tym co nazywamy drzewo - zazwyczaj korzeń jest u góry:P. Oczywiście podobnie jest w AD. Do działania domeny wymagany jest co najmniej jeden kontroler domeny (to raczej logiczne). Musimy nadać jej jakąś nazwę, a hosty w tej domenie będą miały adres: nazwa_hosta.domena.pl. Naszą domenę możemy dodatkowo podzielić na subdomeny i w ten sposób powstanie drzewo, a lasem nazywamy coś co się składa z więcej niż jednego drzewa (nie nazwałbym lasem miejsca z 2 drzewami:P). W lesie mamy powiązane korzenie, ale nie oznacza to, że automatycznie kontrolery subdomen też będą chciały ze sobą "rozmawiać". Aby tak było, trzeba ustanowić odpowiednie relacje zaufania dzięki którym osobnik zarejestrowany w jednej domenie będzie mógł się zalogować na swoje hasło do drugiej. Oprócz tego, możemy ustanowić relacje zaufani a w tym samym drzewie, aby skrócić drogę sprawdzania uprawnień (to może kolejny rysunek)
W tym samym drzewie, pomiędzy najniższą domeną z lewej strony, a domeną z prawej pokazałem dwukierunkową relację zaufania dzięki czemu jak ktoś będzie się logował w drugiej domenie, to system nie musi iść do korzenia i dopiero później do odpowiedniego kontrolera domeny, tylko pyta bezpośrednio. Pokazałem też relację jednostronną między drzewami, co w ogóle umożliwia logowanie się w innym drzewie (domyślnie nie jest to możliwe).
LAB: Install an AD DS Domain Controller to Create a Single Domain Forest
W książce ćwiczenie ejst opisane krok po kroku, trzeba ustawić stały adres IP (w przeciwnym wypadku wyskoczy error. Domyślnie serwer nie ma przypisanej roli CD, więc ją włączamy, wybieramy kompatybilność jaka nas interesuje (podnieść np. z 2003 do 2008 możemy w przyszłości, ale obniżyć już niestety nie) - to samo dotyczy poziom funkcjonalności w lesie.
Administering Active Directory Securely and Efficiently
Jest to drugi moduł w książce, opisuje narzędzia do konfiguracji obiektów. Ciekawa jest możliwość stworzenia własnej konsoli MMC dodając do niej potrzebne nam narzędzia. Trochę refleksji na temat oporu użytkowników do UAC który ma podobne działanie jak sudo w Linuksie, ale w tym drugim wszyscy chwalą, a UAC krytykują. Oczywiste jest, że zalecenie MS są takie, aby admin miał dwa konta (czyli 2 CALe na admina) i na jednym pracował, a na drugim miał uprawnienia admina.
LAB
Narzędzia do administracji
W ćwiczeniu przełączamy się w konsoli Active Directory Users and Computers na Advanced Features (menu View) i wtedy możemy wszystkie atrybuty podejrzeć i zmodyfikować, następnie tworzymy własną konsolę MMC do której dodajemy potrzebne nam narzędzia (później możemy ją dystrybuować). Polega to na dodawania Snap-inów. Active Directory Schema nie znalazł się w na liście standardowej, ale można go dodać poleceniem regsvr32.exe schmmgmt.dll - podejrzewam, że inne też się da:)
Wyszukiwanie
Następnie lekcja dotycząca wyszukiwania w Active Directory. Moim zdaniem nie ma co się rozpisywać - każde narzędzie oferuje jakieś sortowania i/lub wyszukiwanie - odnalezienie tego, ani używanie nie powinno nikomu sprawić problemu.Oprócz tego, aby oskryptować niektóre rzeczy możemy zapisać zapytania (i je wyeksportowć) i później cyklicznie uruchamiać celem. Oczywiście w LABIE mamy parę rzeczy do poszukania.
To co tygryski lubią najbardziej - PowerShell
Krótki opis, wymagania dotyczące instalacji PS, no i przegląd komend. Nie korzystałem z PowerShella, a pierwsze spotkanie 3 stopnia nie napawa mnie optymizmem - jak dla mnie jest nieintuicyjny - zdecydowanie lepsza (wydaje mi się) konsola Linuksa - pożyjemy zobaczymy:). Np. aby komuś tam zmienić zmienić komuś hasło i informacje adresowe to potrzebujemy 8 różnych zapytań w tym kilka mieści się na kilku linijkach....jak dla mnie trochę sporo:P Cóż, żeby zdać egzamin, trzeba się z PS polubić, ponieważ na egzaminie konkretne zapytanie z głowy trzeba napisać (bez użycia komputera).
Managing Users and Service Accounts
Pierwsze dwie lekcje w tym module są trywialne - tworzenie i zarządzanie kontami adminów oraz użytkowników. Jedynym problemem może być PowerShell jakbyśmy to z jego poziomu chcieli założyć użytkownika.
Automate User Account Creation
Krótka lekcja omawiająca 3 narzędzia do importu/exportu użytkowników.
- CSVDE
- LDIFDE
- PowerShell
Odnośnie ograniczeń tych narzędzi. W pierwszym i drugim składnia jest bardzo podobna. W pierwszym nie możemy przenosić haseł (więc wszystkie konta są wyłączone) oraz nie możemy usuwać i modyfikować istniejących kont. Drugie narzędzie może modyfikować i usuwać, ale w dalszym ciągu nie przechodzą hasła. W PowerShellu nie robi się tego tak przyjemnie jak w poprzednich narzędziach, ale w nagrodę możemy ustawić jakieś hasła startowe. Prowadzący poleca LDIFDE do importu i PowerShella do ustawienia haseł startowych (oczywiście mówimy o sytuacji, gdy mamy do importu dużo użytkowników).
Create and Configure Managed Service Accounts
Jeśli np. mamy serwer SQL to albo będzie pracował na koncie systemowym, albo ograniczymy mu uprawnienia tworząc Service Accounts. Dlaczego to powinniśmy zrobić chyba nikogo nie trzeba przekonywać - w razie kompromitacji, intruzi powinni mieć jak najmniejsze pole manewru i powinniśmy im to ograniczyć na wszystkie możliwe sposoby. Niestety na 90% wiąże się to z licencjami CAL do tych usług, aczkolwiek ich polityka licencyjna dla certyfikowanego trenera MS jest zbyt pokręcona aby miał pewność - zalecił napisanie maila do MS z takim zapytaniem i odpowiedź przechowywać - tak na wszelki wypadek.
Koniec dnia pierwszego
Dość skrótowo postarałem się nakreślić o czym była mowa w dniu wczorajszym. Zacząłem wpis tworzyć wczoraj, skończyłem rano, a teraz wybieram się na drugi dzień szkolenia. Oczywiście zapraszam do lektury następnego odcinka:)