ריבוי דומיינים בארגון - Trust, Site << קורס אונליין חינם
Menu
עברית Русский Srbija العربية
מכללת פרקטיקיו
קורסים אונליין בעברית
עם הסרטונים שלנו פשוט להיות מקצוען

ריבוי דומיינים בארגון - Trust, Site

קורסים למנהלי רשת מנהל רשת מוסמך מיקרוסופט - טכנאי מחשבים ושרתים התמחות בווירטואליזציה מומחה בתקשורת מוסמך סיסקו מומחה לינוקס, ענן ו-DevOps האקינג - סייבר התקפי התמחות באבטחת מידע - סייבר הגנתי שרתי מיקרוסופט נוספים לארגונים גדולים - Exchange - SCCM התמחות במסדי נתונים - SQL התמחות ב-Storage קורסים נוספים למנהלי רשת
קורסי תכנות מפתח תוכנות לוונדוס - WinForms מפתח Front End - בניית אתרי אינטרנט ותכנות בתוך דפדפן מפתח Back End - תכנות ובניית אתרי אינטרנט בצד שרת מפתח אפליקציות לאנדרואיד מפתח אפליקציות לאייפון מפתח משחקים קורס DBA - התמחות במסדי נתונים – SQL קורסים מתקדמים בתכנות בדיקות תוכנה - QA

Operation Master


(FSMO)



FSMO – Flexible Single Operation Master



כל ה- DC בדומיין שווים אחד לשני. זאת אומרת, שאם מידע ב- 1DC משתנה גם ב- 2DC הוא ישתנה, ואז הם שווים. השוויון בין כל ה- DC נקרא Multi Master. הדבר מאוד נח מבחינת חיסכון זמן אך, ישנה בעיית התנגשות בזמן רפליקציה בין ה- DC. לכן ב- AD יש חמישה תפקידים שרק שרת אחד יכול להיות אחראי עליהם ( Single Master ). במילים אחרות, תפקידי FSMO הם חריגים של MASTER MULTI.



חמשת התפקידים, הינם Multi Master :



1. Schema Master – הרחבת סכמה. התנגשות בין שינויים בסכמה עלולים לגרום נזק לפעילות תקינה של המערכת. לכן מבחינת המערכת רק DC אחד ביער יכול לעשות שינויים בסכמה. סכמה לא נמצאת ב – MMC כבחירת מחדל, לכן צריך להוסיף אותה באמצעות פקודה (לזכור אותה למבחן):


C:UsersAdministrator>cd

C:>cd windowssystem32

C:WindowsSystem32>regsvr32 schmmgmt.dll


דוגמא לשינויים בסכמה: ניכנס לסכמה וב- ATTRIBUTES נבחר Postal Code. בהגדרות נסמן את אופציה “Replicate this attribute to the Global Catalog”. הדגש הוא שמעכשיו ניתן למצוא את השדה של מיקוד בתוך היער כולו.


כדי להעביר תפקיד ל- DC אחר יש לעשות דברים הבאים. נכנסים ב- MMC ומוסיפים סכמה. לאחר מכן לוחצים קליק ימני על הסכמה ובוחרים באופציה Operation Master ואז CHANGE.


תזכורת:ל- GC ישנם שתי תפקידים:


1. חיפוש (כמו ספר טלפוני) של כל השדות החשובים בכל היער. ישנו העתק של כל השדות החשובים לחיפוש והוא נמצא תמיד ב – Read only.


2. קבוצות אוניברסאליות. GC חסר משמעות אם יש דומיין אחד.



2. Naming Master – אחראי על שמות דומיינים חדשים ביער. התפקיד נועד למנוע התנגשות בזמן שנותנים שם אחד לשני דומיינים שונים. ההתנגשות נוצרת, אם שני מנהלי רשת עושים DCPROMO בו זמנית לפני רפליקציה. העברת התפקיד מתבצעת בדומה לסכמה: MMC > Domains and Trusts > קליק ימני > Operations Master.


3. RID – Relative ID. אחראי על חלוקת פולים (POOLS). לכל אובייקט במערכת ישנו SID והסיומת שלו נקרת פול. באופן תיאורטי יכול לקרות מצב שלשני אובייקטים יהיה SID זהה וכמובן אסור שיקרה כזה דבר, לכן צריך להגדיר לכל DC את טווח הפולים של SID. למשל, 1DC יהיה אחראי לפולים מ- 1 עד 500, ו 2DC מ- 501 ועד 1000. במקרה שנגמרו הפולים, המערכת לא תוכל לתפקד רגיל. לכן יש שרת שתמיד אחראי על חלוקת פולים למשתמשים חדשים, וזהו בעצם תפקידו של RID, הוא מחלק לכל DC 500 פולים וברגע שהם נגמרים הוא נותן מענה לבעיה. כלומר, נותן טווח פולים נוסף, שונה לכל אחד מה- DC. התפקיד הזה נמצא בכל DC וצריך רק לבחור איזה מהם יהיה אחראי על חלוקת הפולים. הנה הפקודה שמראה מה הסדר הנוכחי בחלוקת פולים: DCdiag /v /test:RidManager



4. PDC – תפקידים:


1. אחראי על סנכרון שעונים: תחנה מסנכרנת את השעון שלה מול DC, ו- DC מסנכרן שעון מול PDC. אם יש יותר מחמש דקות הפרש בין תחנה לשרת, הוא חושב שמישהו מתחזה. כלומר אם נעביר את השעון ליותר מחמש דקות, אז לא נוכל להיכנס לדומיין. פונקציה זאת משומשת כעיקרון נגד מתקפה בשם "Replay Attack".


2. אחראי על החלפות סיסמה. זה אומר שכאשר משתמש מחליף סיסמא, נעשית רפליקציה מיידית לסיסמא הזאת, דבר המונע התנגשויות בעת זיהוי של המשתמש ב- DC אחר.



5. Infrastructure – אחראי על כל האובייקטים הנמצאים ב- DC שלנו לבין DC אחרים כולל היררכיה בניהם, גם כאן יכול להיות רק תפקיד אחד בכל תחום כלומר בכל Domain.



אלו חמשת התפקידים שרק DC אחד יכול להיות אחראי עליהם. את שני הראשונים מעבירים דרך MMC, כמו שהוזכר. ושלושת האחרונים מעבירים ברמת DC: נכנסים ל- AD Users and Computers > קליק ימני על הדומיין > Operations Masters. אם לפני העברת תפקידים אנו רוצים לבדוק איזה תפקיד שייך לאיזה DC, אז משתמשים בפקודה: C:Usersadministrator>netdom query fsmo



דבר אחרון בנוגע ל- FSMO, הוא שהעברת תפקידים באמצעות כלי הגראפי היפה אפשרי רק עם שני ה- DC עובדים רגיל. מה שנקרא טרנספר מסודר. אבל, אם ה- DC שאחראי על התפקידים הללו נשרף או נשבר, אז מבצעים העברה כפויה. פעולה זאת נקראת SIEZE. אם משתמשים ב- SIEZE, אסור להחזיר את השרת הראשון לרשת בלי לפרמט. לצורך שימוש נשתמש ב- NTDSUTIL.


חשוב לא לשכוח להודיע לשרת שנשאר על מותו של השרת הראשון, כדי שלא ישלח UPDATES. ב- NTDSUTIL בוחרים באופציה Metadata cleanup . וכמובן צריך לעשות DCPROMO למחשב שמת. אבל בזמן הפקודה, הוא ינסה להודיע לשרת השני, שהוא הולך לרדת בצורה מסודרת. אם הוא לא מצליח לדבר איתו, אז אי אפשר לעשות DCPROMO. לכן צריך להגיד לו שיעשה בכוח בלי לשאול אף אחד: Dcpromoforceremoval



סדר פעולות לניתוק DC שלא עובד:


א. SIEZE


ב. למחוק את המחשב מה- DC התקין.


ג. Ntdsutil > MetaData Cleanup. בשרתי 2008 סעיף זה נעשה אוטומאטי בזמן מחיקת מחשב.





NTDSUTIL אפשרויות חשובות:


ROLES – FSMO


FILES – דפרגמנטציה ל- AD


IFM – הכנת DCPROMO לתוך CDROM. טוב לאתר מרוחק שאין שם תקשורת טובה ומהירה.



מוגש אליכם ע"י יאיר מאנע

תרגיל: איך ניתן להעביר תפקידים בכוח כאשר השרת שמחזיק FSMO נשרף?
פתרון: כששרת שמחזיק את תפקידי ה "FSMO" נפל ניתן לקחת את התפקידים ממנו בכוח על ידי פקודת דוס הבאה:
ניכנס ל "CMD" נקליד

ntdsutil

לאחר מכן נקליד ROLES

כעת נקליד Seize + שם התפקיד שאותו נרצה לכבוש (לקחת בכוח)
לדוגמה Seize Rid Master.
תרגיל: מה יהיה ה-SID של משתמש הבא שיוצר בתוך DC 2003 ומה יהיה ה-SID של משתשמש הבא שיוצר בתוך DC 2008?
פתרון: בכדי לדעת מה יהיה ה"SID" הבא שיוחלק עלידי שרת ה"RID MASTER" ניכנס ל"CMD" ונריך פקודת dcdiag /test:ridmanager /v
פקודה זו בעצם עושה דיאגנוזה על תפקיד ה "RID MASTRT".

*אותם דרכים תקפות גם בשרת 2003 וגם בשרת 2008 אך בשרת 2003 לפני שנריץ פקודת דוס יש צורך להתקין Support Tools for server 2003.
תרגיל: תעבירו את כל התפקידי FSMO משרת 2003 לשרת 2008 החדש.
פתרון: ניכנס לאחד השרתים שלנו שרת 2008 או שרת 2003 ונתחיל להעביר בעלות על תפקידי ה"FSMO"
ניכנס ל" "Active Directoryשם נוכל למצוא 3 תפקידים על ידי לחיצת לחצין ימני בעכבר על הדומיין ונבחר באופציית Operations master
שלושת התפקידים הם: RID Master, ‏PDC Emulator ו-Infrastructure Master כעת נבחר תפקיד אחד ונבחר ב"CHANGE" נכתוב את שם השרת שלו נרצה לתת את התפקיד. לאחר מכן ניכנס ל" "Active Directory Domains and Trusts שם נוכל למצוא תפקיד FSMO נוסף Domain Naming Master בכדי להעביר תפקיד זה יש קודם להתחבר לדומיין שלו נרצה לתת את התפקיד על ידי לחצן ימני CHANGE DOMAIN CONTROLER (במידה ואנחנו כבר נמצאים בו אין צורך לבצע את הפעולה הזו)
כעת נלחץ לחצן ימני על " "Active Directory Domains and Trusts ולאחר מכן על operations master נבחר ב"CHANGE ונוודא ששם השרת שלו נרצה להעניק את התפקיד מופיע למטה .
כעת נותר לנו תפקיד אחרון Schema Master
תחילה יש לרשום את כלי הניהול של ה "SCHEMA" במערכת.
נפעל בסרך הבאה:
ניכנס להתחל לאחר מכן להפעלה נקליד regsvr32 schmmgmt.dll כעת הכלי רשום במערכת.
לאחר מכן ניכנס לכלי הניהול שהוספנו
נלחץ על התחל >->הפעלה>->MMC>->ניכנס לתפריט קובץ נבחר בהוספה /הסרה של SNAP IN <- כעת נלחץ לחצן ימני על ACTIVE DIRECTORY SCHEMA ונבחר "Connect to DOMAIN CONTROLER"
נתחבר לדומיין שלו נרצה להעניק את התפקיד.
כעת בלשונית המוספת למעלה נלחץ באמצעות לחצן ימני על Active Directory schema ולאחר מכן נבחר ב "Operations Master ונלחץ על CHANGE".
תרגיל: שימו את השרת 2008 השני כ-DC שני בדומיין החדש מסעיף קודם.
פתרון: לפני שנריץ DCPROMO בשרת 2008 יש להכין את הסכמה והדומיין לקליטת שרת 2008 יש לשדרוג את הדומיין והסכמה. לשם כך ניכנס קודם לשרת 2003 ונרחיב את הדומיין והסכמה בדרך הבאה:
1. נכניס דיסק התקנה של שרת 2008 לכונן הדיסקים.
2. ניכנס ל"CMD" בתוך CMD ניכנס לכונן הדיסקים שלנו D:
3. ניכנס לתקיית sources נקליד CD SOURCES ולאחר מכן לתיקיית ADPREP נקליד CD ADPREP
4. כעת נריץ adprep /forestperp להרחבה ביער.
5. נריץ adprep /domainprep להרחבה בדומיין. (יש לעלות את רמת התפקוד/LEVEL של הדומיין, ניכנס לAD בשרת 2003 נלחץ עליו קליק ימני ונבחר
"Raise Domain Functional Level" ונעלה את רצת התפקוד לשרת 2003.)
*נוכל להריץ מראש גם adprep /rodcprep להכנת הצקנה עדתידית של RODC בעת נוכל להריץ פקודת DCPROMO להתקנת דומיין בשרת 2008 ולצרף אותו לדומיין קיים שעשינו בסעיף קודם בשרת 2003.
תרגיל: עשו משרת 2003, כאילו הוא בחברה חדשה לגמרי בשם MaKashur.local . החברה החדשה לא קשורה לחברה קודמת בכלל.
פתרון: נריץ פקודת DCPROMO משרת 2003 ונתקין בו דומיין ראשי (דומיין חדש ביער חדש)

תרגיל 1


1. תפתח אתר של www.PracticU.com כנסו לתוך TASK MANAGER כמה זיכרון תופס INTERNET EXPLORER ?
2. תפתחו עוד 10 אתרים שונים (כן, יש עוד אתרים אחרים בעולם חוץ מ- www.PracticU.com :) ותבדקו שוב כמה זיכרון תפוס עכשיו.
3. תראו כמה MB של זיכרון כרגע נמצאים ב-PAGE FILE בדיסק במקום להיות בזיכרון פיזי.
4. כנסו לתוך TASK MANAGER ותבדקו איזו תוכנה עשתה הכי הרבה PAGE FAULTS (צריך להוסיף עמודה בתוך PRECESS). להזכירכם זה הדבר שהכי הרבה מעקב את המחשב בעבודה ועושה אותו איטי.
5. כמה מעבד תופס INTERNET EXPLORER? עכשיו תשאירו את ה-TASK MANAGER פתוח ותעברו בין האתרים שפתחתם עם העכבר. תראו מה קורה לניצול המעבד ע"י INTERNET EXPLORER בזמן שימוש בדפדפן.
6. תפתחו את הגרף של ניצול כרטיס רשת בתוך TASK MANAGER ותתחילו להוריד את ISO של שרת 2008 מתוך האתר של מיקרוסופט. למה מנוצל רק אחוז קטן מיכולת של הרשת שלכם? .הנה הלינק: http://www.microsoft.com/downloads/details.aspx?FamilyId=13C7300E-935C-415A-A79C-538E933D5424&displaylang=en#filelist
7. תעצרו את האיסוף נתונים מהסעיף הראשון ותראו את הנתונים שאספת ב-PERFORMANCE MONITOR
8. תעבירו את PERFORMANCE MONITOR להצגת נתונים ב-REAL TIME של המערכת. תראו את התור ל-HDD להזכירכם זה נקרא Avg. Disk Write Queue Length ואסור שיעבור את הערך 2 (נוח לראות את הנתונים המדויקים בתצורת REPORT ולא בגרף)
9. תתקינו WSRM (RESOURCE MANAGER) ותקבילו את התוכנה של INTERNET EXPLORER שלא תנצל יותר מ-1% ממעבד ולא יותר מ-1 MB של זיכרון (בשתי האופציות). עכשיו תפעילו את המדיניות החדשה ותנסו לפתוח 50 פעם EXPLORER. תראו מה קורה.
POWERSHELL: במקום לפתוח ידני פשוט תריצו את זה בתוך
for ($i = 1; $i -le 50; $i++) { [Diagnostics.Process]::Start('c:Program FilesInternet Exploreriexplore.exe',')}
זה פתרון מצוין לתוכנות שלפעמים חושבות שכל השרת שייך להם ולוקחות את כל המעבד לעצמן

סקר שוק נכון לתאריך – 01/09/2011