Server in the Enterprise
Einzeldomäne 1PDC,BDC,(+1BDC je 2000 User),WKS (Einzel)-Hauptdomänenmodell Konten werden in der Hauptdomäne geführt Wenn die Sam größer als 40MB ist auf Mehrfach-Hauptdomäne umstellen Mehrfach-Hauptdomänenmodel Vollständige Vertrauensstellungen Netlogon -Synchronisation der Domänecontroller -SAM (Verzeichnisdatenbank) -Anmeldebestätigungen (unter anderem durchgängige Echtheitsbestätigung verwalten) -Auffinden von Authentifizierungen instanzen
Domänenmodelle (Authentifikation) Domäne A -------------------> Domäne B Ress+Konten Ress+Konten
Ohne Vertrauen:User A Anmeldung an Domäne A Ress.aus Domäne A Ohne Vertrauen:User B Anmeldung an Domäne B Ress.aus Domäne B A vertraut B: User A Anmeldung an Domäne A und Domäne B Ress.aus Domäne (A)-(B+A) : User B Anmeldung an Domäne B Ress.aus Domäne B+A A vertraut B: User A Anmeldung an Domäne A und Domäne B Ress.aus Domäne (A+B)(B+A) B vertraut A: User B Anmeldung an Domäne B und Domäne A Ress.aus Domäne (B+A)(A+B)
Objekt ACL kann globale Konten aus der Domäne B enthalten
globale Gruppe Domäne-Benutzer
Objekt ACL stehn die rechte der Gruppen drin
Ein in der Domäne B angemeldeter User soll auf ein Objekt "test" in Domäne A. Zugriff haben (Lesen): -User wird Mitglied einer Globalen Gruppe "testUser" in Domäne B -"Domäne\TestUser" wird der lokalen Gruppe "TestUser_lokal" in Domäne A hinzufügen -Der ACL von "Test" wird die lokale Gruppe "TestUser_lokal mit dem Recht Lesen hinzufügen NT Rechte User--->globale Gruppe--->lokale Gruppe--->Rechte Anmeldung--->Zugriffstoken(SID,GID,Berechtigungen) Bein Ressorzenzugriff Token wird mit ACL (Zugriffkontrollliste)verglichen ACL: Einer Gruppe wird ein Recht zugewiesen lokale zählen NTFS Rechte Remote zählen NTFS und Freigaberechte das höhere Recht zählt außer kein Zugriff In der Netlogon liegen die Anmeldescript
PDC WKS1 BDC MS PDC (W/R schreiben,lesen) und BDC (R lesen) haben eine gemeinsame Datenbank (.Sam) Datenbanksynchronisation --- Standard ale 5 Min. 64KByte teileweise Synchronisation alle 5 Min.--PDC sendet Änderung an BDC ca 2000 Änderung=64 KByteBDC führt Änderungdatei aus wenn 64 KB erreicht fordert BDC eine vollständige Synchronisation an Über Server Manager "synchronisieren mit PDC erzwingt vollst.Synchr.
BDC
Domänencontroller PDC BDC schreibfähig lese Kopie
Regisryeinträge-NetLogon-Diensteinträge HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servives\Netlogon\Parameter
-Change Log Size 64K - 4MB -Pulse 1min - 48h 5min -Pulse Maximumum 1min - 48h 2h -PulseConcurrency 1-500 20 -Pulse Timeout 1;2 1:1-120s 5s 1:1-1h 5min -Replikation Governor 1-100% 128 Puffer
Authentifikation Wks------------------------->DC Wks<-------------------------DC globale Gruppen,Benutzer Benutzer-->globale Gruppen-->lokale Gruppen -->Rechte Vertraustellung D1 vertraut D2 D1----------------------------------->D2 vertrauende Domäne vertraute Domäne globale Gruppen und Benutzer Gründe für mehrere Domänen
-Sicherheit -mehrere "gewachsene" Standorte -Größe (SAM sollte nicht größer als 40 MB sein) in der SAM stehen -Benutzerkonto 1KB -globale Gruppen 0,5KB + 12 Byte pro Benutzer -lokale Gruppen 0,5KB + 36 Byte pro Benutzer -Computer Konto 0,5KB Einzeldomänenmodel (Singel Domäne)
Domäne
Einzelhauptdomänenmodel (Singel) Master Domän
Ressourcen - Domäne
Mehrfach-Hauptdomöne (Multiple) Master Domän
Vollständiges Vertrauen
Objekte in der Verzeichnisdatenbank
Anmeldung
Benutzerprolile wird geladen
Standardcomputer richtlinien anwenden
Benutzerrichtline -->
Benutzerrichtlinen anmelden
Existiert Computer- richtlinie für diesen Computernamen
nein
Standard Benutzer- richtlinen
Gruppenrichtlinen
Gruppenrichtlinien nach Priorität
Suchdienst
-Domänenhauptsuchdienst PDC,erstellt und unterhält Ressourcenliste eigner Domänen und weitere Domänen und Arbeitsgruppen -Hauptsuchdienst 1 mal pro Domäne oder Teilnetz Wahl,erstellt und unterhält Ressourcenliste der Domäne bew. des Teilnetz. -Sicherungssuchdienst Kopie der Liste des Hauptsuchdienst beanwortet Clientanfragen -Suchdienstwahlen -Betriebssystem NTServer,NTWKS,WIN9x,WIN 3.11 -"- version 4.0 3.51 PDC WINS bevorzugter Server Is Dömäne Master=True =false Ausführdauer Hauptsuchdienst MSL Maintain ServerList Ausführdauer Sicherungssuchtdienst Name
Vertrauenstellung Domäne A ------------------> Domäne B vertrauende vertraute
1)Admin der Domöne:(B) -Benutzermanger--->Richtlinien---->Vertrauenstellungen unteres Fenster: -vertrauende Domäne angeben(A) -Kennwortwort festlegen und bestätigen 2)Admin der Domöne:(A) -Benutzermanger--->Richtlinien---->Vertrauenstellung oberes Fenster:vertraute Domäne angeben(B) -Kennwort aus Schritt1 angeben
Fehlersuche
Startvorgang: -Post=Power and Selftest -MDR = -Partitionsbootsektor der aktiven Partition Ladephase: -NTLDR -Boot.ini -NTDECT.COM -LKG letzte Konfiguration --Hardwareprofile Krnl.ladephase:-Systeme WINNT\SYSTEME32\Config HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services \Control ErrorControl 0=ignoriert 1=Fehlermeldung 2=schwerer Fehler -NTOSKRNL.EXE -Treiber laden Startwert 0x0 Reihenfolge aus \Service Group Order -WINLOGON.EXE -LSASS -NT-Sicherheit -screg (Service Control) autostart ERD: Rdisk /S erstellt ERD Anwendung: -Startdisk R -CD ROM R -Registrydateien -Startumgebung -NT Systemdateien -Bootsektor
Systeme Boot NTLLDR Boot.ini(ARC-Namen NTDECT.COM Bootsect.dos NTBootdd.sys(beiSCSI ohne Bios) System NTOSKRNL.EXE hal.dll
NTLLDR Boot.ini(ARC-Namen NTDECT.COM Bootsect.dos NTBootdd.sys(beiSCSI ohne Bios)
System NTOSKRNL.EXE hal.dll
Fehlersuche -Ereignisanzeige -NT Diagnose -Netzwerkmonitor -Graphik,Gesamtstatistik, Sitzungstatistik, Stationstatistik -F10 sammeln, F11 Sammeln beenden, Nur sammeln Sammelnfilter -Anzeigefilter -Filter -Operatoren AND,OR,NOT -Protokoll ==ICMP -Station local <-->CNETOA8* (MAC-Adresse) -Systemmonitor -Taskmanager -cmd Tools -NTHQ Stopfehler: Fehlercode (falsche Adresse ,IRQL Speicher ,Zugriff ,Aufrufadresse 0=R 1=W dumpflop Speicherabbilden WINNT\Memory.dmp dumpchk dumpexam zu finden auf er Server CD ..\support\debug\i386 ---Memory.txt---
Serveranalyse und -Optimierung Prozessor Speicher Festplatte Netzwerk
-Datei und Druckserver -Anwendungsserver -Domäneserver Tools -Systememonitor in Ansicht -Diagramm -Report -Warnung (immer Grenzwert eintragen) -Protokoll (Grundlienen,Basisaktivität) Objekt : Datenquelle groß / klein Grenze Speicher Seitenfehler --- / K 5 mehr Ram -"- Seiten /s --- / K O-20 mehr Ram -"- Bytes zugesichert --- / K Kleiner als Ram mehr Ram Prozessor % Prozessorzeit --- / K 75% Prozessor Prozessor System Prozeesso- -"- Warteschlangen --- / K 2 Prozessor Datenträger % Zeit --- / K 50% bessere Platte bessere Controller StripeSet -"- Bytes/s --- / G _ Protokollansicht: -Basisaktivität (Grundlinie) -mit weiteren "identischen" Messungen kann ein Trend ermittelt werden Datei-und Druckserver: -Speicher,Prozessor,(Festplatte,Netz) -Server-Dienst: Server Sitzungen -Server-Dienst: Dateien geöffnet -Datenträger: %Zeit (%Lesezeit,% Schreibzeit) -Datenträger: mittlerBytes /EA -Netzwerksegmment: %Netzwerkauslastung Anwendungs-Server -Speicher,Prozessor,(Festplatte,Netz) -Server-Dienst: Server Sitzungen -Cache: Cache Treffer -Datenträger: %Zeit (%Lesezeit,% Schreibzeit) -Datenträger: mittlerBytes /EA -Netzwerksegmment: %Netzwerkauslastung -Speicher: Seiten/s -Speicher: verfügbare Bytes Domäne-Server Speicher der 2,5fache der Sam -Speicher,Prozessor,(Festplatte,Netz) -Server-Dienst: -Server-Dienst: Anmeldung/s -Server-Dienst: Anmelefehler -Server-Dienst: Anmeldungen -Netzwerksegmment: %Netzwerkauslastung -Speicher: Seiten/s -Speicher: verfügbare Bytes Serverdienst-Eigenschaften: -Speicherbenutzung minimieren 10 -Ausgeglichen 64 -Durchsatz für Dateifreigaben maximieren Datei und Druckserver -Durchsatz Netzwerkanwendungen maximieren Anwendungen -Netzwerkmonitor -Taskmanager -NT Diagnose -Servermanager -Respone Probe
erwieterte Benutzerverwaltung
-Profile : -lokal -Server gespeichert (wanderndes) -Pfad im Benutzermanager -Freigabe -obligatorisches (feststehendes) -ntuser.dat -ntuser.man -Systemrichtlinien -Richtlinien vorlagen -Reihenfolge der Abarbeitung (insb.Gruppenpriorität
erweiterte Datenträgerverwaltung
-Stripe Set ohne Parität -Stripe Set mit Rarität -Spiegellung Netzwerkdienste -DHCP -DNS -WINS -Netware -CSNW -GSNW -Migrationsprg.
Drucken Druckgerät Drucker (logischer Drucker) Spooler Warteschlange -Prioritäten -Zeiten -Druckereinstellungen -erste Seite, letzte Seite -Druckerpool -Dienst beenden neu starten -Ort der Warteschlange -Druckmanager Druckauftrag neu starten-->fortsetzen Start und Installation
-Prioritäten -Zeiten -Druckereinstellungen -erste Seite, letzte Seite -Druckerpool
-Dienst beenden neu starten
-Ort der Warteschlange -Druckmanager Druckauftrag neu starten-->fortsetzen
-WINNT /b auf die Festplatte installieren /OX Startdisketten erstellen /S Quelle wo lieg das i386 verzeichnis liegt -WINNT32
Fehler -Debugging
-Crasbdump --->Memory.dmp dumpexam dumpchk -Remote-Kernel-Debugging boot.ini /baudrate /debug /debugport /crashdebug Debugging sammeln und auswerten von Daten(in diesen fall von Absturzdaten
Fehler Anwendung
-Dr.Watson aufrufen durch DRWTSN32 -Anwendung USER.DMP -fehler werden Angezeigt in der Ereignisanzeige Anwendungsprotokoll
Ereignisanzeige
-Systemprotokoll -Sicherheitsprotokoll Überwachung: 1)Aktivieren im Benutzermanager -Was wird überwacht 2)aktivieren auf Objektebene -Wer wird überwacht -Was wird überwacht 3)-Anzeigen der Überwachung im Sicherheitsprotokoll -Anwendungsprotokoll
Ras Ras-Client Ras-Server -Kein Rückruf -Vielleicht,wenn -Rückruf Eigenschaften-Ras : -statischer Adresspool 192.168.200.1 192.168.200.200 200.2-200.200 -DHCP Benutzerkonto und Kennwort Einwahlrechte erleilen -Kein Rückruf -von Anrufer gesetzt -Rückruf Nummer Ras-Client Ras-Server -unverschlüsseltes Kennwort -Kennwort verschlüsselt(MS CHAP) -MS verschüsselt (MS-CHAP) Datenverschlüsseln Datenverschlüsselung auch über Hartwarebasierden Sicherheitshost möglich -Klartext -verschlüsselt -MS verschlüsselt
-Kein Rückruf -Vielleicht,wenn -Rückruf
Eigenschaften-Ras : -statischer Adresspool 192.168.200.1 192.168.200.200 200.2-200.200 -DHCP Benutzerkonto und Kennwort Einwahlrechte erleilen -Kein Rückruf -von Anrufer gesetzt -Rückruf Nummer
-unverschlüsseltes Kennwort -Kennwort verschlüsselt(MS CHAP) -MS verschüsselt (MS-CHAP) Datenverschlüsseln Datenverschlüsselung auch über Hartwarebasierden Sicherheitshost möglich
-Klartext -verschlüsselt -MS verschlüsselt
Protokolle SLIP LAN IP -->SLIP, PPP PPP schneller Telephon IP,IPX,NetBEUI --> PPP verschlüsselt Komprimiert PPTP Internet