Книга Active directory
.pdfI 9 2 8 |
Ответы |
Е. |
Правильный Полное восстановление сервера можно осуществить с по- |
|
мощью командной строки или графического интерфейса . |
Занятие 2
1.Правильные ответы: В и Г.
A. Неправильный |
Истечение срока д е й с т в и я |
не будет |
основанием д л я |
|
|
остановки работы сборщиков данных . П р и |
истечении |
срока действия |
|
|
перестают запускаться новые группы. |
|
|
|
Б. |
Неправильный |
Д л я запуска группы сборщиков данных требуется рас- |
||
|
писание. В противном случае они прекращают сбор данных при выходе |
|||
|
пользователя, создавшего эти группы. |
|
|
|
B. Правильный |
Для остановки сбора данных в каждой группе сборщиков |
|||
|
данных необходимо задать условие остановки . |
|
||
Г. |
Правильный |
Прн составлении р а с п и с а н и я д л я г р у п п ы с б о р щ и к о в |
||
|
данных нужно задать срок действия. В п р о т и в н о м случае сбор данных |
|||
|
будет остановлен. |
|
|
|
2. Правильные ответы: А, Б, В и Г. |
|
|
||
A. Правильный |
Монитор стабильности (Reliability M o n i t o r ) определяет |
|||
|
изменения, которые вносились на сервер за последнее время, и указы - |
|||
|
вает, могут ли они снизить быстродействие. |
|
|
|
Б. |
Правильный |
Оснастка Просмотр событий ( E v e n t Viewer), в частности |
||
|
журнал событий Система (System), будет регистрировать все ошибки |
|||
|
и предупреждения, связанные с производительностью системы . |
|||
B. Правильный |
Диспетчер задач (Task Manager) отображает использова- |
|||
|
ние ресурсов в реальном времени и позволяет и д е н т и ф и ц и р о в а т ь потен- |
|||
|
циальные критические параметры, в л и я ю щ и е на производительность . |
|||
Г. |
Правильный |
Системный монитор (Performance Monitor), в частности |
||
|
шаблоны групп сборщиков данных па основе ролей, п о з в о л я ю т быстро |
|||
|
обнаружить все проблемы производительности в текущей к о н ф и г у р а - |
|||
|
ции сервера, а также предоставляют рекомендации о в о з м о ж н ы х изме- |
|||
|
нениях с целыо повышения быстродействия . |
|
||
Глава 13. Ответ на вопрос сценария
Сценарий. Работа с утерянными данными
Время от времени, особенно в крупных лесах, один пользователь удаляет контейнер одновременно с созданием или модификацией объекта в том же контейнере другим пользователем. Эти операции могут выполняться иа совершенно разных контроллерах домена, но в процессе синхронизации репликации данных иа контроллерах домена созданный объект становится бездомным . В таком случае эти объекты автоматически сохраняются в контейнере LostAndFound . Этот специальный контейнер управляет утерянными и найденными объектами в домене. Еще один специальный контейнер, LostAndFoundConfig, у п р а в л я е т утерянными и найденными объектами во всем лесу. Контейнер L o s t A n d F o u n d - Config есть только в корневом домене леса.
Ответы 929
П о э т о му вам следует регулярно просматривать объекты в контейнерах LostAndFound и LostAndFoundConfig, чтобы перемещать эти объекты в новые контейнеры или просто удалять их из каталога.
Д л я проверки контейнера LostAndFound в дочернем домене используйте следующую процедуру.
1.В Диспетчере сервера (Server Manager) перейдите в узел Active Directory — пользователи и компьютеры (Active Directory Users And Computers).
2. Щ е л к н и т е меню Вид (View), установите флажок Дополнительные компоненты (Advanced Features), разверните дерево, а затем щелкните контейнер LostAndFound .
3.Идентифицируйте объекты, локализованные в этом контейнере. Переместите их в другие контейнеры или удалите из каталога. Удаляйте объекты осторожно. Перед удалением просмотрите свойства объекта. Иногда объект лучше всего переместить и деактивировать. Помните, что SID-идептифи- катор удаленного объекта нельзя восстановить.
Глава 14. Ответы на вопросы занятий
Занятие 1
1. П р а в и л ь н ы й ответ: В.
A.Н е п р а в и л ь н ы й Перед запуском еще одной операции установки необходимо завершить текущие процессы установки. Кроме того, при использовании командной строки довольно сложно определить завершение установки, если не применить команду Start/w, которая возвращает командную строку только после завершения операции. После перезагрузки процессы установки будут продолжены и вы опять не сможете удалить AD LDS.
Б. |
Неправильный |
Диспетчер сервера (Server Manager) не решит пробле- |
|
|
му, поскольку перед удалением роли необходимо удалить все экземп- |
||
|
л я р ы AD LDS. |
|
|
B. |
П р а в и л ь н ы й Перед удалением роли на сервере необходимо удалить |
||
|
все существующие экземпляры AD LDS. После удаления всех экземп- |
||
|
ляров можно удалить роль AD LDS. Это одна из причин, по которым |
||
|
необходима документация экземпляров AD LDS. |
||
Г. |
Неправильный |
Команда Oclist предоставит имена всех ролей и ком- |
|
|
понентов, которые можно использовать в команде Ocsetup. Однако речь |
||
|
идет о полной установке Windows Server 2008, поскольку вы имеете до- |
||
|
ступ к Диспетчеру сервера (Server Manager). Команда Oclist не работает |
||
|
в |
полной установке. |
|
З а н я т и е |
2 |
|
|
1.Правильный ответ: Г.
А. Неправильный Все экземпляры AD LDS располагают схемой, и схемы всех экземпляров можно редактировать. Это одна из причин, по которым для интеграции приложений вместо AD DS следует использовать AD LDS.
| 9 3 0 |
Ответы |
|
|
|
|
|
|||
|
|
|
|
|
|||||
I |
|
|
|
|
|
— |
|
— ' |
|
' |
Б. |
Неправильный |
С помощь команды LDP.exe. можно вносить изменения |
||||||
I |
|
в экземпляр, но модификации схемы нужно выполнять с помощью ос- |
|||||||
J |
|
настки Схема Active Directory (Active Directory Schema). |
|
|
|||||
I |
В. |
Неправильный |
Посредством файлов L D I F и команды LDTFDE.exe мож- |
||||||
I |
|
но вносить изменения в экземпляр, но м о д и ф и к а ц и и схемы нужно вы- |
|||||||
|
|
полнять с помощью оснастки Схема Active Directory (Active Directory |
|||||||
|
|
Schema). |
|
|
|
|
|
||
|
Г. |
Правильный |
При использовании команды установки AD L D S Setup |
||||||
|
|
для создания экземпляров с номерами портов по умолчанию, первым |
|||||||
|
|
портом, используемым на рядовых серверах, будет 389-й. Например, |
|||||||
|
|
для подключения к первому экземпляру необходимо использовать под- |
|||||||
|
|
ключение Instance01:389. Но поскольку ваша схема д о м е н н ы х служб |
|||||||
|
|
Active Directory также задействует порт 389, а в а ш сервер — член до- |
|||||||
|
|
мена, оснастка |
Схема Active Directory (Active D i r e c t o r y |
Schema) не |
|||||
|
|
подключится к экземпляру. Это одна из причин, по которым никогда |
|||||||
|
|
не следует использовать порт 389 д л я экземпляров AD L D S в домене. |
|||||||
Глава 14. Ответы на вопросы сценария
Сценарий. Определение предварительных р е к в и з и т о в AD L D S
Вы просматриваете информацию о технологии AD L D S на веб-сайте Microsoft TechNet Center и получаете следующие ответы.
1. Для каждого сервера, который будет у п р а в л я т ь э к з е м п л я р а м и AD LDS, необходимо создать диск данных. Поскольку эти серверы будут управлять хранилищами каталогов, последние потребуется разместить на диске отдельно от диска с операционной системой, а для у п р о щ е н и я и д е н т и ф и к а ц и и хранилища следует поместить в отдельные папки.
2. Для идентификации экземпляров всегда н у ж н о выбирать п о н я т н ы е имена. Например, вы можете использовать и м я п р и л о ж е н и я , которое привязывается к экземпляру. Имена экземпляров служат д л я и д е н т и ф и к а ц и и экземпляра на локальном компьютере, а также д л я и д е н т и ф и к а ц и и и именования файлов экземпляра и поддерживающей его службы . И м е н а не могут содержать пробелы и особые символы.
3. Для коммуникаций AD LDS и AD DS и с п о л ь з у ю т одни и те же порты: LDAP-порт 389 по умолчанию и порт L D A P через SSL (Secure Sockets Layer) или Secure LDAP с номером 636. В DA DS используются два дополнительных порта: 3268, который задействует L D A P д л я получения доступа к глобальному каталогу, и порт 3269, который с той же целыо обращается к Secure LDAP. Поскольку AD DS и AD L D S задействуют одни и те же порты, следует завести привычку использовать д л я экземпляров AD LDS порты после 50 ООО. Это гарантирует их обособление от служб AD LDS, в частности если экземпляр установлен в н у т р и домена . Кроме того, на) каждом экземпляре AD LDS следует установить сертификаты PKI для ис-1 пользования Secure LDAP в коммуникациях и управлении. Таким образом вы сможете воспрепятствовать манипуляциям или обнаружению данных AD LDS.
Ответы 93"|
4. В идеале к а ж д ы й э к з е м п л я р AD LDS должен использовать раздел приложений, даже если репликация не требуется. Создание раздела каталога п р и л о ж е н и й упрощает управление экземпляром при помощи различных инструментов .
5. Э к з е м п л я р ы следует запускать с учетной записью службы. Вы можете использовать учетную запись Сетевая служба (Network Service), однако если вы планируете запускать множество экземпляров, для каждого экземпляра рекомендуется применять именованные учетные записи служб. Таким образом, вы будете точно знать, когда экземпляр выполняет операции, поскольку можете просмотреть операции входа учетной записи службы в оснастке Просмотр событий (Event Viewer).
Глава 15. Ответы на вопросы занятий
Занятие 1
1. П р а в и л ь н ы е ответы: |
Б и В. |
||
A. |
Н е п р а в и л ь н ы й |
Хотя команду Certutil.exe можно использовать для |
|
|
загрузки сертификатов, вы можете выполнить эту задачу и с помощью |
||
|
мастера. |
|
|
Б. |
П р а в и л ь н ы й |
Некорректно заданы права доступа к шаблонам серти- |
|
|
ф и к а т о в . Ч т о б ы |
вручную загрузить сертификаты на сервер, учетная |
|
|
запись пользователя должна иметь разрешение на отзыв. Кроме того, |
||
|
сервер, на который загружается сертификат, также должен иметь раз- |
||
|
р е ш е н и е на |
отзыв. Д л я настройки прав доступа шаблон необходимо |
|
|
создать и выдать заново. |
||
B. |
П р а в и л ь н ы й |
Вам необходимо иметь возможность загрузки сертифи- |
|
|
ката O S C P на этот сервер, поскольку он служит сетевым ответчиком. |
||
Г. |
Н е п р а в и л ь н ы й |
Сертификат с разрешением автоматической подачи |
|
|
заявок должен загружаться автоматически, а его загрузке вручную могут |
||
|
препятствовать только права доступа. |
||
Глава 15. Ответ на вопрос сценария
Сценарий. Управление отзывом сертификатов
И д и т е с этой и н ф о р м а ц и е й к руководству, которое должно немедленно принять меры, чтобы двое бывших сотрудников перестали продавать сертификаты с п р и к р е п л е н н ы м именем Contoso. Кроме того, персонал отдела продаж д о л ж е н и н и ц и и р о в а т ь некоторые операции с клиентами по предупреждению и у с т р а н е н и ю отказов. Н а л и ч и е на рынке программного обеспечения не от компании Contoso, но с сертификатами Contoso, может значительно повредить репутации компании .
Ч т о же касается вас, вы немедленно должны блокировать использование с е р т и ф и к а т о в . Д л я этого необходимо вначале подключить к сети корневой центр сертификации . Затем в узле Центр сертификации (Certification Authority) диспетчера сервера (Server Manager) нужно отозвать два похищенных сертификата . После аннулирования этих сертификатов все другие сертификаты, выданные на их основе, автоматически станут недействительными.
|
Ответы |
| |
Затем необходимо опубликовать список отзыва сертификатов C K R (Ccrtifi- |
! cate Revocation List). Для этого используется иапка О т о з в а н н ы е сертификаты
(Revoked Certificates) » |
консоли Центр с е р т и ф и к а ц и и |
(Certification |
Author- |
ity). К сожалению, даже |
при немедленной п у б л и к а ц и и |
этого нового |
списка |
CLR клиенты не обновят свои списки C L R до следующего запуска процесса |
|||
обновления, что зависит от их конфигурации обновления . |
|
||
действ*те |
|
|
|
даЛспм» юс твкуш*0 |
|
|
|
Тип пубяикучмогоСК! |
|
|
|
(* Нов«*> бвювмЛ Cf |
|
|
|
Пгбмкаиий голно |
|
|
|
саргмеимтав им |
|
|
|
rVtfn»***» epeiKi |
|
|
|
CRL camam»1 * с |
|
|
|
И наконец, ваша организация должна сделать официальное заявление о двух утерянных сертификатах. Все клиенты Contoso д о л ж н ы знать об угрозе и проверять каждый получаемый сертификат с именем Contoso, пока п о х и щ е н н ы е сертификаты не будут отозваны.
Как видите, безопасность корневого центра с е р т и ф и к а ц и и играет решающую роль в архитектуре PKI.
Глава 16. Ответы на вопросы занятий
Занятие 1
1.Правильный ответ: Г.
A. Неправильный |
Службы AD R M S з а п у щ е н ы иа сервере, поскольку |
|||
|
узел AD RMS доступен в диспетчере сервера (Server Manager) . |
|||
Б. |
Неправильный |
Подлинность сертификата сервера проверяется в про- |
||
|
цессе установки. Иа худой конец всегда можно использовать самозаве- |
|||
|
ряющий сертификат. Проблема связана не с этим. |
|||
B. Неправильный |
Для установки AD R M S сервер должен быть членом |
|||
|
домена, поскольку для публикации и выдачи сертификатов службы AD |
|||
|
RMS используют службу каталогов AD DS. |
|||
Г. |
Правильный |
Во время установки ваша учетная запись добавляется |
||
|
в группу Администраторы |
предприятия |
с л у ж б ы AD R M S ( A D RMS |
|
|
Enterprise Administrators) |
на локальном |
компьютере. Д л я обновления |
|
|
привилегий учетной записи нужно выйти из системы и вновь войти п |
|||
|
нес. Без этой процедуры ваша учетная запись не получит требуемые |
|||
|
права доступа для запуска AD RMS. |
|
||
отняты 933
£ |
• н н а ж м ш и |
I'(*.iy,ll. 1 м 1 М ус 1.1ЖН1НИ |
|
|
| №41 If 1ф1вупряч*шм> |мЛц»«и ) |
, n i L M , i , |
^ |
| |
BrI» (пр«г |i
- « . . « W W .
i
j , ,
З а н я т и е 2 |
|
1. П р а в и л ь н ы й ответ: Б. |
|
Л. Н е п р а в и л ь н ы й |
Д л я получения доступа к HTTP через SSL пользова- |
тели должны указывать URL-адрсс в формате HTTPS://. |
|
13. П р а в и л ь н ы й |
При попытках пользователей получить доступ к URL |
выполняется проверка подлинности сертификата сервера. Вели серти- |
|
ф и к а т выпущен |
ие корневым СЛ, доступ не будет получен. В случае |
использования самозаверяющего сертификата URL будет работать при доступе к нему с сервера, поскольку сервер домеряет своему сертификату. Однако в браузерах пользователей U RL работать не будет, поскольку браузеры не доверяют самозаверяющсму сертификату.
В. |
Неправильный |
Для получения доступа к AD RMS вне сети пользо- |
|
вателям пе нужна учетная запись AD DS. |
|
Г. |
Неправильный |
Адрес U RL корректен, поскольку он проверялся с сер- |
|
вера, с помощью которого был установлен. |
|
Глава 16. Ответ на вопрос сценария
Сценарий. Подготовка к работе с внешним кластером AD RMS
Лучший и самый простой способ совместного использования инфраструктур политик без размещения связей федерации — перекрестная публикация сертификатов . Это означает использование доверенных доменов публикации, которые позволяют кластеру AD RMS ныдаплть лицензии па использование содержимого, защищенного другим кластером AD RMS. Для создания домеренного домеиа публикации необходимо импортировать и наш кластер сертификат
I 934 |
Ответы |
л и ц е н з и а ра сервера SLС ( S e r v e r Licensor C e r t i f i c a t e ) к л а с т е р а п у б л и к а ц и и |
|
а также его закрытый ключ. |
|
Таким образом, необходимо вначале э к с п о р т и р о в а т ь |
с е р т и ф и к а т л и ц е н з и - |
ара сервера SLC, затем импортировать его в к о р н е в о й к |
л а с т е р партнера . Ваш |
партнер должен выполнить те же д е й с т в и я . П о с л е |
и м п о р т а |
двух с е р т и ф и |
к а - |
тов обе среды смогут поддерживать одна д л я д р у г о й |
в ы д а ч у |
с е р т и ф и к а т о в |
на |
публикацию и использование. |
|
|
|
Глава 17. Ответы на вопросы занятий
Занятие 1
1.Правильный ответ: Б.
A. Неправильный |
Все службы м о г у т и с п о л ь з о в а т ь д л я з а п у с к а имено - |
|||
|
ванную учетную запись службы . |
|
|
|
Б. |
Правильный |
В процессе установки и м е н о в а н н а я у ч е т н а я з а п и с ь служ - |
||
|
бы автоматически заменяется учетной з а п и с ь ю С е т е в а я |
с л у ж б а (Net - |
||
|
work Service). После обновления н е о б х о д и м о с м е н и т ь у ч е т н у ю з а п и с ь |
|||
|
для каждой службы AD FS. |
|
|
|
B. Неправильный |
Политики Woodgrove в л и я ю т на с е р в е р ы в сети Wood - |
|||
|
grove, а не в вашей сети. |
|
|
|
Г. |
Неправильный |
Хотя учетная з а п и с ь С е т е в а я с л у ж б а ( N e t w o r k Ser- |
||
|
vice) имеет о г р а н и ч е н н ы е п р а в а д о с т у п а к |
л о к а л ь н о м у |
к о м п ь ю т е р у , |
|
|
она используется определенными с л у ж б а м и |
и к о р п о р а ц и я |
Microsoft не |
|
|
отдаст предпочтения этой учетной з а п и с и . |
|
|
|
Занятие 2
1.Правильные ответы: А, Б, Г и Д.
A. |
Правильный |
Вы д о л ж н ы с в я з а т ь с я с к о л л е г о й и |
о п р е д е л и т ь , как об- |
||
|
мениваться файлами п о л и т и к и во в р е м я у с т а н о в к и |
п а р т н е р с к и х отно - |
|||
|
шений. |
|
|
|
|
Б . |
Правильный |
|
Экспортируйте п а р т н е р с к у ю п о л и т и к у из о р г а н и з а ц и и |
||
|
ресурсов (Woodgrove Bank) и и м п о р т и р у й т е се в о р г а н и з а ц и ю у ч е т н ы х |
||||
|
записей (Contoso) . |
|
|
||
B . |
Неправильный |
П а р т н е р с к у ю п о л и т и к у н е о б х о д и м о э к с п о р т и р о в а т ь |
|||
|
из организации |
ресурсов |
( W o o d g r o v e B a n k ) и и м п о р т и р о в а т ь в орга- |
||
|
низацию учетных записей |
( C o n t o s o ) . В ответе сказано наоборот . |
|||
Г. |
Правильный |
Экспортируйте п о л и т и к у д о в е р и я из о р г а н и з а ц и и учет- |
|||
|
ных записей |
( C o n t o s o ) и |
и м п о р т и р у й т е ее в о р г а н и з а ц и ю р е с у р с о в |
||
|
(Woodgrove |
Bank). |
|
|
|
Д. |
Правильный |
|
В организации ресурсов необходимо создать и о т к о н ф и - |
||
|
гурировать сопоставление утверждений . |
|
|||
Е. |
Неправильный |
Политику доверия необходимо э к с п о р т и р о в а т ь из ор- |
|||
|
ганизации учетных записей ( C o n t o s o ) и и м п о р т и р о в а т ь в о р г а н и з а ц и ю |
||||
|
ресурсов (Woodgrove Bank) . В ответе сказано наоборот. |
||||
Ответы 935
Глава 17. Ответ на вопрос сценария
Сц е н а р и й . Выбор соответствующей технологии Active Directory
Ответы могут варьироваться, однако вы должны учесть все приведенные ниже соображения.
Вы анализируете требования и принимаете решение использовать пять технологий Active Directory.
• Д л я обновления внутренней службы каталогов вы используете AD DS.
•Д л я защиты интеллектуальной собственности вы реализуете AD RMS. Это означает, что при создании партнерской связи ваша организация будет выполнять роль организации ресурсов, поскольку вы управляете установкой AD RMS .
•Д л я поддержки приложений в экстрасети необходимо реализовать с помощью AD FS федерацию удостоверении. Для AD FS вы реализуете тип развертывания Единый вход федерации для Интернет-решений (Federated Web Single-Sign-On), а ваша организация будет выполнять роль организации ресурсов. Кроме того, для поддержки приложений понадобится добавить следующие элементы.
• Д л я поддержки приложений Windows в экстрасети необходим доступ
к хранилищу каталогов. Поскольку вы не собираетесь развертывать AD DS в экстрасети из соображений безопасности, вы развертываете AD LDS. Экземпляр AD LDS предоставляет службы входа для приложений Windows через AD FS. Для поддержки федерации удостоверений AD FS вы установите агент Windows на основе маркеров.
•Д л я поддержки веб-приложений в AD FS вы установите агент AD FS, поддерживающий утверждения.
•Поддержка клиентов, получающих доступ к приложениям, будет осуществляться процессами AD FS и AD LDS. В частности, партнерские организации и внутренние пользователи будут применять AD FS, а все остальные д л я получения доступа к приложениям будут использовать экземпляры AD LDS.
•Д л я безопасности коммуникаций вы реализуете Службы сертификации Active Directory (Active Directory Certificate Services). Чтобы гарантировать доступ ко всем приложениям и возможность для всех партнеров проверять генерируемые вами сертификаты, вы используете сторонний коммерческий доверенный центр сертификации в качестве корня развертывания AD CS. Тогда все сертификаты будут доверенными, поскольку все доверяют корневому сертификату.
Таким образом, рекомендуется реализовать пять технологий Active Directory.
Холме Дэн, Реет Нельсон, Реет Даниэль
Настройка Active Directory® Windows Server® 2008
Учебный курс Microsoft
Подготовлено к печати издательством «Русская редакция» 123298, Москва, 3-я Хорошевская, д. П. Тел.: (495) 638-5-638 e-rnaih lnfo9niKclll.com, http://www.nisedll.com
«.РУССКАЯ РЕДАКЦИИ
Подписано в печать 01.10.2010 г. Формат 70x100/16.
Печать офсетная. Физ. п. л. 60. Доп. тираж 1500 экз. Заказ № 3399 Сапитарно-эпидимиологическое заключение на продукцию
№ 77.99.60.953.Д.003650.04.08 от 14.04.2008 г. выдано Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека.
Отпечатано с готовых диапозитивов в ГУП «Типография «Наука»
199034, Санкт-Петербург, 9 линия, 12