Server Core 核心伺服器
PowerShell、WMI(Windows Management Instrumentation)、.NET Framework三工具協同作戰
WSH(Windows Script Host)
WSV(Windows Server Virtualization)
伺服器的虛擬化技術使用關鍵時機有四:
>Production Server Consolidation
>Business Continuity Management
>Dynamic Datacenter
>Test and Development
RODC(Read-only Domain Controller)
伺服器訊息區(Server message Block,SMB),又名通用Internet檔案系統(Common Internet File System,CIFS)為Windows電腦預設使用的檔案共用協定。
地址空間的隨機加載(Address Space Layout Randomization,ASLR)
攻擊程式碼會試圖調用Windows系統的系統函數,如:調用wsock32.dll中的socket()函數,打開一個網路Socket,而ASLR能夠將這些系統檔分散開來,將其儲存在不可預期的記憶體位址裡,如:VISTA系統中,DLL或EXE檔能夠載入256個位址中的任何一個,故駭客只有1/256機會獲得正確的地址,相對降低緩衝區溢出攻擊成功的風險。
SID(Security Identifier)安全識別碼:64位元的數值資料,分兩區塊,網域ID(Domain ID)與相對ID(Relative ID)
網域中獨一無二,如身分證字號。
GUID(Globally Unique Identifier)全域唯一識別碼:128位元的數值資料
樹系中唯一,如護照號碼,物件跨樹系搬動時GUID才會變動。
識別名稱(Distinguished Name,DN)
1.DC:Domain Component 標示所在的網域
2.OU:Organizational Unit 標示擺放的組織單位
3.CN:Common Name 標示物件在容器中的命名
如:CN=momo,OU=Sales,OU=Taiwan,DC=ChildSpace,DC=com,DC=tw
ADDS五大角色
樹系(Forest)涵蓋範圍
>架構主機(Schema Master):負責整個樹系的架構內之物件屬性的更新與修改,整個樹系只有一部,通常是由樹系根網域的第一部網域控制站擔任。
>網域命名主機(Domain Naming Master):負責樹系內網域新增移除工作,整個樹系只有一部,通常是樹系根網域的第一部網域控制站擔任。
網域範圍
>PDC模擬器主機(Primary Domain Controller Emulator):負責網域時間同步,減少因密碼複製延遲所造成的問題,通常一個網域只有一個PDC模擬操作主機,由網域建立的第一部網域控制站擔任。
>RID主機(Relative Identifier Master):負責發放RID給網域內所有網域控制站,亦即當有新增一個USER或群組或電腦物件時都由RID主機統一配發SID給這些物件,一個網域只有一個RID主機,由網域建立的第一部網域控制站擔任。
>基礎結構主機(Infrastructure Master):負責網域內有物件參考到其他網域的物件時,基礎結構主機就會負責更新這些參考用的物件資料,利用"通用類別目錄"之最新版本的參考資料,一個網域只有一個基礎結構主機,由網域建立的第一部網域控制站擔任。
設定
Active Directory架構:可設定架構主機(Windows Server 2008雖預設上會安裝Active Directory架構工具,但預設上卻不顯示,需註冊工具的DLL檔案,regsvr32 schmmgmt.dll,後在MMC中使用工具)
Active Directory網域及信任:可設定網域命名主機
Active Directory使用者和電腦:可設定RID、PDC及基礎結構操作主機
Windows Server 2008的AD DS 停止服務
與前版AD不同,不須重啟以AD還原模式重新開機
停止AD DS服務後,仍可進行下列資料庫管理
1.執行離線重組
2.搬移AD DS資料庫或日誌檔案
可從系統管理工具,停止Active Directory Domain Service同時也將停止下列的依存服務:
1.Kerberos Key Distribution Center (Kerberos金鑰發佈中心,KDC)
2.Intersite Messaging(站台間的訊息)
3.File Replication Service (檔案複寫服務,FRS)
4.DNS Server
還原AD DS資料庫,則依然必須以目錄服務還原模式啟動。
AD DS資料庫離線重組程序
1.備份網域控制站的AD DS資訊,將於後續逐步說明其相關程序。
2.停止Active Directory Domain Service服務(或命令列輸入 net stop ntds)。
3.命令提示字元,並輸入"ntdsutil"
4.於ntdsutil命令列,輸入"activate instance NTDS"
5.於ntdsutil命令列,輸入"file"
6.於File Maintenance命令列輸入"info",以便顯示目前的AD DS資料庫及日誌檔案的路徑和大小等資訊。
7.輸入 compact to drive:\directory,選擇足夠存放整個資料庫的磁碟機根目錄,如果路徑名稱含有任何空白字元,則路徑前後都必須加上雙引號。
8.離線重組程序將於指定路徑建立一個叫做Ntds.dit的新資料庫,並於資料庫複製到新位置的過程中順便進行重組。(跟EXCHANGE資料庫好相似)
9.重組完成後,輸入兩次"quit"回到命令提示字元
10.重組過的Ntds.dit複製回舊的AD DS資料庫路徑,並刪除舊的日誌檔案。
11.重新啟動 Activie Dirrctory網域服務
因刪除大量AD DS物件而重組資料庫,則必須在全部的網域控制站重複這些步驟。
移動資料庫及交易日誌
於目錄還原模式,或已經停止Active Directory Domain Service服務(或命令列輸入 net stop ntds)。
1.命令提示字元,並輸入"ntdsutil"
2.於ntdsutil命令列,輸入"activate instance NTDS"
3.於ntdsutil命令列,輸入"file"
4.於File Maintenance命令列輸入"info",以便顯示目前的AD DS資料庫及日誌檔案的路徑和大小等資訊。
5.移動資料庫檔案,可在File Maintenance命令列輸入"move db to directory",這裡的directory為檔案的目標位置,此指令會把資料庫搬到指定位置,並重新設定登錄檔以便存取正確位置的檔案
6.移動交易日誌,可在6.於File Maintenance命令列輸入"move logs to directory"
7.最後,重開主機或重新啟動AD DS服務
Windows Server 備份、Wbadmin.exe取代之前的Ntbackup.exe備份工具,改變如下
1.預設情況下並沒安裝,必須自己安裝Windows Server 備份跟命令列工具才能使用這些工具;安裝命令列工具也會同時安裝Windows Powershell
2.Windows Server 備份只能備份完整磁碟區,需處理所有的關鍵磁碟區,以便備份系統狀態資料;利用Wbadmin.exe命令列工具就可以只備份網域控制站的系統狀態資訊。
3.Windows Server 備份,只能備份到磁碟或DVD上,無法備份至磁帶,需使用第三方解決方案
Windows Server 關鍵磁碟區會依所安裝的角色而有差異,如:存放開機設定檔(Boot Configuration Data,BCD)跟Bootmgr的系統磁碟區就是關鍵磁碟區;Windows作業系統的開機磁碟區也是關鍵磁碟區,其存放幾種資料的磁碟區也算是
1.SYSVOL目錄
2.AD DS資料庫及日誌檔
3.登錄檔
4.COM+類別註冊資料庫
5.Active Directory認證服務資料庫
6.集區服務資訊
7.Windows資源保護下的系統檔案
AD DS備份步驟
Windows Server 備份進行,步驟如下
1.伺服器管理員的畫面哩,展開存放,再點選Windows Server Backup;或從系統管理工具裡去開啟Windows Server Backup
2.Windows Server Backup的動作畫面裡,點選單次備份帶出單次備份精靈;或選擇排程定期備份
3.單次備份精靈的備份選項畫面上,按下下一步
4.選取備份設定畫面裡可選擇執行完整伺服器備份或自訂備份,自訂備份可排除某些磁碟區的備份,點選自訂,並按下下一步
5.選取備份項目畫面哩,按下下一步,預設情況將選擇網域控制站的全部關鍵磁碟區
6.指定目標類型畫面,如執行自訂備份的話,可選擇備份檔案要放在本機磁碟或遠端共用資料夾,再按下一步
7.選取備份目標畫面選擇備份檔案的存放位置,再按下一步
8.指定進階選項畫面哩,可選擇是否要進行VSS複製備份或VSS完整備份,決定後再按下一步
9.於確認畫面,按下備份
另外利用Wbadmin命令列工具備份AD DS,使用此工具能夠只備份及還原網域控制站的系統狀態資料,可利用下列指令只備份系統狀態資料,Driverletter:要存放備份檔案的磁碟機代號
Wbadmin Start Systemstatebackup -backuptarget:Driveletter
還原AD DS實務(要詳細看)
Windows Server 2008系統建置與伺服器架設實戰
Windows Server 2008企業網路部屬與MIS管理實戰
待續
沒有留言:
張貼留言