Archivio

Archivio per la categoria ‘Microsoft’

Panoramica sul server di catalogo globale

17 Maggio 2009

Il catalogo globale (GC) è una componente importante in Active Directory in quanto funge da centrale di memorizzare le informazioni di Active Directory gli oggetti situati in domini, e delle foreste. Dato che la GC mantiene un elenco degli oggetti di Active Directory in settori e delle foreste, senza realmente compreso tutte le informazioni sugli oggetti, e viene utilizzato quando gli utenti effettuano ricerche per oggetti di Active Directory o per specifici attributi di un oggetto; GC migliora le prestazioni della rete e garantisce la massima accessibilità a oggetti di Active Directory.

Il server di catalogo globale è il controller di dominio che memorizza una copia completa di tutti gli oggetti nel suo dominio host. Ha inoltre memorizza una copia parziale di tutti gli oggetti in tutti gli altri settori all’interno della foresta. La copia parziale detiene l’elenco degli oggetti cercato per più di frequente. Il primo controller di dominio che viene creato durante il primo dominio in una foresta è per default il server di catalogo globale. Se un dominio comprende un unico controller di dominio, quel particolare controller di dominio e il server sono GC stesso server. Se si aggiunge un ulteriore controller di dominio per il dominio, si può configurare come controller di dominio che il server GC. È inoltre possibile assegnare ulteriori controller di dominio per servire come GC server per un dominio. Questo di solito è fatto per migliorare i tempi di risposta per le richieste di accesso degli utenti e le richieste di ricerca.

Al fine di server di catalogo globale per memorizzare una copia completa di tutti gli oggetti nel suo dominio host e una copia parziale di tutti gli oggetti in tutti gli altri settori all’interno della foresta, GC replica deve verificarsi tra quelli che sono i controller di dominio configurato come server GC. GC non si replica tra i controller di dominio che non sono server GC.

Le funzioni del GC server sono discusse nella sezione seguente. Le funzioni svolte dal GC server possono essere riassunti come segue:

· GC server Active Directory di fondamentale importanza per la funzionalità UPN perché risolvere i principali nomi utente (UPNs) quando il controller di dominio, la gestione della richiesta di autenticazione non è in grado di autenticare l’utente perché l’account utente esiste realmente in un altro dominio. Il controller di dominio di autenticazione non avrebbe alcuna conoscenza della particolare account utente. Il GC server in questo caso, aiuta a localizzare l’account utente in modo che il controller di dominio di autenticazione può procedere con la richiesta di accesso per l’utente.

· Il GC server si occupa di tutte le richieste di ricerca degli utenti alla ricerca di informazioni in Active Directory. Si possono trovare tutti i dati di Active Directory, indipendentemente dal settore in cui i dati si svolge. Il GC server si occupa di richieste per l’intera foresta.

· Il GC inoltre rende possibile per gli utenti di fornire informazioni in gruppo universale per il controller di dominio di rete per le richieste di accesso.

Universal gruppi sono disponibili quando il livello funzionalità di dominio viene aumentato o fissato a meno di Windows 2000 nativo. Gruppi universale può contenere membri che appartengono a vari settori all’interno della foresta, e il loro gruppo di appartenenza universale è solo informazioni memorizzate nel GC. Ciò significa che solo i controller di dominio configurato come server GC universale dovrebbe contenere informazioni in gruppo. Per il resto, il controller di dominio potrebbe non tenere in gruppo Universal informazioni. Universale Il gruppo caching funzione introdotta in Windows Server 2003 Active Directory, consente a un sito che non ha alcun GC cache server per l’adesione universale gruppo di informazioni per gli utenti che intendono accedere al controller di dominio all’interno del sito. In questo modo, un controller di dominio può servire le richieste di accesso per la directory di informazioni quando un GC server non è disponibile. Le impostazioni della replica di Active Directory calendario determinare come spesso la cache viene aggiornata.

Pianificazione della Posizione di server di catalogo globale

Se si dispone di una rete relativamente piccola che ha solo un unico luogo fisico, il primo controller di dominio per il dominio installato sarebbe diventato il GC server. Come ulteriore controller di dominio vengono aggiunti al dominio, è possibile spostare il server GC ruolo a un altro controller di dominio. Posizionando il GC server in un ambiente Active Directory è un processo abbastanza semplice. La maggior parte delle reti di grandi dimensioni, tuttavia, molte ubicazioni fisiche. Avendo affidabili ad alta velocità che collegano i link filiali sarebbe la situazione ideale. Poiché la maggior parte dei collegamenti utilizzo della larghezza di banda limitata, e anche alcuni link sono inaffidabili, la necessità di creare siti e link del sito per il controllo del traffico di replica diventa essenziale.

È necessario configurare almeno un controller di dominio come il GC server in ogni sito. Assicurarsi che il controller di dominio è robusto abbastanza per far fronte a tutte le richieste del catalogo globale e GC traffico di replica. Questa è sua volta garantisce la migliore possibile i tempi di risposta della rete. Quando Microsoft Exchange 2000 Server viene utilizzato, si raccomanda inoltre di configurare un server di GC per ogni sito che ha un server di Exchange.

Se si dispone di più siti, si potrebbe desiderare di schierare ulteriori GC server per un sito se si verificano le seguenti condizioni:

  • Un collegamento WAN lento o inaffidabile collegamento WAN viene utilizzata per connettersi ad altri siti.
  • Una frequente applicazione utilizza la porta utilizzata per GC 3268 domande.
  • Gli utenti del sito sono membri di un dominio Windows 2000 o un dominio Windows Server 2003 che operano in modalità nativa di Windows 2000.

Come creare ulteriori server GC

Quando si crea il primo controller di dominio per un nuovo dominio, quel particolare controller di dominio è designato come server GC. A seconda della vostra rete, potrebbe essere necessario aggiungere un ulteriore GC server (s). L’Active Directory Siti e servizi della console è lo strumento utilizzato per aggiungere un ulteriore server GC. Devi essere un membro di uno dei seguenti gruppi per creare ulteriori server GC: Domain Admins o Enterprise Admins.

Per creare un nuovo server di GC:

  1. Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Active Directory Siti e servizi.
  2. Nella struttura della console, espandere Siti, quindi espandere il sito che contiene il controller di dominio che si desidera configurare come un server GC.
  3. Espandere la cartella Server e individuare e quindi fare clic sul controller di dominio che si desidera designare come un server GC.
  4. Nel dettaglio, pannello, cliccate con il tasto destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida.
  5. L’oggetto Impostazioni NTDS finestra di dialogo Proprietà apre.
  6. La scheda Generale è possibile specificare il controller di dominio come un server GC.
  7. Attivare la casella di controllo Catalogo globale.
  8. Fare clic su OK.

Come attivare il gruppo Universal funzione di caching

  1. Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Active Directory Siti e servizi.
  2. Nella struttura della console, fare clic sul sito che si desidera consentire l’adesione universale gruppo per il caching.
  3. Nel riquadro dei dettagli fare clic con il pulsante destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida.
  4. L’oggetto Impostazioni NTDS finestra di dialogo Proprietà apre.
  5. Controllare la Abilita cache universale gruppo di controllo.
  6. Fare clic su OK.

Come rimuovere il ruolo server GC da un controller di dominio

  1. Aperto di Active Directory Siti e servizi di console.
  2. Nella struttura della console, individuare e fare clic sul controller di dominio configurato come server GC.
  3. Fai clic destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida per aprire le Impostazioni NTDS finestra di dialogo Proprietà.
  4. Deselezionare la casella di controllo Catalogo globale.
  5. Fare clic su OK.

Come disabilitare l’universale gruppo funzione di caching

  1. Aperto di Active Directory Siti e servizi di console.
  2. Nella struttura della console, individuare e fare clic sul sito per il quale si desidera disattivare l’universale gruppo funzione di caching.
  3. Fai clic destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida per aprire le Impostazioni NTDS finestra di dialogo Proprietà.
  4. Svuota Abilita cache universale gruppo di controllo.
  5. Fare clic su OK.

Come includere altri attributi in GC

Il numero di attributi in GC GC colpisce replica. Il tuo GC più attributi server devono replicare, più il traffico di rete GC replica crea. Attributi di default sono inclusi nel GC quando Active Directory è stato messo. È possibile utilizzare la Schema di Active Directory snap-in per aggiungere ulteriori attributo alla GC. Perché lo snap-in di default non è inclusa nel menu Strumenti di amministrazione, dovete prima di aggiungere alla prima MMC si può utilizzare per personalizzare il GC.

Per aggiungere la Schema di Active Directory snap-in MMC:

  1. Fare clic sul pulsante Start, Esegui e digitare cmd nella finestra di dialogo Esegui. Premere Invio.
  2. Inserisci i seguenti al prompt dei comandi: regsvr32 schmmgmt.dll.
  3. Fare clic su OK per riconoscere che la dll è stato registrato con successo.
  4. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui.
  5. Quando si apre la MMC, selezionare Aggiungi / Rimuovi snap-in dal menu File.
  6. In Aggiungi / Rimuovi snap-in finestra di dialogo, fare clic su Aggiungi, quindi aggiungere la Schema di Active Directory snap-in dal Aggiungi snap-in finestra di dialogo.
  7. Chiudere tutte le finestre di dialogo.

Per includere altri attributi del GC:

  1. Aprire la Schema di Active Directory snap-in.
  2. Nella struttura della console, espandere il contenitore attributi, cliccate con il tasto destro un attributo e fare clic su Proprietà dal menu di scelta rapida.
  3. Ulteriori attributi sono aggiunti sulla scheda Generale.
  4. Assicurarsi che la Replica questo attributo al catalogo globale casella di controllo è attivata.
  5. Fare clic su OK.

Risoluzione dei problemi GC Server

A pochi problemi di comune esperienza con GC server sono elencati qui di seguito:

  • Query lente del tempo di risposta: Aggiungere un ulteriore GC server per la posizione con la lentezza dei tempi di risposta di query di ricerca in grado di migliorare i tempi di risposta. Gli utenti saranno in grado di utilizzare il server locale GC invece di usare il collegamento WAN lento.
  • Problemi di latenza di replica tra i server GC: È possibile aggiungere i siti per assistere con la replica del traffico.
  • Alto Carico: Se il tuo GC server si verifica un eccessivo carico, aggiungendo più GC server per gestire il carico potrebbe assistere, con il problema. Ricorda però che l’aggiunta di ulteriori server GC, GC aumento del traffico di replica.

Share

Microsoft

An Introduction to Active Directory Management Tools

17 Maggio 2009

Active Directory o del servizio directory di gestione è una componente essenziale di qualsiasi processo di amministrazione di Active Directory, se viene attuato nel vostro ambiente di rete. I due tipi di metodi di gestione o di amministrazione che può essere utilizzato per gestire il servizio di directory sono:

  • Strumenti di amministrazione che utilizzano un’interfaccia utente grafica (GUI)
  • Strumenti da riga di comando

Windows Server 2003 include una serie di nuovi strumenti da riga di comando che può essere utilizzato per gestire oggetti di Active Directory come pure le varie parti di Active Directory. Strumenti di amministrazione che utilizzano una interfaccia grafica è possibile accedere tramite il menu Strumenti di amministrazione.

Il principale strumento di gestione utilizzati per la gestione di Active Directory è la Microsoft Management Console (MMC). La MMC non è un vero e proprio strumento di gestione, ma fornisce l’interfaccia per caricare MMC di Active Directory snap-in. Snap-in fornisce specifiche funzionalità amministrative. La MMC interfaccia vi permette di creare strumenti personalizzati console, e inoltre consentono di caricare più snap-in in un’unica console.

Le seguenti MMC snap-in fornisce una specifica funzionalità di amministrazione di Active Directory:

  • Active Directory Domini e trust: Utilizzata per gestire i domini, relazioni di trust di dominio, dominio di alberi e foreste, e per cambiare la modalità di dominio. Active Directory Domini e trust viene utilizzato anche per configurare il nome utente principale (UPN) suffissi.
  • Active Directory Utenti e computer: utilizzato per creare, configurare e gestire gli oggetti in Active Directory, come utenti, gruppi, computer e unità organizzative (UO).
  • Active Directory Siti e servizi: Serve per creare, configurare e gestire siti e subnet. Active Directory Siti e servizi sono utilizzati anche per gestire i controller di dominio di replica.
  • Schema di Active Directory: A differenza del già citato MMC snap-in, la Schema di Active Directory snap-in non è disponibile sul menu Strumenti di amministrazione. È necessario installare manualmente Schema di Active Directory e creare un MMC per come bene. Schema di Active Directory viene utilizzato per visualizzare e modificare schema di Active Directory.

A pochi miglioramenti introdotti in Windows Server 2003 per la gestione di Active Directory strumenti includono le seguenti funzionalità:

  • È possibile scegliere o selezionare più risorse o gli oggetti singolarmente tenendo premuto il tasto Ctrl e poi selezionando singolarmente gli oggetti o le risorse che si desidera lavorare.
  • È anche possibile selezionare una serie di oggetti contemporaneamente premuto il tasto Maiusc, fai clic sul primo oggetto e poi cliccando l’ultimo oggetto.
  • È possibile modificare e impostare le proprietà di oggetti o di più risorse.
  • Puoi trascinare gli oggetti o le risorse per nuove sedi.

In aggiunta a quanto sopra menzionato MMC snap-in, è possibile anche utilizzare Gruppo di criteri risultante per visualizzare la politica attuale di un utente su un sistema. È anche possibile pianificare cambiamenti politici utilizzando Gruppo di criteri risultante. È possibile utilizzare l’Installazione guidata di Active Directory per creare i controller di dominio, i nuovi domini, dominio di alberi e foreste. Windows Server 2003 include link alle Installazione guidata di Active Directory in Gestione guidata server. Questa è la procedura guidata che verrà visualizzata dopo il sistema operativo è installato. Strumenti di supporto di Windows anche contenere ulteriori Active Directory specifici strumenti di gestione.

Come aggiungere i tre comunemente utilizzata di Active Directory snap-in di MMC:

  1. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  2. Selezionare Aggiungi / Rimuovi snap-in dal menu File.
  3. Aggiungi / Rimuovi snap-in finestra di dialogo viene visualizzato accanto.
  4. Fare clic sulla scheda. Fare clic su Aggiungi.
  5. Il Aggiungi snap-in finestra di dialogo in cui si aggiunge di Active Directory snap-in che dovrebbe essere visualizzato in Microsoft Management Console.
  6. Fare clic su Active Directory Domini e trust da disponibili e fare clic su Aggiungi.
  7. Fare clic su Active Directory Siti e servizi a disposizione dalla lista e fare clic su Aggiungi.
  8. Fare clic su Active Directory Utenti e computer a disposizione dalla lista e fare clic su Aggiungi.
  9. Fare clic sul pulsante Chiudi.
  10. Il snap-in che è stato selezionato dovrebbe essere visualizzata in Aggiungi / Rimuovi snap-in finestra di dialogo.
  11. Fare clic su OK
  12. La console MMC albero dovrebbe ora contenere nodi per ciascuna di Active Directory snap-in.

L’Installazione guidata di Active Directory

L’Installazione guidata di Active Directory è il principale strumento che viene utilizzato per installare Active Directory, i controller di dominio e creare nuovi domini e il dominio alberi. È possibile avviare l’Installazione guidata di Active Directory utilizzando direttamente Dcpromo.exe. L’Installazione guidata di Active Directory richiede le seguenti informazioni che vi guiderà attraverso la sua serie di pagine di configurazione / schermi:

  • Il controller di dominio del tipo: La procedura guidata mostra la pagina Tipo di controller di dominio quando il computer si sta lavorando con non è un controller di dominio. Le opzioni che si possono scegliere sono:
    • Domain Controller per un nuovo dominio: Questa opzione installa Active Directory su un server e lo definisce come il primo controller di dominio per un nuovo dominio. Quando si seleziona questa opzione, l’Installazione guidata di Active Directory proventi di installare Active Directory di file di supporto, crea il nuovo dominio, e quindi con i registri DNS.
    • Controller di dominio aggiuntivo per un dominio esistente: Questa opzione installa Active Directory su un server e poi le repliche di directory di informazioni da un dominio esistente.
  • Il dominio del tipo: Se si è scelto di creare un nuovo dominio, la procedura guidata viene visualizzata la pagina Crea nuovo dominio. È possibile selezionare una delle seguenti opzioni da questa pagina:
    • Dominio In A New Forest
    • Dominio figlio in un dominio esistente Albero
    • In un albero di dominio esistenti Foresta
  • Impostare i nomi di dominio: In Nuova pagina del nome di dominio, è necessario specificare un nome DNS per il dominio, nonché uno dei nomi NetBIOS per il dominio. Il nome NetBIOS per il dominio saranno utilizzati da clienti che non supporta Active Directory.
  • Database di Active Directory e accedi cartella: La procedura guidata viene chiesto di immettere la posizione del database di Active Directory e la cartella sul file di log del database e del log delle cartelle pagina. La posizione che si immette deve essere su un volume NTFS.
  • Volume di sistema condiviso cartella: Dovete inserire il percorso del volume di sistema condiviso sul volume di sistema condiviso pagina.
  • Autorizzazioni predefinite per l’utente e il gruppo di oggetti: L’Autorizzazioni compatibili soltanto con Windows 2000 e Windows Server 2003 Sistemi Operativi opzione dovrebbe essere selezionata.
  • Modalità ripristino servizi directory account Administrator password: È necessario immettere la password per l’account Administrator in modalità di ripristino del server qui. Questa password dovrebbe essere di solito necessario per utilizzare la Console di ripristino di emergenza.

Come usare l’Installazione guidata di Active Directory per installare Active Directory per un nuovo dominio

  1. Fare clic sul pulsante Start, Esegui, quindi digitare dcpromo nella finestra di dialogo Esegui. Fare clic su OK
  2. Questa azione avvia il Installazione guidata di Active Directory.
  3. Quando il benvenuto al Installazione guidata di Active Directory apre la pagina, fare clic su Avanti.
  4. Fare clic su Avanti e sulla compatibilità del sistema operativo pagina.
  5. Selezionare il controller di dominio per un nuovo dominio opzione sulla pagina Tipo di controller di dominio. Fare clic su Avanti.
  6. Quando la procedura guidata viene visualizzata la pagina Crea nuovo dominio, verificare che il dominio in A New Forest opzione è selezionata fare clic su Avanti.
  7. L’Installazione guidata di Active Directory ora mostra il nuovo nome di dominio pagina. Questo è il punto in cui inserire il nome DNS del dominio in nome del DNS Per la Nuova casella Dominio. Fare clic su Avanti.
  8. È possibile accettare il nome NetBIOS predefinito visualizzato sulla pagina del nome di dominio NetBIOS. Fare clic su Avanti.
  9. Inserisci il buon località nel database delle cartelle e caselle Entra cartella del database e delle cartelle Entra pagina. Fare clic su Avanti
  10. Quando il volume di sistema condiviso pagina viene visualizzata, immettere il percorso del volume di sistema condiviso nella cartella Cartella casella. Fare clic su Avanti.
  11. Il DNS Registrazione diagnostica pagina, selezionare l’opzione appropriata. Fare clic su Avanti.
  12. Quando la procedura guidata visualizza la pagina Autorizzazioni, selezionare Autorizzazioni compatibili soltanto con Windows 2000 e Windows Server 2003 Sistemi Operativi opzione. Fare clic su Avanti.
  13. Sulla modalità ripristino servizi directory amministratore pagina Password, immettere la password. Fare clic su Avanti
  14. L’Installazione guidata di Active Directory ora visualizza la pagina Riepilogo. Tutte le opzioni di configurazione che è stata selezionata come la navigazione attraverso le pagine della procedura guidata sono riassunte in questa pagina. Fare clic su Avanti per proseguire con l’installazione.
  15. Quando il completamento L’Installazione guidata di Active Directory viene visualizzata la pagina, fare clic su Fine, quindi Riavvia.
  16. Quando il server è ora presente un controller di dominio viene visualizzata la pagina, fare clic su Fine pure.

L’Active Directory Domini e trust di console

L’Active Directory Domini e trust di console è utilizzato per gestire i domini e di relazioni di trust tra domini e foreste, cambiare la modalità di dominio e impostare il nome utente principale (UPN) suffissi per la foresta. Con l’installazione di Windows 2003 Server, Active Directory Domini e trust di console di default è aggiunto al menu Start. Il snap-in MMC di file, Domain.msc, può essere utilizzato per avviare Active Directory Domini e trust dalla finestra di dialogo Esegui. È inoltre possibile avviare la console da Strumenti di amministrazione. I compiti amministrativi attivato da Active Directory Domini e trust può essere letta dal menu Azione visualizzato selezionando un nome di dominio o l’oggetto principale. È inoltre possibile eseguire i compiti di gestione sulla finestra di dialogo Proprietà di un dominio.

I compiti amministrativi che è possibile utilizzare Active Directory Domini e trust di snap-in MMC sono riassunte qui di seguito:

  • Visualizza una console che elenca tutti i domini in una foresta
  • Cambia la modalità di dominio da Windows 2000 in modalità mista alla modalità nativa di Windows 2000 o Windows Server 2003 a livello funzionale. Il dominio in modalità ora noto come il livello funzionalità di dominio.
  • Configurare l’interoperabilità con altri domini in Windows Server 2003, le foreste e pre-Microsoft Windows 2000 domini precisando attraverso relazioni di trust tra i domini.
  • Trasferire la denominazione dei domini del ruolo di master operazioni da un controller di dominio a un altro controller di dominio.
  • Aggiungere, eliminare e modificare il nome utente principale (UPN) suffissi.

Livelli di funzionalità di dominio ti consentono di attivare funzioni di Active Directory e la funzionalità nel settore forestale e per la rete. Windows Server 2003 aggiunge ulteriori funzionalità basate sulla modalità della foresta. Quando un nuovo dominio è stato creato in una nuova foresta, il livello di funzionalità per il dominio è Windows 2000 in modalità mista, e il livello di funzionalità per il nuovo foresta è la modalità di Windows 2000. Quando si esegue l’aggiornamento del controller di dominio in una foresta, è possibile migliorare il livello di funzionalità per supportare ulteriori funzionalità di Active Directory e funzionalità.

Le seguenti funzionalità di dominio esistono livelli:

  • Windows 2000 misto a livello funzionalità di dominio è supportato da Windows NT 4, Windows 2000 e Windows Server 2003 i controller di dominio.
  • Windows 2000 nativo a livello funzionalità di dominio è supportato da Windows 2000 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 interim livello funzionalità di dominio è supportato da Windows NT 4 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 a livello funzionalità di dominio è supportato da Windows Server 2003 i controller di dominio.

Le seguenti funzionalità foresta esistono livelli:

  • Funzionalità di Windows 2000 è supportato da Windows NT 4, Windows 2000 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 interim foresta funzionalità è supportato da Windows NT 4 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 a livello funzionalità è supportato da Windows Server 2003 i controller di dominio.

È possibile utilizzare Active Directory Domini e trust di console per creare i seguenti tipi di trust tra domini e foreste:

  • Albero-radice la fiducia
  • Genitore-figlio fiducia
  • Scorciatoia fiducia
  • Forest fiducia
  • Realm fiducia
  • Esterne fiducia

Come cambiare il livello funzionalità di dominio utilizzando Active Directory Domini e trust

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Procedere alla clic con il pulsante destro del dominio che si desidera aggiornare e fare clic su Aumenta livello funzionalità di dominio dal menu di scelta rapida.
  3. Quando il Alza livello funzionalità di dominio si apre la finestra di dialogo, utilizzare il Selezionare un livello funzionalità dominio disponibile elenco a discesa per scegliere il livello funzionalità di dominio che si desidera utilizzare. L’elenco a discesa visualizza solo i livelli che possono essere specificate per il particolare dominio.
  4. Fare clic sul pulsante Alza
  5. Quando il livello funzionalità di dominio Alza messaggio viene visualizzato, fare clic su OK.

Come cambiare il livello funzionalità della foresta utilizzando Active Directory Domini e trust

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Procedere alla clic con il pulsante destro del dominio che si desidera aggiornare e fare clic su Aumenta livello funzionalità dal menu di scelta rapida.
  3. Quando la Foresta Alza il livello funzionale si apre la finestra di dialogo, utilizzare il Selezionare un livello funzionalità disponibili elenco a discesa per scegliere il livello di funzionalità delle foreste che si desidera utilizzare. L’elenco a discesa visualizza solo i livelli che possono essere specificate per il bosco.
  4. Fare clic sul pulsante Alza
  5. Quando la Foresta Alza il livello funzionale messaggio viene visualizzato, fare clic su OK

Come aggiungere o rimuovere i suffissi UPN

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Fai clic destro di Active Directory Domini e trust di nodo e selezionare Proprietà dal menu di scelta rapida.
  3. Quando Active Directory Domini e trust di finestra di dialogo, fare clic sulla scheda Suffissi UPN.
  4. Se si desidera aggiungere un suffisso UPN, utilizzare la casella di alternative Suffissi UPN per inserire un suffisso UPN alternativo. Fare clic su Aggiungi
  5. Se si desidera rimuovere un suffisso UPN, utilizzare il alternative Suffissi UPN casella per indicare il suffisso UPN che dovrebbero essere rimossi. Fare clic sul pulsante Rimuovi.
  6. Fare clic su Sì per verificare la tua configurazione e quindi fare clic su OK.

Come configurare diversi tipi di trust tra domini e foreste utilizzando Active Directory Domini e trust

Utilizzare la procedura descritta di seguito per creare il collegamento tra i due domini di fiducia in una foresta:

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Fare clic col tasto destro del nodo di dominio per il dominio che si desidera configurare collegamento fiducia per l’utilizzo della console e selezionare Proprietà dal menu di scelta rapida.
  3. Quando la finestra di dialogo Proprietà, fare clic sulla scheda Trust.
  4. Questa è la scheda utilizzata per creare nuove relazioni di trust tra domini
  5. Fare clic su Nuovo per avviare la Trust Nuovo Trust guidata.
  6. Fare clic su Avanti nella Welcome To The New Trust guidata pagina.
  7. Quando la pagina viene visualizzata Nome Trust, nella casella Nome, immettere il nome del dominio che si desidera utilizzare per creare la fiducia. Fare clic su Avanti
  8. Selezionare una delle seguenti opzioni sulla direzione della Trust pagina:
    • Two-Way
    • One-Way: in arrivo
    • One-Way: in uscita
  9. Fare clic su Avanti, quando i lati del trust pagina visualizzata, scegliere tra le seguenti opzioni:
    • Questo dominio solo per il rapporto di fiducia per essere creato nel dominio locale.
    • Entrambi Questo dominio e il dominio specificato per il rapporto di fiducia devono essere creati in entrambi i domini
  10. Fare clic su Avanti. La procedura guidata utilizza ora le opzioni che hai selezionato in questa fase e il passaggio precedente per visualizzare le pagine del caso.
  11. Il livello di autenticazione di trust in uscita viene visualizzata la pagina se avete precedentemente selezionato i seguenti: a due vie o One-Way: in uscita e questo dominio è.
    • È ora possibile selezionare l’opzione di autenticazione a livello di dominio o l’autenticazione selettiva per specificare l’autenticazione degli utenti. Fare clic su Avanti.
  12. Il Trust Password viene visualizzata la pagina, se in precedenza hai selezionato i seguenti: Uno-Way: in arrivo e questo dominio è stato
    • Devi inserire una password nella casella Password e Trust Conferma Fiducia casella Password. Fare clic su Avanti.
  13. Nome utente e password viene visualizzata la pagina, se in precedenza hai selezionato sia il dominio e il dominio specificato.
    • “È necessario immettere un nome utente e la password di un account che dispone di privilegi amministrativi nel dominio il nome utente e la password box. Fare clic su Avanti
  14. La procedura guidata visualizza la pagina completa Trust selezioni. Questa pagina contiene un elenco di tutte le opzioni di configurazione che hai specificato. Fare clic su Avanti
  15. Quando il trust Creazione completa pagina visualizzata, fare clic su Avanti
  16. Quando la posta in uscita Conferma Fiducia pagina visualizzata, scegliere tra le seguenti opzioni:
  17. Si, conferma il trust in uscita
  18. No, non confermare la fiducia in uscita
  19. Fare clic su Avanti
  20. Quando l’arrivo Conferma Fiducia pagina visualizzata, scegliere tra le seguenti opzioni:
    • Sì, conferma il trust in ingresso
    • No, non conferma il trust in ingresso
  21. Fare clic su Nexti
  22. Quando il completamento del Nuovo Trust guidata viene visualizzata la pagina, fare clic su Fine.

L’Active Directory Siti e servizi di Console

Quando avete bisogno di creare ed eseguire compiti amministrativi sui siti, si usa di Active Directory Siti e servizi di console. Poiché utilizza i siti di Active Directory durante l’autenticazione e la replica, la gestione dei siti in Active Directory è importante e può essere molto complicato. Attraverso l’uso di Active Directory Siti e servizi, è possibile controllare il modo in cui viene replicata una directory all’interno di un sito e tra i siti. Active Directory Siti e servizi ti consentono di configurare le connessioni tra i vari siti, e quindi specificare le modalità di replica dovrebbe verificarsi. Quando si apre di Active Directory Siti e servizi della console, si sono presentati con i contenitori che possono essere utilizzati per creare nuovi siti, e per gestire i siti nel vostro ambiente di rete.

Il primo sito oggetto, Default-First-Site-Name, viene creato quando si installa il primo controller di dominio nella rete. Questo sito è collegato con il server che è stato promosso a controller di dominio. Si consiglia di rinominare il sito oggetto di un nome che ha qualche significato nella vostra organizzazione.

L’Inter-Site Transports contenitore sito contiene link. Puoi utilizzare questo contenitore di creare collegamenti tra i siti. Quando si crea una connessione sotto il contenitore IP, la connessione potrebbe utilizzare il protocollo di trasporto IP. Allo stesso modo, quando si crea un link sotto il contenitore SMTP, tali legami utilizzare il Simple Mail Transfer Protocol (SMTP) e non PI.

La subnet contenitore contiene informazioni sulla subnet nella rete. Puoi utilizzare questo contenitore per raggruppare diverse sottoreti a forma di un sito.

Come rinominare il primo sito oggetto di Active Directory utilizzando Siti e servizi

  1. Aperto di Active Directory Siti e servizi
  2. Fai clic destro Default-First-Site-Name, quindi selezionare Rinomina dal menu di scelta rapida.
  3. Procedere per impostare un nome significativo per il sito.

Come creare un nuovo sito oggetto di Active Directory utilizzando Siti e servizi

  1. Aperto di Active Directory Siti e servizi
  2. Fai clic destro sulla Siti, quindi fare clic su Nuovo sito dal menu di scelta rapida.
  3. Il New Object – (sito), appare la finestra di dialogo successiva.
  4. Immettere un nome per il sito nella casella Nome.
  5. Inserire un sito di legame per il sito oggetto nella casella Nome Link.
  6. Fare clic su OK.

Come passare a un server di un nuovo sito di Active Directory utilizzando Siti e servizi

  1. Aperto di Active Directory Siti e servizi
  2. Espandere il nodo Siti nella struttura della console, e fare clic sul sito che contiene il server che si desidera spostare.
  3. Fai clic destro sul server, quindi scegliere Sposta dal menu di scelta rapida.
  4. Quando il server Spostare finestre appare, specificare un nuovo sito per il server.
  5. Fare clic su OK

L’utente di Active Directory e Computer Console

Puoi utilizzare Active Directory Utenti e computer per visualizzare e gestire account utente, gruppi, account computer, unità organizzative, e molti altri oggetti di Active Directory. Attraverso di Active Directory Utenti e computer di console, è possibile visualizzare, creare, impostare le autorizzazioni, modificare, cancellare e spostare gli oggetti memorizzati in Active Directory. Dopo aver creato un controller di dominio, i contenitori che vengono creati per impostazione predefinita sono riassunte qui di seguito. È possibile tuttavia creare ulteriori contenitori.

  • Builtin contenitore: in Windows Server 2003, il contenitore che memorizza i gruppi di Windows Server 2003 creato. Questi gruppi possono essere utilizzati per gestire l’accesso per gli utenti che sono autorizzati a svolgere funzioni specifiche.
  • Contenitore Computer: computer oggetti sono conservati in questo contenitore. Conti che utilizzano applicazioni di accedere a Active Directory vengono memorizzate anche nel contenitore Computer.
  • Domain Controller contenitore: Oggetti che significano i controller di dominio all’interno del dominio sono memorizzate nel controller di dominio contenitore.
  • Utenti contenitore: Gli account utente e gruppi si trovano nel contenitore Utenti.

Quando sono attivate le funzioni avanzate; ulteriori contenitori vengono mostrati insieme al contenitori appena citato:

  • LostAndFound contenitore: Oggetti cui i contenitori sono stati eliminati o spostati in un luogo che non potevano essere trovati, sono memorizzati in questo contenitore.
  • Sistema di contenitori: Questo contenitore memorizza le impostazioni di sistema per i contenitori di Active Directory e oggetti.

Come aggiungere un nuovo account utente di dominio utilizzando Active Directory Utenti e computer

  1. Aperto di Active Directory Utenti e computer.
  2. Fai clic sul dominio, fare clic con il quale la UO di account utente di dominio deve essere conservato, e selezionare Nuovo, quindi l’utente dal menu di scelta rapida.
  3. Quando il New Object-utente visualizzata la finestra di dialogo, immettere le informazioni appropriate nelle seguenti caselle:
    • Nome: Inserire il nome del primo utente.
    • Iniziali: Immettere le iniziali degli utenti
    • Cognome: Inserire il cognome dell ‘utente
    • Nome e Cognome: Questa informazione è automaticamente utilizzando le informazioni immesse nella prima tre caselle. Nome e cognome è il nome che sarà visualizzato nella OU che memorizza l’account utente.
    • Accesso Nome utente: Immettere il nome unico di accesso degli utenti.
    • Nome accesso utente (precedente a Windows 2000): Questa informazione viene automaticamente popolata.
  4. Fare clic su Avanti
  5. Nella seconda New Object-User finestra di dialogo che viene visualizzata, è necessario immettere la password impostazioni per il nuovo account utente di dominio.
    • Password: Inserisci la password che sarà utilizzata per autenticare l’utente.
    • Conferma Password: Re-inserisci la password.
  6. È anche possibile attivare le seguenti caselle di controllo per il nuovo account utente
    • L’utente deve cambiare la password all’accesso successivo: Quando è abilitato, l’utente deve cambiare la password quando egli accede prossimo.
    • Utente Impossibile cambiare la password: Questa opzione è solitamente attivata per l’account Guest.
    • Nessuna scadenza password: Questa opzione è attivata per gli account di Windows utilizzato da programmi o servizi.
    • Account viene disattivato: Se attivato, l’account utente non può più essere utilizzata.
  7. Fare clic su Avanti
  8. Verificare che il nome utente e il nome di accesso dettagli per il nuovo account utente siano corrette.
  9. Fare clic su Fine.

Come modificare un account utente di dominio ‘utilizzando le proprietà di Active Directory Utenti e computer

  1. Aperto di Active Directory Utenti e computer.
  2. Fai clic sul dominio e quindi selezionare l’unità organizzativa che contiene l’account utente di dominio.
  3. Individuare e fare clic con account utente di dominio che si desidera modificare le impostazioni di proprietà, e scegliere Proprietà dal menu di scelta rapida.
  4. Fare clic sulla scheda che contiene le impostazioni che si desidera modificare.
  5. Dopo aver modificato le impostazioni necessarie, fare clic su OK

La Schema di Active Directory snap-in

Lo schema di Active Directory, definisce i tipi di oggetti che possono essere memorizzati nel database. Essa definisce anche gli attributi di tali oggetti. Per visualizzare e modificare lo schema, è necessario utilizzare la Schema di Active Directory snap-in. La Schema di Active Directory snap-in non è visualizzato per impostazione predefinita il menu Strumenti di amministrazione. Per questo motivo, si dovrebbe installare lo snap-in e quindi creare un MMC per come bene.

Come installare la Schema di Active Directory snap-in e per creare un MMC è

  1. Fare clic sul pulsante Start, quindi fare clic su Prompt dei comandi
  2. Inserisci regsvr32 schmmgmt.dll.
  3. Fare clic sul pulsante Start, quindi Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  4. Selezionare Aggiungi / Rimuovi snap-in dal menu File
  5. Aggiungi / Rimuovi snap-in finestra di dialogo viene visualizzato accanto.
  6. Fare clic sulla scheda. Fare clic su Aggiungi
  7. Il Aggiungi snap-in finestra di dialogo in cui si aggiunge di Active Directory snap-in. Fare doppio clic su Schema di Active Directory. Fare clic sul pulsante Chiudi
  8. Fare clic su OK nella Aggiungi / Rimuovi snap-in finestra di dialogo
  9. Fare clic su Salva dal menu File.
  10. Quando la finestra di dialogo Salva con nome viene visualizzato, verificare che la scatola contiene Salva in Strumenti di amministrazione.
  11. Nella casella Nome file, immettere Schema di Active Directory. Fare clic su Salva.
  12. La Schema di Active Directory snap-in ora essere visualizzati sul menu Strumenti di amministrazione.

Come creare un nuovo oggetto utilizzando l’attributo Schema di Active Directory snap-in

  1. Aprire la Schema di Active Directory
  2. Nella struttura della console, fare clic con gli attributi, quindi selezionare Crea attributo dal menu di scelta rapida.
  3. Quando l’attributo Crea nuova finestra di dialogo, nella sezione di identificazione della scatola, è necessario immettere il nome per il nuovo attributo oggetto.
  4. Nel comune casella Nome immettere il nome che verrà utilizzato quando l’attributo appare nelle finestre di dialogo.
  5. Nella casella Nome visualizzato LDAP, immettere il nome per l’oggetto associato con la directory LDAP.
  6. In Unico X.500 Object ID casella, immettere un ID univoco che identifica l’attributo oggetto in X.500 nomi.
  7. Nella casella Descrizione, inserire la descrizione di un oggetto.
  8. Usando la sintassi e la gamma della sezione Crea nuovo attributo finestra di dialogo, specificare il tipo di dati possono essere archiviati in particolare attributo.
  9. Fare clic su OK per creare l’attributo oggetto.

L’Active Directory Strumenti di supporto di Windows

Molti di Active Directory specifici strumenti di supporto si trovano in Strumenti di supporto di Windows toolkit. È possibile utilizzare questi strumenti per configurare, gestire e risolvere i problemi di Active Directory. Strumenti di supporto di Windows può essere trovato sul CD di Windows Server 2003 nella cartella Strumenti. Prima di poter utilizzare questi strumenti, è necessario installarlo dal CD di Windows Server 2003. L’Active Directory specifici strumenti di supporto sono riassunti nella sezione seguente:

  • Acldiag.exe: Usato per determinare se un utente è stato concesso l’accesso o negato l’accesso a un oggetto in Active Directory.
  • Adsiedit.msc: Utilizzato per aggiungere, cancellare e spostare gli oggetti, e di modificare o eliminare gli attributi oggetto.
  • Dcdiag.exe: Usato per determinare lo stato del controller di dominio nella foresta / impresa.
  • Dfsutil.exe: Usato per gestire il Distributed File System (DFS) e per visualizzare le informazioni DFS.
  • Dsacls.exe: Utilizzato per gestire le ACL per oggetti di Active Directory.
  • Dsastat.exe: Per comparare i contesti dei nomi sul controller di dominio.
  • Ldifde: Serve per creare, eliminare e modificare gli oggetti su computer che eseguono Windows XP Professional e Windows Server 2003.
  • Ldp.exe: Utilizzato per effettuare Lightweight Directory Access Protocol (LDAP) funzioni di Active Directory.
  • Movetree.exe: Usato per spostare gli oggetti da un dominio a un altro dominio.
  • Netdom.exe: Può essere usato per gestire i domini e di relazioni di trust.
  • Nltest.exe: Può essere usato per visualizzare le informazioni sul controller di dominio primario, i trust e la replica.
  • Repadmin.exe: Usato per controllare, diagnosticare e gestire i problemi di replica.
  • Replmon.exe: Usato per monitorare e gestire la replica attraverso una interfaccia utente grafica (GUI).
  • Sdcheck.exe: Visualizza il descrittore di protezione per oggetti di Active Directory, e può essere utilizzato per controllare la propagazione ACL, la replica e se le ACL vengono ereditate correttamente.
  • Setspn.exe: Usato per visualizzare, modificare o cancellare i nomi principale del servizio (SPN) directory di proprietà di un servizio per conto di Active Directory.
  • Sidwalker.exe: Usato per configurare le ACL su oggetti che appartenevano a entrambi i conti spostati o cancellati.

Active Directory strumenti da riga di comando

È inoltre possibile utilizzare una serie di strumenti da riga di comando per la gestione di Active Directory. Windows Server 2003 ha introdotto una serie di DS strumenti da riga di comando che può essere utilizzato per amministrare Active Directory. La strumenti da riga di comando disponibili per la gestione di Active Directory funzioni sono riassunte qui di seguito:

  • Cacls: Usato per visualizzare e modificare i permessi utente e di gruppo di risorse. Attraverso cacls, è possibile modificare le liste di controllo di accesso discrezionale (DACL) per i file.

La sintassi per cacls è: cacls nomefile. Gli interruttori per il comando sono:

    • / t, modifica il DACL per i file nella directory e sottodirectory
    • / e, il DACL modifiche.
    • / r nome utente, la revoca dei diritti degli utenti
    • / c, gli errori che si sono verificati quando si cambia il DACL viene ignorato.
    • / g utente: autorizzazione, concede diritti (f – Controllo completo, r – Leggi, w – Scrivere, c – Cambia, n-Nessuno) ad un utente.
    • / P utente: autorizzazione, sostituisce i diritti di un utente.
    • / d nome utente, nega l’accesso ad un particolare utente
  • Cmdkey: Usato per visualizzare, creare, modificare e cancellare i nomi utente, password e credenziali. A pochi passa per il comando sono elencate di seguito:
    • / add: targetname, aggiunge un nome utente / password per l’elenco. Indica il dominio / computer per l’entrata.
    • / user: nome utente, il nome utente che l’entrata è legato al.
    • / generici, aggiunge generico credenziali
    • / smart card, le credenziali sono ottenuti da una smart card
    • / pass: la password, la password deve essere conservato per l’entrata.
  • Csvde: Si tratta di uno strumento utilizzato per l’importazione e l’esportazione dei dati da Active Directory.
  • Dcgpofix: Usato per tornare oggetti Criteri di gruppo per il loro stato originale, che è lo Stato che, quando erano in prima installato.
  • Dsget: Usato per visualizzare le proprietà di un oggetto in Active Directory. I comandi che possono essere utilizzati sono:
    • dsget utente, per visualizzare le proprietà di un utente
    • dsget gruppo, per visualizzare le proprietà di un gruppo
    • dsget computer, per visualizzare le proprietà di un computer
    • dsget sito, per visualizzare le proprietà di un sito
    • dsget sottorete, per visualizzare le proprietà di una sottorete
    • dsget o, per visualizzare una unità organizzativa della proprietà
    • dsget contatto, per visualizzare le proprietà di un contatto
    • dsget server per visualizzare un controller di dominio della proprietà
    • dsget partizione, per visualizzare una directory della partizione di proprietà
    • dsget quota, to view a quota’s properties
  • Dsadd: Used to create objects in Active Directory including users, groups, computers, OUs, contacts and quota specifications. The commands that can be utilized are:
    • dsadd user, used to add a user
    • dsadd group, used to add a group
    • dsadd computer, used to add a computer
    • dsadd ou, used to add an OU.
    • dsadd contact, used to add a contact
    • dsadd quota, used to add a quota specification
  • Dsmod: Used to modify the attributes of an existing object in Active Directory. The commands that can be utilized are:
    • dsmod user, used to modify a user’s attributes
    • dsmod group, used to modify a group’s attributes
    • dsmod computer, used to modify a computer’s properties
    • dsmod ou, used to modify an organizational unit’s attributes
    • dsmod contact, used to modify a contact
    • dsmod server, used to modify a domain controller’s properties
    • dsmod partition, used to modify a directory partition
    • dsmod quota, used to modify a quota’s properties
  • Dsmove: Used to move an Active Directory object to a new container within the domain.
  • Dsrm: Used to remove an Active Directory object or container.
  • Dsquery: Used to locate or find object(s) that match the defined search criteria.
  • Ldifde: Used to create, delete and modify objects from the Active Directory directory, to import or export user/group information, and to extend the Active Directory schema.
  • Ntdsutil: Used to manage domains, information in the Active Directory directory and log files. You can also use Ntdsutil when needing to do an authoritative restore of Active Directory. The tool is also used to manage SIDs and the master operation roles.
  • Whoami: Used to view information on the user that is currently logged on.

Share

Microsoft

Troubleshooting, Disaster Protection & Recovery Active Directory

17 Maggio 2009

Tratto da: http://technet.microsoft.com/it-it/library/cc645506.aspx

Pianificazione delle operazioni di restore del System State in un contesto AD

Il restore del System State in un contesto AD è un’operazione delicata e importante in quanto tutti i DC sono impegnati continuamente a replicare le informazioni inerenti le partizioni tra loro condivise. Tutti i DC potenzialmente possono replicare oggetti delle partizioni Schema e Configuration, mentre solamente i DC appartenenti ad uno stesso dominio possono, e devono, replicarsi le informazioni in esso contenute.

In generale esistono quattro possibilità di restore del System State in un contesto AD:

  • Alternate location o restore in una posizione alternativa.
  • Primary restore o restore primario.
  • Normal restore o restore non-autoritativo.
  • Authoritative restore o restore non-autoritativo.

Nella scelta di una metodologia per il restore occorre tenere in considerazione i seguenti fattori:

  • Il backup del System State effettuato su un DC contiene tutte le informazioni relative alla replica di AD (e.g.: database NTDS.DIT, file di log e SysVol) da esso ospitata (oltre a informazioni sui Registry, file di boot, ecc.). Tutti gli oggetti AD contenuti in un set di backup del System State, sono caratterizzati dal timestamp e dal version number (o Update Sequence Number (USN)) relativi alla data e ora di effettuazione del backup.
  • Una operazione di backup o restore del System State coinvolge complessivamente tutto il blocco di informazioni relativo ad un computer, e non è possibile selezionare solamente alcuni componenti (se non operando un restore in alternate location, come di seguito indicato).
  • Infrastruttura logica AD: quanti altri DC esistono all’interno dello stesso dominio o di altri domini.
  • Infrastruttura fisica AD: quanti altri DC esistono nello stesso site dello stesso dominio o di altri domini.
  • Se alcuni o tutti gli oggetti AD (e.g.: l’intero database AD o solo una OU (con il relativo contenuto) o solamente un utente) ripristinati con il restore del System State devono essere “imposti” agli altri DC oppure se essi saranno soggetti alla replica degli altri DC partner dello stesso dominio o di altri domini della stessa foresta ?
attenzione Restore “FRS-aware” e “non-FRS-aware”

Il restore eseguito su server non DC è sempre di tipo non-FRS-aware, nel senso che il server assume di far parte di un ambiente “non replicato” (tranne che non faccia parte di un set di replica DFS) e che non esistano altre repliche su altri server. Esso pertanto è da considerarsi un restore autoritativo. Viceversa nel caso di un DC il restore è inteso sempre di tipo FRS-aware, nel senso che il DC assume di default di trovarsi in un ambiente “replicato” nel quale possono esistere altri DC ciascuno dotato di una propria replica. In tal caso il restore è di default non-autoritativo (i.e. il flag When restoring replicated data sets, mark the restored data as the primary data for all replicas non è inserito).

attenzione Restore “FRS-aware” e “non-FRS-aware”

Il restore eseguito su server non DC è sempre di tipo non-FRS-aware, nel senso che il server assume di far parte di un ambiente “non replicato” (tranne che non faccia parte di un set di replica DFS) e che non esistano altre repliche su altri server. Esso pertanto è da considerarsi un restore autoritativo. Viceversa nel caso di un DC il restore è inteso sempre di tipo FRS-aware, nel senso che il DC assume di default di trovarsi in un ambiente “replicato” nel quale possono esistere altri DC ciascuno dotato di una propria replica. In tal caso il restore è di default non-autoritativo (i.e. il flag When restoring replicated data sets, mark the restored data as the primary data for all replicas non è inserito).

attenzione Attenzione !

  1. Quando si effettua il restore del System State senza specificare l’opzione “Alternate Location”, vengono sovrascritte tutte le informazioni inerenti il set di informazioni del System State sul computer sul quale avviene l’operazione di restore (compreso i registry).

Il restore del System State su un DC richiede il riavvio del computer in modalità DSRM.

Restore del System State in una posizione alternativa

Il restore in “Alternate location” del System State si effettua selezionando l’opzione “Restore file to: Alternate Location” nella scheda “Restore and Manage Media”, come indicato in figura 4. Nel caso di un domain controller Win2K3 le componenti ripristinate nella directory indicata come locazione alternativa (e.g.: C:\NtdsRestore) sono i seguenti:

  • Active Directory
  • Boot Files.
  • COM+ Class Registration Database
  • Registry.
  • SysVol.

Questo tipo di restore viene effettuato nei casi in cui è necessario recuperare, su un computer diverso da quello sul quale è stato generato il System State, solamente alcune parti (e.g.: singole GPO o parte dei registry) senza rischiare di sovrascrivere completamente i dati del System State del computer sul quale si opera, oppure in preparazione della promozione di un domain controller addizionale (i.e.: additional domain controller) in un dominio tramite il comando DCPROMO /ADV (i.e.: modalità Installa From Media (IFM)).

image 4

Figure 4: Restore del System State in una posizione alternativa (Alternate Location)

Restore primario

Il restore primario viene effettuato nel caso in cui un server o DC è l’unico all’interno di un set di replica (FRS, SysVol) oppure se intenzionalmente si vuole forzare il contenuto a tutti gli altri server dello stesso set di replica. Viene utilizzato solamente in caso di ricostruzione di una infrastruttura AD o FRS (e.g.: DFS) nella quale tutti i DC di uno stesso dominio hanno avuto dei problemi e devono essere reinstallati. Un’altra “situazione problematica” nella quale è richiesto di effettuare un restore primario è quella citata nei due seguenti articoli: Microsoft Knowledge Base 290762 “FRS: Using the BurFlags Registry Key to Reinitialize File Replication Service Replica Sets”e 292438 “Troubleshooting journal_wrap errors on Sysvol and DFS replica sets”.

Per effettuare un restore primario è necessario seguire la seguente procedura:

  • Avviare l’utility NTBACKUP.
  • Selezionare la scheda Restore and Manage Media e selezionare i file da ripristinare (e.g.: System State).
  • Cliccare sul bottone Start Restore.
  • Cliccare sul bottone Advanced e selezionare la voce “When restoring replicated data sets, mark the restored data as the primary data for all replicas”.

image 5

Figure 5: Restore Primario
attenzione Attenzione !

Eseguire un restore primario solamente in caso di “disastro” e quando nessun altro membro dello stesso set di replica (o domain controller di dominio) è stato precedentemente ripristinato.

Restore normale o non-autoritativo

Il restore normale o non-autoritativo (modalità di default) del System State di un DC viene effettuato per ripristinare un DC nello stato corrispondente alla “fotografia” del suo System State, rispetto alla data e ora della sua esecuzione. Ciò vuol dire che tutti gli oggetti AD verranno ripristinati dal set di backup nel loro stato originale. Successivamente, al primo evento di replica del DC con gli eventuali partner di replica, gli oggetti e/o attributi, che nel frattempo sono stati modificati o aggiunti nelle repliche AD degli altri DC partner, verranno sovrascritti o aggiunti alla copia del database precedentemente ripristinato.

Per effettuare un restore non-autoritativo è necessario seguire la seguente procedura:

  • Riavviare il DC in modalità provvisoria e selezionare la voce “Directory Service Restore Mode (DSRM)”.
  • Eseguire il logon con l’account administrator e la password della “SAM Off-Line
  • Avviare l’utility NTBACKUP.
  • Selezionare la scheda Restore and Manage Media e selezionare il set di backup del System State da ripristinare.
  • Cliccare sul bottone Start Restore.
attenzione Attenzione !

Non modificare l’opzione “Restore files to: Original Location.

  • Confermare cliccando sul bottone OK all’interno della finestra del messaggio di sovrascrittura del System State corrente riportato in figura 6.

image 6

Figure 6: Avviso che il restore del System State sovrascriverà l’attuale System State presente sul computer
  • Confermare cliccando sul bottone OK all’interno della finestra Confirm Restore.
  • Verificare che il restore sia andato a buon fine e cliccare sul bottone Close all’interno della finestra Restore Progress.
  • Riavviare il DC (questa volta in modalità normale) cliccando sul bottone Yes all’interno della finestra Backup Utility indicata in figura 7.

image 7

Figure 7: Riavviare il DC per completare il restore non-autoritativo

Successivamente alla esecuzione di un restore non-autoritativo, al riavvio del DC, vengono effettuate le seguenti verifiche:

  • Controllo di consistenza del database.
  • Ricostruzione indici.
  • Allinenamento con lo stato del SDS AD (database AD e SysVol) corrispondente agli altri DC partner di replica.

Il restore non-autoritativo può essere utile in uno dei seguenti casi:

  • Il DC danneggiato (e.g.: corruzione del database o guasto al computer) è l’unico di un dominio/foresta: in tal caso non esiste la possibilità di replicare con nessun altro DC e quindi il System State ripristinato sarà definitivo (i.e.: in tal caso è come se fosse autoritativo).
  • Il DC danneggiato (e.g.: corruzione del database o guasto al computer) non è l’unico di un dominio/foresta: in tal caso il System State ripristinato sarà in parte (i.e.: relativamente a tutti gli oggetti modificati e/o aggiunti successivamente alla data e ora di esecuzione del backup del System State) sovrascritti dagli altri DC partner di replica.
attenzione Restore non-autoritativo in un contesto Win2K

Il restore non-autoritativo era molto utilizzato in ambiente AD Win2K in caso di reinstallazione di DC (conseguente a crash) in sedi remote ed in presenza di linee di collegamento non molto performanti. In queste condizioni per evitare la replicazione dell’intero database AD e della SysVol attraverso la rete geografica (WAN) a partire da un DC di un altro site (e.g.: sede centrale) si potevano adottare due metodi:

  • Effettuare la reinstallazione del nuovo DC direttamente in sede come un qualsiasi DC del site centrale. Successivamente, dopo aver modificato opportunamente i parametri relativi alla configurazione TCP/IP e spostato l’oggetto server dal site centrale al site della sede remota di appartenenza, rispedire il DC.
  • Effettuare un restore non-autoritativo su un nuovo server nel seguente modo:
    • Reinstallazione del computer con la stessa configurazione del precedente (i.e.: nome computer, coordinate IP,controller dischi, partizioni (tipo di file system e dimensione almeno uguale a quella del precedente sistema), ecc.).
    • Senza rieseguire la DCPROMO effettuare il restore non-autoritativo a partire da un backup valido del System State dello stesso DC.

In ambiente Win2K3 la stessa procedura presenta qualche problema per la risoluzione dei quali è necessario installare il SP1. Esiste comunque la possibilità, nel caso il DC da ripristinare non sia il primo e unico all’interno di un dominio AD Win2K3, di sfruttare la nuova opzione /ADV dell’utility DCPROMO per eseguire la promozione a DC a partire da una restore (eseguita in modalità alternate location) del System State di un altro DC (Install From Media (IFM)).

Restore-autoritativo

Il restore autoritativo di un DC viene effettuato nel caso in cui è necessario “riesumare” degli oggetti erroneamente cancellati a partire da un backup del System State avendo la garanzia che essi vengano considerati “come se fossero stati appena ricreati” ed essere forzatamente replicati verso gli altri DC replication partner.

Il restore autoritativo può essere eseguito di un singolo oggetto, di un contenitore (e.g.: una OU con il relativo contenuto) o dell’intero database AD. In quest’ultimo caso occorre prestare attenzione ai potenziali problemi che si possono determinare relativamente alla gestione delle password dei computer e delle trust tra eventuali altri domini Win2K/2K3 o WinNT. Infatti di default queste password vengono automaticamente ri-negoziate con una certa cadenza (i.e.: per i computer account ogni 5 gg) ed effettuando un restore autoritativo di tutto il contesto di dominio si rischia di ripristinarle ad un valore non più congruente con lo stato attuale. Pertanto, in caso di restore autoritativo dell’intero database AD o di porzioni del naming context (i.e.: partizione) relativo al dominio che include oggetti interessati alle suddette password è necessario procedere con il reset dei computer account e/o la ricreazione delle trust manualmente o attraverso l’utility NETDOM contenuta nei Support Tools di Win2K3.

Per effettuare un restore autoritativo è necessario seguire la seguente procedura:

  • Effettuare un restore non-autoritativo senza riavviare il DC.
  • Aprire una sessione Command Prompt ed eseguire il comando NTDSUTIL.
  • Al prompt di NTDSUTIL, inserire i seguenti comandi:
    • Inserire il comando Authoritative restore (o semplicemente le iniziali a r).
      • Dal prompt “Authoritative restore” inserire i seguenti comandi per marcare autoritativo l’oggetto AD da “riesumare”:restore subtree <DN-Oggetto>alla comparsa della finestra di dialogo mostrata in figura 8, confermare cliccando sul bottone Yes.

image 7

Figure 8: Restore autoritativo del System State
– Esempio 1: restore di un oggetto utente

authoritative restore: restore subtree “CN=Leone Randazzo,OU=sistemisti, DC=learning-solutions,DC=local”

Opening DIT database… Done.

The current time is 02-22-05 12:35.10.

Most recent database update occured at 02-22-05 11:08.46.

Increasing attribute version numbers by 100000.

Counting records that need updating…

Records found: 0000000001

Done.

Found 1 records to update.

Updating records…

Records remaining: 0000000000

Done.

Successfully updated 1 records.

Authoritative Restore completed successfully.

– Esempio 2: restore di una OU (e del relativo contenuto)

authoritative restore: restore subtree “OU=servers,dc= DC=learning-solutions,DC=local”

Opening DIT database… Done.

The current time is 02-22-05 12:43.59.

Most recent database update occured at 02-22-05 12:35.10.

Increasing attribute version numbers by 100000.

Counting records that need updating…

Records found: 0000000003

Done.

Found 3 records to update.

Updating records…

Records remaining: 0000000000

Done.

Successfully updated 3 records.

Authoritative Restore completed successfully.

– Esempio 3: restore dell’intero database AD (da eseguire solo in casi eccezionali e con molta cautela):

restore database

  • Ripetere l’operazione di restore subtree per tutti gli oggetti da ripristinare.
  • Inserire il comando quit per uscire dal contesto Authoritative restore.
  • Inserire il comando quit per uscire da NTDSUTIL.
  • Riavviare in modalità normale il DC.

L’effetto del comando di restore autoritativo (come si può notare dagli esempi precedenti) è di rimarcare l’oggetto indicato con un timestamp aggiornato ed avanzare il contatore USN (Update Sequence Number) ad un valore che risulti sicuramente superiore a quello di qualsiasi altro oggetto all’interno dell’infrastruttura AD (di solito viene sommato 100.000 moltiplicato per il numero dei giorni intercorsi dal backup del System State).

Al riavvio del DC in modalità normale e successivamente alla replica con eventuali altri DC partner di replica, si verifica un “authoritative merge”, nel senso che tutti gli oggetti ripristinati autoritativamente (i.e.: quelli precedentemente cancellati o modificati) verranno replicati agli altri DC, mentre eventuali nuovi oggetti creati o modificati successivamente al backup del System State ripristinato verranno replicati dagli altri DC al DC “ripristinato autoritativamente”.

E’ da notare che esistono alcune parti di AD che non possono essere ripristinate autoritativamente, tra questi:

  • Gli oggetti della partizione Schema AD non possono essere ripristinati autoritativamente.
  • Gli oggetti della partizione Configuration devono essere trattati con molta cautela in quanto il loro impattto è esteso a tutta la foresta. In ogni caso per alcuni tipi di oggetti (e.g.: connection object per la replica tra DC) non ha senso ripristinarli in quanto essi vengono ricreati automaticamente dal Knowledge Consistency Checker (KCC) come indicato nel capitolo 10 “La struttura fisica AD”.
  • Oggetti che interessano il servizio FRS solitamente contenuti in CN=File Replication Service,CN=System,DC=<DN-Dominio> e CN=NTFRS Subscriptions,CN=<Domain Controller> non devono essere ripristinati per non causare effetti collaterali con la replica gestita dal servizio FRS.
  • Gli oggetti che interessano il ruolo FSMO RID Master (e.g.: l’oggetto “RID Set” del DC RID Master e l’oggetto “RID Manager$” del contenitore System) non devono essere ripristinati per non causare effetti collaterali con la gestione dei SID degli oggetti Security Principal.
  • In ogni caso è consigliato ripristinare solo parti limitati di un qualsiasi Naming Context o Partizione.
Share

Microsoft

Backup e ripristino di Active Directory

17 Maggio 2009

Panoramica su backup e ripristino di Active Directory

Per garantire la disponibilità delle applicazioni mission critical delle risorse di rete e gli oggetti, e la continuità del business, è necessario per eseguire back up di Active Directory, se è in esecuzione nel vostro ambiente. Ciò è dovuto al fatto di Active Directory normalmente ospita i dati mission-critical, e le risorse. I backup sono tipicamente preformata per una serie di motivi, tra cui i seguenti:

  • Proteggete il vostro ambiente di rete della cancellazione accidentale di, o la modifica dei dati, e da errori di hardware: Avere un punto facilmente accessibile il backup di Active Directory potrebbe assicurare che si può recuperare qualsiasi importanti oggetti di Active Directory che sono stati eliminati per errore. Backups rivelarsi prezioso anche quando gli utenti non autorizzati intenzionalmente o cancellare o modificare i dati. Il backup sarebbe consentono di ripristinare i dati al suo stato precedente di integrità. Perché alcuni guasti hardware come hard disk danneggiati possono causare una notevole perdita di dati, il backup dei vostri dati per garantire che l’attività possa continuare a svolgere le sue funzioni mission critical quando un tale evento si verifica.
  • Conservare i dati mission-critical: Si consiglia di consultare regolarmente il backup dei dati mission-critical in modo che qualsiasi versione precedente di informazioni può essere letta, se necessario, a un certo momento nel futuro.

Perché Active Directory è in funzione il Registro, è necessario eseguire il backup dei file all’interno della directory di sistema. Questi file sono chiamati file di sistema. Sistema di dati dello stato fondamentalmente contiene le principali informazioni di configurazione in Windows 2000 e Windows Server 2003. Quali informazioni effettive è inclusa nel sistema di dati è stato determinato dal sistema operativo (OS) di configurazione. Stato del sistema in genere comprende le seguenti importanti dati, file e componenti:

  • Il Registro di sistema di Windows
  • Il contenuto della directory SYSVOL
  • I file che sono protetti dalla Protezione file di sistema di Windows
  • Di avvio e file di sistema: Ntdetect.com, Ntldr e Bootsect.dat.
  • La classe COM + Registrazione dati
  • Il database di Active Directory (Ntds.dit), compresi tutti i file di log e controllo dei file
  • Servizio cluster file
  • Certificato di servizio file
  • L’Internet Information Server (IIS) metabase

È possibile utilizzare uno dei metodi elencati di seguito per eseguire il backup di Active Directory.

  • È possibile eseguire il backup dei dati dello stato del sistema solo
  • È possibile eseguire il backup di Active Directory come parte di un backup completo del sistema
  • È possibile eseguire il backup di Active Directory come parte di un sistema di backup parziale

La migliore opzione per utilizzare quando si specificano quali dati o componenti dovrebbe essere sostenuta in Active Directory di backup, è quello di specificare un backup dei dati dello stato del sistema. Ciò garantisce che tutti i principali file di sistema sono il backup. Quando un backup completo del sistema viene eseguito, i dati dello stato del sistema viene automaticamente incluso nel processo di backup. Quando si effettua un parziale di backup, è possibile specificare che i dati dello stato del sistema dovrebbe essere incluso. Specificando manualmente i singoli file e componenti per un backup di Active Directory può essere un processo estremamente complesso. Oltre a dover essere in grado di identificare e specificare tutti i più importanti file di sistema e componenti, è necessario essere in grado di specificare quali altri importanti dati di Active Directory e dei componenti devono essere sostenute, come ad esempio la topologia di replica, le informazioni e dei Criteri di gruppo.

È possibile eseguire il backup di Active Directory utilizzando il Windows Server 2003 utilità Backup, o da linea di comando, utilizzando la Ntdsutil utilità della riga di comando. Windows Server 2003 utilità Backup include la funzione di utilizzare la copia shadow del volume per eseguire il backup di file aperti. Con le versioni precedenti di Windows, uno strumento di backup di terze parti dovevano essere utilizzati per eseguire il backup di file aperti. Il servizio Copia Shadow del volume crea una copia di sola lettura di qualsiasi file aperti. Ciò, a sua volta garantisce che questi file possono continuare ad essere letta.

In Windows 2000 Active Directory, è possibile eseguire solo uno dei seguenti metodi di ripristino:

  • Ripristino autorevole
  • Non autorevole

Quando si tratta di ripristino di Windows Server 2003 Active Directory, è possibile utilizzare uno dei seguenti metodi di ripristino:

  • Ripristino normale: In Windows 2000, questa è stata la sua non-metodo di ripristino autorevole. Un normale ripristinare le funzioni più o meno la stessa cosa di un ripristino non autorevole. Con un normale ripristino, l’utilità Backup viene eseguito sul computer, mentre in modalità ripristino servizi directory. Dopo che il controller di dominio viene riavviato, la replica si verifica con normale partner di replica.

Un normale ripristino è di solito effettuata in presenza delle seguenti condizioni:

    • Un dominio è più controller di dominio, e un solo controller di dominio è operativo. È possibile utilizzare un normale ripristino per ripristinare tutti gli altri controller di dominio nel dominio.
    • Un dominio è un unico controller di dominio, e che il controller di dominio deve essere restaurato. È anche possibile scegliere di eseguire una alternativa primario il ripristino di Active Directory.
  • Ripristino autorevole: un ripristino autorevole di Active Directory deve essere effettuata nei casi in cui un normale ripristino non sarebbe in grado di tornare di Active Directory per il corretto stato. Ad esempio, se una unità organizzativa è stata eliminata per errore, ripristinare una normale sarebbe solo il risultato in particolare l’UO di essere eliminato ancora una volta, dopo la replica. Questo è essenzialmente dovuto al partner di replica con un più elevato numero di versione per la particolare unità organizzativa. Un ripristino autorevole è un processo simile a quello di un normale ripristino, la differenza è che, dopo i dati del sistema viene ripristinato, è possibile definire alcuni oggetti di Active Directory come autorevole. Quando gli oggetti di Active Directory vengono definiti come autorevoli, i particolari degli oggetti sono i più alti numeri di versione. Ciò si traduce in questi oggetti replicati ad altri controller di dominio della copia del database di Active Directory.
  • Ripristino primario: Il principale metodo di ripristino viene utilizzato quando ciascun controller di dominio in un dominio che ospita più controller di dominio, ha bisogno di essere restaurato. Ciò significa che l’intero dominio deve essere ricostruita da Active Directory di backup. Questo metodo può anche essere utilizzato per ripristinare Active Directory per un dominio che ha un solo controller di dominio. Il principale metodo di ripristino è stato selezionato in Windows Server 2003 utilità Backup da consentire solo il principale metodo di controllo di ripristino. Ciò elimina le complessità associate precedente con le procedure di questo tipo di ripristino in Windows 2000. Il principale processo di ripristino è anche molto simile a quella effettuata per un normale ripristino di Active Directory.

Come eseguire il backup di Active Directory utilizzando il Windows Server 2003 Backup Utility

  1. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup. È inoltre possibile l’accesso di Windows Server 2003 utilità Backup facendo clic su Start, Esegui, ntbackup entrare nella finestra di dialogo Esegui, quindi fare clic su OK.
  2. Sulla pagina iniziale del Backup o Ripristino guidato, fare clic su Avanti.
  3. Assicurarsi che l’opzione predefinita, il backup dei file e le impostazioni, è stato selezionato sulla pagina di backup o di ripristino. Fare clic su Avanti.
  4. Sulla Cosa Back Up pagina, è possibile scegliere tra le seguenti opzioni:
    • Tutte le informazioni su questo computer
    • Permettetemi di scegliere ciò che per il backup
  5. Dopo aver selezionato l’opzione fare clic su Avanti.
  6. Se il Permettetemi di scegliere ciò che l’opzione per il backup è stato precedentemente selezionato; sul oggetti Backup pagina, scegliere il file, dati o componenti che dovrebbero essere inclusi nel backup di Active Directory. Fare clic su Avanti.
  7. Nella pagina seguente, in Scegliere un posto per salvare il backup nella casella di riepilogo, immettere il percorso che il backup deve essere salvato.
  8. Fornire un nome per il file di backup nel Digitare un nome per il backup e quindi fare clic su Avanti.
  9. Fare clic su Fine per avviare immediatamente il backup di Active Directory. Questo viene eseguito il backup utilizzando le opzioni di default le impostazioni avanzate, e di solito è optato per quando si esegue un backup completo del sistema. Se si desidera configurare le impostazioni avanzate di opzione, fare clic su Avanzate, e non Fine.
  10. Quando il tipo di backup viene visualizzata la pagina, selezionare il tipo di backup che deve essere eseguita. È possibile selezionare una delle seguenti opzioni da selezionare il tipo di backup nella casella di riepilogo.
    • Normale: Tutti i file specificati e componenti sono il backup. L’attributo di archivio è tuttavia azzerato.
    • Copia: Tutti i file specificati e componenti sono il backup. L’attributo di archivio non è stato ripristinato.
    • Incrementale: Questo tipo di backup riferimenti l’attributo di archivio, di isolare quei file che sono cambiati dal momento in cui l’ultimo è stato eseguito il backup, e poi solo il backup dei file modificati. L’attributo di archivio viene quindi eliminato per consentire il successivo processo di backup per determinare solo i file che sono stati modificati da questa corrente di backup, per il prossimo. Solo questi file sono quindi il backup nella seguente processo di backup.
    • Differenziale: Un backup differenziale anche solo il backup dei file che sono cambiati rispetto al precedente backup. La differenza tra questo tipo di backup e il tipo di backup incrementale, è che un backup differenziale non chiara l’attributo di archivio.
    • Giornaliero: The Daily riferimenti tipo di backup dei file ‘ora, e poi esegue il backup dei file che sono stati creati o modificati in particolare giorno.
  11. Controllare il backup migrato di archiviazione remota dei dati di controllo se si desidera punti di essere inclusi nel backup. Fare clic su Avanti.
  12. Sulla pagina Come Backup, è possibile scegliere tra le seguenti opzioni:
  • Verificare i dati dopo il backup: Selezionare questa opzione se si sta eseguendo il backup dei dati mission-critical.
  • Utilizza la compressione hardware, se disponibile: questa opzione deve essere attivata se è disponibile. L’opzione è disponibile solo quando l’utilità Backup riconosce un supporto di memorizzazione che supporta la compressione hardware.
  • Disattiva Copia Shadow del volume: Questa opzione viene automaticamente attivata.
  1. Fare clic su Avanti.
  2. Sulla pagina di opzioni di backup, è possibile selezionare una delle seguenti opzioni:
    • Aggiungi questo backup ai backup esistenti: Il backup verrà aggiunto a un backup esistenti.
    • Sostituisci i backup esistenti: Il backup sovrascrivere un backup esistenti.
  1. Fare clic su Avanti.
  2. Sulla Quando Backup pagina, è possibile selezionare una delle seguenti opzioni:
    • Ora: Il risultato è il backup di iniziare immediatamente.
    • Più tardi: questa opzione consente di specificare quando il backup deve essere eseguito.
  3. Se si è selezionato l’opzione Successivamente, immettere un nome per il backup nella casella Nome di lavoro. Si noterà che le impostazioni nella casella Data inizio riflettere la data e l’ora. Per modificare questa impostazione, fare clic su Imposta pianificazione.
  4. Quando la finestra di dialogo Programma di lavoro si apre, nella casella di riepilogo Pianifica attività della scheda Pianificazione, scegliere una delle seguenti opzioni per specificare quando il backup deve essere eseguito:
    • Giornaliera, settimanale, mensile, una volta, all’avvio del sistema, Al di accesso, e quando Idle

È possibile fare clic sul pulsante Avanzate per definire le date di inizio e fine, e per configurare la frequenza con cui il backup deve essere eseguito.

  1. Fare clic sulla scheda Impostazioni della finestra di dialogo Programma di Lavoro. È possibile configurare le opzioni di pianificazione elencati qui di seguito, da questa scheda.
    • Eliminare il compito, se non è programmato per eseguire di nuovo il particolare compito sarà rimosso dal operazioni pianificate oggetti se non è impostato per eseguire di nuovo.
    • Fermare il compito se si trova per; è possibile impostare il tempo (ore / minuti /) consentito per il backup da eseguire. L’impostazione predefinita è di 72 ore.
    • Solo avviare il compito se il computer è rimasto inattivo per, è possibile impostare la quantità di tempo di inattività del computer devono trascorrere, prima che il backup può essere avviato.
    • Se il computer non è rimasto inattivo a lungo, fino a tentare, questa impostazione è associata con la precedente opzione. È possibile impostare la frequenza con cui i computer devono essere continuamente controllati per determinare se la quantità sufficiente di tempo di inattività trascorso.
    • Fermare il compito se il computer cessa di essere inattivo, quando attivato, il processo di backup si arresta se un utente accede al computer.
    • Non avviare il compito se il computer è in esecuzione su batterie, se selezionata, il processo di backup non si avvia quando il computer è in esecuzione su batterie
    • Fermare il compito se batteria inizia, se selezionata, il processo di backup si arresta quando il computer passa alla modalità batteria.
    • Riattivare il computer per eseguire questo compito, se selezionata, il computer viene svegliato da una modalità di risparmio energetico per il backup di cominciare.
  2. Fare clic su OK nella finestra di dialogo Programma di Lavoro. Fare clic su Avanti.
  3. Quando la finestra di dialogo Imposta Account si apre, nella casella Esegui come, immettere i dettagli di un account che dispone di diritti sufficienti per eseguire l’operazione di backup. Inserisci la password per l’account e la password Conferma Password box.
  4. Fare clic su OK. Fare clic su Avanti.
  5. La procedura guidata visualizza prossimo informazioni sintetiche sulle impostazioni che avete specificato per il backup. Modifica le informazioni
  6. Fare clic su Fine.

Come eseguire il backup di Active Directory utilizzando la riga di comando

È possibile eseguire un backup di Active Directory dalla riga di comando utilizzando il Ntbackup utilità della riga di comando. Questa opzione è disponibile come alternativa di utilizzare l’utilità Backup.

Per utilizzare il Ntbackup utilità della riga di comando per eseguire un backup,

  1. Fare clic sul pulsante Start, Esegui e digitare cmd nella finestra di dialogo Esegui. Fare clic su OK.
  2. È possibile utilizzare il seguente comando e le opzioni per eseguire il backup dei dati dello stato del sistema:
    • ntbackup backup systemstate /J ‘Backup Job’ /F ‘C:\backupfile.bkf’
      • ntbackup Ntbackup indica la riga di comando di utilità di backup
      • backup precisa che una copia di backup deve essere eseguito
      • systemstate data di sistema specifica che i dati dovrebbero essere sostenuta
      • J definisce il nome del processo di backup
      • F definisce il nome del file di backup

Come eseguire un normale ripristino di Active Directory

  1. Riavviare il computer
  2. Durante l’avvio, premere F8 quando richiesto, quindi selezionare Modalità di ripristino servizi directory (Windows paesi in via di sviluppo solo) dal menu Opzioni avanzate di Windows. Premere Invio.
  3. Scegliere il sistema operativo che dovrebbe essere avviato. Premere Invio.
  4. Quando la modalità prompt di accesso viene visualizzata, immettere le informazioni di account di amministratore locale, quindi fare clic su OK.
  5. Fare clic su OK quando viene visualizzato un messaggio, di consulenza che Windows è in esecuzione in modalità provvisoria.
  6. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup.
  7. Sulla pagina iniziale del Backup o Ripristino guidato, fare clic su Avanti.
  8. Assicurarsi che il ripristino di file e impostazioni di opzione è selezionata sulla pagina di backup o di ripristino. Fare clic su Avanti.
  9. Sulla Cosa Ripristina pagina, scegli il backup che si desidera utilizzare per il processo di ripristino. Fare clic su Avanti.
  10. Fare clic su Fine per iniziare immediatamente un normale ripristino di Active Directory. Se si desidera configurare le impostazioni avanzate di opzione, fare clic su Avanzate, e non il pulsante Fine.
  11. Dove Quando la pagina viene visualizzata ripristino, scegliere una delle seguenti opzioni di ripristino di file nella casella di riepilogo:
    • Posizione originale, questa impostazione di default ripristina i file alla loro posizione originale.
    • Alternativo, se selezionati, è possibile specificare un percorso diverso per i file che devono essere ripristinati.
    • Singola cartella, questa opzione ripristina i file in una singola directory.
  12. Fare clic su Avanti.
  13. Fare clic su OK se viene visualizzato un messaggio, l’avvertimento che il ripristino di uno stato del sistema dati sovrascrive i dati dello stato del sistema esistente.
  14. Quando il ripristino Come apre la pagina, scegliere tra le seguenti opzioni:
    • Lasciare i file esistenti (scelta consigliata), selezionare questa opzione se non si desidera che il ripristino di sovrascrivere eventuali file esistenti.
    • Sostituire i file esistenti se sono di età superiore i file di backup, se selezionati, di età superiore ai file di backup dei file vengono sostituiti.
    • Sostituire i file esistenti; questa opzione sostituisce tutti i file esistenti con i file di backup.
  15. Fare clic su Avanti.
  16. Quando la pagina Opzioni avanzate di ripristino viene visualizzato, è possibile selezionare le seguenti opzioni:
    • Ripristinare la sicurezza settin gs; è abilitato di default. Se si disattiva questa opzione, tutti i file saranno ripristinati senza autorizzazioni.
    • Ripristino punti di congiunzione, ma non le cartelle e file di dati di riferimento, quando selezionata, il processo di ripristino è in grado di restituire informazioni su unità montate.
    • Mantieni attuali punti di montaggio del volume, quando selezionato, il montaggio sono protette esistenti sul volume.
    • Ripristinare il Registro cluster al disco quorum e su tutti gli altri nodi; se applicabile per questo controller di dominio, il quorum di cluster di database viene ripristinato.
    • Quando si ripristina replicato insiemi di dati, il marchio di dati ripristinati come i dati primari per tutte le repliche, questa opzione deve essere attivata se si sta eseguendo un Primary ripristino di Active Directory.
  17. Fare clic su Avanti.
  18. Fare clic su Fine per avviare il normale ripristino di Active Directory.

Come eseguire un ripristino autorevole di Active Directory

  1. Eseguire un normale ripristino di Active Directory.
  2. Quando viene chiesto di riavviare il server, fare clic su No e quindi chiudere l’utilità Backup di Windows.
  3. Fare clic sul pulsante Start, Esegui e digitare cmd nella finestra di dialogo Esegui. Fare clic su OK.
  4. Per aprire la Ntdsutil utilità della riga di comando, digitare ntdsutil.
  5. Inserisci il authoritative restore
  6. Per specificare di Active Directory, o dei componenti di Active Directory come autorevole, utilizzare uno dei seguenti metodi:
    • Enter restore database questo definisce il dominio e per tutti i contenitori di configurazione come autorevole.
    • Enter restore subtree insieme con il nome distinto di Active Directory oggetto che desideri segnalare come autorevole.
    • È possibile utilizzare l’opzione verinc con uno dei comandi di cui sopra, esplicitamente impostare il numero di versione. L’opzione è utile quando una diversa ripristino autorevole deve essere eseguito su un ripristino autorevole.
  7. Quando il ripristino autorevole conferma visualizzata la finestra di dialogo, chiedendo se il ripristino autorevole deve essere eseguito, fare clic su Sì.
  8. Inserisci quit entrare e quit di nuovo per chiudere la Ntdsutil utilità della riga di comando.
  9. Procedere al reboot del server.

Come eseguire un ripristino primario di Active Directory

  1. Riavviare il controller di dominio.
  2. Durante l’avvio, premere F8 quando richiesto, quindi selezionare Modalità di ripristino servizi directory (Windows paesi in via di sviluppo solo) dal menu Opzioni avanzate di Windows. Premere Invio.
  3. Scegliere il sistema operativo che dovrebbe essere avviato. Premere Invio.
  4. Quando la modalità prompt di accesso viene visualizzata, immettere le informazioni di account di amministratore locale, quindi fare clic su OK.
  5. Fare clic su OK quando viene visualizzato un messaggio, di consulenza che Windows è in esecuzione in modalità provvisoria.
  6. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup.
  7. Sulla pagina iniziale del Backup o Ripristino guidato, fare clic su Avanti.
  8. Assicurarsi che il ripristino di file e impostazioni di opzione è selezionata sulla pagina di backup o di ripristino. Fare clic su Avanti.
  9. Sulla Cosa Ripristina pagina, scegli il backup che si desidera utilizzare per il processo di ripristino primario. Fare clic su Avanti.
  10. Fare clic sul pulsante Avanzate.
  11. Sulla Dove Ripristina pagina, lasciare l’impostazione predefinita di originale, invariata, quindi fare clic su Avanti
  12. Sulla Come Ripristinare pagina, scegliere l’opzione di sostituire i file esistenti. Fare clic su Avanti.
  13. Quando le opzioni di ripristino avanzate pagina, attivare il ripristino Quando replicato insiemi di dati, il marchio di dati ripristinati come i dati primari per tutte le repliche di controllo. Puoi lasciare tutte le altre impostazioni di default sulla pagina Opzioni avanzate di ripristino invariato.
  14. Fare clic su Avanti.
  15. Fare clic su Fine per avviare il ripristino primario di Active Directory.
  16. Riavviare il server.
Share

Microsoft

Windows 2008 e la cartella winsxs

15 Maggio 2009

Molti utenti di Windows Vista o Windows Server 2008 si chiedono ”perché la cartella WinSxS é così grossa e cresce sempre?!
La risposta dipende dalla componentizzazione, una peculiarietà introdotta con Windows Vista e versioni successive.

Da Vista in poi si passa da un sistema operativo i cui elementi erano descritti tramite file INF ai componenti. Questo passaggio ricorda la conversione che si ebbe tra i file .INI ed il registry.

Un componente in Windows è costituito da uno o più binari, un file catalogo, e un file XML che dice tutto su come i file devono essere installati, dalle chiavi del registry interessate ai servizi ai permessi di sicurezza che i file devono avere.  I componenti sono raggruppati in unità logiche, e queste unità sono usate per costruire le diverse edizioni di Windows.

 

Tutti i componenti del S.O. sono nella cartella WinSxS – infatti detta magazzino dei componenti.  Ogni componente ha nome unico che include la versione, la lingua, e l’architettura di processore per cui è costruito.  La cartella WinSxS è l’unico posto dove si trovano i componenti nel sistema, tutte le altre istanze dei file che si vedono nel sistema sono “proiettate” tramite collegamento dal component store.  Quindi c’è una sola copia di ogni file del S.O., e questa copia è nella cartella WinSxS. Quindi la cartella WinSxS è in realtà l’intero S.O.

Questo metodo operativo è il motivo per cui non si viene più richiesti di inserire dischi durante operazioni come il System File Check (SFC), o installando caratteristiche addizionali.

Questo spiega perché la cartella è grossa, ma non perchè cresce nel tempo: la risposta è il servicing (i cosiddetti Service Pack).   Nelle precedenti versioni l’unità atomica dei SP erano i file, da Vista sono i componenti.  Quando si aggiorna un file binario si aggiorna l’intero componente, e la nuova versione viene memorizzata INSIEME alla vecchia nel component store.  La versione più recente è proiettata nel sistema ma la vecchia è ancora lì, e da questo la crescita della cartella.

Non tutti i componenti nel component store devono essere proiettati nel sistema.  Ad es., dove IIS è presente ma non installato, i componenti relativi sono nel component store, ma non proiettati sul sistema.  C’è in breve una versione differente del componente per ogni livello di Service Pack e tutte queste diverse versioni sono nella cartella WinSxS, anche se non sono immediatamente applicabile.  Ad es., un singolo package GDR di un SP che aggiorna un componente, può finire per installarne quattro versioni in WinSxS – il doppio su un sistema a 64 bit in alcuni casi.

Ci si chiederà perché le versioni vecchie dei componenti non vengono rimosse: la risposta è la affidabilità, in quanto il component store, con le altre informazioni sul sistema, consente in un certo istante di determinare quale sia la più appropriata versione di un componente da proiettare nel sistema. Ciò consente di disinstallare aggiornamenti di sicurezza senza avere problemi con l’ordine di disinstallazione, ad esempio. Se inoltre si decide di installare componenti opzionali, si possono proiettare le versioni dei componenti più opportune basandosi sulle relazioni tra i componenti basandosi su quelle disponibili e sulle informazioni sulle interrelazioni tra i componenti, avendo la possibilità di reagire alle mutate necessità del sistema in modi che non erano precedentemente possibili.

L’unico modo di ridurre la dimensione della cartella WinSxS è disinstallare i package che hanno installato i componenti in prima battuta.  Ciò si può fare usando un eseguibile chiamato VSP1CLN.EXE, contenuto nel Service Pack 1, uno strumento che consente di rendere permanenti i Service Pack (non rimovibili) nel sistema,  e di rimuovere tutti i componenti di versione superata.  Ciò è possibile perché se i S.P. sono permanenti le versioni RTM precedenti certo non servono più. Questa è la sintassi supportata:

VSP1CLN.exe [/h] | [/o: percorso ai file di windows] [/quiet]

/? o /h: mostra la lista dei comandi di Vsp1cln.
/o:[percorso ai file di windows]: cartella contenente il S.P. di Windows Vista di cui rimuovere i file RTM.
/quiet: esecuzione senza alcun feedback.
/verbose: mostra dettagli ulteriori durante l’esecuzione del comando.

Quindi sì, WinSXS è una cartella molto ingombrante e destinata a crescere sempre più all’invecchiare del S.O.: contenti di saperlo ?

Si noti che la struttura e le funzioni dei service pack e del component store potranno variare nel tempo.

Leggere anche questo documento:

http://technet.microsoft.com/en-us/library/cc709655.aspx

Share

Microsoft

Rimuovere da Active Directory un Domain Controller Off-Line

2 Maggio 2009

Puo’ capitare  che in un dominio Active Directory un Domain Controller vada in crash, e per un qualsiasi motivo si decida di non reintegrarlo o sostituirlo con un altro.

A questo punto si pone il problema di rimuovere il DC da AD, senza pero’ poter richiamare dcpromo ed effettuare il declassamento direttamente dal Domain Controller interessato (si presume che non si avvii).

A questa problematica si puo’ ovviare rimuovendo da AD i meta-data del Domain Controller ‘morto’.

La procedura e’ la seguente:

• Autenticarsi con un account avente diritti Enterprise Admins.
• Aprire una sessione Command Prompt ed eseguire il comando NTDSUTIL.
• Al prompt di NTDSUTIL, inserire il comando Metadata cleanup (o le iniziali m c).
• Dal prompt “Metadata cleanup” inserire il comando “connections”.
• Dal prompt “Connections” inserire il comando “connect to server <nomeDC>” (e.g.: connect to server ls-mi-dc-01).
• Digitare quit per uscire dal contesto “Connections”.
• Dal prompt “Metadata cleanup” inserire il comando “Select operation target”.
• Dal prompt “Select operation target” inserire il comando “List domains”.
• Identificare il numero del dominio di cui faceva parte il DC da rimuovere ed inserire il comando: select domain <NumeroDominio> (e.g.: select domain 0).
• Dal prompt “Select operation target” inserire il comando “List sites”.
• Identificare il numero del site di cui faceva parte il DC da rimuovere ed inserire il comando: select site <NumeroSite> (e.g.: select site 0).
• Dal prompt “Select operation target” inserire il comando “List servers in site”.
• Identificare il numero del server/DC da rimuovere ed inserire il comando: select server <NumeroServer> (e.g.: select server 1).
• Uscire dal contesto “Select operation target” inserendo il comando quit.
• Dal prompt “Metadata cleanup” inserire il comando “Remove selected server” e confermare l’operazione cliccando sul bottone Yes all’interno della finestra “Server Remove Confirmation Dialog”.
• Uscire dal contesto “Metadata cleanup” inserendo il comando quit.
• Digitare quit per uscire dal comando NTDSUTIL.
• Mediante lo snap-in ADSI Edit rimuovere tutte le entry relative al DC in questione dai seguenti container (corrispondenti al dominio ed al site di appartenenza del DC che sono stati utilizzati nella procedura NTDSUTIL)
OU=Domain Controllers,<DominioCheContenevaDC>.
CN=Servers,CN=<SiteCheContenevaDC>,CN=Sites,CN=Configuration,<DN-ForestRootDomain>
• Mediante lo snap-in DNS eliminare da tutte le zone (compreso la zona _msdcs.<FQDN-Dominio>) gli eventuali resource record DNS SRV, A e PTR riferiti al DC eliminato da AD.

Share

Microsoft

Estensione della partizione di sistema windows

26 Aprile 2009

tratto da:

http://blogs.technet.com/itasupport/default.aspx

Estensione della partizione di sistema di Windows Server 2003

Durante la fase di installazione di un nuova macchina, si devono fare scelte ben precise sul dimensionamento della partizione di sistema. Può capitare che a posteriori, per ragioni che non erano state prese in considerazione, si debbano rivalutare queste scelte.

Il caso più comune è quello in cui si vuole ripartizionare il disco fisso, aggiungendo o modificando le partizioni esistenti. Nei nuovi sistemi operativi, Windows Server 2008 a Vista sono presenti due comodi comandi nella console di gestione dei dischi:

  • Shrink
  • Extend

Il primo comando viene utilizzato per restringere una partizione esistente, liberando spazio che può essere riassegnato ad altre partizioni.

Il secondo comando, invece è utilizzato per ingrandire una partizione. Un requisito necessario per eseguire il comando di estensione è la disponibilità di spazio contiguo non allocato, in coda alla partizione. Per fare un esempio pratico:

DiskExample_thumb3

Nei nuovi sistemi operativi questi comandi sono utilizzabili su tutte le partizioni esistenti, senza limitazioni di sorta. Gli stessi comandi sono disponibili dalla console tramite il comando diskpart.

Il comando di estensione è presente anche su Windows Server 2003 SP2, ma non può essere utilizzato sulla partizione di sistema. Per ovvi motivi questa partizione, in cui è installato il sistema operativo, non può essere soggetta a questo tipo di operazioni.  Esiste però un work-around per aggirare questa limitazione.

Il meccanismo è semplice, basta procurasi il CD di installazione di Vista o Windows Server 2008, e procedere con una finta installazione. Il programma di installazione di questi nuovi sistemi operativi, contiene la nuova versione del tool di partizionamento, che incorpora il comando di estensione.

Durante questa fase d’installazione, il sistema operativo presente sul disco non è attivo, quindi la partizione di sistema è accessibile e modificabile.

Vediamo in dettaglio come procedere:

  • Boot della macchina con il CD di installazione
  • Premere un tasto per Iniziare l’installazione
  • Inserire il codice della licenza a scegliere l’installazione “custom”
  • Quando viene mostrata la schermata che permette di scegliere la partizione su cui installare il sistema operativo, scegliere le opzioni avanzate. A questo punto comparirà il pulsante che permetterà di effettuare l’operazione di estensione.

clip_image003_thumb5

clip_image005_thumb3

  • Una volta terminato il nuovo layout del disco potete abbandonare l’installazione.

Al successivo riavvio della macchina, il disco avrà il nuovo layout senza  nessun tipo di danno alle componenti del sistema operativo.

L’operazione di shrink al contrario non è stata inserita nel programma di installazione.

Share

Microsoft

Windows Server 2008 Security Guide

26 Aprile 2009

Ho trovato una bellissima guida che posto per chi si accinge ad integrare windows 2008 in azienda.

La prima guida di cui voglio parlarvi è la Windows Server 2008 Security Guide.

Le
raccomandazioni presenti nella Windows Server 2008 Security Guide
nascono dall’esperienza sul campo (maturata nei progetti di adozione
anticipata del prodotto) di esperti di sicurezza, partner, clienti e
governi di tutto il mondo.

La guida consente di scegliere tra due configurazioni di base predefinite:

  • Enterprise Client: è la configurazione più indicata per la maggior parte delle aziende e fornisce un bilanciamento tra usabilità e sicurezza
  • Specialized Security – limited functionality: come dice esplicitamente il nome, questa configurazione predilige la sicurezza a scapito della usabilità

Entrambe le configurazioni possono essere facilmente personalizzazte per adattarsi alle vostre esigenze.
La documentazione in allegato è un “must to read” per chiunque.

Share

Microsoft

Integrazione Active Directory – Linux

26 Aprile 2009

Un ottimo documento  ( in italiano) scritto da sull’integrazione tra infrastrutture AD e mondo Linux.

leggete qui :

Share

Microsoft