[[Administrace systémů Windows|Zpátky na hlavní stránku]]
====Autoritativni, nonautoritativni obnova. Rozdily.====
* Neautoritativni restore je obnova z media a nasledna replikace z DC v AD. Obnovena data jsou tedy pokladana za zastarala a pripadne pozdejsi updaty se pri replikaci dostanou na obnovovany system.
* Autoritativni restore je chapan jako jediny spravny. Obnovena data z media se propaguji na vsechny ostatni DC a pripadne updaty jsou prepsany zalohovanymi daty.
====Co to je Multimaster replication.====
* Multimaster replikace znamena, ze objekty jsou distribuovany pres celou sit DC. Kopie se tak neporizuji pouze z jednoho serveru na ostatni, ale jakmile danou kopii ma i jiny server, tak se z nej dela kopie dal. KCC se stara o to, aby sit byla vytizena rovnomerne (load-balancing) a aby se ke vsem DC dostaly vsechny replikovane objekty v poradku.
====Jaka je funkce global catalogu?====
*udrzuje partial read-only replica kazdej domeny (presnejsie jej domain partition) v lese
*umoznuje bezne vyhladavanie v lese bez toho aby bolo treba kontaktovat DC kazdej domeny zvlast
*[http://technet2.microsoft.com/WindowsServer/en/Library/c7ea7ed1-4241-4794-9ce8-471da6a3a7271033.mspx?mfr=true Domain Controller Roles]
*[http://technet2.microsoft.com/WindowsServer/en/Library/440e44ab-ea05-4bd8-a68c-12cf8fb1af501033.mspx?mfr=true How the Global Catalog Works]
====Jaky je hlavni duvod ke vzniku Organizational Unit?====
*jemnejsie rozdelenie pravomoci v ramci domeny
*delegation of authority - umoznuje udelit pravomoci lokalne pre OU -> ti co to nepotrebuju nemusia dostat take pravomoci pre celu domenu
*je to element, na ktory mozno aplikovat group policy
====Které partition MUSÍ být přítomné na DC?====
*'''Schema'''
*'''Configuration'''
*'''Domain'''
*Application
====Kolik subnetu musi mit site?====
*Aspon 1. Pochopitelne, nemusi mat ziadnu, ale to potom nema velky prakticky vyznam, pretoze taky site by neobsahoval ziadne workstations.
====Do kolika sites muze patrit subnet?====
*Do 1.
====Jaky protokol se da uzit pro replikaci na nespolehlive siti?====
*'''IP''' - nepriamo - pouziva ho totiz SMTP
*DHCP
*'''SMTP'''
*RPC
====Which of the following nodes contains the registry-based Group Policy settings?====
*Software Settings
*Windows Settings
*'''[http://technet2.microsoft.com/windowsserver/en/library/773af912-b7bd-4211-bac5-7ea1869e2dc71033.mspx Administrative Templates]'''
*Security Settings
'''[[wen:Group Policy#Overview|Group Policies use Administrative Templates (ADM/ADMX) files to describe where registry-based policy settings are stored in the registry.]]'''
====Co je a k cemu je Folder redirection?====
*[http://technet2.microsoft.com/WindowsServer/f/?en/Library/d0c2fb86-84b6-4815-8482-c20a3fcca9711033.mspx Folder Redirection]
*aby sa dokumenty uzivatelov ukladali na vhodnom mieste (napr. v zalohovanom adresari; na sieti aby boli pristupne odvsadial)
*presměrovat je možné Application Data, My Documents, Desktop a Start Menu
====[http://support.microsoft.com/kb/322692 Windows Server 2003 domain functional levels]====
DFL aktivuji ficurky v ramci domeny.
*Windows 2000 mixed domain functional level (NT4, W2k, W2k3):
**odpoveda Windows 2000 Mixed mode
**je default ako pri instalacii novej AD domeny, tak pri upgradovani "2000 mixed" AD domeny, tak pri upgradovani NT4 domeny
**nevie multimaster replication (jen pro NT4 legacy zarizeni??) ani "universal groups" ani SID histories
*Windows 2000 native domain functional level (W2k, W2k3):
**odpoveda Windows 2000 Native mode
**vie universal groups, multimaster replication, SID histories
*Windows Server 2003 interim domain functional level (NT4, W2k3):
**specialny level na migraciu od NT domen na 2003 domeny (multi-master replikace vypnute)
*Windows Server 2003 domain functional level (W2k3):
**umoznuje jednoduche premenovanie domen
====[http://support.microsoft.com/kb/322692 Windows Server 2003 forest functional levels]====
FFL aktivuji ficury pro vsechny domeny v lese.
*Windows 2000 forest functional level (NT4, W2k, W2k3)
*Windows Server 2003 interim forest functional level (NT4, W2k3)
**specialny level na migraciu od NT domen na 2003 domeny
*Windows Server 2003 forest functional level (W2k3)
**nejake vylepsenia ako
*** tranzitivne forest trusts
*** lepsi inter-site routing, podporuje az 5000 sites vo foreste
*** zlepsenie chovania DC s GC pri zmene struktury GC
**ak na vsetkych DCs vo vsetkych domenach bezi Server 2003 (a ak su vsetky domeny aspon na Windows 2000 native level), tak je mozne povysit forest functional level na Server 2003
====Kam se replikuje Configuration partition:====
*vybrané DC v doméně/lese
*'''všechny DC v lese'''
*všechny DC v doméně
*lze určit libovolně
====Co se neukládá při backupu:====
*registry
*sysvol
*boot
*com+ db
*'''ukládá se vše'''
====Restore do jineho adresare neobnovi:====
*boot files
*sysvol
*'''com+ db'''
*'''certificate services'''
====Jakou roli by neměl mít DC s GC?====
*role ve smyslu FSMO (Flexible Single Master Operations)
*Infrastructure FSMO nesmie byt na DC, ktory zaroven sluzi ako global catalog (GC), az na pripady, ked kazdy DC sluzi ako global catalog. Trebas v pripade, ked je len jediny DC a vsetky role su na nom.
*Role Infrastructure Master (IM) by mela byt na DC, ktery neni GC. Pokud by IM byl na GC, pak by neobnovoval informace o objektech, protoze by nemel zadne reference k objektum, ktere sam nedrzi. To je zpusobeno tim, ze GC drzi castecne repliky vsech objektu v lese. Dusledkem toho by cross-domain reference na objekty nebyly updatovany a upozorneni by se objevilo v event logu. Pokud vsechny DC jsou zaroven GC, pak vsechny DC maji aktualni data a neni dulezite, kdo je IM.
====Jaké protokoly se používají při intersite replikaci?====
*'''IP''' - nepriamo, pouziva ho SMTP a RPC over IP
*'''SMTP'''
*DHCP
*'''RPC'''
Poznamka: Nektere prameny spatne prekladaji "RPC over IP or SMTP" jako "RPC over (IP or SMTP)" namisto "(RPC over IP) or SMTP".
====Kam se replikuje Application partition?====
*replikovatelná na libovolnou (vybranou) množinu DC v lese
*objekty se nereplikují na GC
====Co je to KCC?====
* Knowledge consistency checker - proces který ve W2K+ běží na DC a zajišťuje multi-master replikaci - sleduje změny, sám se stará o navázání spojení s jinými DC, o optimalizaci spojení atd. Pro inter-site links určuje bridgehead server, pokud není nastavený preferovaný (nebo více preferovaných).
====Kdy není potřeba vytvářet site-link bridge?====
* pokud mám (default) nastavené bridge all (tranzitivita inter-site links)
====Jaka má být cena LAN při ceně dial-upu 200?====
*1
*'''100 (protože je levnější než dial-up a ceny se mají rozprostřít po celém spektru)'''
*200
*300
====Jaké protokoly můžou být použity pro intra-site replikaci?====
*'''IP'''
*SMTP
*'''RPC'''
*DHCP
(při intra-site se vždy používá Directory Service - RPC bežící nad IP)
====Kam se replikuje Domain Partition?====
* na všechny DC ve svojí doméně
====Na ktere objekty lze aplikovat GPO?====
*'''site'''
*pocitac '''(lok. GPO?)'''
*uzivatel
*'''OU'''
*'''domena'''
====Ktere polozky se nezalohuji?====
*sysvol
*'''%systemroot%\config'''
*boot files
*vsechny se zalohuji
Moznost '''%systemroot%\config''' je dvojity chytak :), tzn. kdo jej odhali, tak odpovi spatne, pokud samozrejme neodhali chytak v chytaku ... Zalohuji se totiz registry, jejich hlavni hives se nachazi v %systemroot%\system32\config. Takze opravdu %systemroot%\config se nezalohuje, ale pozor, neplest s %systemroot%\system32\config (%systemroot% je jen windows directory).
====Vysvětlete zkratky:====
*IP - Internet Protocol
*DHCP - Dynamic Host Configuration Protocol
*DC - Domain Controller
*AD - Active Directory
*GPO - Group Policy Object
*RPC - Remote Procedure Call
*SNTP - [http://technet2.microsoft.com/windowsserver/en/library/0dcdbdc2-363e-4cd3-bba7-7853499f46e21033.mspx Simple Network Time Protocol]
*SMTP - Simple Mail Transfer Protocol
*NTFS - NT File System
*MFT - Master File Table
*COM+ - Component Object Model + :-)
*FSMO - Flexible Single Master Operations
*NNTP - Network News Transfer Protocol
*RIP - Routing Information Protocol
*NTLM - NT LAN Manager (nevím to úplně jistě, kdyžtak to opravte někdo)
*RDP - Remote Desktop Protocol
====Co obsahuje Basic disk ?====
* logical / extended partitions (max. 128)
* pro Windows 2003 Server - 2 druhy: MBR (max. 4 primary / nebo 3 + 1 extended) a GPT (max. 128 primary, extended nejsou)
* [http://technet2.microsoft.com/windowsserver/en/library/d790171f-2df0-46c9-a5e4-7d542bbaf8db1033.mspx o basic disku]
====Co jsou to GPT disky ?====
* Disky s novou strukturou (oproti MBR), podporovane 64-bit. verzemi Windows 2003 Server. Mohou mít až 128 partitions, typ partition je identifikován pomocí GUID. Obs. taky "Legacy MBR" proti prepsani starsimi utilitami.
====Co obsahuje MFT záznam ?====
* jméno, security descriptor, atributy (rezidentní) - může obs. i data souboru, je-li dost malý
* pro velké soubory - info o umístění - base file record & runs, mapování Virtual Cluster Number -> Logical Cluster Number
====Co nepatri mezi NTFS metadata?====
Takze, co tam patri (castecne ze slidu):
* prvnich 16 zaznamu MFT
* definice struktury filesystemu
* 0 - Master File Table (MFT) - $Mft - Base file record pro kazdy soubor volume
* 1 - Master File Table 2 - $MftMirr - Kopie prvnich 4 zaznamu - tak je to na slidech, zatimco [http://www.pcguide.com/ref/hdd/file/ntfs/archFiles-c.html jiny zdroj] uvadi, ze je zde kopie prvnich 16 zaznamu a ze tato kopie je na konci partition. [http://en.wikipedia.org/wiki/NTFS#Metafiles Wikipedie] uvádí: Většinou první 4 záznamy.
* 2 - Log File - $LogFile - transakcni historie
* 3 - Volume Descriptor - $Volume - volume data (volume aka svazek) - verze, jmeno, cas vytvoreni, ...
* 4 - Attribute Definition Table - $AttrDef - attribute name, number, description - tj. popis atributu, jejich vyznam, nikoliv atributy samotne
* 5 - Root file name index - $. - root directory - ukazatel na korenovy adresar
* 6 - Cluster Allocation Bitmap - $Bitmap - Clusters-in-use - ktere clustery jsou obsazene a ktere volne
* 7 - Partition boot sector (Volume Boot Code) - $Boot - bootstrap na bootovatelnem volume
* 8 - Bad cluster file - $BadClus - mapa vadnych clusteru
* 9 - Security file - $Secure - jednoznacne security descriptory pro vsechny soubory
* 10 - Upcase table - $Upcase - prevod lowercase na uppercase Unicode
* 11 - NTFS extension file - $Extend - rozsireni, napr. reparse points, quotas, ...
* 12-15 - Reserved for future use
Nepatri tam doplnek :).
lehce jinak je to na [http://www.pcguide.com/ref/hdd/file/ntfs/archFiles-c.html pcguide]
====Na ktere objekty lze aplikovat "disk quotas"?====
* Disk quotas lze aplikovat
** per-volume
** per-user
** per-group
** no a diky moznosti Mounted volume (proste do adresare namapujete volume), tak castecne jdou aplikovat i na folders - per-folder
====Predkonfigurovane vyjimky Windows Firewall====
Ze slidu:
* File and Printer sharing (porty 139/TCP, 445/TCP, 137/UDP, 138/UDP)
* Remote Desktop (3389/TCP)
* UPnP Framework (2869/TCP, 1900/UDP)
* Remote Administration (potrebuje vic sluzeb a portu, jako napr: 135/TCP, 445/TCP)
====Jake zaznamy jsou pro AD ulozeny v DNS a jake podstromy obsahuje.====
* AD je SRV aware, tzn pouziva [http://en.wikipedia.org/wiki/SRV_record SRV records], format tedy "_Service._Proto.Name TTL Class SRV Priority Weight Port Target", ve slidech pouze ve tvaru "_ldap._tcp SRV 0 100 389 dc1.company.com" (chybi Name, TTL, Class)
* Obsahuje podstromy:
** DomainDnsZones
** ForestDnsZones
** _msdcs
** _tcp
** _sites
** _udp
====Ake atributy obsahuje kazdy COM objekt====
Ze slidu:
* Name - relativni jmeno objektu
* ADsPath - jednoznacna cesta
* GUID - Globally Unique Identifier (128-bit)
* Class
* Schema - ADsPath to the object class
* Parent - ADsPath to parent object
====Co obsahuje Windows Server 2003 system state====
Ze slidu:
* registry
* COM+ Class Registration database
* system boot files
* files under Windows File Protection
* Certificate Services database
* u DC pak jeste
** Active Directory
** Sysvol directory
====FSMO - vyjmenovat, okomentovat====
*Schema Master
**tato role je obsazena 1x v lese
**provádí updaty a modifikace AD Schematu
**dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen při změně schematu
*Domain Naming Master
**tato role je obsazena 1x v lese
**řídí přidávání a odebírání domén v lese
**dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen při přidání nebo odebrání domény z lesa
*RID Master
**tato role je obsazena 1x v doméně
**řídí přidělování relativních identifikátorů jednotlivým DC v doméně
**dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen za situace, kdy přidává objekty a DC došly relativní ID
*PDC Emulator
**tato role je obsazena 1x v doméně
**před dávnými časy, kdy vévodil Win2000, existovalo cosi jako dělení Domain Controllerů na Primary Domain Controler (PDC) a Backup Domain Controler (BDC)
**tento emulátor se chová přesně jako W2k PDC...
**dočasný výpadek serveru s touto rolí je viditelný pro uživatele i administrátora
*Infrastructure Master
**tato role je obsazena 1x v doméně, NESMÍ BÝT NA GLOBAL CATAKOGu
**provádí update referencí "user"~"group"
**stara se cross-domain reference, tj. kdyz z jedne domeny si nekdo vyzada objekt, ktery patri do jine domeny
**dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen pokud přenášel velké množství kont
vzato [http://joshis.iprofil.cz/resources/education/adm_win.html odtud]
lepsi zdroj - [http://support.microsoft.com/kb/197132 Microsofti KB]
====Jak zabranit pouziti(aplikaci) GPO na Group?====
*"filtering GPO scope with security groups" - tj. nastavit přístupová práva v ACL jen některým security groups (viz [http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/distrib/dsec_pol_ohbz.mspx tady])
* FIXME - lepe a cesky vysvetlit o co jde
====Rozdiel medzi Global a Connection-specific vyjimkou vo Windows Firewall====
ze slidu<br />
connection-specific vyjimky:<br />
*se scitaji s globalnimi
*neumoznuji rusit vyjimky vytvorene globalne
*neumoznuji definovat scopes
*neberou ohled na profil WF(win firewallu)
*a hlavne, pokud se tomu da aspon trochu vyhnout, nepouzivaji se:)
====Scopes vo Windows Firewall====
*umoznuji u kazde vyjimky nastavit zdroj, pro ktery bude tato vyjimka aplikovana, dobrym nastavenim se da rozumne snizit riziko utoku pres otevrene porty, spatnym se da otevrit sit kazdemu kdo se tam pokusi dostat:)
*moznosti nastaveni:
**any computer - vyjimku bude moct vyuzit kazdy, vcetne pristupu z internetu
**my network (subnet) only - vyjimku budou moct vyuzit pouze pocitace ve stejne siti(subnetu) jako jsem ja(tedy, ty ke kterym mam prime spojeni, zde muze nastat problem, protoze pri nekterem nastaveni site muzou byt primo dosazitelne treba i vsechny pocitace v internetu)
**custom list - zadam seznam adres ktere budou mit moznost vyjimku vyuzit, nejbezpecnejsi, v pripade velkeho rozsahu ruznych adres se blbe nastavuje
====Které z následujících vlastností OU jsou spávně?====
Vlastnosti OU:
* typ kontejneru, může obsahovat uživatele, groups, printers, dokonce dalsi OU
* může obsahovat informace jen z domény kam patří, z jiné ne
* nejmenší jednotka AD, na kterou lze aplikovat Group Policy, Permissions and Tasks
* umožňuje „delegation of authority“
* child OU dědí nastavení parent OU defaultně
* vytváří se zpravidla pokud stačí omezená administrativní kontrola nad čásí podniku
====Administrative templates:====
* k nastavení user environment
* umožňuje zablokovat uživateli možnost změny nastavení počítače (control panels, explorer), definovat „standardní“ plochu a star menu
* uloženo v registreach, Computer configuration – HKLM a User configuration – HKCU. Pokud v obojím, Computer configuration vyhrává
====Jaký použít restore při poruše HW serveru?====
- non-authoritative – pokud mám další DC, tak by nebylo dobře, kdybych jim vnutil stará data
====V jakém pořadí se aplikují GPO?====
- Local, Site, Domain, OU
====Proč site?====
* pro každou LAN nebo skupinu LAN spojených vysokorychlostní sítí
* pro každé místo, které nemá přímé spojení se zbytkem sítě, ale je dosažitelné SMTP
* pro sítě propojené nerovnoměrně využívaným spojením
====Kam všude se replikuje Schema partition?====
* všechny DC v doméně
* vybrané DC v doméně
* vybrané DC v lese
* '''všechny DC v lese'''
====Kolik je Schema masterů?====
* '''1 v lese'''
* 1 v každé doméně
* 1 v každém stromě
* 1 v každé skupině (?)
====Co vše se dá nastavit v "Configuration Manager/Management"? (nebo tak něco)====
* '''Software'''
* '''Preferences'''
* '''Documents and data'''
====Do čeho všeho může patřit doména?====
1. varianta
* '''site'''
* skupina
* OU
* '''strom'''
2. varianta
* '''site'''
* '''les'''
* skupina
* '''strom'''
====Kam všude se replikuje domain partition?====
* V rámci stejné domény
====GPT - struktura====
* [http://cs.wikipedia.org/wiki/Soubor:GUID_Partition_Table_Scheme.svg Obrázek struktury z Wikipedie]
====Jaka práva má administrátor domény?====
* omezená práva v doméně
* neomezená práva v doméně
* omezená práva v poddoménách
* neomezená práva v poddoménách
Podle třetích slajdů by to mělo být, že neomezená práva v doméně.
====Organizační jednotka====
* nemůže obsahovat svého administrátora
* patří do AD namespace
* ?
* '''je to kontejner LDAP'''
====Může být DNS v AD?====
* '''ano, je to lepší než jiný způsob (Který? Proč? - DNS využije multi-master replikaci a zabezpečení AD)'''
* '''ano'''
* ano, není to vhodné, proč?
* ne
====GPO může být vztaženo k====
* '''skupině''' - pomocí ACL
* '''všem počítačům počítačům''' - aplikací na všechny počítače v doméně
* '''uživateli''' - pomocí ACL
* '''jen některým serverům/DC''' - aplikací na OU, která obsahuje tyto servery
====Jaký je rozdíl mezi lokálními GPO a ostatními?====
* Lokální se aplikují i když není počítač připojen do domény, doménové jen, pokud je počítač připojen do domény.
* Lokální se spravují přímo na daném počítači, doménové se spravují na DC.
* Lokální se nikam nereplikují, doménové se replikují mezi DC odkud si je ostatní počítače stahují.
====Jaké protokoly se používají pro name resolution v sítích Windows?====
* KZR/PZR
* DLC
* '''NetBIOS'''
* ještě něco divnýho
====V rámci čeho musí být název skupiny (group name) unikátní?====
* '''domain'''
* '''OU'''
* něco
* něco
Poznámka: Doména implikuje OU.
===Jaké nástroje se používají pro deployment Windows?===
* RDP
* NTLM
* něco
* '''SysPrep'''
Poznámka: Ještě je možné přidat do odpovědí [http://en.wikipedia.org/wiki/Microsoft_Deployment_Toolkit Microsoft Deployment Toolkit] (MDT) v rámci testové politiky "když ti něco v odpovědích chybí, tak si to tam dopiš".
