Zpátky na hlavní stránku

Autoritativní, nonautoritativní obnova. Rozdíly.

  • Neautoritativní restore je obnova z média a následná replikace z DC v AD. Obnovená data jsou tedy pokládána za zastaralá a případné pozdější updaty se při replikaci dostanou na obnovovaný systém.

  • Autoritativní restore je chápán jako jediný správný. Obnovená data z média se propagují na všechny ostatní DC a případné updaty jsou přepsány zálohovanými daty.

Co to je Multimaster replication.

  • Multimaster replikace znamená, že objekty jsou distribuovány přes celou síť DC. Kopie se tak nepořizují pouze z jednoho serveru na ostatní, ale jakmile danou kopii má i jiný server, tak se z něj dělá kopie dál. KCC se stará o to, aby síť byla vytížena rovnoměrně (load-balancing) a aby se ke všem DC dostaly všechny replikované objekty v pořádku.

Jaká je funkce global catalogu?

*udržuje partial read-only replica každé domény (přesněji její domain partition) v lese *umožňuje běžné vyhledávání v lese bez toho aby bylo třeba kontaktovat DC každé domény zvlášť

*Domain Controller Roles *How the Global Catalog Works

*The role of the global catalog

Jaký je hlavní důvod ke vzniku Organizational Unit?

*jemnější rozdělení pravomocí v rámci domény

*delegation of authority - umožňuje udělit pravomoci lokálně pro OU -> ti co to nepotřebují nemusí dostat také pravomoci pro celou doménu *je to element, na který je možné aplikovat group policy

Které partition MUSÍ být přítomné na DC?

*Schema *Configuration

*Domain *Application

Kolik subnetů musí mít site?

*Aspoň 1. Pochopitelně, nemusí mít žádný, ale to potom nemá velký praktický význam, protože taková site by neobsahovala žádné workstations.

Do kolika sites může patřit subnet?

*Do 1.

Jaký protokol se dá použít pro replikaci na nespolehlivé síti?

*IP - nepřímo - používá ho totiž SMTP

*DHCP *SMTP

*RPC

Which of the following nodes contains the registry-based Group Policy settings?

*Software Settings

*Windows Settings *Administrative Templates

*Security Settings

wen:Group%20Policy%23Overview

Co je a k čemu je Folder redirection?

*Folder Redirection

*aby se dokumenty uživatelů ukládaly na vhodném místě (např. v zálohovaném adresáři; na síti aby byly přístupné odevšud) *přesměrovat je možné Application Data, My Documents, Desktop a Start Menu

[http://support.microsoft.com/kb/322692 Windows Server 2003 domain functional levels]

DFL aktivují featurky v rámci domény.

*Windows 2000 mixed domain functional level (NT4, W2k, W2k3):

**odpovídá Windows 2000 Mixed mode **je default nejen při instalaci nové AD domény, ale také při upgradování "2000 mixed" AD domény a při upgradování NT4 domény

**neumí multimaster replication (jen pro NT4 legacy zařízení??) ani "universal groups" ani SID histories

*Windows 2000 native domain functional level (W2k, W2k3): **odpovídá Windows 2000 Native mode

**umí universal groups, multimaster replication, SID histories

*Windows Server 2003 interim domain functional level (NT4, W2k3): **speciální level na migraci z NT domén na 2003 domény (multi-master replikace vypnuté)

*Windows Server 2003 domain functional level (W2k3):

**umožňuje jednoduché přeměňování domén

[http://support.microsoft.com/kb/322692 Windows Server 2003 forest functional levels]

FFL aktivuji featury pro všechny domény v lese.

*Windows 2000 forest functional level (NT4, W2k, W2k3)

*Windows Server 2003 interim forest functional level (NT4, W2k3) **speciální level na migraci z NT domén na 2003 domény

*Windows Server 2003 forest functional level (W2k3)

**nějaká vylepšení jako

  • tranzitivní forest trusts

  • lepší inter-site routing, podporuje až 5000 sites ve forestu

  • zlepšení chování DC s GC při změně struktury GC

**pokud na všech DCs ve všech doménách běží Server 2003 (a jsou všechny domény aspoň na Windows 2000 native level), tak je možné povýšit forest functional level na Server 2003

Kam se replikuje Configuration partition:

*vybrané DC v doméně/lese

*všechny DC v lese *všechny DC v doméně

*lze určit libovolně

Co se neukládá při backupu:

*registry *sysvol

*boot *com+ db

*ukládá se vše

Restore do jiného adresáře neobnoví:

*boot files *sysvol

*com+ db *certificate services

Jakou roli by neměl mít DC s GC?

*role ve smyslu FSMO (Flexible Single Master Operations)

*Infrastructure FSMO nesmí být na DC, který zároveň slouží jako global catalog (GC), až na případy, kdy každý DC slouží jako global catalog. Třeba v případě, kdy je jen jediný DC a všechny role jsou na něm.

*Role Infrastructure Master (IM) by měla být na DC, který není GC. Pokud by IM byl na GC, pak by neobnovoval informace o objektech, protože by neměl žádné reference k objektům, které sám nedrží. To je způsobeno tím, ze GC drží částečné repliky všech objektů v lese. Důsledkem toho by cross-domain reference na objekty nebyly updatovány a upozornění by se objevilo v event logu. Pokud všechny DC jsou zároveň GC, pak všechny DC mají aktuální data a není důležité, kdo je IM.

Jaké protokoly se používají při intersite replikaci?

*IP - nepřímo, používá ho SMTP a RPC over IP

*SMTP *DHCP

*RPC

Poznámka: Některé prameny špatně překládají "RPC over IP or SMTP" jako "RPC over (IP or SMTP)" namísto "(RPC over IP) or SMTP".

Kam se replikuje Application partition?

*replikovatelná na libovolnou (vybranou) množinu DC v lese

*objekty se nereplikují na GC

Co je to KCC?

  • Knowledge consistency checker - proces který ve W2K+ běží na DC a zajišťuje multi-master replikaci - sleduje změny, sám se stará o navázání spojení s jinými DC, o optimalizaci spojení atd. Pro inter-site links určuje bridgehead server, pokud není nastavený preferovaný (nebo více preferovaných).

  • pokud mám (default) nastavené bridge all (tranzitivita inter-site links)

Jaka má být cena LAN při ceně dial-upu 200?

*1

*100 (protože je levnější než dial-up a ceny se mají rozprostřít po celém spektru) *200

*300

Jaké protokoly můžou být použity pro intra-site replikaci?

*IP *SMTP

*RPC *DHCP

(při intra-site se vždy používá Directory Service - RPC bežící nad IP)

Kam se replikuje Domain Partition?

  • na všechny DC ve svojí doméně

  • částečně na GC

Na které objekty lze aplikovat GPO?

*site *počítač (lok. GPO?)

*uživatel *OU

*doména

Které položky se nezálohují?

*sysvol

*%systemroot%\config *boot files

*všechny se zálohuji

Možnost %systemroot%\config je dvojitý chyták :), tzn. kdo jej odhalí, tak odpoví špatně, pokud samozřejmě neodhalí chyták v chytáku ... Zálohují se totiž registry, jejich hlavní hives se nachází v %systemroot%\system32\config. Takže opravdu %systemroot%\config se nezálohuje, ale pozor, neplést s %systemroot%\system32\config (%systemroot% je jen windows directory).

Vysvětlete zkratky:

*IP - Internet Protocol

*DHCP - Dynamic Host Configuration Protocol *DC - Domain Controller

*AD - Active Directory *GPO - Group Policy Object

*RPC - Remote Procedure Call *SNTP - Simple Network Time Protocol

*SMTP - Simple Mail Transfer Protocol *NTFS - NT File System

*MFT - Master File Table *COM+ - Component Object Model + :-)

*FSMO - Flexible Single Master Operations *NNTP - Network News Transfer Protocol

*RIP - Routing Information Protocol *NTLM - NT LAN Manager (nevím to úplně jistě, kdyžtak to opravte někdo)

*RDP - Remote Desktop Protocol *OSPF - Open Shortest Path First

*CRL - Certificate Revocation List

Co obsahuje Basic disk ?

  • logical / extended partitions (max. 128)

  • pro Windows 2003 Server - 2 druhy: MBR (max. 4 primary / nebo 3 + 1 extended) a GPT (max. 128 primary, extended nejsou)

  • o basic disku

Co jsou to GPT disky ?

  • Disky s novou strukturou (oproti MBR), podporované 64-bit. verzemi Windows 2003 Server. Mohou mít až 128 partitions, typ partition je identifikován pomocí GUID. Obs. taky "Legacy MBR" proti přepsání staršími utilitami.

Co obsahuje MFT záznam ?

  • jméno, security descriptor, atributy (rezidentní) - může obs. i data souboru, je-li dost malý

  • pro velké soubory - info o umístění - base file record & runs, mapování Virtual Cluster Number -> Logical Cluster Number

Co nepatří mezi NTFS metadata?

Takže, co tam patří (částečně ze slidů):

  • prvních 16 záznamů MFT

  • definice struktury filesystému

  • 0 - Master File Table (MFT) - $Mft - Base file record pro každý soubor volume

  • 1 - Master File Table 2 - $MftMirr - Kopie prvních 4 záznamů - tak je to na slidech, zatímco jiný zdroj uvádí, že je zde kopie prvních 16 záznamů a že tato kopie je na konci partition. Wikipedie uvádí: Většinou první 4 záznamy.

  • 2 - Log File - $LogFile - transakční historie

  • 3 - Volume Descriptor - $Volume - volume data (volume aka svazek) - verze, jméno, čas vytvoření, ...

  • 4 - Attribute Definition Table - $AttrDef - attribute name, number, description - tj. popis atributů, jejich význam, nikoliv atributy samotné

  • 5 - Root file name index - $. - root directory - ukazatel na kořenový adresář

  • 6 - Cluster Allocation Bitmap - $Bitmap - Clusters-in-use - které clustery jsou obsazené a které volné

  • 7 - Partition boot sector (Volume Boot Code) - $Boot - bootstrap na bootovatelném volume

  • 8 - Bad cluster file - $BadClus - mapa vadných clusterů

  • 9 - Security file - $Secure - jednoznačné security descriptory pro všechny soubory

  • 10 - Upcase table - $Upcase - převod lowercase na uppercase Unicode

  • 11 - NTFS extension file - $Extend - rozšíření, např. reparse points, quotas, ...

  • 12-15 - Reserved for future use

Nepatří tam doplněk :).

lehce jinak je to na pcguide

Na které objekty lze aplikovat "disk quotas"?

  • Disk quotas lze aplikovat

    • per-volume

    • per-user

    • per-group

    • no a díky možnosti Mounted volume (prostě do adresáře namapujete volume), tak částečně jdou aplikovat i na folders - per-folder

Předkonfigurované výjimky Windows Firewall

Ze slidu:

  • File and Printer sharing (porty 139/TCP, 445/TCP, 137/UDP, 138/UDP)

  • Remote Desktop (3389/TCP)

  • UPnP Framework (2869/TCP, 1900/UDP)

  • Remote Administration (potřebuje víc služeb a portů, jako např: 135/TCP, 445/TCP)

Jaké záznamy jsou pro AD uloženy v DNS a jaké podstromy obsahuje.

  • AD je SRV aware, tzn používá SRV records, formát tedy "_Service._Proto.Name TTL Class SRV Priority Weight Port Target", ve slidech pouze ve tvaru "_ldap._tcp SRV 0 100 389 dc1.company.com" (chybí Name, TTL, Class)

  • Obsahuje podstromy:

    • DomainDnsZones

    • ForestDnsZones

    • _msdcs

    • _tcp

    • _sites

    • _udp

Jaké atributy obsahuje každý COM objekt

Ze slidu:

  • Name - relativní jméno objektu

  • ADsPath - jednoznačná cesta

  • GUID - Globally Unique Identifier (128-bit)

  • Class

  • Schema - ADsPath to the object class

  • Parent - ADsPath to parent object

Co obsahuje Windows Server 2003 system state

Ze slidu:

  • registry

  • COM+ Class Registration database

  • system boot files

  • files under Windows File Protection

  • Certificate Services database

  • u DC pak ještě

    • Active Directory

    • Sysvol directory

FSMO - vyjmenovat, okomentovat

*Schema Master **tato role je obsažena 1x v lese

**provádí updaty a modifikace AD Schematu **dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen při změně schematu

*Domain Naming Master **tato role je obsažena 1x v lese

**řídí přidávání a odebírání domén v lese **dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen při přidání nebo odebrání domény z lesa

*RID Master **tato role je obsažena 1x v doméně

**řídí přidělování relativních identifikátorů jednotlivým DC v doméně **dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen za situace, kdy přidává objekty a DC došly relativní ID

*PDC Emulator **tato role je obsažena 1x v doméně

**před dávnými časy, kdy vévodil Win2000, existovalo cosi jako dělení Domain Controllerů na Primary Domain Controler (PDC) a Backup Domain Controler (BDC) **tento emulátor se chová přesně jako W2k PDC...

**dočasný výpadek serveru s touto rolí je viditelný pro uživatele i administrátora *Infrastructure Master

**tato role je obsažena 1x v doméně, NESMÍ BÝT NA GLOBAL CATALOGU **provádí update referencí "user"~"group"

**stará se o cross-domain reference, tj. když z jedné domény si někdo vyžádá objekt, který patří do jiné domény **dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen pokud přenášel velké množství kont

vzato odtud

lepší zdroj - Microsofti KB

Jak zabránit použití(aplikací) GPO na Group?

*"filtering GPO scope with security groups" - tj. nastavit přístupová práva v ACL jen některým security groups (viz tady)

  • FIXME - lépe a česky vysvětlit o co jde

Rozdíl mezi Global a Connection-specific výjimkou ve Windows Firewall

ze slidu
connection-specific výjimky:

*se sčítají s globálními *neumožňují rušit výjimky vytvořené globálně

*neumožňují definovat scopes *neberou ohled na profil WF(win firewallu)

*a hlavně, pokud se tomu dá aspoň trochu vyhnout, nepoužívají se:)

Scopes ve Windows Firewall

*umožňují u každé výjimky nastavit zdroj, pro který bude tato výjimka aplikována, dobrým nastavením se dá rozumně snížit riziko útoku přes otevřené porty, špatným se dá otevřít síť každému kdo se tam pokusí dostat:)

*možnosti nastavení: **any computer - výjimku bude moct využít každý, včetně přístupu z internetu

**my network (subnet) only - výjimku budou moct využít pouze počítače ve stejné síti(subnetu) jako jsem já(tedy, ty ke kterým mám přímé spojení, zde může nastat problém, protože při některém nastavení sítě můžou být přímo dosažitelné třeba i všechny počítače v internetu) **custom list - zadám seznam adres které budou mít možnost výjimku využít, nejbezpečnější, v případě velkého rozsahu různých adres se blbě nastavuje

Které z následujících vlastností OU jsou spávně?

Vlastnosti OU:

  • typ kontejneru, může obsahovat uživatele, groups, printers, dokonce dalsi OU

  • může obsahovat informace jen z domény kam patří, z jiné ne

  • nejmenší jednotka AD, na kterou lze aplikovat Group Policy, Permissions and Tasks

  • umožňuje „delegation of authority“

  • child OU dědí nastavení parent OU defaultně

  • vytváří se zpravidla pokud stačí omezená administrativní kontrola nad čásí podniku

Administrative templates:

  • k nastavení user environment

  • umožňuje zablokovat uživateli možnost změny nastavení počítače (control panels, explorer), definovat „standardní“ plochu a Start menu

  • uloženo v registreach, Computer configuration – HKLM a User configuration – HKCU. Pokud v obojím, Computer configuration vyhrává

Jaký použít restore při poruše HW serveru?

  • non-authoritative – pokud mám další DC, tak by nebylo dobře, kdybych jim vnutil stará data

V jakém pořadí se aplikují GPO?

  • Local, Site, Domain, OU

Proč site?

  • pro každou LAN nebo skupinu LAN spojených vysokorychlostní sítí

  • pro každé místo, které nemá přímé spojení se zbytkem sítě, ale je dosažitelné SMTP

  • pro sítě propojené nerovnoměrně využívaným spojením

Kam všude se replikuje Schema partition?

  • všechny DC v doméně

  • vybrané DC v doméně

  • vybrané DC v lese

  • všechny DC v lese

Kolik je Schema masterů?

  • 1 v lese

  • 1 v každé doméně

  • 1 v každém stromě

  • 1 v každé skupině (?)

Co vše se dá nastavit v "Configuration Manager/Management"? (nebo tak něco)

  • Software

  • Preferences

  • Documents and data

Do čeho všeho může patřit doména?

  1. varianta

  • site

  • skupina

  • OU

  • strom

  1. varianta

  • site

  • les

  • skupina

  • strom

Kam všude se replikuje domain partition?

  • V rámci stejné domény

GPT - struktura

Jaka práva má administrátor domény?

  • omezená práva v doméně

  • neomezená práva v doméně

  • omezená práva v poddoménách

  • neomezená práva v poddoménách

Podle třetích slajdů by to mělo být, že neomezená práva v doméně.

Organizační jednotka

  • nemůže obsahovat svého administrátora

  • patří do AD namespace

  • ?

  • je to kontejner LDAP

Může být DNS v AD?

  • ano, je to lepší než jiný způsob (Který? Proč? - DNS využije multi-master replikaci a zabezpečení AD)

  • ano

  • ano, není to vhodné, proč?

  • ne

GPO může být vztaženo k

  • skupině - pomocí ACL

  • všem počítačům počítačům - aplikací na všechny počítače v doméně

  • uživateli - pomocí ACL

  • jen některým serverům/DC - aplikací na OU, která obsahuje tyto servery

Jaký je rozdíl mezi lokálními GPO a ostatními?

  • Lokální se aplikují i když není počítač připojen do domény, doménové jen, pokud je počítač připojen do domény.

  • Lokální se spravují přímo na daném počítači, doménové se spravují na DC.

  • Lokální se nikam nereplikují, doménové se replikují mezi DC odkud si je ostatní počítače stahují.

Jaké protokoly se používají pro name resolution v sítích Windows?

  • KZR/PZR

  • DLC

  • NetBIOS

  • ještě něco divnýho

V rámci čeho musí být název skupiny (group name) unikátní?

  • domain

  • OU

  • něco

  • něco

Poznámka: Doména implikuje OU.

Jaké nástroje se používají pro deployment Windows?

  • RDP

  • NTLM

  • WSRM (Windows System Resource Manager)

  • SysPrep

  • DISM (Deployment Image Servicing and Management)

Poznámka: Ještě je možné přidat do odpovědí Microsoft Deployment Toolkit (MDT) v rámci testové politiky "když ti něco v odpovědích chybí, tak si to tam dopiš".

Co je Loopback Processing na GPO?

Nechť máme dvě GPO. Jedna na PC a jedna na Usera (nazveme je PcGp, UserGp). Ale budeme chtít, aby se User configuration v PcGp projevilo i na tom uživateli. To standardně nejde, protože co je aplikováno na mašinu nám neovlivní uživatele. Proto musíme přistoupit k metodě Loopback Processing. A nastavit na objektu linkovaném na mašinu, tedy na link pro PcGp jeden z následujících dvou režimů:

    1. Replace: Computer configuration z PcGp => User configuration z PcGp.

    1. Merge: Computer configuration z PcGp => User configuration z PcGp => User configuration z UserGp.

  • Bez použití loopbacku (ukázka rozdílu): Computer configuration z PcGp => User configuration z UserGp.

Vyjmenujte a vysvětlete Execution Policies v PowerShellu

Co to je a k čemu je PXE?

Který z následujích protokolů se používá při routování?

Který z následujích protokolů se používá pro nalezení nejbližšího DC?

Který z následujících prostředku slouží k ověření certifikátu

Jaké je bezpečnostní riziko v aplikaci GPO na Site?

Router A má IP adresy 172.18.13.1/24 a 172.19.23.1/21. Router B má adresy 172.18.13.2/24 a 172.19.16.1/21. Načrtněte topologii sítě a ukažte, jak by vypadala routovací tabulka routeru A.