Nadmiarowość czyli tak zwana redundancja jest kluczowym elementem ciagłości działań usług IT – podwajamy praktycznie wszystko od zasilaczy po łącza, wielokrontie na różnych mediach wykonujemy kopie tych samych środowisk, nie wspominając już o rozwiązaniach RAID dla obszaru przechowywania danych czy usługach klastrowych. Zawsze chodzi o to aby w przypadku awarii, niedostępności jednego punktu stycznego cała usługa czy rozwiązanie działało dalej w oparciu o kolejny element.
Tą samą zasadę administratorzy przyjmują w przypadku kluczowych usług takich jak usługa katalogowa Active Directory. Najprostszym sposobem zachowanie ciągłości jej działania jest posiadanie drugiego kontrolera domeny. W jaki sposób dodać drugi kontroler domeny? Jak wypromować kolejny kontroler domeny?
Windows Server: migracja serwera DHCP
Windows Server z rolą DHCP (Dynamic Host Configuration Protocol) pozwala na automatyczną konfigurację ustawień karty sieciowej – niezależnie od typu urządzenia, przydziela określony lub wolny adres IP. DHCP przekazuje ustawia dotyczące bramy, maski czy DNS dla karty sieciowej . Skonfigurowany w DHCP zakres tzw scope – pozwala zarządzać odpowiednią pulą adresów IP, tworzyć dla nich rezerwacje czy blokady dla określonych MAC.
Ustawień jest sporo, konfiguracja z czasem się rozrasta i wymaga przenosin na nowe środowisko – chociażby ze względu na cykl życia OS.
Jak przenieść rolę serwera DHCP na nowy? W jaki sposób zmigrować ustawienia serwera DHCP na inną maszynę?
Windows Server: Active Directory w wersji Core
Windows Server w wersji Core jest z nami już od wersji 2008 zatem to sprawdzona technologia jak na standardy IT. Wersja Core jest unikana przez administratorów, co trochę nie zrozumiałe, zwłaszcza w w dużych środowiskach lub w takich które wymagają niestandardowego podejścia do bezpieczeństwa. Windows Server Core to minimalna, ale uwaga, domyślna opcja instalacji! Jest dostępna zarówno dla wersji Standard jak i Datacenter.
Wersja Core obsługuje większość ról i funkcji Windows Server (choć nie wszystkie). Ma sporo zalet: potrzebuje mniejszej ilość zasobów sprzętowych (mniejsze jest użycie procesora, pamięci RAM i miejsca na dysku). Jest mniej podatny na zagrożenia (posiada mniej elementów, bibliotek, zależności podatnych na ataki). Aktualizacje systemu są mniejsze, wymagają mniej ponownych uruchomień co w wypadku środowisk wysoko dostępnych może być duża zaletą.
Server Core został zaprojektowany do zdalnego zarządzania, dlatego też opcje dostępne lokalne są sprowadzone do konfiguracji podstawowych ustawień takich jak: adresacja kart sieciowych, zmiana nazwy serwera, dodanie do domeny czy zdalne zarządzanie.
Zarządzane Konto Usługi (MSA Managed Service Account) i Konto Usług Zarządzane Grupowo (gMSA Group Managed Service Accounts)
W tradycyjnym podejściu do kont dla usług administrator Active Directory zakładał konto użytkownika – rezygnował ze wymuszenia zmiany hasła i z użyciem takiego konta instalował np MS SQL Server.
Nie jest to bezpieczne rozwiązanie (hasło ktoś zna, ktość zapisuje, samo nie podlega zmianie) a już na pewno nie jest to tradycyjne rozwiązanie ponieważ Zarządzane Konto Usługi MSA (Managed Service Account) i Konto Usług Zarządzane Grupowo gMSA (Group Managed Service Accounts) są z nami od Windows Server 2008 R2 (MSA) i Windows Server 2012 (gMSA). Zatem jak ich używać?
PowerShell: Blokada nieaktywnych kont użytkowników
Mamy znaleźć nieaktywnych użytkowników, następnie ich zablokować. Użyjemy do tego celu polecenia Search-AdAccount z modułu Active Directory. Przed ich zablokowaniem potrzebujemy dość szczegółowych informacji tak aby nasze porządkowanie nie pozbawiło dostępu do AD konta systemowego, czy kogoś kto rzadko zagląda do naszego środowiska. Sprawdzone rozwiązanie z użyciem PowerShell znajdziecie poniżej.
Czytaj dalej „PowerShell: Blokada nieaktywnych kont użytkowników”