Curs Network Server Services

Network Server Serv|ces
1. Dezvo|tarea | d|str|bu|rea s|steme|or de operare.............................................................................. 3

1. lnLroducere in Wlndows ueploymenL Servlces........................................................................................ 3
2. lnsLalarea ;l conflgurarea lul WuS.......................................................................................................... 3
3. Lucrul cu lmage flles............................................................................................................................. 4
2. Conf|gurarea | gest|onarea |u| Doma|n Name System....................................................................... 6
4. uomaln name SysLem - bazele ;l lnsLalarea........................................................................................... 6
3. Conflgurarea unS................................................................................................................................. 6
6. Zonele unS.......................................................................................................................................... 7
7. Lucrul cu zonele unS............................................................................................................................ 7
8. CesLlonarea oplunllor unS................................................................................................................... 8
3. Gest|onarea Act|ve D|rectory Doma|n Serv|ces.................................................................................. 10
9. 8azele lul Au uS.................................................................................................................................. 10
10. AdmlnlsLrarea lul Au uS..................................................................................................................... 10
11. CperaLlons MasLer 8ole, 8ackup ;l 8esLore ale lul Au........................................................................... 10
12. lmplemenLarea lul 8ead-only uomaln ConLroller................................................................................. 11
13. AdmlnlsLrarea bazel de daLe Au uS..................................................................................................... 11
14. lmplemenLarea conLrolerulul de domenlu vlrLual................................................................................ 12
4. Gest|onarea contur||or de ut|||zator ;| de serv|c||............................................................................. 14
13. CesLlonarea conLurllor de uLlllzaLor................................................................................................... 14
16. SeLarea pollLlcllor penLru conLurlle de uLlllzaLor.................................................................................. 14
17. Conflgurarea conLurllor de servlcll gesLlonaLe..................................................................................... 13
S. Infrastructura Group o||cy................................................................................................................ 16
18. lnLroducere in Croup ollcy............................................................................................................... 16
19. Crearea ;l admlnlsLrarea CC............................................................................................................ 16
20. uomenlul, procesarea ;l mo;Lenlrea CC........................................................................................... 17
21. lllLre, Loopback, conexlunl lenLe sl slsLeme dezacLlvaLe...................................................................... 18
22. 8ezolvarea problemelor in apllcarea Croup ollcy............................................................................... 18
6. Gest|onarea prof||u|u| ut|||zatoru|u| ut|||znd Group po||cy............................................................. 20
23. ollLlcl AdmlnlsLraLlve 1emplaLe........................................................................................................ 20
24. 8edlrec(lonarea folderelor sl apllcarea scrlpLurllor............................................................................. 20
23. SeLarea Croup ollcy preferences ;l gesLlonarea lul sofLware uLlllznd Croup ollcy............................. 21
7. Gest|onarea |u| kemote Access | rezo|varea prob|eme|or .............................................................. 22
26. Conflgurarea accesulul la dlsLan ..................................................................................................... 22
27. Conexlunlle vn .............................................................................................................................. 22
28. ollLlcl de reea................................................................................................................................ 24
29. 8ouLlng and 8emoLe Access - solula problemelor.............................................................................. 24
30. SeLarea ulrecLAccess-ulul.................................................................................................................. 23
31. ModallLl de funclonare a lul ulrecLAccess ;l precondlllle penLru lmplemenLare ............................... 27
8. Network o||cy Server........................................................................................................................ 29
32. lnsLalarea ;l seLarea lul neLwork ollcy Server.................................................................................... 29
33. SeLarea cllenllor ;l a serverulul 8AuluS............................................................................................. 29
34. MeLode de auLenLlflcare neLwork ollcy Servlce................................................................................. 30
1 / 41
33. neLwork ollcy Server - monlLorlzarea ;l depanarea gre;elllor............................................................ 32
9. Imp|ementarea |u| Network Access rotect|on................................................................................. 34
36. neLwork Access roLecLlon - bazele................................................................................................... 34
37. rocesele nA LnforcemenL ............................................................................................................. 33
38. SeLarea lul nA................................................................................................................................. 37
39. MonlLorlzarea ;l rezolvarea problemelor in nA ................................................................................ 37
10. Serv|ce secur|ty ................................................................................................................................ 39
40. updaLe Servlces................................................................................................................................ 39
41. CrlpLarea lul llle SysLem ;l verslunea avansaL ................................................................................... 40
2 / 41
1. Dezvo|tarea | d|str|bu|rea s|steme|or de operare
1. Introducere |n W|ndows Dep|oyment Serv|ces
Wlndows ueploymenL Servlces se folosesc penLru lnsLalarea de la dlsLanLa a slsLemelor de operare Wlndows . SunL foarLe
uLlle cnd Lrebule redus numrul lnLeraclunllor cu echlpamenLul de la calculaLor, cum ar fl de exemplu cnd la ma[orlLaLea
sLalllor de lucru Lrebulesc seLaLe, in acela;l Llmp ;l cL mal repede, slsLemele de operare ;l s fle pregLlLe penLru lucru.
AcesL mod de lnsLalare are un avanLa[ ;l in fapLul c nu neceslL booL-area slsLemelor de operare de pe medll precum
Cu/uvu sau uS8 la flecare unlLaLe de calculaLor lndlvldual. Wlndows ueploymenL Servlces sunL rolurlle care se lnsLaleaz
ulLerlor dup lnsLalarea de baz a slsLemulul de operare de server. WuS permlLe admlnlsLraLorulul de slsLem s inreglsLreze,
depozlLeze ;l (re)uLlllzeze pacheLele de lnsLalare bazaLe pe o lmaglne al unul slsLem de operare concreL. recondlllle penLru
lnsLalarea rolulul WuS ;l penLru funclonarea lul corecL sunL ca pe server s exlsLe:
AcLlve ulrecLory uomaln Servlces (AD DS), in afar de cazul in care serverul se afl in modul SLandalone,
un servlclu DnC conflguraL,
un servlclu DNS conflguraL,
N1IS flle sysLem penLru depozlLarea lul lmage,
Credent|a|s - penLru lnsLalarea lul WuS role ;l penLru lnllere sa
enLru un anumlL Llp de lnsLalare, WuS permlLe deflnlrea maLerlalelor supllmenLare (servlce packs, hoLflxes, paLch-url,
updaLe-url, language packs...) care vor fl lncluse in lnsLalare. AcesLe elemenLe se numesc componenLe ale slsLemelor de
operare. C alL componenL reglablllmporLanL a slsLemelor de operare sunL drlve-erele. AcesLea, pe lng servlce packs,
hoLflxes ;l paLches poL fl puse inLr-un lmage flle speclal.
rln uLlllzarea lul Wlndows ueploymenL Servlces role in Wlndows Server 2012 se obln urmLoarele avanLa[e:
LsLe aslguraL lnsLalarea slsLemelor de operare prln lnfrasLrucLura de reea,
Se aslgur reallzarea end-Lo-end" de punere a slsLemelor de operare pe calculaLoare de server ;l cllenL,
Se reduce complexlLaLea, Llmpul lnvesLlL ;l ml[loacele maLerlale
LsLe aslguraL lnsLalarea ;l seLarea slsLemelor de operare pe calculaLoarele de la dlsLan care nu posed un slsLem de
operare.
lnsLrumenLele cu care se poaLe manlpula WuS ;l cu care se poL efecLua anumlLe modlflcrl sunL:
Wlndows ueploymenL Servlces MMC snap-ln
WuSu1lL
2. Insta|area | conf|gurarea |u| WDS
3 / 41
ComponenLele care ca unlLaLe consLlLule servlclul WuS sunL:
Wlndows ueploymenL Servlces re-8ooL execuLlon LnvlronmenL (xL) Server
Wlndows ueploymenL Servlces CllenL
ComponenLele supllmenLare ale serverulul:
1l1 Server
lolderele Shared (parLa[aLe)
lmage reposlLory (depozlLul)
MulLlcasLlng Lnglne
8olul serverulul xL esLe conecLarea la neLwork lnLerface, "asculLarea" cererllor xL prlmlLe ;l formarea rspunsurllor
uPC. Wlndows ueploymenL Servlces CllenL aslgur un medlu graflc al crul rol esLe afl;area lmaglnllor de slsLem
dlsponlblle pe serverul Wlndows ueploymenL Servlces ;l LoLodaL afl;area sLaLusulul acLual al fluxulullnsLalrll. 1rlvlal llle
roLocol (1l1) ofer calculaLorulul de cllenL poslblllLaLea s booL-eze dln reea, s gseasc ;l s locallzeze lmaglnea
corespunzLoare in memorla sa. lmage reposlLory (depozlLul) conlne booL lmages, lnsLall lmages ;l fl;lerele necesare
penLru booL-area de pereea, in Llmp ce folderele shared gzdulesc lnsLall lmages. MulLlcasLlng Lnglne funcloneaz in a;a
fel incL aslgur ca serverul, inLr-un anumlL momenL, s LrlmlL pacheLe de daLe pe care le prlmesc LoaLe calculaLoarele de
slsLem in acela;l Llmp. Wlndows ueploymenL Servlces role se poaLe lnsLala uLlllzndCommand romoL - Wlndows
owerShell sau uLlllznd Server Manager. uac decldel s lnsLalal WuS role uLlllznd owerShell, aLuncl in prlmul rnd
Lrebule s pornll Wlndows owerShell, lar apol in llnla de comand lnLroducel urmLoarea comand cu parameLrll:
lnsLall-WlndowsleaLure -name WuS -CompuLername <compuLer_name> -lncludeManagemenL1ools
uup flnallzarea cu succes a procesulul de lnsLalare a lul WuS role, esLe necesara seLarea corecLa a servlclulul penLru
funclonare. ALuncl cnd serverul nu esLe membru al domenlulul AcLlve ulrecLory uomaln Servlces sau pe el nu esLe pornlL
conLrolerul de domenlu, aLuncl WuS role se lnsLaleaz pe server in varlanLa SLandalone Server. ALuncl cnd serverul esLe
membru al domenlulul ulrecLory uomaln Servlces sau cnd pe server esLe lnsLalaL ;l pornlL conLrolerul de domenlu, aLuncl
rolul WuS Lrebule lnsLalaL prln lnLegrare in dlrecLorul acLlv.
La sfr;lL, cnd esLe LermlnaL conflgurarea serverulul (ca server SLandalone sau in cadrul dlrecLorulul acLlv), esLe necesara
adugarea fl;lerelor lmage. AcesLe fl;lere conln booL lmage ;l lnsLall lmage.
3. Lucru| cu |mage f||es
enLru ca serverul WuS s-;l poaL execuLa rolul su, esLe necesar s-l adugm cel puln un booL lmage ;l un lnsLall lmage.
8ooL lmage esLe Wlndows L lmage cu care se booL-eaz calculaLorul cllenL sau server penLru a incepe procesul de lnsLalare
a slsLemulul de operare. ln ma[orlLaLea cazurllor esLe vorba de booL.wlm flle care se afl pe dlscul de lnsLalare in folderul
Sources. 8ooL.wlm conlne Wlndows L ;l cllenLul Wlndows ueploymenL Servlces. lnsLall lmage reprezlnL conlnuLul
slsLemulul de operare care se lnsLaleaz. enLru acesLe nevol puLel folosl lnsLall.wlm flle aflaL pe medlul de lnsLalare, in
folderul Sources. ln loc de aceasLa, puLel s uLlllzal ;l proprllle fl;lere lnsLall lmage pe care le-al creaL slngurl. lnalnLe de
inceperea procesulul de lnsLalare a slsLemulul de operare, Lrebule verlflcaL dac sunL indepllnlLe condlllle Lehnlce necesare:
calculaLorul cllenL/server Lrebule s susln xL booL, Lrebule s alb cel puln 312 M8 de memorle 8AM, conflgurarea
decalculaLor Lrebule s susln cerlnele slsLemulul de operare care va fl lnsLalaL, lar conLul local de uLlllzaLor Lrebule s fle
creaL pe serverul WuS.
4 / 41
CusLom lnsLall lmages (pacheLele de lnsLalare adpaLaLe), se poL uLlllza penLru lnsLalarea urmLoarelor slsLeme de operare:
Wlndows 8, Wlndows 7, Wlndows vlsLa ;l Wlndows x. Slngura dlferen esLe c Wlndows x esLe un slsLem de operare
hardware absLracLlon layer (PAL) dependenL, a;adar nu esLe poslbll a lnsLala slsLemul de operare de un anumlL Llp PAL pe
un calculaLor cu un alL Llp PAL. rlmele dou precondlll care Lrebulesc indepllnlLe sunL aslgurarea dlsculul/parLllel cu
spalu suflclenL penLru depozlLarea fl;lerelor lmage ;l s fll membru al grupulul local de admlnlsLraLorl pe serverul WuS.
Cnd calculaLorul se booL-eaz in modul CapLure lmage, se va pornl ;l lmage CapLure Wlzard. LsLe lmporLanL de menlonaL
c in ace;Ll pa;l vor fl prezenLaLe doar acele parLlll pe care exlsL un slsLem de operare pregLlL cu a[uLorul apllcalel
Sysprep. uac apllcala Sysprep nu esLe pornlL pe calculaLor, nu va fl llsLaL nlclo parLlle. enLru a crea CusLom lnsLall
lmage, in prlmul rnd Lrebule s facel capLure lmage. CapLure lmage esLe booL lmage, cu care se booL-eaz calculaLorul
penLru ca slsLemul de operare s se poaL !n!capLura!n! ;l inreglsLra in .wlm flle.
uup crearea lul capLure lmage, avel poslblllLaLea, uLlllzndu-l, s booL-al calculaLorul ;l ca !n!capLural!n! ;l inreglsLral
slsLemul de operare.
ln Llmpul procesulul de lnsLalare, slsLemul de operare pune anumlLe inLrebrl penLru a seLa inc de aLuncl unele elemenLe
lmporLanLe ale slsLemulul. AceasLa neceslL prezena flzlc a admlnsLraLorulul de slsLem in faa calculaLorulul penLru ca
procesul de lnsLalare s poaLe conLlnua prln rspunderea la inLrebrlle slsLemulul de operare.
AceasL problem poaLe fl solulonaL prln uLlllzarea lnsLalrll unaLLended, respecLlv prln lnsLalarea auLomaL. enLru
funclonareacu succes a lnsLalrll avem nevole de fl;lerul de conflgurare in care se afl LoaLe !n!rspunsurlle!n! in legLur
cu seLrlle pe care Lrebule s le fac slsLemul de operare in Llmpul lnsLalrll. AcesL fl;ler de conflgurare se nume;Le
unaLLended flle. lnsLrumenLul esenlal penLru pregLlrea ;l adapLarea slsLemulul de operare Wlndows, respecLlv penLru
crearea fl;lerulul unaLLended care se va folosl penLru dlsLrlbulrea prln WuS esLe Wlndows SysLem lmage Manager (WSlM),
care se afl in cadrul pacheLulul Wlndows AssessmenL and ueploymenL klL (Wlndows Auk).
5 / 41
2. Conf|gurarea | gest|onarea |u| Doma|n Name System
4. Doma|n Name System - baze|e | |nsta|area
uomaln name SysLem reprezlnL unul dlnLre cele mal lmporLanLe servlcll care se lnsLaleaz pe Wlndows Server 2012. MulLe
alLe servlcll de pe server deplnd de unS. unS esLe desLlnaL rezolvrll, respecLlv Lraducerll numelul dlspozlLlvulul care
funcloneazin reea, in cadrul lul AcLlve ulrecLory sau pe lnLerneL.unS se folose;Le penLru Lraducerea numelul unul hosL
(de exemplu, a numelul unul server pe lnLerneL) inLr-o form numerlc pe care o inelege calculaLorul, respecLlv inLr-o
adres de l. Memorarea adresel l sau a unul numr mal mare de adrese l, penLru un om poaLe fl un lucru desLul de
confuz ;l s reprezlnLe probleme. Adresa l a unul hosL sau server se poaLe schlmba, dar nol nu Lrebule s ;Llm nlmlc.un
mare avanLa[ a lulunS a[unge la exprlmarea ulLlmllor anl dln cauza adreselor lv4 dlsponlblle Lo mal puln ;l Lrecerea la
adrese lv6.un servlclu unS lnsLalaL ;l seLaL corecL esLe o precondlle penLru lnsLalarea;l conflgurarea servlclulul AcLlve
ulrecLory uomaln name.
namespace conlne nume unS in sLrucLura lerarhlc a crel descrlere flguraLlv esLe arbore inLors/lnvers. AceasLa inseamn
c rdclna arborelul are caracLer null (.), in parLea de sus, lar ramlflcarea arborelulul o la in [os.Sub 8ooL, in namespace se
afl domenllle 1op Level (1Lu). AcesLea sunL conform lerarhlelin namespace. Lxemplele unor asLfel de nume sunL: .neL,
.com. .org, .gov, .ca, .ro eLc. Second-level domaln names (numele domenlulul de nlvelul dol), sunL prl ale numelul unS
care urmeaz dup numele 1Lu. Subdomalns (subdomenllle) sunL prl ale numelul unS care urmeaz dup numele
second-level domaln. lully Cullfled uomaln name (lCun) esLe denumlrea corecL, compleL a unul nume unS, care lmpllc
LoLul, de la denumlrea hosLulul pn la subdomenlu ;l 8ooL. ln Llmpul crerll numelul unS,se poLfolosl doar caracLerele:
a-z, A-Z, 1-9 ;l - (llnlua).
namespace esLe desLlnaL uLlllzaLorllor locall de reea, in Llmp ce namespace exLern reprezlnL organlzala dvs. pe lnLerneL.
ln deLermlnarea lul namespace penLru medlul dvs. Au uS, avel la dlspozlle urmLoarele poslblllLl:
namespace-ul lnLern ;l exLern Lrebule s alb aceea;l conflgurare ins dlferlLeinreglsLrrl unS.
namespace-ul lnLern ;l cel exLern Lrebule s fle dlferll, ceea ce inseamn c nu Lrebule s alb nlmlc in comun.
namespace-ul lnLern Lrebule conflguraL ca subdomenlu al namespace-ulul publlc, unde nu se va a[unge la nlclo
suprapunere.
unS rolepoaLe salva baza unS in dou modurl:ca fl;ler LexLual sau prln lnLegrare in AcLlve ulrecLory. lnalnLe de a incepe cu
lnsLalarea rolulul unS server ;l cu conflgurarea serverulul unS, Lrebule anallzaLe cLeva inLrebrl lmporLanLe penLru a alege
scenarlul adecvaL penLruseLarea serverulul unS. Cele mal lmporLanLe inLrebrl care Lrebule luaLe in conslderare penLru
acesL scop sunL:
CLe inreglsLrrl va conlne serverul unS?
Care esLe numrul de cllenl care va adresa cererlle cLre serverul unS?
uac esLe vorba de o companle care are flllale locale, aLuncl Lrebule pus inLrebarea dac esLe mal eflclenL a pune in
flecare flllal cLe un server unS local sau esLe esLe mal blne a cenLrallza unS-ul?
S. Conf|gurarea DNS
ln aceasL lecle al puLuL inva care sunL prlnclpalele componenLe ale inLregulul slsLem unS. AcesLea sunL: serverul unS
(local), servere unS pe lnLerneL ;l unS resolvers. lnLerogrlle unS sunL cererl penLru rezolvarea unul unS name, dedlcal
6 / 41
serverululunS. ue asemenea, lnLerogrlle poL fl auLorlLare ;l non-auLorlLare.Cbservnd modallLaLea in care lnLerogrlle
unS cauL rspuns, poL fl recurslve sau lLeraLlve.lnreglsLrrlle unS sunL lmporLanLe penLru flecare zon unS, lar flecare
inreglsLrare unS esLe descrls cu Llpul su ;l cu adresa l legaL de Llpul inreglsLrrll.Cele mal frecvenLe inreglsLrrl sunL A,
Mx, CnAML, nS eLc. loloslnd consola unS ManagerpenLru serverulunS pe care l-am lnsLalaL in lecla precedenL, am
prezenLaL prlnclpalele seLrl ale serverulul.unS forwarders sunL servere unS, care accepL cererlle penLru alLe servere unS
care nu au puLuL s rezolve problema fllnd oblnuLe dln proprla zon secundar sau prlmar, precum ;l nlcl dln proprlul
cache. 8ooL hlnLs sunL rouLerele unS, cu nlvel superlor in lerarhla unS. Ace;Lla se folosesc drepL a[uLor la serverele unS cu
nlvel lnferlor dac nu poL s rezolve o anumlL lnLerogare orlenLnd cLre serverul unS al prlmulul nlvel lnferlor urmLor
(sub 8ooL), care esLe auLorlLar penLru lnLerogare concreL.Cachlng esLe una dln funcllle serverulul unS care, depozlLnd
LoaLe rspunsurlle la lnLerogrlle unS curenLe, au rolul de a accelera rspunsul serverulul unS la lnLerogarea care il a[unge,
precum ;l s reduc numrul de lnLerogrl ;l Lraflcul reallzaL cLre serverele ;l forwarderele unS.
6. 2one|e DNS
unS namespace se poaLe imprl in segmenLe loglce, a;a-numlLele zone, care vor conlne lnformall despre unul sau mal
mulLe domenll unS ;l ale subdomenlllor lor. Wlndows Server 2012 suslne Llpul de zon:prlmar, secundar ;l SLub. Zona
poaLe fl lnLegraL in AcLlve ulrecLory, unde zona prlmar poaLe fl pus in cadrul lul AcLlve ulrecLory. Zona prlmar reprezlnL
inreglsLrrlle orlglnale pe care sunL poslblle acLlvlLlle de scrlere ;l ;Lergere. Zona secundar esLe copla zonel prlmare in
care se poaLe clLl doar, in Llmp ce zona SLub esLe zona read-only in care sunL depozlLaLe doar inreglsLrrlle pe baza crora se
poL locallza serverele name.un domenlu poaLe avea mal mulLe zone, lar flecare zon reprezlnL doar un domaln
name.AvanLa[ul punerll zonel in cadrul AcLlve ulrecLory esLe c unS poaLe s foloseasc avanLa[ele modelulul de repllcare
mulLlmasLer, penLru a face repllcarea zonel prlmare, ceea ce cre;Le redundana ;l increderea zonel.Zonele lorward lookup
conln inreglsLrrlle: A, CnAML, S8v, Mx, SCA, 1x1 ;l nS, in Llmp ce reverse lookup zone conln: inreglsLrrlle SCA, nS ;l
18.LsLe fcuL deoseeblrea dlnLre CondlLlonal forward ;l zona SLub. uac avel lnLenla ca cllenll dvs. unS de pe
segmenLele de reea separaLe in urma lnLerogrllor unS s nu LrlmlL cererlle serverelor unS pe lnLerneL, aLuncl serverele
unS le vel seLa pe flecare segmenL de reea asLfel incL aLrlbull lnLerogrlle cLre alL segmenL de reea. SLub zones le vel
foloslin slLuallle in careserverulunS Lrebule s fle acLuallzaL in permanen despre LoaLe serverele unS auLorlLare penLru
o zon exLerloar.
7. Lucru| cu zone|e DNS
unS esLe organlzaL ca un slsLem lerarhlc ;l de delegare zonal (dlreclonare) prln fapLul c conecLeaz nlvelele unS.
uelegare zonal lndlc urmLorul nlvel lerarhlc ;l ldenLlflc serverele unS care sunL responsablle penLru nlvelul respecLlv.
enLru flecare zon nou pe care o delegal in cadrul lul namespace, sunL necesare inreglsLrrlle de delegare in alL zon,
care vor lndlca servere unS auLorlLare penLru noua zon. enLru a efecLua delegarea, zona parenL Lrebule s conln ;l
inreglsLrarea nS ;l una glue A, care va lndlca flecare server auLorlLar al domenlulul delegaL.
1ransfer zone esLe una dln modallLlle foloslL de admlnlsLraLorl in scopul repllcrll bazel unS de pe unul pe unul sau mal
mulLe servere unS. arlclpanll la acesL proces sunL cllenLul, care LrlmlLe cererea ca o parLe dln baz s fle LransferaL pe el
;l pe server, pe care lnllal se afl baza. uac nu s-ar face Lransferul zonelor unS, conseclna acesLula ar fl exlsLena
serverulul name care conlne copll lnuLlle ale daLelor despre zone. LsLe foarLe lmporLanL ca zonele prlmare ;l secundare s
fle acLuallzaLe cu regularlLaLe. uezacordul zonel prlmare ;l secundare poaLe provoca neregull in funclonarea servlclulul ;l
rezolvarea gre;lL a numelul hosL-urllor ;l domenlllor. 1ransferul zonel se poaLe face in Lrel felurl: lull zone Lransfer,
lncremenLal zone Lransfer ;l lasL Lransfer. Zonele care se acLuallzeaz pe serverul slave sunL zonele secundare ;l zona SLub.
Cplunea 1ransfer from MasLer lnllaz Lransferul lncremenLal Zone, lar oplunea 1ransfer new copy of zone from MasLer
lnllaz Lransferul lull Zone.
Zone Lransfers se lnllaz inLoLdeauna de cLre servere secundare ;l cererlle sunL orlenLaLe cLre servere masLer, de pe care
se prelau daLe despre zon. MasLer server poaLe fl orlce server unS pe care se gzdule;Le zona, asLfel incL poaLe fl ;l server
zone prlmar, dar ;l secundar. 8spunsul lul server masLer deplnde ;l de fapLul dac suslne Lransferul lncremeLal. uac
suslne, cu acesL Llp de Lransfer va ;l rspunde. uac nu suslne, va rspunde cu Lupul de Lransfer lull.
lnformallle in zone aslgur daLe organlzalonale lmporLanLe, a;adar esLe lmporLanL s le proLe[m prevenLlv de accesul
uLlllzaLorul malllo;l ;l sa lnLerzlcem lnLroducerea daLelor gre;lLe in zon (unS polsonlng). C modallLaLe de proLecle esLe
7 / 41
aslgurarea procesulul de Lransfer al zonel. uac daLele in zon sunL foarLe lmporLanLe, recomandarea esLe s se foloseasc
pollLlca lnLerneL roLocol SecurlLy (lsec), penLru a se aslgura procesul de LransporL sau repllcarea daLelor dln zon prln
Lunelul vlrLual prlvaLe neLwork (vn). AceasL meLor aslgur ca pacheLele care se LransporL nu poL fl asculLaLe.
unS noLlfy esLe sLandardul care se bazeaz pe fapLul c MasLer server a unel anumlLe zone anun serverele Slave
(secundare) corespunzLoare c exlsL modlflcrl in zon. AcesL proces lnflueneaz conslsLena zonelor pe serverele
secundare. SLablllrea serverelor care vor fl anunaLe c exlsL modlflcrl se face pe baza llsLel noLlfy.
8. Gest|onarea op|un||or DNS
lllndc inreglsLrrlle de pe serverul unS sunL enLlLl varlablle, exlsL o nevole mare fa de conLrolul sLrll acesLul server
aLuncl cnd esLe vorba de valldlLaLe. LxlsL anumlLe lnsLrumenLe cu care esLe poslbll a deLermlna duraLa, respecLlv perloada
inreglsLrrllor, a oblne anun despre o inreglsLrare crela il explr daLa precum ;l a cura baza de inreglsLrrlle care nu mal
sunL acLuale.
11L, prescurLarea de la 1lme-Lo-llve, esLe mecanlsmul care aslgur deflnlrea llmlLel unel inreglsLrrl in ceea ce prlve;Le
duraLa el. Aglng esLe evenlmenLul, respecLlv momenLul in care explr daLa de valablllLaLe a inreglsLrll lnLroduse pe serverul
unS, dup care inLreglsLrarea Lrebule ellmlnaL. Scavenglng esLe procesul ellmlnrll auLomaLe a inreglsLrrllor vechl
(nevalablle) de pe serverul unS. Aglng/Scavenglng se poaLe apllca doar pe zonele de Llp prlmar, fllndc acesLea aslgur
clLlrea/scrlerea in baza lor. Zonele secundare ;l zonele SLub sunL read-only ;l acesLe procese nu poL fl apllcaLe pe el
ln cazul in care nu am fl apllcaL Lehnlclle menlonaLe de menLenan ;l curare a bazel unS, cu Llmpul ar fl apruL probleme
in ceea ce prlve;Le funclonarea unS-ulul, probleme precum:
rspunsurlle la lnLerogrlle unS ar puLea s fle gre;lLe. uln cauza inreglsLrrllor vechl dln zon, serverul ar fl rspuns c
un anumlL hosL sau domenlu inc mal exlsL, de;l acesLa nu mal esLe de mulL dlsponlbll in reea/pe lnLerneL,
un numr LoL mal mare de inreglsLrrl in zon ar fl fcuL baza aLL de mare incL funclonarea serverulul unS ar fl
devenlL foarLe inceLlnlL ;l ingreunaL,
dln cauza exlsLenel inreglsLrrllor nevalablle care lndlc la fapLul c un anumlL nume de domenlu sau hosL esLe ocupaL,
apare lmposlblllLaLea ca serverul unS s accepLe un nou calculaLor/dlspozlLlv cu acela;l nume.
enLru ca procesul de Scavenglng s se poaL pornl, in prlmul rnd esLe necesar a alege funcla respecLlv penLru o anumlL
zon. AcLlvarea funclel Scavenglng se face lndlvldual penLru flecare zon, de;l exlsL ;l poslblllLaLea de seLare a funclel
penLru LoaLe zonele dlnLr-o daL.
recondlllle necesare penLru uLlllzarea lnsLrumenLulul Aglng ;l Scavenglng sunL urmLoarele:
funcllle Scavenglng ;l Aglng Lrebule s fle acLlvaLe ;l pe serverul unS ;l in zon,
inreglsLrrlle Lrebule adugaLe dlnamlc in zon sau Lrebule aslguraL manual pocesul de Aglng/Scavenglng.
lnreglsLrrlle adugaLe in al dollea mod (nedlnamlc), precum de exemplu o zon lmporLaL in baza LexLual sau inreglsLrrlle
manual lnLroduse in zon, au cmpul 1lme SLamp gol.
uoar in cazul in care flecare dlnLre acesLe inreglsLrrl se reseLeaz in mod auLomaL ;l ll se aslgur foloslrea valorll 1lme
SLamp acLuale, se ppoaLe folosl in procesulAglng/Scavenglng.
Cnd sunL saLlsfcuLe LoaLe condlllle menlonaLe, procesul de Scavenglng poaLe incepe s se apllce pe o anumlL zon.
LsLe necesar ca ;l Llmpul de pe server s fle ceva mal !n!Lrzlu!n! in funcle de Llmpul deflnlL penLru procesul de Scavenglng
8 / 41
- acesLa esLe ueclan;aLoru/Lrlgger-ul penLru incepuLul zonel Scavenglng.
SeLarea oplunllor Scavenglng se afl in Lrel locurl in cadrul servlclulul unS, ;l anume:
ln cadrul inreglsLrrll unS lndlvlduale
in cadrul zonel unS
in cadrul serverulul unS
ln LvenL log, in Wlndows Server 2012, exlsL o caLegorle speclal care se folose;Le penLru monlLorlzarea evenlmenLelor pe
serverul unS. AcesLe log-url Lrebule monlLorlzaLe perlodlc penLru a observa la Llmp erorlle sau lncorecLlLudlnlle in ceea ce
prlve;Le funclonarea serverulul unS.
uLel folosl ;l debug logglng penLru adunarea lnformalllor supllmenLare. 8y defaulL, LoaLe oplunlle logglng sunL
dezacLlvaLe. uebug logglng poaLe ocupa lmporLanLe resurse de slsLem, ceea ce poaLe avea drepL consecln dep;lrea
performanel ;l ocuparea unul loc lmporLanL pe dlsc. ue aceea, olunlle lul debug logglng Lrebule foloslLe in lnLervalul de
Llmp llmlLaL, cnd Lrebule adunaLe lnformall deLallaLe despre performanele serverulul.
9 / 41
3. Gest|onarea Act|ve D|rectory Doma|n Serv|ces
9. 8aze|e |u| AD DS
ln aceasL lecle am abordaL bazele servlclululAcLlve ulrecLory uomaln Servlces.8aza de daLe Au uS depozlLeaz
lnformallle despre ldenLlLlle de uLlllzaLor, calculaLoare, grupurl, servlcll ;l despre LoaLe resursele dln reea. ConLrolerul de
domenlu Au uS posed ;l servlclul penLru auLenLlflcarea conLurllor de uLlllzaLor ;l de calculaLor aLuncl cnd se logheaz la
domenlu.ue aceea, Au uS esLe prezenLaL ca un medlu incadraL, slgur penLru lucru in reea.Au uS esLe consLrulL aLL dln
componenLe flzlce cL ;l dln cele loglce, unde componenLele flzlce sunL: domaln conLroller, depozlL de daLe, Clobal CaLalog
Servers ;l read-only domlan conLroller (8CuC). ComponenLele loglce sunL: parLlLlon, schema, domaln, domlan Lree, foresL,
query and lndex mechanlsm, slLe ;l organzaLlonal unlLs (Cu).
loresL (pdurea) esLe un seL alcLulL dlnLr-unul sau mal mull arborl (Lrees). 1ree esLe un seL alcLulL dlnLr-unul sau mal
mulLe domenll. rlmul domenlu care se creeaz poarL denumlrea de domenlu loresL 8ooL.
Schema esLe componenLa loglc a lul AcLlve ulrecLory care deflne;Le LoaLe oblecLele ;l aLrlbuLele acesLora pe care le
folose;Le Au in Llmpul depozlLrll daLelor.
ueflnlla oblecLulul deLermln Llpul de daL pe care o poaLe depozlLa oblecLul, precum ;l slnLaxa daLelor, in Llmp ce
aLrlbuLele conln lnformall despre daLele conlnuLe de oblecL sau lnformall despre daLe in alL aLrlbuL. S-a expllcaL care esLe
sLrucLura Au uS, adlc esLe un seL loglc de uLlllzaLorl, calculaLoare ;l grupe de oblecLe, grupaLe in scopul funclonrll slgure
;l a gesLlonrll mal u;oare. uomenlulAu uS esLe responsabll ;l penLru funclonarea cenLrulul de auLenLlflcare, ceea ce
inseamn c Lol uLlllzaLorll ;l conLurlle de uLlllzaLor care sunL in domenlu sunL sLocal in baza de daLe a domenlulul in slne ;l
c flecare uLlllzaLor ;l calculaLor Lrebule s conLacLeze domaln conLroler penLru a efecLua auLenLlflcarea ;l penLru a avea
poslblllLaLea de a folosl resurse de reea.
nolunea de uomaln conLroller esLe prezenLaL speclal. uomaln conLroller esLe serverul care se conflgureaz penLru
depozlLarea bazel de daLe a lul Au uS (n1uS.ul1) ;l a folderulul SysLem volume (S?SvCL). La flnalul leclel esLe expllcaL ;l
rolul unlLllor organlzalonale in cadrul domenlulul Au uS. CrganlzaLlon unlL (unlLaLe organlzalonal) reprezlnL
conLalnerul in cadrul domenlulul pe care il puLel folosl penLru a aran[a conLurlle de uLlllzaLor, grupe, calculaLoare,
lmprlmanLe ;l celelalLe oblecLe.
10. Adm|n|strarea |u| AD DS
ln cadrul acesLel lecll am prezenLaL procesul de lnsLalare a servlclulul AcLlve ulrecLory uomaln Servles, s-au subllnlaL
elemenLele chele asupra crora Lrebule orlenLaL aLenla in Llmpul lnsLalarll. uup flnallzarea lnsLalalel esLe prezenLaL
modallLaLea de promovare a serverulul pe care esLe lnsLalaL Au uS role in domenlul conLrolerulul. Al avuL ocazla de a
cunoa;Le cele mal foloslLe AcLlve ulrecLory AdmlnlsLraLlve Snap-lns, cum ar fl: AcLlve ulrecLory users and CompuLers. AcLlve
ulrecLory SlLes and Servlces, AcLlve ulrecLory uomaln and 1rusL ;l AcLlve ulrecLory Schema. SunL prezenLaLe exemple
concreLe penLru lucru in consola AcLlve ulrecLory users and CompuLers. LsLe prezenLaL AcLlve ulrecLory AdmlnlsLraLlve
CenLer, care aduce desLule nouLl. Al vzuL c pe lng sarclnlle sLandard, in cadrul su se poL folosl ;l nouLl, precum:
AcLlve ulrecLory 8ecycle 8ln, llne-gralned password pollcy ;l Wlndows owerShell PlsLory vlewer. LsLe prezenLaL ;l
lnsLrumenLul care u;ureaz munca cu comenzlle cmdleL - AcLlve ulrecLory Module for Wlndows owerShell. la flnal, prln
exemplu al puLuL s v famlllarlzal cu uLlllzarea lnsLrumenLelor: AcLlve ulrecLory users and CompuLers Snap-ln, AcLlve
ulrecLory AmlnlsLraLlve CenLer ;l AcLlve ulrecLory Modula for Wlndows owerShell.
11. Cperat|ons Master ko|e, 8ackup | kestore a|e |u| AD
ln aceasL lecle am abordaL Lemele CperaLlons MasLer role ;l slsLemul de backup ;l resLore a daLelor. CperaLlons MasLer
10 / 41
role se imparL in dou grupe: loresL-wlde ;l uomaln-wlde CperaLlns MasLer role. ln loresL-wlde CperaLlons MasLers role
lnLr Schema MasLer role ;l uomaln namlng MasLer role, lar in uomaln-wlde CperaLlons MasLers role: 8elaLlve ldenLlfler
(8lu) MasLer role, rlmary uomaln ConLroler (uC) LmulaLor MasLer role ;l lnfrasLrucLure MasLer role. loresL-wlde MasLer
role Lrebule s fle inLoLdeauna puse in prlmul conLroler de domenlu al lul rooL domaln in foresL. Schema MasLer role
conLroleaz ce oblecLe sunL adugaLe, schlmbaLe ;l inlLuraLe dln Scheme. uomaln conLroler cu Schema masLer role esLe
slngurul conLroler de domenlu in cadrul lul forecL al lul AcLlve dlrecLory care poaLe face orlce modlflcrl pe Schema. uomaln
conLroler, care are uomaln namlng MasLer role, esLe responsabll penLru monlLorlzarea LuLuror domenlllor in cadrul lul
AcLlve dlrecLory. uomaln conLroler crula il esLe aLrlbulL 8lu MasLer role esLe responsabll penLru monlLorlzarea ;l
aLrlbulrea lu-urlle unlce relaLlve ale conLrolerllor de flecare daLa cnd creeaz o nou enLlLaLe. 8olul lul uC LmulaLor esLe
de a permlLe coexlsLena cu slsLeme de operare mal vechl, dar ;l s parLlclpe in procesul de manlpulare a parolelor in
domenlu, s gesLloneze updaLe-ul Croup ollcy pe domenlu, s fle prlnclpalul !n!ceas!n! penLru domenlu ;l s funcloneze
ca domaln masLer browser.
uac membrul unul domenlu va fl schlmbaL, muLaL sau redenumlL membrul updaLe-eaz reference-ul membrulul respecLlv
in alL oblecL.
uup prezenLarea lul CM role, sunL prezenLaLe exemple cum s le accesal, s le vedel ;l s le schlmbal seLrlle, aLL dln
consola Snap-ln, cL ;l dln Wlndows owerShell. Al puLu s clLll ;l sfaLurl concreLe in legLur cu uLlllzarea lul CM role,
penLru ca medlul dvs. s funcloneze corecL.
LsLe prezenLaL servlclul Wlndows Server 8ackup, precum ;l sfaLurlle penLru uLlllzarea sa eflclenL. 8lneineles, parLea
consLlLuLlv de psLrare a daLelor esLe recovery proces (refacere), a;adar sunL prezenLaLe cLe modallLl sunL ca dln
backup-ul exlsLenL s inLoarcel daLele ;l inLr-un medlu eflclenL s facel medlul de domenlu funclonal dup aparlLla
evenLualelor probleme ;l a dlflculLllor in munc.
uLlllznd afacerea non-auLorlLar, puLel inLoarce AcLlve dlrecLory in sLarea dln perloada inalnLe de a se a[unge la probleme
in lucru. ln e;en, in acesL fel conLrolerul de domenlu se inLoarce la un momenL precedenL, ln care e slgur c AcLlve
dlrecLory a funclonaL blne. Apol, cnd Au uS se resLarLeaz, domaln conLroler i;l va conLacLa parLenerll de repllcare ;l va
sollclLa LoaLe updaLes apruLe dup momenLul in care al inLors AcLlve dlrecLory. AcesL proces se face asLfel incL domaln
conLroler adun de la resLul domenlulul LoaLe daLele necesare pe prlnclplul repllcrll.
12. Imp|ementarea |u| kead-on|y Doma|n Contro||er
AceasL lecle a abordaL Lema lul 8ead-only uomaln ConLroller (8CuC), unde esLe expllcaL c acesLa esLe conLroler de
domenlu care permlLe doar o perspecLlv in conlnuLul su, nu ;l schlmbarea sa. ln esen, aceasLa esLe copla parLllllor lul
AcLlve dlrecLory, care conlne LoaLe oblecLele de domenlu, nu ;l LoaLe aLrlbuLele sale. uoar prlnclpalul conLroler de domenlu
poaLe schlmba conlnuLul lul 8CuC, lar prln repllcare modlflcrlle de pe conLrolerul de domenlu Au uS se coplaz pe 8CuC.
Am menlonaL c avanLa[ele uLlllzrll lul 8CuC sunL securlLaLe sporLlLa, o auLenLlflcare mal rapld a uLlllzaLorulul ;l acces mal
eflclenL la resursele de reea, lar moLlvele bune penLru uLlllzarea sa sunL: numr mlc de uLlllzaLorl, securlLaLe lnsuflclenL a
medlulul de reea in care se afl serverul, bandwlLh mlc cLre locala mam ;l slabe cuno;Llne ale uLlllzaLorulul in domenlul
l1. 8aza de daLe 8ead-only Au uS esLe llzlbll uLlllzaLorllor ;l apllcalllor, dar dac apare cererea penLru inscrlere in baza de
daLe, conLul de uLlllzaLor sau apllcalle vor fl orlenLaLe cLre prlnclpalul domenlu al conLrolerulul. 8CuC fllLered aLLrlbuLe seL
esLe un seL de aLrlbuLe fllLraLe ale lul 8CuC, cu care nu esLe permls repllcarea prln foresL pe serverele 8CuC. 8CuC fllLered
aLLrlbuLe seL esLe conflguraL pe conLrolerul de domenlu pe care se afl Schema MasLer role. 8epllcarea dlnLre conLroler de
domenlu prlnclpal ;l 8CuC esLe inLoLdeauna unldlreclonal, respecLlv repllcarea se face de pe conLroler de domenlu
prlnclpal pe cel 8CuC, nu lnvers. 8y defaulL, daLele de auLenLlflcare de uLlllzaLor ;l calculaLor nu se repllc pe 8CuC, dar
penLru a cre;Le eflclena inscrlerll de uLlllzaLor pe domenlu, Lrebule seLaL assword 8epllcaLlon ollcy (8). enLru
CredenLlal cachlng, assword 8epllcaLlon ollcy deLermln daLe de auLenLlflcare pe care conLurlle de uLlllzaLor ;l
calculaLoarele le vor psLra pe un anumlL 8CuC. uac conflgural 8CuC s fac funcla ;l serverul unS, aLuncl de pe Au uS
Lrebule s se fac repllcarea zonelor pe 8CuC. unS pe serverul 8CuC esLe read-only unS. ln lecle esLe prezenLaL ;l procesul
de lnsLalare a serverulul 8CuC ;l esLe lndlcaL care pa;l Lrebule fcul in Llmpul lnsLalrll.
13. Adm|n|strarea baze| de date AD DS
ln aceasL lecle am abordaL Lema bazel de daLe a lul AcLlve dlrecLory. Au uS daLabase (Au uS bazelor de daLe sau baza de
11 / 41
daLe a lul AcLlve dlrecLory) conlne LoaLe lnformallle lmporLanLe necesare penLru funclonarea medlulul Au uS, lar
menlnerea acesLel baze de daLe esLe unul dln cele mal lmporLanLe elemenLe de gesLlonare a lul Au uS. llecare baz de
daLe a lul Au uS esLe alcLulL dln Lrel parLlll: uomaln, ConflguraLlon ;l Schema. e lng aceasLa, baza poaLe s conln
oplonal ;l parLlla appllcaLlon. ll;lerele care fac baza funclonal sunL n1uS.dlL, Lu8*.log, Lu8.chk, edbres00001.[rs ;l
edbres00002.[rs. ln perloada fluxulul obl;nulL al operalllor, log-urlle Lranzaclllor se creeaz frecevenL, unde nolle Lranzacll
se inscrlu pesLe cele vechl, care sunL de[a LermlnaLe. Am prezenLaL n1uSuLll ca ;l comand execuLlv care se sLablle;Le in
command prompL, ;l pe care o puLel folosl penLru menlnerea bazel de daLe a lul Au uS, precum ;l crearea de snapshoLs,
defragmenLarea offllne ;l muLarea fl;lerelor bazel de daLe. v-al famlllarlzaL ;l cu servlclul 8esLarLable AcLlve ulrecLory
uomaln Servlces, care v ofer poslblllLaLea de a oprl LemporaL sau de a resLarLa servlclulul Au uS, fr a fl nevole de
resLarLarea lul domaln conLroler. Al vzuL c sunL Lrel sLrl in care se poaLe afla domaln conLroler: Au uS sLarLed, Au uS
sLopped ;l reglmul uS8M. Am arLaL cum se face oprlrea, defragmenLarea, verlflcarea lnLegrlLll ;l repornlrea lul Au uS dln
Wlndows owerShell. S-a expllcaL ce sunL snapshoLs, lar in exemple concreLe am arLaL cum s facel snapshoL, cum s
verlflcal snapshoLs, mounLlng, s inLoarcel dln el oblecLe ;Lerse ;l in flnal s le desprlndel. Am prezenLaL ;l Au uS 8ecycle
8ln ca o solule care poaLe s permlL un proces slmpllflcaL de refacere a daLelor ;Lerse. S-a expllcaL conform crul prlnclplu
funcloneaz Au uS 8ecycle 8ln ;l cum s-l acLlval.
14. Imp|ementarea contro|eru|u| de domen|u v|rtua|
Wlndows Server 2012 suslne clonarea domenlulul vlrLuallzaL al conLrolerulul. ln verslunlle precedenLe ale lul Wlndows
Server, conLrolerll de domenlu pornll pe ma;lnlle vlrLuale, pracLlc, nu au fosL con;Llenl de acesL lucru. Ll au LraLaL ma;lnlle
vlrLuale ca orlce alL ma;ln hardware. AcesLa esLe procesul de clonare ;l de refacere a ma;lnll vlrLuale care se prea desLul
de neslgur, deoarece exlsL rlscul de a se a[unge la modlflcrl in slsLemul de operare, pe care conLrolerul de domenlu nu le
poaLe a;LepLa. ln verslunlle inalnLe de Wlndows Server 2012, crearea domenlulul vlrLuallzaL al conLrolerulul s-a fcuL cu
a[uLorul lmaglnll server pe care a fosL apllcaL apllcala Sysprep, apol s-a reallzaL manual promola conLrolerulul de
domenlu. Wlndows Server 2012 aduce anumlLe poslblllLl vlrLuale, cu care se ellmln acesLe llpsurl cu a[uLorul
conLrolerelor de domenlu vlrLuallzaLe Au uS. ln Wlndows Server 2012, clonarea ma;lnllor vlrLuale care funcloneaz ca ;l
conLrolerl de domenlu permlL o lmplemenLare eflclenL a mal mulLor conLrolerl in medlul dvs. de reea.
uezvolLarea conLrolerllor de domenlu supllmenLarl se poaLe reallza urmrlnd urmLorll pa;l:
1. verlflcal dac vuC-ul surs se deplaseaz pe hypervlsor-ul suslnuL
2. verlflcal verslunea Scheme
3. verlflcal nlvelul funclonal al foresL-ulul
4. verlflcal slsLemul de operare pe vuC surs
3. verlflcal dac uC LmulaLor lSMC esLe pornlL
6. Aslgural ca uC ;l 8lu masLer s fle acceslblll in Llmpul procesulul de clonare
7. lacel uCCloneConflg.xml flle
8. Aslgural la vuC drepLurlle de a fl clonaL
9. uezacLlval vuC surs ;l scoaLel-l
10. lnLroducel copla creaL (clon) ca o ma;ln vlrLual nou in Pyper-v
ln Wndows Server 2012 clonarea se face in slguran, asLfel incL conLroler de domenlu clonaL porne;Le auLomaL un seL de
procese Sysprep, lar promola o face cu daLele locale ale lul AcLlve dlrecLory, care se afl in proprleLaLea medlulul de
lnsLalare.
Wlndows Server 2012 poaLe s deLecLeze sLarea lul snapshoL a conLrolerulul de domenlu ;l s slncronlzeze sau s repllce
mlcl modlflcrl, inLre conLrolerul de domenlu ;l parLenerll sl in Au uS ;l S?SvCL.
Cnd snapshoL-ul ma;lnll vlrLuale se apllc pe vuC, se porne;Le safe resLore process, repllcarea de lnLrare penLru modlflcrl
in AcLlve dlrecLory inLre conLrolerul de domenlu vlrLual ;l resLul medlulul Au uS. Se creeaz domenlul ldenLlflcaLorulul
relaLlv (8lu) ;l se cere un nou 8lu penLru a se evlLa dublarea de Slu-url in AcLlve dlrecLory. ue asemenea, aceasLa
lnllallzeaz repllcarea non-auLorlLar a folderulul S?SvCL.
ue urmLoarele elemenLe ar Lrebul s lnel conL cnd gesLlonal snapshoL-url in Wlndows Server 2012:
12 / 41
nu folosesc snapshoL-url penLru a schlmba cu ele backup-ul regulaL al slsLemelor.
nu reLurnal snapshoL-ul conLrolerulul de domenlu, care esLe fcuL inalnLe s fle fcuL promovarea lul domaln
conLroler.
nu locallzal LoaLe conLrolele de domenlu pe acela;l server.
13 / 41
4. Gest|onarea contur||or de ut|||zator ;| de serv|c||
1S. Gest|onarea contur||or de ut|||zator
ln aceasL lecle am vzuL cum esLe poslbll a gesLlona conLurlle de uLlllzaLor cu a[uLorul dlferlLelor lnsLrumenLe ale lul
command prompL. uesl procesul de creare a conLurllor de uLlllzaLor esLeun proces slmpluin general, poL aprea probleme
aLuncl cnd vrel s crea(l suLe sau mll de conLurl de uLlllzaLor ;l aLuncl cnd acele conLurl Lrebule s fle zllnlc
modlflcaLe/inLrelnuLe. ln scopul exporLulul sl lmporLulul de uLlllzaLorl dln ;l in AcLlve ulrecLory, puLe(l uLlllza comanda csvde
cu calea pn la fl;lerul corespunzLor .cvs sl parameLrll adecval. llslerele CSv le puLel crea ;l modlflca foloslnd
lnsLrumenLele, cum ar fl MS Lxcel sau noLepad. Avnd in vedere c aceeasl comanda se uLlllzeaz ;l penLru lmporL sl exporL,
func(le pe care o va avea comanda cu exacLlLaLe deplnde de fapLul dac dup ea urmeaz parameLrul !n!- l!n! sau nu. ln
cazul in care con(lne parameLrul !n!- l!n!, comanda va avea rolul de lmporL, in caz conLrar ( fr parameLrll) comanda se
folose;Le penLru exporLul conLurllor de uLlllzaLor. urmLorul lnsLrumenL pe care l-am prezenLaL, folose;Le comanda ldlfde,
cu calea sl parameLrll corespunzLorl. Loglca de uLlllzare a acesLel comenzl esLe ldenLlc ca ;l la comanda csvde, cu
deoseblrea c in loc de fl;lere .cvs se folosesc flslerele .ldlf, care sunL sLrucLural dlferlLe. ln flnal, al fcuL cuno;Llln cu un
alL mod de a lmporLa uLlllzaLorl nol, foloslnd lnsLrumenLul AcLlve ulrecLory for Wlndows owerShell. Ll, de asemenea,
folose;Le flslere csv, lar comenzlle care sunL foloslLe penLru a reallza crearea uLlllzaLorllor nol, sunL de lmporL-csv sl
new-aduser, unde cea de a doua, prln plpe (conducL)(|) prela oblecLele lmporLaLe dln prlma comand.
16. Setarea po||t|c||or pentru contur||e de ut|||zator
ln aceasL lecle, vom procesa Lema legaL de seLarea conLurllor de uLlllzaLor.
ollLlclle conLurllor de uLlllzaLor in medlul Au uS deflnesc seLarea aLrlbuLelor de securlLaLe care sunL aLrlbulLe uLlllzaLorllor.
ln Au uS, pollLlclle conLurllor de uLlllzaLor sunL impr(lLe in dou grupe prlnclpale: pollLlclle parolel ;l de blocare a conLurllor
de uLlllzaLor.
ln Wlndows Server 2012 avel la dlspozlle pollLlclle parolel care poL fl apllcaLe in mod selecLlv (asa-numlLele flne-gralned
password pollcles).
ollLlclle parolel le puLel vedea uLlllznd Croup ollcy ManagamenL Console, lar modlflcarea lor o puLe(l face dln Croup
ollcy ManagemenL LdlLor.
ollLlclle parolel poL fl deflnlLe prln urmLoarele seLrl: Lnforce password hlsLory, Maxlmum password age, Mlnlmum
password age, Mlnlmum password lengLh, assword musL meeL complexlLy requlremenLs, SLore password uslng reverslble
encrypLlon.
Am arLaL cum araLa seLarea penLru flecare dlnLre acesLe elemenLe. Am expllcaL sl ce inseamn blocarea conLurllor de
uLlllzaLor.
Ca ;l admlnlsLraLor de domenlu, ave(l poslblllLaLea de a deLermlna un prag, respecLlv slLua(la-inLrerupLor care va declansa
sl va produce declansarea blocrll conLulul de uLlllzaLor.
enLru aceasL pollLlc sunL dlsponlblle urmLoarele seLrl: AccounL lockouL duraLlon, AccounL lockouL Lreshold ;l 8eseL
accounL counLer afLer. ue asemenea, ;l penLru ele am arLaL cu araL o seLare lndlvldual.
Ca ;l lnsLrumenLe penLru seLarea pollLlcllor am prezenLaL consola Croup ollcy ManagemenL (penLru pollLlcl de grup) ;l
consola Local SecurlLy ollcy (penLru pollLlcl locale).
ollLlclle llne-gralned se folosesc penLru a puLea deflnl mal mulLe regull penLru parole, puLel apllca dlferlLe resLrlc(ll pe ele
14 / 41
sl regull de blocare a conLulul de uLlllzaLor penLru dlferlLele seLurl de uLlllzaLorl in acelasl domenlu.
enLru funclonarea pollLlcll flne-gralned se uLlllzeaz assword seLLlngs conLalner ;l assword seLLlngs ob[ecLs.
assword seLLlngs conLalner (SC) esLe clasa de oblecLe care esLe creaL by defaulL in cadrul cconLalnerulul SysLem in
domenlu ;l alcl se depozlLeazassword seLLlngs ob[ecLs(SC). assword seLLlngs ob[ecLs esLe clasa de oblecLe care leag
seLrlle speclale de parole ;l inchlderea conLurllor de uLlllzaLor de grupele speclflce sau uLlllzaLorl.
v-am arLaL cum se face seLarea oblecLelor SC foloslnd Wlndows owerShell ;l AcLlve ulrecLory AdmlnlsLraLlve CenLer.
17. Conf|gurarea contur||or de serv|c|| gest|onate
AceasL lecle se ocup cu Lema gesLlonrll conLurllor de servlcll.
ConLurlle de servlcll sunL mal slmplu de gesLlonaL sl au un rlsc mal mlc in medlul de re(ea.
Am menlonaL fapLul c penLru a permlLe cenLrallzarea admlnlsLrrll sl indepllnlrea cerln(elor apllca(lel, mulLe companll
folosesc conLurl de domenlu penLru a lnlla servlclul apllcalllor. AcesLa ofer unele avanLa[e fa( de uLlllzarea conLurllor
locale, dar pe de alL parLe, creeaz unele dlflculL(l.
Wlndows Server 2012 rezolv aceasL probleme prln sprl[lnlrea unul oblecL Au uS care esLe foloslL penLru slmpllflcarea
gesLlonrll conLurllor de servlcll. Acel oblecL esLe numlL conL de servlcll gesLlonaL (managed servlce accounL- MSA).
Ll are avanLa[e cum ar fl: gesLlonarea auLomaL a parolelor ;l slmpllflcarea gesLlonrll Sn.
Am aLras aLen(la asupra fapLulul c penLru a uLlllza conLurlle de servlcll gesLlonaLe, calculaLorul cllenL pe care esLe lnsLalaL
o apllca(le sau un servlclu Lrebule s alb cel pu(ln Wlndows 7 sau Wlndows Server 2008 82, precum ;l s exlsLe .nL1
lramework 3.3 sl AcLlve ulrecLory module for Wlndows owerShell.
ConLurlle de servlcll gesLlonaLe sunL sLocaLe in Au uS ca ;l oblecL msuS-ManagedServlceAccounL. AceasL clas mosLenesLe
forma de la clasa CompuLer (care mo;Lene;Le clasa user). rln urmare, acesL lucru permlLe conLulul de servlcll gesLlonaL s
indepllneasc func(la conLulul de uLlllzaLor, cum ar fl aslgurarea auLenLlflcrll sl securlLaLea con(lnuLulul penLru lansarea
servlclulul.
Am prezenLaL sl expllcaL ce esLe grupul conLulul de servlclu gesLlonaL (Croup Managed Servlce AccounLs). Ll v ofer
poslblllLaLea ca uLlllzarea conLurllor sLandard gesLlonaLe s o exLlndel la mal mulL de un server dln domenlu.
ln exemplu am arLaL cum s aduga(l un grup nou de conL de servlclu gesLlonaL sl cum s deflnll cu a[uLorul parameLrllor
llsLa hosL-urllor auLorlzaLe care poL sollclLa lnforma(ll cu prlvlre la parolele grupulul de conLurl de servlcll gesLlonaLe.
15 / 41
S. Infrastructura Group o||cy
18. Introducere |n Group o||cy
ln aceasL lecle ne-am ocupaL de lnfrasLrucLura Croup ollcy. Spre deoseblre de seLrlle pe care le lmplemenLal pe
calculaLorul local, cnd avel medlul de reea cu mal mulLe calculaLoare, in acesL fel modlflcarea seLrllor (acces flzlc la
flecare calculaLor separaL) poaLe fl foarLe greu de reallzaL. ln slLuallle menlonaLe va Lrebul s facel LoaLe modlflcrlle
necesare cu a[uLorul lul ConflguraLlon managemenL. ConflguraLlon managemenL esLe acces cenLrallzaL la apllcarea unel sau
a mal mulLor modlflcrl pe unul sau mal mulLe calculaLoare. rlnclpalele elemenLe ale lul ConflguraLlon managemenL:
SeLLlngs, Scope ;l AppllcaLlon. rln lnLroducere in bazele Croup ollcy v-am famlllarlzaL cu fapLul c Croup ollcy reprezlnL
inLregul medlu in cadrul slsLemulul de operare Wlndows, care cuprlnd ;l componenLele locallzaLe in AcLlve ulrecLory, in
domaln conLroler ;l pe flecare calculaLor server ;l cllenL. ue aceea avel poslblllLaLea de a gesLlona LoaLe seLrlle in domenlul
Au uS. Am expllcaL c LoaLe seLrlle ale Croup ollcy sunL depozlLaLe in Croup ollcy Cb[ecL (CC). CC se prezlnL cel mal
bune care un conLalner in care sunL depozlLaLe pollLlclle impreun cu proprllle seLrl. llecare seLare a Croup ollcy se afl in
sLaLusul - noL Conflgured. Cnd sLaLusul seLrll pollLlcll modlflcal pe Lnable sau ulsable, se vor face modlflcrl pe calculaLor
sau conLul de uLlllzaLor la care se refer CC. Am arLaL c prlnclpalul scop al uLlllzrll Croup ollcy in seLrlle pe care vrel
s le apllce uLlllzaLorll obl;null. ue asemenea, Croup Cllcy le puLel folosl penLru a unlformlza conLurlle de uLlllzaLor pe
LoaLe calculaLoarele in unlLaLea organlzalonal sau in cadrul companlel. LsLe lmporLanL de ;LluL cnd se apllc regullle pe
care le poarL cu slne pollLlclle - pollLlclle de calculaLor se apllc in Llmpul rldlcrll slsLemulul, lar pollLlclle flnale se apllc in
Llmpul logrll uLlllzaLorulul. ln exemplu concerL am arLaL cum s facel noul oblecL CC ;l s modlflcal seLrlle necesare,
penLru care am expllcaL lerarhla nodes, care fac CC. Ca prlmul in lerarhle se afl CompuLer ConflguraLlon ;l user
ConflguraLlon nodes. Ambele nodes sunL alcLulLe dln nodes: ollcles ;l references. ollcles node esLe alcLulL dln
folderele: SofLware SeLLlngs, Wlndows SeLLlngs ;l AdmlnlsLraLlve 1emplaLes, lar references node esLe alcLulL dln: Wlndows
SeLLlngs ;l ConLrol anel SeLLlngs.
19. Crearea | adm|n|strarea GC
AceasL lecle abordeaz Lema oblecLelor CC, crearea ;l inLrelnerea lor.
oblecLele de domenlu CC sunL asoclaLe cu domenlul, respecLlv ele sunL creaLe in medlul Au uS sl sunL sLocaLe pe un
conLroler de domenlu. Scopul lor esLe un managemenL cenLrallzaL sl conLrolul domenlulul de uLlllzaLorl sl de calculaLoare.
Cnd lnsLalal Au uS, se creeaz auLomaL dou oblecLe CC: uefaulL uomaln ConLollers ollcy ;l uefaulL uomaln ollcy.
SlsLemele de operare Wlndows au, de asemenea, oblecLe CC locale, care sunL uLlllzaLe in slLua(ll in care calculaLorul nu
esLe conecLaL la un medlu de domenlu.
SeLrlle ;l proprleLlle oblecLelor CC sunL sLocaLe in dou locall: Croup ollcy ConLalner (CC) ;l Croup ollcy 1emplaLe
(C1). Croup ollcy ConLalner esLe oblecLul AcLlve ulrecLory in care se sLocheaz proprleLlle oblecLelor CC, cum ar fl:
lnformall despre verslune, sLarea oblecLulul CC ;l llsLa componenLelor a cror seLrl se afl in oblecLul CC.
Croup ollcy 1emplaLe esLe un folder, in cadrul lul flle slsLem, in care se se depozlLeazAdmlnlsLraLlve LemplaLe, seLrlle de
securlLaLe, scrlpL-urlle ;l lnformallle despre apllcallle care sunL dlsponlblle penLru Croup ollcy SofLware lnsLallaLlon.
enLru repllcarea conLalnerulul Croup ollcy ;l a lul Croup ollcy 1emplaLe se folosesc dlferlLe mecanlsme. ConLalnerul
Croup ollcy in AcLlve ulrecLory se reproducecu a[uLoru; lul ulrecLory 8epllcaLlon AgenL. Croup ollcy LemplaLe se
reproduce cu a[uLorul unela dln dou Lehnologll: llle 8epllcaLlon Servlce ;l ulsLrlbuLed llle SysLem.
Am prezenLaL ;l oblecLele SLarLer CC, ca un ;ablon care se folose;Le penLru crearea oblecLelor CCin consolaCroup ollcy
ManagemenL ;l permlLe ca inLr-un oblecL s se depozlLeze colecla pollLlcllor AdmlnlsLraLlve 1emplaLe. ln cadrul lul SLarLer
CC de[a poL fl depozlLaLe anumlLe seLrl recomandaLe penLru medll concreLe.ln clva pa;l am prezenLaL modallLlle cum
16 / 41
s creal, modlflcal ;l;Lergel oblecLele SLarLer CC, precum ;l cum dln oblecLele exlsLenLe SLarLer CC s facel nol
oblecLe CC. Ca prlnclpale Leme in menlnerea oblecLelor CC, am menlonaL ;l expllcaL urmLoarele obllgall:
8ackup-ul oblecLelorCC.
lnLoarcerea (resLore) a oblecLelor CC pe care a fosL apllcaL procedeul de back-up.
Coplerea oblecLelor CC.
lnLroducerea seLrll oblecLelor CC dln CC back-up.
uLlllzarea Labelelor de mlgrale.
Cnd esLe vorba de acLlvlLlle in AcLlve ulrecLory, Lol admlnlsLraLorll au anumlLe nlvele de prlvllegll penLru lucru pe daLele
de inLrelnere a oblecLelor CC. ALrlbulrea sarclnllor legaLe de oblecLele CC v ofer poslblllLaLea de a dlsLrlbul obllgallle
;l va ocupa slsLemul de admlnlsLraLor in companle. Am expllcaL modallLaLea in care anumlLesarclnl se aLrlbule grupulul
concreL de admlnlsLraLorl.La flnal, al puLuL cunoa;Le prlnclpalele comenzl cmdleL penLru uLlllzare dln Wlndows
owerShell, penLru crearea, coplerea, back-up, modlfflcarea ;l ;Lergerea oblecLelor CC.
20. Domen|u|, procesarea | moten|rea GC
AceasL lecle a abordaL Lemele de procesare a Croup ollcy, a domenlulul de acLlvlLaLe a oblecLulul CC, slsLemul de
mo;Lenlre a seLrllor precum ;l Lehnlcl de blocare ;l mo;Lenlre foraL.
un oblecL CC il puLe(l lega/conecLa cu unul sau mal mulLe slLe-url de Au uS, domenll sau unlL(l organlza(lonale.
uup efecLuarea conecLrll, conLurlle de uLlllzaLor ;l de calculaLor ale conLalnerulul respecLlv vor aparlne domenlulul
respecLlvulul oblecL CC, cu care esLe deflnlL domenlul oblecLulul CC.
uac oblecLul CC esLe conecLaL la slLe, seLrlle sale vor lnfluena LoaLe calculaLoarele sau conLurlle de calculaLor in cadrul
slLe-ulul, lndlferenL de domenlul crul aparln. Ma[orlLaLea acelora;l regull, care se refer la calculaLoarele cllenL, se apllc in
dlferlLe unlLl organlzalonale. ALuncl vel deflnl regula inLr-un oblecL CC, apol oblecLul respecLlv vel lega de flecare
unlLaLe organlzalonal. Cnd se a[unge la nevola de schlmba modallLaLea de lucru a uLlllzaLorulul, cu modlflcarea regulll
oblecLulul CC, modlflcrlle vor fl apllcaLe ;l in LoaLe unlLlle organlzalonale cu care esLe conecLaL oblecLul CC. Am
menlonaL ;l c apllcarea Croup ollcy se face dup urmLoarele prlorlLl:
1. Croup ollcy locale
2.SlLe Croup ollcy
3. uomaln Croup ollcy
4.Croup ollcy ale unlLllor organlzalonale
3.Croup ollcy ale unlLllor organlzalonale chlld
Am expllcaL ;l c mo;Lenlrea aslgur ca LoaLe conLurlle de calculaLor ;l uLlllzaLor pe domenlu, slLe sau unlLaLe
organlzalonal s fle seLaLe pe baza regulllor LuLuror Croup ollcy care se refer la ele. Cnd mal mulLe oblecLe CC sunL
legaLe la acela;l nlvel, puLel schlmba ordlnea de conecLare. Am anallzaL ;l meLodele de blocare ;l de forare a mo;Lenlrll, ;l
am menlonaL c, aLuncl cnd esLe blocaL mo;Lenlrea, se apllc seLrlle pollLlcllor CC ale oblecLelor legaLe pe acel nlvel, in
Llmp ce seLrlle dln conLalneLul de nlvel superlor rmn neapllcaLe, dar in umr amo;Lenlrll foraLe LoaLe seLrlle Croup
ollcy de la nlvelele superloare s se mo;Leneasc ;l s se apllce lndlferende seLrlle pollLlcllor in oblecLele de nlvel lnferlor.
17 / 41
Ca aLare, mo;Lenlrea foraL se folose;Le penLru a evlLa coplerea ;l blocarea pollLlcllor.
21. I||tre, Loopback, conex|un| |ente ;| s|steme dezact|vate
AceasL lecle a abordaL Lemele fllLrulul securlLy l WMl, am arLaL cum s dezacLlval ;l s aclval anumlLe Croup ollcy.
Am expllcaL ce sunL pollLlclle loopback processlng ;l cum cu a[uLorul pollLlcllor se deLecLeaz conexlunlelenLe ;l calculaLoare
dezacLlvaLe. Avnd in vedere c exlsL slLuall cnd vel avea nevole s apllcal Croup ollcy doar la anumlLe gruoe ale
conLurlloe sw uLlllzaLor ;l calculaLor, exlsL un mod de a apllca CC la un anumlL grup securlLy. CC ollcy ale oblecLulul se
vor apllca doar pe membrll care au drepLurl: 8ead ;l Apply Croup ollcy asupra oblecLulul CC. SeLnd drepLurlle
corespunzLoaLe penLru grupul securlLy, avel poslblllLaLea de a fllLra CC asLfel incL seLrlle sale s se apllce doar pe
conLurlle de calculaLor sau de uLlllzaLor care sunL menlonaLe. lllLrele Wlndows ManagemenL lnsLrumenLaLlon (WMl) v
ofer poslblllLaLea de a deLermlna dlnamlc domenlul oblecLelor CC, pe baza aLrlbuLulul calculaLoarelor lnL. lllLrul WMl
esLe un oblecL speclal care se poaLe conecLa cu oblecLul CC. Cnd se apllc CC pe calculaLorul lnL, pe el se fac dlferlLe
evalurl pe baza lnLerogrllor deflnlLe. uac fllLrul reLurneaz valoarea loglc false, CC nu va fl apllcaL, lar dac fllLrul
reLurneaz valoarea loglc Lrue, CC se va apllca. WMl adun daLe despre calculaLorul lnL, care se poL referl la LoaLe
componenLele hardware, sofLware, seLrl ;l lnformall de conlgurare. lnLerogrlle sunL scrlse in llmba[ul WMl Cuery
Language (WCL) ;l poL fl comblnaLe cu operaLorl loglcl Anu ;l C8, penLru ca admnlsLraLorul s poaL s creeze lnLerogrl
complexe ;l s a[ung la rspunsurl saLlsfcLoare. llecare lnLerogare se face la un anumlL namespace WMl, in care se afl
clasele la care se poL seLa lnLerogrl. La crearea lnLerogrll, Lrebule s deLermlnal ;l namespace.
rln modlflcarea sLaLusulul oblecLulul CC, aLuncl cnd slLuala sollclL aceasLa, puLel evlLa apllcarea Croup ollcy pe
conLurlle de calculaLor ;l de uLlllzaLor, asLfel incL vel acLlva sau dezacLlva oblecLele CC. AsLfel, oblecLul CC il puLel pune
in cLeva sLrl: Lnabled, All seLLlngs dlsabled, CompuLer conflguraLlon seLLlngs dlsabled ;l user conflguraLlon seLLlngs
dlsabled. uezacLlvnd unele funcll ale oblecLulul CC puLel lnfluena performanele apllcrll Croup ollcy.
LxlsL slLuall cnd vel vrea, ca in funcle de fapLul pe care calculaLor uLlllzaLorul folose;Le proprlul conL de uLlllzaLor, acel
conL de uLlllzaLor s fle adapLaL anumlLor cererl, care vor fl seLaLe in conformlLaLe cu conLul de calculaLor, nu cu cel de
uLlllzaLor. ALuncl o s v a[uLe acLlvarea procesrllLoopback a pollLlcllor. rln acLlvarea sa aslgural ca seLrlle conLurllor de
uLlllzaLor s fle inLoLdeauna apllcaLe dup apllcarea seLrll conLulul de uLlllzaLor.
Slow-llnk deLecLlon folosesc cllenll Croup ollcy penLru a consLaLa cre;Lerea Llmpulul de a;LepLare ;l de reducere a
dlsponlblllLll resurselor pe reea, in scopul prelurll aclunllor de corecle penLru reducerea poslblllLll ca in Llmpul
apllcrll Croup ollca s se a[ung la sollclLarea reelel. Cnd deLecLeaz conexlunea lenL, prln llmlLarea apllcrll pollLlcllor,
cllenll Croup ollcy reduc comunlcarea lor de reea ;l cererlle, penLru a reduce Lraflcul LoLal de reea. uac uLlllzaLorul
lucreaz la calculaLor ;l a[unge la dezacLlvarea calculaLorulul de pe reea, seLrlle de[a apllcaLe de cLre Croup ollca vor
avea efecL in conLlnuare. Cnd calculaLorul se leag dln nou de reea, cllenLul Croup ollcy se va Lrezl ;l va verlflca dac esLe
permls vreo acLuallzare a Croup ollcy ;l dac da, va incepe acLuallzarea. enLru ca Croup ollcy s alb efecL, exlsL
precondlll care Lrebule s fle indepllnlLe, ;l anume: Lrebule s se fac Lranscrlerea CC, modlflcrlle in grup Lrebule s se
mapeze, Croup ollca de calculaLor ;l de uLlllzaLor Lrebule s se acLuallzez, deseorl Lrebule delogaL/logaL uLlllzaLorul ;l
repornlL calculaLorul, Lrebule acLuallzaLe manual Croup ollca ;l Lrebule lnuL conL c ma[orlLaLea proceselor CL nu apllc
seLrlle dac oblecLul CC nu esLe modlflcaL inLre-Llmp.
22. kezo|varea prob|eme|or |n ap||carea Group o||cy
LsLe foarLe lmporLanL ca admlnlsLraLor de slsLem s avel poslblllLaLea de a ldenLlflca poLenlale probleme care apar. Cnd
facel modlflcrl in Croup ollcy, valablllLaLea acesLor modlflcrl incepe lmedlaL. uar propoagarea lor nu se face auLomaL, in
acela;l momenL. CalculaLoarele cllenL suporL cererl penLru preluarea pollLlcllor in urmLoarele impre[urrl: cnd
calculaLorul esLe pornlL, cnd uLlllzaLorul se inreglsLreaz, cnd o apllcale sau un uLlllzaLor sollclL acLuallzare, cnd explr
lnLervalul deflnlL dup care incepe acLuallzarea. uup acesLe apllcrl lnllale ale pollLlcllor, acLuallzarea pollLlcllor se face
auLomaL penLru a se aslgura ca in orlce momenL s fle apllcaLe regull corespunzLoare. lnLervalul lmpllclL de aLuallzare
penLru domaln conLrolers esLe de 3 mlnuLe, dar penLru LoaLe celelalLe calculaLoare Llmpul predeflnlL esLe de 90 de mlnuLe.
18 / 41
uup explrarea celor 90 de mlnuLe esLe permls emlLerea a 30 de mlnuLe penLru ca acLuallzarea s poaL fl dlsLrlbulL
corecL. SeLrlle de securlLaLe sunL o exceple in apllcxarea regulllor de acLuallzare. AcesLe seLrl se acLuallzeaz lmpllclL la
flecare 16 ore (960 de mlnuLe) lndlferenL dac in oblecLele pollLlcllor sunL modlflcrl. 5l alcl esLe valabll regula c esLe
permls omlLerea a 30 de mlnuLe. lnLervalul de acLuallzare a Croup ollcy se poaLe schlmba in seLrlle flecrel pollLlcl
separaL. ln marlle medll de reea, deseorl Lrebule puse perloade de refresh ppenLru a fl mal lungl deciL valoarea lor defaulL,
in speclal dac Croup ollcy se apllc pe cLeva suLe sau mll de calculaLoare. ln Wlndows Server 2012 in owerShell exlsL
noua comand cmdleL - lnvoke-gpupdaLe, de asemenea o nouLaLe in Wlndows Server 2012 esLe 8emoLe ollcy 8efresh.
8So ofer o prezenLare deLallaL a oblecLelor CC apllcaLe pe conLul de calculaLor sau de uLlllzaLor, precum ;l prezenLarea
mo;Lenlrllor foraLe ;l blocaLe, apllcrl securlLy ;l a fllLrulul WMl. 8So esLe ;l o colecle de lnsLrumenLe, car v poL a[uLa in
lnLerpreLare, modelare ;l rezolvarea problemelor prln apllcarea seLrllor Croup ollcy.
Ca a[uLor in anallza efecLulul LoLal al Croup ollcy asupra conLulul de uLlllzaLor sau calculaLor sau dac vrel s inelegel care
seLrl sunL apllcaLe cu exacLlLaLe pe conLul de uLlllzaLor, consola Croup ollcy ManagemenL conlne Croup llcy 8esulLs
Wlzard. Croup ollcy 8esulLs Wlzard conLacLeaz WMl provlder pe calculaLorul local sau de la dlsLan, care poaLe oferl un
raporL despre LoL ce ;Lle despre modallLaLea de apllcare a Croup ollca pe slsLem. 8aporLul il puLel salva in formaL P1ML
sau xML, prln Advanced vlew puLel deschlde consola in care va fl prezenLaL un raporL deLallaL.
uLlllznd comanda gpresulL.exe, care reprezlnL varlanLa command-llne Croup ollcy 8esulLs Wlzard, de asemenea puLeel
oblne rezulLaLe 8So. rlnclplul de funclonare a comenzll esLe ldenLlc cu cea care folose;Le Croup ollcy 8esulLs Wlzard.
uac vrel s anLlclpal vllLoarele evenlmenLe in Croup ollcy sau s facel anallza , avel nevole de Croup ollcy
Modellng. rln verlflcarea raporLulul su puLel a[unge la concluzla cum va lnfluena apllcarea unor Croup ollcy conLurlle
de uLlllzaLor ;l de calculaLor.
CblecLele uefaulL uomaln ollcy ;l uefaulL uomaln ConLroller ollcy sunL foarLe lmporLanLe penLru fuunclonarea corecL a
lul AcLlve ulrecLory ;l dac dlnLr-un moLlv anume inceLeaz s funcloneze corecL, nlcl Croup ollcy nu vor funclona corecL.
AcesL Llp de problem se poaLe rezolva foloslnd consola Croup ollcy ManagemenL penLru a se face dln backup reLur al
acesLor oblecLe CC. uac nu avel backup al acesLor oblecLe, puLel folosl comanda dcgpoflx. lns, refacerea Croup ollcy
cu aceasL comand are drepL consecln fapLul c LoaLe modlflcrlle pollLlcllor fcuLe s-au plerduL inLre-Llmp.
lncepnd de la Wlndows vlsLa ;l Wlndows Server 2008 pn la ulLlmele edlll ale slsLemelor de operare Wlndows, sunL
lnLroduse nouLl lmporLanLe in crearea de logs penLru evenlmenLele legaLe de Croup ollcy. Logs in care puLel gsl
lnformall despre evenlmenLele legaLe de Croup ollcy sunL: SysLem log, AppllcaLlon log ;l Croup ollcy CperaLlonal log.
19 / 41
6. Gest|onarea prof||u|u| ut|||zatoru|u| ut|||znd Group po||cy
23. o||t|c| Adm|n|strat|ve 1emp|ate
ln aceasL lecle aam abordaL Lema pollLlcllor in AdmlnlsLraLlve 1emplaLe ;l seLrlle lor. ll;lerele AdmlnlsLraLlve 1emplaLe
peermlL ma[orlLaLea seLrllor CC, care schlmb anumlLe reglsLry keys. uneorl AdmlnlsLraLlve 1emplaLe se nume;Le ollcy
bazaLe pe reglsLry sau 8eglsLry ollcy. AcesLe pollLlcl le puLel folosl penLru conLrolul slsLemelor de operare ;l a medlllor de
uLlllzaLor. ll;lerele AuM au fosL foloslLe lnLens in verslunlle mal vechl ale slsLemelor de operare care poL fl seLaLe de cLre
admlnlsLraLor prln Croup ollcy. Cel mal mare dezavanLa[ al uLlllzrll fl;lerelor AuM esLe c in verslulle mal vechl ale
slsLemelor de operare (inalnLe de Wlndows vlsLa ;l Server 2008) esLe c ele coplaz in folderul AuM al oblecLulul CC pe
domaln conLroler. ln nolle slsLeme de operare Wlndows (de la Wlndows vlsLa ;l Server 2008), seLrlle pollLlcllor bazaLe pe
reglsLry sunL deflnlLe cu a[uLorul formaLulul sLandard xML, care se nume;Le AuMx. ll;lerele AuMx se imparL in fl;lere
neuLre de llmba[ care au exLensla .admx ;l fl;lere de llmba[ speclfflce cu exLensla .adml. ll;lerele de llmba[ neuLre aslgur ca
CC s alv pollLlclle prlnclpale ldenLlce. ll;lerele de llmba[ speclflce permlL pollLlcllor s fle vzuLe ;l edlLaLe pe
calculaLoarele care au dlferlLe pacheLe de llmba[. Cnd pornll edlLor pollsy, acesLa incarc auLomaL fl;lerele AuMx dln
folderele predeflnlLe. e lng aceasLa, puLel copla fl;lerele AuMx pe care vrel s le folosll in folderul corespunzLor in
domaln conLroler, penLru a le face acceslblle cnd edlLal Croup ollcy.
CenLral sLore esLe sLrucLura dlrecLorulul creaL in dlrecLorul S?SvCL pe domaln conLrolers a flecrul domenlu exlsLenL in
companle. uup ce creal depozlLul cenLral, lnsLrumenLele Croup ollca incep cu uLlllzarea fl;lerelor .admx ;l .adml care se
afl in depozlLul cenLral (lgnornd verslunlle depozlLaLe local). uar dac nu se poaLe conLacLa conLrolerul de domenlu, abla
aLuncl se folosesc fl;lerele depozlLaLe local. enLru medllle de companle, de domenlu puLel crea depozlLul cenLral al
fl;lerelor .admx, care poaLe fl accesaL de flecare uLlllzaLor care are drepLul de a crea ;l edlLa oblecLele CC. enLru a crea
depozlLul cenLral penLru fl;lerele .admx ;l .adml, Lrebule s facel un folder care se va numl ollcyueflnlLlons pe locala
\lCunS?SvCLlCunpollcles.
lnsLrumenLele penLru edlLarea Croup ollcy in verslunlle mal vechl ale slsLemelor de operare Wlndows nu au avuL
poslblllLaLea de a cuLa pollLlclle speclflce. Avnd in vedere c vel avea la dlspozlle mll de pollLlcl, uneorl esLe foarLe greu a
locallza pollLlca pe care vrel s o folosll penLru o anumlL seLare. Croup ollcy ManagemenL edlLor in Wlndows Serveru
2012 rezolv aceasL problem seLnd AdmlnlsLraLlve 1emplaLe. Acum exlsL poslblllLaLea de a locallza pollLlca de care avel
nevole, uLlllznd dlferlLe crlLerll de cuLare. LxlsL poslblllLaLea de a face cuLarea ;l pe baza comenLarlllor lnLroduce in
seLrlle pollLlcllor.
24. ked|rec|onarea fo|dere|or ;| ap||carea scr|ptur||or
ln aceasL lecle ne-am famlllarlzaL mal mulL cu Lehnlca de reorlenLare a folderulul. Am expllcaL c reorlenLarea folderulul
presupune gesLlonarea cenLral a folderelor speclale, respecLlv prln orlnLarea lor cLre folderele speclale, respecLlv
orlenLarea lor pe locala cenLral pe reea, in loc de uLlllzarea a mal mulLor locall predeflnlLe pe flecare calculaLor separaL.
lolderele speclale ale Lururor uLlllzaLorllor le puLel reorlenLa cLre aceea;l locale de reea sau cLre locall speclale pe
reea, pe baza aderrll uLllllzaLorllor inLr-o anumlL grup securlLy. ln ambele cazurl Lrebule aslguraL ca locallle de reea pe
care planlflcal s le folosll s fle acceslblle ca resurse de reea parLa[aLe (neLwork share). 8eorlenLarea folderulul se poaLe
face lndlferenL de calculaLorul pe care lucreaz uLlllzaLorul. rln exemplu am expllcaL cum puLel reorlenLa foldere speclale
pe aceea;l locale ;l am expllcaL uLlllzarea seLrllor ;l parameLrllor auxlllarl. Cnd folderele redlreclonaLe sunL formaLe de
procesul de reorlenLare a folderulul, drepLurl de acces vor fl deLermlnaLe auLomaL, lar dac le creal manual, aLuncl Lrebule
s ;Lll ;l care sunL drepLurlle corecL de a fl accesaLe.
MulLe sarclnl dflerlLe le puLel face cu a[uLorul scrlpLulul Croup ollcy. Apllcarea lor esLe cea mal frecvenL in acLlvlLlle care
se repeL ;l care sunL frecvenLe. ln Wlndows Server 2008 82 ;l Wlndows Server 2012, puLel dezvolLa proprllle scrlpLurl
Wlndows owerShell. ScrlpLurlle se salveaz in folderul parLa[aL pe reea. 1rebule s vaslgural c cllenll au acces la
aceasL locale de reea. ln exemplu am arLaL, pas cu pas, cum s facel un scrlpL slmplu, s-l conecLal cu Croup ollcy ;l s
20 / 41
verlflcal corecLlLudlnea muncll sale.
2S. Setarea Group o||cy preferences | gest|onarea |u| software ut|||znd Group o||cy
ln aceasL lecle am abordaL Lemele Croup ollcy preferences ;l gesLlonarea lul sofLware cu a[uLorul Croup ollcy. Croup
pollcy preferences conln in LoLal mal mulL de 20 de supllmenLe ale Croup ollcy, cu care se exLlnde domenlu de seLare care
poaLe fl seLaL in Croup ollcy. SeLarea Croup ollcy preferences nu sollclL nlclun lnsLrumenL supllmenLar speclal sau
lnsLalarea lul sofLware, cl esLe suslnuL naLural prln consola Croup ollcy Manager ;l se apllc la fel ca seLarea Croup ollcy.
references au dou grupe speclale e seLrl: Wlndows SeLLlngs ;l ConLrol anel SeLLlngs. Cnd seLal preferences, puLel
apllca urmLoarele Lrel acLlvlLl de baz: CreaLe, ueleLe, 8eplace ;l updaLe. rlnclpalele deoseblrl ingLre seLrlle Croup
ollcy ;l Croup ollcy preferences consL modallLlle de a apllca proprllle seLrl. una dlnLre acesLe deoseblrl esLe c
preferences nu i;l apllc seLrlle foraL, de;l avel poslblllLaLea de a seLa ca apllcarea repeLaL a preferences s se fac
auLomaL. uup ce creal Croup ollcy preferences, Lrebule s le ;l seLal. ulferlLe preferences sollclL ;l dlferlLe lnformall de
lnLrare. ue asemenea, preferences aslgur un anumlL numr de lnsLrumenLe in seLrlle comune in scopul a[uLorulul la
crearea Croup ollca prefecrences. ln flla Ceneral roperLls se lnLroduc prlnclpalele lnformall. prlmul pas esLe
deLermlnarea aclunll corespunzLoare penLru Croup ollca preferences: CreaL, ueleLe, 8eplace ;l updaLe. llla Common
roperLles esLe ldenLlc penLru LoaLe Croup ollca preferences. ln elemenLele fllel Common roperLles puLel conLrola
urmLoarele seLrl:
SLop processlng lLems ln Lhls exLenslon lf an error occurs
8un ln logged-on user's securlLy conLexL
8emove Lhls lLem when lL ls no longer applled
Apply once and do noL reapply
user lLem-level LargeLlng
Wlndows Server 2012 are un lnsLrumenL care se nume;Le SofLware lnsLallaLlon and MalnLenance, pe care AcLlve dlrecLory,
Croup ollcy ;l Wlndows lnsLaller servlce il folosesc penLru lnsLalarea, inLrelnerea ;l inlLurarea sofLware-ulul de pe
calculaLor in medlul de domenlu. Clclul de vla al lul sofLware esLe alcLulL dln 4 faze: ZlvoLnl clklus sofLwarea se sasLo[l od
ceLlrl faze: pregLlrea, dlsLrlbulrea, inLrelnerea ;l inlLurarea. Croup ollcy le puLel folosl penLru gesLlonarea LuLuror
fazelor, in afar de faza de pregLlre. Wlndows lnsLaller servlce lnsLaleaz pacheLul de fl;lere MlcrosofL lnsLaller (MSl). MSl
flles conln baza de daLe care salveaz LoaLe lnsLruclunlle necesare penLru lnsLalala apllcalllor. LxlsL dou Llpurl de
dlsLrlbule ale lul sofLware pn la calculaLoarele cllenL. AdmlnlsLraLorll poL s lnsLaleze sofLware penLru conLurlle de
uLlllzaLor ;l de calculaLor asLfel incL va imprl inalnLe pacheLe sofLware sau prln publlcarea lul sofLware in AcLlve dlrecLory
va oferl uLlllzaLorllor poslblllLaLea de a lnsLala sofLware cnd vor avea nevole.
21 / 41
7. Gest|onarea |u| kemote Access | rezo|varea prob|eme|or
26. Conf|gurarea accesu|u| |a d|stan
LsLe necesar caadmlnlsLraLorll acLuall de slsLem s cunoasc Lehnologllle care ofer poslblllLaLea uLlllzaLorllor de la dlsLan
s se conecLeze la lnfrasLrucLura de reea a companlel.LsLe foarLe lmporLanL s inelegel cum cu a[uLorul uLlllzrll pollelor
de reea s seLal ;l s aslgural cllenll care folosesc accesul la dlsLan.
lnfrasLrucLura de sprl[ln a inLregulul slsLem neLwork Access Servlces in Wlndows Serveru 2012 de oblcel conlne
urmLoarele componenLe:vlrLual rlvaLe neLwork (vn) server, AcLlve ulrecLory uomaln Servlces (Au uS), AcLlve ulrecLory
CerLlflcaLe Servlces (Au CS), uPC server, neLwork ollcy Server, neLwork Access roLecLlon (nA), unde componenLele
nA sunL: nA PealLh ollcy Server, PealLh 8eglsLraLlon AuLhorlLy (P8A) ;l 8emedlaLlon Servers.
ollLlclle de reea ;l role ale servlclllor de acces in Wlndows Server 2012 aslgur urmLoarele caracLerlsLlcl ale conecLrll la
reea:lnllaz pollLlclle healLh,A[uL la securlLaLea accesulul wlrelles ;l LAn;l CenLrallzeaz gesLlonarea pollelor de reea.
8emoLe Access role (role al accesulul de la dlsLan) permlLe uLlllzaLorllor s acceseze reeaua de companle prln lnLermedlul
accesulul de la dlsLan, foloslnd unele dln urmLoarele Lehnologll:vn prlsLup ;l ulrecLAccess.
ln Llmpul lnsLalrll lul 8emoLe Access role puLel lmplemenLa unele dln urmLoarele Lehnologll: ulrecLAccess, vn 8emoLe
Access Servlce (8AS) ;l 8ouLlng.
Cnd selecLal rouLlng, se lnsLaleaz ;l neLwork Address 1ranslaLlon (nA1).
uLlllznd nA1, calculaLoarele in reea prlvaL oblne ;l un anumlL nlvel de proLecle, deoarece rouLer-ul pe care se seLeaz
nA1 nu dlrecloneaz Lraflcul de pe lnLerneL in reea parLlcular pn cnd cllenLul in reeaua parLlcular nu sollclL acesL
lucru sau pn cnd redlreclonarea Lraflculul nu esLe permls expllclL.
ueoseblrea dlnLre auLenLlflcare ;l auLorlzale esLe lmporLanL penLru inelegerea moLlvulul de ce o conexlune esLe
accepLaL sau nu. AuLenLlflcarea esLe verlflcarea credenlalelor (a numelul de uLlllzaLor ;l a parolel, a cerLlflcaLelor eLc.) care
se LrlmlL la verlflcaL, in urma incercrll de a se conecLa.AuLorlzala esLe procesul de verlflcare care verlflc ;l reLurneaz
rezulLaLul dac incercarea de coencLare a reu;lL. AuLorlzala se porne;Le inLoLdeauna dup auLenLlflcare.
uac conflgural serverul 8emoLe Access de a uLlllza auLenLlflcarea Wlndows, lnsLrumenLele securlLy ale lul Wlndows Server
2012 vor verlflca credenlale de auLenLlflcare, in Llmp ce parameLrll dlal-ln al conLulul de uLlllzaLor ;l a pollLlcll depozlLaLe
local ale accesulul de la dlsLan vor fl responsablll penLru auLorlzala conexlunll.uac conflgural serverul 8emoLe Access
server s foloseasc auLenLlflcarea 8AuluS, credenlalele conexlunll de lnLrare vor fl aLrlbulLe serverulul 8AuluS in scopul
auLenLlflcrll ;l auLorlzalel.
MeLodele de auLenLlflcare folosesc de oblcel proLocoale de auLenLlflcare, care se sLabllesc in Llmpul procesulul de reallzare a
conexlunll. MeLodele de auLenLlflcare care se folosesc cel mal des sunL: A, CPA, MS-CPAv2, LA.
ubllc key lnfrasLrucLure (kl) esLe alcLulL dln cLeva componenLe, care v a[uL s proLe[al canale corporaLlve de
comunlcare, lncluznd ;l cele care se folosesc penLru accese de la dlsLan, acesLea fllnd:CerLlflcaLlon AuLhorlLy, ulglLal
cerLlflcaLes, CerLlflcaLe LemplaLes, CerLlflcaLe revocaLlon llsLs, ubllc key-based appllcaLlons and servlces, CerLlflcaLe and CA
managemenL Lools, AuLhorlLy lnformaLlon access, C8L dlsLrlbuLlon polnLs l Pardware securlLy module.
uPC role aslgur uLlllzaLorllor de la dlsLan aLrlbulrea dlnamlc a adreselor l in Llmpul conecLrll lor. Cnd folosll uPC ;l
8ouLlng and 8emoLe Access impreun, pe acela;l server, lnformallle care se aslgur in Llmpul conflgurrll dlnamlce se
aslgur alLfel decL conflgurarea Llplc uPC penLru cllenll LAn. ln medlul LAn, cllenll uPC kll[enLl sollclL ;l prlmesc
lnformallle de conflgurare, bazaLe pe seLrl in consola uPC.Adresele l care se ellbereaz dup deconecLarea
uLlllzaLorulul de la dlsLan se folosesc dln nou.
22 / 41
27. Conex|un||e VN
Conexlunea in care daLele sunL encapsulaLe ;l crlpLaLe se nume;Le conexlunea vn (vlrLual rlvaLe neLwork
connecLlon).Conexlunlle 8emoLe access vn ofer poslblllLaLea uLlllzaLorllor care lucreaz in afara reelel locale de a sLablll
comunlcarea cu serverul in reea de companle prlvaL, foloslnd lnfrasLrucLura reelel publlce.
Conexlunlle SlLe-Lo-slLe vn, care se numesc ;l conexlunlle rouLer-Lo-rouLer vn, ofer poslblllLaLea ca companla s alb
deflnlLe ;l orlenLaLe conexlunlle dlnLre proprllle prl separaLe de locall.
Lncapsu|area - ut|||znd tehno|og|||e VN, date|e pr|vate se encapsu|eaz | cu a[utoru|
|nforma|||or despre rute|e depoz|tate |n header, trec pr|n reea pub||c.
AuLenLlflcarea poaLe fl: auLenLlflcarea user-level, uLlllznd olnL-Lo-olnL roLocol (), auLenLlflcarea compuLer-level,
uLlllznd lnLerneL key Lxchange (lkL), auLenLlflcarea daLa orlgln ;l daLa lnLegrlLy.
CrlpLarea (codlflcarea) daLelor - penLru a aslgura confldenlallLaLea daLelor care Lrec prln reea parLa[aL sau publlc,
expedlLorul face crlpLarea daLelor, lar desLlnaLarul le decrlpLeaz dup prlmlre. rocesul de crlpLare ;l decrlpLare deplnde de
chela comun de crlpLare pe care o folosesc ;l expedlLorul ;l desLlnaLarul.
1 esLe Llpul Lehnologlel de reea care permlLe uLlllzaLorulul s LransmlL daLele, care nu Lrebule s fle dlsponlblle publlc,
prln lnLermedlul reelel publlce.1 esLe mo;LenlLorul proLocolulul precedenL de reea olnL-Lo-olnL (). rlnclpala
deoseblre dlnLre acesLe dou proLocoale esLe c sollclL legLura polnL-Lo-polnL dedlcaL schlmbulul de daLe, in Llmp ce
1 esLe mulL mal flexlbll - creeaz un Lunel de securlLaLe prln care Lrec daLele.Cnd daLele sunL Lrlmlse prln reea, inalnLe
de asLa se imparL inLoLdeauna in segmenLe mal mlcl, respecLlv pacheLe. AcesLe pacheLe se LrlmlL separaL, apol se unesc
cnd a[ung la locale. frames se crlpLeaz cu MlcrosofL olnL-Lo-olnL LncrypLlonom (ML) cu a[uLorul chell de crlpLare
care genereaz procesele de auLenLlflcare MS-CPAv2 sau LA-1LS.
Layer2 1unnellng roLocol (L21) ofer poslblllLaLea ca Lraflcul crlpLaL s-l LrlmlLel prln orlce medlu, care suslne llvrarea
daLagramelor polnL-Lo-polnL, cum ar fl l sau asynchronous Lranfer mode (A1M). L21 esLe comblnala dlnLre 1 ;l Layer
2 lorwardlng (L2l). L21 folose;Le cele mal bune caracLerlsLlcl 1 ;l L2l.L21 se sprl[ln pe lsec in 1ransporL Mod al
servlclulul de crlpLare. Comblnala L21 ;l lsec se marcheaz ca L21/lsec.Lncapsularea penLru pacheLele L21/lsec esLe
alcLulL dln dou sLraLurl: encapsularea L21 ;l lsec.
Secure SockeL 1unnellng roLocol (SS1) esLe proLocolul care folose;Le proLocolul Secure P11 (P11S) prln 1C porL 43,
penLru comunlcarea prln flrewall sau web proxy, care, de alLfel, poL bloca Lraflcul 1 ;l L21/lsec. SS1 are un mecanlsm
penLru encapsularea Lraflculul prln lnLermedlul canalulul Secure SockeL Layer (SSL) al proLocolulul P11S. uLlllzarea lul
suslne o auLenLlflcare puLernlc, cum ar fl LA-1LS.
lnLerneL key Lxchange v2 (lkLv2) folose;Le proLocolul lsec 1unnel Mode prln porLuluu 300 ;l suslne moblllLaLea.enLru
LransporL prln reeaua lkLv2 encapsuleaz daLagrame foloslnd lsec LS sau AuLhenLlcaLlon Peader (AP).loloslnd chelle de
crlpLare, generaLe in procesul de lnLermedlere lkLv2, pacheLul se crlpLeaz cu a[uLorul urmLoarelor proLocoale: ALS 236,
ALS 192, ALS 128 ;l algorlLml de crlpLare 3uLS.
ln medllle de afacerl dlnamlce, uLlllzaLorll au mare nevole s acceseze deseorl daLele in dlferlLe perloade de Llmp, de pe
fdlferlLe locall, dar asLfel de acces Lrebule s fle slgur in LoLallLaLe ;l fr nlclun fel de gre;ell sau inLreruperl.AsLfel de cererl
;l slLuall in care se poL afla uLlllzaLorll, le puLel rezolva foloslnd funcla vn 8econnecL,care se va resLablll auLomaL dac se
a[unge la inLreruperea sa.ue asemenea, vn 8econnecL aslgur munca in slLuallle care sollclL Lrecerea de la o reea la
alL. vn 8econnecL folose;Le Lehnologla lkLv2 penLru a aslgura conexlunea vn, dup inLreruperea sa. uecl, in seLrlle
conexlunll vn pe parLea cllenLulul, penLru Llpul conexlunll vn Lrebule selecLaL lkLv2.
lnalnLe de a incepe dezvolLarea solulel de companle vn, Lrebule s anallzal anumlLe cererl de conflgurare, penLru ca
solula dvs. vn s saLlsfac nevolle organlzalel.
ConnecLlon Manager AdmlnlsLraLlon klL (CMAk) esLe lnsLrumenLul care v ofer poslblllLaLea de a adapLa oplunlle
23 / 41
conexlunllor de la dlsLan a uLlllzaLorllor, crend conexlunl vn predeflnlLe. CMAk Wlzard face flle execuLlv, pe care il
puLel dlsLrlbul in dlferlLe scopurl sau s-l claslflcal in slsLemul de operare lmage in Llmpul dlsLrlbulrll lor.CMAk Wlzard
complleaz profllul de conecLare in .exe flle execuLlv. AcesL flle il puLel dlsLrlbul uLlllzaLorllor in orlce mod care suslne
schlmbarea fl;lerelor .exe.
28. o||t|c| de reea
ollLlclle de reea sunL un seL de regull, llmlLrl ;l seLrl care ofer poslblllLaLea de a deLermlna uLlllzaLorul pe care il vel
auLorlza penLru conecLarea pe reea ;l condlllle in care uLlllzaLorul respecLlv se poaLe conecLa sau nu. ollLlclle de reea
conflrm dac incercarea de sLablllre a conexlunll va avea succes sau nu. uac incercarea a avuL succes, aLuncl pollLlca de
reea va deflnl ;l parameLrll conexlunll respecLlve, precum zlua ;l Llmpul de apllcare a resLrlclllor, Llmpul cnd seslunea se
afl in sLarea lnacLlv sau deconecLaL eLc.nS compar condlllle in regull cu caracLerlsLlclle cererll penLru conexlune. uac
se a[unge la un acord inLre regull ;l cerere penLru conexlunea la reea, aLuncl seLrlle deflnlLe in regulamenL vor fl apllcaLe
pe conexlune. Cnd seLal mal mulLe pollLlcl de reea in nS, seLrlle vor prezenLa ordlnea deflnlL a regulllor. nS verlflc
flecare cerere penLru conexlune in conformlLaLe cu ordlnea regulamenLelor (compar cererea cu prlma regul, apol cu alL
regul eLc. pn cnd se a[unge la un acord). Cnd se a[unge la o regul care esLe in acord, LoaLe celelalLe regull se lgnor.
ue aceea esLe foarLe lmporLanL ca regula pollLlcllor de reea s le facel in a;a fel incL s corespund cu lmporLana lor,
respecLlv dup prlorlLaLe.
llecare pollLlc de reea posed paLru caLegorll penLru seLarea pollLlcllor, aran[aLe dup cardurl: Cvervlew, CondlLlons,
ConsLralns ;l SeLLlngs.Cardul Cvervlew al pollLlcll de reea prezlnL denumlrea pollLlcll in cmpul ollcy name, unde
denumlrea pollLlcll se poaLe ;l schlmba. Seclunea ollcy SLaLe v ofer poslblllLaLea de a deflnl dac pollLlca va fl acLlvaL
sau nu.Cplunea blfaL lgnore user accounL dlal-ln properLles, va insemna c nS la in conslderare doar seLrlle pollLlcll de
reea penLru a efecLua auLorlzala conexlunll.Cardul CondlLlons aduce poslblllLaLea deflnlrll condllllor, pe care conexlunea
de lnLrare Lrebule s le saLlsfac penLru ca regullle pollLlcll de reea s fle apllcaLe pe el.uLel face ;l comblnala mal mulLor
condlll penLru ca pollLlca de reea s saLlsfac crerlle necesare pe care vrel s le deflnll. ConsLralnssunL llmlLrl
supllmenLare, respecLlv condlll pe care cererea de conexlune Lrebule s le indepllneasc. uac o llmlLare nu esLe indepllnlL
nu se va conLlnua cerceLarea ;l suprapunerea celorlalLe llmlLro penLru cererea de conecLare.Cardul SeLLlngs v ofer
poslblllLaLea de a deflnl seLrlle pe care nS le va apllca pe conexlunea de lnLrare, dar doar dac LoaLe condlllle ;l llmlLrlle
seLaLe in pollLlc colncld cu cererea de conexlune ;l prln urmare, cererea penLru conexlune esLe accepLaL.
C nou pollLlc de reea o puLel face uLlllznd consola nS MMC Snap-ln.Cnd nS lnLr in procesul de auLorlzale a
cererllor penLru conexlune, acesLa compar cererea cu flecare pollLlc de reea, in ordlnea deflnlL, incepnd de la prlma
pollLlc.Se obl;nule;Le ca aLuncl cnd nS incepe procesul de auLorlzale al cererll penLru conexlune, acesLa verlflc seLrlle
dlal-ln ale conLulul de uLlllzaLor, unde seLrlle in seclunea neLwork permlsslon seLLlngs deLermln dac uLlllzaLorul are
drepLurl de a accesa reeaua sau nu. Cnd seLal nS s lgnore seLrlle dlal-ln ale conLulul de uLlllzaLor in Llmpul procesulul
de auLorlzale, seLrlle pollel de reea sLabllesc dac uLlllzaLorul va puLea sau nu s acceseze reeaua.
29. kout|ng and kemote Access - so|u|a prob|eme|or
ldenLlflcarea ;l inlLurarea problemelor in funclonarea servlclulul 8ouLlng and 8emoLe Access poaLe fl un proces compllcaL
;l de lung duraL.enLru flecare Llp de conexlune care se folose;Le in medlul de reea al companlel Lrebule s avel fcuL
un acces slsLemaLlc in rezolvarea problemelor care va aprea in munca lor.un bun lnsLrumenL penLru incepuLul rezolvrll
problemelor apruLe in munca accesulul de la dlsLan esLe acLlvarea crerll inreglsLrrll log. Avnd in vedere c exlsL mal
mulLe oplunl dlferlLe de care deplnde aspecLul logo-ulul ;l ce se v-a lnLroduce in el, sfaLul general esLe de a acLlva la incepuL
cL mal mulLe oplunl care vor fl scrlse in log.
Mal Lrzlu, cnd recunoa;Lel acele inreglsLrrl in logo pe care il folosll cel mal mulL in admlnlsLrarea de slsLem, le vel
psLra pn la dezacLlvarea celorlalLor.
SeLrlle pe care le puLel selecLa pe acesL card sunL: Logs errors only, Logs error and warrnlngs, Log all evenLs ;l uo noL log
24 / 41
any evenL.Cplonal puLel acLlva/dezacLlva elemenLul - Log addlLlonal 8ouLlng and 8emoLe Access lnformaLlon (used for
debugglng).
MonlLorlzarea (1raclng) lnformalllor poaLe fl salvaL in log flle ;l uLlllzaL penLru anallza problemelor in funclonarea
conexlunllor de reea. enLru a folosl monlLorlzarea penLru sLngerea lnformalllor in scopul rezolvrll problemelor, Lrebule
s permlLel monlLorlzarea penLru componenLelor accesulul de la dlsLan, apol s incercal s sLabllll dln nou conexlunlle.
uaLorlL fapLulul c monlLorlzarea folose;Le resursele de slsLem, esLe obllgaLorlu s dezacLlval cnd Lermlnal cu
sLrngerea lnformalllor.
enLru acLlvarea/dezacLlvarea componenLel speclflce se folose;Le comanda sub form de:
neLsh ras seL Lraclng ComponenL enabled|dlsabled
ComponenenL [e komponenLa de pe llsLe 88AS (8ouLlng and 8emoLe Access) componenLe, care in Wlndows Server 2012 le
puLel gsl in baza reglsLry pe locala PkL?_LCCAL_MACPlnLSCl1WA8LMlC8CSCl118AClnC.
ln afara fapLulul c monlLorlzarea o puLel acLlva cu comenzlle dln command prompL, acela;l efecL il puLel oblne ;l prln
modlflcara dlrecL a 8eglsLry key pe locala
PkL?_LCCAL_MACPlnLSCl1WA8LMlC8CSCl118AClnC.
enLru a permlLe monlLorlzarea penLru LoaLe componenLele, schlmbal valorlle subkeys: Lnablellle1raclng, llleulrecLory,
llle1raclngMask ;l MaxllleSlze.ln rezolvarea problemelor care apar frecvenL cu ocazla sLablllrll conexlunllor vn v vor fl
uLlle urmLoarele lnsLrumenLe ;l acLlvlLl: comandaplng,cu care vel sLablll ca denumlrea hosL-ulul de la dlsLan s se
rezolve corecL in adresa l,verlflcal dac conLul de uLlllzaLor care se folose;Le penLru sLablllrea conexlunll vn esLe inchls,
explraL, dezacLlvaL Lemporar sau dac Llmpul in care se reallzeaz conexlunlle colnclde cu Llmpul permls penLru seslunea
logon,verlflcal dac credenlalele cllenLulul vn sunL seLaLe corecL, parole explraLe ale conLurllor de admlnlsLraLor le puLel
schlmba ulLlznd alLe conLurl de uLlllzaLor, efecLual verlflcarea dac servlclul 8ouLlng and 8emoLe Acces esLe acLlvaL pe
serverul vn, convlngel-v c pe serverul vn esLe acLlvaL accesul de la dlsLan,conLrolal dac pe dlspozlLlvele WAn
MlnlporL (1 ;l L21) sunL acLlvaLe conexlunlle deprLaLe de lnLrare, in pollLlclle de reea verlflcal dac parameLrll de
conecLare au drepLurl corespunzLoare de acces.
Cre;eala 721 araL c serverul vn de la dlsLan nu rspunde la cerere. MoLlvul aparllel acesLel gre;ell poaLe fl flrewall
care nu plerde Lraflcul C8L (proLocol 47).
Cre;ellle 741 ;l 742se refer la nepoLrlvlrea Llpulul de crlpLare. MoLlvul aparllel acesLor gre;ell esLe fapLul c cllenLul vn
LrlmlLe cererea la nlvel de crlpLare necorespunzLor sau fapLul c serverul vn nu suporL Llpul de crlpLare sollclLaL de cLre
cllenL. Cre;eala 800 araL c serverul vn esLe lnacceslbll. MoLlvul poaLe fl fapLul c pacheLele 1/L21 de la cllenLul vn
nu a[ung la serverul vn.Cele mal frecvenLe cauzedln cauza crora conexlunlle L21/lsec nu poL fl sLablllLe sunL cnu
exlsL un cerLlflcaL, un cerLlflcaL gre;lL,exlsL nA1 inLre cllenL ;l server al accesulul de la dlsLan;lexlsL flrewall inLre
cllenLul ;l serverul accesulul de la dlsLan.
uac folosll auLenLlflcarea LA-1LS, penLru a permlLe ca serverul de auLenLlflcarea s fac valldarea cerLlflcaLelor cllenLulul
vn, urmLoarele elemenLe Lrebule s fle saLlsfcuLe penLru flecare cerLlflcaL in lanul de cerLlflcare care provlne de la
cllenLul vn: daLa curenL Lrebule s fle in cadrul perloadel de valldare a cerLlflcaLelor,cerLlflcaLul nu a fosL revocaL ;l c
cerLlflcaLul are semnLura dlglLal.
30. Setarea D|rectAccess-u|u|
Conexlunlle vn poL fl seLaLe u;or, dar sLablllrea conexlunll vn Lrebule s fle lnllaL de cLre uLlllzaLor ;l uneorl poaLe s
sollclLe seLrl supllmenLare pe paglna lul flrewall de companle. ue asemenea, sLablllrea conexlunllor vn sollclL gslrea
cLorva pa;l, a;adar uneorl esLe greu a deLermlna unde esLe moLlvul exacL al problemel care apare. AsLa poaLe avea drepL
consecln mulL Llmp care se peLrece in inlLurarea neregulllor in sLablllrea conexlunll vn. e de alL parLe, deseorl
25 / 41
companllle nu poL gesLlona inLr-un mod efecLlv calculaLoarele de la dlsLan, pn cnd nu se conecLeaz la reeaua de
companle.enLru a se evlLa acesLe dezavanLa[e ale conexlunllor vn, companllle poL dezvolLa o alL solule - acces dlrecL
(ulrecLAccess),
ulrecLAccess in Wlndows Server 2012 permlLe accesul conLlnuu la resursele lnLraneL fr a fl nevole s se sLablleasc in
avans conexlunlle vn de cLre uLlllzaLor.Accesul dlrecL v ofer poslblllLaLea de a deLermlna resursele ;l care apllcall
cllenL nu vor avea poslblllLaLea accesulul de la dlsLan.Companllle poL vedea un rosL in uLlllzarea lul ulrecLAccess ;l in
fapLul c admlnlsLraLorll de slsLem vor puLea s gesLloneze calculaLoarele de la dlsLan, ca ;l cum ar gesLlona calculaLoarele
in reeaua local.
Accesul dlrecL permlLe urmLoarele avanLa[e:
Conexlunea conLlnu ;l frecvenL
Acces bldlreclonal
Manage-ouL supporL
SecurlLaLe sporlL
LlemenLele chele ale lnfrasLrucLurll ulrecLAccess sunL:
ulrecLAccess serveraslgur servlcll de auLenLlflcare penLru cllenll ulrecLAccess ;l funcloneaz ca puncL flnal al lul
lsec Lunnel mode, penLru Lraflcul exLern.nolle solull omlL nevola de dezvolLare a solulel pllne kl ;l prln inlLurarea
nevoll penLru dou adrese publlce lv4 consecuLlve
CalculaLorul cllenL ulrecLAccess se conecLeaz la serverul ulrecLAccess cu a[uLorul proLocoalelor lv6 ;l lsec. uac
reeaua lv6 nu esLe acceslbll, aLuncl cllenLul sLablle;Le lv6-over-lv4 LuneluLlllznd 6Lo4 sau 1eredo.
Cllenll ulrecLAccess folosesc serverul neLwork locaLlon server (nLS) penLru a-;l deLermlna proprla locale.
8esurse lnLerne -Se poaLe seLa orlce apllcale lv6 care se lnllaz pe serverele lnLerne sau calculaLoarele cllenL, s fle
acceslbll cllenllor ulrecLAccess.Wlndows Server 2012 aduce suporL sub forma de proLocol LranslaLlon (nA164) ;l
name resoluLlon (unS64) gaLeway, penLru a Lraduce Lraflcul de pe cllenLul ulrecLAccess dln lv6 in lv4, cLre servere
lnLerne.
Au uS -Wlndows Server 2012 ulrecLAccess aslgur suporLul lnLegraL penLru mal mulLe domenll, ceea ce permlLe
calculaLoarelor cllenL de pe dlferlLe domenll s acceseze resursele care poL fl sLocaLe in alLe domenll de incredere
(LrusLed domlans).
Croup ollcy sunL necesare daLorlL admlnlsLrrll cenLrallzaLe ;l a dezvolLrll seLrll ulrecLAccess.
uezvolLarea solulel kl esLe oplonal in scopul slmpllflcrll seLrll ;l a gesLlonrll. ulrecLAccess in Wlndows Server 2012
permlLe ca cererlle penLru auLenLlflcarea cllenllor s fle Lrlmlse prln servlclul P11S kerberos proxy, care sunL acLlvaLe
pe serverul ulrecLAccess. AceasLa ellmln nevola penLru sLablllrea unul alL Lunel lsec inLre cllenl ;l domaln conLroler.
kerberos proxy va LrlmlLe cererlle kerberos pe domaln conLrolers in numele cllenllor.
unS server
nA server
ulrecLAccess in Wlndows Server 2012 permlLe seLarea verlflcrll nA healL dlrecL dln seLrlle lnLerfeel de uLlllzaLor, in
loc de edlLare manual a lull Croup ollcy (cum esLe necesar in ulrecLAccess in Wlndows Server 2008 82).
26 / 41
name 8esoluLlon ollcy 1able in Wlndows 8 ;l Wlndows Server 2012 se se folose;Le penLru ca Lraflcul de lnLerneL s se
separe de Lraflcul lnLraneL.name 8esoluLlon ollcy 1able depozlLeaz llsLa de regull, unde flecare regul deflnee;Le unS
namespace ;l seLrlle care descrlu comporLamenLul cllenLulul unS penLru acel namespace. n81 permlLe cllenllor
ulrecLAcces s foloseasc serverele lnLraneL unS penLru rezolvarea numelul in reea lnLern ;l servere unS lnLerne penLru
rezolvarea celorlalLor nume.
31. Moda||t| de func|onare a |u| D|rectAccess | precond||||e pentru |mp|ementare
neLwork locaclon server (nLS)esLe serverul lnLern care gzdule;Le P11S u8L. Cllenll ulrecLAccess incearc s acceseze
nLS u8L penLru a sLabll dac sunL locallzal pe lnLerneL sau pe reea publlc (lnLerneL).LsLe foarLe lmporLanL ca nLS s fle
acceslbll penLru LoaLe locallle de companle, daLorlL fapLulul c funclonarea cllenllor ulrecLAccess deplnde de rspunsul la
lnLerogrlle serverulul nLS.ConecLarea cu ulrecLAccess se face auLomaL, fr a fl nevola ca uLlllzaLorul s fac ceva slngur.
Cllenll ulrecLAccess folosesc urmLoarea procedur penLru conecLare la reeaua de lnLerneL:
1.CllenLul ulrecLAccess incearc s rezolve lCun penLru nLS u8L.
2. CllenLul ulrecLAccess acceseaz P11S u8L al adresel nLS ;l aLuncl oblne cerLlflcaLul de la nLS.
3.e baza cmpulul C8L dlsLrlbuLlon polnLs al cerLlflcaLelor nLS, cllenLul ulrecLAccess verlflc fl;lerele revocaLe CerLlflcaLlon
8evocaLlon LlsL (C8L)
4.e baza P11 sLaLus code 200 in rspuns, cllenLul ulrecLAccess deLermln succesul lul nLS u8L
3.CalculaLorul cllenL ulrecLAccess incearc s locallzeze Au uS ;l s se inreglsLreze in domenlu
6.e baza inreglsLrrll de succes a calculaLorulul cllenL in domenlu, cllenLul ulrecLAccess leag profllul de domenlu (flrewall)
pe reeaua pe care s-a conecLaL.
ALuncl cnd calculaLorul cllenL ulrecLAcces esLe pornlL, cllenLul ulrecLAccess incearc s acceseze adresa u8L a lul nLS
penLru a sLablll dac esLe conecLaL la lnLraneLul de companle de la dlsLan. Cum nu exlsL poslblllLaLea de a comunlca cu
nLS, cllenLul ulrecLAccess incepe s foloseasc regullle n81 ;l connecLlon securlLy. n81 posed regullle ulrecLAccess
penLru rezolvarea numelul, lar regullle connecLlon securlLy deflnesc Lunelele ulrecLAccess lsec penLru comunlcarea cu
reeaua lnLraneL. Cllenll ulrecLAccess conecLal prln lnLraneL folosesc urmLorll pa;l penLru a se conecLa pe reeaua de
lnLraneL:
1.CllenLul incearc s rezolve adresa lCun a lul nLS
2.CllenLul ulrecLAccess incepe procesarea lnLerogrll penLru rezolvarea numelul
3.nLS nu esLe gslL in aceea;l reea in care esLe locallzaL cllenLul ulrecLAccess
4. 8egullle Lunelulul ConnecLlon SecurlLy penLru ulrecLAccess, profll de reea flrewall publlc sau prlvaL.
uup deLermlnarea proprlel locall, cllenLul ulrecLAccess incearc s locallzeze domaln conLroler ;l s se inreglsLreze pe el.
AcesL proces creeaz Lunelul lsec sau Lunelul de lnfrasLrucLur cu a[uLorul Lunelulul lsec al reglmulul ;l a lul LS, pn la
serverul ulrecLAccess.1raflcul care se va crea ulLerlor prln logare pe domenlu merge prln Lunelul de lnfrasLrucLur lsec.
rlma daL cnd cllenLul ulrecLAccess incepe cu LrlmlLerea Lraflculul pe lcala de lnLraneL, care nu se afl pe llsLa de
desLlnale penLru Lunelul de lnfrasLrucLur (cum ar fl, de exemplu, webslLe lnLern), au loc urmLoarele procese:
1.Apllcala sau procesul incearc s reallzeze po comunlcare
27 / 41
2.lnalnLe de a LrlmlLe pacheLul, sLlva 1C/l verlflc dac exlsL regull de le;lre Wlndows llrewall sau regull connecLlon
securlLy penLru pacheLe
3.ulrecLAccess folose;Le AuLhl ;l lsec penLru a sLablll ;l a auLenLlflca Lunele supllmenLare lsec pn la serverul
ulrecLAcess
4.CllenLul ulrecLAccess LrlmlLe pacheLul prln Lunelul lnLraneL pn la serverul ulrecLAccess
3.ulrecLAccess server paLrlbule pacheLul pn la reeaua lnLraneL. 8spunsul se LrlmlLe inapol la serverul ulrecLAccess ;l se
inLoarce prln Lunelul lnLraneL pn la cllenLul ulrecLAccess.
ALuncl cnd uLlllzaLorul sau procesul pe cllenLul ulrecLAccess incearc s acceseze resursele de lnLerneL (cum ar fl lnLerneL
web server), urmeaz acesLe procese:
1.unS cllenL servlce face lnLerogarea unS care LrlmlLe pn la serverul unS conflguraL in lnLerface ;l il cedeaz sLlvel 1C/l
la Lrlmls.
2.1C/l verlflc dac exlsL regull de le;lre Wlndows flrewall sau regull connecLlon securlLy penLru pacheLe
3. CllenLul ulrecLAccess LrlmlLe lnLerogarea unS in forma obl;nulL.
4.unS de pe lnLerneL reLurneaz rspunsul sub form de adresa l a resurselor lnLerneL
3.Apllcala de uLlllzaLor sau rocesul face prlmul pacheL penLru LrlmlLere pn la resursele de lnLerneL.
6. CllenLul ulrecLAccess LrlmlLe pacheLul in forma obl;nulL.
enLru a seLa ulrecLAccess, Lrebule s Lrecel prln urmLorll pa;l:
1. SeLal domenlul Au uS ;l unS
2. SeLall medlul kl
3. SeLal ulrecLAccess server
4. SeLal cllenll ulrecLAcces ;l LesLal accesul lnnLraneL ;l lnLerneL
28 / 41
8. Network o||cy Server
32. Insta|area | setarea |u| Network o||cy Server
neLwork ollcy Server (nS) esLe reallzaL in Wlndows Server 2012 ca server role. uup flnallzarea lnsLalrll, in Llmpul seLrll
lul nS role, Lrebule s v decldel dac vel folosl nS ca 8AuluS server, 8AuluS proxy sau neLwork Access roLecLlon
(nA) pollcy server.nS ofer poslblllLaLea de a face ;l de a apllca pollLlcl de reea acceslblle prln inLreaga reea de
companle (care vor deflnl sLarea cllenllor - cllenL healLh), precum ;l auLenLlflcarea ;l auLorlzala penLru cererlle penLru
conexlune.nS apllc auLenLlflcarea cenLrallzaL, auLorlzala ;l evldenlerea conLurllor penLru wlreless, swlLchs de
auLenLlflcare, dlal-up ;l conexlunlle vn. Cnd nS se afl in rolul serverulul 8AuluS, aLuncl seLal serverele neLwork access
(precum dlspozlLlvele wlreless access polnL ;l serverele vn), ca ;l cllenll 8AuluS ;l adugal-le in serverul nS. ue
asemenea, seLal pollLlclle de reea care folosesc nS, s fac auLorlzala conexlunllor.Cnd serverul nS esLe membru al
domenlulul Au uS, acesLa folose;Le AcLlve ulrecLory ca proprla baz a conLurllor de uLlllzaLor ;l aslgur slngle slgn-on (SSC),
ceea ce inseamn c uLlllzaLorll folosesc acela;l seL de credenlale penLru conLrolul accesulul la reea (auLenLlflcarea ;l
auLorlzala accesulul la reea), precum ;l penLru seLul de resurse in cadrul lul AcLlve ulrecLory.8AuluS esLe proLocolul de
cllenL server care permlLe dlspozlLlvelor penLru acces la reea, care au proprleLaLea cllenllor 8AuluS, s suporLe cererlle de
auLenLlflcare ;l cererl penLru conLurlle de uLlllzaLor ale serverulul 8AuluS.8AuluS server are acces la lnformallle conLurllor
de uLlllzaLor ;l poaLe s verlflce credenlale de auLenLlflcare penLru acces la reea. uac credenlalele de uLlllzaLor sunL
corecLe, 8AluuS va permlLe cererea penLru conecLare, apol 8AuluS server auLorlzeaz uLlllzaLorul penLru acces pe baza
condllllor deflnlLe ;l la flnal evldenlaz conexlunea de acces in log-ul conLulul de uLlllzaLor.
Cnd folosll nS ca 8AuluS proxy, pollLlclle cererll penLru conexlune le seLal asLfel incL s araLe care cererl penLru
conexlune le va aLrlbul serverul nS alLor servere 8AuluS ;l cLre care servere 8AuluS va aLrlbul cererl penLru conexlune.
Cnd seLal knS ca nA pollcy server, nS evalueaz sLarea de snLaLe" (sLaLemenLs of healLh - SoP), Lrlmls de cLre
calculaLorul cllenL nA, care incearc s se conecLeze la reea. ue asemenea, nS funcloneaz ;l ca server 8AuluS cnd
esLe seLaL s lucreze ca nA, apllcnd auLorlzala ;l auLenLlflcarea cererll penLru conexlune.nA supravegheaz in Llmpul
muncll calculaLoarele cllenL in medlul de reea, respecLlv acordul lor cu PealLh ollcy deflnlLe de cLre slsLemul de
admlnlsLraLor. nA auLoremedlaLlon ofer poslblllLaLea de a verlflca dac calculaLoarele cllenL, care nu sunL in acord cu
PealLh ollcy, sunL acLuallzaLe auLomaL.nA apllc PealLh ollcy cu verlflcarea ;l evaluarea sLrll calculaLorulul cllenL,
lnLerzlcndu-l acces la medlul de reea cnd sLarea calculaLorulul cllenL nu acloneaz pozlLlv ;l cu a[uLorarea acesLul
calculaLor cllenL de a-;l imbunLl sLarea penLru a avea dln nou acces plln la medlul de reea.
rocesul de lnsLalare a lul nS nu se deosebe;Le mulL de modallLaLea de lnsLalare pe care am prezenLaL-o de[a pn acum.
uup flnallzarea lnsLalrll lul neLwork ollcy Server role, puLel deschlde lnsLrumenLul neLwork ollcy Server dln menlul
AdmlnlsLraLlve 1ools, dup care va fl pornlL consola neLwork Server ollcy.Modul alLernaLlv de a scoaLe asLa esLe de a
aduga consola Snap-ln ;l de face lnsLrumenLul preseLaL MlcrosofL ManagemenL Console penLru gesLlonarea lul nS. Cu
a[uLorul comenzll neLsh dln command prompL vel puLea face seLrlle ;l gesLlonarea cu nS role.
33. Setarea c||en||or | a serveru|u| kADIUS
neLwork access server (nAS) esLe un dlspozlLlv care permlLe un grad deflnlL de acces la medllle de reea mal marl. nAS, care
folose;Le lnfrasLrucLura 8AuluS se mal nume;Le ;l cllenLul 8AuluS, de la care pleac cererlle penLru conexlune ;l cererl
penLru evldenlerea conLulul cLre serverul 8AuluS, dar in scopul auLenLlflcrll, auLorlzalel ;l evldenlerll conLulul.
Cllenll 8AuluS sunL excluslv servere de reea de acces, lncluznd wlreless access polnLs, swlLches de auLenLlflcare 802.1x,
Serverul vn ;l serverul dlal-up, deoarece folosesc proLocolul 8AuluS penLru a comunlca cu serverul 8AuluS.
Cnd folosll nS ca 8AuluS proxy, nS devlne cenLrul prlnclpal penLru dlreclonare prln care Lrec cererlle de acces 8AuluS
;l mesa[e penLru evldenlerea conLulul.
29 / 41
nS ca 8AuluS proxy, are sens s folosll in urmLoarele slLuall:
ALuncl cnd companla dvs. ca furnlzor de servlcll ofer dlal-ln alLor companll, vn sau acces wlreless la servlcll.
Cnd vrel s aslgural auLenLlflcarea ;l auLorlzala penLru conLurlle de uLlllzaLor care nu sunL membrll al domenlulul in
care se afl serverul nS sau nu sunL membrll domenlulul care are incredere bldlreclonalcu domenlul in care se afl
serverul nS.
Cnd avel nevole de auLenLlflcare ;l auLorlzale fomal la baza de daLe care nu esLe baza de daLe Wlndows a conLurllor
de uLlllzaLor. ln acesL caz, nS aLrlbule cererea penLru conexlune care corespunde seclunll deflnlLe a numelul de
uLlllzaLor, cLre serverul 8AuluS, care are acces la dlferlLe baze de daLe a conLurllor de uLlllzaLor ;l la lnformallle de
auLorlzale. Lxemplul acesLel baze a conLurllor de uLlllzaLor esLe baza SCL.
Cnd vrel s prelucral un numr mare de cererl penLru conexlune.
Cnd Lrebule s aslgural auLenLlflcarea ;l auLorlzala 8AuluS penLru furnlzorll exLernl al servlclllor, dar s mlnlmlzal
inalnLe seLrlle lnLraneL flrewall.
ollLlclle cererll penLru conexlune sunL seLurl de condlll ;l seLrl care permlL admlnlsLraLorllor de reea s sLablleasc care
server 8AuluS esLe responsabll penLru auLenLlflcarea ;l auLorlzala cererll penLru conexlune, pe care a prlmlL-o nS de la
cllenLul 8AuluS. ollLlclle cererll penLru conexlune se poL seLa asLfel incL s sLablleasc ;l care servere 8AuluS se folosesc
penLru evldenlerea conLulul 8AuluS.
uLel crea un ;lr inLreg de pollLlcl ale cererll penLru conexlune asLfel incL anumlLe cererl 8AuluS, Lrlmlse de pe cllenLul
8AuluS poL fl prelucraLe local, lar celelalLe Llpurl de cererl s se aLrlbule alLul server 8AuluS.
Condlllle pollLlcll cererll penLru conexlune prezlnL unul sau mal mulLe aLrlbuLe 8AuluS, care se compar cu aLrlbuLele
cererll 8AuluS de lnLrare penLru acces. uac exlsL mal mulLe condlll, nS va apllca pollLlca doar dac LoaLe condlllle in
cererea penLru conexlune colncld cu condlllle in pollLlca cererll penLru conexlune.
SeLrlle pollLlcll cererllor penLru conexlune esLe un seL de caracLerlsLlcl care vor fl apllcaLe la cererea de lnLrare 8AuluS.
ollLlclle lmpllclLe ale cererll penLru conexlune folosesc nS ca server 8AuluS. enLru a seLa serverul nS s lucreze ca
8AuluS proxy, Lrebule s seLal remoLe 8AuluS server group.
ALuncl, pollLlclle lmpllclLe ale cererll penLru conexlune le puLel ;Lerge sau conflrma c sunL ulLlmele pollLlcl in ;lrul care se
apllc.
ollLlclle lmpllclLe ale cererll penLru conexlune folosesc nS ca server 8AuluS ;l prelucreaz LoaLe cererlle de auLenLlflcare
local.
AuLenLlflcarea local se apllc asupra bazel de daLe locale securlLy a conLurllor de uLlllzaLor sau asupra lul AcLlve dlrecLory.
ollLlclle cererll penLru conexlune exlsL local pe server.
AuLenLlflcarea 8AuluS orlenLeaz cererlle penLru conexlune pe serverul 8AuluS in scopul auLenLlflcrll asupra bazel de daLe
securlLy. 8AuluS inLrelne depozlLul cenLral al LuLuror pollLlcllor de conecLare.
nS asculL Lraflcul 8AuluS pe porLurl. 1812, 1813, 1643 ;l 1646 penLru lpv6 ;l lpv4, penLru LoaLe adapLoarele de reea
exlsLenLe.
30 / 41
34. Metode de autent|f|care Network o||cy Serv|ce
neLwork ollcy Servlce face auLenLlflcarea ;l auLorlzala cererllor de conecLare inalnLe de a permlLe sau lnLerzlce
uLlllzaLorulul s se conecLeze la medlul de reea al companlel prln neLwork access server - cllenLul 8AuluS
Cnd dezvolLal solula nS, puLel deflnl Llpurlle necesare ale meLodelor de auLenLlflcare penLru acces la reeaua pe care o
seLal.
MeLodele de auLenLlflcare sorLaLe incepnd de la cele mal puln neslgure la cele mal slgure sunL:
1. Acces neauLenLlflcaL
2.A (assword AuLhenLlcaLlon roLocol)
3.CPA (Challenge Pandshake AuLhenLlcaLlon roLocol)
4.MS-CPA (MlcrosofL Challenge Pandshake AuLhenLlcaLlon roLocol)
3.MS-CPA v2 (mo;LenlLorul meLodel precedenLe)
AuLenLlflcarea care se apllc in comunlcarea inLre dlspozlLlve, esLe deflnlL cu seLrlle serverulul neLwork access, a
calculaLorulul cllenL ;l a pollLlcll de reea pe serverul nS.
nS server se poaLe seLa s accepLe mal mulLe meLode de auLenLlflcare.
LxLenslble AuLhenLlcaLlon roLocol (LA) esLe medlul de auLenLlflcare, foloslL cel mal des in reelele wlreless ;l conexlunlle
olnL-Lo-polnL. LA aslgur aLL meLodele de auLenLlflcare password-based cL ;l cele mal slgure, meLode de auLenLlflcare
cerLlflcaLe-based.
MS-CPA v2 aslgur o securlLaLe mal mare la conexlunlle de reea de acces decL la predecesorul su MC-CPA. MS-CPA
v2 funcloneaz pe prlnclplul crlpLrll unldlreclonale a parolel.
enLru a permlLe uLlllzarea auLenLlflcrll MS-CPA v2 Lrebule s permlLel MS-CPA v2 ca proLocol de auLenLlflcare pe
serverul neLwork access server, pollLlcll de reea corespunzLoare ;l pe cllenLul care acceseaz.
verslunea MS-CPA 1 esLe un proLocol lreverslbll, de crlpLare bazaL pe auLenLlflcarea parolel.
CPA esLe proLocol de auLenLlflcare challenge-response, care folose;Le ;ablonul sLandard Message ulgesL 3 (Mu 3) hashlng
penLru crlpLarea rspunsulul.
A folose;Le plaln LexL al parolel ;l reprezlnL cel mal puln slgur proLocol de auLenLlflcare.
CerLlflcaLele sunL documenLe dlglLale pe care le emlL servlcll de cerLlflcare auLorlLare (cerLlflcaLlon auLhorlLles - CA).
Serverele nS folosesc LA-1LS (LxLenslble AuLhenLlcaLlon roLocol - 1ransporL Layer SecurlLy) ;l LA (roLecLed
LxLenslble AuLhenLlcaLlon roLocol) in procesul de auLenLlflcare bazaLe pe cerLlflcaLele penLru ma[orlLaLea acceselor la
reea, lncluznd conexlunlle vn ;l wlreless.
uLlllznd LA, puLel seLa Llpul de auLenLlflcare 1LS (LA-1LS), lar uLlllznd lul LA puLel conflgura Llpurlle de auLenLlflcare
1LS (LA-1LS) ;l MS-CPA v2 (LA-MS-CPA v2).
AcesLe meLode de auLenLlflcare folosesc inLoLdeauna cerLlflcaLe penLru auLenLlflcarea server.
uLlllzarea cerLlflcaLelor in auLenLlflcarea conexlunllor vn esLe cea mal puLernlc form de auLenLlflcarea acceslbll in
Wlndows Server 2012.
Cnd folosll LA cu un Llp puLernlc (de exemplu, 1LS cu cerLlflcaLe), cllenLul ;l serverul folosesc cerLlflcaLele penLru a
conflrma reclproc ldenLlLaLea - auLenLlflcarea reclproc.
31 / 41
Cnd folosll cerLlflcaLele penLru auLenLlflcare, serverul de auLenLlflcare verlflc cerLlflcaLul cllenL, cuLnd ldenLlflcaLorul
corecL al scopulul in exLensla Lku.
Cnd folosll cerLlflcaLul penLru auLenLlflcarea calculaLorulul cllenL, ldenLlflcaLorul Lrebule s fle prezenL in exLensla Lku a
cerLlflcaLulul sau auLenLlflcarea va fl un e;ec.
CerLlflcaLe 1emplaLes (;abloanele cerLlflcaLelor) esLe consola MMC Snap-ln care permlLe adapLarea cerLlflcaLelor pe care le
emlLe Au CS.
5ablonul cerLlflcaLulul pe care il creal poaLe s conln LoLul dln scopurlle menlonaLe (scopul), in Llmp ce dvs. il vel alege
pe cel penLru care vel uLlllza cerLlflcaLul.
enLru dezvolLarea auLenLlflcrll in nS, bazaLe pe cerLlflcaLe, urmLoarele cerLlflcaLe necesare sunL in general:
CerLlflcaLul CA in depozlLul cerLlflcaLelor 1rusLed 8ooL CerLlflcaLlon AuLhorlLles, penLru calculaLorul local ;l uLlllzaLorul
logaL momenLan
CerLlflcaLul calculaLorulul cllenL in depozlLul cerLlflcaLelor cllenL
CerLlflcaLul server in depozlLul cerLlflcaLulul serverulul nS
CerLlflcaLul de uLlllzaLor pe smarL card
1oaLe cerLlflcaLele pe care le folosll penLru auLenLlflcarea acceselor de reea cu proLocoalele LA-1LS ;l LA Lrebule s
indepllneasc condlllle penLru cerLlflcaLele x.309 ;l s funcloneze in conexlunlle care folosesc Secure SockeL Layer -
1ransporL Layer SecurlLy (SSL/1LS).
Cllenll poL fl seLal s verlflce cerLlflcaLele server uLlznd oplunea valldaLe server cerLlflcaLes, in cadrul seLrll proLocolulul
auLhenLlcaLlon.
uLlllznd meLodele de auLenLlflcare LA-MS-CPA v2, LA-1LS sau LA-1LS, cllenLul accepL de la server cererea penLru
auLenLlflcare, cnd cerLlflcaLul saLlsface crlLerllle deflnlLe. uLlllznd LA-1LS sau LA-1LS, serverul accepL incercarea
auLenLlflcrll dln parLea cllenLulul, dup saLlsfaceerea condllllor deflnlLe.
3S. Network o||cy Server - mon|tor|zarea | depanarea gree|||or
uup Lermlnarea seLrllor planlflcaLe a lul neLwork ollcy Server, apare nevola penLru modlflcrlle seLrllor respecLlve, dar
;l probleme in munca servlclulul. Aparlla numrulul de probleme poaLe fl prevenlL prln supravegerea funclonrll lul nS,
in Llmp ce alLele, probleme acuLe Lrebule rezolvaLe in Llmp real.LxlsL dou meLode penLru evldenlerea
evenlmenLelor.AcesLea sunL LvenL logglng ;l Logglng user auLhenLlcaLlon and accounLlng requesLs.
LvenL logglngpenLru neLwork ollcy Server se folose;Le penLru inreglsLrarea evenlmenLelor in nS.
rlma lnLenle a acesLor inreglsLrrl esLe penLru vlzlonarea ;l inlLurarea gre;elllor in cererlle penLru conecLare.
Logglng user auLhenLlcaLlon and accounLlng requesLsse folosesc penLru inreglsLrarea auLenLlflcrllor de uLlllzaLor ;l a
cererllor penLru conexlune in log flle. Log flle poaLe fl in formaL LexLual sau ca baza de daLe. ln afara de aceasLa,
inreglsLrrlle poL fl puse in procedurlle depozlLaLe ale bazel de daLe ale serverulul SCL.
32 / 41
neLwork ollcy Server poaLe fl seLaL s fle responsabll penLru: cererlle de auLenLlflcare 8AuluS accounLlng, mesa[ele
Access-AccepL, mesa[ele Access-8e[ecL, cererl penLru conexlunea ;l rspunsurlle la cererl, precum ;l acLuallzarea perlodlc a
sLaLusulul.
urmLoarea llsL reprezlnL regull in legLur cu conflgurarea lul accounLlng nS:
enLru a LrlmlLe inreglsLrrlle log adunaLe de alL servlclu, puLel seLa nS s le lnLroduc in Lrecerl numlLe (named
plpes).
enLru a crea dlrecLorul penLru savarea log-urllor, folosll varlabllele medlulul de slsLem.
Schlmbarea formaLulul log flle nu cauzeaz crearea unul nou log.
uac admlnlsLral serverul nS de pe locala de la dlsLan, nu avel poslblllLaLea de a verlflca sLrucLura dlrecLorulul.
ueflnll log flle asLfel incL penLru calea pn la el vel lnLroduce denumlrea unlversal name ConvenLlon (unC).
uac 8AuluS accounLlng nu va avea succes, nS va oprl procesul de prelucrare a cererll penLru conexlune.
nS formaLeaz daLele adunaLe ca documenL xML, pe care il LrlmlLe in procedura reporL_evenL in baza de daLe SCL Server,
pe care al deflnlL-o in nS. enLru funclonarea corecL a logrll SCL, Lrebule s exlsLe procedura depozlLaL cu denumlre
reporL_evenL in baza SCL server, care va prlml ;l va parsa documenLul xML Lrlmls de pe nS.
nS ofer poslblllLaLea de a seLa inreglsLrarea cererllor e;uaLe penLru conexlune ;l a conexlunllor reallzaLe cu succes in
LvenL vlewer sysLem log.
uLlllznd evenL logs in LvenL vlewer, puLel observa gre;ellle ;l celelalLe evenlmenLe care apar in nS, asLfel incL pe baza
lor puLel prea proacLlv ;l s facel modlflcrlle necesare in seLrlle lul nS.
LvenlmenLele legaLe de cererlle e;uaLe penLru conexlune sunL alcLulLe dln cererea refuzaL de nS ;l de cererea pe care
nS a lgnoraL-o. CelelaLe evenlmenLe de auLenLlflcare nS se inreglsLreaz in LvenL vlewer SysLem in conformlLaLe cu
seLrlle deflnlLe pe serverul nS. AsLfel puLel face seLrlle ca LvenL vlewer SecurlLy log s noLeze evenlmenLele care conln
lnformall lmporLanLe.
ue;l, by defaulL, nS inreglsLreaz cererlle e;uaLe penLru conexlune, puLel schlmba acesLe seLrl in conformlLaLe cu
proprllle nevol.
nS refuz sau lgnor cererlle dln dlferlLe moLlve.
Cnd nS refuz cererea penLru conexlune, in evenlmenLul care se inreglsLreaz, se noLeaz: numele de uLlllzaLor,
ldenLlflcarea serverulul de acces, Llpul de auLenLlflcare, denumlrea pollLlcll de reea corespunzLoare, moLlvul refuzulul eLc.
Cnd nS accepL cererea penLru conexlune, lnformallle care se inreglsLreaz penLru acesL evenlmenL sunL: numele de
uLlllzaLor, ldenLlflcarea serverulul de acces, Llpul de auLenLlflcarea ;l numele prlmel pollLlcl de reea corespunzLoare.
Salvarea inreglsLrrllor despre verlflcrlle e;uaLe alee cerLlflcaLelor cllenL esLe evenlmenLul care aparlne lul secure channel
;l conform seLrllor predeflnlLe, nu esLe permls pe serverul nS. Salvarea inreglsLrrllor lul secure channel le puLel permlLe
prln schlmbarea valorll lul reglsLry key dln 1 in 3.
33 / 41
9. Imp|ementarea |u| Network Access rotect|on
36. Network Access rotect|on - baze|e
neLwork Access roLecLlon (nA) esLe plaLforma al crel rol esLe de a aslgura apllcarea healLh pollcy ;l esLe lmplemenLaL in
slsLemele de operare Wlndow x sp3 ;l mal nol, precum ;l Wlndows Server 2008 ;l mal nol. loloslnd nA puLel proLe[a LoL
mal mulL medlul de reea lnslsLnd la acordul cu cererlle de securlLaLe ale slsLemulul. nA are rol de a aslgura
componenLele necesare sofLware ;l appllcaLlon programmlng lnLerface (Al) asLfel incL calculaLoarele conecLaLe sau cele
care se conecLeaz in reea s rmn funclonale, asLfel incL in nlclun momenL nu devln un rlsc de securlLaLe. e de alL
parLe, nA llmlLeaz accesul ;l comunlcarea cu calculaLoarele care nu saLlsfac condlllle deflnlLe.
LsLe foarLe lmporLanL s lnel conL c nA nu proLe[eaz reeaua de uLlllzaLorll malllo;l.
nA nu poaLe impledlca uLlllzaLorul la calculaLorul auLorlzaL cu succeesde a seLa pe reea sofLware-ul malllos sau s fac pe
reea alLe acLlvlLl nesaLlsfcuLe.
nA poaLe fl foloslL in Lrel felurl: penLru a verlflca in slguran, respecLlv sLarea de snLaLe a calculaLorulul cllenL, penLru a
apllca healLh pollcysau penLru a llmlLa accesul la reea.
nA aslgur solula penLru dlferlLe slLuall obl;nulLe, cum ar fl accesul de pe lapLop-urlle de la dlsLan, calculaLoarele
deskLop, lapLop-urlle de vlzlL ;l calculaLoarele neadmlnlsLraLe.
ALLa Llmp cL acesLe lapLop-url nu sunL conecLaLe la reea de calculaLor mam, exlsL poslblllLaLea s nu prmeasc cele mal
nol updaLe-url sau seLrl modlflcaLe. e lng LoaLe acesLea, expunerea reelelor neproLe[aLe, cum ar fl lnLerneLul, poaLe
duce la amenlnrl de securlLaLe penLru slsLemele de operare pe lapLop-url. nA ofer poslblllLaLea de a verlflca sLarea
flecrul lapLop cnd se reconecLeaz la reea de companle,
CalculaLoarele deskLop in reea de companle poL fl lnfecLaLe cu dlferlLe sofLware mallloase prln lnLermedlul slLe-urllor,
mall-urllor, fl;lerelor dln foldere share-ulLe, dlspozlLlve de sLocare porLablle eLc. enLru verlflcarea auLomaL a sLrll de
securlLaLe a acesLor calculaLoare ;l acordurlle lor cu cererlle healLh pollcy puLel folosl nA.
LapLop-urlle pe care le aduc ace;Ll musaflrl in medlul dvs. de reea poaLe c nu mulumesc cererlle de slsLem ;l de securlLaLe
;l reprezlnL un poLenlal perlcol. nA v va oferl poslblllLaLea de a deLermlna care lapLop vlzlL nu esLe in acord ;l il vel
orlenLa cLre reeaua llmlLaL.
CalculaLoarele de acas neadmlnlsLraLe reprezlnL o provocare speclal, dln moLlv c acesLe calculaLoare nu poL fl accesaLe
flzlc.
1oLu;l, nA v ofer poslblllLaLea de a verlflca sLarea calculaLoarelor de acas, de flecare daL cnd fac conexlunea vn cu
reeaua dvs. ;l s permlLel accesul doar la reea llmlLaL.
ComponenLele lnfrasLrucLurll nA, care se apllc pe cllenl ;l pe servere, sollclL verlflcarea sLrll de securlLaLe ;l apllc
llmlLrlle in accesul la reea, la calculaLoarele care nu indepllnesc condlllle deflnlLe. SlsLemele de operare de la Wlndows x
sp3 pn la Wlndows 8 ;l de la Wlndows Server 2008 pn la Wlndows Server 2012 au suporLul nA penLru urmLoarele
meLode de comunlcare ;l meLodele de acces la reea:
1raflcul lsec-proLecLed.
lnsLlLuLe of LlecLrlcal and LlecLronlcs Lnglneers (lLLL) 802.1x - conexlunl de reea auLenLlflcaLe.
34 / 41
Conexlunlle vn.
Conexlunlle ulrecLAccess.
Conflgurallle adreselor uylnamlc PosL ConflguraLlon roLocol (uPC).
urmLoarea llsL reprezlnL prlle consLlLuLlve ale arhlLecLurll nA:
Cllenll nA.
nA LnforcemenL polnLs
Serverele nA PealLh ollcy
Serverele PealLh 8equlremenL
AcLlve ulrecLory uomaln Servlce
8esLrlcLed neLwok
37. rocese|e NA Lnforcement
Cnd cllenLul incearc s acceseze sau s comunlce cu reea, in prlmul rnd Lrebule s prezlnLe sLarea de securlLaLe, de
snLaLe a slsLemulul su sau dovada despre conformlLaLea slsLemulul su cu cererlle medlulul de reea. uac cllenLul nu-;l
poaLe dovedl sLarea sa in conforrmlLaLe cu cererlle medlulul de reea, aLuncl accesul su (respecLlv, inLreaga comunlcare) va
fl reorlenLaL cLre parLea llmlLaL a reelel (resLrlcLed neLwork).
Cnd Lermln cu acesL proces, cllenLul va LrlmlLe dln nou cererea penLru acces. uac va fl evaluaL ca slsLem compaLlbll va
avea loc comunlcarea ;l se va oblne acces la reea lnLraneL.
lndlferenL de Llpul apllcrll lul nA pe care il aslgural, ma[orlLaLea comunlcrllor cllenL-server care au loc in fundal sunL
sLandard, ;l anume:
lnLre cllenLul nA ;l P8A.
lnLre cllenll nA ;l remedlaLlon server.
lnLre P8A ;l nA healL pollcy server.
lnLre nA healLh pollcy server ;l PealLh requlremenL server.
35 / 41
lnLre dlspozlLul de acces de reea 802.1x ;l nA healLh pollcy server.
lnLre serverele vn ;l nA healLh pollcy.
lnLre serverele uPC ;l nA healLh pollcy.
ln funcle de Llpul de enforcemenL selecLaL, exlsL urmLoarele Llpurl de comunlcare:
lnLre cllenLul nA ;l dlspozlLlvul de reea de acces 802.1x.
lnLre cllenLul nA ;l serverul v.
lnLre cllenLul nA ;l serverul uPC.
Apllcarea lul lsec permlLe comunlcarea pe calculaLoare compaLlblle, dup care acesLea se leag cu succes ;l obln o
conflgurale valld a adresel l. Apllcarea lul lsec in nA formeaz cel mal puLernlc Llp al accesulul de reea llmlLaL sau
comunlcare.
P8A prlme;Le cerLlflcaLele x.309 penLru cllenll nA, cnd ace;Lla dovedesc c slsLemul lor esLe in acord cu cererlle medlulul
de reea. AsLfel, cu cerLlflcaLele healLh se auLenLlflc cllenll nA cnd lnllaz comunlcarea lsec-proLecLed cu all cllenl
nA in lnLraneL.
lsec enforcemenL llmlLeaz comunlcarea cllenllor lsec-proLecLed nA, refuznd cererlle de comunlcare de lnLrare Lrlmlse
de pe calculaLoarele care nu accepL proLecla lsec.
rln apllcarea meLodel 802.1x enforcemenL, calculaLorul Lrebule s fle compaLlbll penLru a prlml acces nellmlLaL la reea prln
conexlunea de reea de auLenLlflcare 802.1x (cum ar fl eLherneL swlLch de auLenLlflcare sau lLLL 802.11 wlreless A). enLru
calculaLoarele care nu sunL compaLlblle cu cererlle de reea, accesul la reea esLe deflnlL prln profll de acces.
802.1x enforcemenL lnslsL asupra cererllor healLh pollcy, de flecare daL cnd calculaLorul incearc s reallzeze conexlunea
de auLenLlflcare 802.1x.
La fel, monlLorlzeaz ;l sLarea de securlLaLe a cllenllor nA conecLal.
uac se sLablle;Le c un cllenL a LrecuL in sLarea de lncompaLlblllLaLe, asupra lul se apllc seLrlle profllulul de acces.
enLru a lmplemenLa 802.1x enforcemenL, Lrebule s aslgural c eLherneL swlLche-url sau wlreless A-url susln
auLenLlflcarea 802.1x.
vn enforcemenL lnslsL asupra cererllor healLh pollcy, de flecare daL cnd calculaLorul incearc s sLablleasc conexlunea
vn cu reea. vn enforcemenL monlLorlzeaz sLarea de securlLaLe a cllenllor nA ;l apllc fllLre de reea llmlLaLe ale
pacheLelor l pe conexlunlle vn, dac cllenLul devlne lncompaLlbll cu cererlle medlulul de reea.
uPC apllc cererlle healLh pollcy de flecare daL cnd cllenLul uPC incearc s imprumuLe sau s reimprospLeze seLrlle
adresel l. uPC enforcemenL monlLorlzeaz acLlv sLarea de securlLaLe a cllenLulul nA ;l dac cllenLul devlne lncompaLlbll
cu cererlle medlulul de reea, improspLeaz seLrlle adreselor lv4 doar penLru reea llmlLaL.
ueoarece uPC enforcemenL se refer la seLrlle llmlLablle lv4 ale adreselor, pe care uLlllzaLorul cu drepLurlle de
36 / 41
admlnlsLraLor poaLe s le evlLe, in acela;l Llmp prezlnL ;l cel mal slab Llp de llmlLare a reelel in nA.
enLru a permlLe calculaLoarelor lncompaLlblle s acceseze serverele remedlaLlon in reeaua resLrlcLed, serverul uPC le
aLrlbule oplunea Classless SLaLlc 8ouLes uPC. AceasL oplune esLe alcLulL de la rouL pn la hosL-ul calculaLorulul in
reea resLrlcLed.
38. Setarea |u| NA
SysLem PealLh AgenLs (SPA) ;l SysLem PealLh valldaLors (SPv) sunL componenLe de lnfrasLrucLur nA care aslgur
conflrmarea ;l valldarea sLaLusulul healLh-sLaLe. Wlndows 8 are Wlndows SecurlLy PealLh valldaLor SPA, care monlLorlzeaz
seLrlle lul Wlndows SecurlLy CenLer. Wlndows Server 2012 are Wlndows Server SecurlLy PealLh valldaLor SPv
corespunzLor.
SPv inLoarce rspunsul SoP (SoP response - SoP8) cLre nA Server. SoP8 poaLe s conln lnformallle remedlaLlon
despre cum SPA corespunzLor pe cllenLul nA poaLe s indepllneasc cererlle de securlLaLe de slsLem curenLe.
PealLh pollcyesLe alcLulL dlnLr-unul sau mal mulLe SPv ;l alLe seLrl pe care le puLel folosl pennLru a deflnl cererlle de
conflgurare ale calculaLoarelor cllenL, penLru calculaLoarele nA care incearc s se conecLeze la reeaua dvs.
Cnd cllenLul nA incearc s se conecLeze la reea, calculaLorul cllenL LrlmlLe SoP pe nS.
SoP esLe un raporL despre sLrarea de conflgurare curenL a cllenLulul ;l nS compar SoP a[uns cu cererlle deflnlLe in healLh
pollcy.
Crupul 8emedlaLlon Server esLe llsLa lul remedlaLlon server in reea resLrlcLed, cu care cllenll nA lncompaLlblll poL s se
aproplein scopul prelurll sofLware updaLes. 8emedlaLlon server conlne updaLes ;l seLrlle necesare, pe care agenLul nA
le poaLe folosl penLru a aduce calculaLorul lncompaLlbll in sLarea acordulul cu cererlle healLh pollcy.
Cnd seLal cllenLul nA, Lrebule s lnel conL ;l de urmLoarele:
unele solull nA pe care le folose;Le Wlndows SecurlLy PealLh valldaLor sollclL ca SecurlLy CenLer s fle acLlv.
SecurlLy CenLer nu esLe parLe consLlLuLlv a lul Wlndows Server 2008, Wlndows Server 2008 82, nlcl la Wlndows Server
2012.
1rebule s permlLel neLwork Access roLecLlon CllenL servlce, cnd apllc nA pe calculaLoarele cllenL nA (lmaglnea
38.1.).
1rebule s seLal cllenll corespunzLorl nA enforcemenL pe calculaLoarele cllenL nA.
uLel folosl Lnable SecurlLy CenLer in Croup pollcy, penLru a permlLe SecurlLy CenLer pe cllenll nA.
AcLlvarea servlclulul neLwork Access roLecLlon esLe necesar penLru a seLa servlclul nA pe calculaLoarele cllenL nA.
39. Mon|tor|zarea | rezo|varea prob|eme|or |n NA
MonlLorlzarea muncll, ldenLlflcarea ;l inlLurarea problemelor in funclonarea lul nA sunL sarclnl foarLe lmporLanLe ale
admlnlsLraLorulul de slsLem. MonlLorlzarea log-urllor esLe poslbll in nA, dar esLe exclus by defaulL.
Avel la dlspozlle Lrel nlvele de monlLorlzare a seLrll: 8aslc, Advanced ;l uebug. Ca supllmenL la logarea 1race, avel la
37 / 41
dlspozlle o perspecLlv in nS accounLlng logs. nS accounLlng logs sunL depozlLaLe pe locala
sysLemrooLsysLem32logflles.
Avel la dlspozlle dou lnsLrumenLe penLru seLarea lul nA 1raclng. Consola nA CllenL ConflguraLln face parLe dln
Wlndows user lnLerface, in Llmp ceneLshesLelnsLrumenLul llnlel de comand.
enLru ldenLlflcarea ;l inlLurarea problemelor in funclonarea lul nA, avel la dlspozlle Lrel Llpurl de lnsLrumenLe de
comand neLsh:
neLsh nA cllenL show sLaLe
neLsh nA cllenL show conflg
neLsh nA cllenL show group
nA servlce inreglsLreaz evenlmenLele legaLe de nA in Wlndows evenL logs. enLru a vedea acesLe evenlmenLe,
deschldel LvenL vlewer, selecLal CusLom vlews, apol deschldelServer 8oles ;l selecLal neLwork ollcy and Access
Servlces. Se vor afl;a logs, care se refer la neLwork ollcy and Access servlce
urmLoarele evenlmenLe cele mal frecvenLe ;l cele mal lmporLanLe conln lnformallle despre servlcllle nA care sunL
lnllaLe pe serverul nS:
LvenL lu 6272 - neLwork ollcy Server CranLed access Lo a user.
LvenL lu 6273 - neLwork ollcy Server denled access Lo a user.
LvenL lu 6274 - neLowrk ollcy Server dlscarded Lhe requesL for a user.
LvenL lu 6276 - neLwork ollcy Server quaranLlned a user.
LvenL lu 6277 - neLwork ollcy Server granLed access Lo a user, buL puL lL on probaLlon because Lhe hosL dld noL meeL
Lhe deflned healLh pollcy.
lvenL lu 6278 - neLwork ollcy Server granLed full access Lo a user because Lhe hosL meL Lhe deflned healLh pollcy.
38 / 41
10. Serv|ce secur|ty
40. Update Serv|ces
Wlndows Server updaLe Servlces (WSuS) cre;Le securlLaLea asLfel incL apllc in Llmp uLll securlLy updaLes pe servere. AcesL
servlclu aslgur lnfrasLrucLura de preluare, LesLare ;l accepLare a securlLy updaLes.
WSuS esLe server role lnLegraL in slsLemul de operare Wlndows Server 2012, a crul sarcln esLe preluarea ;l dlsLrlbula de
updaLes penLru calculaLoarele Wlndows cllenL ;l server.
lnalnLe de a avea cllenll poslblllLaLea de a prelua updaLes de pe serverul WSuS, admlnlsLraLorul de slsLem Lrebule s
accepLe acesLe updaLes.
Crganlzallle mal marl ;l companllle i;l vor gsl lnLeresul in prlmul rnd in lmplemenLarea lerarhlel serverulul WSuS. ln asLfel
de solule, serverul WSuS cenLral prela updaLes de pe MlcrosofL updaLe, apol celelalLe servere WSuS prelau updaLes de la
serverul cenLral WSuS.
WSuS poaLe s genereze ;l rapoarLe penLru a u;ura monlLorlzarea asupra procesulul de lnsLalare a updaLes.
rocesul de gesLlonare a WSuS updaLe v ofer poslblllLaLea de a conLrola ;l de a menlne WSuS ;l updaLes pe care le-a
preluaL WSuS. AcesL proces esLe un clclu conLlnuu, in Llmpul crula ar Lrebul s reorganlzal ;l s reseLal dezvolLarea lul
WSuS penLru a saLlsface nevolle ;l penLru a rspunde la cererlle modlflcrllor zllnlce. lazele in gesLlonarea lul updaLe sunL:
Lvaluarea
ldenLlflcarea
lanlflcarea
uezvolLarea
Scopul fazel de evaluare esLe recunoa;Lerea nevollor penLru sLablllrea acesLul medlu care va puLea s susln gesLlonarea lul
updaLe ;l in acLlvlLlle zllnlce ;l in slLuallle crlLlce.
laza lndenLlflcrll se refer la ldenLlflcarea nollor updaLes dlsponlblle ;l declderea care dlnLre ele sunL convenablle penLru
nevolle reelel dvs. de companle.
uup ce efecLual ldenLlflcarea updaLe-urllor corepsunzLoare, Lrebule s verlflcal dac vor lucra in modul corespunzLor in
medlul dvs. de reea, avnd in vedere c inLoLdeauna exlsL poslblllLaLea ca anumlLe pacheLe sofLware in medlul dvs. de
reea poL avea probleme cu unele updaLe-url.
laza de dezvolLare vlne dup LesLare. Cnd dup verlfcarea de updaLes v convlngel de funclonarea lor corecL, puLel
aproba apllcarea lor in inLreaga reea.
Cnd acLlval oplunea AuLomaLlc updaLes pe server, seLrlle predeflnlLe prelau auLomaL updaLes de pe MlcrosofL updaLe ;l
le lnsLaleaz. uup lmplemenLarea lul WSuS, cllenll dln reeaua dvs. ar Lrebul s fle seLal de a prelua auLomaL updaLes de
pe serverul WSuS. Locala de pe care AuLomaLlc updaLes va prelua updaLes se deflne;Le cu a[uLorul lul reglsLry key.
enLru a admlnlsLra WSuS puLel uLlllza consola Snap-ln. AcesL lnsLrumenL poaLe s ldenLlflce sau s prela updaLes, s
accepLe updaLes penLru dlsLrlbule, s organlzeze calculaLoare in grupe, s verlflce sLaLusul calculaLorulul in prlvlna
updaLe-urllor apllcaLe ;l s genereze rapoarLe.
39 / 41
Crupurl de calculaLoare sunL modul de organlzare a calculaLoarelor cllenL pe care WSuS server va dlsLrlbul uupdaLes. uou
grupe predeflnlLe, care se creeaz auLomaL sunL All compuLers ;l unasslgned CompuLers.
ue oblcel, grupurlle de calculaLoare adapLaLe conln calculaLoare cu caracLerlsLlcl asemnLoare. Server-slde LargeLlng ofer
poslblllLaLea admlnlsLraLorllor de a gesLlona manual membrll WSuS in grupurlle calculaLor.
SeLarea predeflnlL a lul WSuS nu permlLe accepLarea auLomaL de updaLe penLru LoaLe apllcallle pe calculaLor. ue;l se poL
seLa auLomaL updaLes, aceasLa nu se recomand. rocesul recomandaL penLru aprobarea de updaLes esLe de a se seLa
prlma daL updaLes in medllle de laboraLor, abla apol in reea de companle. AceasL ordlne deflnlL reduce rlscul de la
apllcarea de updaLes care ar produce probleme nea;LepLaLe in medlul de reea.
41. Cr|ptarea |u| I||e System | vers|unea avansat
LlS esLe lnsLrumenLul care poaLe s crlpLeze sau s codlflce fl;lerele sLocaLe in parLlla formaLaL n1lS.
LlS se poaLe folosl ;l penLru crlpLarea fl;lerelor care sunL share-ulLe.
uup crlpLarea lul LlS in urma uLlllzrll lul LlS, doar uLlllzaLorll auLorlzal il poL accesa.
ue;l uLlllzaLorll au drepLurlle n1lS de acces penLru clLlrea fl;lerulul, ace;Lla LoLu;l Lrebule s fle ;l auLorlzal de cLre LlS
penLru a puLea s decrlpLeze fl;lerul.
uLlllzarea lul CerLlflcaLlon AuLhorlLy (CA) penLru publlcarea cerLlflcaLelor de uLlllzaLor imbunLe;Le gesLlonarea
cerLlflcaLelor.
LlS folose;Le crlpLarea care esLe o omblnale a publlc key ;l a slmeLrlc key, in scopul proLe[rll impoLrlva aLacurllor. LlS
folose;Le slmeLrlc key penLru a crlpLa flle, lar publlc key penLru a proLe[a slmenLrlc key.
LlS folose;Le crlpLarea cu publlc key, penLru a proLe[a slmenLrlc key, necesar penLru decrlpLarea conlnuLulul fl;lerelor.
llecare cerLlflcaL de uLlllzaLor conln prlvaLe ;l publlc key, care se folose;Le penLru a crlpLa slmeLrlc key.
rlvaLe key face parLe dln cerLlflcaLul de uLlllzaLor care se folose;Le penLru crlpLare. lnLoarcerea cerLlflcaLulul de uLlllzaLor
esLe una dln meLodele penLru refacerea fl;lerulul crlpLaL LlS. C meLood mal bun penLru refacerea fl;lerelor crlpLaLe LlS
esLe uLlllzarea agenLulul recovery. 8ecovery agenL esLe lndlvldul auLorlzaL penLru decrlpLarea LuLuror fl;lerelor LlS crlpLaLe.
AudlLlng (revlzle) inreglsLreaz in log rapoarLe despre dlferlLe acLlvlLl in medlul dvs. de reea. Apol, acesLe audlLlng logs le
puLel observa penLru a ldenLlflca evenlmenLele care sollclL cerceLarea in conLlnuare.
uac audlL pollcy nu sunL acLlvaLe, serverul nu va supravegea acesLe acLlvlLl.
Ma[orlLaLea evenlmenLelor in AcLlve dlrecLory sunL de[a urmrlLe dln parLea conLrolerulul de domenlu, cu presupunerea c
acesLe evenlmenLe au succes. e lng aceasLa, reseLarea parolelor de uLlllzaLor, inreglsLrarea in domenlu ;l cuLarea
scrlpLulul logon al conLulul de uLlllzaLor, de asemenea se inreglsLreaz in logs. una dlnLre cele mal lmporLanLe sarclnl esLe
aducerea in acord a audlL pollcy cu regullle de companle, precum ;l cu ceea ce sunL evenlmenLe reale.
Wlndows Server 2012 suporL monlLorlzarea deLallaL pe conLurlle de uLlllzaLor sau de grup ;l acLlvlLlle speclflce pe care le
apllc acesLe conLurl.
Accesul la fl;lere sau foldere il puLel monlLorlza asLfel incL vel aduga enLlLaLea audlLlng in llsLa lor SysLem Access ConLrol
- SACL.
LnLlLlle gesLlonaLe orlenLeaz slsLemul de operare Wlndows cLre monlLorlzarea acLlvlLllor de succes sau e;uaLe ale
uLlllzaLorllor, calculaLoarelor sau grupurllor, care folosesc un anumlL drepL de acces.
40 / 41
LnLlLlle gesLlonaLe lnflueneaz enLlLlle drepLurllor de acces penLru un oblecL, dar enLlLlle gesLlonaLe ;l enLlLlle
drepLurllor de acces nu Lrebule s se suprapun inLoLdeauna.
SeLarea enLlLll audlL in flla securlLy nu lnclude procesul de monlLorlzare. rocesul AudlLlng Lrebule s fle acLlvaL prln
deflnlrea AudlL pollcy corespunzLoare in Croup pollcy. uup acLlvarea procesulul AudlLlng (proces de revlzle), sub-slsLemul
de securlLaLe incepe cu crearea de log-url despre accese, cum esLe deflnlL in pollcy.
uup ce acLlval AudlLe Cb[ecL Access pollcy ;l deflnll Llpul de acces pe care vrel s-l monlLorlzal uLlllznd oblecLul SACL,
slsLemul incepe crearea de logs despre accesele in acord cu seLrlle. Avel la dlspozlle o perspecLlv in evenlmenLele
rezulLaLe ale lul SecurlLy log server.
41 / 41

Curs Network Server Services

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Curs Network Server Services

Uploaded by

Copyright:

Available Formats

Network Server Serv|ces

1. Dezvo|tarea | d|str|bu|rea s|steme|or de operare.............................................................................. 3

You might also like