Katalog w domu i zagrodzie

Transkrypt

1 Katalog w domu i zagrodzie Tomasz Onyszko Senior Consultant Microsoft

2 O mnie... przy klawiaturze od dobrych 18 lat, z tego ostatnie 9 zawodowo grafomaosko prowadzę blog W2K.PL (jak i angielską wersję na stronach DirTeam.Com) udzielam się czasami na wss.pl (5.5k+ ) i grupach Usenet w wolnych od powyższego chwilach pracuję w Microsoft Consulting Services jako Senior Consultant (Identity & Access Management)

3 Agenda Rzeczy przydatne i interesujące Mythb(AD)sters

4 Katalogu podsłuchowywanie

5 Podsłuchiwanie LDAP Analiza protokołu LDAP Częste działanie przy diagnostyce problemów Zapewnia szybka diagnostykę większości spotykanych problemów W zasadzie proste do realizacji Po stronie klienta Po stronie DC Najlepszym i najpewniejszym sposobem jest zawsze analiza ruchu sieciowego!!!

6 Klient ADInsight Narzędzie Sysinternals Wstrzykuje się w bibliotekę LDAP Tylko zapytania realizowana przez systemową bibliotekę LDAP

7 Klient Mechanizmy systemowe (Vista) Wbudowane mechanizmy śledzenia zdarzeo Wpis w rejestrze: HKLM\System\CurrentControlSet\Services\ldap\tracing\<nazwa śledzonego programu> Uruchomienie śledzenia Tracelog.exe -start ldap -guid #099614a5-5dd bc9-e29f43db28fc -f ldap.etl -flag x1fffdff3 Zatrzymanie śledzenia Konwersja do CSV tracelog.exe -stop ldap tracerpt.exe ldap.etl -o ldap.csv -of CSV

8 DC Logowanie zapytao Konfiugrowane poprzez wpis w rejestrze Zapytania logowane są w ramach dziennika zdarzeo HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering Liczba logowanych zapytao kontrolowana przez: Poziom drogich zapytao HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\Expensive Search Results Threshold Poziom nieefektywnych zapytao HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\Inefficient Search Results Threshold

9 DC Server Performance Advisory Dodatek dla Windows Server 2003 Performance and Reliability Monitor Wbudowany w Windows Server 2008 Oba pozwalają na śledzenia zapytao LDAP

10 Zrzutka...

11 Operational attributes Modyfikacje obiektu rootdse katalogu Nie modyfikują żadnych danych Polecenia dla katalogu do wykonania różnych operacji Wykonywane w odniesieniu do poszczególnych DC Pełny opis w ramach MS-ADTS Przykłady: doonlinedefrag becomepdc rodcpurgeaccount

12 A gdyby tak zrzucid katalog... dumpdatabase Efektowny lecz mało użyteczny Wykonuje zrzut katalogu do pliku tekstowego Pozwala na określenie listy atrybutów Nie pozwala na zrzut haseł Format czytelny.. acz kompletnie nie udokumentowany Przedstawia prostą tabelę z zawartością katalogu W dużej mierze tak DIT wygląda w środku Przy użyciu ADMOD ADMOD -h <DC> -sc dbb: lista atrybutów

13 ... to otrzymamy DNT distinguish name tag (primary key bazy DIT) PDNT DNT rodzica (tak tworzy się DN) CNT licznik referencji NCDNT DNT partycji OBJ znacznik logiczny obiektu (true \ false) RDNTyp typ obiektu

14 Infrastructure Master

15 Infrastructure Master Rola FSMO zdefiniowana dla każdej partycji katalogu Włączając w to partycje aplikacyjne!!! Wymagana ze względu na fizyczną implementacje katalogu W środowisku złożonym z wielu domen Zarządza relacjami między obiektami

16 Linked attributes Linked attributes Zdefiniowane na poziomie schematu Pary atrybutów identytykowane poprzez LinkID: Foward Link Oznaczany przez wartośd parzystą w LinkID Niezależny od back link Back Link Oznaczany przez wartośd <LinkID forward link>+1 Nie istnieje bez Forward Link Atrybut Kierunek Klasa LinkID Members Forward link Group 2 MemberOf Back link User 3 Relacje automatycznie utrzymywane przez katalog

17 Fizyka łączy Obiekty w ramach bazy DIT reprezentowane są przez rekordy identyfikowane przez DNT DNT są lokalne dla każdego DC. Obiekty przechowywane sa w tabeli obiektów DNT Typ Samaccountname User User User User Group Group Group Group2 Linki w tabeli linków DNT# Member MemberOf

18 Problem!! Jak pokazad relację pomiędzy obiektami z różnych domen??? Infrastructure Master

19 Rola IM Problem nie występuje w przypadku GC GC w lokalnej bazie posiada wszystkie obiekty z lasu W przypadku gdy DC nie jest GC Wymagany jest Infrastruture Master IM tworzy lokalną reprezentację obiektu w bazie danych DC PHANTOM

20 Jak to działa AD odzworowuje relacje pomiędzy obiektami przez wpisy w bazie danych IM odwzorowuje obcy obiekt poprzez lokalny wpis w bazie danych phantom Phantom to fizyczny wpis w bazie danych Phantom posiada DNT!!! Phantom zawiera tylko objectguid objectsid DN

21 Rozwiązanie problemu Wszystkie DC promowad do roli GC GC posiadają informację o wszystkich obiektach w lesie

22 IM a partycje aplikacyjne Partycja aplikacyjne Domyślne dwie patycje ForestDNSZones, DomainDNSZones Może również zawierad obiekty z innych partycji Dlatego... Posiada własną rolę IM FSMO

23 Schema.ini

24 Schema.ini W trakcie promocji DC %systemroot%\system32\schema.ini jest używany do inicjalizacji bazy danych DIT Uzupełnia wzorcowy plik bazy danych %systemroot%\system32\ntds.dit Możliwe jest modyfikowanie początkowych opcji DC Do testów w laboratorium

25 useraccountcontrol

26 useraccountcontrol useraccountcontrol Atrybut, w którym poszczególne bity zarządzają różnymi opcjami związanymi z obiektem użytkownika (KB ) Problem -> delegacja uprawnieo Nie ma możliwości delegacji uprawnieo do poszczególnych bitów Delegacja uprawnieo np. do odblokowania konta, powoduje delegacje uprawnieo do wszystkich opcji w tym zarządzania ustawieniami dla opcji haseł

27 useraccountcontrol Rozwiązanie: Trzy uprawnienia rozszerzone: Enable per user reversible encryption Unexpire password Update password not required bit Wada: Konfigurowane dla całej partycji Delegacja: Wydelegowanie uprawnieo do useraccountcontrol Odebranie uprawnieo do zarządzania ustawieniami haseł (patrz powyżej) dsacls <NC HEAD> /I:T /D "<GROUP>:CA;Unexpire Password" dsacls <NC HEAD> /I:T /D "<GROUP>:CA;Update Password Not Required Bit" dsacls <NC HEAD> /I:T /D "<GROUP>:CA;Enable Per User Reversibly Encrypted Password"

28 Delegacja useraccountcontrol

29 AD snapshots

30 AD Snapshots Nie jest to killer feature ale może byd przydatne Snapshot - zrzut zawartości katalogu na dany punkt w czasie Nie jest to pełny backup, i nie może go zastąpid Możliwe jest zamontowanie zrzutu jako równoległej instancji katalogu Ograniczenia: Snapshot obejmuje wszystkie elementy związane z AD Dane pozostają na oryginalnych wolumenach Nie można wykonad snapshot na dysk zewnętrzny Maksymalnie 512 zrzutów na jednym DC Brak UI

31 Snapshot - reanimacja Kasujemy konto Dyrektora niedobrze Teraz: Panika Odtwarzamy backup (o ile go mamy ) DSRM Ntdsutil authoritative restore subtree <DN> Czas: ok min. # OS restart: 2 A gdy mamy snapshot: Montujemy snapshot Odtwarzamy obiekt z nagrobka (tombstone) Przywracamy wszystkie atrybuty Czas: ok. 5 min # OS restart: 0

32 Reanimacja - How to... Jak to zrobid: Wykonad snapshot -> ntdsutil snapshot create Zamonotowad snapshot -> ntdsutil snapshot mount Uruchomid instancję LDAP -> dsamain.exe Odtworzenie danych: Odzyskanie nagrobka : admod.exe, ldp.exe, adrestore.exe Odzyskanie danych z migawki : LDIFDE.EXE, VBScript, PowerShell Import danych do katalogu: LDIFDE.EXE, VBScript, PowerShell A gdyby tak prościej 1Identity Snapshot Recovery Tool (

33 AD Snapshot

34 RODC i blokada konta

35 RODC i problem RODC Kopia tylko do odczytu katalogu... Ale tak nie do kooca Może uaktualniad lokalnie niektóre atrybutu Przeważnie powiązane z SAM i nie replikowane Chociażby... badpwdcount Mówiąc po ludzku... Account lockout

36 Gdy wszystko działa poprawnie... Logowanie RODC badpwdcount=1 badpwdcount=2 badpwdcount=3 Writable DC badpwdcount=1 badpwdcount=2 badpwdcount=3

37 A gdy WAN nie działa Logowanie RODC badpwdcount=1 badpwdcount=2 badpwdcount=3 badpwdcount=0 Writable DC badpwdcount=0

38 Podsumowanie

39 Oceo moją sesję Ankieta dostępna na stronie Dodatkowe komentarze mile widziane: Blog:

40 2008 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą byd znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.