Katalog w domu i zagrodzie Tomasz Onyszko Senior Consultant Microsoft
O mnie... przy klawiaturze od dobrych 18 lat, z tego ostatnie 9 zawodowo grafomaosko prowadzę blog W2K.PL (jak i angielską wersję na stronach DirTeam.Com) udzielam się czasami na wss.pl (5.5k+ ) i grupach Usenet w wolnych od powyższego chwilach pracuję w Microsoft Consulting Services jako Senior Consultant (Identity & Access Management)
Agenda Rzeczy przydatne i interesujące Mythb(AD)sters
Katalogu podsłuchowywanie
Podsłuchiwanie LDAP Analiza protokołu LDAP Częste działanie przy diagnostyce problemów Zapewnia szybka diagnostykę większości spotykanych problemów W zasadzie proste do realizacji Po stronie klienta Po stronie DC Najlepszym i najpewniejszym sposobem jest zawsze analiza ruchu sieciowego!!!
Klient ADInsight Narzędzie Sysinternals Wstrzykuje się w bibliotekę LDAP Tylko zapytania realizowana przez systemową bibliotekę LDAP
Klient Mechanizmy systemowe (Vista) Wbudowane mechanizmy śledzenia zdarzeo Wpis w rejestrze: HKLM\System\CurrentControlSet\Services\ldap\tracing\<nazwa śledzonego programu> Uruchomienie śledzenia Tracelog.exe -start ldap -guid #099614a5-5dd7-4788-8bc9-e29f43db28fc -f ldap.etl -flag x1fffdff3 Zatrzymanie śledzenia Konwersja do CSV tracelog.exe -stop ldap tracerpt.exe ldap.etl -o ldap.csv -of CSV
DC Logowanie zapytao Konfiugrowane poprzez wpis w rejestrze Zapytania logowane są w ramach dziennika zdarzeo HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering Liczba logowanych zapytao kontrolowana przez: Poziom drogich zapytao HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\Expensive Search Results Threshold Poziom nieefektywnych zapytao HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\Inefficient Search Results Threshold
DC Server Performance Advisory Dodatek dla Windows Server 2003 Performance and Reliability Monitor Wbudowany w Windows Server 2008 Oba pozwalają na śledzenia zapytao LDAP
Zrzutka...
Operational attributes Modyfikacje obiektu rootdse katalogu Nie modyfikują żadnych danych Polecenia dla katalogu do wykonania różnych operacji Wykonywane w odniesieniu do poszczególnych DC Pełny opis w ramach MS-ADTS Przykłady: doonlinedefrag becomepdc rodcpurgeaccount
A gdyby tak zrzucid katalog... dumpdatabase Efektowny lecz mało użyteczny Wykonuje zrzut katalogu do pliku tekstowego Pozwala na określenie listy atrybutów Nie pozwala na zrzut haseł Format czytelny.. acz kompletnie nie udokumentowany Przedstawia prostą tabelę z zawartością katalogu W dużej mierze tak DIT wygląda w środku Przy użyciu ADMOD ADMOD -h <DC> -sc dbb: lista atrybutów
... to otrzymamy DNT distinguish name tag (primary key bazy DIT) PDNT DNT rodzica (tak tworzy się DN) CNT licznik referencji NCDNT DNT partycji OBJ znacznik logiczny obiektu (true \ false) RDNTyp typ obiektu
Infrastructure Master
Infrastructure Master Rola FSMO zdefiniowana dla każdej partycji katalogu Włączając w to partycje aplikacyjne!!! Wymagana ze względu na fizyczną implementacje katalogu W środowisku złożonym z wielu domen Zarządza relacjami między obiektami
Linked attributes Linked attributes Zdefiniowane na poziomie schematu Pary atrybutów identytykowane poprzez LinkID: Foward Link Oznaczany przez wartośd parzystą w LinkID Niezależny od back link Back Link Oznaczany przez wartośd <LinkID forward link>+1 Nie istnieje bez Forward Link Atrybut Kierunek Klasa LinkID Members Forward link Group 2 MemberOf Back link User 3 Relacje automatycznie utrzymywane przez katalog
Fizyka łączy Obiekty w ramach bazy DIT reprezentowane są przez rekordy identyfikowane przez DNT DNT są lokalne dla każdego DC. Obiekty przechowywane sa w tabeli obiektów DNT Typ Samaccountname 21345 User User1 32323 User User2 45621 Group Group1 5678172 Group Group2 Linki w tabeli linków DNT# Member MemberOf 45621 21345 45621 32323 32323 45621 21345 45621
Problem!! Jak pokazad relację pomiędzy obiektami z różnych domen??? Infrastructure Master
Rola IM Problem nie występuje w przypadku GC GC w lokalnej bazie posiada wszystkie obiekty z lasu W przypadku gdy DC nie jest GC Wymagany jest Infrastruture Master IM tworzy lokalną reprezentację obiektu w bazie danych DC PHANTOM
Jak to działa AD odzworowuje relacje pomiędzy obiektami przez wpisy w bazie danych IM odwzorowuje obcy obiekt poprzez lokalny wpis w bazie danych phantom Phantom to fizyczny wpis w bazie danych Phantom posiada DNT!!! Phantom zawiera tylko objectguid objectsid DN
Rozwiązanie problemu Wszystkie DC promowad do roli GC GC posiadają informację o wszystkich obiektach w lesie
IM a partycje aplikacyjne Partycja aplikacyjne Domyślne dwie patycje ForestDNSZones, DomainDNSZones Może również zawierad obiekty z innych partycji Dlatego... Posiada własną rolę IM FSMO
Schema.ini
Schema.ini W trakcie promocji DC %systemroot%\system32\schema.ini jest używany do inicjalizacji bazy danych DIT Uzupełnia wzorcowy plik bazy danych %systemroot%\system32\ntds.dit Możliwe jest modyfikowanie początkowych opcji DC Do testów w laboratorium
useraccountcontrol
useraccountcontrol useraccountcontrol Atrybut, w którym poszczególne bity zarządzają różnymi opcjami związanymi z obiektem użytkownika (KB 305144) Problem -> delegacja uprawnieo Nie ma możliwości delegacji uprawnieo do poszczególnych bitów Delegacja uprawnieo np. do odblokowania konta, powoduje delegacje uprawnieo do wszystkich opcji...... w tym zarządzania ustawieniami dla opcji haseł
useraccountcontrol Rozwiązanie: Trzy uprawnienia rozszerzone: Enable per user reversible encryption Unexpire password Update password not required bit Wada: Konfigurowane dla całej partycji Delegacja: Wydelegowanie uprawnieo do useraccountcontrol Odebranie uprawnieo do zarządzania ustawieniami haseł (patrz powyżej) dsacls <NC HEAD> /I:T /D "<GROUP>:CA;Unexpire Password" dsacls <NC HEAD> /I:T /D "<GROUP>:CA;Update Password Not Required Bit" dsacls <NC HEAD> /I:T /D "<GROUP>:CA;Enable Per User Reversibly Encrypted Password"
Delegacja useraccountcontrol
AD snapshots
AD Snapshots Nie jest to killer feature ale może byd przydatne Snapshot - zrzut zawartości katalogu na dany punkt w czasie Nie jest to pełny backup, i nie może go zastąpid Możliwe jest zamontowanie zrzutu jako równoległej instancji katalogu Ograniczenia: Snapshot obejmuje wszystkie elementy związane z AD Dane pozostają na oryginalnych wolumenach Nie można wykonad snapshot na dysk zewnętrzny Maksymalnie 512 zrzutów na jednym DC Brak UI
Snapshot - reanimacja Kasujemy konto Dyrektora niedobrze Teraz: Panika Odtwarzamy backup (o ile go mamy ) DSRM Ntdsutil authoritative restore subtree <DN> Czas: ok. 30 60 min. # OS restart: 2 A gdy mamy snapshot: Montujemy snapshot Odtwarzamy obiekt z nagrobka (tombstone) Przywracamy wszystkie atrybuty Czas: ok. 5 min # OS restart: 0
Reanimacja - How to... Jak to zrobid: Wykonad snapshot -> ntdsutil snapshot create Zamonotowad snapshot -> ntdsutil snapshot mount Uruchomid instancję LDAP -> dsamain.exe Odtworzenie danych: Odzyskanie nagrobka : admod.exe, ldp.exe, adrestore.exe Odzyskanie danych z migawki : LDIFDE.EXE, VBScript, PowerShell Import danych do katalogu: LDIFDE.EXE, VBScript, PowerShell A gdyby tak prościej 1Identity Snapshot Recovery Tool (http://www.oneidentity.net/tools/snapshot/)
AD Snapshot
RODC i blokada konta
RODC i problem RODC Kopia tylko do odczytu katalogu... Ale tak nie do kooca Może uaktualniad lokalnie niektóre atrybutu Przeważnie powiązane z SAM i nie replikowane Chociażby... badpwdcount Mówiąc po ludzku... Account lockout
Gdy wszystko działa poprawnie... Logowanie RODC badpwdcount=1 badpwdcount=2 badpwdcount=3 Writable DC badpwdcount=1 badpwdcount=2 badpwdcount=3
A gdy WAN nie działa Logowanie RODC badpwdcount=1 badpwdcount=2 badpwdcount=3 badpwdcount=0 Writable DC badpwdcount=0
Podsumowanie
Oceo moją sesję Ankieta dostępna na stronie www.mts2008.pl Dodatkowe komentarze mile widziane: E-mail: t.onyszko@w2k.pl Blog: http://www.w2k.pl
2008 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą byd znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.