Księgarnia PWN: Florian Rommel - Active Directory odtwarzanie po awarii Spis treści O autorze... 9 O recenzentach... 11 Wstęp... 13 Zawartość książki...14 Dlaczego ta książka jest potrzebna... 14 Konwencje... 15 Rozdział 1. Odtwarzanie usługi Active Directory po awarii przegląd... 17 Czym jest odtwarzanie po awarii?... 18 Dlaczego potrzebne jest odtwarzanie po awarii (DR Disaster Recovery)... 20 Skróty stosowane w tej książce... 22 Odtwarzanie usługi katalogowej Active Directory po awarii... 23 Rodzaje awarii i scenariusze omówione w tej książce... 24 Odtwarzanie skasowanych obiektów... 24 Awaria sprzętowa jednego kontrolera DC... 25 Uszkodzenie usługi AD na jednym kontrolerze DC... 26 Uszkodzenie usługi AD w jednej lokacji... 27 Uszkodzenie AD w całej korporacji pełne uszkodzenie... 27 Uszkodzenie sprzętowe w całej lokacji... 27 Awaria sprzętu w całej korporacji... 28 Podsumowanie... 29 Rozdział 2. Zasady projektowania usługi Active Directory... 31 Elementy usługi AD... 32 Las usługi AD... 32 Drzewo usługi AD... 33 Jednostki OU i obiekty liście... 33 Lokacje w Active Directory... 34 Obiekty GPO (Group Policy Objects obiekty zasad grupy)... 36 Projekt domen: pojedynczy las, pojedyncza domena, sieć o topologii gwiazdy... 37 Projekt domen: pojedynczy las, pojedyncza domena, pusta domena podstawowa (root), sieć o topologii gwiazdy... 38 Projekt domen: las z wieloma domenami... 40 Projekt domen: wiele lasów... 40 Lokacja opóźnienia (lokacja LRS Lag Replication Site)... 41 Projektowanie własnej usługi Active Directory... 43 Standardy nazw... 45 Przydzielanie nazw użytkowników i kont usług... 45
4 Active Directory odtwarzanie po awarii Nazewnictwo obiektów GPO (obiektów zasad grupy)... 45 Projektując, trzeba pamiętać o skalowalności... 46 Role FSMO (Flexible Single Master Operation Roles)... 48 Migracja z innych usług uwierzytelniania... 52 Aktualna dokumentacja i bezpieczeństwo... 53 Dokumentacja... 54 Kopie zapasowe... 56 Podsumowanie... 56 Rozdział 3. Przygotowywanie Planu odtwarzania po awarii dla firmy... 57 Analiza ryzyka, zagrożeń i sposobów ograniczenia szkód... 58 Dwuczęściowy poradnik: opracowywanie Planu odtwarzania po awarii w dziesięciu krokach... 62 Część 1. Kroki ogólne... 63 Obliczenia i analiza... 63 Tworzenie Planu utrzymania ciągłości działania firmy (planu BCP)... 63 Prezentacja części 1. i 2. dla zarządu firmy... 65 Określenie obowiązków i zakresów odpowiedzialności... 65 Szkolenie personelu na wypadek odtwarzania po awarii (DR)... 66 Plan DRP należy często testować... 68 Część 2. Implementacja Planu odtwarzania AD po awarii (planu DRP)... 69 Nie wystarczy napisać... 69 Każdy musi wiedzieć, gdzie znajduje się plan DRP... 69 Określenie kolejności odtwarzania różnych części systemu (najpierw kontroler w lokacji centralnej (hub), następnie dodać jeden serwer itd... 70 Powrót do prezentacji dla zarządu... 70 Podsumowanie... 71 Rozdział 4. Wzmacnianie odporności usługi Active Directory na uszkodzenia... 73 Podstawowe koncepcje bezpieczeństwa... 73 Strategia zabezpieczania domeny... 73 Strategia zabezpieczania kontrolerów domen... 74 Zabezpieczenia konfiguracji DNS... 75 Bezpieczne aktualizacje... 75 Opcja Split Zone DNS... 76 Strefy AD Integrated Zones (strefy zintegrowane z Active Directory)... 77 Konfigurowanie DNS do działania na serwerze rezerwowym po awarii serwera głównego (tryb failover)... 78 Protokół dynamicznego konfigurowania komputera macierzystego (protokół DHCP) w Active Directory... 79 Ścisła kontrola uprawnień i delegacje... 80 Właściwa delegacja użytkownika... 82 Delegowanie pełnej kontroli grupie użytkowników... 83 Delegowanie ograniczonej kontroli... 85 Grupa upoważniona do resetowania haseł... 87 Centralny dziennik zdarzeń... 88 Właściwe zarządzanie zmianami... 89
Spis treści 5 Wirtualizacja i lokacje opóźnienia... 91 Przypisanie zasobów... 91 Kopie zapasowe i zrzuty... 92 Zautomatyzowane instalowanie serwerów... 92 Przystawka Sites and Services (lokacje i usługi)... 93 Tworzenie lokacji, podsieci i łączy lokacji... 94 Ustawianie harmonogramów replikacji i kosztów... 98 Koszt... 99 Ustalanie harmonogramu... 100 Harmonogram replikacji dla lokacji... 102 Harmonogram dla łącza... 104 Lokacje opóźnienia i ciepłe lokacje... 105 Konfigurowanie lokacji opóźnienia... 106 Tworzenie, konfigurowanie i wykorzystywanie ciepłej lokacji... 108 Podsumowanie... 110 Rozdział 5. Uszkodzenie Active Directory na kontrolerze domeny... 111 Problemy i symptomy... 111 Symptomy... 111 Przyczyny... 112 Rozwiązanie (odtwarzanie)... 112 Szczegóły rozwiązania... 112 Sprawdzanie uszkodzenia... 112 Narzędzia diagnostyczne... 113 Program Sonar... 116 Możliwość usuwania uszkodzeń i zatrzymywania rozprzestrzeniania się przekłamań... 117 Opcja pierwsza: przywrócenie Active Directory z kopii zapasowej... 119 Opcja druga: replikacja... 125 Opcja trzecia: odbudowa kontrolera domeny z nośników (Install from Media)... 127 Podsumowanie... 129 Rozdział 6. Odtworzenie jednego uszkodzonego kontrolera DC... 131 Problemy i symptomy... 131 Przyczyny... 131 Proces rozwiązywania problemu... 131 Szczegóły rozwiązania... 132 Wyczyszczenie Active Directory przed rozpoczęciem odtwarzania... 132 Usunięcie z Active Directory rekordów starego kontrolera domeny... 133 DNS i akcje graficzne potrzebne do zakończenia procesu... 142 Odtwarzanie uszkodzonego kontrolera DC... 145 Podsumowanie... 145 Rozdział 7. Odtwarzanie utraconych lub usuniętych użytkowników i obiektów... 147 Problemy i symptomy... 147 Przyczyny... 147
6 Active Directory odtwarzanie po awarii Proces rozwiązywania problemu... 148 Obiekty fantomowe (Phantom Objects)... 148 Relikty (obiekty typu Tombstone)... 148 Wydłużanie czasu życia reliktów (TSL)... 150 Obiekty uporczywe (Lingering Objects)... 151 Wymagania... 152 Metoda 1. Odtwarzanie usuniętych lub utraconych obiektów za pomocą udoskonalonego programu NTDSutil... 153 Metoda 2. Odtwarzanie usuniętych lub utraconych obiektów za pomocą podwójnego przywrócenia... 159 Metoda 3. Ręczne odtwarzanie usuniętych bądź utraconych obiektów... 159 Odtwarzanie obiektów GPO... 163 Kopiowanie za pomocą wtyczki GPMC z konsoli MMC... 164 Przywracanie za pomocą wtyczki GPMC... 165 Jeśli nie mamy wtyczki GPMC... 167 Podsumowanie... 168 Rozdział 8. Pełna awaria Active Directory... 169 Scenariusz... 169 Przyczyny... 169 Proces odtwarzania... 169 Część 1. Przywracanie pierwszego kontrolera w domenie podstawowej... 170 Część 2. Odtwarzanie pierwszego kontrolera we wszystkich pozostałych domenach... 181 Część 3. Określanie kontrolera domeny podstawowej jako katalogu globalnego... 183 Część 4. Odtwarzanie dodatkowych kontrolerów w lesie przez zainstalowanie Active Directory... 185 Kroki po odtworzeniu... 185 Podsumowanie... 186 Rozdział 9. Awaria lokacji w infrastrukturze Active Directory (sprzęt)... 189 Scenariusz... 189 Przyczyny... 189 Proces odtwarzania... 190 Do rozważenia: różny sprzęt i goły metal... 190 Do rozważenia: oprogramowanie... 191 Proces przywracania... 192 Środowiska wirtualne... 199 Podsumowanie... 201 Rozdział 10. Narzędzia używane przy odtwarzaniu... 203 Oprogramowanie kontrolerów DC i administracja... 203 Narzędzia pomocnicze (Support Tools) systemów Windows... 204 Narzędzia zestawu Resource Kit... 205 Pakiet Adminpack dla klientów Windows XP/Vista... 205 Narzędzia diagnostyczne i rozwiązywanie problemów... 207
Spis treści 7 Narzędzie DcDiag... 207 Narzędzie NetDiag... 210 Monitorowanie za pomocą programów Sonar i Ultrasound... 214 Program Sonar informacje wstępne... 214 Program Ultrasound informacje wstępne... 216 Zakładka Details... 219 Historia alarmów (Alert History)... 219 Zakładki Summary i Advanced... 221 Podsumowanie... 224 Dodatek A. Przykładowy Plan utrzymania ciągłości działania firmy... 225 Plan utrzymania ciągłości działania w Nailcorp... 225 CEL... 225 Opis usługi... 226 ZAKRES... 226 Osoby odpowiedzialne i ich role... 226 CELE... 227 Co chcemy osiągnąć za pomocą tego dokumentu... 227 Ogłoszenie Planu utrzymania ciągłości działania firmy... 227 DRZEWO POWIADAMIANIA... 227 Kryteria ogłoszenia awarii usługi Active Directory... 228 Przywrócenie funkcjonalności... 229 Lokacja (lub lokacje) odtwarzania... 229 Materiały potrzebne w lokacji alternatywnej... 230 ETAPY ODTWARZANIA USZKODZONEGO KONTROLERA DC... 230 DODATKI... 231 Osoby odpowiedzialne za działanie usługi AD... 231 Dokumentacja dotycząca aplikacji lub usługi dołączona do tego planu... 231 Kontakty zewnętrzne i kontrahenci... 232 Formularze oceny szkód... 232 SŁOWNICZEK... 233 Bibliografia... 237 Indeks... 245