Rommel F - Active Directory-Odtwarzanie Po Awarii

A0RB861 Active Directory - odtwarzanie po awarii ; Plany i wdrozenia — porady Ba ain Florian Rommel Przektad z jezyka angielskiego | Zofia Okrasifska | | Soon na | w Warszawie, | (i itt i . NDOUesOe"2 | ve WYDAWNIICTWO NAUKOWE Pw, WARSZAWA 20093861 Polska wersja okladki: Grzegorz Lawniezak Redakeja jezykowa: Wojeieeh Krysztofiak Sklad komputerowy: Krzysztof Swistak Zastrzetonych nazw firm t produktow uzyto w Ksigice wylacznie w celu identy fia. Copyright © Pact Publishing 2008, Fist published ithe English language undér the tide Active Directory Disaster Recovery ‘Copyright © for the Polish Edition by Wydawnictwo Naukowe PWN SA, Warszawa 2009 5405 ,595 RO6165 2003 2.4 ISBN: 978-83-01-15958-0 ‘Wydawnictwo Naukowe PWN SA 02-676 Warszawa, ul. Postepu 18 tel. (022) 69 54.321 {aks (0-22) 69 54 031 infolinin 0 801 33 33 88 «e-mail: pam@pwn.com pl ‘worn. pu.pl Wydonie pierwsze Arkuszy drukaeskich 15,5, Druk ukoriezono w lipet 2009 « Darul opr Drukarnia Wydawnictw Naukowych Sp. 20.0. 92.333 Lédé, ul. Wydawnicza 1/3 08 sa0Ke 14 pUW-Ta Spis tresci O autorze (0 recenzentach Wstep sn 3 Zawartose ksigiki o so Dlaczego ta ksigika jest potrzebna : = i) Konwengje i 15 Rozdzial 1. Odtwarzanie ustugi Active Directory po awarii - przeglad. Cay jest odtwarzanie po aviation 18 Diaczego potrzcbne jest odtwarzanie po avrarii (DR ~ Disaster Recovery) 20 ‘Shay stosowane W tej KSig32€ vn son 22 Odtwarzanie ustugi katalogowe} Active Directory po awari 23 Rodzaje awarii i scenariusze oméwione w tej ksigice. 24 ‘Odtwarzanie sliasowanych obiektow. 24 -Avvatia speagtowa jednego Kontrolera DC. 25 ‘Uszkodzenie uslugi AD na jednym kontrolerze DC. : sn 26 Uszkodzenie usiugi AD w jednej lokagji 2 Uszkodzenie AD w cale) Korporacji ~ pelne uszkodzenie.... 21 Uszkodzenie spragtowe w calej lokacji. : soe BT Awarla spregtu w cale) korporacji : 28 Podsumowanie Rozdzial 2, Zasady projektowania usta Elementy ustugi AD. Las uslugi AD, Drzewo ustugi AD. Jednostki OU i obickty-liscie Lokaeje w Active Directory Obiekty GPO (Group Policy Objects ~ obiekty zaséd grupy), 36 Projekt dome: pojediynezy las, pojedyncza doment, sie€ 0 topologii gwiazdy 37 Projekt domen: pojedynezy las, pojedyncza donieun, pusta domena padstawowa (C000), sieé 0 topologii gwinzdy Projekt doen: las 2 wieloma domenami ne 7 Projekt domen: wiele las6w 40 Lokaeja opéznienia (lokacja LRS ~ Lag Replication Site). 41 Projektowanie wlasnej ustugi Active Directory. 3 Standardy nazw. . 45 Praydaielanie nazw wiytkownikéw i Kont usiag. a 45Rordzial 3. Przygotowywanie ,,Planu odtwarzania po awarit” dla firms Rozdziat 4. Wem Active Directory ~ odtwarzanie po awarii Nazewnietwo obiekt6w GPO (obiekt6w zasad grupy) sone AS Projektujae, tr2eba pamigta¢ o skalowalnose nn . 46 Role FSMO (Flexible Single Master Operation Roles) ren AB Migracja z innych uslug uwierzytelniania, 52 ‘Akwalna dokumentacja i bezpieczesstwo 053 Dokumentacja 54 Kopie zapasowe. 56 Podsumowanie Analiza ryzyka, zagrozen i sposobsiw ograniczenia szké Dwuezpseiowy porudnik: opracowywanie ,Planu odtwarzania po awarii” ww dziesigciu krokach ‘Copse 1, Kroki ogoine «. Obliczenia t analiza : ‘Tworzenie ,Planu ulrzymania ciqglosei dzialanisfirmy” (plana BCP) Prezentacja ezesci 112. dla zarzqdu firmy. Olestenie obowigekow i zakres6w odpowiedzialnos Sckolenie personelu na wypadek odtwarzania po awatii (DR). Plan DRP naledy ezesto testowaé (CopSé 2, Implementacja ,Planu odtwarzania AD po awari [Nie wystarezy napisaé, Kaidy musi wiedzies, gdzie znajduje sig plan DRP. Okreslenie kolejnosei odtwarzania réznych caps system (najpierw ontroler w lokacji centrale} (hub), nastgpnie dodaé jeden serwer i Powrst do prezentaeji dla zarzadu Podsumowanie. (planu DRP).. ic odpornosei uslugi Active Directory: na uszkodzenia. Podstawowe koncepee bezpiecze sta. Stategia zabezpiczania domeny Statin zabeepieseaniakontroleréw domen Zabezpieezenia Konfiguracji DNS Bezpiecene nktalizaje Opeia Split Zone DNS. Suefy AD Iniegrated Zones (sty zintegrowane. % Active Diectoy) Konfigurowanie DNS do dzialania na serwerzerezerwowym po awvari serweragldwnego (ry failover) Protokst dynamicenego konfigurowania komputer maciorzysteo (procokdl DHCP) w Active Directory Scisla kontrola upravnies i deleguce. ‘Wiasciva delegacia uzytkownika, moe Delegowanie pelne kontrol grapio wiytkownikow rs Delogowanie ograniczone} kontrol ' Grupa wpovraéniona do resetowania hase Conta dion dat Wiascine zareqdzanie zmianami Rozdzial 5. Uszkodzenie Active Directory na kontrolerze domeny .. Rozdzial 6. Odtworzenie jednego uszkodzonego kontrolera DC Rozdzial 7. Odtwarzanie utraconyeh In Spis teset 5 Wirtualizaeja i Iokacje op6énienia 91 Praypisanie zasob6w. Kopie zapasowe i zrzuty 92 Zautomatyzowane instalowanie serwer6w. vs . 92 Praystawka Sites and Services (lokacje i uslugi) . 93 ‘Tworzenie lokacji, podsieci i gezy loka... 94 aswimsehamonograme repli koa ' 98 Koszt . sn ve 99 Ustalanie harmonogramu 100 Harmonogram replikacji dla lokaqj. 102 Harmonogtam dla Igeza : ve LOM Lokaje op6nienia i cieple lokacje. : 105 Konfigurowanielokagji opddnienia. 108 ‘Tworzenie, konfigrowanie i wykorzystywanie cieplej lokaeji 08 Podsumowanie. ve Problemy i symptomy. ve ut Symptomy. ae —— i Przyezyy ane 12 Rozwigzanie (odtwarzanie) 12 Scczegély rozwigzania.. 12 Sprawdzanie uszkodzeni 12 Narzgdzia diagnostyczne. icc eomemecmratey 113 Program Sonar. 6 ‘Mozliwosé usuwania uszkodze i zattzymywania rozpreestrzeniania sig przeklamas. 17 ‘Opeja pierwsza: praywrbcenie Active Directory 7 Kopii zapasowe 19 Opeja druga: replikacja... 15 Opeja trzecia: odbudowa kontrolera domeny 2 nosnik6w (Install from Media) 127 Podsumowanie Problemy i symptomy Prayezyny. Proces roxwigzy ania problem. Szezeg6ly rozwigaania, ‘Wycayszczenie Active Directory preed rozporzgciem odtwarzani. 132 Usunigcie 2 Active Directory rekord6w starego kontrolera domeny. 133 DNS i akeje graficzne potrzebne do zakoriczenia procesu 142 Odiwarzanie uszkodzonego kontrolera DC as Podsumowanie 145 usunigtych udytkownik6w i obiektow Problemy i symptomy Prayezyny anonSpis tresci 7 6 Active Directory — odtwarzanie po awarii Proces rozwigzywania problem. 148 ‘Obickty fantomowe (Phantom Objects) 148 Relikty (obiekty typu Tombstone)... “148 Wyaluzanie czasu Zycia reliktéw (TSL). v= 150 Obiekty uporczywe (Lingering Objects) wins 15H Wyma 152. Metoda I. Odtwarzanie usunigtych lub utraconyeh obiektGw 2a pomacg tudoskonalonego programu NTDSuti. 1153 Metoda 2. Odtwarzanie usunigtych lub iraconyeh abioktéw za pomaca podw6jnego praywrécenia, «159 Metoda 3. Recane odtwarzanie usunigtych bya utraconych obiel von 159. Odtwarzanie obiektéw GPO. 1163 Kopiowanie 2a pomoca wiyezki GPMC 2 konsoli MMIC. 164 Przywracanie za pomoca wryczki GPMC nme 165 esti nie mam) wtyczki GEMC, 167 Podsumowanie. 168 Rozdzial 8. Pelna awaria Active Directory... 169 Scenariusz 169 Prayezyny. 169 Proces odtwarzania.. 169 Czgsé 1, Praywracaniepierwszego Kontrolera w domenie podstawowe}. 170 (Cogsé 2. Odtwarzanie pierwszego kontrolera we wszystkich pozostalych domenach. “mn 1B Cagsé 3. Oktedlanie Kontrolera domeny podstawowe} jako katalogu BlobAINELO on 183 Czpsé 4. Odtwarzanie dodatkowych Kontroleréw w lesie proce zainstalowanie Active Directory. Koki po oxtworzenia. Podsumowanie ron Rozdziol 9. Avaria lokacji w infrastrukturze Active Directory (spr2¢t.. Seenaviusz Preyezyny. Proves odtwarzani Do rozwatenin:rSany spraet i .goly metal Do rozwaienin: oprogramowanie nr. Proces preywrscania.. Srodowiska wirtualne.. Podsumowanie Rozdzial 10. Narzedzia wiywane pray odtwarzanitt nnn Oprogramowanie kontroleréw DC. i administracja.. Narzedzia pomocnicze (Support Tools) systemow Narapdzia zestawa Resource Kit Pakiet Adminpack dia klient6w Windows XP/Vista Navzedzia diagnostycane i rozwigzywanie problemow | | | | | | Dodatek A. Przyktadowy ,.Plan utrzymania ciqglosei dvialania firmy” Naregdzie NetDiag ro. Monitoroviaite 2a pomoca progriméw Sonar i Ultrasound . Program Sonar ~ informacje wstepne... Program Ultrasound ~ Zakladka Details Historia alarméw (Alert History). Zakladki Summary i Advanced, Podsumovanie: Plan wrangles datania w Nolen CEL Opis ustugi. ZAKRES... Osoby odpowiedzialne i ich role CELE... ‘Co cheemy osiqenaé 2a pomoea tego dokument, Oploszenie ,Planu uttzymania cigglosei dzialania firmy". DRZEWO POWIADAMIANIA, Keyteria ogloszenia awarii ustugi Active Directory Praywrécenie funkejonalnosci Lokacja (lub lokacje) odtwarzania., ‘Materialy potrzebne w lokaeji alternatywnej ETAPY ODTWARZANIA USZKODZONEGO KONTROLERA D DODATKI.. 231 Osoby odpowiedziine a dziaanie uslugi AD 231 Dokumentacja dotyezaca aplikacji lub uslugi dolgezona do tego plant... 231 Kontakty zewnetrane i kontrahenci 232 Formularze oceny szk6d. 232 SLOWNICZEK se snans 233O autorze Florian Rommel urodzit sig w Niemezech i mieszkat tam do 15. roku zycia, kie~ dy to rodzina przeniosta sig do Ameryki Srodkowej, a potem do USA. Pracowal \w przemysle informatyeznym przez. ponad 15 lat i zdoby! duze doswiadezenie w wiclu réiych, srodowiskach IT. Od dawna interesuje, sig. zagadnieniami 2wiqzanymi 1 bexpieczeristwem w informatyce, posiada tytuly: CISSP (Cestified Information Sys- tems Security Professional), SANS GIAC ~ GCUX (GIAC Centified UNIX Security Administrator), MCSE (Microsoft Certified Systems Engineer), MCSA (Microsoft Certified Systems Administrator), MCDBA (Microsoft Certified Database Admini- strator) i inne, Jest ekspertem w dziedzinie bezpieczeristwa informacji. Po napisaniu Kilku preowodnik6w na temat odtwarzania po awarii w srodowiskach Windows 2003 i Active Directory w wielkich firmach finansowych i w przedsiebiorstwach przemy- slowych, teraz przedstawia jedyna w swoim rodzaju publikacje, majgc nadzicje, Ze stanie sig ona podstawowa ksigzka w bibliotekach wielu administratoréw systemu Windows Server. Obecnie Florian Rommel pracuje w dziale zarzqdzania IT w due} korporacii w Finlandii ~ kraju, w kt6rym mioszka od 10 lat. Jest odpowiedzialny za funkejono- wanic ustugi Active Directory i globalng infrastrukturg zabezpieczes i ' | i i | i Ta ksigeka powstala w wyniku dlugotrwalych badat, w czasie kidrych nie mialem czasu dla nikogo. Dlatego chcialbym podzigkowaé i dedyko- waé jq tym, kt6rzy otaczali mnie zyczliwosciq. Sq to moja Zona Kaisa i c6rka Sofia, a takée moi rodzice i Neil. Bez nich i ich wsparcia, a take bez wsparcia ze strony innych os6b, z kt6rymi od lat wsp6lpracowatem, nie méglbym rozpoczaé i wykonaé tej pracy. Cheialbym takée bardzo podzigkowaé osobom z Microsoft Finland, ktére pomogly mi w pewnych kwestiach, oraz Guido Grillenmeierowi, kt6ry dostarczyt mi wieln danych i dzielil sig wiedza 2 BbieedamssinnO recenzentach James Eaton-Lee jest konsultantem w dziedzinie bezpieczeristwa informacji Pracowal dla réinych klient6w, zaczynajgc od malych firm zatradniajgcych niewielu pricowniK6w, a Koiiceqe na migdzynarodowych bankach. Ma bogatc doswiadczenie Ww pricy w dziatach IT: w firmnach swiadczacych uslugi internetowe, firmach produk- eyjnych i telefonicanych centrach obstugi. James bral udzial w integrowanin wielw systeméw, poczawszy od analogowych i telefonicznych systeméw VoIP (Voice over IP= przesylanie glost przez sieé 2a pomoca protokolu IP), skoriczywszy na systemach NT i AD w Srodowiskach o krytycznym znaczeniu, grupujgcych tysiqce serwerdw. Uczestnicayt takze w pracach z setwerami uniksowymi i linuksowymi pelniqeymi 6éne funkcje, James Eaton-Lee jest wielkim zwolennikiem stosowania wiasciwej technologii; uwaza za konieczne je} uelastycznienie oraz zblizenie do potrzeb biznesowych firm réane} wielkosci, zwlaszeza na rynku systeméw zarzqdzania, w kt6rych Gxesto unika sig technologii i zapomina o nig). Od lat jest orgdownikiem otwartego i dartiowego oprogramowania ~ jesli tylko mozna, wlywa go sam, a takée stosuje Uuklient6w, mocno integrujge je z innymi technologiami, Nathan Yocom jest znakomitym inzynierem oprogramowania; specjalizuje sig W takich zagadnieniach jak: bezpieczeristwo sieci, ustalanie tozsamosci, kontrola do- Slepuy integralnosé danych. W cigu lat pracy jako projektant systemowy tworzyl oprogramowanie, rozpoczynajqc od darmowego projektu uwierzytelniania w Windows (oGina, http: //wm.paina.org), koriczae na projekcie integracji Linux/Outlook dla Bynati Ine. (http: //ww.bynart .net). Pracowal takze dla Centrify Corporation's przy integracji Active Directory i audycie produktow (nttp://mw.centrify.con). | Publikuje artykuly main, w SysAdmin Magazine i jest wsp6lautorem podrecznika lo ptogramiowania ‘sieci’ opartych'na systemie Linux: ,;The Definitive Guide to Linux ‘Network Programming" (K. Davis, J. Turner, N. Yocom, Apress, 2004, ISBN: 1-59059- 322-7), Poza tym by! tecenzentem bardzo zaawansowanego technicznie projekt ,RFID TOYS? 11 Cool Projects for Home, Office and Entértainment” autorstwa Amala Graaf- "staypioniera technologii RFID. Gay nie rozgryza zagadniet zwiqzanych z oprogramowaniem komputerowym, 2} Nathan-tubi.spedzaé czas w domu w, Seattle 2 Zong Katie, e6rka Sydney i synem _Ethanem, Praysiges, 20 w Seattle deszeze nie padajg tak ezgato, jak Iudzie wierdzn,sitet iain ecaieemicceanceamiannusia Wsiep Prawo Murphy’ ego méwi, ze jesli cof mote péjsé Ale, to péjdzie Ze. W odnie- sieniu do systeméw informatycznych oznacza to zdarzenie, kt6re spowoduje calkowite ziszczenic danych, drastyczne zmniejszenie wydajnosci albo przerwe w naszych dzialaniach lub dzialalnosci naszej firmy. Jak fle moze byé? ,,W wigkszosci duzych spélek od 2% do 4% budzetu praeznaczonego na IT jest wydawane na planowanie codtwarzania po awarii. Chodzi.o uniknigcie wigkszych strat. Sposréd spOlek, w kt6- rych zdarzyla sig duéa strata skomputeryzowanych danych, 43% nigdy nie wznowilo dzialainosci, 51% zostalo zamknigte w ciagu dwu lat, a jedynie 6% preetrwalo na duzsza mete” (Jim Hoffer, Backing Up Business — Industry Trend or Event) Usluga Active Directory (AD) to wspanialy system, ale podatny na uszkodzenia. Jesli wystapi problem, musimy wiedzieé, jak modliwie szybko,i calkowicie usungé Jjego skutki. Musimy zdobyé wiedze 0 odtwarzaniu po awarii i dysponowaé praygoto- wanym zawezasu ,Planem uttzymania cigglosci dzialania firmy”. Poniewai Active Directory jes filarem naszej sieci i infrastruktury, podrgcznik opisujacy przywracanie zialania tej ustugi po awarii musi byé modliwie jasny i zwigzly. Ksigéka jest dla kaidego, kto doswiadezyt awarii w swojej firme albo chee jej uniknaé. Odtwarzanie uslugi Active Directory po réznego rodzaju awariach jest bardziej skomplikowane, niz Iudzie na og61 my$ia. Jesli nie rozumie sig proces6w zwiqzanych z odtwarzaniem, to moana spowodowaé wigce) szkody nid pozytku. Wiasnie dlatego potrzebna jest ta ksigika. Zastosowano w niej jedyne w swoim rodzaju podejscie ~ w pierwsze} polowie skoncentrowano sig na planowaniu i obj Snianiu, jak skonfigurowa¢ usluge AD, aby byla odporna na uszkodzenia. Druga c2gsé Jest. pomystana, jako, podrgcznik, w_ KktGrym..oméwiono, réine. scenariusze awa i odpowiednie sposoby odtwarzania. Kaidy scenariusz. oméwiono wedlug schematu: abjawy — przyczyna ~ sposdb odtworzenia, pozostaje wigc jedynie postepowaé wedlug podanych wskazéwek, a wszystko wréci do normy. W ksigéce preedstawiono najczestsze scenariusze awatii i zalecane sposoby od- ‘worzenia infrastruktury. Podano instrukeje i opisano etapy réznych proces6w odtwa- ‘ania; zawarto takée informacje; jak planowaé odewarzanie i jak w razie awasii wyko- 1zystaé mozliwosci technologii. ‘Oméwiono nastepuigce rodzaje awari lub zdarzef i sposoby usuniecia ich skutk6w +” niepotrzebne skasowaiie obiektow, © awaria sprzgtowa jediego kontrolera DC,“4 Active Dincioryodtwareie power f © uszkodzenie AD w jednym kontrolerze DC, © uszkodzenie AD w lokaeji, © uszkodzen sprzgtu w lokagji, © pelne uszkodzenie AD, © pelna awaria spragtowa, Zawartosé ksigzki a Rozadzial 1. stanowi przeglad odtwarzania AD po awarii. : Rozdzial 2. omawia niektére kluczowe'elémenty AD i sposoby projektowania: Pizedstawia kilka projekt6w infrastruktury, ktére moga shuayé jako pomoc w budowa- niu wlasnego projektu, i Rozdzial 3. okresta procesy i kroki, kt6re powirino sie wykonaé, aby opracowiié dobry ,Plan odtwarzania po awavii” (plan DRP ~ Disaster Recovery Plan). Rozdziat 4. omawia sprawy 2wiqzane bezposrednio implementicja) lub posted- nio (procesy) ze 2wiekszeniem odpornosci frodowiska AD na zdarzenia negatywne. Rozdziat 5. przedstawia r6ine modliwosci i melody odtwarzania KontrolerSw DC, w ktérych uszkodizona zostala baza danych. : Rozdziat 6, to przeglad krok6w niezbednych do pelnego odtworzenia uszkodz0- nego kontrolera DC. Rozdzial 7. przedstawia réine_metody; przywracania: skasowanych obiekt6w, a takze pokazuje, jak zminimalizowaé szkody w dziatalnosei przedsiebiorstwa spowodowane przez to skasowanie, Rozdzial 8. jest preewodnikiem procesu odtwarzania lasu krok po kroku. Rozdziat 9: traktuje 0 uszkodzeniu infrastruktury w lokacjt AD. Rozdzial 10. opisuje narzedzia i piogramy waytkowe Sluizqce do mionitorowaiia i diagnozowania konkrétnej infrasteuktury AD. Dodatek A prezentuje praykladowy ,Plan iirzyimania ciqglosei dziatania fitiny” (plan BCP ~ Business Continuity Plan). Dlaczego ta ksiqzka jest potrzebna Ksiqika jest zorientowana na Active Directory daialajgca w systemie Windows 2003 Server R2. W praypadku gdy polocenia w tym eystemie £9 inne niz w starszych wersjach Windows 2003, podajemy odpowiednie polecenia ze starszych wersji. Po- niewa Microsoft wycofuje system Windows 2000, pomijamy go calkowicic. Nie- Wstep 15 mnie} podane tu wskaz6wki co do odtwarzania po awarii zachowtj wainosé w kai- ym srodowisku AD. Aby najwigce} skorzystaé z tej ksiqaki, powinnismy dzialaé w Windows 2003. Konwencje W ksiqice tej stosujemy rééne kroje czcionki, aby wyréénié poszezegéIne rodzaje informacji. Ponizej podano prayktady kroj6w ezcionek i ich znaczenie. Polecenia i wyniki otraymywane w wierszu poleces podawane sq w nastepujqce} postaci: >seize domain naming master (przejmij weorzec nazw domen) pseize schema master (przejmij wzorzec schematu) pseize infrastructure master (preejmij wzorzee infrastruktury) >seize pde (przejmij enulator kontrolera PDC) Nowe terminy i waine slowa sq oznaczane czcionka pogrubiona; podobnie slowa, KtGte widzimy na ékranie w réznych menu lub oknach dialogowych, np. Gay kilkniesz praycisk Next, zobaczysz nastgpny ekran”. | L Ontrzedenia tub wadne uwagi podane sw ramkach 2ikong notatnika | | ® wakmivit tn omy tae wank tog ona || Odtwarzanie ustugi Active Directory po awarii — przeglad Ustuga Katalogowa Active Directory (AD), wprowadzona wraz 2 systemem Microsoft Windows 2000, stanowita wielki postep w stosunku do modelu opartego na domenach NT 4.0. Od tego czasu usluga AD byla dalej rozwijana i teraz jest wlasciwie standardem ustug katalogowych dla korporacji. con Obecnie pravwie wszystkie firmy 2 infrastrakturg oparta na systemie Windows Server wykorzystija AD. Coraz, mnie) liczme sq firmy, w ktorych stosuje sig jeszcze kontrolery NT 40. J, ,Ustuga AD. jest, wybierana jako najlepsza uwierzytelniajgca baza danych nawet ‘w,systemach niewindowsowych, gdy2, zapewnia stabilnosé i jednoczesnie elastyez- no$6. Istnieje wiele.aplikacji sieciowych, ktére sq oparte na AD,:podezas gdy ich ‘uaytkownicy-nie.s9 tego swiadomi, Na przyktad aplikacja typu HR (Human Resources = zasoby Iudzkie)- moze wzywaé AD jako katalogu informacji osobowych, takich jak: nazwisko, numer telefonu, adres e-mailowy, adres firmy, a nawet identyfikator kom- ra uzytkownika. Personel firmy moze nie zdawaé sobie sprawy z,tego, Ze ten sam ‘aalog jest wykorzystywany do pobierania informacji do ksigzki adresowe] w syste- ‘mie, poczty e-mail, do, sprawdzania uprawnies, ueytkownika, tory loguje sig. 22 oj) staiiroboez : Ze.wegledu.na silne zintegrowanie pomigdzy aplikacjami a AD, kazde zdarzenie Powodujace przest6j AD moze znacznie, wplynaé na dzialaniec element6w systemu, od [> spurcidndy 0% do zarzadzania’personelemn, od listy plac nawet do logistyki firmy. BU Ww,Active Directory — oda: © po wari Wszedzie tam, gdzie usluga AD jest wykorzystywana nie tylko do sprawdzania uprawnies, szybko staje sig podstawowg Sciezkq w infrastrukturze IT i dlatego jej uszkodzenie lub zablokowanie bedzie powodowaé laficuch bled6w, ktdre moga doprowadzi¢ do zaktéces\ i zatrzymania produkeji, telekomunikacji i dostaw towaréw. Oczywiscie, gdy zainstaluje sig ustuge AD, to logiczne bedzic stosowanie serwera Exchange jako systemu poczty elektronicznej i wspéipracy. Gdy mamy juz oba te systemy, to widzimy, jak zasadnicze znaczenie dla serwera Exchange ma usluga AD. Bez nie} systemy e-mail i wspétpracy nie beda dzialaé. W wielu firmach nawet jednodniowa przerwa w dzialaniu poczty elektroniczne| moze byé katastrofa, Jesti gléwnym Srodkiem porozumiewania sig w przedsigbiorstwie jest e-mail, to wy- obrazmy sobie, co sig stanie, jest przez caly dziess (lub dluiej) komunikacja ta bedzie niesprawna. Dotyczy to ottzymywania i wysylania informacji, dostepu do skrzynki pocztowej oraz zwigzanyth z tym innych funk. Widaé wige, 2e wlaseiwy Plan odtwarzania uslugi AD po awarii® (DRP — Disa- ster Recovery Plan) jest koniecznie potrzebny, a usuwanie skutk6w awarii ma podstawowe znaczenie. Trzeba skrécié do minimum moéliwy czas przestoju systemow © krytycznym znaczeniu. Czym jest odtwarzanie po awarii? Odtwarzanie po awarii (DR — Disaster Recovery) jest, a przynajmniej powinno byé, ezeSciq ,.Planu utrzymania ciqglosci dzialania firmy” (BCP — Business Continuity Plan). Przez DR rozumie sig przywracanie dziatania po zalklécenin lub zdarzeniw uniemodliwiajacym zwykle dziatanie, W kontekécie IT oznacza to, 2 jesli zdarzenie spowodowato zupetne zniszezenie danych, zmniejszenie wydajnosei lub inne waane zakiécenia w dzialaniu firmy, to do procesu utraymywania cigglosei dziatania naledy uusuwanie skutk6w awarii i praywracanie zwyklego dziatania oraz minimalizacja przestoju spowodowanego przez dane’ zdarzenie. Odtwarzanie po awarii (DR) jest, przynajmnie} powinno byé, czgscig tego procesu. Moina powiedzieé, Ze ciaglosé dziatania firmy i odtwarzanie po awarii sq 26 so bq écisle zwiqzane, majq jednak inne obséary i przedmiot. Jesli np. w firmie proestaje funkejonowaé rozlegla sieé komputerowa WAN, to poszczegélne dzialy nic mogi komunikowaé sig przez e-mail ani wymieniaé miedzy soba dokument6w, ‘mimo'2¢ kaéda jednostka lokalna nadal dziata. Taki scenariusz treeba bezwaglednie przewi- dzieé w ,Planie utrzymania ciaglosci dzialania firmy”. Jesli: natomiast’ w lokalnym oStodiu spali sig pomieszczenie 2 serwerem, to odbudowa tego pomieszezenia’ iidanych przechowywanych w serwerze bedzie juz nalezeé do DR. : i i : i Rozdzial 1. Odtwarzanie uslugi Active Directory po awarii ~ przeglad 19 Problem zwiazany z DR potega na tym, 2e w praypadku r6énych dziedzin i apli- ikacj istniejq r6zne podejscia. Takze pilnosé i waga DR jest rézna dla poszezeg6inych obszaréw i podmiot6w. Wiele firm ma bardzo powiérzchowny plan utrzymania cia glosci, albo nawet nie ma go weale, a takée bardzo pobieéne plany DR. Przyktadowy plan BCP moina przedstawié tak: Alia a pestle dopa ofpowieddalgo rena Pan tayiania Zaviadomie | | “ealosr wenstce day ‘atone fay, fey tbe to dry asncovae pros) raj "wmowea ‘elt try Iubataymane apo bn “alicjowat ivyhonaé cater poauarl (OR) | Widaé, ze DR jest tylko ezescia wigkszego obszaru ~ ale jedna 2 najwaénicjszych ezeSci, a mimo to w wielu firmach dzial IT zapomina o DR lub decyduje sig na jego pominigcie. Czgsto dzialy IT wydajq sig uwadaé, ze DR w ogéle nie jest wazne.20 Active Directory ~ odtwarzanie po awatil Dlaczego potrzebne jest odtwarzanie po awari (DR - Disaster Recovery) Wiele oséb mode stawiaé sobie pytanie: ,,Po co nam podrgeznik do DR? Jesli kontroler DC (Domain Controller) ulegnic awarii o krytycznym znaczeniu, to po prostu zainstalujemy inny kontroler”. To moze poczatkowo, a nawet przez dhuiszy czas, udawaé sie w malych instytucjach, ale na dtuészq mete beda powstawaé klopoty i bedzie sig pojawiaé wiele komunikat6w o bigdach. Poprawne usunigcie skutk6w awarii jest niezbedne, aby uzyskaé stabilne otoczenie ustugi AD. Tempo, w jakim pojawiaja sig problemy, wzrasta wykladniczo, jezeli mamy wiele lokalizagji o rznej wwielkosei w réinych strefach czasowych i krajach. Preypuscmy, ze w firmie o nazwie Nail Corporation (www.nt 1corp.com) zarzad miesci sig w Los Angeles w Kaliforni, a zalrudniajgce wiele setek pracownikéw oddzialy znajdujq sig w Monachium w Niemezech, a takée w Brazylit i w Indiach Firma NailCorp ma jednq duéq domeng uslugi AD w osrodku obliczeniowym w Brazylii polaczonym z zarzadem przez lacze 0 przepustowosci 512 kb/s. Przypuse- my, Ze osrodek obliczeniowy w Brazylii zostal czeSciowo zniszczony przez. wzesienie zieii. Eacznosé w sieci zostata szybko praywrécona, ale okazato sig, ze oba kontrolery DC sq fizyeznie zniszczone i nie dzialaja. Firma zatrudnia okolo 10 000 pracow- <6w, wige ~ wedlug programu Microsoft AD Sizer — wymagane jest okolo 5 GB na addy serwer katalogu globalnego. Poniewaz musimy rozpoczaé proces odbudowy od zera, a nie mamy innego kontrolera, trzeba replikowaé 5 GB poprzez.lycze 512 Kb/s. Pray zalozeniu, ze osiqgniemy maksymalng szybkosé polgczett i Ze w tym samym czasie na linii nie bedzie innego ruchu ~ co jest wlasciwie niemozliwe, gdyd nasi waytkownicy bedq bez. uprzedzenia logowaé swoje komputery i prébowaé rozpoczaé prace — potrzebowalibysmy wigce] niz dobe na zteplikowanie bazy danych, a czas potrzebny na rekonstrukeje byiby Jeszeze dluiszy. W przypadku katastrofy w fitmie takiej jak NailCorp tzeba bedzie w modliwie najkx6tszym czasie zreplikowaé baze i zrekonstruowaé system. Poniewad w firmie dziala usluga uwierzytelniania sieciowego Kontroleréw domen ~ przy zalozeniu, e usluga DNS (Domain Name Service) jest skonfigurowana globalnie, tak aby umozli- wig yb dzialania awaryjnego w serwerze rezerwowym — replikacja bedzie 0 wiele powolniejsza, Nie wystarczy wige plan zainstalowania innego kontrolera DC, 2. Dailanicuslgi DNS i uwieryttnania (wyb6e Kontotea DC) w syste- mnie Windows, XP opisano, Ww Microsoft Knowledgebae, w a)kule i i Roudial 1, Odiwarzanie uslugi Active Directory po awaril ~ przeglad 24 Innym przykladem moie’ byé aplikacja, kt6ra uwierzytelnia sig w okreslonym kcontrolerze DC lub pobiera z niego informacje. Jesti taki kontroler przestanie dzialas, iuzeba go bedzie odbudowaé z ta sama nazwa. Jesli nie wykonamy tego poprawnic, moga zajsé dzivne zdarzenia. Jest to czgsta sytuacja np. w firmach produkujacych oprogramowanic. DR jest coraz bardziej potrzebne i na jego temat napisano szereg ksiqéek. Jednak dadna z nich nie omawia rinych scenariuszy i z pewnoseia nie omawia calosci procesu odtwarzania po awarii, czyli procesa DR. Outworzenic uslugi AD po r6énego rodzaju katastrofach jest bardzizj zlozone, nid sig na og6l sadzi. Jesli nie rozumie sig procesow zwigzanych 2 odtwarzaniem, modna wigce} zepsu, nid, naprawie ‘Aby zapobiee diuzszym preerwom w pracy i przySpieszyé usuwanie skutkow katastrofy, mozna zrobi¢ kilka rzeczy. Na przyklad weémy pod uwage, Ze usluga AD w bardzo duzym stopni opiera sig na usludze DNS — jedeli uzywamy stref ADI, czyli zintegrowanych z usluga AD, powinnismy mieé serwer do standardowego kopiowania DNS, zawicrajqcy pelng opie stref w postaci niezintegrowanej. Ten serwer DNS powinien sig znajdowac ‘w odizolowanej sieci i zawieraé jedynic rekordy i strefy zwigzane z AD, a nie wszyst~ ic istniejqce dynamiczme aktwalizacje. Powinnismy takée'dysponowaé lokacja DRS (Delayed Replication Site), inaczej ‘wana lokacjq opOénienia (Lag Site). Stanowi ona standardowa czesé naszej domeny ‘AD, Powinna mieé jeden lub dwa kontrolery DC, ewentualnie serwer DNS, a nawe {esti rzeba ~ samodzicIny serwer Exchange. Replikacja uslugi AD w lokacji op6énie- ‘nia powinna byé zwigzana z.duzymi kosztami, aby nie byta wykonywana zbyt czesto, Lokacie tg mozna uezynié zupelnie izolowang lokacja, chroniona zapora sieciowa, ‘i wymuszaé replikacje jedynie raz na trzy miesiqce, To zapewni stabilnosé infrastruktury. W ten spos6b ma sig do dyspozyeji stan sprzed traech miesigcy, ale w razie awarii moana odzyskaé dzialajgcq usluge AD w ciggu kilku godzin, a nie dui. Bardzo preydatna mode byé wirtualizacja, zwlaszeza w przypadku lokacji op6é- nienia (DRS). Serwer nie jest teraz. kosztowny, a jesli chodzi 0 lokacje DRS, (0 potrzeba jedynic duzo pamigci w kompaterze. Serwer VMWare (http://vaware.con/ products/server/) i Microsoft Virtual Server (nttp://www.microsott.con/ Windowsserversysten/virtualserver/) mozna: obecnie sciagnaé i uzywaé go za darmo: Oba te systemy dopuszezaja, by lokacja DRS dzialala w srodowisku izotowa- nym wirtualnym. Posiadanie lokacji opéénienia moze bardzo skrécié ezas tegeneracji, poniewa awel pry biedzie globalnym mozna usunaé state kontrolery DC, zainstalowaé nowe 1 zteplikowac te lokacie.2 Active Directory ~ odtwarzanie po awa Skréty stosowane w tej ksiqzce Aby nie powtarzaé dlugich nazw, stosuje sig. skréty, Oto lista uZywanyeh we ksigéve skrétow i ich znaczente: © kontroler DC - kontroler domeny lub, krétko, Kontroler (Domain Control let, Serwer dziatjgey jako uwviereytelniajacy w domenie. © OS (Operating System). System operacyjny Windows 2000 i rézne wersje Win- dows Servera 2003, © adres IP (lntemnet Protocol Address). Adres jednoznaczni identyfikujgey kom- pier w siei © AD (Active Dieotgry). Usluga katalogowa firmy Microsoft uiywrana do uwie- rzylelniania i preeeowywania informacji 9 domenach, © DNS (Domain Name Service). Kluczowa uslaga wykorzystywana w AD do mae povania adres6w IP na nazwy domen i odwrotnie. © Role FSMO (Flexible Single-Master Operations), Poszczegéne funkeje spe nian przez kontrolery DC w domenie. © NTDSA/iNTDS (NT Data Storage and Architecture), Programy dzilajgce w tle vslugi Active Directory, W usludze AD pamigé danych zawiera pliki bazoda- niowe i procesy praetwarzajgce informacje katalogowa dla wéytkownikow, serwi sow i aplikaci. © ERS (File Replication Services), Programy pomocnicze niezbedne do replikacii uslugi AD, © Plan DRP (Disaster Recovery Plan). ,Plan odtwarzania po awati” ~ dokument sporagdzony w firmie, opisujacy sposdb postepowania i obowigzki poszezeg6l- aych pracownikow w ecla preywrécenia drialania system inforiatycanego po © Plan BCP (Business Continuity Plan), Plan uirzymania cigglosci dziatinia firmy” ~ dokument sporeadzony w firme, opisujgey dzialania 2aplanowane na wypadek awa © Serwer GC, serwer katalogu globalnego, katalog globalny lub, krétko, GC. Serwer zawierajgey katalog globalny dla lsu © Fednostka OU, tub, lrdtko, OU (Organizational Unit, OU). Obiekt Active, Directory. | : Rozzzial 1, Odtwarzanie ustugi Active Ditectory po awarii~ praeglad Odtwarzanie ustugi katalogowej Active Directory po awari Ustalilismy, Ze odtwarzanie po awarii (DR) jest wazna czeéciq ,Planu utrzymania, ciaglosci dziatania firmy”. Ale teraz mozemy posunaé sig dale} i powiedzies, ze odtwarzanie uslugi AD po awatii jest tylko czesciq planu DRP, a nie ealyrh plan Powinnismy mieé rane plany DRP dla r6énych sytuacii. Pray tworzeniv nale~ iyte} dokumentacfi dotyczacej DR nalezy braé pod uwage ewentualnosé, ie osoba przeprowadzajaca operacje odtwarzania zna system slabo albo nie zna weale. Testi zainstalowana w firmie wersja Windows 2003 byla odpowiednio ustalona i praysto- sowana do je} potrzeb, to podezas ponowne} instalacji moga wystapié pewne réznice i KtoS, kto nie ma szezegdtowych wskazdwek, zainstaluje system réénigey sig od aktualnie dzialajgcego. Wskutek tego moze pojawi¢ sie niekompatybilnosé Inb nie- wlasciwe dziatanie systemu w prayszlosci. Mode sig tale zdarzyé, jesli np. w systemic stosowana jest okrestona strategia zabezpieczesi dla kontroler6w DC, a podczas instalowania systemu wybrana zostanie inna strategia, niezgodina z zasacami strategii dla kontroleréw DC. Moana myseé, 2e katastrofa nigdy sig nie zdarzy, ale huragan Katrina w Stanach ‘Zjeinoczonych, tsunami w Tajlandii, Indiach i innych krajach dowodza, Z wszystko jest moiliwe. Awarin moze nastapié wtedy, gdy najlepiej zorientowane osoby sq, akurat nieobeene, Przypusémy, Ze osoba przeprowadzajqca odtwarzanie jest konsultantem niezatrudnionym w firmie lub niedoswiadczonym pracownikiem dzialw IT, 4 kierownik i wyszkolony personel sq nicobecni. We wszystkich takich sytuacjach ‘soba wykonujqca odtwarzanie po awarii moze nie znaé srodowiska systemu, dlatego przewodnik odtwarzania (przewodnik DR) musi by¢ jak najbardziej klarowny. Usluga AD jest swietnym systemem, ale réwniez bardzo skomplikowanym. Diatego poprawne wykonanie odtwarzania ma kluczowe znaczenic. Poniewaé. AD jest ezescia, a race} koSécem naszej sieci i infrastruktury IT, preewodnik przywracania dziatania AD po awarii musi byé motliwie jasny i zwigzly. »Plan utreymania cigglosci drialania firmy” i instrikeje odtwarzania po awari, 1 s2ezeg6Inie odtwarzania ustugi AD, powinny byé starannie opracowane i regularnic teStowane. Znaczy to konkretnie, ze mnie} wigce} co rok nalezy przetestowaé aktual- ‘nos instrukeji i sprawdlzi¢, czy reeceywiscie mozna na ich podstawie. praywrécié deialanie. przedsigbiorstwa. Aby zbadaé wszystkie scenariusze, niezbgdne jest zbudo- ‘Watiie Srodowiska testowego ~ najlepie} wirtualnego, gdyz daje to wigksz elastyez- oS, np. mozliwosé odtwarzania transakeji i robienia tak zwanych zrautéw, czyli Wydrik6w zawierajqeych wybrane informacje 2 pamige komputeraActive Directory — odtwarzanie po awarii Rozdvial 1, Odtwarzanie uslugi Active Directory po awarli ~ przeglad 25 GL Nigay nie przeprowadzajmy Zadnych testéw w srodowisku rzeczywistym, Zamiast tego mozemy zrobié kopig rezerwowa «zeczywistej bazy danych usligi AD i odtworzy¢ ja w izolowanym (wirtualnym) tescie AD. ‘Testy wykonujmy na ushudze mozliwie zblizone} do tej, ktéra dziala w reeczywi- stosci. To samo dotyezy. stosowania procedur naprawezych (hotfix6w dzialajaeych w trakeic pracy systemu) i zmian w schemacie, nawet gdy | chodzi o mala zmiang, ktGra niczego nie zepsuje". Ostaccenic kaéda | — zmiana cos zmienia. S . . Bywa, Ze niclatwo jest przekonad wyésze Kierownictwo, i awaria systemu re czywiseie mote sig zdarzyé. Jednak kierownictwo w koricu 2god2i sig na replikacig calego systemu, czy chibéby tylko kluczowej czeéci infrastruktury serwera, i przepro~ wwadzenie test6w. aaa Rodzaje awarii i scenariusze oméwione w tej ksigzce Kiqika ta jest pomySlana jako podrgcznik omawiajacy réine scenariusze, O10 ich przeglad. seibasiont ei Odiwarzanie skasowanych obiektow connie Najezestszym scenariuszem (czestszym niz uszkodzenie spregtowe pojedynczego. kontrolera DC) jest przypadkowe skasowanie obiektéw, kont komputer6w, 'uzytkow nik6w czy jednostek OU (Organizational Units) w kontrolerze DC. Scenariusz taki Jest mozliwy, jesti nie ma wlasciwego zarzqdzania zmianami albo testowanie nie jest nalezyte. Odtworzenie dzialania moze 2ajaé troche czasu, navel gdy zapasowe tasmy,. sq natychmiast dostepne, a to dlatego, ée-w AD powiazania obiekt6w sq dosé skom= plikowane i zwykle odtworzenie skasowanych obickt6w moze nie wystarczyé, Prawdziwa zabawa zaczyna sie, gdy mamy ,.bezpieczny” harmonogram replikas. ji zwiazany 7 r6imymistrefami czasowymi, uwzgledniajqey lokalizacje biura i szyb= kosé transmisji. Weigé. jeszcze istniejg scenariusze, w ki6rych skasowanie lub modyfi acja Konta, takiego jak grupa Exchange, replikuja sig do. wszystkich lokalizac ‘w instytucji w-ciagu 12 godzin, Wowczas usluga, kira uzywa tego konta; zatraymuje sig, a poniewad jest to prawdopodobnie ustuga o krytyeznym znaczeniu, zostaje Wy muszona replikagja do najblizszego kontrolera DC. Jesli wszystko pojdzie gladko; 0 uslugi we wezyetkich lokalizagjach zostang kolejno zfegencrowane az do punktu, w KtGrym jedna z ostatnich lokalizaeji rozpocanie replikacje w praéd — ponownie do. Ss kes pierwszego DC — zanim dostanie zregenerowang informacje. Tworzy sig wige bledne kolo, jak to pokazano na rysunku, przy czym powstajq rézne interesujace mozliwosci. Jedna 2 tych modliwosei polega na tym, Ze usluga rozmieszezona w réinych lokali tjaoh przejdzie w ciggu kilku godzin ze stanu dzialania do niedziatania i z powrot albo:powr6ci do kroku pierwszego, a konto pozostanie,skasowane. Widaé, ie po- irzebny jest wlasciwy spos6b regenerowania skasowanych obiekt6w i wlasciwy proces wymuszonych replikacji, | wi Ba aera sre waria sprzetowa jednego kontrolera DC Avoto inny pospolity scenariusz. Z powodu bigdu sprzetowego lub bledu w opro- ‘uamowaniu uszkodzony zostal kontroler DC. Oczywiscie moze to byé spowodowane “uszkodzeniem jakiegos element sprzgtowego czy wadliwym podzespolem, albo tcz 2darzeniem zewngtrenym, takim jak zalanic wodg czy wirus komputerowy. W kazdym tazie kontroler DC nie dziata i nie daje sig uruchomié ponownie. Jesli nasza firma jest mala i ma tylko jeden DC, to jego unicruchomicnic jest prawdziwg katastrofa i Koniecznie trzeba go ponownie uruchomi¢, poniewad, inacze}26 Active Directory — odtwarzanie po avait nikt nie bedzie még! sig zalogowaé ani korzystaé z ustug katalogowych. Naprawa czy ‘wymiana uszkodzonego DC nie jest trucina, ale trzeba Koniecznie wykonaé pewne dzialania, aby zapobiee zakléceniom pozostalej czesci infrastruktury AD. W osrodk, w kt6rym sq dva kontrolery DC, uszkodzenie jednego kontrolera nie ma krytycznego znaczenia, ale jesli pewne kroki nie zostang podjete i kontroler DC nie zostanie starannie obnizony (zdegradowany), moga na dluésza mete powstaé klopoty. W niiektérych malych ostodkach laczy sig serwer plik6w, serwer Exchange i kontroler DC w jednym serwerze fizycanym, tak ze micsei sie w nim nie tylko uwie- rytelnianie i uslugi katalogowe. Iesli chodzi o serwer plikéw, to odtwarzanie plikéw nie wehodzi w zakres tej ksigaki, Jednak jesti wykorzystuje sig serwer Exchange lub usluge DFS (Distributed File System - rozproszony system plikéw) albo wykonuje sie uslugi z kontami domen, takie jak Microsoft SQL, to procedury podane w tej ksigice moga zdlecydowanie pomée w przywracaniu dzialania tych uslug, Uszkodzenie usiugi AD na jednym kontrolerze DC Uszkodzenic uslugi AD na jednym Kontrolerze DC 2darza sig dost ezesto, awlaszeza w mniejszych osrodkach, w ktérych kontroler DC pelni wigce} niz jedng funkejg, bedac jednoczesnie serwerem plik6w, Exchange i drukowania. Uszkodzenic ustugi AD oznacza, # nie mozna uruchomié uslagi katalogowej, poniewaz. baza danych kalalogu jest uszkodzona, a to z kolei powoduje, ie Zaden uzytkownik nie moze sig zalogowaé na ten kontroler DC, aby uwierzytelnié domeng lub skorzystaé 2 jakiejé uslugi AD, np. z globalne} ksigzki adresowej w Exchange. Mode sig takie riarzyé (choé niezbyt ezgsto), Ze w ezasie procesu zapisu lub replikacji jeden z kon- troleréw DC ulegnie tiszkodzeniu lub z jakiegos powodu przerwie strumie danych. Nastapi replikacja zmian z najblizszym Kkontrolerem DC, ktérym zwykle jest serwer rezerwowy znajdujgcy sig w tym samym pomieszczeniu. Wéwezas obie bazy AD ‘ostang uszkodzone i ,padna” wszystkie ustugi katalogowe w tej lokacji Dzigki naturze uslug AD i DNS oraz. proces uwierzytelniania Klienta (wspom- niano o tym wezesniej w rozdziale) Klienty nadal moga probowaé uwierzytelniaé sig na uszkodzonych Kontrolerach DC, ale nie ottzymuja poprawne} odpowiedzi, moga ‘wige polegaé tylko na podrecznej informac informagja na serwerach nie zostala przechowana w pamigci podrgczne}, albo jesti pamigé podrgczna wygasla, klienty beda mogly sig logowac, ale nie uzyskaja dostepa do pliku ani innych uslug 2 domeny (w systemie Windows 2003 w Universal Group pamigé podsgezna jest utrzymywana 8 godzin), © logowaniu w serwerze klienta. Jesh Rozdzial 1. Odtwarzanie ustugi Active Directory po awasii— preeglad 27 Uszkodzenie ustugi AD w jednej lokacji Jesti usluga AD ulegnie uszkodzeniu na jednym kontrolerze DC w jednej lokacji, to jest bardzo modliwe, ze uszkodzone dane bardzo szybko zreplikujq sig na inny kontroler DC w tej samej lokagji. Wskutek tego cala lokacja bedzie miala uszkodzona, AD i Zaden uzytkownik czy program nie bedzie mégh sig uwierzytelnié, W zasadzie takie uszkodzenie jest tym samym co uszkodzenie AD z jednym kontrolerem, 2.9 6inica Ze kroki odtwarzania po uszkodzeniu dotycza calej lokacji, a nic tylko jednego kontrolera DC. passat Uszkodzenie AD w cafej korporacji - peine uszkodzenie “Ten scenariuse jest bardzo radykalny, ale zdarzenie mode nastapié o wiele szyb- ciej,niz sig spodziewamy. Uszkodzenie moze dotyezyé kazdego clementa, np. lasu ddomen lub niewdanej modyfikacjischematu, jedli dane byly niepetne lub bigdne. Inna modliwosé to staki 2 zewnauz lub dzialania niezadowolonego pracownika (mode to byé administrator), ktGry wykorzystat podatnosé system na uszkodzenia. Rozwazmy sytuacig, gy AD zostanie usekodzona na jednym kontrolerze DC z powodu bigdu élowieka, kiGry np. wprowadzil bigdve zmiany w scheinacie AD w oddalone} 1okali- zacji w nocy z soboty na niedziele. Jest bardzo prawdopodobne, Ze taka pomylka zostanie zreplikowana na inne kontrolery DC, zanim ktokolwiek zorientue si Ze to tiga. Ternz powstanie cos w rodzaju wyscigéw migdzy klientami zy systemami,ktére sieustannie uwieraytelnijg sig w AD. Kontroler DC bedzie replikowal usckodzong AAD, a Klienty niczego nie wykyj, bo jedi jeden kontroler DC nie odpowiada,klient 2vraca sig do nastepnego kontrolera DC z listy ita ad do czasu, edy ostatni kontroler DDC oiezyima repikacje usekodzone) bazy i sie wylgezy.. Wwezas dopiero wlqcza alarm i system ,pada". Na domiar zlego firma jest bardzo zdecentralizowana i skoor- dynowanie regeneraeii systemu zajmie duo czasu, Ocaywiseie zane 54 kroki, ktre naledy podjaé, aby w takie} sytuacji odeworzyé dhialanie, prey czym bardzo istomne znaezenie ma tu szybkos¢ reake}i (response timc) az. to,exy podigte kroki byda wlasciwe i efektywne. Uszkodzenie sprzetowe w catej lokacji Ten scenariusz. dotyezqcy pojedyncze} lokacii AD. kt6ra nie musi konieeznie iescié sig w jednym fizycznym miejscu, jest bardzo drastyczny, gdyz opisuje calleo- Witq utrate-uslugi AD powodu awarii sprzetowe} w jednej lokacji. Lokacja jest (0i Active Directory ~ odtwarzanie po awa by6 tak, ze lokaeja obejmuje dwa lub wigce} budynkéw, nawet w r6inych dvielnicach, miasta, Zakladamy, ze jest jeszcze co najmniej jeden sprawny kontroler DC w innym: pomicszczenia 2 serwerem, najprawdopodobnic} zdarzenie fizycenc — najezescic) ogieii, wode, burzg lub wybuch. W tym scenariuszn najprawdopodobniej firma ma inne serwery, kt6re takée 20- staly uszkodzone. Chodzi o to, w jaki spos6b modliwie szybko przywr6cié dziatanic! | cele} lokagji moze to wywolaé ogremne spowolnienic i pojawianie sig takich ineydent6w jak przekroczenia czasu i komunikaty ,Domain controller not found” (nie znaleziono | kontrolera domeny). ‘ Jeszeze gorzej jest, gdy uwierzytclniaja sig w AD systemy zastosowati o znacze~ niu krytycznym. Ten scenariusz. przedstawiono na.ponizszym rysunku. Por en Waa outer tet WAL Romitial 1. Odtwarzanie uslugi Active Directory po awarii— preeglad 29 exy powsdd, trzeba odbudowaé wszystko od poczatku. Kopie zapasowe s4 bardzo przydatne, ale chwilowo nie da sig ich uruchomié. W tym momencie najwaznicjszym zadaniem jest wznowienie pracy systemu, tak by wiytkownicy mogli dzialaé. Kontrola sek6d nie nalezy do nas, ale przywrécenie infrastruktury domeny juz tak. Znaczy to, ie naszym pierwszym zadaniem jest praywrécenie pracy kontroleréw DC i zrogene- rowanie na nich aplikacji. Nie wa¢my cennego czasu na naprawe serwera drukatki, dy nie dziala uwierzytelnianie klient6w i aplikacji. Musimy takée pamigtaé o tym, ze samo ponowne zainstalowanie kontrolera DC nie praywréci dzialania, gdyz, mamy setki, a moze nawet tysigce systeméw powigzanych z nasza infrastrukturg AD. Nie- Kt6re uslugi sq bardzo silnie zalezne od tej struktury i nie ma modliwosci ponownego skonfigurowania wszystkich klient6w i uslug, jesli nasza firma jest bardzo duza, W (cj sytuacji komputery klientéw nie moga ouzymaé z AD éadnej informa a jesli niekt6re z nich nadal dziataja, 1o tylko dzigki logowaniu opartemu na pamigci ‘podrgczne}. Jesli w systemic zainstalowano Group Policy (zasady grupy) zapobiegaja, ‘ee takim logowaniom, to problem ograniczy sig do niewielu klientéw, ktérzy nie nie bedq mogli zdziala¢, oraz zarzadu firmy, kt6ry oblicza straty rosngce co godzing. Podsumowanie W tym rozdziale praedstawiono pokrétce odtwarzanie uslugi AD po awarii { wyjasniono, jakie miejsce zajmuje praewodnik DR w ,Planie utrzymania cigglosci ‘dzialania firmy”. Zamicszezono takée przeglad scenariuszy, ktére bed, oméwione "y Ksigéce. Juz teraz widat, 2e odtwarzanie AD po avarii sigga glebie} i jest bardic} {stotne, niz: mogloby sig wydawaé. Firma Microsoft stusznie zaleca zdecentralizowanq architekturg AD, sprawdza- Jaca Sie przy drobnych incydentach, jak np. blad pokyczenia. Jednak sytuacja jest inna, #y widei sig, jak clozona i niszczqca w pewnych sytuacjach jest awaria AD i jak Wadne jest, aby mieé gotowy odpowiedni przewodnik odtwarzania, Waine jest, aby pamigtaé, 2e oméwione tu zagrozenia sq jak najbardziej reczy- |) Wiste, W disiejszych wieloplatformowych srodowiskach i prey wspélpracy réznych sysleméw sieciowych powstaje sytuacja, w kt6re} wiele programéw uslugowych ysteméw uwierzytelnia sig w AD, choé nie byly przewidziane w trakcie projektowa- a, lecz_zostaly dodane do schematu péfnicj. - * Z tych wszystkich wagled6w coraz wigksze znaczenie ma infrasteuktura, Moina UObiE takie porGwnanie: czy lepiej mieé polise ubezpieczeniowa na wszystkie warto- | Glove przedmioty w domo, ale juz nic na sam dom, czy raczej polise obejmujqcy ize dom?Active Directory Aby wlasciwie zaprojektowaé infrastrukturg uslugi AD, trzeba mieé wiedze 0 jej ‘rialaniu i podstawach, Podstawa dla AD jest protok6l LDAP (Lightweight Directory _ Access Protocol), Kt6ry: jest standardem w X.500 (wigcej informacji © standardzie -%.500 moana znaleZé pod adresem http: //en.wikipedta.org/w!ki/X.500), Proto- 6! LDAP okresla, Ze katalog jest drzewem pozycji, przy czym kaida pozyeja ma _ abide alrybut6w. Kaida pozycia posiada jednoznaceny identyfikator i dlatego nie jo2e byé duplikowana. W ten spos6b wszystko jest obiektem w katalogu opartym na " protokole LDAP. /ovJest wiele powadnych ksiqéek na temat projektowania uslugi AD, niekt6re z nich _ Si) Barz szczegdlowe. Nie da sit: tego zagadnienia’ zmiescié w jednym rozdziale, laiego ograniczyimy sig do podiinia podstawowych informacji i przedstawienia og6l- ‘obtazu, bez szczegdl6w. W teri sposéb Czytelnik bedzie zorientowany, jake y projektowaé dobrze dzialajgca usluge AD, pamigtajge o tym, Ze istniejg roine trtegie przystosowywania jej do wlasnych potrzeb. |W trakeie projektowania AD trzeba pamigtaé o jednej rzeczy: nie moina swego Inktu widzenia ograniczyé do aktualnych potrzeb. Technologie i systemy zmicniaja beenie w duzyim tempie, dlatego w pidjekeie trzeba uwaglednia’ koncepeje tak lzo otwarte i zorientowane na przyszly rozw6}, jak tylko mozna to sobie wyobrazié "Nid tak dawno temu systém Windows 95 zrewolucjoilizowel platforme kompute~ ‘osobistych, wprowadzajac adresy 32-bitowe. Przedtem przez. cztemascie lat y powszechnyin uzyciv byly programy 16-bitowe na procesorach 16- lub 32-bi- veh. W kiwietniu 2003 r, firma Microsoft wprowadzila nia rynek 64-bitowd wersig Vojego systemu operacyjnego Server Operating System, a w kwietni 2005 1. —32. Active Directory ~ odtwarzanie po await 64-bitowa wersje systemu Windows XP. Bylo to niecale dziesigé lat po wielkie} ofensywie Windows 95. Ustuga AD zostala wprowadzona razem z Windows 2000, czyli ju? pig€ lat po ,ulepszone} strukturze domenowe;” Windows NT 4, Nieustannie sq opracowywane i wprowadzane na rynek nowe systemy i nowe technologie. Niewiele firm ma struktury AD zrealizowane wedlug otwartego i cla- stycznego projektu, jednak mimo to w wielu instytucjach uwata sig usluge AD za spelnienie najlepszych Zyczesi i po prostu dodaje sig elementy do schematu. Wigcej szczegél6w dotyczacych technicznych aspektéw schematu AD mozna znaledé pod adresem http://msdn2.microsoft.com/en-us/1ibrary /ms675085..aspx. Obecnie wiele firm software’owych wprowadza na rynek produkty.,kompaty- bilne z AD”. Trudnosei moga powstaé, gdy te pakiety wymagaja pelnych praw administratora domeny (albo modyfikujg wewnetrene dzialania uslugi AD), 2 nabywey nic so tym uprzedzeni, Jesli strategie odtwarzania po awarii maja dobrze dzialaé i byé latwe do wdrozenia, to wymagania co do poprawnego zaplanowania i zaprojektowania AD musza byé bardzo wysokie. Poprawnie zaprojektowana usluga AD jest wysoce odporna, pozo- stajge bardzo elastyczna. Gdy mamy zamiar dodaé nowe uslugi, musimy starannie przetestowaé ich wymagania. Jako dzial IT’ jestesmy odpowiedzialni:za utrzymanie ciaglosei ich dzialania. Dokladniej oméwiono to zagadnienie w rozdziale 3., ,Projektowanie »Planu odtwarzania po awarii« dla firmy”. Elementy ustugi AD W czasie projektowania uslugi AD trzeba dokladnie wiedzieé, co. znacza po- szczegélne clementy lub czeSei i jakie jest ich miejsce w calym projekcie. Stare po- Sq drzewa i lasy, liscie i galgzie. Las ustugi AD W kontekscie AD las oznacza wszystkie domeny, jednostki OU (Organizational Units) i inne obiekty zapamigtane w bazie danych. Las jest najwyzszym po infrastruktury AD. W swojej korporacji. mozemy mieé wigce} nid, jeden las, gdyz | faktycznic kaddy 2 las6w wyznacza obszar zabezpieczes\ i dlatego taka struktura moze wemocnié zabezpieczenia miedzy r6énymi jednostkami firmy lub spélkami naleza- cymi do jednej organizacji. Istota lasu jest (0, Ze zawiera wszystkie domeny.j drzewo, domen, Jest zaprojektowany tak, aby w jedaym lesie istnialy przechodui dostgpu pomigdzy wszystkimi drzewami. uprawuicnia Nie widzisz,lasu z powodu drzew”, w dziedzinie AD jest tak samo., Rozdzi 2. Zasady projektowania uslugi Active Directory 33 ‘8 Technceny schematuslgi AD mona znaledéw porgznila Domains tnd Forets Technical Reference”: ntpa//tachnet2.aterosoft.con/windowsserver/en/Tibrery/ Teazbdbs-d0as-4435-98F-501 1603006871033 mapx, Drzewo ustugi AD W Aaive Directory preez dreewo rozumie sig domeng i wszystkic je obiekty naleég- 2 do jedne} nazwy DNS. Na praykiad drzewo ,nuilcorp.com” bedaie zawieraé wszystkie ddomeny ovezqee sig na ,nailcorp.com” ~ naleéq do niego: ,ameticas.nailcorp.com”, _erope.nailcorp.com'”, .asianailcorp.com”. Nie moina ich oddzilic, chyba 2 utworzy Sig aly nowy las dla poddomeny. Jednostki OU i obiekty-liscie W Active Directory jednostki OU (Organizational Units), zwane takie kontene- rami, i obiekty-liscie (czyli obiekty, ktére nie zawierajq innych obiekt6w, np. konta Komputerowe czy konta, uzytkownik6w) sq bezpostednio powigzane i chociaz nawet moglyby istnicé obickty nienalezgce do Zadnej jedinostki OU, to nie zaleca sig tego i praktycznie jest co niewykonalne. Jednostki OU mozna poréwna¢ do teczek w segregatorze, a obiekty do plikéw. Moina preenosié plik z jednej eczki do drugiej, a Klasyfikacje czy wlasnosei odnosza sig do wszystkich plik6w w teczce. Na przyklad jesli przeniesie sig jakis plik do teczki oaaczone}, ,Scisle tajne”, to plik ten zostanie scisle utajniony. To samo dotyczy obicktow w jetnej jednostce OU: wszystkie, wlasciwosei czy zasady obowiazujace ‘w-dlane} jednostce OU odnosza sig do naledaeych do nie} obiekt6w. Jednostki OU sa ‘wygodne zwlaszeza z administracyjnego punk widzenia, a nie 2 punktu, widzenia usytkownika, Wiemy, jak zorganizowane sq pliki np, Ww naszych wlasnych komputerach — najprawdopodobniej znajduja sie w réénych folderach, Mozna to wykorzystac i! okrestié rééne ustawienia (Settings) dla folderéw, np. uprawnienia, kt6re beda obo- ‘wigeywaé dla wszystkich plik6w w folderze, a nie, wplyng na pliki spoza tego folderu. Podlobna zasada obowigznje w przypadku jednostek OU — kadda jednostka, kt6ra utworzy sig wewnatr danej jednostki, bedzie miata takie’ustawienia (Settings) jak jednostka nadrzgina, chyba Ze sig je zmieni. Jeden obiekt mote nalezec tylko do jedne) jednostki OU, podobnie jak jeden pik moze sie znajdowac tylko w jednej teczce. Lisémi w AD_moga byé uzytkownicy, kontakty i komputery, slowem: obickty, gore, nie moga zawieraé innych obiekt6w. Dlatego slowo , ise” dobrze. do, nich pa- suje, Latwo mozaa sig domyshc, 2: liscie sq jnajnizseq” klasg obiekiGw w AD. Texas koncepcja las — dreewo — galaé — lis zaczyna byé bardziej zrozumiala.34 Active Directory — odtwarzanie po await Dostep do jednostek OU i innych obiektéw mozna uzyskaé z konsoli MMC (Microsoft Management Console) tub za pomoca niarzedzia administracyjnego Active Directory Users and Computers. Ta druga metoda wywoluje MMC z odpowiednim, wwidokiem i jest nieco szybsza, jak widaé na poniészym ekranie. Lokacje w A Wietu administrator6w systemu Windows, 2vlaszeza w mnijszych fiemach, 2 pelnic nie zauwaia moiliwosei praystawki AD Sites and Services programa MMC. ‘Tymezasem jest to jedna z najwainiejszych czpéci AD, tzeba ja dobrze zrozumieg i poprawnie zaimplementowaé. (lokacje), ktére umozliwia zupeinie jednoznacane i dobrze zorganizowane podejscie do rordzielenia poszczegélnych lokalizacji w ramach projektu AD. Domeny w AD. ‘maja z reguly znaczenie globalne, czyli jednakowe, niezaleznic od tego, w ktérym migjscu osrodek sig znajduje czy jaka jest szybkos¢ polgezeti sieciowych. W AD’ lokacje umodliwiaja okreslanie przestrzeni adresow IP i podsieci tzywanye w, dane} fitmie, ezyli niejako'praenosza strukture sieci do AD. Preydatnosé dobrze zorganizo-_ ‘wanego i uttaymanego narzedzia Sites staje sie dobrze widoczna, edy uprzytomnini sobic, Ze kazdy komputer w przestrzeni adresowe} bedzie Korzystal 2 kontrolera Dt ia lokacii, aby sie uwietzytelnié. Jest to ogromna zaleta AD, dzigki ktore) unika si niepotrzebnych przeslaf w sieci. Trzeba jednak aktualizowaé i konserwowaé obiekty Sites i Subnets, Jest to szezeg6Inie wane przy definiowaniu roinych harmonogramow. replikacji dla r6énych lokalizacji w tej samej domenie, a takie'pr2y obstudze wiy Kownlkow bedacych W podrd2y. Gay ziloguja sig z inne} 1okalizacjiy Zostanie i przypisany adres IP 2 jej sieci. Ustuga Windows Locator poszuka najblizszeiso kon- Rozdzial 2. Zasady projektowania uslugi Active Directory 35 trolera DC i uéytkownik nie bedzie musial sig logowaé wedlug calej Sciezki do swego zwyklego DC. (Szezeg6ly dzialania ustugi Locator mona 2nale#é pod adresem nttp://support.microsoft .com/kb/314861). Dzigki temu oszezedza sig na wyma- zane] przepustowosei i przyspiesza proces uwierzytelniania, Praepustowosé nie jest obecnie kosztowna w krajach rozwinigtych, jak USA lub wwigkszos krajéw zachodniocuropejskich. Jednak 2 tego, #e jest ona tanin w nickté- rych krajach, nie wynika, Ze tak jest we wszystkich lokalizacjach naszej firmy. Jest najpierw miclismy siedziby w krajach rozwinigtych, a nastgpnie decydujemy sig na otwarcie dziesigciu czy dwudziestu malych osrodkéw w krajach mnie} rozwinigtych, \w_ KtGrych przepustowoss jest kosztowna, to naprawde bedziemy potrzebowaé AD { lokacji, Jesti dotychezas nie korzystalismy z lokacji w AD, to musimy dokonaé odpowiednich zmian w infrastrukturze i wyszkolié personel, aby byl w stanie 2aim- plementowaé i podtrzymaé lokacje, a potem zarzqdzaé nimi W powyiszym przykladzie modna zauwazyé, ze przecie® kay 2 malych osrod- k6w ma lokalny kontroler DC, kt6ry pelni takze funkeje serwera File & Print i w kt6- rym pracuja miejscowi pracownicy. To prawcla, ale co z replikacia 2 naszej lokacji centralne} i do niej? Gdzie jest centrum obliczeniowe, ktére prayjmuje krytycznq poxtrgczna ezeS¢ naszego zaplecza programowego? Jesli zmiany w AD s9 dosé e2este, np. regulamnie sq dodawani i usuwani udytkownicy, to AD bedzie sig replikowaé — o ile Iacza lokacji (Site inks) sq poprawnie skonfigurowane ~ bez kompresji co 15 ut. W zaleznosei od wielkosci instytucji moze to byé dos dude obcigzenie dla igezy w danym osrodku, Jesti pracownicy tego osrodka otrzymuja pocate elektro- -niceng i przeszukujg strony internetowe za pomocg tej same} linii, to wydajnosé siect ‘wich odezucit znacznie sig obnizy, co spowoduje niepotrzebne niewygody. Poniej widzimy okno przedstawiajqce lokacje w AD Sites and Services.36 Active Dietary — adware po avast Rosérial 2, Zasudy projektowaniauslugi Active Directory 3 Obiekty GPO (Group Policy Objects — obiekty zasad grupy) W usludze Active Directory obiekty GPO tworza zbiér okrestonych regul doty- ezjeych ustawiesi srodowiska uzytkownika lub srodowiska operacyjnego dla poszcze- glnych komputerow PC. Reguly te s@ ttaktowane jako autonomiczne obiekty, ktsre modna Iqczyé z réznymi jednostkami OU. Dzieki ‘enw mona dowolnie tworzyé jakis zbi6t tegul i wykorzystywaé go w r6énych jednostkach OU i réznych ich strukturach, Ulatwia to rozprzestrzenianie ustawies i preypiesza zmiany administracyjne Group Policy (zasady grupy) maja rozlegly obsear dzialania i jesti tylko cheemy | zadaé sobie trud, mozemy utworzyé swoje wlasne szablony, co mode awigksayé naszq kkontrolg nad komputerari i aplikacjami ulokowanymi w naszej domenie. Dosigpne sq r6wnied. gotowe do zastosowania szablony wielu ustawiert. Nazy- 5 ‘waa sig one szablonami ADM i nicktére sq juz wlaczone do pakietu instalacji Win- dows 2003, Takie niektére aplikueje, np. Microsoft Otice 2007, zawierajq szablony | ‘ADM, Kt6re moina ladowaé i modyfikowaé (patrz nttp://am.aicrosoft.con/ | Jest to najbardziej powszechna wersja projektu dla malych i srednich firm, ktGre maj ‘dovn1oads/detatts.aspx?displaylang-enkFamily10-9269519a-e143-4ace-@f7a- | _oddzialy w jednym kraju lub w nieduzej odlegiosc od siebie, Ta wersja projekta obejimaje eébbaebai3e7), pojedyners lokacje centralng (hub) i kilka malych lokaeji. Lokaeja centralna jest okreslana sech oyu sie aablon6w ADM, to nie treba ni ei Jako duze centrum obliczeniowe, w ktGrym miesei sig wigkseose infrastuktury. Tak wige i cn Hc armen mip oe i Poniészy ekran pokazuje szablony ADM pakietu Office 2007 zaladowane do edytora = Jednym centrum obliczeniowym zatrudniajacym 900 pracownikéw zgromadzono 40 vee cro Gan an enon. ©) seqrerdw, to wlasnie ono bedzielokacjg contain Krétko mévwige,lokaga centralna to meee, w ktérym dziala dua czes¢ naszejkrytycanejinfrastruktury. || Ziokacjicentralne} wszystkie zmiany sq replikowane do mniejszych lokacji, kts mi moga byé male oddzialy, mate lokalizacje i w og6le kady maly osrodek majacy wlasny Kontroler domeny. W ten sposdb sterowanie jest skupione w jedne} duzej © lokacji centrale, ktGej nastgpuje replikacja do pozostalych lokaci-gaigzi. KoreySé ~ 7 akiego ukladu polega.na tym, Ze mozna wyniusié replikacig do wszystkich lokaeji- alezi jednoczesnie (pod warunkiem, #e przepustowos linii wytezyma takie obciaze- | ie) i nie treeba czekaé na Zaden harmonogram op6énionej replikacii zwigzany 2 Be (refami czasowymi itd. Wada ukladu jest t0, Ze jesli pojawi sig blad vigzany mp. Projekt domen: pojedynczy las, pojedyneza ‘domena, sie¢ 0 topologii gwiazdy "GL Donena nie stow: geanc bezpieczedsiwa wewnate lasv, Domysinie wszystkie domeny maja przechodnie relacje zaufania wewnatrz las i dlatcgo sq dla siebie nawzajem widoczne. Na szezycie tej struktury “wszystkie katalogi globaine (Global Catalogs) zawieraja baze zabezpie- capi i nienczciwy administrator moze potencjalnic uzyskaé dostep do 162- nych domen, a nawet do calego lasu. Szezegély dotyezace te} podatnosei na uszkodzenia mona znalezé pod adresem http://wxw.microsoft.con/technet/security/bul letin/MS02-001.mspx. Chociad to onkretne éédlo podatnosci na uszkodzenia juz usunigto z Windows 2003, to jednak moze istnieé cos, co powoduje podobne efekty = to po nastepnej replikacji usluga przestanie dzialaé. Jesti replikacja zachodzila » sieci,o:topologii gwiazdy i do wszystkich lokacji,wyszia” w tym samym czasie, to38 Active Directory — odtwarzanie po awarii Na ryunku pokazano projet da NailCorp 2 eng loka centaing trzema to- igzinn Kaéda lokaca bedzie mila wlasny zakes adesGw IP | wlasna ikacje w stukturze Active Dieeiory 2 ntleéaeym do ni) Kontoleem DC. i W tym przypadku mamy pojedynczy las i pojedyneza domeng, wprawdzie z r6i-. sym lokacjami le wszystkie obleky w tye loach nada Jo tego samego lau ioe same domeny. a eta entero otc aime con a ot ew es ‘oie mae cm sreianene ea: su A omens nate a Projekt domen: pojedynczy las, pojedyneza domena, pusta domena podstawowa (root), sieé o topologii gwiazdy Choé taka architektura nie jest juz zalecana, stosvje ja lub implementuje’ jest \wiele instytueji Jest to projekt bardzo podobny do poprzedniego, z tq réznici Ze zaviera puista domene podstawowg (root). W zasadzie domena podstawowa tego lasu jest pusta, bo nie ma w niej kont komputerowych ani kont uaytkownik6w poza Kéntami admin! stratoréw przedsiebiorstwa (Enterprise Admins) majacych lokagje w tej’ donienic, We! wnatiz AD domena nie jest granica zabezpieczett. Natomiast las jest graitica zabezpieczeit, wige architekiura 2 wieloma lasami bedzie lepie} zabezpiéczona. Putt domena podstawowa ma dobre i zle strony. Plus polega na tym, Ze jest to projekt bez Roztziat 2. Zasady projektowania uslugi Active Directory 29 pieczny, 2 dodang warstwa zabezpieczeri. Domena znajdujgen sig 0 poziom nize) ‘whicrarchii, czyli domena podraedna, bedzie zawierala wszystkie konta uZytkownik6w {i konta Komputeréw. Taki projekt jest korzystny z punktu widzenia zabezpieczen, gdyi adininistratorow przedsigbiorstwa (Enterprise Admins) i administratorow sche- ratu (Schema Admins) sq odizolowane od innych uéytkownikéw' i administratoréw. |W tym projekcie mona wyznaczyé kilku administrator6w, kt6rzy beda kierowaé grupami ‘administrator6w_przedsigbiorstwa i schematu, podczas gdy inniadministrtorzy bedg rezydowaé w domenach podzednych jako administratorzy domeny (Domain Admins). Daigki temu do catej struktury zostaje dodana nowa warstwa zabezpicczed ‘ulatwione beda ewentuaine zmiany strukturalne, jest: ¢/ nastapi fuzja nowych spéiek potrzebujacych przechodniego dostepu albo ‘+ bedzie potrzebna oddzielna usluga AD ze specjalnym dostgpem. Jest pewna kontrowersja co do polrzeby stosowania pustej domeny podstawowe) Gay system Windows 2000 wszedi na rynek, pusta domena podstawowa byla bardzo modna i chetnie jg stosowano. oti apes \ 7 fone ceonane ‘ia i aslo suteainns a40 Active Directory ~ odtwarzanie po awarit Roddrial 2. Zasady projektowania usu Active Directory at okreslonymi domenami wewialr2 Ias6w. Takie rozwigzanie zapewnia potrzebny fas z wisloma‘domenamt stopies szczegdtowosei (taw. granulacie). lustruje to ponizszy rysunek, rojekt domet Ten projekt jest ezgsto uzywany w duzych Korporacjach i spdtkach, kt6re wyko- uj testy wysokiej jakosci (QA ~ Quality Assurance) produktéw oprogramowania lub) rozwijaja takic produkty. Las z wieloma drzewami to projekt bardzo dobry dla sp6tkiy, t6ra rozwingla sig przez pozyskanie innych spélek i teraz musi pozyskanym spéom, zapewnié dostep do plikéw z réanych domen. 4 Taki projekt trzeba budowaé od poczatku, poniewat nie mozna utworzyé nowego Jasu nad lasem istniejgcym. W systemie Windows 2003 isinieja jednak narzedzia, kKtre ulatwinja preckazywanie informacji o domenach i migracje pomigdzy ‘wien uustugami AD. "cation Site), a bez skrét6w: lokacjami op6énicnia, Wszystkie te nazwy sa ,olicjatne”, | ponlewad sq uzywane w firmie Microsoft i przez ekspertéw z dziedziny AD. Opéénienie replikacji ma na celu umodliwienic szybkiej regeneracji skasowa- ch obickt6w bez potrzeby wykonywania uwierzytelniania, regeneracji lub nawet jalafi na tasmach. Jesli co$ 2ostanie przypadkowo skasowane, wystarezy wykonaé likacje w odwrotnym kierunku: od lokacji opéénienia do dzialajacego kontrolera IC, a skasowane dane zostang odzyskane. Jest to prosty, szybki i skuteczny spos6b z o oO a a Oo s najlepsze zabezpieczenia. Jest kosztowny W utrzymaniu i utrudnia wsp6lprace, ale m: ez wyradne zalety. W projekcie tym istnieja autonomiczne lasy dla poszczegéiny dzialéw instytucji. Znaczy to takie, 3x domysinie lagy te nie widra” sig nawzajem ani nie majq do siebie dostepu. Administratorzy tworza wige relacje zaufania migdz;42. Active Directory ~ odtwarzanie po await Roudzial 2. Zasady projektowania uslugi Active Directory 43 stywane w procesie uwierzytelniania przez. uiytkownikéw i rejestracja DNS jest | zablokowana, lokaeje te jako niewidoczne dla wéytkownikéw aplikacji sq uwazane za ukryte, Projektowanie wiasnej usiugi Active Directory |W wigkszoSci firm sa pracownicy 2 tytulami sluabowymi takimi jak ,architekt sieci", zarzqdca konfiguracji Windows Server” czy ,projektant sieci”. Te tytuly nie 4 dla Zartu. W duzych instytucjach rzeczywiscie potrzebne sq osoby, ktdrych jedy- rym obowiqzkiem jest projektowanie i optymalizowanie topologii sieci z uwzglednic- hiem ro2woju technologii. Dotyczy to takze os6b zatrudnionych w dziale zabezpic~ eh i dziale rozwigzasi biznesowych. ‘Utuga Active Directory, jak widzimy, to bardzo skomplikowann inatuktura, W kaidej chwili wiele rzeczy moze pojsé #le, a najczestszq przyezyng, najgroznicj. szych zdarzeti jest biad ezlowieka, jesti zostanie zreplikowany. Dobra praktyka jest ‘oddziclenie w kaédej domenie jednego lub nawet dwéch kontroleréw DC w centrum obliczeniowym lub gdzie indziej. Dobrze jest utworzyé.go w nowej lokacji AD” i ustali¢ do niego jak najkosztowniejsze tqcze. Dzigki temu bedzie on replikowaé dane. x gl6wnym kontrolerem DC tylko raz na tydziess, a przez reszte czasu po prostu tylko bedzie, Mozna nawet zaprojektowaé firewall (zaporg sieciowa), aby uniemotliwig polgczenia i zablokowa¢,replikacje do tego kontrolera DC. W Swiecie IT nicustamnie pojawiaja sig nowe technologie, nowe metody i projekty, ‘ci pracownicy muszq doskonale znaé swoje dziedziny. W malych i srednich firmach te funkcje najezesciej sprawuje jedna osoba albo niewielka grupa osbb. ‘Treeba sig nastawié na przyszlosciowe rozwigzania zwlaszcza w architekturze systema Windows Server i Active Directory. Gdy projektuje sig wlasng AD, trzeba aptawde mysleé twérezo i praewidywaé preyszle rozwiqzania. Pewna doza jasnowi- dzenin nie zaszkodzi. Problem projektowania AD dla malej lub sredniej firmy jest diiojaki. Po pierwsze, projekt musi byé skalowalny w przyszlosci, po drugie, musi mies zdotnosé migracji do nowej architektury przy minimalnym obcigéenin uzytkownikow. ‘Aby ulatwié zadanie projektowania, podajemy dwie krétkie listy wskazowek. Pietwsza lista zawiera czymniki, kt6re powinno sig rozwaiyé przy projektowaniu globalne] Active Directory, a druga — czynniki, ktére nalezy rozwatyé, finaliznjgc ‘whasny projekt albo dokonujac migracfi. Caynniki te nie sq uporzadkowane w jakiejs _okreslonej Kolejnosci, gdyz. wszystkie muszq byé wzigte pod uwage. czywiseie pojawia sig bledy replikacji, ale w kaddym razie bedziemy micé | przynajmnie} dzialajqca usluge AD. Gdy infrastraktura ,padnie”, wystarczy wykonaé autorytatywne przywrdcenie 2 lokacji op6énienia, czyli uaktywnié Igcze, opuszczajad firewall, jesli byl ustawiony, i promowaé (przypisaé role kontroleréw domeny) Kons trolery DC 7 lokacji opéénienia. W zasadzie wige infrastruktura bedzie dzialaé, a wszystkie kontrolery DC beda replikowane 2 lokacji op6énienia, ktéra ma autorytatywne praywrécenie, Isinieja r6éme metody okreslania lokaeji op6énienia, niektére zostang oméwione w nastgpnym rozdziale, Aby zwigkszyé redundancje i bezpieczesistwo Active Directo: ry, niewatpliwie powinno sig utworzyé lokacje opéznienia, _ Czynniki, ktére powinno sig rozwazyé, projektujac nowa Active Directory ‘Cay nazwa sprawdai sig w przyszlosei (DNS)? Czy jestesimy wlascicielem nazwy DNS? lu uiytkownikéw jest w poszezegéluych ostodkach? Sala road ‘anaes smc “Yaka jest przepustowos polgezesi migdzy osrodkami? © Cay jest wystarczajgca do tego, by mniejsze ostodki uwierzytelnialy sig ww centrali? - Kto bedzie administrowal infrastakturg AD? © Kto bedzie wykonywal codzienne zadania (resetowanie hasel, tworzenie ont uZytkownik6w i komputersw)? Cay planowane jest utworzenie AD z dodatkowymi ustugami, np. Exchange, SharePoint?© Kt6re kontrolery DC beda serwerami katalogu globalnego? © Gazie bedg ulokowane role operacji FSMO (Flexible Single-Master Operations)? © Cay nowy projekt bedzie podirzymywat wszystkie funkeje aktalnie dzialajgce 44, Active Directory ~ odtwarzanie po awarit w naszej firmie? © Iesli poczatkowo nie ~ czy bedzie okres preejsciowy i jak dlugi? © Czy wyjasniligmy to zarzadowi firmy? 2 Czy wszystkie aplikacje pochodzqce od firm niezaleznych beda dzialaé. w nowym projekcie? oh | Czynniki, ktore nalezy rozwazyé, finalizujac projekt AD lub dokonujac migracji do innej AD © Cay wybralisimy jakis projekt? © Jesli tak, to czy doktadnie przemyslelismy ten projekt, biorye pod uwage! preyszly rozw6j? © Cay jest dostgpna nazwa DNS i ezy jest ona przyszlosciowa? © Czy obliczylismy, ile potrzeba kontroleréw DC? © Czy rozwazylismy tryb rezerwowy na wypadek awarii serwera glownego i prze-, cigienia sieei? 2 Czy jasno okresilismy iezbe administatorow i ich role? © Czy mamy przygotowane procedury zarzqdzania zmianami 2 Iesli nie mamy, to ezy powinnismy miee? ccentralne i osrodki obliczéniowe)? © Cay zostanie zorganizowane szkolenie, aby personel poznal nowe, aktualn techniki? © Jakie bedzie obcigzenie udytkownik6w? © Czy mamy praygotowane procedury informowania uzytkownikéw 'o nad: it chodzqeych zmianach? + Gey waryikiesplikaj siecowe #4 wwzglednone? preedsigbiorsoie? © Czy jest praygotowany realistyczny harmonogram implementacji? © Cay zostal przedyskutowany i zatwierdzony? Rozdzial 2. Zasady projektowania ustugi Active Directory Standardy nazw Zanim rozpocznie sig projektowanie, koniecznie trzeba ustalié standard przy- diclania nazw dla wszystkiego w przedsigbiorstwie. Jesli sig tego nic zrobi i kazdy bedzie mégl decydowac, jak nazwaé obiekty GPO i komputery, jaka postaé majq mivé nazwy uzytkownikew, jakie beda nazwy kont programéw uslugowych itd., to nigdy nic zbuduje sig wiasciwej struktury. Praydzielanie nazw uzytkownikéw i kont ustug Sposob6w przydziclania nazw kont udytkownik6w jest bardzo wiele i na pewno jakis zosal juz ustalony. Jesli jednak w naszym przedsigbiorstwie réane dzialy zostaly nabyte lub w przeszlosci mialy duzq autonomig i wskutek tego panuje teraz chaos ww nazewnictwie, to bardzo wazne jest okrestenie jednego wspélnego nazewnictwa dla ont uzytkownik6w. Ulatwi to nie tylko administrowanie, ale takze rozprzestrzenienic program6w usluzowych w przedsigbiorstwie. Jesli okresli sig nazwy kont uslug zgod- tie z ustalonym standardem, to kazdy administrator bedzie dokladnie wiedzial, do Gzego dane konto sluzy. Jesli wiytkownicy otrzymajq standardowe nazwy, to zarz9- dzanie bedzie bardzo usprawnione. Trzeba takée rozwazyé blokowanie kont uslug, np. przez okreslenie, z kt6rego komputera moga sig uwierzytelniaé i do czego maja dostep. To samo dotyczy kont uzytkownik6w. Nazewnictwo obiektow GPO (obiektéw zasad grupy) Administratorzy maja tendencjg do stosowania nazw dla grup wedlug tego, co ydanym momencie wydaje im sig najbardziej logiczne. Tymczasem tzeba jasno ‘okreslié nazewnictwo obiektéw GPO tak, by nazwy mialy sens nawet dla nowej ‘Ssoby, Nazwa w rodzaju ,,Internet Explorer Test 3” jako nazwa obiekta nie pozwala ‘sie domysli¢, jakie znaczenic ma ten obiekt i co zawiera. Konwencje nadawania nazw tyly przez dlugi czas niedoceniane. Nazewnictwo nic tylko obiekt6w GPO, ale takie ielu obiekt6w administracyjnych nie wydawalo sig istotne. Krétko méwigc, nazwa “obiektu GPO musi byé tak dobrana, aby natychmiast mona bylo rozpoznac, co ten Obiekt rob! i do czego sig odnosi. To bardzo ulatwin rozwigzywanie problemow “GaiiWanie userek. Na ryonku pokazano nazwy preydzilone dose sensowni, gy ldaé, Ze dasada jest globalna i Ze jej ustawienia dotyczq waytkownikéw i kompute- “16w.Projektujac, trzeba pamietaé o skalowalnosci We wszystkich ksigzkach i artykulach 0 usludze Active Directory mowi si « niezwyklej skalowalnosei AD, o zabezpicczeniach i redundancji. Usluga katalogow: AD zostala zaprojektowana od podstaw z uyciem mechanizméw, ktére timozlivia) lative dodawanie i kasowanie kontrolerw domen. Wigezono funkeje pizejmowani sterowania przez kontroler zapasowy, gdy kt6ry$ z kontroler6w ulega awarii, Klient nawet tego nie wykrywa, Na papierze wyglada to wspaniale i zmniejsza naklady administracyjne. Spraw- daa sig takée w praktyce. Duze korporacje majq struktury AD dzialajace tak Swietni ze administratorzy naprawde nie musza martwié sig 0 nic, co dotyczy stabilnosci. T: jest nawet w6wezas, gdy system ma ponad 30000 uéytkownik6w w kilku, krajac i prawie dwa razy tyle kont komputerowych. Jak méwi preystowie: Za kazdys silaym mgéczyzng stoi silna kobieta”. O Active Directory mozna powiedrieé: 2 aida Swietnie dziatajgca Active Directory stoi dobry architekt”. dobre zalecenie, ale nie trzeba braé go daslownie. W kaédej lokacji majace} 150 ~ 20 uzytkownik6w powinny byé co najmnie) dwa Kontrolery domeny. Nie chodzi Active Directory ~ odtwarzanie po awarii = Rozirial 2, Zasady projektowania uslugi Active Dieeetory 47 ow w jednej lokacji to sporo.-Trzeba wziaé pod uwage, ée kontrolery DC bed naj- ‘ardziej obciazone rankami, gdy ludzie sie loguja, i po poludniu, gdy loguj sig po. nownie, a przez wiekszosé czasu bedq niewykorzystane. W takim praypadku lepic} poniesé koszty zwiekszenia pamigci operacyjnej i zwigkszenia mocy CPU i nie wy- - dawaé pienigdzy na dodatkowy komputer. Jest sieé zostala dobrze zaprojektowana, a Kontrolery DC majq nieco wigksza moc, mona przydzielié do nich stosunkowo wielu uéytkownik6w. Zdarza sig, ze ww duiych firmach przypada ponad 600 uzytkownik6w na jeden kontroler, pray czym Grednie obcigzenie dzienne wynosi 40%; obcigzenie oczywiscie wzrasta w godzinach szczyt logowati i wylogowari, ale przez. dlugi czas kontrolery sq zupelnie nicobcig- one. Kluezowym czynnikiem jest tm pamigc i CPU. Jesti wielkosé pamigci RAM pizekracza dwukrotnie wielkosé bazy danych ustugi AD, to kontroler domeny zaki- duje cata baze do pamigci. To w polgezeniu z CPU klasy serwerowej, jak np. Xeon lub Opteron, skrdci czas uwierzytelniania jednego uzytkowmika do ezesci sektndy. Jesti jy kontrolerze mozna uwierzytelniaé pigé os6b w ciggu sekundy, to uwierzytelnienie £600 036b zajmie dwie minuty. A 600 uzytkownik6w nie przychodzi do pracy w tym samym czasie inie loguje sig w tej same] minucie. Skalowalnosé AD osiaga sig dzigki rozproszonemu modelowi. Kady kontroler IC zawiera mnie} wigce} pelng Kopig katalogu. Zmiany, kt6re zajda,w jednym kontrolerze DC w jedne} lokacji, zostang zreplikowane do wszystkich innych kontroler6w DC, Jest to architektura zupelnie inna niz w Windows NT 4, w ktérym byt jeden _kontroler domeny podstawowej i wiele zapasowych kontroleréw domen. »» Jest tylko jeden Klopot z taka architektura, a pojawia sig, gdy w systemic znaj luje sie duzo kontrolersw rozproszonych domen i duio lokacji. Jesli lokacje i Ie Jokacji zaprojektuje sig niezbyt starannie, to w krétkim czasie moze dojgé do wielu _ tszkodzet i niepotrzebnego ruchu. Ecza lokacji stuéq do kontrolowania, Kiedy i jake bbedzie replikowana do innych kontroleréw DC. Trzeba tym sterowaé, bo przecie’ ie moina replikowaé bazy o pojemnosci 2 GB podczas godzin pracy przez Iaeze "0 przepustowosci 2 Mb/s. Jesli jednak nie zaimplementuje sig dobrego projektu apli- tcji i nie wykona jego dokumentacji, to beda sig zdarzaé niepotrzebne op6énienia. Bedziemy wéwezas mieé ,.mile” zajgcie polegajace na szukaniu miejsc, w ktrych likacja sig nie udala ~ a przy wielu lokacjach nie jest to proste. Nizej pokazano 36ine harmonogramy replikacji i schemat Igezy lokaeji, w ktérym dopuszeza sig, by _Tokacja miata wersjg AD op6éniong o 6 lub 8 godzin. © skalowalnosé, ale raczej o awarie. Na przyklad w przypadku 400 uiytkownik6w | Microsoft zaleca w swojej bialej ksigdze trzy kontrolery domeny. Dla 400 uZytkowni-48 Active Directory —odtwaranie po avarii_ “| oud. Zasuly projektowaniauslgi Auive Ditetory 49 © Nazwa rol Gade jest potrzebna eas opto Smit (czas optic: 8 godainy ‘oka centralnaw Europe ctowna okaca orporaci Czas epthach: ‘30 minut (eas rapa: 2.5 oodziy as reptac: 6 godzn Lokacja cantralna w Agi Kraowa kala central w A Projektowanie 1 implementaja harmonogram6 replikacji nie sq tune, ale wwymagaja che ezasutinformach zinnyeh del. Trae pani, te ponicwa natychmiastow9 replikacje migdzy lokacja gldwng a lokacja, w kt6rej zaszlo to zdarzenie. Jesti pracownik ma odejsé po dwutygodniowym wypowiedzeniu, nalezy ustis © wig czas wadnosci jego konta na przewidziang date odejscia, a potem sprawdzié, czy | po tej dacie dane zostaly zreplikowane. 4 sa bardzo wane, a niekt6re maja znaczenie krytyczne. Istnicje pigé r6l 1 muszq one wystepowaé w kaédej AD. Trzy z nich sq okrestone dla domeny, co znaczy, Ze musza wystapié w kaizdej domenie lasu. Pozostale dwie okreslane dla lasu i muszq wystapi¢ w kazdym Iesic. Oto podsumowanie tych r6l: ‘Wrornee identyfikatorw RID W kaddej domenie ‘Wrorzee infrastruktury W kaédej domenie Emulator podstawowego kontrolera domen — W KaZdej domenie Wrorzee schemata W kaddym lesie wrorzce nvzw domen W kazdym lesie Kadda rola sluzy do czegos innego. Nizej podajemy opis poszczey6Inych r6l i krok6w, klGre nalezy wykonaé, Wzorzec identyfikatorow RID (Relative ID) ‘Ten element systemu AD przydziela kontrolerom w domenie wzorve bezpiecz nych identyfikatordw RID. Kontrolery uzywajg tych identyfikatoréw i z kolei prey deielajg je dodawanym ghéwnym odbiorcom zabezpieczest, czyliuzytkownikom i komputerom. Serwer pelnigcy role wzorea identyfikatoréw RID kieruje takée ruc obiekt6w migdzy domenami. Sprawdza pule przydzielone wszystkim kontrolerom DC domenie i w razie potrzeby przydziela wigce| identyfikatoréw, aby pula nie zostala wyczerpana, gdyi to spowodowaloby niemodliwosé utworzenia nowego konta uiyt- kownika czy komputera, Wzorzec infrastruktury Serwer pelnigey tg role zarzadza globalnie unikalnymi identyfikatorami (GUID | Globally Unique Identifiers) i nazwami wyrééniajacymi (DN ~ Distinguished Name) ly wszystkich obiektow, do ktérych wystepuja odwolania 2 r63nych domen, Najwa- higiszym zadaniem wzorea infrastruktury jest aktualizacja polgczei uzytkownikow itn. Emulator podstawowego kontrolera domeny (PDC ~ Primary Domain Controller) Jest to rola o krytycznym znaczeniu, nie tylko dlatego, Ze emulator kontrolera PDC emuluje podstawowy kontroler domeny dla Windows NT, ale dlatego, 7 inneWaorzec schemata i wzorzee nazw domen powinny byé umieszezone na tym samym kontrolerze DC. Woor2ée infrastruktury nie powinien byé na tym samym Kontrolerze BC, na kiérym jest katalog globalny, chyba Ze Katalog globalny jest na kazdym 7 kon- troler6w DC w6wrezas weorzee infrastruktury mode byé na dowolaym 2 nich. _ Weorzee RID i emulator kontrolera PDC powinny rezydowaé na tym samym “Koniroterze'DC zainstalowanym na mozliwie dobrym spragcie. Jest jednak pod- “czas ladowania na ten serwer pojawi sig komunikat, aby odseparowaé te role, iumiesémy je na Kontrolerach DC bedgeych bezpostednimi parinerami replikacji big cart) Lokach Wzorzec schematu Serwer peinigey te role preechowuje wszystkie informacje 0 scheinacie i jeu ‘modyfikacjach. Schemat dla lasu okresia, jakie sq dozwolone typy obiekt6w i j atrybuty mogq mieé te obiekty. Typowym scenariuszem dla tej roli moze byé instal ~ Rozmieszczenie i konserwacja tych 161 maja duze znaczenie; w ponizsze}tabeti ‘Konseleweneja awarit [Niemodliwa stanie sig aktualizacja schematu AD. Na krétka mete awaria ‘wzorca schematu nie beslzie krytyczna, gdy# schematy sq aktwalizowane rzadko (zwykle wykonujg to pewne programy aplikacyjne lub admin strator dodajgey atrybut do schema. r2ee Wrorzec nazw domen jest potrzebny przy dodawaniu lub usuwvaniu do- ‘domen —_meny z last (czyli podezas wykonywania DCPROMO), Jest nie dziala, nie mozna dodaé ani skasowaé domeny. Wzorzee ten jest potrzcbny taleze podezas promowania i degradowania kontroleréw DC w systemie. Podab- nie jak wzorzec schematu, waorzec nazw domen jest potrzebny tylko od ‘ezasu do czas i jego awaria nie ma krytycznego znaczenia, chyba Ze wlasnie chee sig zmodytikowaé struktarg domeny lub last, Wzorzec nazw domen Serwer pelniqcy te role sledzi wszystkie nazwy domen w lesie. Rola jest nic zbedna przy dodawaniu lub usuwaniu domen, ‘Aby préeniesé role wzorea nazw domen na inny Komputer, nalezy otworzy. opcjg Domains and Trusts i Kliknaé prawym prayciskiem myszy Operations Mi ster. Pojawi sig ponidszy ekran, z ktérego modna zmienié waorzee nazww domen.52 Active Directory odtwarzanie po awa Roulziat 2. Zasady projektowania uslugi Active Directory 53 meng swojn nazwe ze wagledu na zasady nazewnictwa w Firmie allo ~ jst nie mil jpowatinienia — usunaé obickt. Mozemy (o zrobié tylko za aprobata przctozonych, Migraeja do Active Directory nie jest trudna, gdyz Microsoft dostareza pracana- sponych do tego narzgdzi. Glownym problemem nie sa waytkownicy, ktGrzy nie Moya - gig'logowaé — bo temu szybko zaradza pracownicy helpdesku, Giéwng trudnosé sta- ‘oWit aplikacje obslugujgce konta lub uwierzytelniajgce sig na okrestonych serwe- “rach: Przypusémy, Ze na serwerze jest zainstalowane oprogramowanie ksiggowo: “firmy NailCorp, Kt6rego dzialania nikt nie zna lub ted znajgca je osoba jest niedo- sighna. Preypuscmy, ze — jak to sig czgsto zdarza ~ praklycznie nie ma dokumentacj. ‘acji do nowej domeny program przestaje dzialaé. Po zakoficzeniu migracji | stareskontrolery domen zostaja wylaczone. Czesto taka sytuacja zdarza sig podezas | sigekendi; stare komputery zostajq usunigte i skladowane na wozkach sy gotowe do | nywiezienia. Gdy bigd.zostaje zauwazony, podejmuje sig goraczkowe préby ponow- she uuruchomienia aplikacj “by migracja praebiegla gladko, Kluczowa sprawa jest je} wlasciwe zaplanowa- "jes Jest to szczegélnic waine, edy calkowicie zmienia sig architekture i gdy struktura | jednostek OU jest bardzo. skomplikowana. Jesh plan migracji zostanie opracowany “-p.g6ty, nie dojdzie do migrowania niewlasciwych waytkownik6w lub niewlaseiwyeh _fomputerow do niewlageiwych jednostek OU. Nazwa roli___Konsekwengja awarii Emulator PDC Niedostgpnosé serwera majqeego pr2ydzielong role emulatora PDC spo- ‘woduje najwigce} trudnosei. Najbardzig} odezuje sig to prey dzialanin ‘w urybie mieszanym, edy uruchomiony jest jeszeze zapasowy kontroler domeny BDC z systemu NT 4 i praestarzate klienty (NT lub Winds). Poniewaz emulator kontrolera PDC dziala jak PDC w systemic NT 4, ‘wszystkie alee, klére zaleza od tego PDC, beda zaburzone (Menedier \weytkownik6w dla domen, Menedzer serweréw, wymiana hasel, przeglq- \danie i replikaeja kontrotera domeny zapasowe)). LW domenie wlasnego systemu awaria emulatora kontrolera PDC nie jest ‘krytycana, edy2 inne kontrolery moga praejaé wigksZ0st jego funkcji Weorzee identy- Waorzee RID dostarcza identyfikator6w dla uzytkownik6w, grup i ont {ikatorsw RID. komputeréw. Jego awaria ma niewielkie znaczenie, chyba Ze whasnie dodaje sig bardzo duza liczbe uZytkownikéw lub grup. Kady konteoler w domenie ma juz przydzietona pule identyfikatoréw RID; problem sig pojawia, gdy ta pula 2ostanie wyezerpana, Wrorzee ‘Ten serwer FSMO ma znaczenie tylko w stodowisku wiefodomenowym. infastruktury esi jest tylko jedna domena, wzorzec infrastruktury jest abedny. W S10- dowisku wielodomenowym uszkodzenie tego serwera powoduje pro- bblemy, sdy prdbujemy dodaé do domeny obiekt z innej domeny. Inna spraw, ktérq nalezy rozwayé, jest oczywiseie przyszlose firmy i jej strate ‘8a. Jest firma nalezy do branéy, w kt6rej prawdopodobne sq szybkie zmiany organi Zacyjne (np. lezenie firm), to powinno sig wybraé taki projekt, aby mc przyjmowad nowo przybylych przy jednoczesnym utrzymaniu bezpieczesistwa,wlasnej infrastruk. tury, ‘ “ine jak projekt i migracja. Od czasu boomu internetowego kazdy, kto mie wigezyé _ komputer osobisty, moze nazywas sig specjalista lub inzynierem systemowym. Ma JF ypdomu komputer 2 Windows 2000 i nie slyszalo takichglupstwach jak projektant _plaiformy. W czasie boomu specjalise, kt6rzy naprawde, zal sig na komputerach, yi la wielu firm zbyt Kosetowni i dlatego zatrudniano gorze oplacanych ,specis- Directory, jest mystenie o przyszlosci, a nie o terazniejszosei. Migracja z innych usiug uwierzyteiniania Firma zatrudniata lee} przygotowang osobe, aby napravila stare rozsig- aL 2 Sk Bot, By avaltownym w2rescie | zmianach na rynk przy instalowaniu kontrolera domeny, jest kom nadaé, juz zostata uzyta, Wigkszosé 2 tych, ktGrzy przeéyli czasy boomu i nadal pracuja w IT, przyjela po- przygotowanie do awarii aby-aby". Ludzie czesto mowia: Pale jes cof tak Zywotnie wainego dla firmy. chose’54 ‘Active Directory ~ odtwarzanie po awarit ozizit 2. Zasady projektowania uslugi Active Diseetory 55 Dokumentacja Rordzial Lawartosé “Girone grulowe ——Tylkotyul dokument, dal, nzwisko autora, ewentualnie mor 7 wersji u dolu, soba z zewnatrz ma wykonaé projekt zwiazany z AD i chee zasiegngé informacii s Na osobnej stronie, bedzie to wyeladato profesjonalnic. zamiast segregatora z dokumentacja otrzymuje mentora lub kumpla, ktGry omawia = Col Krotki opis, ezego dotyezy dokument. katastofe” w testowanym urzqdzeniy Tub narzgdaiv i wykonaé caly proces si.di] zZdaceylo sig to dwa razy w frmach, w kth praeovalem. Fimy te zsinwe- aly due fundusze w tworzenie plana DRP i uzyskany plan preetestowaly raz. iégo szkolenie. Jest to sprawa o wielkim znaczeniu dia firmy i im lepiej ten proces zebiognic, tym szybcie} system bedzie. w.przyszlosci odtwarzany. Dzigki temu ownicy mnie} odezuja skutki awarii, a preynajmnie) przest6j bedzie modliwie dwéch pierwszych proces6w testowania. Usprawiediiwienia czy prosby 0 zwolnienie z udzialu w testowaniu kogokolwick Gdy spytaiem 6 plany BCP i DRP, zobaczylem obojgtng twarz, méwigea: ..Tak, io jest ujgty w instrukeji odtwarzania, sq nio do preyigcia, gdyi. w realnym Zyciu nié ikiy cos takiego”. W koricu ktos wyciagnal brulionowa wersjg z archiwalne} ; g ki, Po dwéch tygodniach’ poszukiwas znalazlem te plany w ciemnym i zapo- strony, trzeba zawozasu podaé termin testowania wszystkim zainteresowanym. Nale#}!"f. mnianym miejscu lokalnej sieci, Niedobrze,Unw6rzmy dzial na stronach IT w sieci lokalnej, wydrulcujmy i wreczmy Kaddemu; zawsze przesylajmy e-mail z aktualng wersja do o86b, kt6re powinny jq znaé, Koniecanie treba réwniez praechowywaé gdzies na ze- wnquz aktualng pelng wersjg planu DRP i powigzanych z nig dokumen- t6w, a takée kopie oprogramowania dzialajgcego w firmie. Takie przecho- ‘wywanie poza siedziba firmy planu DRP w postaci drukowanej i elektro- icanej mote daé, ogromng oszczednos czasu i pienigdzy, gdyz dzigki temu w razie awarii bedzie wokGl wiele kopii. f my bedzie wiedzialo, w co zainwestowalo czas, wysilek i wydatk. jeden serwer itd. W planach DRP i BCP naledy jasno okresli¢, co ma byé odtworzone i w jak kolejnosei najpierw podstawowy kontroler DC w lokacji centralnej (hb), nastepn pierwszy kontroter DC, potem drugi, nastepnie kontrolery w lokacjach regionalnyd itd. Jedeli w AD uéywany jest uyb ADAM (Active Directory Application lrzeba rozwatyé i rozstraygngé np. takie kwestie jak ta, w ktérym miejscu ma by codeworzony ten tryb, Jesli rozprzestrzeniono aplikacje do daialu opierajgcego sig trybie ADAM, to przed odtworzeniem lub ponownym zainstalowaniem tej aplika tuzeba odtworzyé tryb ADAM. Wigce} informacji o nim znajduje sig pod adrese http://ww.mi crosoft.con/windowsserver2003/techinfo/overview/adan.nsp plikacji i bledy synchronizacji moga doprowadzi¢ do takie} same} sytuacji, jaka byla przed rorpoczgciem odtwarzania, a nawet gorszej, jesli nie bedzie koordynacji i ky nosei. Powrét do prezentagji dla zarzadu czasy przestoju. Gdy zarzad przekona sig, Ze naklady na te implementacje nie zos zmamowane, poprosmy 0 zatwierdzenie i ustalenie, ze ,Plan odtwarzania Acti Directory po awarii” bedzie norma obowiqzujaca w fitmic. Od tego ezasu bedziemy znani jako ..udzie od odtwarzania po awari praca w razie awarii bedzie o wiele tavwiejsza. jimplementowania planu DRP. Wiedzac, jakie sa poprawne procesy (nawet jesti yéaja nam sig dzivne), a nastepnie wykonujge je, oszczedzamy wiele wysilku, Jesli mamy wyszkolony zespot i plan uwagledniajaey kay krok odtwarzania, 10 as przestoju bedzie minimalny, a jesti przest6j spowodowalo zdarzenie zupetnie od niezaleine, np. kleska Zywiolowa lub ,czlowiek ze Stubokretem”, to kierownictwo W ksigéce nie przedstawiono pelnego przewodnika, jak implementowaé ,Plan rarzania AD po awarii”, ale 2 pewnoseiq pokazano dobry kierunek i dobra drogeWzmacnianie odpomosci ustugi Active Directory na uszkodzenia ‘Active Directory ma wysoka redundaneje (czyli nadmiarowoss zwiekszajaca nic- awodnosé systemu) oraz zdolnos¢ do pracy w trybie awarii serwera glownego, dy _ jozo zadania przejmuje serwer zapasowy (failover). Istnieje jednak mo2liwos¢ dodania mych cech, kiGre moga zwiekszyé zdolnosé do pracy w warunkach pospolitych 6, operatora czy innych zaklécajgcych zdarzess "by poméc w zwickszeniu odpomosi srodowiska Active Directory na zdarzenia na nie wplywajace, w tym rozdziale rozwazymy zagadnienia zar6wno bezposted- ppowigzane (implementacjc), jak i niebezpasrednio powigzane (procesy).. istawowe koncepcje bezpieczenstwa ‘by poziom, zabezpicczen.AD byl taki sam W caiej firmie, trzcba mieé sensowna pcig zabezpieczen dla AD i kontroleréw DC. Podstawowe zabezpieczenia nusza ‘godne, ze:strategia zabezpicczesi w calej firmic, ale sq pewne czynniki, ktOre ' rozwaiyé i odpowiednio zaimplementowac. ‘ategia zabezpieczania domeny tandardowa asada zabozpicczania domeny zawiera domysdne wartosei, kere jelu firmach sq dosé lagodne. Zdecydowanie powinno sig zmieni¢ niekt6re 2 nich.4 Active Dietary darn o swat | glondil 4 Wamacnianie opomote sug Active Directory na usskodzia 15, powinno sig przynajmniej zmienié Password Policy (strategia haset), Aecount Loc ‘out Policy (strategia blokowania kont) i Kerberos Poliey (strategia uwierzytelniania), tore sq ustawiane w aplecie Default Domain Security Settings (domysine ustawi nia zabezpieezefi domeny), jak widaé na ponizszym ekranie. | porwnie dzialajgey DNS, poniewad stanowi on podtawe tej wlugi. Sytem DNS. _ hal w zabezpicczeniach pevine luli, ktére byly wykorzystywane. Z punk widzenia = dopodobnie najlepsze miejsce do zaatakowania uslugi AD. Najskuteczniejsze metody | aberpieczania DNS przedstawione sq w bialej ksigdze Microsoftu dotyczqce) zabez- = pieezania srodowiska AD, w rozdziale 6. (http: //technet2.microsort.con/windows- | gbrver/en/library/ccletf0a-3a9e-4642-8a7d-Gb2e16461¢711033.mspx). Jednym ze sposob6w ataku na DNS jest spowodowanie odmowy ustug (Denial Service ~ DoS). Na przyklad przez. wywolanie nadmiemego ruchu moana osiqgnaé DNS, ‘modyfikacja zapis6w w jego bazie, co powoduje nieprawidiowe odpowiedzi na ania Klient6w. Caly ruch jest w6wezas kierowany do maszyny atakujqeego, kisry "node spowodowaé wiele probleméw. Preykladem mode byé kolekoja hasel (atak typu password collection). Jes zapisy uéywane preez klienta Zqdajqcego dostepu do kon- olera zostang zmodyfikowane, to 2qdania uwierzytelnienia beda przckazywane do niszyny wskazane} przez atakujqcogo. Ten rodzaj ataku zwany jest ,Man in the fiddle” (calowiek na skreyzowaniu), poniewad ruch jest kierowany najpierw gdzic zie}, a dopiero potem do poprawnego miejsca przeznaczenia. Atakujacy bedzie “inbel przejaé caly ruch za pomoca programu-szperacza (sniffera), Ki6ry pozwala Kontrolowaé rach w sieci i odfiltrowaé zakodowane hasta, a potem je ziamaé. To zywiseie bardzo prymitywna metoda ataku i kradziezy hasel, ale taka modliwoss aticje Taki atak nie jest latwy do preeprowadzenia, poniewad wymaga dostgpu do na- j Wewnetrznej sie, jest jednake mosliwy. je sq bezpostednio powigzane ze wzmocnieniem odpornosci AD. Jednak odpowii ie ustawienia hasta, blokady oraz okres6w trwalosci moga zapobiegaé prymitywnyt troleréw DC serwerdw od réinych dostawcéw (producent6w) mozna uznaé: za: do puszezalne (choé treba w6wezas sprawdzié poprawnosé drialania ré¢nych ik6w w wielu scenariuszach), zawsze jednak powinno sig wybieraé najnowsze. st bilne sterowniki ~ co nie 2naczy, ze musza byé najnowsze w og6le — od dobrze znai 20 producenta, ‘ Ponadto powinno sig zapewnié, by wszystkie kontrolery DC mialy ten sam po vviom fat i ten sam poziom Service Pack, Dzieki temu nie adarzy sig, 2 pewne ula twienia bedq dostepne nia jednym Kontrolerze,'a iiedostepne na innych; nie bed take ryzyka niekompatybilnosci lub pojawiania sig innych Bled6w w dzienhiku Evett Log. 4 Zalecane przez Microsoft ustawienia zabezpicczen, w szczeg6lnosci dla kontrol r6w DC, mozna znaledé w podrgczniku The Microsoft Windows 2003)Sec w wwaliale 5, (Lip: //mmm.wicrosurt.con/Lectnel/secur tty /pruduech/window server2003/w2003hg/s3sgch0S.mspx). Mozna wdrozyé niekt6re 7 tyeh- zabezpie: exes a inne dostosowaé do konkretnych potrzeb. ; pWiny tylko przez Klienta bedacego jego wlascicielem, jest opcja Secure Only jana z konsoli DNS (patrz ekran na nastepne} stronie). i Kt6remu_serwer, DNS nie dokona rejestracji nowych adres6w IP, jesti nie ma tajnego khucza wygenerowanego podczas pierwszej rejestracji. W systemach indows 2000 i Windows 2003 mechanizm ten jest zainstalowany jako domysiny ez waenych powodéw nie powinno sig tego zmieniaé. Jesli zmieni sig opcjg na lub Non-secure and Secure, to powstanie mozliwosé tworzenia fikeyjnych16. zapis6w DNS przez Klienty spoza domeny, co bedzie powodowaé odmowe ushujys a trefy AD Integrated Zones (strefy zintegrowane Active Directory) (DoS) lub zatrucie DNS. Festi ataki DoS maja na celu wyczerpanie preestrzeni dysk ‘wej, to replikacje beda skrajnie spowolnione, poniewaz pliki Zones beda ogromne. z kolei zattzyma replikacje danych w AD. Widaé tu, 26 prosta rzecz. moze spowod : waé sekweneje szkodliwych 2darzes. Opeja Split Zone DNS “pibrary/66add8?a-0348-40c4-94d1-6468127290881033.mspx). Taka strategia im- entaeji DNS jest bardzo korzysina przy odtwarzaniu AD po awarii, Umodliwia cing integracje z Active Directory, a wigc baza DNS jest rozproszona i replikowana iki stref DNS w plikach replikacji i danych uslugi AD. W zalednosei od wybrang} peli mozna rozsylaé pliki do wszystkich serwersw DNS w AD, do wszystkich kon- DC albo zaréwno do serweréw DNS, jak i do kontroleréw DC, jesli kontrole- ‘sq jednoczesnie serwerami DNS. Z, konsoli DNS mozna integrowaé strefy 2 AD usuwaé je calkiem tatwo, jak pokazano na ekranie. Opeja Split Zone DNS to opcja rozdzielenia wewngtrznych i zewnetrznyeh s6w DNS. Jesli w firmic uzywana jest taka sama nazwa DNS dla Active, Directo i dla Internetu (a tak jest w naileorp.com), to powstanie wewngtrzna infrastruktut DNS, zawierajgca wszystkie wewnetrane rekordy nazw w AD, i zewngtrzna stcu DNS, zawierajgca tylko zapisy DNS dla uzytkownikéw zewnetrenych: nailcorp.com czy vpngateway .nailcorp.com, zgodnie z kt6rymi goscie maja dost do strony WWW, a e-maile moga odnaleZé droge, podczas gdy zdalni uzytkowni ‘majq inna, bardziej przyjazna nazwe dla dostepu do wirtualnej sieci prywatne} VP dami dla zewnetrzne} domeny naileorp.com, nikt z zewnatrz nie bedzie mégt roz’ zaé nazwy intranet naitcorp.com, do0.naitcorp.com ani Zadnej inne} wewnetrzne}. Odelonigcie wewngtrenych rekordéw nazw DNS da mnéstwo informacji demu, kto bedzie prébowal sig wlamaé do naszej sieci i naszej AD. Jest szybkosé transferu migdzy wszystkimi serwerami DNS jest wystarczajaca, by uzyskaé efektywne relacje zaufania i przeszukiwania migdzy wszystkimi8B Active Directory ~ odtwarzanie po awa jal 4. Wzmacnianie odpornosei uslugi Active Directory na uszkodzenia 9 domenami w jednym lesie — warto przesylaé pliki strefowe do wszystkich serwerd nig bedzic Zadne} alternatywy i nie beda one mieé serwera DNS obslugujgcego ich DNS w lesie. Jesli mamy due lokalizacje 2 wieloma dynamicznymi aktualizacjan, 44 gdania: Jesti instytuoja ma kilka lokalizacji, to wt6my serwet DNS zavsze powinien takimi jak aktualizagje DHCP (Dynamic Host Configuration Protoco}, to mozagip pyéluthieszezony w innym budynku, a nawet w innym miescie. Jesli serwer wtémy rozwaiyé utworzenie stref skrétowych w podstawowym serwerze DNS dane} dome: Dzigki nim nie bedziemy tracié cennej transmisji na replikacje wszystkich danyol DNS do wszystkich serwerdw przez caly czas, a klienty i tak beda, rozpoznan ‘wszystkie nazwy klient6w, poniewaé klient ,patr2y" 2 wlasciwego serwera DNS. ‘Traeba jednak pamigtaé 0 tym, ie aby umodliwié tryb pracy serwera rezerw ‘wego (failover), serwer DNS powinien mieé partnera, do Ktérego ta strefa bedzig replikowana, Moze to byé wt6my serwer DNS albo serwer DNS zintegrowany z ale powinien byé umieszczony w innej lokalizaeji. Serwer wt6my DNS odnosi sig. do tradycyjnego modelu DNS, w ktérym jest jeden serwer podstawowy i szereg werdw wiérnych. W tym modelu aktwalizacje byly przeprowadzane na serwer podstawowym, a potem na 2adanie replikowane do serwerdw wismych, Stefy zintegrowane z AD sq w rzeczywistosci praechowywane w pamigci A wokonywane w addy Kontlerze DG. a nasienie replikowane do wszystkidl innych kontroler6w w infrastrukturze. Daje to racze} niewielkie korzySci, lecz. pozwal zmnicjszy6 sieé przez. polaczenie replikacji DNS z replikacja AD i zmniejszyé rach, Poniewaz informacja DNS jest czeSciq AD, do zabezpieczania rekordéw DI ‘modna zastosowaé niektére 2 zabezpieczett AD, takie jak listy ACL. Poza tym dodi wane rekordy sq automatycznie replikowane do kazdego nowego kontrolera domei ‘whérny sonar DNS ‘zdanymi AD i moga byé podobnie odtwarzane, windiachLNiemezech Konfigurowanie DNS do dziatania na serwerze ae Domena india.naitcorp.com rezerwowym po awarii serwera giéwnego bs a ‘dna brinlicorp.com (iryb failover) ai Domena branaap.com Mechanizmy przygotowywania do.trybu failover sq budowane w DNS od mego poczatku, poczawszy od modelu podstawowego i wt6mego. Oznacza to, ze j podstawowy serwer DNS preestanie dziataé, serwer wtémy przejmie dziatanie i komputera powie na Zadanie Klienta, co najwyzej z pewnym op6énieniem, PiBGlé i icier: re cto! Problem zazyna si od dostrcenia Klenow adress IP wieego srwera DNGE Meter z¥SteO (Protoké! DHCP) w Active Directory Crgsto serwer wiémy, a nawet trzeci, sq umieszczone w tej samej sieci i w tej same} “Piotok6| DHCP (Dynamic, Host Configuration Protocol) ma wiele funkeji, lokalizacji, Diatego wadne jest miejsce wystapienia uszkodzenia. Usskodzony t2c2eg6lnodei pozwala wakazaé Mlientom, jak majq uzyskaé dostep do sieci. Aby towo jeden serwer DNS moina latwo zastapié serwerem wtémym i klient niczego nig) F_'6c obslugiwac adresy IP, serwery pracujqce w protokole dynamicznego konfiguro- wwykryje, ale juz awaria calego pomieszczenia z serwerami spowoduje, Ze dla klient6¥ Wahid musza byé najpierw autoryzowane.oe Aetve Dene - snap Poet Rozdzia 4. Wamacnianic odpornosei uslu Festi aktwalizowanie rekord6w DNS na podstawie adresw IP ma pracbiegaé prawnie, to protoké! DHCP powinien byé scisle zintegrowany z serwerem. DI ci temu Ww czasie awarii nie-zostang utracone wszystkie uprawnienia administra domeny, jesti nawet Konta administratora zostang zniszezone, | Kady administrator powinien micé dwa konta w domenie: jedino do codzicnnego yiki i drogie, ktdre jest czeseiq grupy administracyjne}, do kiGrej ten administrator rnilede6. Jesli-zadanie wymaga uprawniet administratora przedsigbiorstwa, jak np. jioryzacja certyfikata, to administrator powinicn sig zalogowaé za pomoca konta iministratora i wykonaé to zadanie. Dzigki temu codzienne konto administratora nic nie powodowaé Zadnych przypadkowych akcji w domenie lub lesie, poniewa po nie bedzie mialo takich uprawnies. “ Weind jeszcze zbyt ezesto personel pomocniczy otrzymuje wy2sze uprawnienia, storys potracbne, zy esto talkie ni est tosowane delegowanie = 5 é EB stal poprawnie autoryzowany i e7y cala potrzcbna konfiguracja sic’ jest w obszarz | serwerdw DHCP. W takich warunkach klienty beda zawsze mieé dostgp do AD. Dane serwera DHCP, np. dzieréawy adreséw, nie sq replikowane wewnatre 'Natomiastreplikowane i znane w AD sq szczegétowe informacje o tym ktdre 8 musi byé poprawnie skonfigurowana i autoryzowatia, “© Dobrym rozwigzaniem te} kwestii jest uzycie opcji Restricted Groups, bedacej iq Group Policy, pozwalajacej na zdefiniowanie specyficznego dostepu do okre- je grup lub Kont dla okreslonego wezia w AD. Restricted Groups moina znalezé Scista kontrola uprawnien i delegacje Administratorzy schematu, czyli druga grupa, moga modyfikowaé schemat AD Nie majge innych praw administratorsw domeny, moxa spowodowaé zamgt zmodyfikowanie schemata dla swojej wygody. Trzeba pamigtaé, ze zmian schem na og6t nie da sig cofnaé. ‘Administtatorzy domen ~ ostatnia grupa — maja pelne prawa do wszystkie ii wszedzie w domenie lasu. Moga takée przejqé wlasnosci plikéw z dowolne} masz ie Dacpovet mote tez byé podyktowane wzgledami operacyjnymi — i to jest z najezestszych powod6w, gdyz oznacza, Ze ustugi hostingu lub inne ustugi _ Powodem delegowania moga te byé wzgledy prawne, gdy np. pracownicy KtGrych kraj6w lub regionéw nie moga mieé dostepu do pewnych czgsci naszej icuury.82 Active Directory ~ odewarzanie po aw en/1ibrary/6f8a7¢80-45fc~4916-80d9-16¢6d46241791033.mspx?mfr-true). DI tego jesli potrzebna jest calkowita i granulowana izolacja, trzeba rozwayé stra x wieloma lasami. Przez stosowanie delegowania probuje sig uzyskaé jeden 2.tych dzajéw izolacji. Autonomia pozwala administratorom niczaleznic zarzadzaé cx lub calosciq Active Directory lub je) obiektami. I2olacja pozwala administratorom Unie: mo‘iwié innym administratorom dostep do czesci lub calosei AD lub zarzqdzania ni Autonomia to prawdopodobnie najczestszy rodzaj delegacji w wielu organiz cinch handlowych, natomiast izolneja jest czescie} wéywana w wielkich migdzyna dowych Korporacjach lub te% przedsigwzigciach militamnych. Jednak oba rodza delegacji sq wzywane w jednym i drugim przypadka. Gay juz ustali sig, Kt6re zadania maja zostaé delegowane, np. resetowanie ha przez, pracownik6w helpdesku, mozna to latwo wykonaé z konsoli Active Directory Users and Computers, Klikajqe prawym przyciskiem wybrang jednostke OU i wybi rajac opeie Delegate Control. Otworzy sig okno kreatora, kt6re umodliwi przekazan ‘okrestonych praw okrestonym uzytkownikom lub grapom uéytkownikéw, jak wi na poniszym ekranie. ES ih jednostek OU. Jesti okreslonym jednostkom OU przypisano pewne zasady ip Policy, a teraz zostang do nich przesunigte inne jednostki i nikt od razu tego 0 str2eke, 10 moze powstaé zamieszamie i chaos, zanim ktos sig zorientuje, Najgorzej Oméwimy teraz poprawne delegowanie praw wiytkownika, majgce na celu: ekazanie pewne) grupie, np. DE_Admins w nailcorp.com, pelne} Kontroli nad nostka OU, zezwolenie grupie os6b DE_PowerUsers na tworzenie nowych wayt- gnik6w i dodawanie ich do grup wewnatrz jednostki OU, a w kovicu zezwolenie jie 086b DE_Support na resctowanic hase! wéytkownikow. W pewnym sensie i i pierwszy poziom utrzymania organizacji. slegowanie petnej kontroll grupie uzytkownikéw Aby daé grupie uzytkownik6w peng kontrolg nad jednastky OU, trzeba po prostt ola rato Deegat Control z menu kotekiowego, Ke pojawin sig po Kiki, ¢ “el onto, w tym preypadku DE_Admins, i Kliknaé Next. Na nastgpnyin ekranie{ i t i i 84 _ondzial 4. Wemacnianie odpomosei uslugi Active Directory na uszkodzenia 85 Nastgpnie nalezy wybraé This folder, existing objects in this folder, and ereatio -p Pray udzielaniu pozwolen-grupie niektére czynnosei traeba wykonaé recznie — of new’ objects in this folder (kontrola nad obicktami istniejqcymi w tym fol | wybraé Advanced Features (opoje zaawansowane) z menu View (widok) w AD itworzenie nowych obiekt6w), jak pokuzano na poniszym ekrane,iikna@ Next. 44 fag and Computers, nasigpnic wybrac wlasnosei dane} jeduostki OU, preisé ma dk Security (zabezpiezenia) 1 kllkngé praycisk Advanced (zaawansowane), hiywamy tych krokow tylko dla upewnicnia sig, 2¢ delegacja zostala wykonana (patrz ‘elie Dkectr Objet Typo Inds sepa a cu arto obiekt6w podrzednych), klikamy Full control (petna kontrola), a potem Next. Po} ‘ano to na ekranic, q legowanie ograniczonej kontroli Prayznanie grupie os6b nieco mniejszego zakresu kontrol jest juz troche bardzicj plikowane, gdy2.jezeli nie przyzna sig pelne} Kontroli, to grupa domysinic nie je miala Zadnych uprawnies. W.celu delegowania grupie os6b pelnych praw inistracyjnych trzeba wykonaé opisane poprzednio kroki, aby otworzyé krealor legowania, Nastepnie wybieramy grupe DE_PowerUsers i klikamy Next. Teraz eramy Delegate the following common tasks (delegowanie nastepujacychCreate, delete and manage user accounts ((worzenie i usuwanie kont waytko nia oraz zarzgdzanie nimi) : Reset user passwords and force change at next logon (resetowanie has} ‘ytkownika i wymuszenie zmiany pray kolejnym logowaniu) ‘Modify the membership of a group (modyfikowanie czlonkostwa w grupie) ‘Create, delete and manage an inetOrgPerson account (tworzenie i usuwanig ont inetOrgPerson oraz zarzqdzanic nimi) : Reset inetOrgPerson passwords and force change password at next Io (resctowanie kont inetOrgPerson i wymuszenie zmiany haset przy kolejnym lo. ‘gowaniu) e él spowoduje, Ze grupa bedzie mogla zarzadi ‘wszystkimi aspektarni kont uzytkownikw wewngtrz AD. Czlonkowie tej grupy ‘odnosnika do GPO itp. Po wybraniu tych zadaf Klikamy Next, a potem Finish. Gay teraz. w celu sprawdzenia ponownie wykonamy te kroki, to zobaczymy, grupie DE_PowerUsers (GROUPDELEGATE 5) zostaly przypisane odpowied uprawnieni Oita zy omévionyeh | nab) ogranicons ope Jo ska do _gacomitw ponesicryh sjiargo posioms, Kqeh chee apowabme ik Grows hae wytkovnlkow | do nczeg wie). Wary ane opie po Aby delegowaé personclowi pomocniczemu resetowanie hasel, nalezy wykonaé otwierajqce kreator i wybraé grupe DE_Support. Z ekranu Common tasks to gate (zadania delegowane) wybieramy tylko ponizsze dwie opcje: «Reset user passwords and force change at next logon (tesetowanie hase! , waytkownika iwymuszenie 2miany przy nastgpnym logowaniu) Klikamy .Next, a potem Finish i znowu upewniamy sig, ze pozwolenia sermissions) sq teraz przypisane grupie DE_Support (GROUPDELEGATE 6).. DE-Suopl NAL fos Pane DE-Sumpot MALE” Ronse DeTSepat MALE Nerd Peron| 88 “Active Directory ~ odtwarzanie po 8 tory na uszkodzenia 89 spos6b, Ze ich opisanie wymagatoby pelnego rozdzialu, jesti nie calej ksigzki. W.tygpf parzedzia badania korelacji pozwolg przesledzié caly proces i otrzymaé doktadny liste micjsct cheemy tylko pokazaé, 2 zwykle zadania mona latwo delegowaé i if yskonanych akeji wraz.z dokladnym okresteniem czasu, To daje potgine narzpdzic w srednich i duzych firmach koniecznie tak trzeba zrobié. ledzenia wewnetrznych dzialai, odtwarzania po awarii, identyfikowania akcji, "pawet dostarezania materialu dowodowego organom prawaym w preypadku akeji Centrainy dziennik zdarzen rozwiqzania komercyjne sq kosztowne, jednak na diuészq mete po- jadanie ich mote byé ogcomnie cenng rzecza, bo trzeba wzigé pod uwagg roboczog0- jny tracone na sledzenie prayczyn nicudokumentowane) zmiany albo poszukiwanie “jisdla, z kt6rego zostalo dokonane skasowanie obiektéw. Za jeden z najlepszych _produktow komercyjnych najwyészej klasy uwazany jest program LogLogic, ktéry nie “ymaga instalowania programu agenta na, kaidym kontrolerze DC. Jest to bardzo " Jorzysine, edyé na og6l pragniemy unikna¢ instalowania dodatkowego oprogramow:- ‘na stabilnym Kontrolerze DC. Innymi produktami dostepnymi za darmo sq Splunk ‘Snare Client, kt6re niestety wymagaja agentéw w kontrolerach DC. Jednak réi- " njgay, Kosztach jest bardzo znaczna, nawet jesli policzy sie ceng przeznaczonego na piennik serwera, KiGry bedzie pouzebowal duzych ilosci pamigci dyskowej ~ ilosei zaletinej od naszej infrastruktury. ~Z punktu widzenia AD Srodowisko zawierajgce 15 kontrolerGw DC i 3000 wiyt- ownikéw moze co dzieri produkowaé od 3 MB do 500 MB danych do dziennika; Gy dochodzi do wykrywania i rozwiqzywania probleméw, d2iennik zdarzet jeq najlepszym przyjacielem administratora, Cho¢ niekt6re komunikaty 0 bledach nie tak jasne jak powinny, to jednak baza wiedzy (Knowledgebase) Microsoftu otig eventid.net sq cennymi érédlami rancajacymi Swiatlo na tajemnicze komunikaty. W systemic Windows 2003 istnieje modliwos¢ robienia audytu i:zapisywa w dzienniku wielu czy¥nnosci wewnetrznych AD, poczawszy od dostepu do pliké skoriczywszy na dostepie do obiektéw. W naszej organizacji, ze waeledéw prawnyéh lub ze wzgledu na stosowana strategie, moga obowiazywaé pewne reguly prowadzenis audytu i dziennika, Wowezas przechowywanie kazdego % nich jest problematyczn poniewad treeba by je kopiowaé na kaddy serwer. A potem sprawdzaé wyniki aud i zapisy w dziennikach na wszystkich serwerach, co jest cigzka praca, jesli mani ponad 10 kontroleréw DC, zwlaszeza gdy sq rozmieszczone na calym swiecie, w mi seach gdzie godziny prace sq rééne. |W wigkszych srodowiskach skala moze dochodzié do dziesigtek gigabajtéw i nnie. Poniewaé. sq to dane w postaci niezaszyfrowanej, mozna je bardzo dobree ozostajqe w jednym centralnym punkcie. Istnieje wiele komereyjnych i kosztownye ompresowaé, ale i lak trzeba zapewnié niezbedne srodowisko do operowania taka importowany do centralnej bazy danych i latwo odezytany. Wada tego rozwig polega na tym, Ze nie ma ono wsparcia, a zaawansowanych modliwosci raczej bri albo sa trucine do'zaimplementowania w systemach, ktérym poswigcony jest ten teks System Windows Server 2008 razem z Windows Vista zawiera narzedzia do pro\ dzenia dziennika centralnego i pewne mozliwosei komercyjnych aplikaeji, W ko co nie najmnie} wazne, wiele pakiet6w systeméw-zarzadzania takze zapewnia tak moiliwosci. Gay zapisy dziennikéw sq ju? zapamigtane centralnie, to korelowanie: dany 2 driennik6w pozwoli wyszukiwaé powiqzane zdarzenia i laczyé je, a wige w ten Wydaje sig, Ze w' malych i Srednich firmach to dziat IT deeyduje © Zmianach, re maja byé dokonane w infrastrukturze. Zmiany te moga obejmowaé promowanie yer6w aplikacji i kontrolerw DC. - Ponadto na og61 panuje zwyczaj ,poinformowaé menadéera IT i koniec". Gdy ‘administratorzy uslyszq 0 zarzqdzaniu zmianami, to sq temu przeciwni, ponic~ Nad dostrzegaja dodatkowa biurokracie. | Aby jednak zapewnié petna odpowiedzialnosé i wlasciwe zarzqdzanie infra- rukturg IT, potrzebne jest zarzqdzanie zmianami. Wprowadzenie odpowiedniego nowiska w strukturze organizacji uchroni infrastrukture przed wypadkami i niena- rowanymi zmianami, ktére moglyby doprowadzié do pojawienia sig probleméw90, Active Directory ~ odtwarzanie po awati Na og6t proces moze wyzladaé jak na nastepnym rysunku. Kierownicy to kig rownicy dzial6w w firmie, menadzer IT i menadzer daialu finansowego. Wadne j by o zmianach informowaé udytkownik6w, kt6rych to moze dotyeryé. Chociat mote sig wydawaé, 2e wlasciwe zarzqdzanie zmianami op6énia spr ww stosunku do tego, do czego bylismy przyzwyezajeni, to takie opinie bed zanil sonelowi Zarzadzanie zmianami obejmuje réwiied ustalanie wlasciwego harmonograii zanian, dzieki czemu mozna zmniejszyé ryzyko konilikt6w, jakie wynikaly inaych zmianach, a wlasciwie wyeliminowaé 2upetnie to ryzyko. Dzigki zarzqdzat zmianami kadda prosba 0 zminne (REC — Request for Change) trafia do pracownik6y (echnicznych i dzieki temu mozna dostrzec okolicznosei, na kt6re zmiana moie mi ‘wplyw, np. dziatanie okreslonych aplikacji. Mozna dostosowaé prosbe 0 zmiang by umodliwié gladka implementacjg. Trzeba tu takée zauwazyé, ze 2miiny sq dokis mentowane w rekordach zmian (CRs — Change Records) i rekordach zarzadzni zmianami (CMRs ~ Change Management Records). Dzieki takiej dokumentacji bea: moina praesledzié lub sprawdzié, jakie zmiany zostaly dokonane, kto je wykonal i zatwierdzit Wirtualizacja i lokacje opdznienia rematem, na kt6ry dyskutujg chyba wszyscy, jest wirtualizacja — umieszezenie stkich serwerdw w wirtualnym srodowisko, kiGre miesci signa ,.wielkim Zela- ie", ezyliniezwykle stabilnym serwerze, albo skonsolidowanie uslug dostarcza- ch przez killa serweréw w oStodkn filiainym w jedno srodowisko wirtualne. Moze | chodzié nie tylko o jeden serwer, ale caly szereg serweréw goszezqcych kilka yekOw wirtualnych, 2 Ktérych Kady dostarcza uslug dedykowanych. Obecnic viele spOlek wirtalizyje swoje Kontrolery DC, a niektére z nich maja cala intra- Ukturg AD na wirtualnych kontrolerach. Robi sig tak z waznych powod6w, zwlasz- i Ioirych dws AD, ij pike mamy this meat o by mic er cent as over an _ _ Po wistualzngtKontolru DC wirtalny server uéywa zascbow hosta | dyna- ed roe | yy lhe teguluje eapotrzebowanie na maszyne wiring, W wieksz0% produkiGw on Ene RpAGjoh w drodowinka wiraaym moda 28eey dowd, 2 jaklego procentowoge browne ial! w zasobach CPU i pamigci moze korzystaé dana maszyna wirtualna; udziat eh jednak mode byé zmnicjszony lub wykorzystany w inny sposéb, jesli dana ma- aacatl jest nieaktywna lub mniej obcigzona, To powoduje, Ze w czasie szczytowego peter iia; Ap.’ w czasie poranaych lub popoludniowych logowai, trzeba walezyé serene {oby systemu dla kontrolera DC. Natominst gdy serwer jest mniej obcigzony, jego oby moga byé wykorzystywane np. przez serwery aplikacji, dzialajgce w tym jm srodowisku wirwalnym.92 Active Dreetory~ odtwarzanie po await Kopie zapasowe i zrzuty Kolejnym silnym argumentem przemawiajqcym za wirtualizaciq jest tworze kopii zapasowych i zraut6w. Zrobienie kopii zapasowe} wirtualnego kontrolera _ qyala Konfigurowaé infrastrukture konkreine} Active Directory za pomoca wyzod- ~ pego interfejsu. W tym miejscu przez infrastrukture AD rozumiemy wszystkie podsie- ‘w praedsigbiorstwie i wszystkie kontrolery DC. W duéych praedsigbiorstwach liczba podsieci moze nieproporejonalnie szybko sezastaé i spowodowaé balagan, w kt6rym nikt juz nie wie, gdzie jest jaka podsies _Praystawka Sites and Services moze poprawi¢ czytelnosé i ulatwié zarzadzanie pod- dysku twardego przed kopiowaniem, aby zoplymalizowaé kompresjg i wykorzystanig pamigci, a jesli uszkodzi sig jeden kontroler DC, wystarczy odtworzyé poprzedni kopig i usluga bedzie znowu dostgpna. ‘to dzialanie uboczne, podezas gdy gléwne zadanie polega na wlasciwym zarzq- systemu, Przed wprowadzeniem poprawki do serwera wykonuje sig zrzut. Jesli wpro: jt lokalizacjami i przypisywaniu im kontroler6w DC, w taki spos6b aby przy ‘wadzona poprawka sig hie uda, powraca sig do stanu ze zrzutu i wszystko jest przed poprawka, To bardzo szybkie i efektywne odiworzenic, ktéte moze ulatwi ‘aycie administratorom. Obecnie wirualne srodowiska pozwalajg dodac w miarg potrzeby kilka proceso i awigkszyé pamigé, Juz nie trzeba tworzyé nowych pakietSw instalacyjnych dla rézx nych platform sprzgtowych, poniewaz wirtualny obraz kontrolera DC moéna latwo) przeniesé do nowego serwera hosta. Podwyzszanie Klasy sprzelu mamy teraz ul twione, a czesto jest ono konieczne, poniewaz czas dycia systemu operacyjnego jest awykle dluiszy niz. czas Zycia spree. ; ego, serwer DNS. Nastepnie odnajdyje lokacje w DNS odpowindajqcq tema IP ontroler DC, w ktérym powinien sig uwierzytelnié (pokazano to na nastgpnym ekra- Jesli podsieci i lokacje sq wlasciwie zarzqdzane i praypisane, to rich w celu zytelniania nigdy nie powinien wyjsé poza dang lokacje, co oznacza, a zmnicj- Zautomatyzowane instalowanie serwero6w inne maszyny wirtualne, i mozemy skrécié czas instalowania serwera, Wada wirtulizacji jest oczywiscie. koniccznosé poczatkowego, zainwestowania \w sprzet i kosztowne liceneje na oprogramowanie. Jednak VMWare Server i Virtu esac Server firmy Microsoft sq bezplatne i calkiem odpowiedni, dla srodowiska p Messer Konsultacyjnego. Natomiast Microsoft Virtual Server zapewnia pewne wsparcie, na razie nie dla 64-bitowych system6w operacyjnych.94 Active Diretory ~ odtwarzanie po aw 95 Widaé, Ze nailcorp.com ma killa podsieci, « kaxzda 2 nich jest praypisana do j ie lokagji. W tym preypadku wirtualne sievi sq umieszezone w central i w 08 w Niemezech, ‘Aby utworzyé nowa lokacjg, po prostu klikamy prawym przyciskiem myszy gontener Sites i wybieramy New Site. Praystawka Active Directory Sites and Services zawiera r6éne komponenty, i najwaniejsze z nich to podsieci, lokacje i ich Iqeza. Podsieci to po prostu wszystkie podsieci waywane w przedsigbiorstwie, cezym kaida jest przypisana do jednej lokacji, Lokacje AD sq to lokalizacje zawierajgce co najmniej jeden kontroler DC. igcze, DEFAULTSITEIPLINK. W naszym przypadku mamy jud troche tczy, nak nie mozemy utworzyé Site Link, dopoki nie utworzymy Site, dlatego dla sci wybieramy DEFAULTIPSITELINK ii klikamy OK (patr2.ekran). w Brazylii powinna otrzymywaé replikacje z brazylijskiej lokacjt centralnej, to dzicmy mogli utworzyé Igcze tylko migdzy brazylijska lokacjq centralng a nowa filig ‘Tworzenie lokacji, podsieci i taczy lokae|i Kolejnosé tworzenia lokacji, podsieci i lyczy lokacji jest nastepujaca: najpi tworaymy lokacje, potem podsieé, ktéra przypisujemy do tej lokacji, a nastepnic lokacji, dla ki6rego okreslamy lokacje replikacji. Wydaje sig to calkiem proste, jedi mylaey mode byé proces tworzenia lokacji, gdy jestesmy proszeni o wybranic Link, a nie mozemy go utworzyé, jezeli nie mamy lokacjiActive Directory — odewarzanie po awanf dzié informacje 0 podsieci i wybraé lokacjg, do kt6rej chcemy przypisaé ty pods nastepnie klikamy OK (patrz ekran): dw lokacjom, w opeji Subnet Properties (ktéra wybieramy, Klikajge podsies wym przyciskiem myszy i wy! 2 ograniezonego menu rozwijshnego. W en spos6b a pewmo wabierz=my (ko Tokacjg (patrz. ckran). E haze, dodajemy lokacje, kt6re chcemy replikowaé przez. to Iqeze, sige Properties) przypisanic odbywa sig jedyniey ie odpornosci uslugi Active Directory na uszkodzeni 7 _-Ostatnia czynnoscig tej procedury jest utworzenie kycza lokagji. Jak powiedziano joj, mamy juz wiele Iyczy w naileorp.com, ale brakuje Iycza lokacji do centrali azylii, Modna mieé dwa réine tacza lokacji, jedno lacze IP uzywajace zwyklych, ylania poczty elektronicane}. Zwykle uzywa sig iqcza IP, Tak wige rozwijamy niener Inter-Site Transports, klikamy prawym przyciskiem IP i z menu wybie~ y nowe lacze lokacji. Aby utworzyé nowe lacze lokacji, po prostu nadajemy mu Klikany OK, jaszym przypadku sq to Jokacje Head-Quarters i Brazil (patrz ekran). gezy lokacji sq uzywane, edy odiqczy sig mostkowanie migdzy Tokacjanialbo y_Sigci nie ma pelnego wyboru laczy przesylania i pewne lokacje musza sig § poprzez okreslone lqcze. DomySinie wszystkie lokaeje sq mostkowane, to yin’ prayciskiem kontener IP i wybieramy Properties (patrz nastgpny ekran). ‘my pole wyboru Bridge all site links. Nalezy je zaznaczyé, aby nasza sicé Uatwiejsza do utrzymania. Jedna 2 niedogodnosci, jakie powstalyby, gdybysmy ezyli_ mostkowanic, jest to, Ze wowezas musielibysmy dla wseysthicl: lokatji laé lgcza na wypadek replikacji do nich. Oczywiscie pozytywng strong jest to, 2c98 Active Directory ~ odewarzanie po awari Rondzial 4. Wamacnianie odpomosei ustugi Active Directory na usekodzenia 99, motemy rzeczywiseie ulepszyé polyczenia i projekt Igczy w naszej sieci oraz. w pel : : s __ Nastepnie musimy poswigcié dosé duzo czasu na zaprojektowanie harmonogra- do kt6rej i 2 kt6rej lokacji, a nawet kiedy bedg przeprows gm epllac miry lace, ewasazia w prea Joka olezonych wo y népliki kopii zapasowych przez polgczenia prosto 2 Kontrolera DC poprzez.sieé: VPN i dostep zdalny poprzez linig modemowa, a niekiedy nawet poly- ezenie bezprzewodowe 36. sty do taczy kopiowania. W tym momencie lokacja jest juz w pelni skonfigurowana, Wszystko, ezego ae nen are raz potrzebujemy, to kontroler DC. Mozemy czeka¢ na zakoticzenie cyklu replikac bo wéwezas kontroler DC powinien automatycznie ukazaé sig w kontenerze Server albo mofemy sami przeniesé tu ten Kontroler z lokacji, w ktGrej jest teraz umiese czony, i czekaé na zakosiczenic cyklu replikacji, a potem praypisaé Iqeza repliks JeSli mamy dobrze skonfigurowane DNS i lokacje, to nie powinnismy mieé du roboty ptzy Konfigurowaniu kontroler6w i Igezy replikaci Jesli utworzylismy lokacje wezegnic), to tak naprawde instalujemy kontroler vw jakiejg lokacji, po ezym kontroler ten Zostanie natychmiast atitomatycznie przcs nigty do wlasciwe} lokaeji i zostang zastosowane Iqcza replikacj ji moze wybieraé kontroler. Eqcza ,droisze™ zyli nasze stale i zwykle potqezenia WAN, czasu, to kontroler DC be- Iqezenie przez ,,drozsze" Iqeze, w tym przypadku VPN, i AD zyma aktualne teplikewane dane. To nie zawsze da sie zamplamaon bardzo bezpieczna droga uaktualniania kontroleréw na biezqco, zwiaszeza asze przedsighiorstwo jest migdzynarodowe, Aby kontrolery mogly tak dzialac, aédym z nich musi byé zaimplementowana trasa i zdalny dostep, a takée zainsta- iy. modem lub drugie alternatywne pokczenic. _Aby.przypisaé koszt, po prostu klikamy prawym przyciskiem myszy opcje Site yybieramy Properties z Konsoli AD Sites and Services i rozwijamy kontener ite Transports, a w nim kontener IP. Modna ustalié koszt o wiele wyaszy nia Igezeti, Kt6rych kontroler ma uzywaé normalnie, takich jak zwykle polgczenic ‘dzieki temu AD bedzie wybieraé to polgezenie, chyba Ze byloby ono niedo- (patra ekran na nastgpnej stronie), Ustawianie harmonograméw replikacji i kosztow ‘Ustawianie harmonograméw replikacji jest zadaniem, w ktérym wielu admit sitator6w sig. gubi, a dle 2aprojektowany harmonogram mode. wywolaé wyjatko duiy ruch w sieci spowodowany przez nadmieme replikacje Po pierwsze, aby ograniczyé transmisje ze strony uzytkownikéw i daé wie ricjsca na replikacje, bedziemy daiyé do tego, by w kaade) lokacii byl co najmlel jeden Katalog globalny (Global Catalog). Ujemna strona takiego rozwigzania jest de soxwer bedzie zajmowal wigce} zasob6w i Ze poczatkowa replikacia bedzie 2th szona, Natomiast dodatnig strong jest to, 2¢ przySpieszymy inne transmisje, zw! 7 doiyezqee calogo Iasu i innych domen| 100 loL armonoaramy ropliaci w tacorn | i szybkose incr ‘ras repihagh 30 nin gece: 1 Mb —] Lokacjaconranawinach cxas replkacié 2 gode czas Lokagja centrana Lokaga fata plik: 20 min wEuropie wEuropie replkac 1 got egeze: 512 K's Ustalanie harmonogramu \W kontenerze AD Sites and Services harmonogram odnosi sig do okna okrestani czasu replikacji. Jest to proces dwuctapowy. Okreslajgc ustawienia lokacji, najpienif ‘mozemy ustalié harmonogeam replikacji dla iqcza lokacji, a potem liczbe replilkacj godzing. Ustawienia lokacji pozwalajg nam wybraé okienko czasowe (por), w t6 ‘ma byé wykonywana replikacja z tej lokneji do wszystkich innych. Odnosi sig to wszystkich polgczeti tej lokagji i jest specyficzne dla danej lokeji. Domystnie repli acja odbywa sig raz.na godzing. Mozemy dopuscié cztery razy na godzing, wwe: co 15 minut byloby tworzone i inicjowane zdarzenie replikagji w zalednosei od ti liwosci i ustawienia tacza, ae We wilasciwoseiach Igcza mozemy ustawié harmonogtam okrestijaty, Kiedy 3 -konaé replikacje pomigdy lokacjam ico ile minut replikagja ma byé inicjowana. Najlepszym sposobem rozpoczgcia projektowania replikacji jest naryso struktury na papierze lub np. za pomoca programu Microsoft Visio i wizualne pi stawicnie projekiu polgczett i harmonograméw. Gdy juz mamy preygotowany sct mat, mozemy yo doleryé do dokumentacji, a nawet mode on stanowié podstat dokumentacji. Jesti nasz schemat bedzie jasny, a czasy bedq obliczone wlasciwie, bedziemy mieé bardzo gladki preebieg cykiu replikacji. Oto maly przyktad taki schernatt, Problem pojawia sig, gdy harmonogramy replikacji sq ,wzigte 2 powietr2a", 210- -w pospiechu i bez. dokumentacji. Maly blgd konfiguracji dla lokacji z powoinym gzem moze spowodowaé nicustanne replikacje, ktére beda zapychaé polqczenia, kt nie bedzie wiedzial, co jest powodem, dopoki kto$ nie przeanalizuje harmono- Na formule matematyezna okreslajaca dziatanie harmonogramu sktadaja sig: in- ial ezasowy, Ktory ustawilismy (w naszym przypadku wynoszqcy = 3 godziny), liczba replikacji na godzing (n). Jesli okno replikacji ma 8 godzin (od polnocy do }rano), to aby unikngé replikacji w czasie godzin szezytu, otrzymamy maksy- 14 Hiczbe replikacji réwng 4. Oto objasnienie: okno replikacji ma 8 godzin, ale replikowaé co 3 godziny, co oznacza, ze mozemy ustawié tylko 3 replikacje “tym okresie, poniewaé kolejna replikacja bylaby po godzinie 9:00 rano, a wige poza “dbszarem naszego okna,rere aos hans8,Podcais was sungpug okae reqeccrnaes> 0 6:00, kt6re drieli sig na dwie czeSci: od 6:00:01 do 6:29:59 i od 6:30 do 6:59:59. Licenik oka replikacii, w tym preypadku wynoszacy 3 godziny, rozpocayna sig cod pocrate ostatnie} replikacji ezyli od 3:00, W ten spes6b nastepne okno replikag rozpoczyna sig 6 9:00. Poniewad to jest juz poza dozwolonym oknem, nastepny lied, nile rozpocznie sig od 0:00:01 nastgpnego dni Harmonogram replikacji dia lokac|i Harmonogram replfkacj dla lokseji pozwala jedynie okesti i'w ktérym oknie czasowym moga odbywaé sig replikacje z tej lokacji. To nie wplywi na replikacje wewnatr lokagj, czyli na replikacje migdzy kontrolerami umiesze nym w te same) lokaeji Aby otworzyé wlagciwosei harmonogramu, otwieramy Active w naszym przypadkn bedzie to Brazil, i nastepnie dwukrotnic Klikamy biekt NED Settings w prawym oknie. Powinien ukazaé sig ponizszy ckran. | ame ia SA atten AS toulziel 4, Wamacnianie odpomose uslugi Active Directory na uszkodzenia 103 inemu Kkolejkowaniu replikaeji na godzing (None, Once per Hour, Twice per _ Musimy wybraé tylko jedng opej razylii nie moze wystepowaé w gods ysiné sig 2 razy na godaing. Aby tak ustavié replikagje, musimy najpierw kliknaé All w lewym gémym rogu, a nastepnie Twice per Hour (patrz ekran). -wybieramy zakres od 8:00 rano (po lewe} stronie ekranu) do 6:00 po polu- (po prawej), od Monday do Friday. Modemy klikna¢ i przeciagnaé kursor az do Gay prostokat jest wybrany. po prostu klikamy None po prawe} stronic. ‘To xduje, wyzerowanie okna (jak na nastepnym ekranie). Teraz klikamy OK,104 a potem.w NTDS Settings znowu OK, Mamy teraz ramke godzin w oknie harmong ‘gramu zdefiniowang tak, jak cheielismy. Harmonogram dla iqoza Hlarmonogram dla iacza oktesla sig za pomoca interfejsu bardzo podobnege do it {ejyu sluzqcego do ustawiania harmonogramu da Tokacji. Jak powiedziano wy2e},n cotworzyé harmonogram dla kyeza we wiasciwosciach iacza, kt6re otwieramy, prawym przyciskiem myszy Kontener IP w Inter-Site Transports, nastepnic.klkalg preycisk Change Schedule. Tutaj po prawej stronie mamy tyIko die opeje: Rey ‘Available (replikacja dostgpna) i Replication Not Available (replikacja niedoste ‘Okno teplikaeji wybieramy podobnie jak we: wlasciwosciach lokacji. Jednak, domysta ‘harmonogram wskazuje, 2e replikacja jest zawsze dostepna (patrz.ekran): Los “4. Dla naszej lokacji Brazil musimy to zmienié, aby okrestié rzeczywista dostep- post, kt6rq dla niej wybralismy. W tym celu po prostu znowu przeciagamy kursorem “od 8:00 rano w poniedziatek (Monday) do 6:00 po poludniu w pigtek (Friday), ,nastgpnie klikamy po prawej stronie Replication Not Available (patrz ekran). ‘Nastepnic klikamy-OK i wracamy do Link Properties (wlasciwosei Igcza). Tutaj imy nastawié replikacje w minutach. Musimy operowaé pelnymi godzinami, aby =z Wymnuszenie, jest to przedawnienie dopuszezalne i na og6t replikacje zacho- Z4Ce po 6.00 po poludniu-nie powinny byé duze. W tym przypadku zdecydowani a sig, by serwer katalogu globalnego znajdowat sig w lokacji brazylijskiej, aby jet jeszcze bardzic} ograniczyé ruch w AD i-preznaczyé wigee) transmis}i do esowat biznesowych. acje opdznienia i ciepte lokacje Jak powiedziano w rozdziale 2., lokacje opéénienia sa cennymi narzedziami do jalaych celéw w procesie odtwarzania po awarii. Wprawdzie jesti chodzi o stabil-Active Directory — odtwarzanie po away” 107 no8é infrastruktury, nie powinno sig polegaé w pelni na lokacjach opéénienia, jednike f »-Ze wagledu na to, de lokacja opéénienia ma niskie wykorzystanie zasob6w, w kaédym raze lokacje te pomagaja zwigkszyé odporosé AD na drobne bigdy ijgy eq wvilu intylucjach buduje sig jg w srodowisku wirtualnym. Dzieki temu modna ja bardzo cenne np. przy promowaniu schematu, co bedzie konieczne po wprowadzeniy, repadnin /options DC30 -DISABLE_OUTBOUND_REPL. [Nasigpnie mofemy wymusié replikacje wychodzqeq 2a pomoca programa ‘Mon lub z AD Sites and Services. wprowadzania innych zmian w schemacie Iub Konfiguracji AD. Tworzenie lokac) opéénienia nie jest trudne i wobec nieduzych koszi6w sprzgta, produkt6w wirtualiz jij olbrzymich moiliwych korzySci — nieustalenie lokacji op6znienia byloby bie nie do darowania. Kontrolery tej lokacji nie bedq nigdy wykonywaé innego pr rzania niz replikacja, wige og6lnie méwige, wydajnosé obslugujqcego ja sprzgtt jest watna, Tworzenie, konfigurowanie i wykorzystywanie ciepte] lokacj Cipla lokacja nie jest jeszeze szeroko wykorzystywana w systemach AD: wartosé jest zawsze aktwalna, Rééniea poléga na tym, ze kaédy konlroler kazde} domeny w tej cieplej lok: ‘zie takze zawieral jeden lub wigee| wirtualnych adaplerw sieci-w lokalnym scr DNS i jeden nicuzywany serwer DHCP. Dzigki temu uzyskamy.nastepujqce korz) ‘Druga karta sieciowa umoiliwi dolaczenie podsicci, o kt6rej sqdzimy, Ze uszkodzona. Trzeba tu pamigtaé o wylaczeniu rejestracji DNS dla tej arty si w TCPAP Properties. Gly kontroler DC zostanie juz dadany do. wirtualne} sieciowej, proste ponowne uruchomienie spowoduje, 2 bedzie sig on reje ww swoim wlasnym serwerze DNS jako Kontfoler takze dane} podsiect lub 1 ‘Trzeba Jednak poczekaé, az te ustawienia DNS zreplikuja sig na zewnairz i doy wtedy bedzie mozna przejé¢ do praeniesienia wi ‘jy Serwer DNS jest na miejscu, wige rejestracja DNS dziala latwigj i bardzicj glad- {fo. Serwer ten bedzie drialal jako serwer DNS takze w czasie odtwarzania lokacji dy uszkodzi sig cala lokacja, to zapewne uszkodzi sig takée lokalny serwer DNS \danie jego repliki w inne} lokaeji jest bardzo dobra rzeeza, Dysponujemy takéx serwerem DHCP, wige gdy jest potrzebny, mozemy bardzo zybko skonfigurowa’ serwer DHCP, rozprzestrzenié go w nove} lokacji i wskazaé jentom ustawienia DNS w wirtualnym kontrolerze; Klienty bed wige natychmiast jywaé nowego kontrolera domeny. * Gay wirtualny kontroler DC jest juz gotowy do przypisania do uszkodzone} lo- i, musimy go spakowaé jakims programem archiwizujgeym i przestaé do PC, jidty ma zainstalowany ten sam produkt witualizacji co nasza ciepla lokacja. Rozpa- -kowuiemy plik i uruchamiamy rozpakowany Kontroler DC. Konfigurujemy lokalny wer DHCP, aby wskazywal serwer DNS w wirtualnym kontrolerze, i przctado- jeniy wszystkie programy Mlienckie; w ten sposéb powinnismy uzyskae dziuljgce Tanz aga ‘ait weet ac ‘Deane Ra mo ere po _ Testi chodzi o przesylanie, niektorzy moga dodaé, ze w tej sytuacji wigkszose zeni WAN sig uszkadza. Gdy tak sig zdarzy, to mode jest gdzieg dostep do Inter i jesli tylko plik ZIP jest chroniony haslem, modna go wyslaé przez Internet. fet jesli bedzic trzeba placié za wykorzystanie miejscowe) Kawiarenki intemneto-innych waznych serweréw. Podsumowanie Uszkodzenie Active Directory na kontrolerze domeny [AD ~ kta jest kosccem IT ~ byla zawsze dostgpna i stbilna. Implementow zarzqdzania amianami lub delegowanie uprawniest administracyjnych wymaga ped | Uszkodzenie Active Directory, w tym znieksatalcenie danych, to jest cos, czego i sie kaddy administrator, Méwiac po prostu, jest to sytuacja, w ktérej usluga kata owa preestaje czytaé-lokalng baze danych Active Directory. Nie mofna sig logo ani uwierzytelniag, nie dzialajq Zadne ustugi-zaleéne od katalogu. Kontrolery Wy 84 nieuayteczne, A co jeszcze gorsze, bywa, ze replikacja nie zostaje prze- a i uszkodzona baza danych rozprzestrzenia sig na inne kontrolery DC. _W tym tozdziale preedstawimy przeglad réénych opeji i metod odtwarzania kon a domeny, w ktérym uszkodzona zostala baza danych. Poza tym znajdziemy ta ‘ nieposiadania tach lokag} bylyby wigksze, ‘Tworzenie harmonogram6w replikacji w AD oraz dokladne dokumentows konfiguracji to bardzo waina praca; niestaranne jej wykonanie moze spowod problemy w dziaianiu lokacji. Poprawne zaprojektowanie, zrozumienie i akt w lokacji znéw dzialajg, Testi nasze przedsigbiorstwo dziala w réznych strefach ezasowych, to okno kacji nie uwzgledniajgce tych stref moze po prostu nie replikowaé do lokacji jneyeh poza pora repikaci (out-of-time) i nasze dane bardzo szybko sig przeda picczefistwem, musimy spojrzeé na rééne aspekty tego, co moze fle dinlaé. Na klad wlasciwe delegowanie uprawniett bedzie ograniczaé ryzyko zwigzane z bleé erlowieka spowodowanym zbyt duzymmi uprawnieniami. Poprawnie zabezpict infrastraktura DNS, kt6ra bezpiecanie sig replikuje i jest dobrze rozproszona, ozi I znieiszenie ryzyka atak6w ,Man in the Middle” (ezlowiek na skrayzowaniu). HMptomem moze byé to, Ze na tym Kontrolerze nie uruchamiaja si ustugi AD. tym nasze rekordy DNS dobree wykonajq prace awarying (failover), by zape Klientowi nieprzerwang Igcznos112. Active Directory ~ odtwarzanie po aw ubial 5. Uszkodzenie Active Directory na kontrolerze domeny 113 | Jeli uszkodzenie nie jest spowodowane éadng 2 yeh przyezyn, skorzystaimy programéw takich jak ReplMon i DCDiag, kt6re naleza do narzedzi pomocniczych gsiemu’ Windows 2003 i s4 dostgpne za darmo na stronie WWW Microsoftu albo aiduja sig na dysku instalacyjnym. Program uiytkowy ReplMon jest programem jemiym, ale jest zupelnic maly i jest jednym 2 najlepsaych narzedzi do sprawdza- czy W cale} domenie wystepuja bledy replikacj, czy te. nie. ReplMon wskazuje #e, ktGry Kontroler domeny nie dziala i dlaczego. Inny program uzytkowy, Diag, bada wszystkie Kontrotery domeny oraz okresla, czy i dlaczego maja one dy replikacji lub inne biedy. __ Fed jub sig upewnilismy, 2e wszystkie inne kontrolery DC popravenie replik wwinnismy sprawdzi¢, czy w dzienniku zdarzeti wystepujg zdarzenia o identyfikato- 467 lub 1019, ktére swiadcza o rzeczywistym uszkodzeniu bazy danych AD io i odczytania bazy danych AD zarzadzanej przez Microsoft JET Database Przyezyny ‘Taki scenariusz, moze mieé nastepujace przyczyny: 2. iad oprogramowania zwigzany byé moze z podwyzszeniem schematu majgc niestandardowe zapisy, Q © iejasny zapis AD, : © przerwanie procesu replikacji © przypadkowa tub-podstgpna zmiana w schemacie AD dokonana narzedzia niskiego poziomu, takimi jak ADSIedit itp. Rozwiqzanie (odtwarzanie) Proces odtwarzania jest nastepujacy. © Przede wszystkim trzeba sprawdzié, czy to jest raeczywiscie uszkodzenie ‘wnatrz bazy danych AD, a nie np. problem zwiqzany 2 siecia. © Nastemnie nalezy, wykonaé przywracanie katalogy,.ptzy czym teba 2decyd acyinym w folderze SUPPORT) i zestaw natzedzi dla Windows 2003 (pat wwaé, ezy wybiera sig tryb autorytatywny czy nieautorytatywny. : ‘poprawnie. czy ted wystepuje problem i na m ten problem polega. Choé wykorzystanie tych programéw moze byé czesciq . . iqdu calej AD, to w tym przypadku skupimy sig na sprawdzeniu pojedynczego Szezegdly rozwigzania olera DC. Dane wyjéciowe otrzymane z tych narzedzi moga byé dosé obszerne, ‘Teraz podamy pelny wykaz czynnosci, ktére trzeba wykonaé na kazdym et rozwigzywania problemu. Sprawdzanie uszkodzenia x nie. ReplMon moze tez daé preeglad partner6w replikacji-dla kaédego kon- era domeny, a take wykonaé test wykrywajqcy bledy replikacji w calej domenic. Phastepnym ekranie widaé domysine okno ReplMon, a na kolejnym ~ zawarlosé ‘zhego menu uruchamianego przez. Kliknigcit prawym przyciskiem monitoro- ‘wszystkie recenie wykonane zmiany, kt6re byly robione ostatnio. Sprawdémy tal DC. Aby wywolaé RepiMon, po prostu piszemy replnon w wierszu poleces. czy problem nie jest zwigzany z siecia — to znaczy czy nie zmieniano ruter6y uszkodzenie.Fe ara i so aa Program DCDiag jest programem uzytkowym wywolywanym 2. wiersza polecei preprowadza pelne sprawdzenie kontrolera comeny AD. Wykonywane testy obej- 4 via testy DNS dla lasu (czyli sprawdzenie, cy DNS dziala dobre na poziomie coin etne I Jus0) testy DNS dla domeny ((o samo na poziomie domeny), test konfiguracj, test as cntgented phematu i test FSMO (sprawdzenie, czy wszystkie serviery FSMO sq dosigpne) cael | Wywotanie programa DCDiag polega po prostu na wpisania dcdiag w wiersau pole- = gail; potem oglydamy wyniki, Mozemy okrestié plik wyjsciowy, do ktérego wynik iialania ma byé zapisany w postaci tekstowej; w tym celu wpisujemy w wierszu soleces mp, dediag > ct\dediag_output Pomysine wykonanie testu DCDiag'da widoczne na nastepnym ekranie wyniki Zawierajg one nazwy wykonanych test6w, gdzie slowo ,passed” oznacza pomysine “ aiykonanie. § ocfetod Grate [seen paisa | | | ReplMon jest bardzo uzyteczny mp. wtedy, gdy tzeba wykryé bledy podézas préby replikacji do innych kontroleréw domeny. Istnieje wiele 62nych bledoiy! Ww réénych scenariuszach, ale np. niemoznosé dotarcia do serwera lub wylaczenie sd ‘wera spowodluje nastepujqcy wynik (po przeszukaniu catej domeny). ae6 Active Directory — edewarzanie po awagi | ovizial 5. Uszkodzenie Active Directory na kontrolerze domeny (w tym celu sledzi rekordy wysylane do sieci zewnetrzne)), DNSDiag daje tal informacji 0 strukturze DNS dla domeny i okresla, czy wystepuja tam jakies prs blemy. Program NetDiag sprawdza stos lokalnej sieci, testuje zainstalowane protokol uslugi, w tym WINS, NetBT i TCP/IP. Program Sonar Program uiytkowy Sonar udostepnia graficeny interfejs uzytkownika (GUIs 4 Staphical User Interface), wskazujacy, w kt6rym dokladnie miejscu replikacja zostale 4%” przerwana i jaki jest stan uslugi replikacji plik6w (FRS ~ File Replication Service) i) gram Sonar ma takée inne okna, kt6re pozwalajq na diagnozowanie dzialania usli kaddym z konttolersw. Jest to szczegélnie przydatne w wielkich srodowiskach. a FRS na kontrolerze 5 f Mu voli w wyniku replikacji 2 i » | Mozliwos¢ usuwania uszkodzen i zatrzymywania rozprzestrzeniania sie przektaman Jesli nasza baza danych AD ulegta znieksztatceniu lub nie dziata, ale sig jeszeze strzenita, ezyli jest uszkodzona tylko na jednym Kontrolerze domeny, t0 laficucha replikacji. Dobrym sposo- _ iyiko wowezas, gdy pracujemy na zdatne} maszynic. Inna moiliwosé to odizolowac jon kontroler regulami zapér. Jest to najbezpieczniejszy spos6b, nieodbierajqcy nam jesreze zdalnego dostepa do maszyny. Jesti nie jest modliwe Zadne z tych rozwigzat, jo modemy uzyé programu Repadmin, kt6ry zatrzyma wehodzycq i wychodzacq teplikacie. Sluzq do tego dwie opcje: repadmin /options nazwa_kontrolera spSABLE_INBOUND_REPL repadnin foptions —_nazwa_kontrolera ADISABLE_OUTBOUND_REPL. W obu nazwa_kontrolera oznacza nazwe tego kontroleta DC, Ktsry choemy odlgczyé. Gay bedziemy cheieli wigezyé replikacje, zrobimy to za _pomoca taki samej instrukeji,leez.z minusem zamiast plusa, fepadnin /options nazwa_kontroTera -DISABLE_INBOUND_REPL Nastepny ekran przedstawia wiersz polecesi z poleceniem repadmin odigc7: oy replikacje wychodzacg. Heh pojawiq sie bledy z identyfikatorem zdarzenia réwnym 1115, a takie bledy Fidentyfikatorem 1113, wskazujqce, de veplikacia wehodzaca jest wylqezona. Gdy ras z tych replikacji zostanie wigczona, to w dzienniku z2darzesi pojawig sic, odpo Hicdnio, informacje: ID 1116 (wlgczona replikacja wychodzca) i TD 1114 (whyezona ‘Najszybszym sposobem odtworzenia znicksztalcone) bazy AD jest wymuszenie ‘adacji kontrolera domeny do poziomu zwyklego serwera | nastepne przywrdcenie ego DC (jesii jest) w tej samej sieci. Krok taki moz-118, Active Directory ~ odtwarzanie po awa orizial 5, Usskodzenie Active Directory na kontrolerze domeny 9 na wykonaé tylko wowezas, gdy sprawdzilismy i jestesmy pewni, Ze na tym druging —< yaxy po.prostu zrestartuimy Kontroler. Jeéeli zmienilismy kolejnosé startowania, to qdwidémy jq ponownie. dysku, stosownie do przyjetych w naszym przedsigbiorstwie zasad tworze~ nia kopii zapasowych, je beda 0 wiele szybsze, gdyi. na serwer replikowane bed jedynie te obiety, nia ezystej degrada} (lean demotion). Festi w zwykym trybie oat zostaly zmienione. Wigksza ezesé bazy jué na nim jest, w wymiarze zaleznyim promo w celu promogji kontrolera, to ten Kontroler zreplikuje t wzmiane” do i kontrolera. Innymi stowy, w ten spossb rozprzestrzenilibysmy znicksztaleonq niedzalajgea baze. Motna latwo wymusié degradacje kontrolera, wykonujae dcp /orcerenaval, a nastgpnie kroki czyszezenia metadanych opisane w rozdziale 4. ¢ zagroienie, Ze dane zostang zaslapione przez. dane z kontroler6w, Kisre nie aly preywrscone i zawieraja niceo swieasze dane, w tym dane znicksztalcone. Ponicwaz ten rozdzial take 0 zicksztalcenia Iub uszkodzenia AD na tylko Przywrécenie nieautorytatywne i przywrocenie autorytatywne” Aby preySpieszyé replikacje danych AD, np. dla fokaeji, kt6re maja powolne przecigzone Iqcza sieciowe, albo przyspieszyé caly proces odtwarzania, powinn ‘wykonaé nieautorytatywne praywrécenie bazy danych AD. prywrécenie regeneruje baze, kt6ra bedzie gldwnym Zrédiem replikacji w domenie Baza zostanie przywrécona i przydzieli sobie tak wysoki numer kolejny, ze najnowsza kopig i arédlem replikagji dla wszystkich innych kontroleréw w dom W rzecaywistosei przywraca sig Kopig bazy danych AD do jej pierwotne} lo zastgpnige bie#gea bare danych. To jest modliwe tyiko wowezas. edy d w rybie przywracania Katalogu (DRM — Directory Restore Mode). Po przy |Aby przywrécié baze danych AD na kontolerze DC, teba pase do tybu ani ulus kaalogonyeh (Diecory Services Restore).120 Active Directory — odtwarzanie po awa i e e 121 W tym celu treba ztestartowaé kontroler DC. W procedurze rozruchu gdy py ces starlu zatrzymuje sig na chwile przed ukazaniem sig ekranu powitalnego Wind 2003, nalezy nacisngé klawisz F8, a pokaze sig ponizsze menu: Windows 2003 Advanced Options Menu (Windows 2003 ~ opeje zaawansowar Please select an option: (Zaznacz opcie:) ‘Safe Mode (Tryb awaryjny) Safe Mode with Networking (Tryb awaryjny z obsluga sieci) Safe Mode with Conimand Prompt (T7yb avaryny 2 wierszem poke) EE isn Enable Boot Logging (Wigce rejestrowanie uruchamiania) 1) Renee pe Enable VGA Mode (Wigez tryb VGA). a. i o te pc cunihg wean i canna Last Known Good Configuration (Oslatni znanadobrakonfiguracia Dee eae eee Gy zobaczyiy ten plik, sprawdzamy jego wlasose, to nacry ey jst tko do eee eee w tym cela klikamy go prawym przyciskiem myszy i wybicramy i pets, Zamiast jena. veniaé-wlasnosel plikow systemowych, modeiny g0 Debugging Mode (Tryb debugowania) ‘ jem latwo zmodytikowaé za pomoca interfejsu graficznego GUI. Niektére osoby Taja sie nipeie modyitujge plik cronione, a zrsziy stone moda pophsé w ‘sel and Ito move the highlight o your chee (Uj Kawisy stale w gg, <4 eg nieponis modyfaae iki chronic,» zezi isiie morn rem i'w dé}, aby zaznaczyé wybrany system) : I Press Enter to choose (Nacisnij Enter, aby wybraé) "_Aby otworzyé edytor GUI, klikamy prawym pr2yciskiem My Computer 2 menu ar In kone arg sre w pau gry oe ekrans | wybiermy Proper nasz. Kontroler wystartaje, ale uslugi zwiqzane z AD nie zostang uruchomione. wystartowaniu przywracamy stan systemu AD z gwarantowanej i niedawnej Kopi przestarzalg bazq danych AD. Poczekajmy na replikacje, a nasz. system AD zaktualizowany. Brak fizyeznego dostepu do maszyny Jeieli nie mamy fizycznego dostepu do danej maszyny, to mozemy-osiagh samo, edytujge plik boot.ini znajdujgcy sig na dysku C. Ten plik domysnic ukryty i moze byé chroniony przed zapisem, Aby zobaczyé pliki ukryte i pliki syste f) . aye mowe, trzeba zmienié ustawienia programu Windows Explorer, jak pokazano My jY olaie wissnogel (Syntem Properties) przechodzimy dp zakiadki Ad ckranie. ‘eran na nastepnej stronie)..‘Teraz w sekeji Start and Recovery zakladki Advanced (patrz ckran powyZe kKlikamy Settings. 123 W okionku, ktére otrzymalismy, zawierajacym wiele opeji i sekeji, mozemy klil ng praycisk Edit, co spowoduje otwarcie pliku boot.ini w edytorze Notepad. Po ofczenit edytowania bedziemy musieli zapisaé i zamkngé plik, a wszystkie prawa przywrécone do stanu poczatkowego. " Bdycja tego pliku jest calkiem prosta, chociad nie wszystko musi byé zrozumiale Is kogoS, kto nigdy tego nie robil. Na ekranie ponizej przedstawiono aktualing tresé ‘Zmienié jego nazwe, dodajc np. stowo ,Recovery”. Na koticu wiersza dodaé /safeboot :dsrepatr (patrz eran). Coreteteparsetny aes FSigarriings Wane: ines sees 3 Po zakoriczeniu edyeji zapisujemy i zamykamy plik tak jak Kady inny plik tek- Y, a nastepnie zamykamy okno Startup and Recovery, klikajac przycisk OK, ‘Aby wybraé opcje, 7. kt6ra chcemy uruchomié komputer, znowu klikamy Set- w sekeji Startup and Recovery. Jak widaé, w otwartym oknie mozemy 2 r07~

Rommel F - Active Directory-Odtwarzanie Po Awarii

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Rommel F - Active Directory-Odtwarzanie Po Awarii

Uploaded by

Copyright:

Available Formats

You might also like