1 / 34

Co w biurze piszczy … RODC

Co w biurze piszczy … RODC. Tomasz Onyszko t.onyszko@w2k.pl. W2K.PL Microsoft http://www.w2k.pl. { O mnie … }. … przy klawiaturze od dobrych 18 lat, z tego ostatnie 9 zawodowo … prowadzę blog W2K.PL (jak i angielską wersję na stronach DirTeam.Com )

tacita
Download Presentation

Co w biurze piszczy … RODC

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Co w biurze piszczy … RODC Tomasz Onyszko t.onyszko@w2k.pl W2K.PL \ Microsoft http://www.w2k.pl

  2. { O mnie … } • … przy klawiaturze od dobrych 18 lat, z tego ostatnie 9 zawodowo • … prowadzę blogW2K.PL (jak i angielską wersję na stronach DirTeam.Com) • … udzielam się czasami na wss.pl i grupach Usenet • … w wolnych od powyższego chwilach pracuję w Microsoft Consulting Services jako Senior Consultant (Identity & Access Management)

  3. { Agenda } Branch Office: Wprowadzenie Wdrożenie Zarządzanie

  4. { Wprowadzenie }

  5. { Windows 2008 DS } • Zmiana nazewnictwa • Active Directory Directory Services (AD DS) • Active Directory Lightweigth Directory Services (AD LDS) • Nowości • FineGrainPassword Policy (FGPP) • Replikacja SYSVOL z użyciem DFS-R • ReadOnlyDomainContoller (RODC) • Nowe mechanizmy inspekcji • Zmiany w mechanizmach GPO (ADMX, CentrallStore, GPO Preferences)

  6. { Branch Office a’la Windows 2008 } • Windows Server 2008 w biurze zdalnym: • Server Core • Hyper-V • BitLocker • RODC • File and Print Services • DHCP, DNS • Zalety • Zwiększone bezpieczeństwo • Łatwe zarządzanie • Problemy • Kompatybilność aplikacji • Kompatybilność administratorów (Server Core)

  7. { Wdrożenie }

  8. { RODC w pigułce} • Baza danych katalogu Read-Only i jednokierunkowa replikacja • Global Catalog, Read-only DNS • Filtrowany zestaw atrybutów dostępny na RODC (FAS) • Wydzielenie lokalnych ról (w tym lokalny administrator) • Delegowany proces promowania RODC (stagedpromotion) • Polityka replikacji haseł • Mechanizmy wspomagające proces zarządzania RODC

  9. { RODC - zaufanie } • RW DC + DomainAdmin == Pełne zaufanie • RO DC + LocalAdmin == Ograniczone zaufanie Z punktu widzenia usługi katalogowej RODC jest serwerem „bez zaufania” !!! Traktujcie RODC jak serwer członkowski !!!

  10. { Wymagania } • FFL \ DFL: minimalnie Windows 2003 Native • ADPREP /RODCPREP (w przypadku istniejących domen 2003) • Minimalnie 1 RW DC na Windows 2008 -> niekoniecznie PDCE • RODC domyślnie działa jako źródło czasu: • Wymaga w tym celu RW DC Windows 2008 • W2008 na PDC Emulator, lub • Windows 2008 RWDC jako zaufane źródło czasu • W32tm /config /reliable:yes /update

  11. { 10, Wchodzę, FAS } • FilteredAttribute Set (RODC FAS) • We wczesnych wersjach znany jako PAS (PartialAttribute Set) • Zestaw atrybutów które nie są replikowane do RODC • Rekomendacja • Ustalić zestaw FAS przed wdrożeniem RODC • serachFlags: bit 10 (hex 0x200, dec 512) • (http://msdn.microsoft.com/en-us/library/ms679765(VS.85).aspx) • ADMOD –b <Attribute DN> searchFlags::<value> • Dla developerów (ale nie tylko) • Atrybutu wchodzącego w skład FAS na RODC nie ma: • Próba odczytu spowoduje wyjątek

  12. { Projekt – zagadnienie #1 } • Dwa RO DC w jednej lokacji (site) • Redundancja ?? • Wydajność ?? • Fakty • RODC replikuje dane tylko z RWDC • Brak replikacji danych pomiędzy RODC w tej samej lokacji • Efekt • Problemy … brak spójności danych o hasłach • Rekomendacja: • NIE !!!

  13. { Projekt – zagadnienie #2 } • RW DC i RODC w jednej lokacji • No właśnie … w zasadzie po co ??? • Potencjalny problem – edycja GPO • Dane GPO składają się z danych katalogu i plików SYSVOL • RODC nie replikuje zmian SYSVOL • Zmiany w katalogu wykonane na RWDC • Zmiany w plikach wykonane na RODC • Nigdy nie zostaną zreplikowane do innych DC • Efekt • Poza pytaniem … po co ?? • Problem … potencjalny brak spójności danych • Rekomendacja: • NIE !!!

  14. { Projekt – zagadnienie #3 } • Sitelinks • RODC wymaga Windows 2008 DC jako bezpośredniego partnera replikacji Wymaga włączenia site link bridging

  15. { Projekt – zagadnienie #4 } • Kopie zapasowe • … zapomnijmy o NTBackup, cóż … • … o taśmach też, cóż … • Windows Backup • Kopie zapasowe na dysk (tylko) • Wymaga odpowiedniego przygotowania podsystemu dysków • Wydzielona partycja na kopie zapasowe Windows 2003 Windows 2008

  16. { Instalacja … } • Zanim rozpoczniemy • Rozważcie Server Core i BitLocker jako opcje dla serwera w BO • Zdefiniujcie RODC FilteredAttribute Set • Zdefiniujcie grupy dedykowane dla RODC (Allow, Deny, Administrators) • Wdrożenie wystarczającej liczby RW DC Windows 2008 • W trakacie: • Korzystajcie z opcji stagedpromotion i InstallFrom Media • Stagedpromotion • Promocja nowego RODC podzielona na dwa etapy

  17. { Staged promotion – etap I, zaufany } • Utworzenie konta dla nowego RODC • Wykonywana przez DomainAdmin • Wymagane Windows 2008 lub Vista SP1 i RSAT • ADU&C -> „Pre-CreateRead-onlydomaincontrolleraccount” • DCPROMO.EXE: • DCPROMO /CreateDCAccountReplicaDomainDNSName:<FQDN>

  18. { Staged promotion – etap II, zaufany } • Dokończenie instalacji • Wykonywane przez delegowanego administratora • Lokalnie • Server Manager • DCPROMO.EXE: • DCPROMO /UseExistingAccount:Attach • Zdalenie z poziomu Windows 2008 \ Vista: • WinRM \ WinRS z użyciem DCPROMO.EXE

  19. { ... i żyli długo i szczęśliwie ale … #1 } • RODC i Exchange • Exchange nie współpracuje z RODC w tej samej lokacji • Bez zmian dla Exchange 2007 SP1 • RODC i Outlook • Outlook korzysta z GC wskazanego przez Exchange (patrz powyżej) • Exchange nigdy nie wskaże RODC w lokacji klienta • Rozwiązanie – KB 319206 (http://support.microsoft.com/kb/319206) • Ręczne wskazanie klientowi GC (RODC) z jego lokacji

  20. { ... i żyli długo i szczęśliwie ale … #2 } • RODC i SQL • SQL 2005 \ 2008 nie może zostać zainstalowany na RODC • Problem: brak możliwości utworzenia odpowiednich grup • Nie można tworzyć obiektów na RODC • Tak … wiem … to też wiem … i tamto też …  • Dobre wiadomości: • Dla SQL 2008 zostanie to rozwiązane (najprawdopodobniej) • Złe wiadomości: • Dla SQL 2005 nie ulegnie to zmianie

  21. { ... i żyli długo i szczęśliwie ale … #3 } • Accountlockout • WAN ON-LINE: konto zablokowane na RODC i RW DC • WAN OFF-LINE: konto zablokowane tylko na RODC • Jak widać RODC też potrafi pisać do katalogu  ??? • Informacja o ostatnim logowaniu interaktywnym: • WAN ON-LINE: informacja na RODC i RW DC • WAN OFF-LINE: informacja tylko na RODC

  22. { ... i żyli długo i szczęśliwie ale … #4 } • Kontrolery domeny Windows 2003 • Nie identyfikują poprawnie RODC zarejestrowanych dla lokacji • Lokacja z RODC == Lokacja bez DC • Auto SiteCoverage • Rezultat: Windows 2003 DC rejestruje rekordy DNS dla lokacji z RODC • Rozwiązanie: poprawka QFE (KB944043) • RODC compatibilitypack for down-levelclients • Problem z synchronizacją czasu • Problem z dodawaniem do domeny komputerów w DMZ • … i jeszcze 8 innych

  23. { Zarządzanie }

  24. { Separacja roli administratora } • Rola administratora RODC konfigurowana na poziomie katalogu: • Zarządzana tylko poprzez atrybut katalogu • Konfigurowana przez atrybut managedBy na obiekcie RODC • Pozwala na instalację / naprawę / zarządzanie RODC • Rola administratora RODC konfigurowana lokalnie • Konfigurowana przy pomocy NTDSUTIL • Pozwala jedynie na zarządzanie RODC

  25. { … a administrator „biura”} • Delegacja uprawnień w ramach katalogu jak w Windows 2003 • Ważna zmian … uprawnienia „właściciela” • Windows 2003: • Delegujemy uprawnienia do tworzenia obiektu • Bez możliwości usunięcia • „Właściciel” może wszystko … • Windows 2008: • OWNER RIGHTS (działa tylko na Windows 2008) • Możliwość ograniczenia uprawnień „właściciela”

  26. { RODC i uwierzytelnienie } • RODC domyślnie nie przechowuje haseł, z wyjątkiem • Lokalnego konta „Kerberos TGT” (CN=krbtgt_<numer>) • Atrybut: ms-DS-KrbTgt-Link • Własnego hasła komputera • Żądania uwierzytelnienia są przekazywane do RW DC • Dla użytkowników i komputerów, dla których hasło nie jest lokalnie przechowywane • Informacja o obiektach które zostały uwierzytelnione: • Obiekt użytkownika: ms-DS-AuthenticatedAt-DC • Obiekt DC: ms-DS-AuthenticatedTo-Accountlist

  27. { Password Replication Policy } • PasswordReplication Policy • Mechanizm pozwalający na ograniczenie ryzyka związanego z hasłami • Pozwala na zdefiniowanie listy obiektów dla których • hasło może być w lokalnym cache(msDS-RevealOnDemandGroup) • Nigdy nie może być lokalnie zapamiętane (msDS-NeverRevealGroup) • REPADMIN /PRP VIEW <RODC> ALLOW • REPADMIN /PRP VIEW <RODC>DENY • Nigdy nie zezwalamy na zapamiętywanie haseł kont uprzywilejowanych

  28. {RODC, we’ve got a problem … } • RODC adresuje ważny scenariusz z punktu widzenia bezpieczeństwa • Utracony DC (skradziony, zagubiony … ) • Co się dzieje z hasłami?? • Lokalne konto KRBTG – brak zagrożenia dla całej domeny • Ułatwiony reset haseł – lista obiektów z cache: • RODC: msDS-RevealedList, ms-DS-Revealed-Users • Dla obiektu użytkownika: ms-DS-Revealed-DSAs • REPADMIN /PRP <RODC> REVEAL

  29. { … a jak usunąć hasła z RODC …. } • Co zrobić gdy musimy usunąć hasło z RODC: • Zmodyfikować PRP – usunąć konto(a) z listy Allowdla RODC • Wykonać reset hasła dla kont(a) • Usunąć hasła z RODC • Wymaga uprawnienia: „Read-Only-Replication-Secret-Synchronization” • Użycie operationalattribute: rODCPurgeAccount • admod –b <RODC DN> rODCPurgeAccount::<account DN>

  30. { AD Snapshot }

  31. { Active Directory snapshots } • Nie jest to killerfeature ale może być przydatne • Snapshot - „zrzut” zawartości katalogu na dany punkt w czasie • Nie jest to pełny backup, i nie może go zastąpić • Możliwe jest zamontowanie „zrzutu” jako równoległej instancji katalogu • Ograniczenia: • Snapshot obejmuje wszystkie elementy związane z AD • Dane pozostają na oryginalnych wolumenach • Nie można wykonać snapshot na dysk zewnętrzny • Maksymalnie 512 „zrzutów” na jednym DC • Czy faktycznie ograniczenie??? • Brak UI • Czy faktycznie ograniczenie??? 

  32. { Snapshot - Reanimacja } • Kasujemy konto Dyrektora – niedobrze  • Teraz: • Panika • Odtwarzamy backup (o ile go mamy  ) • DSRM • Ntdsutilauthoritativerestoresubtree <DN> • Czas: ok. 30 – 60 min. • # OS restart: 2 • A gdy mamy snapshot: • Montujemy snapshot • Odtwarzamy obiekt z nagrobka (tombstone) • Przywracamy wszystkie atrybuty • Czas: ok. 5 min • # OS restart: 0

  33. {Reanimacja – How To … } • Jak to zrobić: • Wykonać snapshot -> ntdsutilsnapshotcreate • Zamonotowaćsnapshot -> ntdsutilsnapshotmount • Uruchomić instancję LDAP -> dsamain.exe • Odtworzenie danych: • Odzyskanie „nagrobka”: admod.exe, ldp.exe, adrestore.exe • Odzyskanie danych z „migawki”: LDIFDE.EXE, VBScript, PowerShell • Import danych do katalogu: LDIFDE.EXE, VBScript, PowerShell • A gdyby tak prościej  • 1Identity SnapshotRecoveryTool (http://www.one-identity.net/tools/snapshot/) • oirecmgr.exe -o <guid> -sh lhfdc1:1389 -ol -real

  34. { Podsumowanie }

More Related