Co w biurze piszczy … RODC Tomasz Onyszko t.onyszko@w2k.pl W2K.PL \ Microsoft http://www.w2k.pl
{ O mnie … } … przy klawiaturze od dobrych 18 lat, z tego ostatnie 9 zawodowo … prowadzę blog W2K.PL (jak i angielską wersję na stronach DirTeam.Com) … udzielam się czasami na wss.pl i grupach Usenet … w wolnych od powyższego chwilach pracuję w Microsoft Consulting Services jako Senior Consultant (Identity & Access Management)
{ Agenda } Branch Office: Wprowadzenie Wdrożenie Zarządzanie
{ Wprowadzenie }
{ Windows 2008 DS } Zmiana nazewnictwa Active Directory Directory Services (AD DS) Active Directory Lightweigth Directory Services (AD LDS) Nowości Fine Grain Password Policy (FGPP) Replikacja SYSVOL z użyciem DFS-R Read Only Domain Contoller (RODC) Nowe mechanizmy inspekcji Zmiany w mechanizmach GPO (ADMX, Centrall Store, GPO Preferences)
{ Branch Office } Branch Office Zdalna lokalizacja w ramach organizacji (niezależnie od jej wielkości), w której może pracować od jednego do kilkuset użytkowników Typowy BO nie posiada lub posiada ograniczone zasoby IT do zarządzania systemami Hub Centralna lokalizacja organizacji Przeważnie posiada własne zasoby IT zarządzające siecią
Serwery w lokalizacjach zdalnych? { Branch Office – problemy i wyzwania } Ograniczenia w sieciach rozległych Niskie przepustowości, duże opóźnienia Zarządzanie Brak administratorów on-site Duże koszty zapewnienia ciągłości w działaniu Problemy z delegacją uprawnień Bezpieczeństwo „Brak zaufania” z definicji Serwery w lokalizacjach zdalnych? Serwery w centrali? lub
{ Branch Office a’la Windows 2008 } Windows Server 2008 w biurze zdalnym: Server Core Hyper-V BitLocker RODC File and Print Services DHCP, DNS Zalety Zwiększone bezpieczeństwo Łatwe zarządzanie Problemy Kompatybilność aplikacji Kompatybilność administratorów (Server Core)
{ Wdrożenie }
{ RODC w pigułce} Baza danych katalogu Read-Only i jednokierunkowa replikacja Global Catalog, Read-only DNS Filtrowany zestaw atrybutów dostępny na RODC (FAS) Wydzielenie lokalnych ról (w tym lokalny administrator) Delegowany proces promowania RODC (staged promotion) Polityka replikacji haseł Mechanizmy wspomagające proces zarządzania RODC
Traktujcie RODC jak serwer członkowski !!! { RODC - zaufanie } RW DC + Domain Admin == Pełne zaufanie RO DC + Local Admin == Ograniczone zaufanie Z punktu widzenia usługi katalogowej RODC jest serwerem „bez zaufania” !!! Traktujcie RODC jak serwer członkowski !!!
{ Wymagania } FFL \ DFL: minimalnie Windows 2003 Native ADPREP /RODCPREP (w przypadku istniejących domen 2003) Minimalnie 1 RW DC na Windows 2008 -> niekoniecznie PDCE RODC domyślnie działa jako źródło czasu: Wymaga w tym celu RW DC Windows 2008 W2008 na PDC Emulator, lub Windows 2008 RWDC jako zaufane źródło czasu W32tm /config /reliable:yes /update
{ 10, Wchodzę, FAS } Filtered Attribute Set (RODC FAS) We wczesnych wersjach znany jako PAS (Partial Attribute Set) Zestaw atrybutów które nie są replikowane do RODC Rekomendacja Ustalić zestaw FAS przed wdrożeniem RODC serachFlags: bit 10 (hex 0x200, dec 512) (http://msdn.microsoft.com/en-us/library/ms679765(VS.85).aspx) ADMOD –b <Attribute DN> searchFlags::<value> Dla developerów (ale nie tylko) Atrybutu wchodzącego w skład FAS na RODC nie ma: Próba odczytu spowoduje wyjątek
TRUE, FALSE, <not set> { Trivia Quiz #1 } O Ile potencjalnych wartości można zadać zapytanie o atrybut typu BOOLEAN w katalog Active Directory?? 2 3 4 3 TRUE, FALSE, <not set> !(attribute=*)
{ Projekt – zagadnienie #1 } Dwa RO DC w jednej lokacji (site) Redundancja ?? Wydajność ?? Fakty RODC replikuje dane tylko z RWDC Brak replikacji danych pomiędzy RODC w tej samej lokacji Efekt Problemy … brak spójności danych o hasłach Rekomendacja: NIE !!!
{ Projekt – zagadnienie #2 } RW DC i RODC w jednej lokacji No właśnie … w zasadzie po co ??? Potencjalny problem – edycja GPO Dane GPO składają się z danych katalogu i plików SYSVOL RODC nie replikuje zmian SYSVOL Zmiany w katalogu wykonane na RWDC Zmiany w plikach wykonane na RODC Nigdy nie zostaną zreplikowane do innych DC Efekt Poza pytaniem … po co ?? Problem … potencjalny brak spójności danych Rekomendacja: NIE !!!
{ Projekt – zagadnienie #3 } Site links RODC wymaga Windows 2008 DC jako bezpośredniego partnera replikacji Wymaga włączenia site link bridging
{ Projekt – zagadnienie #4 } Kopie zapasowe … zapomnijmy o NTBackup, cóż … … o taśmach też, cóż … Windows Backup Kopie zapasowe na dysk (tylko) Wymaga odpowiedniego przygotowania podsystemu dysków Wydzielona partycja na kopie zapasowe Windows 2003 Windows 2008
{ Instalacja … } Zanim rozpoczniemy Rozważcie Server Core i BitLocker jako opcje dla serwera w BO Zdefiniujcie RODC Filtered Attribute Set Zdefiniujcie grupy dedykowane dla RODC (Allow, Deny, Administrators) Wdrożenie wystarczającej liczby RW DC Windows 2008 W trakacie: Korzystajcie z opcji staged promotion i Install From Media Staged promotion Promocja nowego RODC podzielona na dwa etapy
{ Staged promotion – etap I, zaufany } Utworzenie konta dla nowego RODC Wykonywana przez Domain Admin Wymagane Windows 2008 lub Vista SP1 i RSAT ADU&C -> „Pre-Create Read-only domain controller account” DCPROMO.EXE: DCPROMO /CreateDCAccount ReplicaDomainDNSName:<FQDN>
{ Staged promotion – etap II, zaufany } Dokończenie instalacji Wykonywane przez delegowanego administratora Lokalnie Server Manager DCPROMO.EXE: DCPROMO /UseExistingAccount:Attach Zdalenie z poziomu Windows 2008 \ Vista: WinRM \ WinRS z użyciem DCPROMO.EXE
{ Demo } Delegowana promocja RODC
{ } Pamiętaj administratorze młody, zawsze aktywuj serwer zanim pójdziesz na zawody Aktywacja to rewelacja { Głupio mi }
{ ... i żyli długo i szczęśliwie ale … #1 } RODC i Exchange Exchange nie współpracuje z RODC w tej samej lokacji Bez zmian dla Exchange 2007 SP1 RODC i Outlook Outlook korzysta z GC wskazanego przez Exchange (patrz powyżej) Exchange nigdy nie wskaże RODC w lokacji klienta Rozwiązanie – KB 319206 (http://support.microsoft.com/kb/319206) Ręczne wskazanie klientowi GC (RODC) z jego lokacji
{ ... i żyli długo i szczęśliwie ale … #2 } RODC i SQL SQL 2005 \ 2008 nie może zostać zainstalowany na RODC Problem: brak możliwości utworzenia odpowiednich grup Nie można tworzyć obiektów na RODC Tak … wiem … to też wiem … i tamto też … Dobre wiadomości: Dla SQL 2008 zostanie to rozwiązane (najprawdopodobniej) Złe wiadomości: Dla SQL 2005 nie ulegnie to zmianie
{ ... i żyli długo i szczęśliwie ale … #3 } Account lockout WAN ON-LINE: konto zablokowane na RODC i RW DC WAN OFF-LINE: konto zablokowane tylko na RODC Jak widać RODC też potrafi pisać do katalogu ??? Informacja o ostatnim logowaniu interaktywnym: WAN ON-LINE: informacja na RODC i RW DC WAN OFF-LINE: informacja tylko na RODC
{ ... i żyli długo i szczęśliwie ale … #4 } Kontrolery domeny Windows 2003 Nie identyfikują poprawnie RODC zarejestrowanych dla lokacji Lokacja z RODC == Lokacja bez DC Auto Site Coverage Rezultat: Windows 2003 DC rejestruje rekordy DNS dla lokacji z RODC Rozwiązanie: poprawka QFE (KB944043) RODC compatibility pack for down-level clients Problem z synchronizacją czasu Problem z dodawaniem do domeny komputerów w DMZ … i jeszcze 8 innych
{ Zarządzanie }
{ Separacja roli administratora } Role administracyjne rozdzielone na poziomie katalogu i lokalnego systemu Lokalna rola administratora na RODC Pozwala na pełne zarządzanie usługami RODC bez uprawnień Domain Admin Oczywiście poza zasobami katalogu Konfigurowana na poziomie katalogu lub lokalnie na RODC Informacja przechowywana w rejestrze lokalnym systemu
{ Separacja roli administratora } Rola administratora RODC konfigurowana na poziomie katalogu: Zarządzana tylko poprzez atrybut katalogu Konfigurowana przez atrybut managedBy na obiekcie RODC Pozwala na instalację / naprawę / zarządzanie RODC Rola administratora RODC konfigurowana lokalnie Konfigurowana przy pomocy NTDSUTIL Pozwala jedynie na zarządzanie RODC
{ … a administrator „biura”} Delegacja uprawnień w ramach katalogu jak w Windows 2003 Ważna zmian … uprawnienia „właściciela” Windows 2003: Delegujemy uprawnienia do tworzenia obiektu Bez możliwości usunięcia „Właściciel” może wszystko … Windows 2008: OWNER RIGHTS (działa tylko na Windows 2008) Możliwość ograniczenia uprawnień „właściciela”
{ RODC i uwierzytelnienie } RODC domyślnie nie przechowuje haseł, z wyjątkiem Lokalnego konta „Kerberos TGT” (CN=krbtgt_<numer>) Atrybut: ms-DS-KrbTgt-Link Własnego hasła komputera Żądania uwierzytelnienia są przekazywane do RW DC Dla użytkowników i komputerów, dla których hasło nie jest lokalnie przechowywane Informacja o obiektach które zostały uwierzytelnione: Obiekt użytkownika: ms-DS-AuthenticatedAt-DC Obiekt DC: ms-DS-AuthenticatedTo-Accountlist
{ Trivia Quiz #2 } LinkID atrybutu ms-DS-KrbTgt-Link to 2100. Jaki jest LinkID atrybutu ms-DS-KrbTgt-Link-BL? 2101
{ Password Replication Policy } Mechanizm pozwalający na ograniczenie ryzyka związanego z hasłami Pozwala na zdefiniowanie listy obiektów dla których hasło może być w lokalnym cache (msDS-RevealOnDemandGroup) Nigdy nie może być lokalnie zapamiętane (msDS-NeverRevealGroup) REPADMIN /PRP VIEW <RODC> ALLOW REPADMIN /PRP VIEW <RODC> DENY Nigdy nie zezwalamy na zapamiętywanie haseł kont uprzywilejowanych
{RODC, we’ve got a problem … } RODC adresuje ważny scenariusz z punktu widzenia bezpieczeństwa Utracony DC (skradziony, zagubiony … ) Co się dzieje z hasłami?? Lokalne konto KRBTG – brak zagrożenia dla całej domeny Ułatwiony reset haseł – lista obiektów z cache: RODC: msDS-RevealedList, ms-DS-Revealed-Users Dla obiektu użytkownika: ms-DS-Revealed-DSAs REPADMIN /PRP <RODC> REVEAL
{ … a jak usunąć hasła z RODC …. } Co zrobić gdy musimy usunąć hasło z RODC: Zmodyfikować PRP – usunąć konto(a) z listy Allow dla RODC Wykonać reset hasła dla kont(a) Usunąć hasła z RODC Wymaga uprawnienia: „Read-Only-Replication-Secret-Synchronization” Użycie operational attribute: rODCPurgeAccount admod –b <RODC DN> rODCPurgeAccount::<account DN>
{ Demo } Sprzątanie po RODC
{ AD Snapshot }
{ Active Directory snapshots } Nie jest to killer feature ale może być przydatne Snapshot - „zrzut” zawartości katalogu na dany punkt w czasie Nie jest to pełny backup, i nie może go zastąpić Możliwe jest zamontowanie „zrzutu” jako równoległej instancji katalogu Ograniczenia: Snapshot obejmuje wszystkie elementy związane z AD Dane pozostają na oryginalnych wolumenach Nie można wykonać snapshot na dysk zewnętrzny Maksymalnie 512 „zrzutów” na jednym DC Czy faktycznie ograniczenie??? Brak UI Czy faktycznie ograniczenie???
{ Snapshot - Reanimacja } Kasujemy konto Dyrektora – niedobrze Teraz: Panika Odtwarzamy backup (o ile go mamy ) DSRM Ntdsutil authoritative restore subtree <DN> Czas: ok. 30 – 60 min. # OS restart: 2 A gdy mamy snapshot: Montujemy snapshot Odtwarzamy obiekt z nagrobka (tombstone) Przywracamy wszystkie atrybuty Czas: ok. 5 min # OS restart: 0
{Reanimacja – How To … } Jak to zrobić: Wykonać snapshot -> ntdsutil snapshot create Zamonotować snapshot -> ntdsutil snapshot mount Uruchomić instancję LDAP -> dsamain.exe Odtworzenie danych: Odzyskanie „nagrobka”: admod.exe, ldp.exe, adrestore.exe Odzyskanie danych z „migawki”: LDIFDE.EXE, VBScript, PowerShell Import danych do katalogu: LDIFDE.EXE, VBScript, PowerShell A gdyby tak prościej 1Identity Snapshot Recovery Tool (http://www.one-identity.net/tools/snapshot/) oirecmgr.exe -o <guid> -sh lhfdc1:1389 -ol -real
{ Demo } Odzyskiwanie danych ze snapshot
{ Podsumowanie }
Heroes {Community} Launch { Dziękujemy! } Heroes {Community} Launch Wrocław 2 czerwca 2008