Ups, właśnie skasowałem to konto Tomasz Onyszko Partner | Connected Dots Ups, właśnie skasowałem to konto
Agenda Był sobie użytkownik, czyli (prawie) wszystko o odzyskiwaniu skasowanych obiektów w ramach katalogu Mniej standardowe mechanizmy DR Speakers: This slide is ONLY for agenda. Use next slide to all presentations slides.
Co prezenter miał na myśli Świadomość co do działania mechanizmów odzyskiwania obiektów Wiedza dotycząca możliwości i sposobów odzyskania danych Zrozumienie mechanizmów Active Directory mających wpływ na DR
Był sobie człowiek
Co się właśnie stało? Skasowanie użytkownika (Windows 2003 / 2008 / 2008R2 bez Recycle Bin) Obiekt użytkownika zamieniany jest w tombstone (atrybut isDeleted == TRUE) Przesunięty do kontenera Deleted Objects 26-ty bit systemFlags na obiekcie nie ustawiony Zachowuje podstawowe atrybuty objectGUID, objectSID, sIDHistory, nTSecurityDescriptor itp. -> 4’ty bit searchFlags lub hardcoded
Jak długo żyje nagrobek? Czas definiowany przez atrybut tombstoneLifetime Liczba dni przed usunięciem obiektu fizycznie z bazy danych AD Liczba dni ważności kopii zapasowych
Jak długo żyje nagrobek?
Jak długo żyje nagrobek? Tombstone Object Windows Server 2003 /2008 - bez Recycle Bin Garbage Collection Brian Odzyskanie Skasowanie Tombstone Lifetime
Kto to zrobił? Wbudowane mechanizmy audytu systemu Aby zadziałały: Audit policy -> Audit Directory Service Access Windows 2008 i wyżej: Konfiguracja SACL Logowane w dzienniku zdarzeń EventID: 4726 lub 5141
Kto to zrobił? A gdy audyt nie był włączony? Analiza metadanych replikacji obiektu Co: isDeleted = TRUE Gdzie: Originating DSA Kiedy: Originating Time
Cofnąć czas
Opcje odzyskania obiektu Odtworzenie obiektu z kopii zapasowej (wszystkie wersje) Reanimacja obiektu (≥ 2003) Reanimacja obiektu + AD snapshot (≥ 2008) AD Recycle Bin (≥ 2008 R2)
Odtworzenie obiektu z kopii Wymagany System state kontrolera domeny zawierający obiekt Alternatywa: DC/GC który jeszcze nie zreplikował informacji o skasowaniu. Uruchomienie DC w trybie Directory Services RestoreMode Przywraca (prawie) wszystkie atrybuty obiektu Dodatkowe operacje po odtworzeniu
Odtworzenie obiektu z kopii Odtworzenie obiektu zwiększa wersje atrybutów: 100 000 x liczba dni od daty kopii zapasowej Możliwe samodzielne zwiększenie wersji Od Windows 2003 SP1: data ostatniego backupu
Reanimacja obiektu Ręczne ożywienie nagrobka: Usunięcie atrybutu isDeleted Przeniesienie obiektu do istniejącego OU: zmina distinguishedName Nie wymaga restartu i kopii zapasowej Przywraca ten sam obiekt Nie przywraca żadnych atrybutów poza atrybutami tombstone
Przywróć mnie Joe
Prawdziwy problem Linked attributes: Pary atrybutów (DN) połączone ze sobą Relacje automatycznie utrzymywane przez katalog
Połączone atrybuty Dwa tryby replikacji: Standardowy (NON-LVR) Linked Value Replication (LVR) (FFL ≥ W2003 Native)
Połączone atrybuty Odtworzenie linków NON-LVR Off-line: Odtworzenie obiektów połączonych Odtworzenie użytkownika Odtworzenie obiektów zawierających link do użytkownika On-line: skopiowanie danych z odzyskanej kopii przed replikacją Odtworzenie grupy Zablokowanie replikacji Zrzut informacji o grupach
Połączone atrybuty Odtworzenie atrybutów połączonych OS version < Windows 2003 SP1 1 domena: przywracane są wartości LVR Wartości nie replikowane z LVR: tak jak w Windows 2000 > 1 domena: tak jak w Windows 2000 OS version ≥ Windows 2003 SP1 Nowa funkcjonalność NTDSUTIL Generowane są pliki LDIF zawierające uaktualnienia atrybutów połączonych
NTDSUTIL i LVR
Idzie nowe
Recycle-Bin Opcjonalna funkcjonalność Windows 2008 R2 Nie włączona domyślnie (opcja) Wymaga FFL ≥ Windows 2008 R2 Nowa funkcjonalność kasowania obiektów Obiekty przechowywane są w stanie Deleted Zachowują wszystkie atrybuty (włączając w to linki) Przywracanie obiektu poprzez reanimację on-line
Zwraca Deleted i Recycled Recycle-Bin 180 dni Windows Server 2008 Brian Tombstone Object Garbage collection Zwraca Tombstones LDAP OID 1.2.840.113556.1.4.417 Zwraca Deleted Windows Server 2008 R2 - z włączonym Recycle Bin LDAP OID 1.2.840.113556.1.4.2064 Zwraca Deleted i Recycled Brian Deleted Object Recycled Object Garbage collection 180 Days 180 Days
Trzeba wiedzieć Wpływ na DIT Pierwszy DC generuje ruch replikacji isRecycled = True dla wszystkich skasowanych obiektów Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia Dostępy poprzez Powershell (brak GUI) Po ustawienia isRecycled==TRUE, blokowane jest odzyskiwanie tombstone
Trzeba wiedzieć Czas życia obiektów: Deleted object (DOL): msDS-DeletedObjectLifetime Recycled objects (ROL): tombstoneLifetime Czas życia kopii zapasowych: MIN (DOL, ROL) Domyślnie zablokowana możliwość odtworzenia obiektu Recycled
Recycle Bin
Alternative version
Przykład dobry: Dane DNS Strefy zintegrowane z AD Odzyskiwane jak inne obiekty AD A gdyby tak inaczej: Member server z kopią stref w trybie standard W przypadku skasowania: Transfer strefy z serwera zapasowego Zmiana z Standard na AD Interated
Szybkie DNS recovery
Przykład zły: Obrazy i dyski DC nie utrzymuje samodzielnie informacji o stanie replikacji Informacja o stanie replikacji jest rozproszona w katalogu Każdy DC utrzymuje swoje dane oparty o numery sekwencyjne USN USN lokalne dla każdego DC Zależne od InvocationID – wersji bazy danych Przywrócenie obrazu dysku lub VM USN roll-back USN bubble
USN roll-back
USN roll-back
USN roll-back
Zmierzając ku końcowi
Trzy kroki do spokojnego życia PLAN PROCEDURY WERYFIKACJA
Oceń moją sesję Ankieta dostępna na stronie www.mtskonferencja.pl Speakers: Please do not remove nor edit this slide! This is information about evaluation form.