Ups, właśnie skasowałem to konto

Prezentacja na temat: "Ups, właśnie skasowałem to konto"— Zapis prezentacji:

1 Ups, właśnie skasowałem to konto
Tomasz Onyszko Partner | Connected Dots Ups, właśnie skasowałem to konto

2 Agenda Był sobie użytkownik, czyli (prawie) wszystko o odzyskiwaniu skasowanych obiektów w ramach katalogu Mniej standardowe mechanizmy DR Speakers: This slide is ONLY for agenda. Use next slide to all presentations slides.

3 Co prezenter miał na myśli
Świadomość co do działania mechanizmów odzyskiwania obiektów Wiedza dotycząca możliwości i sposobów odzyskania danych Zrozumienie mechanizmów Active Directory mających wpływ na DR

4 Był sobie człowiek

5 Co się właśnie stało? Skasowanie użytkownika (Windows 2003 / 2008 / 2008R2 bez Recycle Bin) Obiekt użytkownika zamieniany jest w tombstone (atrybut isDeleted == TRUE) Przesunięty do kontenera Deleted Objects 26-ty bit systemFlags na obiekcie nie ustawiony Zachowuje podstawowe atrybuty objectGUID, objectSID, sIDHistory, nTSecurityDescriptor itp. -> 4’ty bit searchFlags lub hardcoded

6 Jak długo żyje nagrobek?
Czas definiowany przez atrybut tombstoneLifetime Liczba dni przed usunięciem obiektu fizycznie z bazy danych AD Liczba dni ważności kopii zapasowych

7 Jak długo żyje nagrobek?

8 Jak długo żyje nagrobek?
Tombstone Object Windows Server 2003 /2008 - bez Recycle Bin Garbage Collection Brian Odzyskanie Skasowanie Tombstone Lifetime

9 Kto to zrobił? Wbudowane mechanizmy audytu systemu Aby zadziałały:
Audit policy -> Audit Directory Service Access Windows 2008 i wyżej: Konfiguracja SACL Logowane w dzienniku zdarzeń EventID: 4726 lub 5141

10 Kto to zrobił? A gdy audyt nie był włączony?
Analiza metadanych replikacji obiektu Co: isDeleted = TRUE Gdzie: Originating DSA Kiedy: Originating Time

11 Cofnąć czas

12 Opcje odzyskania obiektu
Odtworzenie obiektu z kopii zapasowej (wszystkie wersje) Reanimacja obiektu (≥ 2003) Reanimacja obiektu + AD snapshot (≥ 2008) AD Recycle Bin (≥ 2008 R2)

13 Odtworzenie obiektu z kopii
Wymagany System state kontrolera domeny zawierający obiekt Alternatywa: DC/GC który jeszcze nie zreplikował informacji o skasowaniu. Uruchomienie DC w trybie Directory Services RestoreMode Przywraca (prawie) wszystkie atrybuty obiektu Dodatkowe operacje po odtworzeniu

14 Odtworzenie obiektu z kopii
Odtworzenie obiektu zwiększa wersje atrybutów: x liczba dni od daty kopii zapasowej Możliwe samodzielne zwiększenie wersji Od Windows 2003 SP1: data ostatniego backupu

15 Reanimacja obiektu Ręczne ożywienie nagrobka:
Usunięcie atrybutu isDeleted Przeniesienie obiektu do istniejącego OU: zmina distinguishedName Nie wymaga restartu i kopii zapasowej Przywraca ten sam obiekt Nie przywraca żadnych atrybutów poza atrybutami tombstone

16 Przywróć mnie Joe

17 Prawdziwy problem Linked attributes: Pary atrybutów (DN) połączone ze sobą Relacje automatycznie utrzymywane przez katalog

18 Połączone atrybuty Dwa tryby replikacji: Standardowy (NON-LVR)
Linked Value Replication (LVR) (FFL ≥ W2003 Native)

19 Połączone atrybuty Odtworzenie linków NON-LVR
Off-line: Odtworzenie obiektów połączonych Odtworzenie użytkownika Odtworzenie obiektów zawierających link do użytkownika On-line: skopiowanie danych z odzyskanej kopii przed replikacją Odtworzenie grupy Zablokowanie replikacji Zrzut informacji o grupach

20 Połączone atrybuty Odtworzenie atrybutów połączonych
OS version < Windows 2003 SP1 1 domena: przywracane są wartości LVR Wartości nie replikowane z LVR: tak jak w Windows 2000 > 1 domena: tak jak w Windows 2000 OS version ≥ Windows 2003 SP1 Nowa funkcjonalność NTDSUTIL Generowane są pliki LDIF zawierające uaktualnienia atrybutów połączonych

21 NTDSUTIL i LVR

22 Idzie nowe

23 Recycle-Bin Opcjonalna funkcjonalność Windows 2008 R2
Nie włączona domyślnie (opcja) Wymaga FFL ≥ Windows 2008 R2 Nowa funkcjonalność kasowania obiektów Obiekty przechowywane są w stanie Deleted Zachowują wszystkie atrybuty (włączając w to linki) Przywracanie obiektu poprzez reanimację on-line

24 Zwraca Deleted i Recycled
Recycle-Bin 180 dni Windows Server 2008 Brian Tombstone Object Garbage collection Zwraca Tombstones LDAP OID Zwraca Deleted Windows Server 2008 R2 - z włączonym Recycle Bin LDAP OID Zwraca Deleted i Recycled Brian Deleted Object Recycled Object Garbage collection 180 Days 180 Days

25 Trzeba wiedzieć Wpływ na DIT Pierwszy DC generuje ruch replikacji
isRecycled = True dla wszystkich skasowanych obiektów Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia Dostępy poprzez Powershell (brak GUI) Po ustawienia isRecycled==TRUE, blokowane jest odzyskiwanie tombstone

26 Trzeba wiedzieć Czas życia obiektów:
Deleted object (DOL): msDS-DeletedObjectLifetime Recycled objects (ROL): tombstoneLifetime Czas życia kopii zapasowych: MIN (DOL, ROL) Domyślnie zablokowana możliwość odtworzenia obiektu Recycled

27 Recycle Bin

28 Alternative version

29 Przykład dobry: Dane DNS
Strefy zintegrowane z AD Odzyskiwane jak inne obiekty AD A gdyby tak inaczej: Member server z kopią stref w trybie standard W przypadku skasowania: Transfer strefy z serwera zapasowego Zmiana z Standard na AD Interated

30 Szybkie DNS recovery

31 Przykład zły: Obrazy i dyski
DC nie utrzymuje samodzielnie informacji o stanie replikacji Informacja o stanie replikacji jest rozproszona w katalogu Każdy DC utrzymuje swoje dane oparty o numery sekwencyjne USN USN lokalne dla każdego DC Zależne od InvocationID – wersji bazy danych Przywrócenie obrazu dysku lub VM USN roll-back USN bubble

32 USN roll-back

33 USN roll-back

34 USN roll-back

35 Zmierzając ku końcowi

36 Trzy kroki do spokojnego życia
PLAN PROCEDURY WERYFIKACJA

37 Oceń moją sesję Ankieta dostępna na stronie www.mtskonferencja.pl
Speakers: Please do not remove nor edit this slide! This is information about evaluation form.

38