Архив

Публикации с меткой ‘active directory’

6425A Microsoft AD 2008 Learning (Star-s) день пятый

20 Сентябрь 2009 Comments off

6425A Microsoft AD 2008 Learning (Star-s) день пятый6425A: Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services

Тренер: Егор Полосухин

день 5.
Мониторинг Active DirectoryReliability and Performance Monitor, есть возможность создавать алерты с  уведомлением.Monitoring Active Directory - http://technet.microsoft.com/ru-ru/library/bb727046(en-us).aspxActive Directory Baseline -Deploying Active Directory for Branch Office Environments Chapter 9 – Post Deployment Monitoring of Domain Controllershttp://go.microsoft.com/fwlink/?LinkId=99516
Active Directory auditing (Аудит AD).настройка: вкл. аудит в GPO (Security Settings – Local Policies – Audit Policy)и в свойствах индивидуальных групп тоже необходимо проставить Аудит. AD DS Auditing Step-by-Step Guide (Пошаговое руководство по аудиту изменений в доменных службах Active Directory в Windows Server 2008) там же список Event’ов. - http://technet.microsoft.com/ru-ru/library/cc731607(WS.10).aspx Windows Event Collector – CMD: wecutil qc (Y)
Windows Remote Management - winrm quickconfig and Y
Вопросы архивирования, восстановления AD.работа базы AD :

File

Ntds.dit – Файл базы

Edb*.log – transaction log file

Edb.chk – checkpoint file

ebdres00001.jrs and ebdres00002.jrs – reserved transaction log files (используются если нет места на диске)How the Data Store Workshttp://go.microsoft.com/fwlink/?LinkId=101077
Утилита для обслуживания базы AD – ntdsutil.exe- перенос файла базы- дефрагментация файла базы- делать снапшоты базы (для оффлайн просмотра)- управлять ролями FSMO
dcpromo /forceremoval – принудительное удаление AD (если недоступен GC или другие DC леса)после этого ntdsutil /metabasecleanup (для очистки AD и GC от DC и доменов не существующих)Смотреть справку к NTDSUTIL

Data Store Tools and Settings http://go.microsoft.com/fwlink/?LinkId=101078
Каждые 12 часов происходит «очистка мусора в базе AD», в том числе и дефрагментация. для оффлайн дефрагментации базы, остановка служб AD:- загрузиться в DSRM режиме- В 2008 можно остановить службу DSntdsutil – files – d:tmp (будет создана фрагментированная копия базы)Performing offline defragmentation of the Active Directory database - http://support.microsoft.com/kb/232122
перенос файлов базы (по умолчанию c:windowsntds): - остановить службу базы - ntdsutil – files – move db to d:NTDS (для логов move db to d:NTDS ) как обезопасить DC: минимальный набор сервисов для AD DS

  • Active Directory Domain Services
  • DNS Client
  • NetLogon
  • TCP/IP NetBIOS Helper
  • Windows Time
  • Workstation
  • Distributed File System
  • DNS Server
  • File Replication Service
  • Kerberos Key Distribution Center
  • Intersite Messaging
  • Remote Procedure Call (RPC) Locator

- Security Configurations Wizard

Security Configuration Wizard Overview - Общие сведения о мастере настройки безопасности -

http://technet.microsoft.com/ru-ru/library/cc757550(WS.10).aspx

Архивирование DC: что бэкапит System State Data:

Registry

COM+ Class Registration database

Boot files, as described earlier in this topic

Active Directory Certificate Services database

AD DS database

SYSVOL directory

Cluster service information

Microsoft Internet Information Services (IIS) metadirectory

System files that are under Windows Resource Protection

утилита - Windows Server Backup :The system volume: This hosts the boot files, which consists of the Bootmgr file and the Boot Configuration Data (BCD) store.

The boot volume: This hosts the Windows operating system and the Registry.

The volume that hosts the SYSVOL tree.

The volume that hosts the AD DS database (Ntds.dit).

The volume that hosts the AD DS database log files.

Step-by-Step Guide for Windows Server 2008 Active Directory Domain Services Backup and Recoveryhttp://go.microsoft.com/fwlink/?LinkId=101087Пошаговое руководство по архивации и восстановлению данных в доменных службах Active Directory - http://technet.microsoft.com/ru-ru/library/cc771290(WS.10).aspx Wbadmin (командная строка)WBAdmin Start Systemstatebackup –backuptarget:E: Восстановление DC:Windows RE (Recovery Enviroment) – начать установку с носителя Windows, войти в консоль восстановления. Рекомендуемая книжка: Active Directory Disaster Recovery, Expert guidance on planning and implementing Active Directory disaster recovery plans, Florian Rommel.
Рекомендуемая стратегия восстановления: поднять в виртуалке дополнительный домен контроллер в отдельном сайте с расписанием репликачии побольше. тем самым удалив кого-то на DC, мы на отдельном сайте можем поднять номер версии для объекта тем самым  он перезапишеться на основном DC. Вариант восстановления - normal restore (не позволяет восстановить удаленные объекты):- загрузка в DSRM (F8) или перед перезагрузкой bcdedit /set safeboot dsrepairвходим под учеткой DSRM (отдельный пароль для восстановления AD)- WBackup (из ночной базы)- Репликацией приходят изменения.
Вариант восстановления – Authoritative restore:- загрузка в DSRM (F8) или перед перезагрузкой bcdedit /set safeboot dsrepairвходим под учеткой DSRM (отдельный пароль для восстановления AD)- WBackup (из ночной базы)- для увеличения номера версии объекта в базе, ntdsutil:authoritative restore - restore subtree DistinguishedName- Adrestore (снимаем пометку Tomb stone), теряет членство в группах и т.п. Использование моментальных снимков (database snapshots)ntdsutil – snapshop c:snap1просмотр снимка при помощи утилиты Dsamain, будет доступен при помощи стандартных средств работы с AD на отдельно выбранном порту.Database Mounting Tool - http://go.microsoft.com/fwlink/?LinkId=101089Доменные службы Active Directory: средство подключения баз данных - http://technet.microsoft.com/ru-ru/library/cc753246(WS.10).aspx
AD DS troubleshooting- event log- System Center Operations Manager 2007
Overview of Active Directory Troubleshootinghttp://go.microsoft.com/fwlink/?LinkId=101093

Problem Troubleshooting Guidelines
Physical network issues
  • Use Ipconfig to verify the user’s IP address, subnet mask, gateway and name servers.
  • Verify the client can ping the server by IP address.
Name resolution issues
  • Verify the client can ping the server by name.
  • Use DNS Manager or NSlookup to verify that the DNS server is correctly resolving names.
  • Verify that the DNS server has correct SRV resource records for all domain controllers.
  • Verify that no improper name resolution method, such as an incorrect host file, is being used.
  • Use Ipconfig on the client to flush the resolver cache.
Login issues
  • Use NetDiag to verify that the client can contact its domain controller.
  • Use Active Directory Users and Computers, or Computer Management to verify that the username/password is correct.
  • Verify that the correct domain or local computer name has been chosen.
  • Verify the token SmartCard certificate or configuration.
  • Use AD Users and Computers to verify that the user account is not locked out, or does not have time/location restrictions.
  • Use gpresult or AD resultant set of policy (RSoP) to verify that the client is using time the correct authentication protocol.
  • Use the NET TIME command to verify the time synchronization between client and domain controller.
  • Use Repadmin to verify that user account changes have been replicated to the domain controller processing the logon request.
Unavailable server or service
  • Use the Control Panel Services Applet or the Event Viewer to verify that the service is running and has not stalled.
  • Verify that the others can connect to the same service.
Resource Access Control List restrictions
  • Verify permissions on the resource ACL, including AD DS permissions.
  • Check user group memberships.
Configuration issues
  • Verify correct configuration of user account, client, server, service, and network devices.
  • Verify that there is no client/server/intermediate device firewall blocking the connection.
Group Policy
  • Use gpresult.exe, or AD RSoP to identify Group Policy and logon script issues. Use gpupdtate.exe to update policy on the client without rebooting.

Windows Server 2003 Active Directory Branch Office Guide http://go.microsoft.com/fwlink/?LinkId=101095

Analyzing performance data – Анализ данных о производительности - http://technet.microsoft.com/ru-ru/library/cc784871(WS.10).aspx
Проблемы с разрешением DNS (Diagnosing Name Resolution Problems) - http://technet.microsoft.com/ru-ru/library/cc959340(en-us).aspx тестирование DNS соединений : NetDiagсброс DNS cache: ipconfig /flushdns
просмотр DNS кэш: ipconfig /displaydns, на сервере в консоли.
проверка регистрации A записи в DNS: dcdiag /test:registerindns /dnsdomain:<domain FQDN> /v проверка соединений DNS  с DC (DNS): dcdiag /test:dnsдля регистрации SRV записей нужно перегрузить сервис netlogon на DC
Проблемы зональное передачи: Troubleshooting zone problems – Устранение неполадок зон - http://technet.microsoft.com/ru-ru/library/cc737346(WS.10).aspx
Проблемы с репликацией.порты используемые при репликации AD:

LDAP udp 389

tcp 389
LDAP (SSL) udp 636

tcp 636
Kerberos udp 88

tcp 88
DNS udp 53

tcp 53
SMB over IP udp 445

tcp 445
Global Catalog Server tcp 3269

tcp 3268

Troubleshooting Active Directory Replication Problemshttp://technet.microsoft.com/ru-ru/library/cc738415(WS.10).aspx Утилита repadmin.синтаксис: repadmin command arguments [/u:[domain]user /pw:{password|*}]repadmin /showrepsrepadmin /showvectorrepadmin /showconnrepadmin /replicaterepadmin /syncall синтаксис: dcdiag command arguments [/v /f:LogFile /ferr:ErrLog ].тесты dcdiag /test:Connectivity
Replications
NetLogons
Intersite
FSMOCheck
Services
Kccevent
Topology Sysvol релицируется старой службой FRS, средства диагностики FRS:Ntfrsutl sets servernameNtfrsutl forcerepl servername /r SetName /p DNSNameFRSDiagDfsradmin healthTroubleshooting File Replication Servicehttp://go.microsoft.com/fwlink/?LinkId=101112

Replication of Group Policy settings between domain controllers fails http://go.microsoft.com/fwlink/?LinkId=101113

Решение проблем с GPO.На данный момент нет средств позволяющих проталкивать групповые политики на клиенты. как посмотреть тикеты на клиенте: утилита kerbtray, позволит понять зашел ли юзер под кешированными полномочиями. Netdiag
Ping
NSlookup
Set
Kerbtray Group Policy Troubleshootinghttp://technet.microsoft.com/ru-ru/library/cc736961(WS.10).aspx
Group Policy reporting
GPResult
Gpotool
Gpupdate
Dcgpofix
GPOLogView
Group Policy Management ScriptsGPMonitor.exe
Links:

GPO в системноми реестре

HKLMSoftwarePolicies

HKLMSoftwareMicrosoftWindowsCurrentVersionPolicies

HKCUSoftwarePolicies

HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

Fixing Administrative Template policy setting problemshttp://technet.microsoft.com/ru-ru/library/cc780392(WS.10).aspxTroubleshooting Group Policy application problems – Устранение неполадок, связанных с применением групповой политики - http://support.microsoft.com/kb/250842 Проблемы с запуском скриптов через GPO: режимы: – асинхронно (по умолчанию – startup) - синхронно (по умолчанию – logon) Информация о скриптах режит в реестре на клиентских машинах:

HKCUSoftwarePoliciesMicrosoftWindowsSystemScripts (User Scripts)

HKLMSoftwarePoliciesMicrosoftWindowsSystemScripts (Machine Scripts)

Fixing Scripts policy settings problemshttp://technet.microsoft.com/ru-ru/library/cc781809(WS.10).aspx

  • Share/Bookmark
Categories: Windows, sysadmin Tags: , ,

6425A Microsoft AD 2008 Learning (Star-s) день четвертый

20 Сентябрь 2009 Comments off

6425A Microsoft AD 2008 Learning (Star-s) день четвертый
6425A: Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services
Тренер: Егор Полосухин
день 4.

GPO templates
ADMX Файлы на xml, с расширенными настройками в отличии от ADM. Windows 2008 поддерживает и ADm.
Admx файлы не дублируются в каждой GPO, их не нужно класть в каждый GPO а кладется в спец.каталог в Sysvol.
на ПК ADM файлы находятся %SystemRoot%Inf
в Windows Vista или Windows Server 2008 workstation (windows 7) в %systemroot%PolicyDefinitions а далее разбито по языкам.
Решение конфликтов при применении GPO, приоритет в пользу последнего GPO (чем ниже тем важнее).
GPO filtering (фильтры применения).
Security Filtering, WMI filtering
если нужно применять ко всем кроме, то можно использовать Delegations (advanced – группа или юзер – deny (read and apply GPO))
WMI filtering, составляются Query (на языке WQL). На microsoft.com есть конструктор.
Режим loopback processing
Replace – применяются только User Policy из GPO на комп
Merge – применяются вместе, но приоритет при конфликтах у GPO на комп.
File-1
Мигрирование GPO (конвертирование ADM в ADMX): ADMX Migratorhttp://go.microsoft.com/fwlink/?LinkId=99466
Helpdesk group в локальные админы на компах через Restricted Groups
Группы с ограниченным доступом - http://technet.microsoft.com/ru-ru/library/cc785631(WS.10).aspx
File-2
  • Share/Bookmark
Categories: Windows, sysadmin Tags: , ,

6425A Microsoft AD 2008 Learning (Star-s) день третий

20 Сентябрь 2009 Comments off

6425A Microsoft AD 2008 Learning (Star-s) день третий
6425A: Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services
Тренер: Егор Полосухин
день 3.
трасты
траст должен быть обратным необходимому доступу.
Kerberos realm – траст с доменом не на Windows AD
управление трастами – в консоли domain and trusts
или
netdom trust …
Ввести компьютер в домен может любой пользователь домена, обладая правами локального администратора на компьютере.
аттрибут:
msDS-MachineAccountQuota (по умолчанию 10)
При удалении объекта из AD, он не удаляется а помечается как удаленный (изменяется параметр tombstone) и храниться около 180 дней.
в 2008 server R2, есть корзина.
можно восстанавливать через Sysinternals Adrestore.
или ntdsutil.exe (посмотреть список удаленных объектов и восстановить значение tombstone, на технете есть статья).
репликация:
принудительная репликация – консоль Sites and Services – site – DCname – NTDS – Replicate to from.
KCC (Knowledge Consistency Checker) отвечает за потроение топологии репликации.
Статья на технете по использованию AD между файрволами  - http://support.microsoft.com/kb/179442/ru
Active Directory Replication over Firewalls - http://technet.microsoft.com/ru-ru/library/bb727063(en-us).aspx
Режим кеширования универсальных групп – консоль Sites and Services – site – DCname – NTDS – Enable Universal Group Membership Caching
dg2nf24x_193fvfbk3d5_b
мониторинг репликации
repadmin /showrep DCname
replmon (в 2008 её нет, но её можно загрузить отдельно от 2003)
dcdiag /test:replications
nltest
Групповые политики (GPO):
приоритет политик – снизу важнее, если не Enforced
Применение политик происходит с правами аккунта System
Computer configuration является приоритетнее User configurations
интервал обновления GPO для рабочих станций – 90 мин, для DC чаще. (можно менять)
Параметры применения политик задается в Default Domain Policy: Computer Config – Policies – Administration Temlates – System – Group Policy
GPO объекты лежат в AD: консоль Users and Computers (adv. view) – domain – System – policies
на DC в Sysvol
  • Share/Bookmark
Categories: Windows, sysadmin Tags: , , ,

6425A Microsoft AD 2008 Learning (Star-s) день второй

18 Август 2009 Comments off

6425A Microsoft AD 2008 Learning (Star-s) день второй
6425A: Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services
день 2.
SRV запись (формат)
_Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target
Если DNS не поддерживает динамические апдейты, файл зоны храниться в тестовом формате: C:WINDOWSsystem32confignetlogon.dns
Если зона не интегрированная в AD, то она лежит в текстовом файле: C:WINDOWSsystem32dnsdomain.com.dns
Если зона находиться не на контроллере, она храниться только в текстовом формате. Интегрированные в AD зоны могут находиться только на DC.
посмотреть SRV записи через netlogon
ls -t SRV domain.com
dnscmd /enumdirectorypartitions
Утилиты для работы с Application Partition
ldp.exe adsiedit.msc ntdsutil.exe
чтобы небыло каши с записями в днс из-за межсайтовых соединений – можно в свойствах соединения для местной сети
снять галку в настройках сетевого подключения – register this conn…. in dns
File
RODC DNS
Install the DNS Server service

  • Use the Start /w Ocsetup DNS-Server-Core-Role to install the DNS server role.

  • Configure the DNS server to support all domain-wide and forest-wide zones.

Dnscmd /enlistdirectorypartition DomainDnsZones.woodgrovebank.com

Dnscmd /enlistdirectorypartition ForestDnsZones.woodgrovebank.com

Стратегии использования групп:
- AP (AccountPermissions) – нерекомендуемый способ
- AGP (ADLP) – рекоменд. для мелких организаций
- AGDLP  - рекоменд. для крупных
- AGUDLP
В локальную группу домена можно включать глобальные группы домена вне леса, но с трастами.
AD user and group command line tools
dsget
dsadd
dsmod
dsmove
dsquery
dsrm
net user
net group
net computer
Для выполнения пакетных операций с Ad, утилиты:
csvde – работает с CSV
ldifde
Ну и конечно Powershell для создания скриптов.
  • Share/Bookmark
Categories: Windows, it, sysadmin Tags: ,

6425A Microsoft AD 2008 Learning (Star-s) день первый

17 Август 2009 Comments off

6425A: Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services
День 1.
стратегии именования доменных имен:
1.Одинаковые
2.разные
3. int является дочерним ext
восстановление пароля DRSM admin
ntdsutil:
set DRSM password
DCPromo
режим Advanced
есть возможность первичной репликации с внешнего носителя для сокращения трафика через WAN (ntdsutil – ifm)

Steps for creating installation media

To create installation media, log on to a domain controller using an account that has permission to make a backup. Then complete the following steps:

  1. Start an elevated command prompt.

  2. Type ntdsutil, and then press ENTER.

  3. At the ntdsutil prompt, type activate instance ntds, and then press ENTER.

  4. At the ntdsutil prompt, type ifm, and then press ENTER.

  5. At the ifm: prompt, type the command for the type of installation media that you want to create, and then press ENTER. For example, to create RODC installation media that does not include SYSVOL data, type Create rodc C:InstallationMedia, and press ENTER.  you can refer to the shared folder or removable media where you store the installation media on the Install from Media page in the Active Directory Domain Services Installation Wizard, or by using the /ReplicationSourcePath parameter during an unattended installation.

Папки домена:
SYSVOL – папка для групповых политик
Netlogon  – папка для скриптов при логоне
При проверке установленного DC, можно принудительно рестартовать службу Netlogon, если какая либо из SRV записей не создана – появится ошибка в Events.
обновление до 2008
1.Миграция, вводиться новый ДК как Child к одному  из лесов, при помощи ADMT – мигрировать базу юзеров и т.п.
2. Обновление: вводим новый 2008 как ДК, переносим роли FSMO, GС, и потом удаление старого ДК (сначала понижение до рядового сервера (dcpromo).
чтобы ДК 2000 подготовить к переходу на 2008 (adprep /domainprep /gpprep )
в 2003 - /gpprep – не нужно
чтобы добавить RODC - adprep /rodcprep
RODC – на rodc есть группа администраторов сервера RO, но без редактирования базы AD. DNS – Тоже RO.
Для использования RODC  в лесу и домене w2003, нужно иметь хотябы один DC на windows 2008 server, после этого можно устанавливать RODC.
Сервер глобального каталога (Global Catalog) - http://technet.microsoft.com/ru-ru/library/cc733162(WS.10).aspx
нужен в случаях:
- авторизация по UPN (user principal name)
- если создаем обьект с уникальными аттрибутами, для проверки уникальности во всем лесу доменов.
GC – хранит инфу о всех пользователей домена и производит сопоставления пользовательских данных во всех домена леса.
UPN суффиксы можно менять (Domain Trusts and …)
SRV запись _gc
приоритет: 0 – наиболее приоритетный ,если одинаково то смотриться вес.
вес: чем ниже тем выше вес.
_kerberos – KDC, отвечает за выдачу тикетов.
_kpasswd – сервер для смены паролей.
_ldap – служба обеспеч. хранение каталога АД, процесс авторизации.
папка _msdcs – сведения о SRV записям будут доступны по всему лесу.
оснастка Active Directory Scheme, в ней можно поставить чекбокс (Replicate This Attribute To The Global Catalog) для публикации аттрибутов через GC.
Роли:
2 роли – леса: Schema master, Domain naming master
3 роли – домена: RID master, PDC emulator, Infrastructure master
смена владельца роли:
- передача из GUI
- захват через ntdsutil (roles – seize или transfer)
Сервер корпоративного лицензирования: необязательная роль, но нужная при сервере терминальных лицензий.
Рекомендация: dcdiag – тесты работоспособности AD.
Настройка времени (PDC): net time \server /set
w32tm
  • Share/Bookmark
Categories: Windows, it, sysadmin Tags: , ,