Wskrzeszanie replikacji między-lokacyjnej Active Directory

3 sierpnia 2015 at 06:55

Dzisiaj będzie trochę o replikacji między-lokacyjnej Active Directory i o tym jak jej nie popsuć przy depromowaniu kontrolera domeny (ewentualnie jak naprawić jeśli już zostało zepsute ) Systemy się zmieniają, wychodzą nowsze wersje – instalujemy świeższe Windowsy, podnosimy poziomy funkcjonalności… ale w tle za tym idą porządki – stare kontrolery domeny trzeba sprzątać! Operacja niby prosta – do wyklikania z GUI + kilka restartów serwera i po bólu – niestety nie zawsze… Dobra rada ‚1’ – ZAWSZE sprawdzaj, czy depromowany kontroler domeny nie pełni właśnie roli ISTG (czy nie jest właśnie punktem połączenia pomiędzy lokacjami Active Directory) Dobra rada ‚2’ – ZAWSZE sprawdzaj czy podczas depromowania kontrolera domeny są dostępne wzorce FSMO. Jeśli oba punkty są spełnione proces przebiegnie bezboleśnie Jeśli ich nie sprawdziłeś wcześniej, a nawet krótkie przerwy w replikacji są źle odbierane przez Twój biznes – musisz to czym prędzej naprawić! Zakładając, że miałeś pecha i właśnie pozbyłeś się kontrolera domeny z rolą ISTG w lokacji, gdzie nie ma kontrolera z rolami FSMO – objawy: – błędy replikacji wskazujące na brak połączenia z kontrolerem domeny (mimo, że już go usunąłeś…) – przy przeglądaniu metadanych AD na kontrolerze w tej samej lokacji co usuwany kontroler – nie ma go […]

Audit of Death – Active Directory

31 lipca 2015 at 09:16

Ostatnio w produkcyjnym środowisku Active Directory (Windowsy Server 2012 R2, FFL 2012 R2, DFL 2012 R2), które jest mocno audytowane przydarzyła się ciekawa przypadłość. Serwery zaczęły się restartować w bardzo krótkich interwałach czasu – od kilku do maksymalnie kilkunastu minut. Objawy w EventLogu: The process wininit.exe has initiated the restart of computer DC1 on behalf of user  for the following reason: No title for this reason could be found  Reason Code: 0x50006  Shutdown Type: restart  Comment: The system process ‚C:\Windows\system32\lsass.exe’ terminated unexpectedly with status code -1073740286.  The system will now shut down and restart. Natomiast przy sesji interaktywnej zalogowanemu użytkownikowi wyświetlał się komunikat z informacją o błędzie oraz o tym, że system zostanie zrestartowany w ciągu minuty: Jak naprawić ten problem? Należy pobrać i zainstalować hotfix’a rozwiązującego problem ze strony: https://support.microsoft.com/en-us/kb/2914387 W przypadku, gdy pojawi się informacja o tym, że Hotfix nie jest kompatybilny z wersją systemu – należy zastosować Workaround, który opisywałem już wcześniej. Jeśli powyższy hotfix nie zadziała, to jest również dostępna inna poprawka:  http://www.microsoft.com/pl-pl/download/details.aspx?id=42160 która naprawia samoczynne restarty systemu operacyjnego skutkujące tymi samymi błędami. Tak więc nie zawsze bezpieczne i audytowane środowisko idzie w parze z zachowaniem ciągłości działania… Nie mniej jednak z audytu AD nie należy! Są […]

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?

29 lipca 2015 at 07:08

Spis treści: 1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro 2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd? 3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić? 4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić? Jako zakończenie cyklu dotyczącego ochrony przed złośliwym oprogramowaniem szyfrującym dane typu CryptoLocker, CryptoWall, Ransomeware itp. czas na sprawy techniczne – czyli to, co Tygryski lubią najbardziej Zacznijmy od sposobu działania oprogramowania szyfrującego. Te gorzej napisane programy działają na zasadzie „podmiany” plików lub z dopisaniem rozszerzenia, czyli mając u siebie plik o nazwie „jakisplik.txt”, złośliwe oprogramowanie próbuje na boku stworzyć plik o nazwie „jakisplik.txt.enrypted”, który będzie zaszyfrowany. Dlaczego akurat tak a nie inaczej? – Ponieważ Crypto* działają po to, aby od użytkownika wymusić opłatę za odszyfrowanie plików – więc musi być jakiś klucz wg. którego pliki zostaną odszyfrowane. I to jest świetna wiadomość! (Niestety czasem znalezienie tego klucza nie jest takie proste…) Jak się obronić przez tymi „najgłupszymi” programami? Przede wszystkim na serwerach plików uruchamiamy Aktywną ochronę plików, która odmawia zapisu plików z rozszerzeniem *.encrypted, *.encrypt, *.enc – skuteczność 110% Nie przywrócisz nawet plików z backupu z takim rozszerzeniem. Ale to działa tylko na serwerach. Co zrobić ze stacją […]

Automatyczne dodawanie nowych podsieci Active Directory

1 lipca 2015 at 14:09

Jak ważny jest porządek w podsieciach i lokacjach Active Directory wie każdy, kto ma styczność z usługami katalogowymi. Nieporządek skutkuje w najlepszym wypadku opóźnionymi czasami logowania i uwierzytelniania oraz przestojami w replikacji, natomiast w najgorszym jest w stanie rozłożyć Active Directory na łopatki. Można mieć 100% procedury zarządzania nowymi podsieciami i przyłączania ich do AD, natomiast zawsze istnieje ryzyko, że coś zostanie pominięte. Aby tego uniknąć można oczywiście zautomatyzować sobie część pracy. Założenia: 1. W Active Directory tworzymy lokację działającą jak czyściec, gdzie trafiać będą wszystkie nowe, nieuwzględnione wcześniej przez administratorów podsieci. Lokację nazywamy ‚Purgatory‚ 2. Wszystkie podsieci w firmie mają maskę /24 (255.255.255.0) 3. Cyklicznie przeglądamy czyściec żeby rozrzucić podsieci do prawidłowych lokacji, lub generujemy jakieś reguły przydziału automatycznego   Od strony technicznej: Na każdym z kontrolerów domeny w lokalizacji: ‚C:\Windows\Debug\Netlogon.log‚ znajduje się plik, gdzie logowane są między innymi zdarzenia o klientach nie przypisanych do żadnej lokacji AD. Każdy taki wpis ma postać:

Wystarczy więc zacząć monitorować zmiany w pliku na kontrolerach domeny i automatycznie przetwarzać dane w nich zawarte. Let’s go 😉

W pierwszym kroku sprawdzamy, czy plik netlogon.log zmienił sie w ciągu ostatniego dnia. Jeśli nie, to nie przetwarzamy danych. Jeśli tak – zaczynamy zabawę […]

Delegacja uprawnień Active Directory z Powershella

1 lipca 2015 at 12:35

O delegacji uprawnień do obiektów Active Directory było już wiele artykułów, ale zdecydowana większość z nich  opiera się o przeklikiwanie delegacji z interfejsu graficznego. Nie dość, że zajmuje to sporo czasu, to odnalezienie szczegółowego atrybuty, do którego chcemy przekazać kontrolę innej osoby może skończyć się oczopląsem… 😉 Jak więc zrobić to szybciej i sprawniej? Oczywiście wykorzystując Powershella. Niezbędna będzie zainstalowana przystawka Quest AD Management (dla mnie wygodniejsza niż natywny moduł do AD)

I teraz załóżmy, że chcemy wydelegować uprawnienia do modyfikacji atrybutu ‚physicalDeliveryOfficeName’ użytkowników w jednostce „OU=IT,DC=mkrzanowicz,DC=corp” dla grupy „PhoneAdmins”: Wystarczy, że w tym celu wykorzystamy polecenie:

Jesli uprawnienia mają być delegowane również „w dół” to używamy przełącznika -ApplyTo ‚ChildObjects’ w przeciwnym wypadku -ApplyTo ‚ThisObjectOnly’. Jeśli chcemy jawnie odmówić jakiegoś uprawnienia, to dorzucamy przełącznik -Deny W przypadku, gdy chcemy zastosować do konkretnych obiektów, to uwzględniamy je w przełączniku -ApplyToType  np: ‚group’, ‚organizationalUnit’,’user’ itd. Natomiast typ delegowanych uprawnień obsługujemy przełącznikiem -Rights np: ‚ReadProperty’,’WriteProperty’, ‚CreateChild’  itd. Jeśli wykorzystamy uprawnienie ‚CreateChild’ to możemy dodatkowo określić jakich typów będzie ono dotyczyć np: -ChildType ‚user’   Polecenie jest na prawdę bardzo użyteczne i pozwala wykonać zasadniczo każą, najbardziej zawiłą delegacje uprawnień. Ostatecznie możemy również uprawnienia skopiowac z wzorcowej jednostki 1:1 poleceniem:

Enjoy! 😉

© Marcin Krzanowicz