Hasło DSRM powiązane z użytkownikiem domenowym

2 września 2015 at 08:02

Hasło DSRM (Directory Services Restore Mode) przez wielu administratorów jest (NIESTETY) traktowane po macoszemu. Często sprowadza się to do jego wpisania przy promowaniu kontrolera domeny i zapomnieniu. W niektórych wypadkach wynika to z przekonania, że przecież zawsze owe hasło można zmienić poceniem:

– Zawsze – pod warunkiem, że usługi katalogowe działają prawidłowo i możesz je wystartować! O tym już mało kto pamięta… W pozostałych przypadkach wynika z przekonania, że AD zawsze będzie działać prawidłowo, że to przecież prosta usługa i nic się z nią złego nie dzieje, a w razie czego odtworzy się z backupu – taa jasne… powodzenia Na szczęście już jakiś czas temu Microsoft pomyślał o takich Kamikaze i wydał Hotfix’a umożliwiającego synchronizację hasła DSRM z kontem użytkownika domenowego. (Poprawka dla systemów Windows Server 2008; nowsze mają ją już wbudowaną). Poprawkę można znaleźć pod linkiem: https://support.microsoft.com/en-us/kb/961320 Jak działa ta funkcjonalność? 1. Należy utworzyć dowolnego użytkownika domenowego (bez dodawania do żadnych grup typu Domain Admins, Enterprise Admis etc.) 2. Zainstalować ww. Hotfix’a na kontrolerach domeny po czym je zrestartować. (Jeśli mamy nowsze niż 2008 ten krok pomijamy). 3. Zalogować się interaktywnie na kontrolerze domeny i wprowadzić następujące polecenia:

I gotowe. Nie ma konieczności wprowadzania starego ani nowego hasła […]

Brak spójności replikacji SYSVOL

26 sierpnia 2015 at 09:43

Podczas debugowania problemów ze środowiskiem Active Directory działającym pod kontrolą systemów Windows Server 2012 R2 w oko wpadł zgłaszany problem z replikacją danych SYSVOL. Mianowicie wykonanie polecenia weryfikującego:

Zwracało błąd informujący, że jeden z kontrolerów domeny nie znajduje się w stanie „ELIMINATED”: DC1 (‚Waiting For Initial Sync’) – Writable DC Hmm.. dziwne – zwłaszcza, że środowisko AD nie pamięta czasów FRS’a i nigdy nie była przeprowadzana migracja z FSR’a na DFS’a… Szybki przegląd dzienników zdarzeń – brak błędów. Próby organoleptyczne zmian zawartości SYSVOL – dane są replikowane na wszystkie kontrolery domeny zarówno zmieniając dane na kontrolerze dotkniętym problemem jak i pozostałych. Co robić? Jak żyć? Wystarczyło wymusić replikację danych:

I wszystkie błędy odeszły w niepamięć

GPO – Filtr WMI uwzględniający Windows 10

10 sierpnia 2015 at 16:41

Jako, że Windows 10 jest już oficjalnie wydany – czas najwyższy na przygotowanie swoich środowisk do poprawnej współpracy z najnowszym dzieckiem Microsoftu. Ostatnio przygotowaliśmy WSUS’a – tym razem zaktualizujemy swoje filtry WMI wykorzystywane w GPO tak aby uwzględniały  również Windows’a 10. Większość z nas pewnie w swoich środowiskach dla wybranych ustawień korzysta z filtru WMI wyodrębniającego z grupy komputerów jedynie stacje z systemem świeższym niż (Windows Vista, Windows 7), które wyglądają następująco: Świeższe niż Vista:

Świeższe niż Windows 7:

Puryści natomiast dorzucą jeszcze do zapytania „ProductType” określający, czy system jest kliencki (=”1″) czy serwerowy (=”3″) i w efekcie zapytanie wygląda:

I na pierwszy rzut oka wydaje się, że zasadniczo obecne filtru będą działać poprawnie, bo przecież Windows 10 ma wyższą wersję systemu operacyjnego – pozory… Spójrzmy na Tabelkę z wersjami systemów operacyjnych: System Operacyjny Numer wydania Windows XP/ Windows Server 2003 5.1 lub 5.2 Windows Vista/ Windows Server 2008 6.0 Windows 7 / Windows Server 2008 R2 6.1 Windows 8 / Windows Server 2012 6.2 Windows 8.1 / Windows Server 2012 R2 6.3 Windows 10 / Windows Server 2016 10.0 Z naszego punktu widzenia jest OK – nowszy system, wyższy numer. Niestety z punktu widzenia WMI jest zupełnie inaczej. […]

Wskrzeszanie replikacji między-lokacyjnej Active Directory

3 sierpnia 2015 at 06:55

Dzisiaj będzie trochę o replikacji między-lokacyjnej Active Directory i o tym jak jej nie popsuć przy depromowaniu kontrolera domeny (ewentualnie jak naprawić jeśli już zostało zepsute ) Systemy się zmieniają, wychodzą nowsze wersje – instalujemy świeższe Windowsy, podnosimy poziomy funkcjonalności… ale w tle za tym idą porządki – stare kontrolery domeny trzeba sprzątać! Operacja niby prosta – do wyklikania z GUI + kilka restartów serwera i po bólu – niestety nie zawsze… Dobra rada ‚1’ – ZAWSZE sprawdzaj, czy depromowany kontroler domeny nie pełni właśnie roli ISTG (czy nie jest właśnie punktem połączenia pomiędzy lokacjami Active Directory) Dobra rada ‚2’ – ZAWSZE sprawdzaj czy podczas depromowania kontrolera domeny są dostępne wzorce FSMO. Jeśli oba punkty są spełnione proces przebiegnie bezboleśnie Jeśli ich nie sprawdziłeś wcześniej, a nawet krótkie przerwy w replikacji są źle odbierane przez Twój biznes – musisz to czym prędzej naprawić! Zakładając, że miałeś pecha i właśnie pozbyłeś się kontrolera domeny z rolą ISTG w lokacji, gdzie nie ma kontrolera z rolami FSMO – objawy: – błędy replikacji wskazujące na brak połączenia z kontrolerem domeny (mimo, że już go usunąłeś…) – przy przeglądaniu metadanych AD na kontrolerze w tej samej lokacji co usuwany kontroler – nie ma go […]

Audit of Death – Active Directory

31 lipca 2015 at 09:16

Ostatnio w produkcyjnym środowisku Active Directory (Windowsy Server 2012 R2, FFL 2012 R2, DFL 2012 R2), które jest mocno audytowane przydarzyła się ciekawa przypadłość. Serwery zaczęły się restartować w bardzo krótkich interwałach czasu – od kilku do maksymalnie kilkunastu minut. Objawy w EventLogu: The process wininit.exe has initiated the restart of computer DC1 on behalf of user  for the following reason: No title for this reason could be found  Reason Code: 0x50006  Shutdown Type: restart  Comment: The system process ‚C:\Windows\system32\lsass.exe’ terminated unexpectedly with status code -1073740286.  The system will now shut down and restart. Natomiast przy sesji interaktywnej zalogowanemu użytkownikowi wyświetlał się komunikat z informacją o błędzie oraz o tym, że system zostanie zrestartowany w ciągu minuty: Jak naprawić ten problem? Należy pobrać i zainstalować hotfix’a rozwiązującego problem ze strony: https://support.microsoft.com/en-us/kb/2914387 W przypadku, gdy pojawi się informacja o tym, że Hotfix nie jest kompatybilny z wersją systemu – należy zastosować Workaround, który opisywałem już wcześniej. Jeśli powyższy hotfix nie zadziała, to jest również dostępna inna poprawka:  http://www.microsoft.com/pl-pl/download/details.aspx?id=42160 która naprawia samoczynne restarty systemu operacyjnego skutkujące tymi samymi błędami. Tak więc nie zawsze bezpieczne i audytowane środowisko idzie w parze z zachowaniem ciągłości działania… Nie mniej jednak z audytu AD nie należy! Są […]

© Marcin Krzanowicz