Powiadomienia replikacyjne Active Directory między lokacjami

12 listopada 2015 at 12:24

Jak zapewne wiadomo replikacja danych w środowisku Active Directory dzieli się w najprostszym ujęciu na replikację: Wewnątrz-lokacyjną – (Intra-Site) Między-lokacyjną – (Inter-Site) O ile z tą pierwszą zazwyczaj nie występują problemy ze względu na świetnie działający mechanizm KCC (Key Consistency Checker) oraz ze względu na fakt, że replikacja danych w obrębie lokacji odbywa się niemalże natychmiast. Więcej problemów sprawia natomiast drugi rodzaj replikacji danych. Przykład: http://mkrzanowicz.pl/?p=417 W tym wpisie chciałbym się jednak skupić na czasie a dokładniej mówiąc interwale replikacji danych pomiędzy lokacjami. Gdy pada (moje ulubione pytanie 😉 ) „Jaki jest najkrótszy czas replikacji danych między lokacjami AD” – 90% ludzi odpowiada „15 minut”… Patrząc na pobieżne artykuły dla początkujących administratorów, czy przeklikując się przez GUI, które informuje administratora o dozwolonych wartościach: Czy jest to jednak prawdą? I tak i nie Jeśli mamy świadomość tego jak replikacja danych Active Directory działa na niższych warstwach to wiemy, że prawdą to nie jest. Jeśli natomiast trzymamy się „płytkiej wiedzy” to będzie to prawdą – i w sumie niech tak pozostanie, bo administratorzy bez świadomości i znajomości mechanizmów replikacji danych nie powinni dotykać ustawień opisywanych niżej. Wracając jednak do „niższych warstw”. Oprócz replikacji „standardowej” czyli obejmującej zwykłe zakładanie kont, zmiany parametrów, maili […]

Nowości Active Directory – 2012 R2 – wprowadzenie.

10 marca 2015 at 08:50

Chociaż Windows Server 2012R2 na naszych serwerach gości już stosunkowo długi czas, to wiele organizacji dopiero teraz realnie myśli o przejściu ze starszych wersji systemów operacyjnych na Windows Server 2012R2. Kluczowym pytaniem zawsze jest „co zyskamy dzięki Windows Server 2012 R2?”. Rozważmy to oczywiście w kontekście Active Directory. Proponuję mini-cykl o nowościach Active Directory na poziomie funkcjonalności 2012 R2. Cześć I – Wprowadzenie Wprowadzone zmiany można podzielić na kilka zasadniczych grup: Poprawione bezpieczeństwo. Mimo, że usługi Active Directory są bardzo bezpieczne, to inżynierowie Microsoftu znaleźli jeszcze kilka miejsc, które mogły być potencjalnie niebezpieczne oraz kilka, które dzięki zmianom stały się jeszcze bezpieczniejsze. Ochrona pamięci LSASS.exe – dotychczas podstawową metodą ataków na konta Active Directory była iniekcja zapamiętanych hashy haseł do podsystemu zabezpieczeń systemu operacyjnego. LSASS.exe jako integralna część tegoż podsystemu zabezpieczeń był miejscem, skąd atakujący byli w stanie pobrać zapamiętane hashe haseł. Od czasu wprowadzenia Windows Server 2012 R2 udostępniona została ochrona pamięci, która pomaga również w usuwaniu zapamiętanych hashy haseł. Chronione konta użytkowników – nowe Active Directory udostępnia nową grupę „Protected Users”, która może być wykorzystywana do ochrony wrażliwych i narażonych na ataki kont Active Directory. Między innymi konta takie mogą się uwierzytelniać tylko w sposób bezpieczny, a stare […]

Upgrade Active Directory (Unsupported, but better…)

23 lutego 2015 at 14:33

Weźmy na tapetę temat wykonania upgrade’u Active Directory. Z jednej strony temat bardzo zawiły ze względu na możliwe powikłania, komplikacje i zależności. Z drugiej strony sprowadza się zasadniczo do wykonania dwóch poleceń. Jednakże te dwa polecenia w skrajnym wypadku mogą rozłożyć cały BackOffice Twojej organizacji, atesty na środowiskach testowych i akceptacyjnych i tak najczęściej nie dają jasnych odpowiedzi na wszystkie pytania. Czy jest więc jakiś bezpieczniejszy sposób wykonania upgrade’u Active Directory? Oczywiście jest, ale o tym za chwilę Przypomnijmy sobie po krótce jak teoretycznie wygląda proces upgrade’u Active Directory jeśli chcemy podnieść poziom funkcjonalności domeny powiedzmy z 2008 R2 do 2012 R2: 1. Rozszerzenie schematu Active Directory 2. Przygotowanie domen Active Directory 3. Upgrade’y/zastąpienie kontrolerów domen nowszymi systemami operacyjnymi 4. Podniesienie poziomów funkcjonalności domen 5. Podniesienie poziomów funkcjonalności lasów. * Zakładamy, że mamy cale AD pod kontrolą Windows Server 2008R2 i przechodzimy na Windows Server 2012 R2   OK – wyodrębniliśmy kilka zasadniczych kroków – zastanówmy się teraz, która faza jest krytyczna i niesie ze sobą nieodwracalne (albo trudne do odwrócenia) skutki? Zasadniczo najbardziej krytyczne są punktu 1-2. Dlaczego? Ano dlatego, że rozpropagowanego w Active Directory schematu nie da się (w prosty sposób) przywrócić… Procedura przywrócenia sprowadza zasadniczo do odtworzenia […]

© Marcin Krzanowicz