Hasło DSRM powiązane z użytkownikiem domenowym

2 września 2015 at 08:02

Hasło DSRM (Directory Services Restore Mode) przez wielu administratorów jest (NIESTETY) traktowane po macoszemu. Często sprowadza się to do jego wpisania przy promowaniu kontrolera domeny i zapomnieniu. W niektórych wypadkach wynika to z przekonania, że przecież zawsze owe hasło można zmienić poceniem:

– Zawsze – pod warunkiem, że usługi katalogowe działają prawidłowo i możesz je wystartować! O tym już mało kto pamięta… W pozostałych przypadkach wynika z przekonania, że AD zawsze będzie działać prawidłowo, że to przecież prosta usługa i nic się z nią złego nie dzieje, a w razie czego odtworzy się z backupu – taa jasne… powodzenia Na szczęście już jakiś czas temu Microsoft pomyślał o takich Kamikaze i wydał Hotfix’a umożliwiającego synchronizację hasła DSRM z kontem użytkownika domenowego. (Poprawka dla systemów Windows Server 2008; nowsze mają ją już wbudowaną). Poprawkę można znaleźć pod linkiem: https://support.microsoft.com/en-us/kb/961320 Jak działa ta funkcjonalność? 1. Należy utworzyć dowolnego użytkownika domenowego (bez dodawania do żadnych grup typu Domain Admins, Enterprise Admis etc.) 2. Zainstalować ww. Hotfix’a na kontrolerach domeny po czym je zrestartować. (Jeśli mamy nowsze niż 2008 ten krok pomijamy). 3. Zalogować się interaktywnie na kontrolerze domeny i wprowadzić następujące polecenia:

I gotowe. Nie ma konieczności wprowadzania starego ani nowego hasła […]

Synchronizacja czasu Active Directory

12 stycznia 2015 at 09:16

Synchronizacja czasu w lesie Active Directory jest jednym z najistotniejszych zagadnień wymagających zrozumienia i prawidłowego utrzymywania w celu zapewnienia poprawnego jej funkcjonowania. Od synchronizacji czasu zależy pośrednio między innymi możliwość poprawnego uwierzytelniania w domenie, więc de-synchronizacja czasu skutkuje naprawdę dużymi problemami… Często można się spotkać z pytaniami „po co synchronizacja czasu w domenie, skoro są zewnętrzne serwery NTP?”, „czemu pojawiają się problemy przy różnicach w czasie?” albo „po co się rozwodzić nad tematem skoro jest dostępny kontroler domeny utrzymujący rolę PDC, którą zawsze można przejąć?”. Aby znaleźć na nie odpowiedzi zacznijmy od przyczyny, dla której czas jest tak ważny w Active Directory. Otóż domyślnym protokołem uwierzytelniania w środowisku Active Directory jest Kerberos, który w procesie uwierzytelniania wykorzystuje znaczniki czasowe, które następnie są weryfikowane. Domyślnie maksymalna tolerancja różnicy czasowej, z którą taki pakiet uznany będzie za prawidłowy wynosi 5 minut. Jeśli różnica będzie większa, to pojawiają się poważne problemy… Warto nadmienić także, że Microsoft oficjalnie nie gwarantuje perfekcyjnej dokładności usługi czasu w swoich systemach operacyjnych, jednak niedokładność na poziomie kilku sekund jest w zupełności wystarczająca na potrzeby poprawnego działania uwierzytelniania z wykorzystaniem protokołu Kerberos. Jak działa sama synchronizacja czasu w lesie Active Directory? Trywialna odpowiedź brzmiałaby „w oparciu o rolę emulatora […]

© Marcin Krzanowicz