Czyszczenie metadanych Active Directory po awarii kontrolera domeny

16 kwietnia 2015 at 13:37

Cytując klasyka – „Nie myli się ten kto nie robi niczego”. Bywają sytuacje nieprzewidziane, gdzie awarii ulega któryś z kontrolerów domeny i nie bardzo jest sposób na przywrócenie mu pełnej funkcjonalności. Pozostaje więc usunięcie kontrolera domeny, posprzątanie bazy Active Directory i wypromowanie nowego kontrolera. Pamięć często choć dobra – bywa krótka… więc jako przypomnienie procedura sprzątania metadanych Active Directory po awarii kontrolera domeny. Zakładając, że kontroler, który uległ awarii nie utrzymywał żadnej z ról FSMO (jeśli utrzymywał trzeba je awaryjnie przejąć) procedura powinna wyglądać mniej więcej tak: 1. Zalogowanie się na działający kontroler domeny z uprawnieniami administratora domeny. 2. Uruchomienie jako administrator powershell’a / wiersz poleceń 3. Uruchomienie narzędzia ndtsutil:

4. Przejście do trybu oczyszczania metadanych Active Directory:

5. Wybranie połączenia:

6. Połączenie z działającym (np. lokalnym) kontrolerem domeny:

7. Powrót do wyższej instancji

8. Przejście w tryb wyboru celu

9. Wy listowanie dostępnych domen

10. Wskazanie numery domeny, gdzie znajdował się kontroler domeny, który uległ awarii

11. Wy listowanie dostępnych lokacji

12. Wskazanie numeru lokacji, w której był nasz kontroler domeny:

13. Wy listowanie wszystkich obiektów kontrolerów domeny we wskazanej lokacji Active Directory

14. Wskazanie konkretnego kontrolera domeny […]

Magazyn danych Active Directory

8 stycznia 2015 at 17:49

Odnosząc się do wpisu dotyczącego fizycznej architektury Active Directory , a konkretniej przedstawionej na Rys.4 architektury magazynu danych Active Directory – w pliku Ntds.dit przechowującym bazę usług katalogowych wyróżnić można 3 główne tablice, które zostały już wstępnie omówione. Są jednak również dodatkowe tablice, o których niestety często się zapomina lub są one pomijane, mimo że pełnią bardzo istotne role. Przedstawmy więc te tablice oraz pełnione przez nie role: Tablica ukryta (ang. Hiddentable) –tablica, która zawiera tylko jeden wiersz, lecz kilka kolumn, które definiują stan bazy Active Directory. Przykładem takiej kolumny może być kolumna „backupexpiration_col”, która określa, czy kopia zapasowa bazy jest jeszcze ważna, czy już przeterminowana. Tablice propagacji deskryptorów zabezpieczeń (Sdpropcounttable oraz Sdproptable) – tablice, które są wykorzystywane przez demona propagacji deskryptorów zabezpieczeń (SDProp). Jego zadaniem jest rozpowszechnianie deskryptorów, które są dziedziczone zgodnie z hierarchią drzewa w lokalnej bazie danych Active Directory. Tablica przydziałów (Quota_table) – tablica, która przechowuje dane o przydziałach Active Directory, które mogą być ustalane od czasu wprowadzenia Windows Server 2003. Przydziały są definiowane w kontekście identyfikatora zabezpieczeń (np. użytkownika) oraz w kontekście konkretnej partycji Active Directory. Oznacza to, że ten sam użytkownik może mieć zdefiniowane różne poziomy przydziałów dla różnych partycji Active Directory. (O samych partycjach […]

Fizyczna architektura Active Directory

7 stycznia 2015 at 09:26

Czym jest Active Directory? – Empirycznie wie niemal każdy. Na to pytanie z pewnością łatwo można uzyskać poprawne odpowiedzi co do pełnionych funkcji, przeznaczenia, obsługi oraz codziennych zadań administracyjnych. Nie każdy jednak wie – jak działa Active Directory od środka, z czego się składa w rzeczywistości, jak przechowuje informacje oraz jak komunikuje się z klientami. Active Directory w dużym uproszczeniu i ogólności, jest to jedna z ról systemu operacyjnego, która może być świadczona przez serwerowe systemy firmy Microsoft. Usługi katalogowe zapewniają możliwość utrzymywania wielkiej ilości danych dotyczących użytkowników, urządzeń, podsieci, lokacji, grup oraz innych zasobów mogących podlegać katalogowaniu. Oferują przy tym możliwość uwierzytelniania z wykorzystaniem pojedynczego punktu logowania (ang. Single Sign-On) oraz łatwego przeszukiwania struktur katalogowych, które zwracają w odpowiedzi czytelne i usystematyzowane dane. Wydawać mogłoby się, że Active Directory po zainstalowaniu jest całkowicie odrębną i wy-separowaną rolą w systemie Windows mającą bezpośredni dostęp do jądra systemowego. Nic bardziej mylnego! Z perspektywy systemu operacyjnego Active Directory jest częścią systemu zabezpieczeń, który dodatkowo nie działa w trybie jądra (ang. Kernel mode), lecz w trybie użytkownika (ang. User mode). Co to oznacza? Oznacza to mniej więcej tyle, że proces, rola czy aplikacja działająca w trybie użytkownika nie ma bezpośredniego dostępu do systemu […]

© Marcin Krzanowicz