Automatyczne dodawanie nowych podsieci Active Directory

Automatyczne dodawanie nowych podsieci Active Directory

Jak ważny jest porządek w podsieciach i lokacjach Active Directory wie każdy, kto ma styczność z usługami katalogowymi. Nieporządek skutkuje w najlepszym wypadku opóźnionymi czasami logowania i uwierzytelniania oraz przestojami w replikacji, natomiast w najgorszym jest w stanie rozłożyć Active Directory na łopatki.

Można mieć 100% procedury zarządzania nowymi podsieciami i przyłączania ich do AD, natomiast zawsze istnieje ryzyko, że coś zostanie pominięte. Aby tego uniknąć można oczywiście zautomatyzować sobie część pracy.

Założenia:

1. W Active Directory tworzymy lokację działającą jak czyściec, gdzie trafiać będą wszystkie nowe, nieuwzględnione wcześniej przez administratorów podsieci. Lokację nazywamy ‚Purgatory

2. Wszystkie podsieci w firmie mają maskę /24 (255.255.255.0)

3. Cyklicznie przeglądamy czyściec żeby rozrzucić podsieci do prawidłowych lokacji, lub generujemy jakieś reguły przydziału automatycznego

 

Od strony technicznej:

Na każdym z kontrolerów domeny w lokalizacji: ‚C:\Windows\Debug\Netlogon.log‚ znajduje się plik, gdzie logowane są między innymi zdarzenia o klientach nie przypisanych do żadnej lokacji AD. Każdy taki wpis ma postać:

Wystarczy więc zacząć monitorować zmiany w pliku na kontrolerach domeny i automatycznie przetwarzać dane w nich zawarte. Let’s go 😉

W pierwszym kroku sprawdzamy, czy plik netlogon.log zmienił sie w ciągu ostatniego dnia. Jeśli nie, to nie przetwarzamy danych. Jeśli tak – zaczynamy zabawę

Zbieramy z pliku ostatnie 20 linijek i szukamy informacji o braku przynależności klientów do jakiejkolwiek lokacji AD. Następnie dla każdego adresu IP klienta tworzymy jego podsieć z maską /24.

Mając wszystkie brakujące podsieci sprawdzamy, czy są już zdefiniowane w AD. Jeśli tak – pomijamy. Jeśli nie – tworzymy podsieć przypisując ją do lokacji ‚Purgatory‚.

Teraz wystarczy przeglądać podsieci przypisane do tej lokacji i przypisywać je zgodnie z przeznaczeniem lub dopisać w skrypcie wysyłkę mailowa informacji o znalezieniu takich podsieci.

Żeby wszystko zaczęło działać należy podpiąć ten skrypt do task schedulera na kontrolerach domeny z częstotliwością np. co 6 lub co 12 godzin. (Zbieramy ostatnie 20 linijek z pliku log’a. Jeśli będzie więcej nieprzypisanych klientów, to zgłoszą się przy kolejnym cyklu)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *