Ups , właśnie skasowałem to konto
description
Transcript of Ups , właśnie skasowałem to konto
![Page 1: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/1.jpg)
Ups, właśnie skasowałem to konto
Tomasz OnyszkoPartner | Connected Dots
![Page 2: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/2.jpg)
Agenda
Był sobie użytkownik, czyli (prawie) wszystko o odzyskiwaniu skasowanych obiektów w ramach katalogu
Mniej standardowe mechanizmy DR
![Page 3: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/3.jpg)
Co prezenter miał na myśli
Świadomość co do działania mechanizmów odzyskiwania Świadomość co do działania mechanizmów odzyskiwania obiektówobiektów
Świadomość co do działania mechanizmów odzyskiwania Świadomość co do działania mechanizmów odzyskiwania obiektówobiektów
Zrozumienie mechanizmów Active Directory mających Zrozumienie mechanizmów Active Directory mających wpływ na DRwpływ na DR
Zrozumienie mechanizmów Active Directory mających Zrozumienie mechanizmów Active Directory mających wpływ na DRwpływ na DR
Wiedza dotycząca możliwości i sposobów odzyskania Wiedza dotycząca możliwości i sposobów odzyskania danychdanych
Wiedza dotycząca możliwości i sposobów odzyskania Wiedza dotycząca możliwości i sposobów odzyskania danychdanych
![Page 4: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/4.jpg)
Był sobie człowiek
![Page 5: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/5.jpg)
Co się właśnie stało?
Skasowanie użytkownika (Windows 2003 / 2008 / 2008R2 bez Recycle Bin)Obiekt użytkownika zamieniany jest w tombstone
(atrybut isDeleted == TRUE)
Przesunięty do kontenera Deleted Objects26-ty bit systemFlags na obiekcie nie ustawiony
Zachowuje podstawowe atrybuty objectGUID, objectSID, sIDHistory,
nTSecurityDescriptor itp. -> 4’ty bit searchFlags lub hardcoded
![Page 6: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/6.jpg)
Jak długo żyje nagrobek?
Czas definiowany przez atrybut tombstoneLifetime
Liczba dni przed usunięciem obiektu fizycznie z bazy danych AD
Liczba dni ważności kopii zapasowych
![Page 7: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/7.jpg)
Jak długo żyje nagrobek?
![Page 8: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/8.jpg)
Jak długo żyje nagrobek?
Tombstone Object
Windows Server 200Windows Server 2003 /20083 /2008- - bezbez Recycle Bin Recycle Bin
Windows Server 200Windows Server 2003 /20083 /2008- - bezbez Recycle Bin Recycle Bin
GarbageCollection
Brian
OdzyskanieOdzyskanie
SkasowanieSkasowanie
TombstoneTombstone LifetimeLifetime
![Page 9: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/9.jpg)
Kto to zrobił?
Wbudowane mechanizmy audytu systemu Aby zadziałały:
Audit policy -> Audit Directory Service AccessWindows 2008 i wyżej:
Konfiguracja SACL
Logowane w dzienniku zdarzeńEventID: 4726 lub 5141
![Page 10: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/10.jpg)
Kto to zrobił?
A gdy audyt nie był włączony? Analiza metadanych replikacji obiektu
Co: isDeleted = TRUEGdzie: Originating DSAKiedy: Originating Time
![Page 11: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/11.jpg)
Cofnąć czas
![Page 12: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/12.jpg)
Opcje odzyskania obiektu
Odtworzenie obiektu z kopii zapasowej (wszystkie wersje)
Reanimacja obiektu (≥ 2003)
Reanimacja obiektu + AD snapshot (≥ 2008)
AD Recycle Bin (≥ 2008 R2)
![Page 13: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/13.jpg)
Odtworzenie obiektu z kopii
Wymagany System state kontrolera domeny zawierający obiektAlternatywa: DC/GC który jeszcze nie
zreplikował informacji o skasowaniu. Uruchomienie DC w trybie Directory Services
RestoreMode
Przywraca (prawie) wszystkie atrybuty obiektuDodatkowe operacje po odtworzeniu
![Page 14: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/14.jpg)
Odtworzenie obiektu z kopii
Odtworzenie obiektu zwiększa wersje atrybutów:100 000 x liczba dni od daty kopii zapasowej
Możliwe samodzielne zwiększenie wersji
Od Windows 2003 SP1: data ostatniego backupu
![Page 15: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/15.jpg)
Reanimacja obiektu
Ręczne ożywienie nagrobka:Usunięcie atrybutu isDeletedPrzeniesienie obiektu do istniejącego OU: zmina
distinguishedName
Nie wymaga restartu i kopii zapasowej
Przywraca ten sam obiekt
Nie przywraca żadnych atrybutów poza atrybutami tombstone
![Page 16: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/16.jpg)
Przywróć mnie Joe
![Page 17: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/17.jpg)
Prawdziwy problem
Linked attributes: Pary atrybutów (DN) połączone ze sobą
Relacje automatycznie utrzymywane przez katalog
![Page 18: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/18.jpg)
Połączone atrybuty
Dwa tryby replikacji:Standardowy (NON-LVR)Linked Value Replication (LVR) (FFL ≥
W2003 Native)
![Page 19: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/19.jpg)
Połączone atrybuty
Odtworzenie linków NON-LVROff-line: Odtworzenie obiektów połączonych
• Odtworzenie użytkownika• Odtworzenie obiektów zawierających link do użytkownika
On-line: skopiowanie danych z odzyskanej kopii przed replikacją• Odtworzenie grupy• Zablokowanie replikacji• Zrzut informacji o grupach
![Page 20: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/20.jpg)
Połączone atrybuty
Odtworzenie atrybutów połączonychOS version < Windows 2003 SP1
• 1 domena: przywracane są wartości LVR• Wartości nie replikowane z LVR: tak jak w Windows 2000• > 1 domena: tak jak w Windows 2000
OS version ≥ Windows 2003 SP1• Nowa funkcjonalność NTDSUTIL• Generowane są pliki LDIF zawierające uaktualnienia atrybutów
połączonych
![Page 21: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/21.jpg)
NTDSUTIL i LVR
![Page 22: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/22.jpg)
Idzie nowe
![Page 23: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/23.jpg)
Recycle-Bin
Opcjonalna funkcjonalność Windows 2008 R2Nie włączona domyślnie (opcja)Wymaga FFL ≥ Windows 2008 R2
Nowa funkcjonalność kasowania obiektówObiekty przechowywane są w stanie DeletedZachowują wszystkie atrybuty (włączając w to
linki)Przywracanie obiektu poprzez reanimację on-
line
![Page 24: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/24.jpg)
Recycle-Bin
BrianBrian Deleted ObjectDeleted Object Recycled ObjectRecycled Object
Tombstone ObjectTombstone Object
180 Days180 Days 180 Days180 Days
180 180 dnidni
Garbage collectionGarbage collection
Garbage collectionGarbage collection
BrianBrian
Windows Server 2008Windows Server 2008
Windows Server 2008 R2Windows Server 2008 R2- - z włączonymz włączonym Recycle Bin Recycle Bin
LDAP OID 1.2.840.113556.1.4.417
LDAP OID 1.2.840.113556.1.4.2064
Zwraca Tombstones
Zwraca Deleted i Recycled
Zwraca Deleted
![Page 25: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/25.jpg)
Trzeba wiedzieć
Wpływ na DITPierwszy DC generuje ruch replikacji isRecycled = True dla wszystkich skasowanych
obiektówWzrost wielkości DIT 5-10% na start, następnie
zależny od użycia
Dostępy poprzez Powershell (brak GUI)
Po ustawienia isRecycled==TRUE, blokowane jest odzyskiwanie tombstone
![Page 26: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/26.jpg)
Trzeba wiedzieć
Czas życia obiektów:Deleted object (DOL): msDS-
DeletedObjectLifetime Recycled objects (ROL): tombstoneLifetime
Czas życia kopii zapasowych: MIN (DOL, ROL) Domyślnie zablokowana możliwość odtworzenia
obiektu Recycled
![Page 27: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/27.jpg)
Recycle Bin
![Page 28: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/28.jpg)
Alternative version
![Page 29: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/29.jpg)
Przykład dobry: Dane DNS
Strefy zintegrowane z ADOdzyskiwane jak inne obiekty AD
A gdyby tak inaczej:Member server z kopią stref w trybie standard
W przypadku skasowania:Transfer strefy z serwera zapasowegoZmiana z Standard na AD Interated
![Page 30: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/30.jpg)
Szybkie DNS recovery
![Page 31: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/31.jpg)
Przykład zły: Obrazy i dyski
DC nie utrzymuje samodzielnie informacji o stanie replikacji
Informacja o stanie replikacji jest rozproszona w kataloguKażdy DC utrzymuje swoje dane oparty o numery
sekwencyjne USNUSN lokalne dla każdego DCZależne od InvocationID – wersji bazy danych
Przywrócenie obrazu dysku lub VMUSN roll-backUSN bubble
![Page 32: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/32.jpg)
Zmierzając ku końcowi
![Page 33: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/33.jpg)
Trzy kroki do spokojnego życia
PLANPLANPLANPLAN
WERYFIKACJAWERYFIKACJAWERYFIKACJAWERYFIKACJA
PROCEDURYPROCEDURYPROCEDURYPROCEDURY
![Page 35: Ups , właśnie skasowałem to konto](https://reader035.fdocument.pub/reader035/viewer/2022062422/568141e7550346895dadc6da/html5/thumbnails/35.jpg)
© 2010 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.