Ups, właśnie skasowałem to konto

Tomasz OnyszkoPartner | Connected Dots

Agenda

Był sobie użytkownik, czyli (prawie) wszystko o odzyskiwaniu skasowanych obiektów w ramach katalogu

Mniej standardowe mechanizmy DR

Co prezenter miał na myśli

Świadomość co do działania mechanizmów odzyskiwania Świadomość co do działania mechanizmów odzyskiwania obiektówobiektów

Świadomość co do działania mechanizmów odzyskiwania Świadomość co do działania mechanizmów odzyskiwania obiektówobiektów

Zrozumienie mechanizmów Active Directory mających Zrozumienie mechanizmów Active Directory mających wpływ na DRwpływ na DR

Zrozumienie mechanizmów Active Directory mających Zrozumienie mechanizmów Active Directory mających wpływ na DRwpływ na DR

Wiedza dotycząca możliwości i sposobów odzyskania Wiedza dotycząca możliwości i sposobów odzyskania danychdanych

Wiedza dotycząca możliwości i sposobów odzyskania Wiedza dotycząca możliwości i sposobów odzyskania danychdanych

Był sobie człowiek

Co się właśnie stało?

Skasowanie użytkownika (Windows 2003 / 2008 / 2008R2 bez Recycle Bin)Obiekt użytkownika zamieniany jest w tombstone

(atrybut isDeleted == TRUE)

Przesunięty do kontenera Deleted Objects26-ty bit systemFlags na obiekcie nie ustawiony

Zachowuje podstawowe atrybuty objectGUID, objectSID, sIDHistory,

nTSecurityDescriptor itp. -> 4’ty bit searchFlags lub hardcoded

Jak długo żyje nagrobek?

Czas definiowany przez atrybut tombstoneLifetime

Liczba dni przed usunięciem obiektu fizycznie z bazy danych AD

Liczba dni ważności kopii zapasowych

Jak długo żyje nagrobek?

Jak długo żyje nagrobek?

Tombstone Object

Windows Server 200Windows Server 2003 /20083 /2008- - bezbez Recycle Bin Recycle Bin

Windows Server 200Windows Server 2003 /20083 /2008- - bezbez Recycle Bin Recycle Bin

GarbageCollection

Brian

OdzyskanieOdzyskanie

SkasowanieSkasowanie

TombstoneTombstone LifetimeLifetime

Kto to zrobił?

Wbudowane mechanizmy audytu systemu Aby zadziałały:

Audit policy -> Audit Directory Service AccessWindows 2008 i wyżej:

Konfiguracja SACL

Logowane w dzienniku zdarzeńEventID: 4726 lub 5141

Kto to zrobił?

A gdy audyt nie był włączony? Analiza metadanych replikacji obiektu

Co: isDeleted = TRUEGdzie: Originating DSAKiedy: Originating Time

Cofnąć czas

Opcje odzyskania obiektu

Odtworzenie obiektu z kopii zapasowej (wszystkie wersje)

Reanimacja obiektu (≥ 2003)

Reanimacja obiektu + AD snapshot (≥ 2008)

AD Recycle Bin (≥ 2008 R2)

Odtworzenie obiektu z kopii

Wymagany System state kontrolera domeny zawierający obiektAlternatywa: DC/GC który jeszcze nie

zreplikował informacji o skasowaniu. Uruchomienie DC w trybie Directory Services

RestoreMode

Przywraca (prawie) wszystkie atrybuty obiektuDodatkowe operacje po odtworzeniu

Odtworzenie obiektu z kopii

Odtworzenie obiektu zwiększa wersje atrybutów:100 000 x liczba dni od daty kopii zapasowej

Możliwe samodzielne zwiększenie wersji

Od Windows 2003 SP1: data ostatniego backupu

Reanimacja obiektu

Ręczne ożywienie nagrobka:Usunięcie atrybutu isDeletedPrzeniesienie obiektu do istniejącego OU: zmina

distinguishedName

Nie wymaga restartu i kopii zapasowej

Przywraca ten sam obiekt

Nie przywraca żadnych atrybutów poza atrybutami tombstone

Przywróć mnie Joe

Prawdziwy problem

Linked attributes: Pary atrybutów (DN) połączone ze sobą

Relacje automatycznie utrzymywane przez katalog

Połączone atrybuty

Dwa tryby replikacji:Standardowy (NON-LVR)Linked Value Replication (LVR) (FFL ≥

W2003 Native)

Połączone atrybuty

Odtworzenie linków NON-LVROff-line: Odtworzenie obiektów połączonych

• Odtworzenie użytkownika• Odtworzenie obiektów zawierających link do użytkownika

On-line: skopiowanie danych z odzyskanej kopii przed replikacją• Odtworzenie grupy• Zablokowanie replikacji• Zrzut informacji o grupach

Połączone atrybuty

Odtworzenie atrybutów połączonychOS version < Windows 2003 SP1

• 1 domena: przywracane są wartości LVR• Wartości nie replikowane z LVR: tak jak w Windows 2000• > 1 domena: tak jak w Windows 2000

OS version ≥ Windows 2003 SP1• Nowa funkcjonalność NTDSUTIL• Generowane są pliki LDIF zawierające uaktualnienia atrybutów

połączonych

NTDSUTIL i LVR

Idzie nowe

Recycle-Bin

Opcjonalna funkcjonalność Windows 2008 R2Nie włączona domyślnie (opcja)Wymaga FFL ≥ Windows 2008 R2

Nowa funkcjonalność kasowania obiektówObiekty przechowywane są w stanie DeletedZachowują wszystkie atrybuty (włączając w to

linki)Przywracanie obiektu poprzez reanimację on-

line

Recycle-Bin

BrianBrian Deleted ObjectDeleted Object Recycled ObjectRecycled Object

Tombstone ObjectTombstone Object

180 Days180 Days 180 Days180 Days

180 180 dnidni

Garbage collectionGarbage collection

Garbage collectionGarbage collection

BrianBrian

Windows Server 2008Windows Server 2008

Windows Server 2008 R2Windows Server 2008 R2- - z włączonymz włączonym Recycle Bin Recycle Bin

LDAP OID 1.2.840.113556.1.4.417

LDAP OID 1.2.840.113556.1.4.2064

Zwraca Tombstones

Zwraca Deleted i Recycled

Zwraca Deleted

Trzeba wiedzieć

Wpływ na DITPierwszy DC generuje ruch replikacji isRecycled = True dla wszystkich skasowanych

obiektówWzrost wielkości DIT 5-10% na start, następnie

zależny od użycia

Dostępy poprzez Powershell (brak GUI)

Po ustawienia isRecycled==TRUE, blokowane jest odzyskiwanie tombstone

Trzeba wiedzieć

Czas życia obiektów:Deleted object (DOL): msDS-

DeletedObjectLifetime Recycled objects (ROL): tombstoneLifetime

Czas życia kopii zapasowych: MIN (DOL, ROL) Domyślnie zablokowana możliwość odtworzenia

obiektu Recycled

Recycle Bin

Alternative version

Przykład dobry: Dane DNS

Strefy zintegrowane z ADOdzyskiwane jak inne obiekty AD

A gdyby tak inaczej:Member server z kopią stref w trybie standard

W przypadku skasowania:Transfer strefy z serwera zapasowegoZmiana z Standard na AD Interated

Szybkie DNS recovery

Przykład zły: Obrazy i dyski

DC nie utrzymuje samodzielnie informacji o stanie replikacji

Informacja o stanie replikacji jest rozproszona w kataloguKażdy DC utrzymuje swoje dane oparty o numery

sekwencyjne USNUSN lokalne dla każdego DCZależne od InvocationID – wersji bazy danych

Przywrócenie obrazu dysku lub VMUSN roll-backUSN bubble

Zmierzając ku końcowi

Trzy kroki do spokojnego życia

PLANPLANPLANPLAN

WERYFIKACJAWERYFIKACJAWERYFIKACJAWERYFIKACJA

PROCEDURYPROCEDURYPROCEDURYPROCEDURY

Oceń moją sesjęAnkieta dostępna na stronie www.mtskonferencja.pl

© 2010 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.