Ups , właśnie skasowałem to konto
35
Ups, właśnie skasowałem to konto Tomasz Onyszko Partner | Connected Dots
description
Tomasz Onyszko. Partner | Connected Dots. Ups , właśnie skasowałem to konto. Agenda. Był sobie użytkownik , czyli (prawie) wszystko o odzyskiwaniu skasowanych obiektów w ramach katalogu Mniej standardowe mechanizmy DR. Co prezenter miał na myśli. - PowerPoint PPT Presentation
Transcript of Ups , właśnie skasowałem to konto
Ups, właśnie skasowałem to konto
Tomasz OnyszkoPartner | Connected Dots
Agenda
Był sobie użytkownik, czyli (prawie) wszystko o odzyskiwaniu skasowanych obiektów w ramach katalogu
Mniej standardowe mechanizmy DR
Co prezenter miał na myśli
Świadomość co do działania mechanizmów odzyskiwania Świadomość co do działania mechanizmów odzyskiwania obiektówobiektów
Świadomość co do działania mechanizmów odzyskiwania Świadomość co do działania mechanizmów odzyskiwania obiektówobiektów
Zrozumienie mechanizmów Active Directory mających Zrozumienie mechanizmów Active Directory mających wpływ na DRwpływ na DR
Zrozumienie mechanizmów Active Directory mających Zrozumienie mechanizmów Active Directory mających wpływ na DRwpływ na DR
Wiedza dotycząca możliwości i sposobów odzyskania Wiedza dotycząca możliwości i sposobów odzyskania danychdanych
Wiedza dotycząca możliwości i sposobów odzyskania Wiedza dotycząca możliwości i sposobów odzyskania danychdanych
Był sobie człowiek
Co się właśnie stało?
Skasowanie użytkownika (Windows 2003 / 2008 / 2008R2 bez Recycle Bin)Obiekt użytkownika zamieniany jest w tombstone
(atrybut isDeleted == TRUE)
Przesunięty do kontenera Deleted Objects26-ty bit systemFlags na obiekcie nie ustawiony
Zachowuje podstawowe atrybuty objectGUID, objectSID, sIDHistory,
nTSecurityDescriptor itp. -> 4’ty bit searchFlags lub hardcoded
Jak długo żyje nagrobek?
Czas definiowany przez atrybut tombstoneLifetime
Liczba dni przed usunięciem obiektu fizycznie z bazy danych AD
Liczba dni ważności kopii zapasowych
Jak długo żyje nagrobek?
Jak długo żyje nagrobek?
Tombstone Object
Windows Server 200Windows Server 2003 /20083 /2008- - bezbez Recycle Bin Recycle Bin
Windows Server 200Windows Server 2003 /20083 /2008- - bezbez Recycle Bin Recycle Bin
GarbageCollection
Brian
OdzyskanieOdzyskanie
SkasowanieSkasowanie
TombstoneTombstone LifetimeLifetime
Kto to zrobił?
Wbudowane mechanizmy audytu systemu Aby zadziałały:
Audit policy -> Audit Directory Service AccessWindows 2008 i wyżej:
Konfiguracja SACL
Logowane w dzienniku zdarzeńEventID: 4726 lub 5141
Kto to zrobił?
A gdy audyt nie był włączony? Analiza metadanych replikacji obiektu
Co: isDeleted = TRUEGdzie: Originating DSAKiedy: Originating Time
Cofnąć czas
Opcje odzyskania obiektu
Odtworzenie obiektu z kopii zapasowej (wszystkie wersje)
Reanimacja obiektu (≥ 2003)
Reanimacja obiektu + AD snapshot (≥ 2008)
AD Recycle Bin (≥ 2008 R2)
Odtworzenie obiektu z kopii
Wymagany System state kontrolera domeny zawierający obiektAlternatywa: DC/GC który jeszcze nie
zreplikował informacji o skasowaniu. Uruchomienie DC w trybie Directory Services
RestoreMode
Przywraca (prawie) wszystkie atrybuty obiektuDodatkowe operacje po odtworzeniu
Odtworzenie obiektu z kopii
Odtworzenie obiektu zwiększa wersje atrybutów:100 000 x liczba dni od daty kopii zapasowej
Możliwe samodzielne zwiększenie wersji
Od Windows 2003 SP1: data ostatniego backupu
Reanimacja obiektu
Ręczne ożywienie nagrobka:Usunięcie atrybutu isDeletedPrzeniesienie obiektu do istniejącego OU: zmina
distinguishedName
Nie wymaga restartu i kopii zapasowej
Przywraca ten sam obiekt
Nie przywraca żadnych atrybutów poza atrybutami tombstone
Przywróć mnie Joe
Prawdziwy problem
Linked attributes: Pary atrybutów (DN) połączone ze sobą
Relacje automatycznie utrzymywane przez katalog
Połączone atrybuty
Dwa tryby replikacji:Standardowy (NON-LVR)Linked Value Replication (LVR) (FFL ≥
W2003 Native)
Połączone atrybuty
Odtworzenie linków NON-LVROff-line: Odtworzenie obiektów połączonych
• Odtworzenie użytkownika• Odtworzenie obiektów zawierających link do użytkownika
On-line: skopiowanie danych z odzyskanej kopii przed replikacją• Odtworzenie grupy• Zablokowanie replikacji• Zrzut informacji o grupach
Połączone atrybuty
Odtworzenie atrybutów połączonychOS version < Windows 2003 SP1
• 1 domena: przywracane są wartości LVR• Wartości nie replikowane z LVR: tak jak w Windows 2000• > 1 domena: tak jak w Windows 2000
OS version ≥ Windows 2003 SP1• Nowa funkcjonalność NTDSUTIL• Generowane są pliki LDIF zawierające uaktualnienia atrybutów
połączonych
NTDSUTIL i LVR
Idzie nowe
Recycle-Bin
Opcjonalna funkcjonalność Windows 2008 R2Nie włączona domyślnie (opcja)Wymaga FFL ≥ Windows 2008 R2
Nowa funkcjonalność kasowania obiektówObiekty przechowywane są w stanie DeletedZachowują wszystkie atrybuty (włączając w to
linki)Przywracanie obiektu poprzez reanimację on-
line
Recycle-Bin
BrianBrian Deleted ObjectDeleted Object Recycled ObjectRecycled Object
Tombstone ObjectTombstone Object
180 Days180 Days 180 Days180 Days
180 180 dnidni
Garbage collectionGarbage collection
Garbage collectionGarbage collection
BrianBrian
Windows Server 2008Windows Server 2008
Windows Server 2008 R2Windows Server 2008 R2- - z włączonymz włączonym Recycle Bin Recycle Bin
LDAP OID 1.2.840.113556.1.4.417
LDAP OID 1.2.840.113556.1.4.2064
Zwraca Tombstones
Zwraca Deleted i Recycled
Zwraca Deleted
Trzeba wiedzieć
Wpływ na DITPierwszy DC generuje ruch replikacji isRecycled = True dla wszystkich skasowanych
obiektówWzrost wielkości DIT 5-10% na start, następnie
zależny od użycia
Dostępy poprzez Powershell (brak GUI)
Po ustawienia isRecycled==TRUE, blokowane jest odzyskiwanie tombstone
Trzeba wiedzieć
Czas życia obiektów:Deleted object (DOL): msDS-
DeletedObjectLifetime Recycled objects (ROL): tombstoneLifetime
Czas życia kopii zapasowych: MIN (DOL, ROL) Domyślnie zablokowana możliwość odtworzenia
obiektu Recycled
Recycle Bin
Alternative version
Przykład dobry: Dane DNS
Strefy zintegrowane z ADOdzyskiwane jak inne obiekty AD
A gdyby tak inaczej:Member server z kopią stref w trybie standard
W przypadku skasowania:Transfer strefy z serwera zapasowegoZmiana z Standard na AD Interated
Szybkie DNS recovery
Przykład zły: Obrazy i dyski
DC nie utrzymuje samodzielnie informacji o stanie replikacji
Informacja o stanie replikacji jest rozproszona w kataloguKażdy DC utrzymuje swoje dane oparty o numery
sekwencyjne USNUSN lokalne dla każdego DCZależne od InvocationID – wersji bazy danych
Przywrócenie obrazu dysku lub VMUSN roll-backUSN bubble
Zmierzając ku końcowi
Trzy kroki do spokojnego życia
PLANPLANPLANPLAN
WERYFIKACJAWERYFIKACJAWERYFIKACJAWERYFIKACJA
PROCEDURYPROCEDURYPROCEDURYPROCEDURY
© 2010 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.
