1 / 35

Ups , właśnie skasowałem to konto

Tomasz Onyszko. Partner | Connected Dots. Ups , właśnie skasowałem to konto. Agenda. Był sobie użytkownik , czyli (prawie) wszystko o odzyskiwaniu skasowanych obiektów w ramach katalogu Mniej standardowe mechanizmy DR. Co prezenter miał na myśli.

chione
Télécharger la présentation

Ups , właśnie skasowałem to konto

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tomasz Onyszko Partner | Connected Dots Ups, właśnie skasowałem to konto

  2. Agenda • Był sobie użytkownik, czyli (prawie) wszystko o odzyskiwaniu skasowanych obiektów w ramach katalogu • Mniej standardowe mechanizmy DR

  3. Co prezenter miał na myśli Świadomość co do działania mechanizmów odzyskiwania obiektów Wiedza dotycząca możliwości i sposobów odzyskania danych Zrozumienie mechanizmów Active Directory mających wpływ na DR

  4. Był sobie człowiek

  5. Co się właśnie stało? • Skasowanie użytkownika (Windows 2003 / 2008 / 2008R2 bez Recycle Bin) • Obiekt użytkownika zamieniany jest w tombstone (atrybut isDeleted == TRUE) • Przesunięty do kontenera Deleted Objects • 26-ty bit systemFlags na obiekcie nie ustawiony • Zachowuje podstawowe atrybuty • objectGUID, objectSID, sIDHistory, nTSecurityDescriptor itp. -> 4’ty bit searchFlagslub hardcoded

  6. Jak długo żyje nagrobek? • Czas definiowany przez atrybut tombstoneLifetime • Liczba dni przed usunięciem obiektu fizycznie z bazy danych AD • Liczba dni ważności kopii zapasowych

  7. Jak długo żyje nagrobek?

  8. Jak długo żyje nagrobek? Windows Server 2003 /2008 - bez Recycle Bin Skasowanie Tombstone Object Odzyskanie TombstoneLifetime Brian GarbageCollection

  9. Kto to zrobił? • Wbudowane mechanizmy audytu systemu • Aby zadziałały: • Audit policy -> Audit Directory Service Access • Windows 2008 i wyżej: • Konfiguracja SACL • Logowane w dzienniku zdarzeń • EventID: 4726 lub 5141

  10. Kto to zrobił? • A gdy audyt nie był włączony? • Analiza metadanych replikacji obiektu • Co: isDeleted = TRUE • Gdzie: Originating DSA • Kiedy: Originating Time

  11. Cofnąć czas

  12. Opcje odzyskania obiektu • Odtworzenie obiektu z kopii zapasowej (wszystkie wersje) • Reanimacja obiektu (≥ 2003) • Reanimacja obiektu + AD snapshot (≥ 2008) • AD Recycle Bin (≥ 2008 R2)

  13. Odtworzenie obiektu z kopii • Wymagany System state kontrolera domeny zawierający obiekt • Alternatywa: DC/GC który jeszcze nie zreplikował informacji o skasowaniu. • Uruchomienie DC w trybie Directory Services • RestoreMode • Przywraca (prawie) wszystkie atrybuty obiektu • Dodatkowe operacje po odtworzeniu

  14. Odtworzenie obiektu z kopii • Odtworzenie obiektu zwiększa wersje atrybutów: • 100 000 x liczba dni od daty kopii zapasowej • Możliwe samodzielne zwiększenie wersji • Od Windows 2003 SP1: data ostatniego backupu

  15. Reanimacja obiektu • Ręczneożywienie nagrobka: • Usunięcie atrybutu isDeleted • Przeniesienie obiektu do istniejącego OU: zmina distinguishedName • Nie wymaga restartu i kopii zapasowej • Przywraca ten sam obiekt • Nie przywraca żadnych atrybutów poza atrybutami tombstone

  16. Przywróć mnie Joe

  17. Prawdziwy problem • Linked attributes: Pary atrybutów (DN) połączone ze sobą • Relacje automatycznie utrzymywane przez katalog

  18. Połączone atrybuty • Dwa tryby replikacji: • Standardowy (NON-LVR) • Linked Value Replication (LVR) (FFL ≥ W2003 Native)

  19. Połączone atrybuty • Odtworzenie linków NON-LVR • Off-line: Odtworzenie obiektów połączonych • Odtworzenie użytkownika • Odtworzenie obiektów zawierających link do użytkownika • On-line: skopiowanie danych z odzyskanej kopii przed replikacją • Odtworzenie grupy • Zablokowanie replikacji • Zrzut informacji o grupach

  20. Połączone atrybuty • Odtworzenie atrybutów połączonych • OS version < Windows 2003 SP1 • 1 domena: przywracane są wartości LVR • Wartości nie replikowane z LVR: tak jak w Windows 2000 • > 1 domena: tak jak w Windows 2000 • OS version ≥ Windows 2003 SP1 • Nowa funkcjonalność NTDSUTIL • Generowane są pliki LDIF zawierające uaktualnienia atrybutów połączonych

  21. NTDSUTIL i LVR

  22. Idzie nowe

  23. Recycle-Bin • Opcjonalna funkcjonalność Windows 2008 R2 • Nie włączona domyślnie (opcja) • Wymaga FFL ≥ Windows 2008 R2 • Nowa funkcjonalność kasowania obiektów • Obiekty przechowywane są w stanie Deleted • Zachowują wszystkie atrybuty (włączając w to linki) • Przywracanie obiektu poprzez reanimację on-line

  24. Recycle-Bin 180 dni Windows Server 2008 Brian Tombstone Object Garbage collection Zwraca Tombstones LDAP OID 1.2.840.113556.1.4.417 ZwracaDeleted LDAP OID 1.2.840.113556.1.4.2064 Windows Server 2008 R2- z włączonymRecycle Bin ZwracaDeletediRecycled Garbage collection Brian Deleted Object Recycled Object 180 Days 180 Days

  25. Trzeba wiedzieć • Wpływ na DIT • Pierwszy DC generuje ruch replikacji • isRecycled = True dla wszystkich skasowanych obiektów • Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia • Dostępy poprzez Powershell (brak GUI) • Po ustawienia isRecycled==TRUE, blokowane jest odzyskiwanie tombstone

  26. Trzeba wiedzieć • Czas życia obiektów: • Deleted object (DOL): msDS-DeletedObjectLifetime • Recycled objects (ROL): tombstoneLifetime • Czas życia kopii zapasowych: MIN (DOL, ROL) • Domyślnie zablokowana możliwość odtworzenia obiektu Recycled

  27. Recycle Bin

  28. Alternative version

  29. Przykład dobry: Dane DNS • Strefy zintegrowane z AD • Odzyskiwane jak inne obiekty AD • A gdyby tak inaczej: • Member server z kopią stref w trybie standard • W przypadku skasowania: • Transfer strefy z serwera zapasowego • Zmiana z Standard na AD Interated

  30. Szybkie DNS recovery

  31. Przykład zły: Obrazy i dyski • DC nie utrzymuje samodzielnie informacji o stanie replikacji • Informacja o stanie replikacji jest rozproszona w katalogu • Każdy DC utrzymuje swoje dane oparty o numery sekwencyjne USN • USN lokalne dla każdego DC • Zależne od InvocationID – wersji bazy danych • Przywrócenie obrazu dysku lub VM • USN roll-back • USN bubble

  32. Zmierzając ku końcowi

  33. Trzy kroki do spokojnego życia PLAN PROCEDURY WERYFIKACJA

  34. Oceń moją sesję Ankieta dostępna na stronie www.mtskonferencja.pl

More Related