Kamil Skalski – Blog Techniczny

Zapraszam do lektury najnowszego artykułu “Nowości w Active Directory Domain Services Windows Server 2008 R2“.

“Usługi katalogowe Active Directory są jednym z kluczowych zasobów współczesnych przedsiębiorstw. Od czasu wydania Windows Server 2008 zaczęły w nich zachodzić zmiany (np. AD stało się usługą systemową) niezwykle istotne z punktu widzenia administratora. Najnowsza wersja R2 wniosła kilka interesujących funkcji, o których powinien wiedzieć każdy specjalista IT.”

Usunięcie obiektu z domeny nie powoduje jego natychmiastowego usunięcia, jest on wciąż przechowywany przez określony czas (lecz nie może być już używany) w celu replikacji zmian do pozostałych kontrolerów domeny. W zależności od posiadanej wersji systemu Windows Server czas ten trwa od 60 dni (WS2003) do 180 dni (WS2008/R2). Dodatkowo w Windows Server 2008 R2 czas ten wydłuża się o kolejne 180 dni przechowywania obiektu w koszu Active Directory – o czym wspominałem we wcześniejszym wpisie.

Czas przechowywania skasowanych obiektów jest trwale zapisany w systemie, jednak może zostać nadpisany poprzez modyfikację atrybutów kontenera CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. Akcje należy podjąć na atrybutach:

• tombstoneLifetime – dla czasu przechowywania obiektów przekazanych do usunięcia bez użycia kosza lub po upływie okresu przechowywania w AD Recycle Bin
• msDS-DeletedObjectLifeTime – w przypadku WS2008 R2, który korzytsa z funkcji kosza

Domyślnie każdy z powyższych atrybutów ma wartość “null” i odwołuje się do domyślnych wartości systemu operacyjnego. W celu modyfikacji tych wartości należy skorzystać z ldp.exe lub modułu active driectory dla Windows PowerShell.

Modyfikacja z użyciem PowerShell (WS2008 R2)

Należy wykonać poniższe polecenia z poziomu konsoli PowerShell z aktywnym modułem AD.

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=skalski,DC=info” –Partition “CN=Configuration,DC=skalski,DC=info” –Replace:@{“tombstoneLifetime” = 365}

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=skalski,DC=info” –Partition “CN=Configuration,DC=skalski,DC=info” –Replace:@{“msDS-DeletedObjectLifetime” = 365}
 

Modyfikacja z użyciem ldp.exe (WS2003 – 2008 R2)

1. Uruchomić z wiesza poleceń ldp.exe

2. Podłączyć się do domeny wybierając Connections -> Connect w polu server name podać nazwę kontrolera domeny, po czym wybrać przycisk Bind

3. W drzwie przejść do kontenera wybierając View -> Tree i podając ścieżkę CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=skalski,DC=info, po zatwierdzeniu wybrać opcję Modify na kontenerze

4. W oknie modyfikacji podać parametry:

Edit Entry Attribute: tombstoneLifetime

Value: 365

dla modyfikacji czasu obowiązywania tabliczki nagrobnej lub…

Edit Entry Attribute: msDS-DeletedObjectLifeTime

Value: 365

dla modyfikacji czasu przechowywania obiektu w koszu Acitive Directory

5. Zatwierdzić zmiany wybierając opcję Replace, przycisk Enter w celu zatwierdzenia operacji, a następnie przycisk Run by wykonać modyfikację

W poprzednich wpisach pokazałem kilka nowości wprowadzonych w Windows Server 2008 R2, dzisiaj przyszła kolej na Best Practices Analyzer (BPA). Jak sama nazwa wskazuje dzięki temu narzędziu można sprawdzić czy konfiguracja serwera jest zgodna z najlepszymi praktykami. Narzędzie to jest instalowane razem z każdą obsługiwaną rolą (warunkiem jest posiadanie odpowiedniego modelu roli dla BPA), a jego uruchomienie odbywa się poprzez wybór opcji w sekcji podsumowania roli (konsola Server Manager). Wcześniejsze wersje tego narzędzia były oddzielnymi aplikacjami, a pierwsza wersja została udostępniona w roku 2006.

Uruchomienie analizy odbywa się poprzez wybór polecenia “Scan This Role”, która po kilku sekundach jest gotowa do weryfikacji. Dla każdej rekomendacji tworzony jest dokładny raport przyczyny nie spełnienia wymogów, ewentualne konsekwencje awarii oraz  zalecane rozwiązanie problemu. Warto zwrócić uwagę, że obecnie obsługiwane są następujące role:

1. Active Directory Certificate Services
2. Active Directory Domain Services
3. Domain Name System (DNS)
4. Dynamic Host Configuration Protocol (DHCP)
5. Internet Information Services (IIS)
6. Remote Desktop Services (RDS)
7. Network Policy and Access Services

Warto pamiętać, że podobne narzędzia dla różnych aplikacji są dostępne w Centrum Pobierania na stronach Microsoft.

Kontynuując cykl przedstawiający nowe rozwiązania Windows Server 2008 R2 dzisiaj przyszła kolej na bezpołączeniowe przyłączenie komputera do domeny (offline domain joining). Jest to nowe rozwiązanie pozwalające na utworzenie konta komputera w Active Directory i przeniesienie informacji o domenie do komputera, który ma stać się członkiem domeny.

Pierwszym etapem jest zarejestrowanie konta w domenie i jednocześnie utworzenie pliku odpowiedzi, za pomocą którego zostaną przekazane informacje do nie podłączonego do sieci komputera (z systemem operacyjnym Windows 7 lub Windows Server 2008 R2). Wykonuje się to poleceniem: DJOIN /PROVISION /DOMAIN skalski.info /MACHINEOU “OU=Test Lab,DC=skalski,DC=info” /MACHINE off-client1 /SAVEFILE c:\off-client1.djoin

Polecenie djoin pozwala zarówno na utworzenie pliku odpowiedzi jak i jego wykorzystanie do bezpołączeniowego przyłączenia stacji do domeny. Najważniejszymi parametrami są:

• PROVISION - określa rezerwacje dla konta komputera w domenie według podanych dalej parametrów
• DOMAIN – wskazuje na domenę do jakiej zostanie przyłączony komputer
• MACHINEOU – definiuje położenie konta komputera w strukturze jednostek organizacyjnych
• MACHINE – nadaje nazwę komputerowi, który zostanie podłączony. Uwaga: przyłączany komputer zmieni swoją nazwę na podaną w tym parametrze
• SAVEFILE – określa ścieżkę w jakiej zostanie utworzony plik odpowiedzi służący dalej do podłączenia komputera docelowego

Kolejnym krokiem jest przeniesienie utworzonego wcześniej pliku odpowiedzi (w tym przypadku off-client1.djoin) do komputera docelowego oraz jego użycie. Wykonuje się to poleceniem: DJOIN /REQUESTODJ /LOADFILE c:\off-client1.djoin /LOCALOS /WINDOWSPATH C:\Windows

Wynikiem wykonania ww. polecenia jest przekazanie stacji informacji o jej członkostwie w domenie. By zakończyć ten proces należy ponownie uruchomić komputer. Parametry zastosowane w poleceniu oznaczają:

• REQUESTODJ – wykonuje żądanie bezpołączeniowego przyłączenia do domeny
• LOADFILE – wskazuje ścieżkę do pliku odpowiedzi
• LOCALOS - pozwala na wskazanie jako cel obecnie uruchomiony system operacyjny
• WINDOWSPATH – wskazuje ścieżkę do folderu systemowego podłączanej stacji

Warto zwrócić uwagę na scenariusz przygotowania maszyn wirtualnych z wykorzystaniem tej metody:

1. Przygotowujemy plik odpowiedzi
2. Podłączamy dysk wirtualny maszyny, która ma zostać członkiem domeny
3. Wykonujemy przyłączenie podając jako WINDOWSPATH ścieżkę do folderu systemu zainstalowanego na wirtualnym dysku

Ostatnią kwestią jaką należy poruszyć jest bezpieczeństwo tego rozwiązania. Plik odpowiedzi zwiera w sobie liczne informacje, które powinny być odpowiednio chronione. Matthieu Suiche stworzył narzędzie (dinfo.exe), które dekoduje plik odpowiedzi i ujawnia informacje zawarte w DATA_BLOB.

Warto zwrócić szczególną uwagę na hasło w polu lpMachinePassword, nazwy domeny i lasu oraz liczne informacje o polisach i identyfikatorach.

Przyszedł czas na opisanie kilku nowych funkcjonalności Windows Server 2008 R2. Dzisiaj pierwsza z nich czyli kosz w usłudze katalogowej AD czyli Active Directory Recycled Bin. Jego zadaniem jest uproszczenie przywracania skasowanych obiektów, które dotychczas wykonywało się poprzez modyfikację atrybutu isDeleted lub z kopi zapasowej.

Pierwszym krokiem jest włączenie funkcji AD Recycled Bin poprzez wykonanie polecenia (dla przykładowej domeny skalski.info):

Enable-ADOptionalFeature -Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=skalski,DC=info’ -Scope ForestOrConfigurationSet -Target ‘skalski.info’

Dalsza praca z koszem to wyszukanie usuniętego obiektu i wydanie polecenia jego przywrócenia:

Get-ADObject -Filter {displayName -eq „Kamil Skalski”}   -IncludeDeletedObjects | Restore-ADObject