Jeżeli ktoś był na mojej sesji o ADFSv2 i nadal zachodzi w głowę o co chodzi, lub też nie był i też zachodzi w głowę o co chodzi z tym ADFS to polecam wyjaśnienie słowno obrazkowe (podesłane przez Laurę).
(c) Fpweb.net
Celne, I co tutaj dużo mówić … LOL.
Tytuł tego wpisu wymknął mi sie kiedyś w trakcie rozmowy z kolegami z działu zajmującego się ILM \ FIM, raczej w dosyć krytycznym kontekście. A jednak … FIM FIM …. Hurray … FIM 2010 czyli Forefront Identity Manager 2010 (FIM 2010), który uzyskał status RTM.
Dla tych, którzy tematem się interesują jest to wiadomość długo oczekiwana. Przez sceptyków nawet wyczekiwana była wiadomość całkiem inna … Ważne że jest. Teraz czas odświeżyć umiejętności na wersji RTM
Wersje eval FIM2010 można pobrać ze strony Microsoft Downloads.
FIM 2010 został ogłoszony przy okazji odbywającej się właśnie konferencji RSA. Na tej samej konferencji ogłoszona została wersja CTP U-Prove, która jakiś czas temu została przejęta przez Microsoft. Więcej o U-Prove I możliwości zastosowania tej technologii można znaleźć na Identity Element, linki na blogu Vittorio. Z ciekawych rzeczy to w ramach CTP U-Prove udostępnione zostały dwa SDK zawierające jak narazie przykłądy kodu dla C# I Javy.
Dla lubiących oficjalne ogłoszenia prasowe link to tegoż.
… człowiek coś chlapnie w niedziele wieczorem w komentarzach do bloga I cóż, chlapnęło się … trzeba pisać. O lokalizacji SYSVOL będzie. Kto był na ostatniej mojej prezentacji na ICL to już trochę słyszał … kto nie był, niech czyta.
SYSVOL jaki jest każdy widzi, wystarczy że zajrzy do udziałów udostępnianych przez kontroler domeny. Rolą SYSVOL jest udostępnianie plików klientom usługi katlaogowej – w szczególności plików szablonów polityk GPO (duży skrót: GPO składa się z GP container (GPC) w katalogu I GP Template (GPT) na SYSVOL), skrytpów startu \ logowania itp. Przed zreplikowaniem I udostępnieniem SYSVOL kontroler domeny nie udostępnia swoich usług, bez SYSVOL klienci nie będą też przetwarzali GPO. To tak w telegraficznym skrócie.
Z czysto technologicznego punktu widzenia SYSVOL to nic innego jak rozproszony system plików (DFS) udostępniany jako domenowa przestrzeń nazw (odwołania do SYSVOL odbywają się poprzez \\<FQDN domeny>\SYSVOL). Jego zawartość jest replikowana przy pomocy FRS w systemach starszych niż Windows 2008 I przy użyciu DFS-R w środowiskach opartych o Windows Server 2008 I wyższych, o ile administrator dokonał migracji tego mechanizmu. Szczerze mówiąc, to w zasadzie zawartość SYSVOL może być replikowana dowolnie, tak długo jak utrzymana jest jej spójność na wszystkich kontrolerach domeny.
Mówiąc o wszystkich kontrolerach domeny – skąd wiemy, z której repliki SYSVOL w skorzysta nasz klient, czyli jak lokalizowana jest ta replika przez klienta? I tutaj dochodzimy do problemu …
“(…) Pojawiam się I znikam, I znikam I znikam … (…)” – tak by mógł sobie zaśpiewać klasycznie link do ściągnięcia AD LDS dla Windows 7, o którym pisałem niedawno.
(logo by joe)
Tym razem pojawił się ponownie … podobno teraz już na dobre.
Dzisiaj mówiłem na IntelliMirror Community Launch (ICL) zorganizowanym przez chłopaków z WGUiSW. Mówiłem o GPO a że temat szeroki to o kilku wybranych tematach, czyli ogólnie z czym to się je, chwilę o SYSVOL I jego funkcji a na koniec trochę o rozwiązywaniu problemów. Tyle co w 60 minut się zmieściło.
Jako że po takich spotkaniach często pojawia się pytanie o materiał z prezentacji – uprzedzając pytania zamieszczam (PPS).
Tym którzy byli mam nadzieję, że się podobało. Ci którzy byli przez LiveMeeting podobno nic nie słyszeli – tak wyszło że po sali chodziłem. Ale tak czy inaczej mam nadzieję że było pożytecznie. Ewentualne komentarze dobre I krytyczne mile widziane … w komentarzach lub na e-mail.
Dla uspokojenia na początek szybko … nie, nie nawiązałem personalnego związku ze swoją przeglądarką czy też nie podejrzewam o to nikogo innego. Chociaż zapewne część z nas jest mocno przywiązana do swojej konfiguracji, dodatków w przeglądarce itp. Czy przeglądarka odwzajemnia to przywiązanie (jakkolwiek dziwnie to brzmi) czy też niecnie nas zdradza w sieci z dowolną stroną???
Poprzez blog Kima Camerona trafiłem na stronę projektu Panopticlick uruchomiony przez Electronic Frontier Foundation (EFF). Projekt ten na podstawie anoniomowo dostępnych danych o przeglądarece użytkownika stara się określić jak łatwo byłoby odróżnić tą konkretną przeglądarkę od innych … a tym samym jak łatwo, na podstawie li tylko informacji o przeglądarce śledzić zachowania użytkownika w sieci.
Przykładowy wynik dla mojej przeglądarki poniżej.
Jak widać wśród ponad 400 tys przeglądarek moja okazała się unikalna w pewien sposób, co oznacza że *TAK* moja przeglądarka mnie zdradza. Nieładnie …
Podejście jest o tyle ciekawe, że z pozoru nieistotny element jak charakterystyczna karta graficzna czy też rzadko używany plugin do przeglądarki staje się w tym kontekście elementem wyróżniającym. I tak nagle nasza sieciowa tożsamość rozciąga się w pewnym kontekście już nie tylko na nasze dane ale również I na narzędzia, którymi się posługujemy.
Czy to faktycznie jest problem ??? Pytanie czy faktycznie jest możliwe zbudowanie mechanizmu, który będzie użytkowników identyfikował (a przynajmniej się starał) w oparciu o te informacje. Pytanie czy należy coś w kierunku uniemożliwienia takiego podejścia zrobić wcześniej … na to pytanie pewnie odpowiedzą sobie ludzie zajmujący się rozwojem przeglądarek itp. Odpowiedzą, jeżeli ktoś je im zada lub sami je postawią. Zobaczymy.
Małe uaktualnienie
Witek po opublikowaniu tej notki podesłał mi link do tej wiadomości. Wiadomość jak wiadomość, kto ekscytuje się fljemami to może poczytać I analizować. To co jest interesujące to:
(…) Nie korzystano ze statystyk sprzedaży (trudne do zanalizowania w przypadku wolnego oprogramowania) ani ankiet, lecz zanalizowano dostępność specyficznych fontów na komputerach łączących się z Internetem. Każdy z pakietów zawiera unikalne fonty niedostępne w innych aplikacjach. Ich analiza pozwala na dość dokładne stwierdzenie czy na danym komputerze zainstalowany jest dany pakiet. (…)
Jak widać informacja udostępniana przez przeglądarkę, na pozór mało istotna, może zostać użyta w różnym kontekście. O podobnej kwestii informuje również Kim Cameron w kolejnym wpisie na swoim blogu:
(…) The authors claim the groups in all major social networks are represented through URLs, so history stealing can be translated into “group membership stealing”. This brings us to the core of this new work. The authors have developed a model for the identification characteristics of group memberships – a model that will outlast this particular attack, as dramatic as it is. (…)
Wychodzi więc, że nasza przeglądarka przez swoją charakterystykę I różne jej przypadłości może być użyta do uzyskania całkiem ciekawych informacji. Zadanie dla osób planujących kolejne wersje przeglądarek wydaje się dosyć ciekawe … uwzględnić fakt, że przeglądarka może zostać użyta do identyfikacji użytkownika w sieci w jej mechanizmach. Jak już napisałem wcześniej … zobaczymy.
Pytanie zadanie – znalazła się I odpowiedź. A pytanie brzmiało – “Jak znaleźć zmiany wprowadzone w schemacie katalogu po jego instalacji?”. Padło na ActiveDir.org jak można się było spodziewać, ale jako że temat widzę już chyba po raz trzeci … czas napisać coś w temacie.
Odpowiedzi padło kilka, jedna z nich też moja … jakie więc mamy opcję.
Jedną z nich jest użycie Schema Analyzer pochodzącego z AD LDS (ADAM) tak jak zostało to opisane na blogu Ask DS Team. Instalujemy więc AD LDS, generujemy plik LDIF z obecnym schematem naszego katalogu, ładujemy schemat wzorcowy AD LDS I wyciągamy różnicę. Lekkie, łatwe I przyjemne ale …
Alternatywne podejście … możemy wykorzystać fakt, że każdy obiekt w katalogu posiada informację o dacie utworzenia w ramach atrybutu whenCreated, który jest replikowany pomiędzy kontrolerami domeny. I w prosty sposób możemy uzyskać listę atrybutów I klas schematu, wraz z informację o dacie ich utworzenia:
adfind -schema -f "(|(objectClass=attributeSchema)(objectClass=attributeClass))" ldapDisplayName whenCreated –adcsv
wrzucić to do pliku tekstowego (atrybuty do wyboru), otworzyć w jakimś Excelu … posortować i voile …
Niby prosto, ale jednak nadal wymaga trochę zachodu I narzędzi typu Excel (lub coś co potrafi posortować plik, w zasadzie może być Powershell). Z drugiej można skorzystać z gotowego skryptu CMD SchemaDiff.cmd przygotowanego przez Deana Wellsa (archiwum z DEC do ściągnięcia I rozpakowania), który opierając się na metadanych replikacji wyciąga z katalogu informację o zmianach w schemacie. A jak działa:
C:\Temp>SchemaDiff.cmd w2k.pl
SchemaDiff 1.1 / Dean Wells (dwells@msetechnology.com) - March 2006
STATUS - Working [review title bar for progression] …
- Forest/schema creation timestamp: 2009-08-23 @ 22:51:06
- base-schema has been MODIFIED since Forest creation
- counting classSchema and attributeSchema instances: 1438
- querying schema …*MOD: CN=Schema,CN=Configuration,DC=w2k,DC=pl
- schemaInfo…………………… {modified post-instantiation}*MOD: CN=User,CN=Schema,CN=Configuration,DC=w2k,DC=pl
- auxiliaryClass……………….. {modified post-instantiation}+NEW: CN=AstContext,CN=Schema,CN=Configuration,DC=w2k,DC=pl
+NEW: CN=AstExtension,CN=Schema,CN=Configuration,DC=w2k,DC=pl(…)
Done - 57 schema object(s) added, 4 schema object(s) modified
in Forest "DC=w2k,DC=pl"
Szybko, łatwo I przyjemnie … I bez żadnych dodatkowych narzędzi oprócz tego co powinno być dostępne na każdym DC (cmd.exe I repadmin.exe).
Miłego używania … a bardziej ogólnie mówiąc o temacie to warto by było mieć udokumentowane wszystkie zmiany wprowadzane w schemacie katalogu. Warto pomyśleć o kilku prostych procedurach z tym związanych … nie musi być to coś wymyślnego, czasami prosty plik wystarczy … w ostateczności witryna na WSS … pozostawiam do przemyślenia.
Mam swoją małą teorię na temat populacji czytelników technicznych PL blogów, i mówi mi ona dzisiaj że większość z Was tą informację już gdzieś czytała. W związku z tym boję sie trochę efektu lodówki (otwieram lodówkę a tam … ) ale co tam … w końcu warto.
Jeżeli chcecie sie przekonać dlaczego Paula Januszkiewicz (MVP w zakresie bezpieczeństwa) jakiś czas temu odniosła sukces w Speaker Idol na TechED i dlaczego potem jej sesja na TechED w Berlinie musiała być powtarzana … to jest idealna okazja. Paula powtórzy swoją sesję z TechED on-line na portalu VirtualStudy.pl. Tytuł to Techniki hakerskie użyteczne dla administratora IT (oryginalny tytuł w języku angielskim: Useful Hacker Techniques: Which Part of Hackers‘ Knowledge Will Help You in Efficient IT Administration).
Jeżeli więc dysponujesz wolnym czasem wieczorem 1 lutego, i interesują Cię te zagadnienia … może warto zainstalować klienta LiveMeeting i przekonać sie samemu o czym będzie mowa. Wystarczy kliknąć i się zarejestrować.
Dla zmniejszenia lekko efektu lodówki dodam jeszcze informację, ze na VirtualStudy.pl w najbliższym czasie serie sesji o Powershell przeprowadzi też Grzesiek Tworek.
Powershell niby chwilę już jest dostępny ale jeżeli ktoś jeszcze się za niego nie zabrał lub też chce zweryfikować to co już wie warto zapewne na sesje Grześka się zapisać. Zawsze warto posłuchać co o technologii (a prywatnie i nie tylko o tym) Grzesiek ma do powiedzenia.
Pwszechna jest wiedza, że klient usługi katalogowej w konkretnym wydaniu jaką jest Active Directory w celu zalogowania się poszukiwał będzie rozwiązania optymalnego. Rozwiązaniem tym jest znalezienie najbliższego sobie kontrolera domeny i użycia go w tym procesie. Całość procesu opiera się o rozwiązywanie nazw DNS oraz konfigurację infrastruktury fizycznej katalogu (sieci i lokacje) o czym już nieraz pisałem.
A co gdy sieci mamy podefiniowane, podpięte pod odpowiednie lokacje a pomimo tego uparty klient nadal nie korzysta z kontrolera domeny z którym jest mu najbardziej po drodze lecz preferuje ten w przysłowiowym Pcimiu (bez obrazy dla mieszkańców tegoż… pozdrowienia)? Wtedy nadchodzi czas na to co każdy administrator lubi najbardziej … troubleshooting.
Konfiguracja sprawdzona, logi przejrzane … nic nie widać … i co dalej?
W tym konkretnym przypadku, problemów z procesem lokalizacji kontrolera domeny mamy możliwość skorzytania z kilku dodatkowych mechanizmów wpierających cały proces.
Pierwszy to możliwość włączenia trybu debug dla procesu netlogon. Netlogon jest to usługa systemowa, który obsługuje całość działań związanych z procesem logowania się użytkownika. W każdej wersji Windows z rodziny wywodzącej się NT możliwe jest włączenie trybu debug poprzez ustawienie odpowiednich flag w rejestrze … a jakie to flagi i jak je ustawić można przeczytać w KB 109626 Enabling debug logging for the Net Logon service. Po ustawieniu odpowiednich wartości, w pliku %widir%\debug\netlogon.log zapisywane będą informacje dotyczące procesu logowania, w tym lokalizacji kontrolera domeny. W większości przydatne :). Przykładowy log związany z lokalizacją DC przez klienta znajduje się poniżej (lekko podrasowany dla czytelności).
[SITE] Setting site name to ‘(null)’
[SESSION] \Device\NetBT_Tcpip_{33941FFA-DFED-4744-BF9A-972228BC6FF0}: Transport Added (192.168.1.10)
[SESSION] Winsock Addrs: 192.168.1.10 (1) List used to be empty.
[SESSION] V6 Winsock Addrs: (0)
[CRITICAL] Address list changed since last boot. (Forget DynamicSiteName.)
[SITE] Setting site name to ‘(null)’
[DNS] Set DnsForestName to: w2k.pl
[DOMAIN] W2K: Adding new domain
[DOMAIN] Setting our computer name to wss wss
[DOMAIN] Setting Netbios domain name to W2K
[DOMAIN] Setting DNS domain name to w2k.pl.
[DOMAIN] Setting Domain GUID to ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[MISC] Eventlog: 5516 (1) "wss" "W2K"
[INIT] Replacing trusted domain list with one for newly joined W2K domain.
[SITE] Setting site name to ‘(null)’
[LOGON] NlSetForestTrustList: New trusted domain list:
[LOGON] 0: W2K w2k.pl (NT 5) (Forest Tree Root) (Primary Domain) (Native)
[LOGON] Dom Guid: ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[LOGON] Dom Sid: S-1-5-21-1855823386-3643518527-1754427229
[INIT] Starting RPC server.
[SESSION] W2K: NlSessionSetup: Try Session setup
[SESSION] W2K: NlDiscoverDc: Start Synchronous Discovery
[MISC] NetpDcInitializeContext: DSGETDC_VALID_FLAGS is c00ffff1
[INIT] Join DC: \\resfs.w2k.pl, Flags: 0xe00013fd
[MISC] NetpDcInitializeContext: DSGETDC_VALID_FLAGS is c00ffff1
[MAILSLOT] NetpDcPingListIp: w2k.pl.: Sent UDP ping to 192.168.1.1
[MISC] NlPingDcNameWithContext: Sent 1/1 ldap pings to resfs.w2k.pl
[MISC] NlPingDcNameWithContext: resfs.w2k.pl responded over IP.
[MISC] W2K: NlPingDcName: W2K: w2k.pl.: Caching pinged DC info for resfs.w2k.pl
[INIT] Join DC cached successfully
[SITE] Setting site name to ‘Default-First-Site-Name’
[MISC] NetpDcGetName: w2k.pl. using cached information
[PERF] NlAllocateClientSession: New Perf Instance (001E6688): "\\resfs.w2k.pl"
ClientSession: 00237D58
[SESSION] W2K: NlDiscoverDc: Found DC \\resfs.w2k.pl
[SESSION] W2K: NlSetStatusClientSession: Set connection status to 0
[DOMAIN] Setting LSA NetbiosDomain: W2K DnsDomain: w2k.pl. DnsTree: w2k.pl. DomainGuid:ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[LOGON] NlSetForestTrustList: New trusted domain list:
[LOGON] 0: W2K w2k.pl (NT 5) (Forest Tree Root) (Primary Domain) (Native)
[LOGON] Dom Guid: ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[LOGON] Dom Sid: S-1-5-21-1855823386-3643518527-1754427229
[SESSION] W2K: NlSetStatusClientSession: Set connection status to 0
[SESSION] W2K: NlSessionSetup: Session setup Succeeded
[INIT] Started successfully
Prawda że może być to pomocne??
ADAM to implementacja serwera LDAP dla Windows, w dużym uproszczeniu można powiedzieć że technologia Active Directory uproszczona tylko do serwera LDAP (ale to uproszczenie duże 
). Oryginalnie ADAM pojawił się w wersji dla Windows Server 2003 oraz dla Windows XP.
Pytanie po co serwer LDAP dla Windows XP?? Na przykład dla developoerów piszących aplikację korzystającą z LDAP, aby do kontrolerów domeny nie musieli mieć dostępu w trakcie jej tworzenia lub dla administratorów którzy coś chcą w wolnej chwili potestować. Może to kogoś zdziwi ale są też w przyrodzie aplikacje, kóre korzystają z ADAM jako z podręcznego serwera LDAP na własne potrzeby zamiast SQL Express.
Wraz z nadejściem Windows Server 2008 ADAM zmienił swoją nazwę na AD LDS i zniknął z systemów klienckich co niektórym się mocno nie spodobało (oba fakty).
(logo by joe)
Jak widać Microsoft czasami wsłuchuje się w takie pomruki niezadowolenia i właśnie ADLDS powróciło na stacje robocze … dokładniej na Windows 7 :). Do pobrania z Microsoft Downloads.
