Odtworzenie kontrolera domeny z obrazu lub dysku wirtualnego

Jak niektórzy z czytelników może siÄ™ orientujÄ… w tak zwanym miÄ™dzyczasie prowadzÄ™ też blog w jÄ™zyku “langÅ‚idż”, ponieważ jednak nie każdy tam zaglÄ…da lub też może nie chcieć mÄ™czyć sie mojÄ… angielszczyznÄ… postaram sie wyrównywać zawartość obu blogów. Podróż pociÄ…giem jest idealnym czasem na tego typu dziaÅ‚ania :).

Tak wiÄ™c pwatarzajÄ…c za blogiem Tomek’s DS World zajmiemy sie dziÅ› problemem zwiÄ…zanym z procedurÄ… odtworzenia kontrolera domeny z obrazu dysku lub dysku VHD w przypadku maszyn wirtualnych. W ogólnoÅ›ci używanie narzÄ™dzi tworzÄ…cych obrazy dysków nie jest najbardziej wskazanÄ… metodÄ… zapewnienia kopii zapasowej kontrolera domemny. Może nie zabronionÄ…, ale nieodpowiednie obchodzenie siÄ™ z takimi mechanizmami może prowadzić do niemiÅ‚ych efektów koÅ„cowych, chociażby wystÄ…pienia efektu USN roll-back (jeżeli komuÅ› nie jest znany ten termin zachÄ™cam do przejrzenia PPT z mojej prezentacji z MTS 2005), w efekcie mogÄ…cego doprowadzić do poważnych problemów z replikacjÄ…. Jak wiÄ™c sobie radzić z takim problemem, chociażby w przypadku Å›rodowiska wirutalnego – rozwiÄ…zanie przedstawione zostaÅ‚ w dokumencie microsoft Running Domain Controllers in Virtual Server 2005 , i polega na wprowadzeniu do rejestru systemu wpisu, wymuszajÄ…cego na kontrolerze domeny wykonanie wÅ‚asnej kopii zapasowej i jej odtworzenie po starcie (szczególy w rozdziale w Running Domain Controllers in Virtual Server 2005). Operacja taka zmienia Invocation ID (co to jest też można dowiedzieć siÄ™ na jednym ze slajdów prezentacji z MTS), co pozwala zażegnać możliwość wystÄ…pienia problemu. W trakcie rozmów z jednym z przyjaciół sieciowych Jorge de Almeida Pinto , wskazaÅ‚ on mi jednak pewnÄ… niedokÅ‚adność tej procedury. WYkonanie jej wymaga również po odtworzeniu kontrolera przeprowadzenia procedury przebudowania zasobów wolumenu SYSVOL z użyciem opcji BurFlags w rejestrze systemu. Użycie opcji BurFlags zostaÅ‚o opisane w KB 290762, jak i w jednej z moich porad technicznych. W zasadzie to wszystko. Uczulam jednak na to, że obrazy dyskowe nie sÄ… najlepszÄ… metodÄ… wykonywania kopii zapasowych kontrolera domeny.

Windows 2003 R2 a kontroler domeny

Windows 2003 R2 to dostÄ™pna od niedawna, odÅ›wieżona wersja systemu operacyjnego Windows 2003. W tym miejscu należy zaznaczyć, że jest to standardowa wersja Windows 2003 SP1, i wszystkie usÅ‚ugi które dziaÅ‚ajÄ… na Windows 2003 SP1 bÄ™dÄ… (a raczej powinny 🙂 ) dziaÅ‚ać również na serwerze zainstalowanym z noÅ›nika R2. Wersja R2 wprowadza szereg dodatowych funkcjonalnoÅ›ci możliwych do zainstalowania w systemie, z których część wymaga rozszerzenia schematu Active Directory o definicjÄ™ nowych atrybutów i klas. Z tego też powodu jeżeli Windows 2003 R2 ma peÅ‚nić rolÄ™ kontrolera domeny Active Directory, schemat lasu tej domeny musi zostać rozszerzony o te nowe definicje. SÅ‚uży do tego narzÄ™dzie ADPREP.EXE, ale nie jego standardowa wersja dostÄ™pna na pÅ‚ycie z systemem operacyjnym, ale wersja dla R2 dostÄ™pna na drugiej pÅ‚ycie noÅ›nika R2,w folderze \CMPNENTS\R2\ADPREP.

Możliwość monitorowania wykonania kopii zapasowych kontrolerów domen

Opublikowany zostaÅ‚ artykuÅ‚ KB 914034 opisujÄ…cy możliwość monitorowania w dziennikach zdarzeÅ„ stanu wykonywania kopii zapasowych kontrolera. Funkcjonalność opisana w tym artykule dostepna jest w Windows 2003 SP1, i pozawla na logowanie w dzienniku zdarzeÅ„ kontrolera domeny, zdarzenia o identyfikatorze 2089 , w przypadku gdy kopia zapasowa nie zostaÅ‚a wykonana przez okres dÅ‚uższy niż okres wskazany jako parametr w rejestrze systemu. Jak sugeruje Andrzej Lipka funkcjonalność tÄ… można w Å‚atwy sposbó wykorzystać do automatycznego monitorowania wykonania kopii zapasowych kontrolerów domeny z użyciem MOM czy też innego narzÄ™dzia pozwalajÄ…cego na monitorowanie zdarzeÅ„ w dziennikach zdarzeÅ„. Możliwość monitorowania stanu wykonania kopii zapasowej ad hoc znajduje siÄ™ również w narzÄ™dziu repadmin.exe z zainstalowanym Windows 2003 SP1. WiÄ™cej informacji na ten temat znajduje siÄ™ w blogu Bretta Shirley. Blog Bretta chociaż rzadko uaktualniany powinien znajdować siÄ™ w linkach każdego administratora Active Directory i Exchange, ponieważ Brett jest osobÄ… zwiÄ…zanÄ… z tworzeniem “serca” tych rozwiÄ…zaÅ„, czyli bazy JET.

Access token limitation – z czym to siÄ™ je

Hmm, czy ktoś o tym słyszał :)? Na czym polega ograniczenie związane z tokenem dostępowym (chyba poprawniej byłoby powiedzieć żetonem)?
W Å›rodowiskach usÅ‚ug katalogowych Windows 2000\2003 każdy użytkownik przy logowaniu siÄ™ do systemu obdarzany jest swojego rodzaju przybytkiem – tokenem dostÄ™pu, na którego zawartość skÅ‚adajÄ… siÄ™ identyfikatory SID grup do których należy. Problem polega na tym że tych identyfikatorów w ramach jednego tokenu może być tylko 1024 (taka okrÄ…gÅ‚a liczba), przekroczenie tej liczby powoduje że użytkownik nie może sie zalogować.
Problem jest znany od dawna, pojawiał się w różnych miejscach, również w prezentacjach dotyczących bezpieczeństwa systemu (potencjalny atak DoS). Teraz dodatkowo objawił sie w postaci dokumentu Access token limitation opisującego jak rozpoznać symptomy takiego problemu, jak go zdiagnozować i rozwiązać.
W tym samym miejscu można pobrać poprawkę do systemu dostarczającej nową wersję narzędzia ntdsutil.exe wyposażoną w przydatną w celu diagnozowania tych problemów funkcję Group membership evaluation. Wersja ta została opisana w artykule KB 906208, dostępna była przez PSS a teraz dostępna jest również publicznie.
Zachęcam do lektury.

.local a nazwy domen Active Directory

W trakcie dyskusji na temat pewnych problemów toczonej na łamach listy ActiveDire.org przypomniałem sobie o problemie, który jakiś czas temu podniósł Paweł Goleń, a następnie dyskutowałem go przez chwile z różnymi osobami na grupach dyskusyjnych. Chodzi o zagadnienie używania w ramach instalacji domen Active Directory przyrostka .local w ramach nazwy DNS domeny AD. W samym użyciu tego rozszerzenia nie ma nic złego, problem zaczyna się wtedy, gdy w sieci posiadamy nie tylko systemy Windows, ale też na przykład Linux czy Mac OS X, i chcemy, aby i one korzystały z zasobów naszej domeny. Problem ze współprac. tego typu klientów z domen., której nazwa zakończona jest .local wynikają z faktu że wspierają one rozwiązanie znane jako multicast DNS, w którego specyfikacji możemy przeczytać:

This document proposes that the DNS top-level domain ".local." be
designated a special domain with special semantics, namely that any
fully-qualified name ending in ".local." is link-local, and names
within this domain are meaningful only on the link where they
originate.

(…)

Any DNS query for a name ending with ".local." MUST be sent
to the mDNS multicast address (224.0.0.251 or its IPv6 equivalent
FF02::FB).

I tutaj jest hund begraben – jeżeli wszystkie zapytania do domeny .local s. przekazywane na adres multicast to jak nasz klient ma odnaleĽć nasz. domenÄ™ Active Directory. Powoduje to problem w uwierzytelnieniu w domenie i w dostÄ™pie do jej zasobów.
Jak problem można rozwiązać, ano na dwa sposoby:

  1. Proaktywny, czyli będąc świadomym tego problemu nie używajmy nazw domen kończących się na .local w naszych instalacjach Active Directory.
  2. Reaktywny, czyli rozwiÄ…zujÄ…c zaistniaÅ‚y problem – dla MacOS X dostÄ™pny jest bardzo dobry opis procedury konfiguracji systemu. Taki sam na pewno istnieje też dla Å›rodowisk Linux, ale w tej chwili nie udaÅ‚o mi siÄ™ go zlokalizować.

Podsumowując, unikajmy nazw domeny kończ.cych się na .local, nawet jeżeli nie mamy teraz z tym problemu to możemy uniknąć go w przyszłości.

Potencjalne problemy z kopiami zapasowymi kontrolerów domeny z Windows 2003 SP1

Opublikowany został artykuł KB909265 opisujący sytuację, w której wystąpić może problem z wykonaniem kopii zapasowej kontrolera domeny z Windows 2003 SP1. Problem może wystąpić wtedy, gdy plik bazy danych DIT i logi transakcyjne zostały rozdzielone i umieszczone na różnych wolumenach, a jeden z tych wolumenów jest wolumenem systemowym.
Dokładne informacje znajduj. się w artykule KB909265, warto zajrzeć i sprawdzić czy w naszej konfiguracji mogą one wystąpić.

Instalacja SQL 2000 – miejmy nadziejÄ™ że bezpieczna

OkoÅ‚o roku temu popeÅ‚niÅ‚em z różnych przyczyn coÅ› na ksztaÅ‚t procedury bezpiecznej (mam nadziejÄ™) innstalacji SQL 2000, która potem przeleżaÅ‚a trochÄ™ na moim dysku. Przez czysty przypadek odgrzebaÅ‚em jÄ… w tym tygodniu i chociaż wÅ‚aÅ›nie niedawno objawiÅ‚ nam siÄ™ nowy “król” SQL 2005 to myÅ›lÄ™, że ta procedura również jeszcze siÄ™ może komuÅ› przydać i postanowiÅ‚em jÄ… opublikować. Dokument o wiekopomnej nazwie STANDARD BEZPIECZNEJ KONFIGURACJI OPROGRAMOWANIA – Microsoft SQL Server 2000 stanowi zebrane i opisane w jÄ™zyku polskim zalecenia co do konfiguracji SQL 2000 w sposób mam nadziejÄ™ bezpieczny.

Disklajmer:Użytkowniku, pomimo że procedura ta została sprawdzona i nawet wdrożona korzystasz z niej na własną odpowiedzialność. Nie biorę odpowiedzialności za ewentualne problemy wynikające z jej zastosowania i mocno doradzam przetestowanie takiej konfiguracji w środowisku testowym przed wdrożeniem na produkcji.
Miłego stosowania.

Możliwe problemy z zasobami paged pool w Exchange 2003

Wszyscy administratorzy serwerów Exchange powinni zainteresować się serią artykułów opublikowanych na bloguYou Had me at EHLO, a dotyczących możliwego wyczerpania zasobów pamięci paged pool serwera Exchange. Problem ten może dotyczyć serwerów obsługujących dużą liczbę klientów korzystających z Outlook i powodowany jest przez alokowanie dla każdego z połączeń klienta zasobów pamięci przechowujących token zabezpieczeń użytkownika. Token taki jest przechowywany osobno dla każdego z połączeń wygenerowanych przez użytkownika, a pojedyncza instancja Outlook generuje kilka połączeń. Zasoby dla tokenów alokowane są w obszarze pamięci jądra systemu, który posiada ograniczoną przestrzeń do zaalokowania.
DokÅ‚adny techniczny opis mechanizmu powstawania problemu i powiÄ…zanych z nim zagadnieÅ„ można znaleźć w trzech artykuÅ‚ach opublikowanych na blogy “You Had me at EHLO”:

Sposób monitorowania zasobów serwera Exchange 2000/2003 pod kątem użycia paged pool został opisany w artykule KB 912376.
Opublikowany został również artykułKB 912480 opisujący poprawkę mającą na celu rozwiązanie tego problemu dla serwera Exchange 2003.

PlanujÄ…c architekturÄ™ nowych systemów opartych o Exchange lub wymieniajÄ…c sprzÄ™t w istniejÄ…cych instalacjach warto pamiÄ™tać o tym że architketura 64-bitowa zapewnia o wiele lepsze parametry jeżeli chodzi o użycie zasobów pamiÄ™ci – w tym konkretnym przypadku zasoby pamiÄ™ci obszaru paged pool mogÄ… zajmować 128GB RAM w porównaniu do 470MB na architekturze 32-bitowe (porównanie: KB 294418). Nie wspominÄ…jÄ…c już o nadchodzÄ…cym Exchange 12.