FULL ARTICLE ACTIVE DIRECTORY

Transcription

1 FULL ARTICLE ACTIVE DIRECTORY מאמר זה מכיל מידע חיוני על,Active Directory המאמר יעודכן אחת לתקופה לכן תוכלו לעקוב אחר שינויים אצלי בבלוג. אני ממליץ להדפיס את המאמר, ללמוד, לתרגל, וכמובן אם ישנן שאלות אני תמיד זמין עבורכם בפרטים הבאים: אימייל: אתר אינטרנט: MEIR PELEG

2 תוכן עניינים content Table of Active Directory Data Files... 2 Functional level... 4 LDAP (Lightweight Directory Access Protocol)... 5 Distinguished Names... 6 Sysvol Folder... 7 Global Catalog... 8 Kerberos... 9 Groups FSMO (Flexible Single Master Operations) How to Transfer FSMO Role Tombstone Authoritative restore and Non-Authoritative restore Ports Demote Domain Controller in WINSVR 2012 using PowerShell USN (Update Sequence Number) KCC (Knowledge Consistency Checker) Get User to Find Inactive AD Users Saved Queries Multiple Users in Active Directory Migrate Active Directory 2008r2 to How to Migrate DC to Windows Server Sites and Subnets Interactive Login Windows How to reset DSRM Password Best Practices Analyzer Server Understanding Zone Types System Administrator Commands

3 Active Directory Data Files כאשר אנו יוצרים Domain Controller בעזרת פקודת "DCPROMO" או באמצעות התהליך ה- ידוע ב- Server Manager נוצרים הקבצים הבאים בסביבה שלנו שהינם מאד חשובים. Ntds.dit Default Path: %SystemRoot%\NTDS\Ntds.dit אחד הקבצים אם לא ה... )כפי שהישראלים נוהגים לומר(, הכי חשובים כשיש לנו בשרת ה -,Domain Controller הקובץ הזה מאחסן את כל ה- Database של ה-,DC אסור לנו בשום פנים ואופן למחוק אותו, להזיז אותו או לנסות לערוך אותו. אם כן, אנא השתדלו שלא להתעסק איתו, שכן הוא יעד עיקרי להאקרים המנסים ליצור "Snapshot" מהקובץ הזה באמצעות NTDSUTIL ולאחר מכן מפענחים את הסיסמאות באמצעות תוכנה צד ג'. לפיכך, אנא וודאו כי אין כל גישה לאף משתמש לשם מאשר קבוצת.DOMAIN ADMIN הקובץ מכיל מספר Partitions שחשוב וכדאי להכיר: Schema Information: Classes מכיל את כל ה- attributes וה- של ה-אובייקטים ב- Directory.Active Domain Information: חשוב מאוד להכיר גם אותו, מכיל מידע חיוני לגביי משתמשים, מחשבים, קבוצות וכל אובייקט ב- AD, ה- Partition הזה מתרפלק בין ה- DC s בתוך הדומיין ולמי שיש.GC Configuration information: מכיל את הגדרות הדומיין,, ROOT FOREST,TREE מכיל מידע מאוד חשוב בנוגע לשירותים של ה Directory- שלכם וה-,SITE עובד עם,DOAMIN NAMING בנוסף לכך, הוא גם מכיל את אינפורמציה לגבי הגדרות ה- Tombstone שעליו תקראו בהמשך. Application: 2

4 מאחסן מידע לגבי,Application כאשר אנו קבועים שה- DNS שלנו יהיה Integrated אז ה- Application Partition מכיל את המידע שלו, בנוסף חשוב לציין של Partition הזה שני חלקים נוספים שהם: ForestDNSZones and DomainDNSZones, Edb.chk: קובץ Edb.chk הוא למעשה קובץ Checkpoint שאחראי לכך שבמידה והתרחש משהו חריג ב- Active Directory,הקובץ מציין זאת, לא רק, הקובץ הזה הוא סוג של יומן שממנו מאגר המידע יכול להתחיל את ההתאוששות. כל transaction שמתבצעת ה Edb.chk מחויב לרשום זאת בקבצי ה LOG- ואז לתוך.ntds.dit Edb.log: כל Transaction שאנחנו מבצעים ב- Active Directory נרשם בקובץ הזה. כמובן שהכול מתעדכן עם הקובץ DB שלנו,(Ntds.dit) הקובץ עוזר לנו לבצע שחזור נתונים במקרה של קריסה. הקובץ יכול לגדול עד - MB10 ולא יותר, ברגע שהקובץ מגיע למצב שהוא מתמלא יותר מ- 10 בקונבנציה הבאה: Edbxxxxx.log LOG באופן אוטומטי נוצרים על פי רצף תקין עוד קבצי MB. מערכת יוצרת שני קבצים נוספים: Res1.log ו- Res2.log שהם גם יכולים להגיע ל -,MB10 מטרת הקבצים הללו הם כאשר אנו חווים בעיי ת מקום בכונן, הנתונים יתחילו להירשם לקבצים האלו, מה שבעצם מאפשר לנו שרידות והמענות מקריסה 3

5 Functional level חשוב לזכור! אין לחזור אחורה לאחר שביצעתם -Raise אין לקחת ריזיקה(. )עשוי ליצור בעיות אחרות, לכן יש שאלה שמראיינים מאוד אוהבים לשאול בראיונות עבודה: "יש לך DC 3 שה- FL שלו הוא WINDOWS SERVER 2003 ויש לך אפליקציה חדשה שצריכה לרוץ על מערכת הפעלה Windows 2000 מה התכנון?, מה עושים?" חברים, פשוט מאוד, כלום!, זה לא קשור בכלל לסביבת ה- AD שלנו, אסור לכם להתבלבל ה- FL נועד עבור הסביבת ה- AD בלבד, ברגע שכל ה- DCים שלנו יהיו FL 2003 נקבל פיצ'רים חדשים ועדכנים יותר, כנ"ל לגבי Server 2008R2/Server 2012 יכול להיות מצב שיש לכם DC שהוא ישן נורא, והוא רץ על Windows Server 2003 והשאר 2008R2 זה מצב לא תקין שיכול לגרום לתקלות, לדוגמא אם החלנו מדיניות )GPO( של Windows Server 2008R2 ומשתמש מבצע לוגין Domain Controller 2003 הוא עשוי לא לקבל את המדיניות, לא בטוח שהמדיניות קיימת בשרת היש במצב שיש לכם DC אחד של Server 2003 הייתי ממליץ להקים DC חדש עם מערכת הפעלה דומה לשאר הDCים שלכם ולבצע תהליך תקין של DEMOTE לשרת הישן, וכמובן לבצע מחיקה לצמיתות. אם אתם שואלים את עצמכם איזו מדיניות לא תעבוד בדיוק?, אז אחד הבדלים המשמעותיים בין 2008R2 ל 2003 הוא ה policy בGPO ב לדוגמא- אין אפשרות לפוליסי: של Firewall מה שיש ל R2. אין שינויים משמעותיים ברמת ה- Forest ב Server רוב התכונות זמינות בדיוק כמו 2008R2.ברמת ה- Domain ישנם שינויים מינוריים,לדוגמא, תוספת של אותנטיקציה של 2,NTLM תוספות של פוליסי בGPO - ששייכים, KDC חידוש Ticket למשתמש מעבר ל 4 שעות ועוד מספר שינויים קטנים שניתן לקרוא עליהם לגבי,Windows Server 2016 כן חשוב לי שתדעו ש RFS הרכיב שאחראי לרפליקציה לא נתמך יותר במערכת הפעלה הזו, לכן יש לעבוד עם לבדוק שאין לכם DC ישן אם החלטתם לשלב.DC 2016 לעוד פרטים מורחבים בנושא, ממליץ בחום: כאשר אנחנו מקימים דומיין אנחנו צריכים לבחור באיזה Functional Level הוא יעבוד. אציין, שאין צורך תמיד לבצע Raise ל FL- גבוה, אלא אך ורק כאשר יש צורך וה-סביבה שלכם מתאימה, כך תקבלו תמיכה ב-תכונות חדשות ומתקדמות בסביבתכם. 4

6 LDAP (Lightweight Directory Access Protocol) תכירו מעט את הליבה של ה- Directory Active )אני ממש אוהב את הליבה הנ"ל( הרבה אנשים פותחים אובייקטים ביום יום ומשתמשים ב AD- ולא יודעים כיצד נראה, איך בנוי ברמת,LDAP ואיך זה מופיע ב,ADSI.EDIT- אם תפתחו "CMD" בשרת AD או איפה שיש לכם,RSAT תוכלו לגלות את מיקומם של כל האובייקטים ב- AD שלכם ע"י פקודות "Dsquery" Dsquery user domainroot samid username computer Dsquery computer domainroot -name <name> >Computer> dsquery server -o rdn - Forest : Forest חיפוש בכל ה DC- שיש ב כמובן שיש עוד עשרות פקודות שניתן לקבל אינפורמציה על הארגון שלנו, בעיקר,Dsquery הצגתי לכם 2-3 שבאמת חשוב להכיר וללמוד בעל פה. עם פקודה זה ואיפה במה עשוי להועיל? שחזור אובייקטים, Authoritative restore,יש המון סקריפטים שאנחנו מריצים מסוג batch. במהלך יום העבודה שלנו, שלפעמים עלינו לציין את כל ה- DN PowerShell ו- file לדוגמא : לצורך העניין, אני אציג בפניכם שאילתא פשוטה set b=dsmove %%A -newparent( OU=Users,OU=Netsystem_Computers,DC=org,DC=il) echo Do Not Touch The Computer While The Script Is Running Thanks For /F "eol=." %%A in (C:\res.txt) do b%( Users OU - לסקרנים מבינכם, הסקריפט יודע לקחת את כל המשתמשים מ של ולבצע בהם את הפעולה שביקשתי 5

7 DC=domainComponent Distinguished Names CN=commonName OU=organizationalUnitName O=organizationName STREET=streetAddress L=localityName ST=stateOrProvinceName UID=userid 6

8 Sysvol Folder מיקום התיקייה ב- Default. 1. Policies - (Default location- %SystemRoot%\Sysvol\Sysvol\domain_name\Policies). 2Scripts - (Default lcation- %SystemRoot%\Sysvol\Sysvol\domain_name\Scripts) מה התיקייה הזו בעצם מכילה? תיקיית SYSVOL מכילה רכיבים מאוד חשובים של ה- directory,active התיקייה,NTFS מרופלקת ב- -Volume ב- לכל ה- DC S שלנו. השימוש העיקרי של. )Scripts and Policies( כלומר GPO התיקייה היא להכיל קבצי - הזכרתי שהתיקייה מתרפלקת בין כל ה Domain controllers שלנו הרפלקציה מתבצעת ע"י FRS או DFSR )תלוי במערכת בגרסה כן?, לא לשכוח!, ב- Windows Server 2016 תהליך הרפליקציה מתבצע ע"יDFSR (, ראשי תיבות " System Distributed File "Replication רץ כ - Service בכל DC ודואג שכל שינוי שאנחנו מבצעים בתיקיה או שינוי בהגדרות GPO התרפלק. 7

9 Global Catalog תפקידו של ה - Catalog Global הוא להכיל את כל האובייקטים של ה - Directory Active בForest, בעזרת ה - Catalog Global השאילתות שלנו מתבצעות בצורה מהירה יותר. Global Catalog וכמובן ככל שיש לנו יותר אשר DCים מואשר, השאליתות יבוצעו בצורה מהירה יותר ובנוסף מבלי להשים לב אנחנו יוצרים סוג של Load Balance בין שני שרתי ה.GC אני לא רואה סיבה לא לאפשר Global Catalog בסביבה הארגון. כאשר אנחנו מקימים DC חדש אם תשימו לב בתהליך התקנה אפשרות ה - V של Global Catalog נמצא במצב Gray out ו וזה המצב ה-,Default אפשרות זו לא ניתנה להורדה כאשר יש לנו,DC 1 במידה ונרצה לצרף עוד DC חדש לדומיין נוכל לוותר על האופציה של.Global Catalog עוד נתון מעניין קבוצת Login כאשר קליינט בקבוצה זו מבצע,Security היא קבוצת - Universal Groups )Authentication( ה - Controller" "Authenticating Domain יוצר קשר עם ה- Global Catalog במידה \וה- Global Catalog לא זמין ב - Site למרות החוסר היענות של ה- GC אפשרות הלוגין של היוזר כן תצליח בזכות ה Cache שהתחנה שמרה לעצמה מהלוגין האחרון, במידה והיוזר לא ביצע לוגין אף פעם( גם לא פעם קודמת )היוזר לא יצליח להתחבר לדומיין : אלא רק באופן לוקאלי. פורטים בהם עובד ה Global Catalog Port (TCP/UDP): 3268 Port (TCP/UDP): Global catalog over SSL איך מאפשרים את ה Catalog-?Global יש לפתוח את ה - Manage Server יש לבחור ב - services Active directory sites and יש להרחיב את תייקית Site בתוך ה Services- Active Directory Site and ברגע שסיימתם להרחיב את התיקיות > יש לגשת ל Settings- NTDS ולהקליק קליק ימני ולבחור באפשרות Properties יש לגשת ללשונית General ולסמן ב V את אפשרות Global catalog ולבסוף ללחוץ.Ok 8

10 Kerberos כל הנושא של פרוטוקול האותנטיקציה ושל Kerberos הוא מאוד מורכב, למרות זאת אני אנסה לסכם את הנושא בקצרה ובצורה ומובנת. תחילה, יש להבין את מנגנון אוטנתיקציה והצפנה של התחנות והשרתים אל ומול שירותי הרשת שלנו, ישנו Service ששמו Center" "Key Distribution שרץ בשרתי DC שלנו ה- KDC מורכב משני תתי שרתים: : Authentication Server אחראי על האימות שהתחנה מבקשת כאשר הוא בודק ורואה שהבקשה תקינה הוא מייצר לו Ticket Granting Ticket ובמבצע אימות מול הKDC. TGT שייצר עבורה TGS היא פונה ל TGT לאחר שהתחנה קיבלה :Ticket Granting Server ומאשר שביצעה בהצלחה את האימות מול הKDC. ה- Kerberos מגדיר 2 סוגי חשבונות :UPN מזהה ייחודי של המשתמש account( :SPN (User מזהה ייחודי של Services שרץ על שרת ומסיים ונדרש תהליך )Kerberos( ניתן לראות באיור את התהליך 9

11 Groups Distribution VS Security Group יש בראיונות עבודה רבים אוהבים לשאול מה ההבדל בין קבוצה Security Group לקבוצת? Distribution Group התשובה מאוד פשוטה- קבוצת Distribution נועדה עבור הפצת מיילים. כלומר, אתם מקימים קבוצה בשם Helpdesk ושם אתה מוסיפים את כל המשתמשים ששייכים לקבוצה הזו. ברגע שתרצו לשלוח מייל תוכלו פשוט לשלוח הודעה גלובאלית נטו לקבוצת.Helpdesk חשוב לציין, לא ניתן להחיל הרשאות על Distribution group ובנוסף לקבוצת Security.Distribution מה שאין לקבוצת SID Distribution מ- group Security חשוב, חשוב, - חשוב! במידה ושיניתם את סוג הקבוצה ל- כל ההרשאות ימחקו! Scopes: Domain Local group: קבוצה מסוג זה זו קבוצה שלא יכולה לצאת מהדומיין, ההמלצה להשתמש בה היא על משאבים שרתי קבצים, מדפסות,וכו''... קבוצה זו מכילה את היוזרים בדומיין ומאפשרת לקבוע להם הרשאות אך ורק מאותו דומיין. Global Group: הקבוצה הנ"ל מחזיקה משתמשים וניתן לתת לקבוצה הרשאות. הבסיס של הקבוצה לקבץ לתוך קבוצות Local והקבוצה הזו יכולה להיות במספר של קבוצות.Local קבוצת Global יכולה להיות בתוך קבוצת Local בדומיין אחר באותו.Forest הקבוצה הזו יכולה להיות חלק מקבוצות אחרות: Universal ו.Distribution נועד Universal Group: הקבוצה הנ"ל יכולה לנוע בכל ה- Forest ויכולה לקבל הרשאות מדומיין לדומיין. הקבוצה יכולה להכיל קבוצות אחרות, בקצרה, עם הקבוצה הזו ניתן לבצע הכל ב- Forest אבל אם אני משתמש רק בקבוצה הזו אז אני מבטל לי את ה- Local ו- Global ולכן לא כולם משתמשים בקבוצה הזו בארגונים. מה שכן, במידה ויש לכן צוות טכנאים שנע ממקום למקום ב- Forest שלכם אז כן כדאי להשתמש בזה. 10

12 FSMO (Flexible Single Master Operations) Schema Master: AD Attributes אחראי על כל ה Classים ו ה- ב- הסכמה הוא פר הפורסט במידה והוא נופל, הכל עובד כרגיל הבעיה העיקרית שלא נוכל לבצע הרחבה בסכמה. "Run" על מנת לראות את ה- SCHEMA ולהיכנס אליו ב- MMC יש לפתוח ולהקליד: regsvr32 schmmgmt.dll Infrastructure: אחראי על הקישוריות בין 2 דומיינים, כלומר במידה ויש לך דומיין אחד ה- role הזה לא חושב 2 Trust Adatum.com Contoso.com 2 כל כך, לצורך העניין יש לך דומיינים ו ויש בין הדומיינים אז הrole - הזה יודע לקשר בין שני הדומיינים, ה- role מאפשר להכיר את האובייקטים בשני הדומיינים השונים, במידה והוא נופל בדומיין בודד שום דבר לא קורה אבל במידה ויש לך 2 דומיינים רוב המקביל לא יכיר את האובייקטים. הסיכויים שלא תוכל לתת הרשאות לדומיין המקביל והדומיין פיר דומיין Domain Naming: ה- Role הזה גם פר הפורסט, אחראי על הסדר והיררכיה של ה- Forest, עם זאת הוא אחראי על הוספה והסרה של דומיינים ל child) =Forest וכו...(, במידה וה- Role נופל לא תוכל להוסיף עוד דומיינים ל- Forest. Rid Master: אחראי על חלוקת SID לאובייקטים בAD במידה והוא נופל תוכל להמשיך לפתוח אובייקטים עד שתקבל שגיאה שה- POOL שלך נגמר ולא תוכל יותר לפתוח אובייקטים. SID 12 מבנה ה- SID - בנוי מ עד שהוא בעצם מזהה,SID החלק השני של ה מורכב מאותיות USER ב ייחודיות,DOMAIN והחלק האחרון זה המזהה של ה בעצמו, ברגע שמחקתם יוזר יופיע ה- SID User Name ב- AD ובעבר מישהו הקצה הרשאות ליוזר תוכלו לראות שבמקום 11

13 ואז בעצם תוכלו לדעת שזה ה- SID של המשתמש שנמחק. של,SID 500 )Pools( מחזיק Blocks וברגע ונגמר לשרת אחד נוכל לפנות ה- Rid Master לשרת אחר ובתקופה קצרה הזו השרת יתחיל ליצור לו עוד.SID s עוד חשוב לציין, יש מה שנקרא SID ויש מה שנקרא, GUID כפי שציינתי למעלה, כ-שאנחנו יוצרים אובייקט ב AD- הוא מקבל SID אשר מאחסן ב "ObjectSID" -AD LDAP הוא ייחודי GUID, bits128 הוא הכרחי לטובת ה,AD כאשר אנו פונים ל GC שלנו, ה GC בעצם מחפש את האובייקט על פי ה GUID שלו, ולא רק, OBJECT-GUID לעולם לא משתנה, מה כן ה SID- האובייקט קיבל מה- כן עשוי להשתנות כאשר אתה מזיז את האובייקט לדומיין שונה ב- Forest RID MASTER שלכם, ומה קורה ל ACL שנקבע למשתמש על קבצים או תיקיות?, יש ערך ב AD- שנקרא SidHistory" " שתפקידו לאחסן את כל ה- SID של המשתמשים וכך המשתמש יהיה רשאי עדין לגשת למשאבים שהוא ניסה למרות שינוי ה- SID הוא יקבל TOKEN כל עוד ה- SID הישן שלו נשמר ב "SidHistory" שזה המצב הנורמלי ללא נגיעת של משתמש. פר דומיין PDC emulator: אחד ה תפקידים החשובים ביותר. אחראי על סנכרון שעונים בין כל הDCים, אחראי על עדכון החלפת סיסמא תוך דק )לא מדויק(, הוא מעדכן את שאר ה- DC, אחראי על נעילות של 5 חשבונות ב- AD, במידה והוא נופל המצב שלנו לא טוב' ויתחילו בעיות ב DOMAIN שלנו, - בעיות מסוג סנכרון שעונים רפליקציה תתבצע לא Policy כהלכה, והחזקת מצב עדכני של.Namespace 12

14 How to Transfer FSMO Role בעזרת פקודת Ntdsutil ניתן לבצע את פעולת TRANSFER FSMO העברת FSMO ל- DC אחר. לפני שאני מתחיל להסביר לכם מה לבצע, ראשית נוכל בעזרת הפקודה הבאה לגלות איפה ה- FSMO יושבים: Netdom query fsmo יש לבצע את התהליך הבא: "roles" נתחבר לאחד השרתים שלנו ונריץ "NTDSUTIL" לאחר מכן נקליד ונכנס למצב שנקרא "Maintenance" ונקבל את החלון הבא : כפי שרואים בתמונה אנו צריכים לקליד Connections ואז להתחבר לשרת התקול. לאחר שחיבור הצליח נצא ממצב התחברות בעזרת האות q ונחזור למצב.Maintenance ומה שנותר לנו לעשות הוא להקליד את שם התפקיד ולבצע פעולת Transfer ולהעביר את כל ה- ROLES כמובן יש ללחוץ על "YES" : 13

15 לצורך הדוגמא העברתי רק את ה- PDC וניתן לראות בתמונה הבא ש- PDC עבר ל 2 DC בהצלחה : שימו לב, שהשימוש בפקודת NTDSUTIL לדעת מה אתם עושים ובזהירות. יכולה לגרום לנזק בסביבת הAD שלכם, יש 14

16 Tombstone "מצבה" - פיצ'ר זה מאפשר לקבוע כמה זמן ישמרו מחיקת האובייקטים מתוך ה- AD מדובר בפיצ'ר מעולה שהציל הרבה מנהלי רשתות. הקונפיגורציה של ה" Tombstone " נשמרת תחת Partition"."Configuration שלנ. חשוב להבין את הבדלי הזמנים בין הגרסאות : Windows Server 2003 =60 Days Window Server 2008 & Windows Server 2012 = 180 days Windows Server 2016 =60 Days: לידיעתכם, כאשר נמחק, אובייקט מ- AD הוא לא באמת נמחק לצמיתות, ה- AD משנה attribute ספציפי שנקרא "isdeleted" ל- TRUE ומזיז את האובייקט ל- Container מיוחד בשם.Tombstone על מנת לשנות את ה LifeTime של ה Tombstone- יש לפתוח, Run לכתוב MMC ולהוסיף "Adsi.edit". לאחר מכן תנתבו את עצמכם ל- Attribute הבא על פי: "cn=directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=tombstoneLiftetime " Notepad, LDIF ניתן לשנות את ה lifetime- גם בעזרת קובץ יש לפתוח ולהקליד: dn:netsystem,dc-org,dc=il cn=directory Service,cn=Windows NT,cn=Services,cn=Configuration, changetype: modify Replace: tombstonelifetime tombstonelifetime: SET TIM לאחר מכן, יש לשמור את הקובץ כ- TombstoneLifeTime" " ולהריץ אותו באמצעות :CMD.tombstoneLifetime.ldf)( הקובץ Ldifdeנתיב I f 15

17 Authoritative restore and Non-Authoritative restore אחת השיטות ש- Microsoft מציע לנו להשתמש על מנת לשחזר או להציל אובייקטים ב Active.Authoritative restore and Non-Authoritative restore הן פעולת Directory באמצעותן אנו יכולים לשחזר משתמש, קבוצה, OU ובעצם כל אובייקט שנרצה. אציג בפניכם את שתי האפשרויות ובנוסף אשתמש בפקודות.Wbadmin Authoritative Restore: נועד לשחזר אובייקטים ב- AD. במידה ומחקתם משתמש, קבוצה,,OU תוכלו לבצע שחזור ולהחזיר את האובייקט לקדמותו, אסביר מדוע וכיצד: תלוי גרסה, לצורך הדוגמא שלי אשתמש ב,Windows Server 2016 ב- Default באמצעות Tombstone הוא שומר אובייקטים לאחר מחיקה עד 180 יום, כלומר אובייקט נמחק, נמשך עד 180 יום. מה בעצם קורה בתהליך הזה?, הDC הנ"ל: תהליך השחזור: מעלים את השרת ב -F8 ולאחר מכן יש לפתוח CMD ולבצע את הפעולות הבאות: נכנסים למצב DSRM ואז 1) NTDSUTIL 2) Activate instance ntds 3) Authoritative restore 4) Restore object <distinguished_name> 5) Restore subtree <distinguished_name> והחלטנו לשחזר OUבמידה יש לציין את הנתיב שלו 6( מה בעצם קורה בתהליך הנ"ל?, ה- DC עולה עם ה- OU או האובייקט שהחלטתם לשחזר ומודיע לשאר השרתים, "הי חברים, יש לי עדכון בשבילכם" וכך ה-אובייקט חוזר בהצלחה. Non-Authoritative restore: שיטה זו די נפוצה כאשר יש לנו בעיה בשרת ברמת חומרה או שגיאת במערכת הפעלה, ואין לנו שום אפשרות לפתור את התקלה. את תהליך ה- Non-Authoritative Restore נבצע גם ב- DSRM ונשחזר אותו באמצעות הפקודות שאציג בפניכם בעוד מספר מילים, עיקר השינוי בשיטה זו לעומת הקודמת היא כשאשר השרת יעלה הוא ייבקש עדכון מהשרתים האחרים וכך שום לא דבר לא משתבש ולא הם ממנו. יש להתחבר לשרת באמצעות Administrator ולהריץ את הפקודות הבאות: 16

18 1) bcdedit /set safeboot dsrepair and then press Enter 2) The server will be entered into DSRM. 3) wbadmin getversions 4) wbadmin start systemstaterecovery version:1/23/ :40 5) Enter and Yes אגב למי שתוהה, כאשר אנו מבצעים שחזור ל- DC באמצעות,VEEAM תוכנת הגיבוי באופן אוטומטית משתמשת בתהליך :Non-Authoritative restore ציטוט מאתר הרשמי של :VEEAM 17

19 Ports רשימת הפורטים שעליכם לוודא שאכן פתוחים בארגונכם. הטבלה נלקחה מהאתר של. TechNet Microsoft 18

20 Demote Domain Controller in WINSVR 2012 using PowerShell 2012 באמצעות?PowerShell כיצד לבצע Demote ל- Domain Controller לפני כן: יש לקחת בחשבון כאשר אתם מבצעים את הפעולה, שה- DC שלכם לא מחזיק שום תפקיד. FSMO ש ימו לב שהמאמר הזה מציג לכם את האופציה הלא בריאה ביותר, יש תהליך מסודר המציג כיצב לעשות זאת ואציין אותו בהמשך, המטרה של החלק הזה הוא להציג לכם את האפשרויות. יש לפתוח חלון PowerShell ולהקליד : import-moudle activedirectory ולאחר מכן יש להקליד: Uninstall -ADDSDomainController -ForceRemoval DemoteOperationMasterRole הוא דורש מאתנו לבצע אותנטיקציה ולאחר מכן אנו נשאלים האם אנחנו בטוחים שאנחנו רוצים את התהליך, יש לאשר ב (Restart) - עם" Y " 19

21 בתמונה השלישית אתם תבחינו שהפעולה ה סתיימה בהצלחה ואתם נדרשים לבצע מחדש. הפעלה טיפ חשוב: במידה והחלטתם לעלות DC שהרבה זמן לא היה פעיל, והוא עבר את זמן ה Tombstone יש לשקול לבצע לו Demote ולא לעלות אותו, כלומר, אם ה- OS שלכם הוא 2016 והשרת היה למטה מעל יום 180 יש לבצע הסרה בצורה מסודרת, במידה והשרת גורם לכם לחיים קשים וניסתם הכל יש לשקול DCPROMO/,FORCEREMOVAL במידה בכל זאת מעוניינים שהשרת יהיה פעיל, יש לעלות אותו בצורה המסודרת כולל הסרת Linger Objects ולגרום לכך ששאר השרתים ירפלקו אותו והוא יקבל את ה- sync האחרון. 20

22 USN (Update Sequence Number) אסביר לכם בקצרה איך עובדת הרפלקציה בתוך Forest ובין הDCים. ישנם 4 סוגי טכנולוגיות שבהם ה- Active Directory עובד:,State Base רץ ו-אחראי על כל DC על מצב הרפלקציה ודואג לכך שלא יקבל עדכונים שכבר קיימים אצלו. - Multimaster שדואג שכל DC יקבל עדכונים. - PULL דואג לכך, שכל DC ימשוך את העדכונים. DC ספציפי שאחראי לרפלקציה כך שכל DC אומר בעצם שאין לנו - Store and Forward מקושר ל DC לשאר הDCים וכך בעצם אנו יוצרים סוג של טבעת של רפלקציה, בין כל DCים. לכל אובייקט ב Active Directory יש (USN( Update Sequence Number או בצורה מדויקת יותר פרמטר שנקרא:.(incremented) במידה ובוצע שינוי באובייקט המספר גרסה משתנה " usnchanged" עד לכל אובייקט יש "חותמת" עם מספר גרסה, המספר גרסה הוא זמני לעדכון או שינוי ערך כל שהוא באובייקט.. Domain Controller יש מספר גרסה שונה לכל. ה- ntds.dit יודע להתרפק רק בשינויים שבוצעו, הקובץ בעצמו לא משוכפל או מועתק לשאר הDCים, אני אפרט: ברגע ששיניתם ערך של attribute ליוזר, ה- USN של היוזר משתנה למספר אחר ולבסוף הערך הזה נרשם ב- ntds.dit. המשימה הבאה היא עדכון שאר הDCים על שינוי שביצענו ב- attribute של היוזר, ה- DC1 פונה ל- DNS ומבקש את הכתובות IP של שאר הDCים ואומר שקיים עדכון למשוך. שאר השרתים מושכים את העדכון אך לפני כן מבצעים אימות באמצעות ה - Kerberose ולאחר מכן מתעדכן באמצעות Services שקיימים ב- DC, כגון SMTP או,RPC ורק מספר ה- VERSION שלך המשתמש מתעדכן. תוכלו להשתמש בפקודת "Repadmin" להלן מספר תמונות אשר יכולות לעשות לכם סדר: על מנת לקבל אינדיקציה על רפלקציה בסביבה שלכם, 21

23 KCC (Knowledge Consistency Checker) תהליך מובנה שרץ על כל Domain Controllers.התהליך יוצר שכפול של כל הטופולוגיה ב domain גם באופן דינאמי מתאים את הטופולוגיה בכדי להכיל מידע ב- KCC- Forest ה controllers חדשים. בתוך ה- site החיבורים בין domain controllers תמיד מסודרים במעגל דו כיווני, ב- Default הרפליקציה מתבצעת כל 15 דקות )900 שניות(. 22

24 Get User to Find Inactive AD Users ACTIVE כיצד אנחנו יכולים לבצע ניקיון למשתמשים שלא עשו לוגין במשך זמן רב?: ישנם מספר דרכים, הטובה ביותר שאני ממליץ היא באמצעו שאילתה פשוטה ל DIRECTORY שלכם, תפתחו "POWERSHELL" ותריצו את השאליתה הבאה: Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 -UsersOnly אתם תקבלו רשימה של משתמשים. לא ביצעו לוגין במשך 90 יום, ולאחר מכן תוכלו להעביר אותם ל OU מסוים או למחוק אותם, ההחלטה בידכם. הניקיון הה הוא נדרש בכל ארגון, יש המון כלים כמו NETWRIX או Manage Engine אשר יודעים לבצע את התהליך הזה בצורה אוטומטית באמצעות קביעות חוקיים, במידה ואתם מעוניינים להעביר את המשתמשים הללו למקום אחר, ניתן להשתמש בסקריפט הבא, לא לשכוח לציין את הנתיב של ה- OU Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 -UsersOnly Move-ADObject - TargetPath "OU=Disabled,DC=XXX 23

25 Saved Queries ארצה להסביר לכם כיצד לרכז קבוצות משתמשים או כל סוג אובייקט אחר על ידי שימוש ב-, Saved Quires בדוגמא שאציין לפניכם תוכלו לראות שהמטרה שלי היא לקבל את רשימת היוזרים שמוגדרים כ Users. Disabled יש להיכנס ל- :Active Directory להקיש קליק ימני על- : Saved Queries < New < Query 24

26 לפני שנבחר את ה String- יש לציין שם ולאחר מכן לבחור. Query root כלומר, לבחור היכן נרצה לבצע את השאילתה. אני בחרתי בכל הדומיין,ולבסוף יש ללחוץ עלQuery Define יש לנו את האפשרות לבחור מה שרק בא לנו. עבור המאמר החלטתי לבחור ב - Disable * Accounts אפשרויות החיפוש מאוד רחבות ניתן לבצע שאילתות מאוד מעמיקות ולקבל ועוד... PowerShell - Time Logon, Locked Users האפשרויות הללו קיימות גם ב 25

27 ניתן בנוסף לראות שכל ה יוזרים בדומיין הנמצאים ב Disabled נמצאים תחת תיקיה אחת - - בשם Users" Disabled 26

28 Multiple Users in Active Directory 3-4 נזכרתי במשימה שעשיתי לפני שנים שעזרה לבחור נחמד, ואני מאוד אשמח לשתף אתכם בה. פנה אליי משתמש וביקש ממני להוסיף שדה של ל- 500,Users אז נכון שאף אחד לא יעבור אחד אחד ויתחיל למלא את השדה - - Attribute אלא ננסה לחשוב על תהליך אוטומטי שזה בעצם SCRIPT או פתרון יצירתי אחר,וזה מה שנעשה באותו רגע. נזכרתי בשיטה יעילה שניתן לבצע ב Director- Active גם ללא PowerShell אלא באמצעות הAD, שיטה ממש לא רעה. הבחור הנחמד ביקש ממני להוסיף ל- 500 יוזרים ב- OU ספציפי, כלומר שברגע שנקליק על משתמש קליק ימני ונבחר ב Properties ונבחר בלשונית - General יש לנו שדה שנקרא, תמונות להמחשה: Attribute ה את לראות ניתן בנוסף של השדה: 27

29 לאחר שהבנתי מה בדיוק הבחור רוצה שנבצע, אפשר להתחיל לעבוד, עכשיו צריך למצוא פתרון, ישר ולעניין - אם נסמן את כל האובייקטים ב- OU או שנלחץ על CTRL + A ואז ימני ונבחר באפשרות Properties נקבל את החלון הבא: קליק עכשיו יופי, איזה לב שימו הבחור ממני ביקש להוסיף לכולם של לשדה אחר אז אם אני אציין,meirp@contoso.com כל המשתמשים יקבלו בשדה של ה - את ה (%username%@contoso.com) אבל אם אני אציין,)meirp@contoso.com( שלי STMP התוצאה תהיה שונה: 28

30 התוצאה: - בלשונית: Attribute Editor Attribute - ה את נבדוק אני אם בנוסף, נוכל לראות: אני בטוח שחלקכם בכלל חשב על כיונים אחרים, או ליתר דיוק PowerShell או כל סקריפט אחר שזה גם בסדר גמור חברים, אבל לדעתי אין סיבה להשתמש ב- PowerShell - אם יש לנו אפשרות לבצע הגדרות באמצעות ה- GUI בצורה ויזואלית ונוחה יותר. 29

31 אם נעיין בין הלשוניות נוכל לעדכן עוד שדות יעילים. למשל, אם אני רוצה שכל ה- OU להחליף סיסמא ב LOGIN הבא או שהסיסמא שלהם תהיה. Password Never Expired יצטרף עוד אפשרות נחמדה- תחשבו שיש לכם אנשי IT ובשביל הסדר הטוב יש שדהב Properties של Users שנקרא של "Department" ויש באפשרותכם לעדכן את ה- " "Department של כל המשתמשים תחתIT, שדה זה יעזור לכם ולמשתמשים בארגון להכיר את העובדים, ולהבין באיזה מחלקה כל אחד נמצא. 30

32 Migrate Active Directory 2008r2 to 2012 הסביבה שלי לא גדולה, בסה"כ יש לי שרת אחד שהוא Active Directory שיושב על Windows Server 2008 R2 ובנוסף עוד מכונה וירטואלית שמותקן עליה Windows.Server הצעד הראשון שאני אבצע הוא להיכנס ל- Directory Active ונתחיל בהכנות של ה Forest ו ה-,Domain ונריץ את פקודת ה= adprep שתעזור לנו בצירוף והכנה של ה - DC החדש. adprep /foreset Adprep/domainprep לאשר יש באות "C" 31

33 32

34 מספר נקודות בסיסיות שיש לקחת בחשבון, הרי במאמר הזה לא מדובר בשרתים קריטים או בסביבת, Production אין שום קישוריות למשתמשים, למשאבים או שירותים בארגון הם נוצרו עבור הדגמה, לכן יש לקחת את הנקוודת הבאות ולבצע בדיקות מקיפות נוספות, בהמשך ה- קובף מצורף לכם סרטון המציג כיצד לבצע את תהליך בצורה מקוצעית ואיכותי יותר. לא לשכוח שיש פה הרבה היבטים, האם יש שרתים אחרים שמקושרים לdc הזה?, הגדרות DNS שמוגדרת בציוד תקשורת?, שרתים? שירותי?NTP מדפסות? ועוד המון המון היבטים. Windows Server 2008 R2 Functional Forest Level יש לוודא שה שלכם הוא יש לצרף את המכונה לדומיין. יש לבדוק שיש תקשורת מול שאר ה DCים. יש לצרף את המכונה החדשה לדומיין. יש להגדיר הגדרות DNS של DC1 בשרת החדש. הצעד הבא הוא לגשת למכונה ה-שנייה.Active Directory ולהתקין: [Windows Server 2012] יש להיכנס ל Active Directory Domain Services ולבחור בWizard Add Roles and Feature 33

35 - Promote this לאחר שהתהליך "הכנה" הסתיים בהצלחה תהליך את נמשיך ה-התקנה על ונלחץ Server a Domain Controller 34

36 לא לשכוח לאפשר Global Catalog ושירות :DNS 35

37 Replicate from DC1.PELEGIT.COM :DB, Sysvol,Log files - אנחנו הבא באיור בוחרים נרצה היכן ה את לשמור ד 36

38 37

39 ההתקנה הסתיימה בהצלחה!, השרת יבצע אתחול. בשלב זה אנחנו עוברים לשלב הבא,אנחנו צריכים להתחיל להעביר את תפקידי FSMO לשרת החדש. יש להיכנס ל- Active Directory Users And Computers מהשרת החדש ולהקליק קליק ימני על DC ולחבור ב - Master Operation RID master = Change > Yes 38

40 PDC = Change > Yes Infrastructure = Change > Yes 39

41 Active Directory Domains and Trusts - עלינו לגשת כעת, ל ימני קליק ונעביר את תפקיד Domain Naming Master לשרת "Operations Masters" החדש. Domain naming = Change = Yes 40

42 , על ROLE- Schema- ה האחרון ה הוא שנוכל מנת אליו לגשת ובכלל לראות אותו אנחנו " regsvr32 schmmgmt.dll" צריכים להריץ פקודה: MMC > RUN Schema נפתח - MMC יש להקליק על באמצעות התחל > Add ולהוסיף את ה 41

43 נלחץ על ה Schema קליק ימני ונבחר ב- Change Active Directory Domain :Controller - מאותו DC ל DC1 - ה Schema Master מנת על את להעביר עלינו לבצע התחברות )החדש( מכן ולאחר להעביר את ה-" ROLE 42

44 ב- Operation > לראות ניתן שאנחנו מחוברים ל- DC2 להקליק יש ימני קליק עליו ולבחור Master Schema Master = Change = Yes 43

45 יש להריץ את פקודת "Netdom Query Fsmo" FSMO - כפי שניתן להבין, זו פקודה נותנת לנו נתון מדויק שאומר היכן כל תפקיד מ יושב. DC ה- את למחוק הוא לנו שנותר מה כעת, הישן. יש להיכנס ל- Services" "Active Directory Sites and לנתב את עצמכם ל- Servers את ה- DC1 וקליק ימני על NTDS Settings ו- Properties : ולסמן נבטל את ה- Catalog Global על ידי הסרת ה- V : 44

46 - ניגש לשרת ונבצע מחיקה באמצעות הפקודה הבאה: dcpromo /forceremoval 45

47 46

48 47

49 How to Migrate DC to Windows Server 2016 סרטון המציג כיצד לבצע תהליך מיגרציה עם כל השלבים מ- 2012R2 Windows Server ל- Windows Server נקודות חשובות שיש לחשוב עליהן לפני תהליך המיגרציה: 48

50 Sites and Subnets בהנחה שאנחנו עובדים בארגון גדול, הסיכוי שיהיו לנו מספר סניפים בארץ ובעולם הוא גדול ולכן, אדגיש מספר נקודות: יש לדעת כיצד לנהל את הסביבה הזו בצורה תקינה, תמיד יש לקחת בחשבון את עניין הרפלקציה ו Cost בין הסניפים, עלויות, ציוד תקשורת וכו..' COST באפשרותנו לקבוע איזה SITE יקבל עדיפות בתהליך רפליקציה על פי הגדרת נמוך. באפשרותנו להגדיר מאיזה Subnet התחברו ל- Domain controller מסוים. אם יש ברשותכם 5 סניפים בעולם או בארץ, לא תרצו שסניף שלכם ב New York יתחבר לDC שממקום בישראל. מצב שבו יש לי שלושה סניפים : אתאר חיפה /24 אשדוד /24 תל אביב /24 בכל סניף יש לנו DC 2-3 החשובים שלמדנו KCC שבסופו של דבר מתבצע רפליקציה בין כולם בעזרת אחד מהגורמים הקישור בין ה sites נעשה ע"י ציוד תקשורת או כל דרך אחרת שאתם מכירים Site to Site וכו' אם נבדוק ב AD נגלה שהקישורים של כל ה site קיימים כאובייקט : Object, Site Link אנחנו יכולים להגדיר ב Site Link פרמטר של COST שאחראי על רפלקציה על קווי WAN בין שלנו. Sites לצורך העניין זהו מצב הקווים: אשדוד ותל אביב מקושרים בקו WAN של Kbps 1024,אשדוד וחיפה מקושרים בקו WAN של Kbps 512,חיפה ותל אביב מקושרים בקו WAN של Kbps 256 מכוון שמאשדוד ותל אביב יש את הקו הטוב ביותר יהיה נכון להגדיר את ה Cost שלנו בצורה כזו: אשדוד לתל אביב נגדיר -20 COST אשדוד לחיפה נגדיר 50 COST חיפה לתל אביב. - COST 100 נגדיר Created on Paint3D. מה שיגרום לטופולוגית הרפלקציה לעבור פחות בין קווי WAN של חיפה תל אביב. 49

51 השירותים הקיימים ב Active Directory Site and Services כאשר יש לנו מספר DC ומספר סניפים יש רכיב שנקרא ISTG שראשי התיבות שלו הם " Intersite "Topology Generator שהם בעצם DC שבכל SITE שאחראי על יצירת טופולוגיה ב-,Forest ה- dc עם ROLE של ISTG הוא בעצם אחראי להתרפלק מול DC הראשי שנקבע לו או שהוא קבע על פי מרחק או חישוב קו מהיר יותר והוא נהיה סוג של "קפטן" או ה FOCAL POINT ב site שלו ומתפקידו לעדכן את שאר הdc s בsite שלו, כפי שציינתי ה KCC מבצע את הרפליקציה כל 15 דקות. ואכן כן, ניתן לשנות את ה- ISTG לשרת אחר באמצעות הדרך הבאה:."ADSIEDIT.msc" 1( יש לפתוח את ה - )2 יש לגשת ל - [DomainController["."Configuration )3 תיגשו לשרת שלכם - > ">CN=Configuration,DC=<domain>,DC=com 4( תרחיבו את "CN=SITES" "CN=SITENAME )5 6( בפנאל, יש להקליק קליק ימני על CN=NTDS Site Settings ולבחור ב Properties- ולאחר מכן לאתר את הערך "intersitetopologygenerator" ולקבוע את השרת. 50

52 Interactive Login Windows 10 בהדגמה שלפניכם תוכלו לראות תהליך שמתבצע מאחורי הקלעים כאשר תחנה מבצעת,LOGIN בדרך כלל יש תוכנות שאיתן ניתן לאתר תקלות מסוג של LOGIN איטי, אחת מהן היא Process Monitor כלי מעולה, שבאמצעות סימון "V" בכלי ניתן לנתר את תהליך הלוגין ולראות מה קורה מאחורי הקלעים. השתדלתי לפשט לכם את התהליך במלואו. המחשב שלי, PC Meir Peleg עולה, אני מקיש CTRL+ALT+DELTE יש רכיב מאוד חשוב שנקרא WINLogon.exe שמקבל את הבקשה שלי )1( ה - WINLOGON יוזם את הבקשה שלי ושולח את הבקשה ל רכיב שנקרא,Credential Provider בעברו ידוע בשם "GINA" )2( הבקשה מגיעה ל LSA- ולתהליך שנקרא LSASS.EXE שאחראי על המון רכיבים, בעיקר בכל הקשור לנושא האותנטיקציה, הוא רק תת מערכתית שאחראי על יצירת קשר של המחשב שלי ל- LSA שקיים ב DC הוא משתמש ברכיבים אחרים על מנת להשלים את התהליך, )3( הבקשה מגיעה ל,Active Directory באמצעות KERBERSO ו LSA וה- DC שלי מאמת את הבקשה באמצעות תהליך אותנטיקציה של KERBEROS )4( ומספק למחשב.TOKEN אכן מעניין מאוד, חשוב שתדעו שזה לא הכל, יש עוד מספר רכיבים מעניינים שווינדוס משלב בתהליך ה-,BOOT כמו SMSS.EXE רכיב שאחראי על ניהול ה- Sessions ועוד רכיב שנקרא "AUTHCHK.EXE" שתפקידו לוודא את השלמות של הדיסק לוגי של המערכת קבצים ועוד רכיבים אחרים. אי אפשר להכיר את כולם, יודעים מה?! כן אפשר, האם זה רצוי? זו החלטה שלכם, הצגתי בפניכם את הרכיבים החושבים שיכולים לעזור לכם בפתרון בעיות. תמונה מלאה לחץ כאן. 51

53 52

54 How to reset DSRM Password הגעתם למקום עבודה שאינכם זוכרים או יודעים את הסיסמא של ה Directory Service Recovery Mode. יצא מצב שאיש הסיסטם החליט לעזוב את החברה ואין להם שום סיכוי להתחבר ולבצע פעולה ב?DSRM מה הוא בכלל,DSRM DSRM מאפשר לנו את Domain Controller שלנו במצב של,Recovery מה שמאפשר לנו לבצע פעולות על גבי השרת שלא תמיד ניתנות במצב רגיל, לדוגמא ביצעו תהליך - & Restore Non Authoritative.Authoritative Restore למי ששכח כיצד הסיסמא נקבעה, את הסיסמה אנחנו קובעים בתהליך התקנה של.AD מה בעצם ניתן לעשות במידה ואין לכם את הסיסמא הנדרשת?, עליכם לעלות את השרת במצב רגיל ולפתוח "CMD" ולהקליד את הפקודות הבעות: NTDSUTIL Set DSRM password Rest Password on server null Type PASSWORD Quit מצרף לכם תמונה: 53

55 Best Practices Analyzer Server קיים Feature מעולה ב- Windows Server שנקרא.Best Practices Analyzer הרכיב הזה מאפשר לנו לוודא מה הסטטוס עם השרת DC שלנו, אגב זה קיים גם ל RDS, Exchange ועוד מספר שירותים. וכמובן גם בAD, לפי דעתי Microsoft הרשימו עם הכלי, ניתן להריץ אותו ולקבל דו"ח עדכני, האם יש לנו בעיה, היכן, ואפילו מספקת לנו דרכים לפתור אותם. ה- BPA בעצם מודד את השירות ויודע להציג בפניכם,Errors, Information, Warning ולפי כך תוכלו לפעול. ה- Feature הזה שייך ל Server Manager לכן עלינו להריץ אותו מתוך ה.Server Manager רעיון נוסף, ניתן להריץ את ה- BPA באמצעות POWERSHELL ולאחר מכן לשלוח את הדו"ח אליכם למייל. אופן זה תקבלו מצב עדכני לגבי הסביבה שלכם. תוכלו להיעזר ב- CMDLET הבאים: Get-BPAModel Invoke-BPAModel Get-BPAResult Set-BPAResult Get-BPAResult <Model ID> ConvertTo-Html Set-Content <Path> 54

56 Understanding Zone Types מה הוא?ZONE - חלקה של DNS name Space שמכיל רושמות.DNS ממש כך, תחשבו על קופסה שהשם שלה קופסה הוא PELEGIT.co.il וכל מוצר שאני מכניס לקופסה נניח הכנתי עט אז השם המלא של העט יהיה Pen.pelegit.co.il שירות ה- DNS מאפשר לנו לעבוד עם מספר סוגי,DNS בוא נדבר עליהם קצת Primary Zone: יש לכם את האפשרות להתקין שירות Primary DNS ללא קשר לשום AD או שירות אחר, ניתן לבצע Read/Write ונתון חשוב מאוד שהוא לא מאחסן ב- NTDS.DIT אלא יש לו DB משלו. Active Directory integrated: כאשר אנחנו מתקינים AD יש לנו את האפשרות לסמן V בתהליך התקנה שמאפשר לנו.DNS Integrated ה- Zone הזה מתרפלק לשאר הDC, וניתן לבצע שינוים ב- ZONE הזה מכל DC אחר בדומיין. מאפשר לנו להשתמש ב.Secure Dynamic Updates Secondary Zone: ה- Zone הזה מאפשר לנו אך ורק לקרוא מה- ZONE, הZONE הזה בדר"כ נפוץ כאשר אנחנו רוצים להשתמש ב- ZONE של שירות.DNS אין לכם שום אפשרות לערוך רושמות ב- ZONE הזה, הוא יודע להסתנכרן מול הzone Primary שממנו הוא מוגדר. תומך מערכות שם.Non-Microsoft DNS Sub zone: מכיל מידע חלקי של ZONE אחר, מכיל רשומות אשר עוזרת למצוא.Authoritative server ועוד נתון חשוב יודע להתעדכן בצורה אוטומטית Reverse lookup zone: מכיל רשומות IP של,HOST כלומר מבצע את הפעולה הפוכה של שם ל- IP,? ה- Reverse lookup zone לצורך הדוגמא, " מה הNAME HOST של בודק אצלו בZONE ועונה.Meirp.pelegit.co.il די נפוץ עבור.Troubleshooting 55

57 Dynamic Updates אני תוהה אם אי פעם שמעתם על המושג הזה, מה תפקידו? איך הוא עובד? כפי שרובכם מכירים אותי, אני מאוד אוהב להכיר את הליבה של הטכנולוגיות, די לא מתסדר לי אם זה שיש דברים שמתבצעים ומתחרשים מאחורי הקלעים ואני לא מכיר אותם, לכן במהלך העבודה השוטפת שלנו מתבצע תהליך שנקרא Dynamic Updates,נעזר בכל מיני רכיבים של ה Windows -על מנת לשלים אותו. לפני כן בוא נדבר על התהליך עצמו, כאשר קיים מחשב בדומיין לצורך העניין דוגמא "PC-MEIRP" ישנו אובייקט ב AD -שמציג את המחשב שלי ובנוסף יש רשימות DNS בשרת DNS שלי שמציג את ה IP -של המחשב כולל השם, נניח ולא הייתי במשרד במשך שבועיים, על פי יסודות DHCP שאנו מכירים ה LEASE -שלי יפוג וכתובת הIP שלי עשויה להתחלף אלא אם כן קבעתי כתובת IP סטטית אבל זה לא הסיטואציה כרגע. הכתובת IP שלי התחלפה זה כבר אמרנו, האם הרשומת DNS של המחשב שלי גם תתעדכן עם הכתובת IP החדשה שקיבלתי מהשרת DHCP?אכן כן, זה תהליך Updates, Dynamic מה שזה אומר שאנחנו מאפשרים ל Client -לרשום את עצמו ב- DNS בצורה דינאמית, הרי תתארו לכם שלא היה לנו תהליך כזה, מה היה עלינו לעשות? לעדכן את הרשומות בצורה ידנית ב- DNS שמדובר בארגון של מחשבים, אפשר להסתדר, אך מה תחליטו על מקרה מאות תחנות?, סביר להניח שהבנתם את העניין. לקבל מידע יותר מעמיק בנוגע אני מציע לכם לעיין בקישור הבא: אם תפתחו את הגדרות Network Adapter שלכם אתה תוכלו לראות סימון שאומר בפירוש: Register this connection s addresses in DNS: 56

58 כיצד אנחנו מאפשרים?dynamic updates יש לפתוח את הגדרות ה- DNS שלכם הזו: וללחוץ קליק ימני על ה- ZONE שאתם מעוניינים להגדיר את הגדרה כפי שניתן להשים לב יש לנו שלושה סוגים של :Dynamic Updates None כאשר בחרנו את האופציה הזו השרת DNS שלנו לא יקבל בקשות רישום משום מחשב, אם נרצה לרשום מחשב ל- DNS יש לבצע זאת ידנית. כאשר בחרנו את אופציה הזו, השרת ידע לקבל רשומות אשר כבר קיימות ב- DNS, -Secure Only כלומר, מחשב שלא MEMBER של דומיין יידחה ולא ירשם בשרת,DNS אופציה זו מאפשרת לנו לאבטח את השרת DNS מרישום אוטומטי של Fake computers - Nonsecure and Secure אפשרות זו מאפשרת לבצע Dynamic Updates לכל מחשב אשר מנסה להירשם ל- DNS, השרת DNS מוסיף את הרשומות של המבקש בצורה אוטומטית וגם מעדכן אותם במקרה של שינוי, אם אכפת לכם מהארגון שלכם, יש לשקול לא לאפשר את האפשרות הזו. )1 )2 )3 57

59 System Administrator Commands Gpupdate /Force בעזרת הפקודה הזו ניתן להחיל פוליסי באופן "אגרסיבי" יותר על התחנה. Gpresult /r בעזרת הפקודה הזו ניתן לבצע Troubleshooting במחשבים, כלומר, במידה ומחשב לא מקבל פוליסי,אחת האפשרויות שלנו בעצם חל על המחשב הנוכחי. היא לבדוק את הבעיה באמצעות הפקודה הזו שמראה לנו מה RSOP. GUI מציג לנו את ה Policy שחל באמצעות Eseutil /mh Name of Database - Exchange בעזרת פקודה זו ניתן לבדוק את המצב ה- DB של השרת בעזרתהניתן לגלות אם. ישנם עדכונים זמינים שהמחשב צריך לקבל Wuauclt /Reportnow בעזרת פקודה זו ניתן לרשום מחשב בשרת ה- WSUS. REPADMIN בעזרת פקודה זו ניתן לבדוק את כל הנושא של הרפלקציה של השרתי DC שלנו, ניתן לראות סטטוס, ליזום ריפלוק, לראות QUEUE וכמובן ניתן לבדוק שגיאות של רפלקציה, DCDIAG מנתח את המצב הדומיין ומדווח על בעיות במידה ויש. DNSCMD מאפשר לנו להוסיף למחוק ליצור רשומות והגדרות DNS NETDOM Path AD בעזרת פקודה זו ניתן לבצע Query ולקבל את ול של האובייקטים שלנו. DSADD AD- שלכם. פקודה זו מאפשרת לכם להוסיף אובייקטים ל 58

60 ADPREP מבצע הכנה ל שרת AD ולרכיבים המערכת במידת הצורך FSUTI בדיקת )Distributed File System) DFS Dsmod פקודה זו מאפשרת לכם לשנות של אובייקטים ב- AD. Properties NTDSUTIL כלי די נפוץ, מאפשר לקבל אינידקציה לבצע שינויים ב- AD שלכם. TRACERT מאפשר לכם לראות את הקפיצות לנתיב היעד. CLIP תוספת מעולה ל- שלכם, מאפשר לכם להעתיק את הנתונים, לדוגמא Ipconfig /all clip Command Prompt 59

61 מאמר זה נכתב ע"י מאיר פלג MEIR PELEG 60