1. Какие есть роли FSMO в Active Directory?
Уникальные для леса:
- Хозяин схемы (Schema Master)
Отвечает за внесение изменений в схему Active Directory. (Описание классов атрибутов. Например: изменение уровня домена, установка Exchange)
- Хозяин именования доменов (Domain Naming Master)
Отвечает за уникальность имен для создаваемых доменов и разделов приложений в лесу.
Уникальные для домена:
- Хозяин инфраструктуры (Infrastructure Master)
Хранит данные о пользователях из других доменов, входящих в локальные группы своего домена.
В много доменной среде не должен являться сервером Global catalog.
- Хозяин RID (RID Master)
Отвечает за выделение уникальных относительных идентификаторов (SID), необходимых при создании доменных учетных записей.
В много доменной среде следит за недопущением когда в двух доменах будет два объекта с одинаковым GUID.
Выглядит SID следующим образом:
S-1-5-Y1-Y2-Y3-Y4 , где
S-1 — SID ревизии 1. В настоящее время используется только эта ревизия.
5 — Обозначает, кем был выдан SID. 5 означает NT Authority. Однако так называемые «хорошо известные идентификаторы» SID (well-known SID) могут в данной части иметь 0, 1, и некоторые другие значения.
Y1-Y2-Y3 — Идентификатор домена, к которому относится учетная запись. Одинаковый для всех объектов security principal в пределах одного домена.
Y4 — Относительный идентификатор (Relative ID, RID), относящийся к конкретной учетной записи. Подставляется из общего пула (выделяется по 500 штук когда остается меньше 100).
- Эмулятор PDC (PDC Emulator)
Отвечает за совместимость с доменом NT4 и клиентами до Windows 2000. С Windows 2000 за: смену пароля и число неудачных вводов, редактор GPO, сервер точного времени, DFS, встроенные УЗ безопасности (System, Creator)
Получить список контроллеров домена с ролями
> netdom query fsmo
Передача ролей FSMO с помощь PowerShell
Можно указывать как имя роли так и ее индекс в соответствии с:
PDCEmulator - 0
RIDMaster - 1
InfrastructureMaster - 2
SchemaMaster - 3
DomainNamingMaster - 4
> Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0,1
или
> Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEmulator, RIDMaster
Для принудительного захвата роли, например в случае выхода DC из строя в конце команды добавьте "-Force"
> Move-ADDirectoryServerOperationMasterRole -Identity mcps-mc-dc-01 -OperationMasterRole 0,1,2,3,4 -Force
2. Что такое Global catalog (GC) в Active Directory?
Глобальный каталог – контроллер домена, хранящий копии всех объектов AD в лесу. Полная копия объектов своего домена и частичная других доменов леса. Данные GC получает из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы AD.
Глобальный каталог содержит основной, но неполный набор атрибутов (Partial Attribute Set, PAT) для каждого объекта леса в каждом домене. Будет ли атрибут скопирован в глобальный каталог определяется схемой.
В каждый сайте желательно добавить сервер GC.
узнать где находится глобальный каталог
> dsquery server –isgc
ищем серверы глобального каталога в домене
> dsquery server –domain cda.loc –isgc
поиск серверов GC во всем лесу
> dsquery server –forest –isgc
поиск по имени сайту
> dsquery server –site Default-First-Site-Name
3. Какими средствами обеспечивается отказоустойчивость Active Directory?
- Минимум 2 Domain Controller (DC) - реплицируется: база ntds.dit, объекты GPO и содержимое папки SYSVOL
- Использовать корзину AD (по умолчанию выключена)
- Бэкап ключевых DC (Windows Server Backup)
Проверить, когда создавался Backup текущего DC-контроллера
> repadmin /showbackup
4. Какие группы безопасности есть в AD?
Локальная в домене – для управления разрешениями только того домена, где она была создана. Может входить в другую локальную, но не может входить в глобальную.
Глобальная группа – может использоваться для управления разрешениями другого домена. Можно добавлять только УЗ того же домена, в котором создана группа. Может входить в другие глобальные и локальные группы.
Универсальная группа – можно управлять разрешениями, которые распределены на нескольких доменах. Желательно использовать только для редко изменяющихся групп, т.к. изменение требует репликации глобального каталога во всем предприятии.
5. Команды для диагностики AD?
> dcdiag /n:local /e /v /f:c:\logs\adtest.log /u:local\user19 /p:Password
где:
/n:local - имя домена
/e - автоматическая проверка всех серверов с ролью DC
/v - расширенная проверка
/f - записать лог файл
/u - имя домена и пользователя
Проверка корректных записей CNAME и A
> dcdiag /test:connectivity
Анализ и проверка репликации
Межсайтовая топология
> repadmin /showism
Отображение партнеров репликации и время последней репликации
> repadmin /showrepl
Быстрая проверка репликации на конкретном сервере, wildcard для всех серверов
> repadmin /replsummary [nameDC|wildcard]
Проверка USN записи
> repadmin /showutdvec
Синхронизация конкретного DC с участниками репликации
> replmon /syncall <nameDC>
6. Чем отличается группа распространения от группы безопасности в AD?
Группа безопасности – используется для предоставления прав доступа
Группа распространения – используется для создания групп почтовых рассылок
7. В каком виде хранятся GPO?
В виде папки, название представлено в виде GUID (Global Unique Identifier) C:\Windows\Sysvol\sysvol\<domain-name>\Policies. Параметры настраиваемые в разделе «Конфигурация компьютера» хранятся в папке Machine, а параметры «Конфигурация пользователя» в папке User.
GPO реплицируется на все DC в домене посредством службы FRS (File Replication Service). FRS может управляться DFS-R.
8. Какие сервисы отвечают за репликацию между домен контроллерами?
Базовым элементом репликации являются сайты AD, которые связаны особыми связями «site link». Расчет алгоритма управления репликации в лесу ведется службой KCC.
Анализ межсайтовой топологии
> repadmin /showism
Каждый контроллер домена имеет собственный уникальный USN (Update Sequence Number), который инкрементируется каждый раз при успешном изменении обновлении объекта Active Directory. При инициализации репликации, партнеру передается USN, который сравнивается с USN, полученным в результате последней успешной репликации с данным партнером, тем самым определяя сколько изменений произошло в базе AD со времени последней репликации.
9. Какие типы доверительных отношений бывают?
Двусторонние (транзитивные) доверительные отношения
Все доверительные отношения между доменами леса являются двусторонними транзитивными отношениями доверия.
Односторонние доверительные отношения (shortcut trusts)
Могут быть установлены между доменами леса. Делается что бы разрешить доступ к ресурсам между доменами, которые не состоят в прямых доверительных отношениях.
Доверительные отношения леса (forest trusts)
Представляют собой двусторонние транзитивные доверительные отношения между двумя отдельными лесами, при этом не являются автоматически транзитивными по отношению к другим лесам (d1 <-> d1 <-> d3 – d1 не будет иметь ДО с d3)
Доверительные отношения области (Realm Trusts)
Доверительные отношения области можно создать между любыми Kerberos-областями, которые поддерживают стандарт Kerberos v5. Доверительные отношения области могут быть односторонними или двухсторонними, их можно также сконфигурировать как транзитивные и не транзитивные.
10. Типы восстановления Active Directory
Полномочное – после восстановления объектов AD выполняется репликация с восстановленного DC на все остальные контроллеры в домене. Используется когда упал единственный DC или все одновременно, или когда по домену реплицировалась поврежденная база NTDS.DIT.
В чистой ОС на новом сервере нужно установить роль ADDS (не настраивая ее) и компонент Windows Server Backup
-> Загрузить сервер в режиме восстановления служб каталогов DSRM, для этого запустите msconfig и на вкладе Boot выберите Safe Boot
-> Active Directory repair
-> Запустите Windows Server Backup (wbadmin) и в правом меню выберите Recover. -> Выберите где находится резервная копия
-> Укажите, что вы восстанавливаете состояние System State.
-> Выберите для восстановления «Исходное размещение» (Original location) и обязательно установите галочку «Выполнить заслуживающее доверия восстановление файлов Active Directory»
-> Перезагрузка
-> Запустите regedit.exe
-> Перейдите в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Измените значение параметра SysvolReady с 0 на 1
-> перезапустите службу NetLogon
В CMD выполнить: net stop netlogon & net start netlogon
Неполномочное – после восстановления базы AD этот контроллер сообщит другим DC, что он восстановлен из резервной копии и ему нужны последние изменения в AD.