teched 2011 - impactos em clonar e virtualizar domain controllers

Impactos em Clonar e VirtualizarControladores de Domínio

Nível Técnico : 400

Gilson Banin Antonio Felicio

Premier Field EngineerMicrosoft Services Brasil

Premier Field Engineering

ServiçosProativos

Serviços

Reativos

Workshop

Plus

Health Checks &

RAPs

Situações

Críticas

Agenda

Conceitos de Objetos

Explicação sobre SID

Replicação do Active Directory

Atribuição do USN no objeto

USN Rollback

Lingering

Time Sync

Conceitos de Objetos

Identificação de Computadores

O que é SID ?

É a principal identificação de segurança de um objeto.

Quais exemplos de SID ?

Usuário

Computador

Grupos

Como é composto ?

1. Um prefixo SID

1 é a revisão + identifier authority = 5

S-1-5-21-2000478354-492864223-854245397-19221

2. Account-authority (SID do domínio)

Objetos criados no mesmo domínio compartilhamo mesmo prefixo de autoridade

3. Um número inteiro que identifica a identidade relativa única

do account-authority

Conhecido como relative identifier (RID)

um espaço de endereço de 32-bits (~1 bilhão de RIDs)

Atribuição SID

SIDs de Máquina Como ele é atribuído ? ver [MS-SAMR]

Quantos SID um computador member server possue?

SID de Domínio De onde eles vem?

Uso SID Autorização (SID Principal e Secundário)

Cenários Reais

Experiências de campo

Cenário 01

• Podem coexistir?

M1

M1 é iniciada como membro de domínio

M2 é criada como CLONE de M1 (cópia do VHD)

Cenário 2

M1 é instalada e promovida comoprimeiro DC de dom1.lab

M1

M2 é instalada como uma nova máquina

M2

M3 foi criada como CLONE de M2

M3

dom1.lab

M2 é promovida como DC em dom1.lab

M3

M3 é adicionada como membro de domínio matido por M1 e M2

•O que acontece ?

Cenário 3

1. Crie M1

2. Clone M1 para M2

3. M1 e M2 serão DCs em em diferentesFlorestas e Domínios

4. Será criado umarelação de confiançaentre as Florestas!

O que acontece ?

Computer: M1SID: S-10

Computer: M2SID: S-10

Forest1.comSID: S-10

Forest2.comSID: S-10

Trust?

M1 é clonadaM2

M1 & M2 promovida como primeiro DCs em florestas diferentes

Cenário 4

1) Um template

VHD com W2K8 R2

é usado para

instalar novos

servidores

4) Outra cópia é feita

do template VHD em

seguida renomeado

para LUIGI e incluído

como membro do

domínio PRINCESS

6) PEACH\Administrator

é adicionado como

membro do grupo

CHILD\SuperMarioBros

2) VM Template é

clonada, renomeada e

promovida como DC

para o domínio pai

PEACH (peach.com)

3) Um domínio filho

chamado PRINCESS

é promovido como

domínio filho usando

uma instalação limpa

na filial

7) PEACH\Administrator efetua “logon” em um computador

membro do domínio PEACH e tenta acessar o caminho:

\\luigi.princess.peach.com\Gameboy

O que acontece? E porquê ?

2k8r2.VHD

Windows

Server

5) CHILD\SuperMarioBros

é concedido permissão de

LEITURA e GRAVAÇÃO no

compartilhamento

Gameboy do servidor de

arquivos LUIGI

SID

Demo...

Replicação do Active Directory

Replicação em Alta Profundidade

Update Sequence Numbers (USN)

O que é USN? 64 Bits tipo QWORD

Cada Controlador de Domínio gerencia os seus USNs

Quando o USN é associado ? Objeto é criado, modificado ou movido

Valor no atributo Cada atributo alterado no objeto recebe o próximo USN do DC

disponível

Highest Commited USN do DC + 1

Independente da hora do sistema

USN: 3388

DC4

USN: 1217

DC3

USN: 2052

DC2

USN: 4711

DC1

DC GUID Highest known USN

DC1 GUID 4711

DC3 GUID 1217

High Watermark Vector Table• DC4 High-Watermark Vector

• DS1 e DS3 são parceiros

de replicação de DS4

USN: 3388

DC4

USN: 1217

DC3

USN: 2052

DC2

USN: 4711

DC1

Invocation

ID

Highest

originating USN

DC1 GUID 4711

DC2 GUID 2052

Replication

timestamp

12:02.31

12:02.29

DC3 GUID 1217 12:02.36

Up-To-Dateness (UTD) Vector Table

• DC4 Up-to-dateness

Vector• partition

Informações utilizadas na replicação

No SOURCE DC:O Highest Commited USN é o maior USN utilizado neste DC

No DESTINATION DC:O High Watermark Table é uma tabela que contém o último USN conhecido (Highest Known USN) para todos os meus parceiros de replicação

O Up-to-dateness vector (UTDVEC) evita que eu replique coisas que já recebi de outro DC.

High Watermark Table (DC2)

SourceDC Highest Known USNDC1 GUID 4710

DC3 GUID 8769

DC4 GUID 987

Criação de um objetoNovo usuário no DC1

DC1

Highest Commited USN: 4710

Gilson Banin

Object uSNCreated: 4711

Object uSNChanged: 4711

-> 4711

Object Metadata (DC1)

Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem

displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711

userPassword Pa$$word 4711 1 8/1/2009 10:40 <DC1 GUID> 4711

sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711

A Replicação do objetode: DC1, para DC2

Object uSNCreated: 1746Object uSNChanged: 1746

DC1 DC2

-> 1746

Highest Commited USN: 4710 -> 4711 Highest Known USN DC1: 4710







Alterando um objetoTrocando de senha no DC2

DC2

Gilson Banin


Object uSNChanged:1746

-> 2453


Object uSNChanged:1746 -> 2453









userPassword TechEd@2011 1746 1 8/1/2009 10:40 <DC1 GUID> 4711








A Replicação de uma alteração


Object uSNChanged: 4711

DC1 DC2

-> 5040

Highest Commited USN: 2452 -> 2453Highest Known USN DC2: 2452

Highest Commited USN:5039


Object uSNChanged: 4711 -> 5040

Objeto com a

nova senha!











Alterações simultâneas

O que acontece ?

1. versionID com maior valor

Mesmo valor no versioID ?

2. Data e horário de maior valor

Mesma data e horário?

3. DC com o GUID de menor valor

DC1 = 1134566890

DC2 = 2334341234

USNs e Replicação

Demo...

USN rollback O que é USN rollback?

Corresponde a uma situação onde um USN quetinha sido previamente alocado/usado é reutilizado

Um fenômeno tão forte e não esperado quebra a suposição feita no nosso algoritmo de replicação

Como é detectado:

DC2’s UTD vector indica que ela foi replicada de todas atualizações provenientes de DC1 até USN X1

Da próxima vez que DC2 puxa as atualizações a partir de DC1, DC1 “acha” que o seu maior USN é o originado X2<X1.

DC1 percebe que já havia enviado atualizaçõescom o maior número USN do que o que estáusando atualmente, ele se coloca em quarentena

Evento 2095 surge alegando o problema

USN rollback

detected

USN rollback

USN bubbles

… how a USN rollback can turn really bad

USN rollback

detected USN rollback

NOT detected!

USN Rollback

Demo...

Objetos “Lingering” Um objeto em DC1 é “lingering” se:

Ele não está presente no DC2 no mesmo Name Context (NC)

Objetos renascem (resurgem) quando um DC ficoumais tempo parado ( sem replicar ) do que o tempo de “Tombstone life time”

Identificados pelos eventos 1388, 1988

A opção de stric replication impede que objetos emlingering seja replicado para outros DCs do domínio.

Strict Replication Consistency

Desabilitado no 2003

Habilitado no 2008 / R2

Sincronização de Horário Windows Time Service tem um algoritmo bem

definido de sincronização (Domain Hierarchy) Deixe ele fazer isso para você

Nós estamos sugerindo você desabilitar totalmente o Virtual Machine Integration Services ? Não, absolutamente não Virtual Machine Integration Services ainda é necessário

enquanto a VM está reiniciando ou em outras operações comoPause/Resume são importantes

Ao invés disso, desabilite o VMIC timesync provider dentro da máquina virtual

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders

VALUE: [REG_DWORD] VMICTimeProvider: 0 (NOTA: é zero)

Time Sync

Demo...

Perguntas ?

Conteúdo Relacionado

http://blogs.technet.com/gbanin

Time Sync http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx

USN - http://support.microsoft.com/kb/875495

Lingering - http://technet.microsoft.com/en-us/library/cc738018(WS.10).aspx

Technet - technet.microsoft.com/pt-br/ms376608

Palestras Relacionadas

SRV303 – Gerenciando Recursos com o Windows System Resource Manager

SRV305 – Consolidação de Armazenamento com Windows Server 2008 R2 e SMB2

SRV306 – A nova geração de Virtualização do Windows Server

SRV201 – Plataforma Windows Server para pequenas e médiasempresas

http://technet.microsoft.com/pt-br

http://msdn.microsoft.com/pt-br

Get the free mobile app for your phone

http:/ /gettag.mobi


http:/ /gettag.mobi







Não esqueça de

preencher sua avaliação

onlinewww.teched.com.br/avaliacao


http:/ /gettag.mobi

© 2011 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market

conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT

MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

teched 2011 - impactos em clonar e virtualizar domain controllers

Technology

of the

authority sid

domnio impactos

prefixo sid

sid replicao

samrquantos sid

domnio m2 criada

domnio matido