teched 2011 - impactos em clonar e virtualizar domain controllers
TRANSCRIPT
Impactos em Clonar e VirtualizarControladores de Domínio
Nível Técnico : 400
Gilson Banin Antonio Felicio
Premier Field EngineerMicrosoft Services Brasil
Premier Field Engineering
ServiçosProativos
Serviços
Reativos
Workshop
Plus
Health Checks &
RAPs
Situações
Críticas
Agenda
Conceitos de Objetos
Explicação sobre SID
Replicação do Active Directory
Atribuição do USN no objeto
USN Rollback
Lingering
Time Sync
Conceitos de Objetos
Identificação de Computadores
O que é SID ?
É a principal identificação de segurança de um objeto.
Quais exemplos de SID ?
Usuário
Computador
Grupos
Como é composto ?
1. Um prefixo SID
1 é a revisão + identifier authority = 5
S-1-5-21-2000478354-492864223-854245397-19221
2. Account-authority (SID do domínio)
Objetos criados no mesmo domínio compartilhamo mesmo prefixo de autoridade
3. Um número inteiro que identifica a identidade relativa única
do account-authority
Conhecido como relative identifier (RID)
um espaço de endereço de 32-bits (~1 bilhão de RIDs)
Atribuição SID
SIDs de Máquina Como ele é atribuído ? ver [MS-SAMR]
Quantos SID um computador member server possue?
SID de Domínio De onde eles vem?
Uso SID Autorização (SID Principal e Secundário)
Cenários Reais
Experiências de campo
Cenário 01
• Podem coexistir?
M1
M1 é iniciada como membro de domínio
M2 é criada como CLONE de M1 (cópia do VHD)
Cenário 2
M1 é instalada e promovida comoprimeiro DC de dom1.lab
M1
M2 é instalada como uma nova máquina
M2
M3 foi criada como CLONE de M2
M3
dom1.lab
M2 é promovida como DC em dom1.lab
M3
M3 é adicionada como membro de domínio matido por M1 e M2
•O que acontece ?
Cenário 3
1. Crie M1
2. Clone M1 para M2
3. M1 e M2 serão DCs em em diferentesFlorestas e Domínios
4. Será criado umarelação de confiançaentre as Florestas!
O que acontece ?
Computer: M1SID: S-10
Computer: M2SID: S-10
Forest1.comSID: S-10
Forest2.comSID: S-10
Trust?
M1 é clonadaM2
M1 & M2 promovida como primeiro DCs em florestas diferentes
Cenário 4
1) Um template
VHD com W2K8 R2
é usado para
instalar novos
servidores
4) Outra cópia é feita
do template VHD em
seguida renomeado
para LUIGI e incluído
como membro do
domínio PRINCESS
6) PEACH\Administrator
é adicionado como
membro do grupo
CHILD\SuperMarioBros
2) VM Template é
clonada, renomeada e
promovida como DC
para o domínio pai
PEACH (peach.com)
3) Um domínio filho
chamado PRINCESS
é promovido como
domínio filho usando
uma instalação limpa
na filial
7) PEACH\Administrator efetua “logon” em um computador
membro do domínio PEACH e tenta acessar o caminho:
\\luigi.princess.peach.com\Gameboy
O que acontece? E porquê ?
2k8r2.VHD
Windows
Server
5) CHILD\SuperMarioBros
é concedido permissão de
LEITURA e GRAVAÇÃO no
compartilhamento
Gameboy do servidor de
arquivos LUIGI
SID
Demo...
Replicação do Active Directory
Replicação em Alta Profundidade
Update Sequence Numbers (USN)
O que é USN? 64 Bits tipo QWORD
Cada Controlador de Domínio gerencia os seus USNs
Quando o USN é associado ? Objeto é criado, modificado ou movido
Valor no atributo Cada atributo alterado no objeto recebe o próximo USN do DC
disponível
Highest Commited USN do DC + 1
Independente da hora do sistema
USN: 3388
DC4
USN: 1217
DC3
USN: 2052
DC2
USN: 4711
DC1
DC GUID Highest known USN
DC1 GUID 4711
DC3 GUID 1217
High Watermark Vector Table• DC4 High-Watermark Vector
• DS1 e DS3 são parceiros
de replicação de DS4
USN: 3388
DC4
USN: 1217
DC3
USN: 2052
DC2
USN: 4711
DC1
Invocation
ID
Highest
originating USN
DC1 GUID 4711
DC2 GUID 2052
Replication
timestamp
12:02.31
12:02.29
DC3 GUID 1217 12:02.36
Up-To-Dateness (UTD) Vector Table
• DC4 Up-to-dateness
Vector• partition
Informações utilizadas na replicação
No SOURCE DC:O Highest Commited USN é o maior USN utilizado neste DC
No DESTINATION DC:O High Watermark Table é uma tabela que contém o último USN conhecido (Highest Known USN) para todos os meus parceiros de replicação
O Up-to-dateness vector (UTDVEC) evita que eu replique coisas que já recebi de outro DC.
High Watermark Table (DC2)
SourceDC Highest Known USNDC1 GUID 4710
DC3 GUID 8769
DC4 GUID 987
Criação de um objetoNovo usuário no DC1
DC1
Highest Commited USN: 4710
Gilson Banin
Object uSNCreated: 4711
Object uSNChanged: 4711
-> 4711
Object Metadata (DC1)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
A Replicação do objetode: DC1, para DC2
Object uSNCreated: 1746Object uSNChanged: 1746
DC1 DC2
-> 1746
Highest Commited USN: 4710 -> 4711 Highest Known USN DC1: 4710
Highest Commited USN: 1745
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
Alterando um objetoTrocando de senha no DC2
DC2
Gilson Banin
Object uSNCreated: 1746
Object uSNChanged:1746
-> 2453
Object uSNCreated: 1746
Object uSNChanged:1746 -> 2453
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword TechEd@2011 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword TechEd@2011 2453 2 9/1/2009 10:40 <DC2 GUID> 2453
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
Highest Commited USN: 2452
A Replicação de uma alteração
Object uSNCreated: 4711
Object uSNChanged: 4711
DC1 DC2
-> 5040
Highest Commited USN: 2452 -> 2453Highest Known USN DC2: 2452
Highest Commited USN:5039
Object uSNCreated: 4711
Object uSNChanged: 4711 -> 5040
Objeto com a
nova senha!
Object Metadata (DC1)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
Object Metadata (DC1)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword TechEd@2011 5040 2 9/1/2009 11:40 <DC2 GUID> 2453
sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
Alterações simultâneas
O que acontece ?
1. versionID com maior valor
Mesmo valor no versioID ?
2. Data e horário de maior valor
Mesma data e horário?
3. DC com o GUID de menor valor
DC1 = 1134566890
DC2 = 2334341234
USNs e Replicação
Demo...
USN rollback O que é USN rollback?
Corresponde a uma situação onde um USN quetinha sido previamente alocado/usado é reutilizado
Um fenômeno tão forte e não esperado quebra a suposição feita no nosso algoritmo de replicação
Como é detectado:
DC2’s UTD vector indica que ela foi replicada de todas atualizações provenientes de DC1 até USN X1
Da próxima vez que DC2 puxa as atualizações a partir de DC1, DC1 “acha” que o seu maior USN é o originado X2<X1.
DC1 percebe que já havia enviado atualizaçõescom o maior número USN do que o que estáusando atualmente, ele se coloca em quarentena
Evento 2095 surge alegando o problema
USN rollback
detected
USN rollback
USN bubbles
… how a USN rollback can turn really bad
USN rollback
detected USN rollback
NOT detected!
USN Rollback
Demo...
Objetos “Lingering” Um objeto em DC1 é “lingering” se:
Ele não está presente no DC2 no mesmo Name Context (NC)
Objetos renascem (resurgem) quando um DC ficoumais tempo parado ( sem replicar ) do que o tempo de “Tombstone life time”
Identificados pelos eventos 1388, 1988
A opção de stric replication impede que objetos emlingering seja replicado para outros DCs do domínio.
Strict Replication Consistency
Desabilitado no 2003
Habilitado no 2008 / R2
Sincronização de Horário Windows Time Service tem um algoritmo bem
definido de sincronização (Domain Hierarchy) Deixe ele fazer isso para você
Nós estamos sugerindo você desabilitar totalmente o Virtual Machine Integration Services ? Não, absolutamente não Virtual Machine Integration Services ainda é necessário
enquanto a VM está reiniciando ou em outras operações comoPause/Resume são importantes
Ao invés disso, desabilite o VMIC timesync provider dentro da máquina virtual
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders
VALUE: [REG_DWORD] VMICTimeProvider: 0 (NOTA: é zero)
Time Sync
Demo...
Perguntas ?
Conteúdo Relacionado
http://blogs.technet.com/gbanin
Time Sync http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx
USN - http://support.microsoft.com/kb/875495
Lingering - http://technet.microsoft.com/en-us/library/cc738018(WS.10).aspx
Technet - technet.microsoft.com/pt-br/ms376608
Palestras Relacionadas
SRV303 – Gerenciando Recursos com o Windows System Resource Manager
SRV305 – Consolidação de Armazenamento com Windows Server 2008 R2 e SMB2
SRV306 – A nova geração de Virtualização do Windows Server
SRV201 – Plataforma Windows Server para pequenas e médiasempresas
http://technet.microsoft.com/pt-br
http://msdn.microsoft.com/pt-br
Get the free mobile app for your phone
http:/ /gettag.mobi
Get the free mobile app for your phone
http:/ /gettag.mobi
Não esqueça de
preencher sua avaliação
onlinewww.teched.com.br/avaliacao
Get the free mobile app for your phone
http:/ /gettag.mobi
© 2011 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT
MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.