Ups , właśnie skasowałem to konto

1. Tomasz Onyszko Partner | Connected Dots Ups, właśnie skasowałem to konto

2. Agenda • Był sobie użytkownik, czyli (prawie) wszystko o odzyskiwaniu skasowanych obiektów w ramach katalogu • Mniej standardowe mechanizmy DR

3. Co prezenter miał na myśli Świadomość co do działania mechanizmów odzyskiwania obiektów Wiedza dotycząca możliwości i sposobów odzyskania danych Zrozumienie mechanizmów Active Directory mających wpływ na DR

4. Był sobie człowiek

5. Co się właśnie stało? • Skasowanie użytkownika (Windows 2003 / 2008 / 2008R2 bez Recycle Bin) • Obiekt użytkownika zamieniany jest w tombstone (atrybut isDeleted == TRUE) • Przesunięty do kontenera Deleted Objects • 26-ty bit systemFlags na obiekcie nie ustawiony • Zachowuje podstawowe atrybuty • objectGUID, objectSID, sIDHistory, nTSecurityDescriptor itp. -> 4’ty bit searchFlagslub hardcoded

6. Jak długo żyje nagrobek? • Czas definiowany przez atrybut tombstoneLifetime • Liczba dni przed usunięciem obiektu fizycznie z bazy danych AD • Liczba dni ważności kopii zapasowych

7. Jak długo żyje nagrobek?

8. Jak długo żyje nagrobek? Windows Server 2003 /2008 - bez Recycle Bin Skasowanie Tombstone Object Odzyskanie TombstoneLifetime Brian GarbageCollection

9. Kto to zrobił? • Wbudowane mechanizmy audytu systemu • Aby zadziałały: • Audit policy -> Audit Directory Service Access • Windows 2008 i wyżej: • Konfiguracja SACL • Logowane w dzienniku zdarzeń • EventID: 4726 lub 5141

10. Kto to zrobił? • A gdy audyt nie był włączony? • Analiza metadanych replikacji obiektu • Co: isDeleted = TRUE • Gdzie: Originating DSA • Kiedy: Originating Time

11. Cofnąć czas

12. Opcje odzyskania obiektu • Odtworzenie obiektu z kopii zapasowej (wszystkie wersje) • Reanimacja obiektu (≥ 2003) • Reanimacja obiektu + AD snapshot (≥ 2008) • AD Recycle Bin (≥ 2008 R2)

13. Odtworzenie obiektu z kopii • Wymagany System state kontrolera domeny zawierający obiekt • Alternatywa: DC/GC który jeszcze nie zreplikował informacji o skasowaniu. • Uruchomienie DC w trybie Directory Services • RestoreMode • Przywraca (prawie) wszystkie atrybuty obiektu • Dodatkowe operacje po odtworzeniu

14. Odtworzenie obiektu z kopii • Odtworzenie obiektu zwiększa wersje atrybutów: • 100 000 x liczba dni od daty kopii zapasowej • Możliwe samodzielne zwiększenie wersji • Od Windows 2003 SP1: data ostatniego backupu

15. Reanimacja obiektu • Ręczneożywienie nagrobka: • Usunięcie atrybutu isDeleted • Przeniesienie obiektu do istniejącego OU: zmina distinguishedName • Nie wymaga restartu i kopii zapasowej • Przywraca ten sam obiekt • Nie przywraca żadnych atrybutów poza atrybutami tombstone

16. Przywróć mnie Joe

17. Prawdziwy problem • Linked attributes: Pary atrybutów (DN) połączone ze sobą • Relacje automatycznie utrzymywane przez katalog

18. Połączone atrybuty • Dwa tryby replikacji: • Standardowy (NON-LVR) • Linked Value Replication (LVR) (FFL ≥ W2003 Native)

19. Połączone atrybuty • Odtworzenie linków NON-LVR • Off-line: Odtworzenie obiektów połączonych • Odtworzenie użytkownika • Odtworzenie obiektów zawierających link do użytkownika • On-line: skopiowanie danych z odzyskanej kopii przed replikacją • Odtworzenie grupy • Zablokowanie replikacji • Zrzut informacji o grupach

20. Połączone atrybuty • Odtworzenie atrybutów połączonych • OS version < Windows 2003 SP1 • 1 domena: przywracane są wartości LVR • Wartości nie replikowane z LVR: tak jak w Windows 2000 • > 1 domena: tak jak w Windows 2000 • OS version ≥ Windows 2003 SP1 • Nowa funkcjonalność NTDSUTIL • Generowane są pliki LDIF zawierające uaktualnienia atrybutów połączonych

21. NTDSUTIL i LVR

22. Idzie nowe

23. Recycle-Bin • Opcjonalna funkcjonalność Windows 2008 R2 • Nie włączona domyślnie (opcja) • Wymaga FFL ≥ Windows 2008 R2 • Nowa funkcjonalność kasowania obiektów • Obiekty przechowywane są w stanie Deleted • Zachowują wszystkie atrybuty (włączając w to linki) • Przywracanie obiektu poprzez reanimację on-line

24. Recycle-Bin 180 dni Windows Server 2008 Brian Tombstone Object Garbage collection Zwraca Tombstones LDAP OID 1.2.840.113556.1.4.417 ZwracaDeleted LDAP OID 1.2.840.113556.1.4.2064 Windows Server 2008 R2- z włączonymRecycle Bin ZwracaDeletediRecycled Garbage collection Brian Deleted Object Recycled Object 180 Days 180 Days

25. Trzeba wiedzieć • Wpływ na DIT • Pierwszy DC generuje ruch replikacji • isRecycled = True dla wszystkich skasowanych obiektów • Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia • Dostępy poprzez Powershell (brak GUI) • Po ustawienia isRecycled==TRUE, blokowane jest odzyskiwanie tombstone

26. Trzeba wiedzieć • Czas życia obiektów: • Deleted object (DOL): msDS-DeletedObjectLifetime • Recycled objects (ROL): tombstoneLifetime • Czas życia kopii zapasowych: MIN (DOL, ROL) • Domyślnie zablokowana możliwość odtworzenia obiektu Recycled

27. Recycle Bin

28. Alternative version

29. Przykład dobry: Dane DNS • Strefy zintegrowane z AD • Odzyskiwane jak inne obiekty AD • A gdyby tak inaczej: • Member server z kopią stref w trybie standard • W przypadku skasowania: • Transfer strefy z serwera zapasowego • Zmiana z Standard na AD Interated

30. Szybkie DNS recovery

31. Przykład zły: Obrazy i dyski • DC nie utrzymuje samodzielnie informacji o stanie replikacji • Informacja o stanie replikacji jest rozproszona w katalogu • Każdy DC utrzymuje swoje dane oparty o numery sekwencyjne USN • USN lokalne dla każdego DC • Zależne od InvocationID – wersji bazy danych • Przywrócenie obrazu dysku lub VM • USN roll-back • USN bubble

32. Zmierzając ku końcowi

33. Trzy kroki do spokojnego życia PLAN PROCEDURY WERYFIKACJA

34. Oceń moją sesję Ankieta dostępna na stronie www.mtskonferencja.pl