J3qx

information archive

Archive for Сентябрь 2015

Мастера Active Directory – роль FSMO RID Master

Posted by j3qx на Сентябрь 13, 2015

Мастера Active Directory – роль FSMO RID Master

Вокруг FSMO-ролей — много мифов и легенд. Разбираемся с каждой детально. Эта статья — про RID Master.

Привет.

Этой статьёй мы стартуем мини-цикл рассказов про FSMO-роли в Active Directory. Вокруг данных ролей, выполняемых ими задач, вопросов надёжности и отказоустойчивости, нужности и не очень в разных ситуациях, написано множество всего, а также за 15 с лишним лет существования Active Directory накоплено много мифов, верований, ритуалов и прочего совершенно не нужного в данный момент. Многие задачи и функции претерпели изменения, однако устаревшие советы, актуальные для Windows Server 2000 / 2003, до сих пор активно используются, что приводит к неэффективной, а зачастую и небезопасной работе инфраструктуры.

Попробуем разобраться с каждым из FSMO отдельно. Стараясь не сильно углубляться в сторонние темы (хотя возможностей будет масса), и предполагая, что Вы знаете материал хотя бы на уровне сертифицированного курсаMicrosoft 20410, читаемого в обзорно-упрощённом формате в авторизованных учебных центрах Microsoft – увы, детали работы RID Master там не изучаются, кроме краткого описания его работы. Если же вы проходили этот курс у нас, то часть статьи вы уже, по сути, изучили.

RID Master

  • Базовые задачи RID Master
  • Пространство RID’ов и пулы
    • Проверяем, расширено ли пространство RID’ов
    • Включаем расширенное пространство RID’ов в домене Active Directory
  • Глобальные настройки RID Master
    • msDS-RIDPoolAllocationEnabled или RID Ceiling
    • Как отключить RID Ceiling
    • Атрибут rIDAvailablePool
    • Атрибут NextRid
  • Настройки RID-пулов у DC
    • Атрибут rIDPreviousAllocationPool
    • Атрибут rIDAllocationPool
    • Атрибут rIDNextRID
    • Атрибут rIDUsedPool
    • Изменяем размер RID pool
  • Как перенести держателя FSMO-роли RID Master?
  • Где хранится информация, кто сейчас RID Master?
  • Где располагать держателя FSMO-роли RID Master?
  • Нужен ли RID Master’у отдельный бэкап?
  • Как повысить надёжность работы RID Master?
  • Если RID Master упал то всё
  • Как часто надо переносить FSMO-роль RID Master?

Начнём.

Базовые задачи RID Master

В Active Directory объекты уникально идентифицируются атрибутом Object-Guid (при просмотре объектов штатными средствами будет называться objectGUID) – он будет у всех объектов и именно он является ключевым идентификатором в случаях переименования (т.е. смены RDN), переноса (т.е. смены DN), и подобных. Однако, хоть GUID визуально и представлен как структуризированный, по сути это строка из 128ми бит, никак не привязанная к иным задачам, кроме “быть максимально уникальной”. Читать далее…

Реклама

Posted in IT expert, IT manager, sysadmin | Отмечено: , , , | Leave a Comment »

NTDS Quota и Trust Quota – защитные механизмы Active Directory

Posted by j3qx на Сентябрь 13, 2015

NTDS Quota и Trust Quota – защитные механизмы Active Directory

NTDS Quotas — нужный и практичный защитный механизм Active Directory, предназначенный для предотвращения специфичного класса атак на переполнение разделов Active Directory.

Привет.

В Active Directory много защитных механизмов – и некоторые из них, хоть и являются эффективными, незаслуженно прозябают в тени. В основном это относится к двум классам технологий – “чё-то сходу не разобрался, значит ну её нах” и “да вроде и без неё работает”. Оба вышеприведённых тезиса практически гарантируют вечное нахождение в статусе эникейщика (или заслуженного эникейщика, или многократно переименованного эникейщика) – что, в условиях текущего положения IT-рынка, совершенно неприемлемо.

Одним из таких механизмов, существующих с самого рождения Active Directory, является механизм квотирования – реализованный в виде NTDS quotas и Trust Quota. Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , | Leave a Comment »

BranchCache в Windows 10 и Server 2016

Posted by j3qx на Сентябрь 7, 2015

BranchCache в Windows 10 и Server 2016

Механизм BranchCache в Windows 10 и Windows Server 2016 — разбираем все режимы, настройки, тюнинг и вопросы безопасности.

Привет.

Ранее я уже написал две статьи по BranchCache – про BranchCache в изначальном варианте и про BranchCache в Windows Server 2012 R2 и Windows 8.1. Эта статья будет про новую версию – BranchCache в Windows 10 и в Windows Server 2016 – а также будет включать в себя более глубокий материал, чем по предыдущей версии.
Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , , | Leave a Comment »

Бронируем NTLM в домене Active Directory

Posted by j3qx на Сентябрь 6, 2015

Бронируем NTLM в домене Active Directory

Защищаем протоколы семейства LanManager — NTLMv1 / NTLMv2

Привет.

Протоколы семейства Lan Manager существуют очень давно – и, хотя, казалось бы, с появлением в Windows 2000 поддержки krbv5, должны были бы уходить на покой, остаются широко применяемыми. Причин этому несколько – во-первых последняя версия – NTLMv2 – широко распространена практически везде (выступая под ликом MS-CHAPv2 что в аутентификации для Wifi через EAP-MSCHAPv2, что для 802.1х, что внутри PEAP для различных применений, например VPN-подключений), во-вторых она является “подстраховкой” в случае не-срабатывания Kerberos в домене Active Directory, да и некоторые операции – например, работу с локальными учётными записями на доменных машинах – Kerberos обрабатывать не умеет, поэтому там всегда используется кто-то из LM.

Полностью искоренить Lan Manager внутри домена возможно, но для начала стОит навести порядок в использовании существующих диалектов Lan Manager. Важнее ведь не сделать в сети одиночные “островки безопасности”, а поднять нижнюю планку – чтобы небезопасные и откровенно устаревшие варианты LM не использовались, а используемый NTLMv2 был бы безопасен настолько, насколько возможно.
Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , , | Leave a Comment »

Механизмы фильтрации DNS-сервера Windows Server 2016

Posted by j3qx на Сентябрь 2, 2015

Новый функционал DNS Server в Windows Server 2016 — политики обработки запросов, управление рекурсией и трансфером зон.

Привет.

DNS-сервер – пожалуй, та инфраструктурная единица, функционал которой точно надо знать до мелочей. Ведь если с DNS будут проблемы – они же сразу появятся у всех зависимых сервисов – у той же Active Directory, например.

Встроенный в Windows Server компонент DNS прошёл долгий путь развития – но его функциональность, безусловно, ещё далека от совершенства. Шаги в нужном направлении делаются, и сегодня мы поговорим про нововведение в Windows Server 2016 (он же Windows 10 Server, он же Windows Server Threshold, он же CloudOS) – возможность фильтрации и управления обработкой запросов (как на разрешение имён, так и на трансфер зон) на уровне DNS-сервера. Ранее управлять можно было на уровне клиента (см. мою статью про NRPT) – ну а аналога bind’овых view не было.

Я предполагаю, что вы знакомы с работой DNS-сервера на уровне хотя бы MCSA : Windows Server и обладаете углублённым знанием вопросов безопасности на уровне материала статьи про защиту DNS Server.

Начнём.

Фильтрация запросов и трансфера зон в Windows Server 2016

  • Зачем фильтровать запросы к DNS-серверу
  • Подготовка к фильтрации запросов – размечаем подсети с клиентами
  • Подготовка к фильтрации запросов – добавляем zone scope
  • Добавляем в зону A-запись, видимую только для определённого zone scope
  • Добавляем к зоне политику обработки запросов

Читать далее…

Posted in IT expert, IT manager, sysadmin | Отмечено: , , , | Leave a Comment »