TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers
-
Upload
gbanin -
Category
Technology
-
view
2.058 -
download
0
Transcript of TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers
![Page 1: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/1.jpg)
Impactos em Clonar e VirtualizarControladores de Domínio
Nível Técnico : 400
Gilson Banin Antonio Felicio
Premier Field EngineerMicrosoft Services Brasil
![Page 2: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/2.jpg)
![Page 3: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/3.jpg)
Premier Field Engineering
ServiçosProativos
Serviços
Reativos
Workshop
Plus
Health Checks &
RAPs
Situações
Críticas
![Page 4: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/4.jpg)
Agenda
Conceitos de Objetos
Explicação sobre SID
Replicação do Active Directory
Atribuição do USN no objeto
USN Rollback
Lingering
Time Sync
![Page 5: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/5.jpg)
Conceitos de Objetos
Identificação de Computadores
![Page 6: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/6.jpg)
O que é SID ?
É a principal identificação de segurança de um objeto.
Quais exemplos de SID ?
Usuário
Computador
Grupos
![Page 7: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/7.jpg)
Como é composto ?
1. Um prefixo SID
1 é a revisão + identifier authority = 5
S-1-5-21-2000478354-492864223-854245397-19221
2. Account-authority (SID do domínio)
Objetos criados no mesmo domínio compartilhamo mesmo prefixo de autoridade
3. Um número inteiro que identifica a identidade relativa única
do account-authority
Conhecido como relative identifier (RID)
um espaço de endereço de 32-bits (~1 bilhão de RIDs)
![Page 8: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/8.jpg)
Atribuição SID
SIDs de Máquina Como ele é atribuído ? ver [MS-SAMR]
Quantos SID um computador member server possue?
SID de Domínio De onde eles vem?
Uso SID Autorização (SID Principal e Secundário)
![Page 9: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/9.jpg)
Cenários Reais
Experiências de campo
![Page 10: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/10.jpg)
Cenário 01
• Podem coexistir?
M1
M1 é iniciada como membro de domínio
M2 é criada como CLONE de M1 (cópia do VHD)
![Page 11: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/11.jpg)
Cenário 2
M1 é instalada e promovida comoprimeiro DC de dom1.lab
M1
M2 é instalada como uma nova máquina
M2
M3 foi criada como CLONE de M2
M3
dom1.lab
M2 é promovida como DC em dom1.lab
M3
M3 é adicionada como membro de domínio matido por M1 e M2
•O que acontece ?
![Page 12: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/12.jpg)
Cenário 3
1. Crie M1
2. Clone M1 para M2
3. M1 e M2 serão DCs em em diferentesFlorestas e Domínios
4. Será criado umarelação de confiançaentre as Florestas!
O que acontece ?
Computer: M1SID: S-10
Computer: M2SID: S-10
Forest1.comSID: S-10
Forest2.comSID: S-10
Trust?
M1 é clonadaM2
M1 & M2 promovida como primeiro DCs em florestas diferentes
![Page 13: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/13.jpg)
Cenário 4
1) Um template
VHD com W2K8 R2
é usado para
instalar novos
servidores
4) Outra cópia é feita
do template VHD em
seguida renomeado
para LUIGI e incluído
como membro do
domínio PRINCESS
6) PEACH\Administrator
é adicionado como
membro do grupo
CHILD\SuperMarioBros
2) VM Template é
clonada, renomeada e
promovida como DC
para o domínio pai
PEACH (peach.com)
3) Um domínio filho
chamado PRINCESS
é promovido como
domínio filho usando
uma instalação limpa
na filial
7) PEACH\Administrator efetua “logon” em um computador
membro do domínio PEACH e tenta acessar o caminho:
\\luigi.princess.peach.com\Gameboy
O que acontece? E porquê ?
2k8r2.VHD
Windows
Server
5) CHILD\SuperMarioBros
é concedido permissão de
LEITURA e GRAVAÇÃO no
compartilhamento
Gameboy do servidor de
arquivos LUIGI
![Page 14: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/14.jpg)
SID
Demo...
![Page 15: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/15.jpg)
Replicação do Active Directory
Replicação em Alta Profundidade
![Page 16: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/16.jpg)
Update Sequence Numbers (USN)
O que é USN? 64 Bits tipo QWORD
Cada Controlador de Domínio gerencia os seus USNs
Quando o USN é associado ? Objeto é criado, modificado ou movido
Valor no atributo Cada atributo alterado no objeto recebe o próximo USN do DC
disponível
Highest Commited USN do DC + 1
Independente da hora do sistema
![Page 17: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/17.jpg)
USN: 3388
DC4
USN: 1217
DC3
USN: 2052
DC2
USN: 4711
DC1
DC GUID Highest known USN
DC1 GUID 4711
DC3 GUID 1217
High Watermark Vector Table• DC4 High-Watermark Vector
• DS1 e DS3 são parceiros
de replicação de DS4
![Page 18: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/18.jpg)
USN: 3388
DC4
USN: 1217
DC3
USN: 2052
DC2
USN: 4711
DC1
Invocation
ID
Highest
originating USN
DC1 GUID 4711
DC2 GUID 2052
Replication
timestamp
12:02.31
12:02.29
DC3 GUID 1217 12:02.36
Up-To-Dateness (UTD) Vector Table
• DC4 Up-to-dateness
Vector• partition
![Page 19: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/19.jpg)
Informações utilizadas na replicação
No SOURCE DC:O Highest Commited USN é o maior USN utilizado neste DC
No DESTINATION DC:O High Watermark Table é uma tabela que contém o último USN conhecido (Highest Known USN) para todos os meus parceiros de replicação
O Up-to-dateness vector (UTDVEC) evita que eu replique coisas que já recebi de outro DC.
High Watermark Table (DC2)
SourceDC Highest Known USNDC1 GUID 4710
DC3 GUID 8769
DC4 GUID 987
![Page 20: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/20.jpg)
Criação de um objetoNovo usuário no DC1
DC1
Highest Commited USN: 4710
Gilson Banin
Object uSNCreated: 4711
Object uSNChanged: 4711
-> 4711
Object Metadata (DC1)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
![Page 21: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/21.jpg)
A Replicação do objetode: DC1, para DC2
Object uSNCreated: 1746Object uSNChanged: 1746
DC1 DC2
-> 1746
Highest Commited USN: 4710 -> 4711 Highest Known USN DC1: 4710
Highest Commited USN: 1745
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
![Page 22: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/22.jpg)
Alterando um objetoTrocando de senha no DC2
DC2
Gilson Banin
Object uSNCreated: 1746
Object uSNChanged:1746
-> 2453
Object uSNCreated: 1746
Object uSNChanged:1746 -> 2453
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword TechEd@2011 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword TechEd@2011 2453 2 9/1/2009 10:40 <DC2 GUID> 2453
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
Highest Commited USN: 2452
![Page 23: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/23.jpg)
A Replicação de uma alteração
Object uSNCreated: 4711
Object uSNChanged: 4711
DC1 DC2
-> 5040
Highest Commited USN: 2452 -> 2453Highest Known USN DC2: 2452
Highest Commited USN:5039
Object uSNCreated: 4711
Object uSNChanged: 4711 -> 5040
Objeto com a
nova senha!
Object Metadata (DC1)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
Object Metadata (DC1)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword TechEd@2011 5040 2 9/1/2009 11:40 <DC2 GUID> 2453
sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
![Page 24: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/24.jpg)
Alterações simultâneas
O que acontece ?
1. versionID com maior valor
Mesmo valor no versioID ?
2. Data e horário de maior valor
Mesma data e horário?
3. DC com o GUID de menor valor
DC1 = 1134566890
DC2 = 2334341234
![Page 25: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/25.jpg)
USNs e Replicação
Demo...
![Page 26: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/26.jpg)
USN rollback O que é USN rollback?
Corresponde a uma situação onde um USN quetinha sido previamente alocado/usado é reutilizado
Um fenômeno tão forte e não esperado quebra a suposição feita no nosso algoritmo de replicação
Como é detectado:
DC2’s UTD vector indica que ela foi replicada de todas atualizações provenientes de DC1 até USN X1
Da próxima vez que DC2 puxa as atualizações a partir de DC1, DC1 “acha” que o seu maior USN é o originado X2<X1.
DC1 percebe que já havia enviado atualizaçõescom o maior número USN do que o que estáusando atualmente, ele se coloca em quarentena
Evento 2095 surge alegando o problema
![Page 27: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/27.jpg)
USN rollback
detected
USN rollback
![Page 28: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/28.jpg)
USN bubbles
… how a USN rollback can turn really bad
USN rollback
detected USN rollback
NOT detected!
![Page 29: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/29.jpg)
USN Rollback
Demo...
![Page 30: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/30.jpg)
Objetos “Lingering” Um objeto em DC1 é “lingering” se:
Ele não está presente no DC2 no mesmo Name Context (NC)
Objetos renascem (resurgem) quando um DC ficoumais tempo parado ( sem replicar ) do que o tempo de “Tombstone life time”
Identificados pelos eventos 1388, 1988
A opção de stric replication impede que objetos emlingering seja replicado para outros DCs do domínio.
Strict Replication Consistency
Desabilitado no 2003
Habilitado no 2008 / R2
![Page 31: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/31.jpg)
Sincronização de Horário Windows Time Service tem um algoritmo bem
definido de sincronização (Domain Hierarchy) Deixe ele fazer isso para você
Nós estamos sugerindo você desabilitar totalmente o Virtual Machine Integration Services ? Não, absolutamente não Virtual Machine Integration Services ainda é necessário
enquanto a VM está reiniciando ou em outras operações comoPause/Resume são importantes
Ao invés disso, desabilite o VMIC timesync provider dentro da máquina virtual
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders
VALUE: [REG_DWORD] VMICTimeProvider: 0 (NOTA: é zero)
![Page 32: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/32.jpg)
Time Sync
Demo...
![Page 33: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/33.jpg)
Perguntas ?
![Page 34: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/34.jpg)
Conteúdo Relacionado
http://blogs.technet.com/gbanin
Time Sync http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx
USN - http://support.microsoft.com/kb/875495
Lingering - http://technet.microsoft.com/en-us/library/cc738018(WS.10).aspx
Technet - technet.microsoft.com/pt-br/ms376608
![Page 35: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/35.jpg)
Palestras Relacionadas
SRV303 – Gerenciando Recursos com o Windows System Resource Manager
SRV305 – Consolidação de Armazenamento com Windows Server 2008 R2 e SMB2
SRV306 – A nova geração de Virtualização do Windows Server
SRV201 – Plataforma Windows Server para pequenas e médiasempresas
![Page 36: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/36.jpg)
http://technet.microsoft.com/pt-br
http://msdn.microsoft.com/pt-br
Get the free mobile app for your phone
http:/ /gettag.mobi
Get the free mobile app for your phone
http:/ /gettag.mobi
![Page 37: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/37.jpg)
Não esqueça de
preencher sua avaliação
onlinewww.teched.com.br/avaliacao
Get the free mobile app for your phone
http:/ /gettag.mobi
![Page 38: TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers](https://reader030.fdocuments.in/reader030/viewer/2022032714/55aa3dff1a28ab9f6a8b4682/html5/thumbnails/38.jpg)
© 2011 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT
MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.