Este documento discute conceitos importantes sobre replicação do Active Directory, como USNs, replicação de objetos e alterações, e situações como USN rollback e objetos lingering. Ele também aborda sincronização de tempo em ambientes virtualizados.
TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers
1. Impactos em Clonar e Virtualizar
Controladores de Domínio
Nível Técnico : 400
Gilson Banin
Antonio Felicio
Premier Field Engineer
Microsoft Services Brasil
2.
3. Premier Field Engineering
Serviços
Proativos
Situações Serviços
Críticas Reativos
Health Workshop
Checks &
RAPs Plus
4. Agenda
Conceitos de Objetos
Explicação sobre SID
Replicação do Active Directory
Atribuição do USN no objeto
USN Rollback
Lingering
Time Sync
6. O que é SID ?
É a principal identificação de segurança de um objeto.
Quais exemplos de SID ?
Usuário
Computador
Grupos
7. Como é composto ?
S-1-5-21-2000478354-492864223-854245397 -19221
1. Um prefixo SID
1 é a revisão + identifier authority = 5
2. Account-authority (SID do domínio)
Objetos criados no mesmo domínio compartilham
o mesmo prefixo de autoridade
3. Um número inteiro que identifica a identidade relativa única
do account-authority
Conhecido como relative identifier (RID)
um espaço de endereço de 32-bits (~1 bilhão de RIDs)
8. Atribuição SID
SIDs de Máquina
Como ele é atribuído ? ver [MS-SAMR]
Quantos SID um computador member server possue?
SID de Domínio
De onde eles vem?
Uso SID
Autorização (SID Principal e Secundário)
10. Cenário 01
M1
M1 é iniciada como membro de domínio
M2 é criada como CLONE de M1
(cópia do VHD)
• Podem coexistir?
11. Cenário 2
M1
M1 é instalada e promovida como
primeiro DC de dom1.lab
M2
M2 é instalada como uma nova máquina
M3
M3 foi criada como CLONE de M2
M2 é promovida como DC em dom1.lab
dom1.lab
M3
M3 é adicionada como membro de
domínio matido por M1 e M2
• O que acontece ?
12. Cenário 3
M1 & M2 promovida como primeiro DCs
1. Crie M1 em florestas diferentes
2. Clone M1 para M2
3. M1 e M2 serão DCs
em em diferentes M1 é clonada
Florestas e Domínios M2
Trust?
4. Será criado uma
relação de confiança Computer: M1 Computer: M2
SID: S-10 SID: S-10
entre as Florestas!
Forest1.com Forest2.com
SID: S-10 SID: S-10
O que acontece ?
13. Cenário 4
2k8r2.VHD
Windows
7) PEACHAdministrator efetua “logon” em um computador
Server
1) Um template
membro do domínio PEACH e tenta acessar o caminho: 4) Outra cópia é feita
VHD com W2K8 R2 do template VHD em
é usado para
luigi.princess.peach.comGameboy seguida renomeado
instalar novos para LUIGI e incluído
O servidores
que acontece? E porquê ? como membro do
2) VM Template é
clonada, renomeada e domínio PRINCESS
promovida como DC
para o domínio pai
PEACH (peach.com)
6) PEACHAdministrator
é adicionado como
membro do grupo
CHILDSuperMarioBros 5) CHILDSuperMarioBros
é concedido permissão de
LEITURA e GRAVAÇÃO no
compartilhamento
3) Um domínio filho Gameboy do servidor de
chamado PRINCESS arquivos LUIGI
é promovido como
domínio filho usando
uma instalação limpa
na filial
16. Update Sequence Numbers (USN)
O que é USN?
64 Bits tipo QWORD
Cada Controlador de Domínio gerencia os seus USNs
Quando o USN é associado ?
Objeto é criado, modificado ou movido
Valor no atributo
Cada atributo alterado no objeto recebe o próximo USN do DC
disponível
Highest Commited USN do DC + 1
Independente da hora do sistema
17. High Watermark Vector Table
DC1 • DC4 High-Watermark Vector
• DS1 e DS3 são parceiros
USN: 4711 de replicação de DS4
DC2 DC4
USN: 2052 USN: 3388
DC3
USN: 1217
DC GUID Highest known USN
DC1 GUID 4711
DC3 GUID 1217
19. Informações utilizadas na replicação
No SOURCE DC:
O Highest Commited USN é o maior USN utilizado
neste DC
No DESTINATION DC:
O High Watermark Table é uma tabela que
contém o último USN conhecido (Highest Known
USN) para todos os meus parceiros de replicação
O Up-to-dateness vector (UTDVEC) evita que eu
replique coisas que já recebi de outro DC.
High Watermark Table (DC2)
SourceDC Highest Known USN
DC1 GUID 4710
DC3 GUID 8769
DC4 GUID 987
20. Criação de um objeto
Novo usuário no DC1
DC1
Highest Commited USN: 4710 -> 4711
Gilson Banin
Object uSNCreated: 4711
Object uSNChanged: 4711
Object Metadata (DC1)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
21. A Replicação do objeto
de: DC1, para DC2
DC1 DC2
Highest Commited USN: 4710 -> 4711 Highest Known USN DC1: 4710
Highest Commited USN: 1745 -> 1746
Object uSNCreated: 1746
Object uSNChanged: 1746
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword Pa$$word 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
22. Alterando um objeto
Trocando de senha no DC2
DC2
Gilson Banin Highest Commited USN: 2452 -> 2453
Object uSNCreated: 1746
Object uSNChanged:1746 -> 2453
Object Metadata (DC2)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword TechEd@2011
Pa$$word 1746
2453 1
2 9/1/2009 10:40
8/1/2009 <DC1
<DC2 GUID> 4711
2453
sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
23. A Replicação de uma alteração
Objeto com a
nova senha!
DC1 DC2
Highest Known USN DC2: 2452 Highest Commited USN: 2452 -> 2453
Highest Commited USN:5039 -> 5040
Object uSNCreated: 4711
Object uSNChanged: 4711 -> 5040
Object Metadata (DC1)
Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem
displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
userPassword TechEd@2011
Pa$$word 5040
4711 2
1 9/1/2009 11:40
8/1/2009 10:40 <DC2
<DC1 GUID> 2453
4711
sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
24. Alterações simultâneas
O que acontece ?
1. versionID com maior valor
Mesmo valor no versioID ?
2. Data e horário de maior valor
Mesma data e horário?
3. DC com o GUID de menor valor
DC1 = 1134566890
DC2 = 2334341234
26. USN rollback
O que é USN rollback?
Corresponde a uma situação onde um USN que
tinha sido previamente alocado/usado é
reutilizado
Um fenômeno tão forte e não esperado quebra a
suposição feita no nosso algoritmo de replicação
Como é detectado:
DC2’s UTD vector indica que ela foi replicada de
todas atualizações provenientes de DC1 até USN
X1
Da próxima vez que DC2 puxa as atualizações a
partir de DC1, DC1 “acha” que o seu maior USN é o
originado X2<X1.
DC1 percebe que já havia enviado atualizações
com o maior número USN do que o que está
usando atualmente, ele se coloca em quarentena
Evento 2095 surge alegando o problema
30. Objetos “Lingering”
Um objeto em DC1 é “lingering” se:
Ele não está presente no DC2 no mesmo Name
Context (NC)
Objetos renascem (resurgem) quando um DC ficou
mais tempo parado ( sem replicar ) do que o tempo
de “Tombstone life time”
Identificados pelos eventos 1388, 1988
A opção de stric replication impede que objetos em
lingering seja replicado para outros DCs do
domínio.
Strict Replication Consistency
Desabilitado no 2003
Habilitado no 2008 / R2
31. Sincronização de Horário
Windows Time Service tem um algoritmo bem
definido de sincronização (Domain Hierarchy)
Deixe ele fazer isso para você
Nós estamos sugerindo você desabilitar totalmente o
Virtual Machine Integration Services ?
Não, absolutamente não
Virtual Machine Integration Services ainda é necessário
enquanto a VM está reiniciando ou em outras operações como
Pause/Resume são importantes
Ao invés disso, desabilite o VMIC timesync provider
dentro da máquina virtual
HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProviders
VALUE: [REG_DWORD] VMICTimeProvider: 0 (NOTA:
é zero)
35. Palestras Relacionadas
SRV303 – Gerenciando Recursos com o Windows System
Resource Manager
SRV306 – A nova geração de Virtualização do Windows Server
SRV305 – Consolidação de Armazenamento com Windows Server
2008 R2 e SMB2
SRV201 – Plataforma Windows Server para pequenas e médias
empresas
36. Get the free mobile app for your phone
http:/ / gettag.mobi
http://technet.microsoft.com/pt-br
Get the free mobile app for your phone
http:/ / gettag.mobi
http://msdn.microsoft.com/pt-br
37. Não esqueça de
preencher sua avaliação
online
www.teched.com.br/avaliacao
Get the free mobile app for your phone
http:/ / gettag.mobi
RID = 50% do pool (Início com 500 e com máximo de 750)
RID = 50% do pool (Início com 500 e com máximo de 750)
Getsid -
Copy Past de SID – newsid – not support – Verificar se é suportadosuautilizaçãoSCCM – Na coletaClonar, trocar nome, colocar no domínio e rodar o SYSPREP no domínio = Validarparaver se ocorreproblemanasduasmáquinasHow to check duplicate SID on AD = Procurar a ferramenta (tools)Na resposta, colocarosimpactos de esperiência de usuário
Na resposta, colocarosimpactos de esperiência de usuárioVerificar outros problemas de SID do domínioduplicadohttp://support.microsoft.com/kb/816099/t
Na resposta, colocarosimpactos de experiência de usuário
API quesysprep utilize – Verificar de Deploy emlargaescalaVerificartecnologiaem 2000, 2003 e estaçõesComprarprodutospara deploys de máquinas, verificar se o produtosuporta a API da MS para SIDsReferenciarprodutos – Sysprepparapequenaescala e largaescala ?
Rodaroscomandos no PowerShell e nalinha de comando.Repadmin /showobjmeta <servidor> <DN do objeto>
Invocation ID do database = Todo database
Na volta do USN o objetoperdeu reference do Highest Know USNRepadmin /options2003 SPColocar a quebraManutenção = mirror (quebra, faz, e volta) / snapshotHighest = 10000newID version =1
- Como o AD faz a deletados, o atributoisdeletedficaigual true, cada DC faz a rodazem a cada 12 do garbage collection. Fisicamente é deletado no período de Tombstone (2000= 60, 2003 e 2008=160).1- DC for a (Replicação, link) e os outros estãoreplicadonormalmentefazendo as deleções e jogando no tombstone. Qdovoltaelefaz o update do objeto. Com +strict habilitado o lingering nãoseráreplicado. Tirar da rede no caso de schema mistachDoisestados – Existência de objetos e a propagação de objetosDefault Domain Policy – Verificar o parâmetro