SlideShare a Scribd company logo

TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers

Download as PPTX, PDF
G
GBanin

Este documento discute conceitos importantes sobre replicação do Active Directory, como USNs, replicação de objetos e alterações, e situações como USN rollback e objetos lingering. Ele também aborda sincronização de tempo em ambientes virtualizados.

Technology
1 of 38
Impactos em Clonar e Virtualizar Controladores de Domínio Nível Técnico : 400 Gilson Banin Antonio Felicio Premier Field Engineer Microsoft Services Brasil
Premier Field Engineering Serviços Proativos Situações Serviços Críticas Reativos Health Workshop Checks & RAPs Plus
Agenda  Conceitos de Objetos  Explicação sobre SID  Replicação do Active Directory  Atribuição do USN no objeto  USN Rollback  Lingering  Time Sync
Conceitos de Objetos Identificação de Computadores
O que é SID ?  É a principal identificação de segurança de um objeto.  Quais exemplos de SID ?  Usuário  Computador  Grupos
Como é composto ? S-1-5-21-2000478354-492864223-854245397 -19221 1. Um prefixo SID  1 é a revisão + identifier authority = 5 2. Account-authority (SID do domínio)  Objetos criados no mesmo domínio compartilham o mesmo prefixo de autoridade 3. Um número inteiro que identifica a identidade relativa única do account-authority  Conhecido como relative identifier (RID)  um espaço de endereço de 32-bits (~1 bilhão de RIDs)
Atribuição SID  SIDs de Máquina  Como ele é atribuído ? ver [MS-SAMR]  Quantos SID um computador member server possue?  SID de Domínio  De onde eles vem?  Uso SID  Autorização (SID Principal e Secundário)
Cenários Reais Experiências de campo
Cenário 01 M1 M1 é iniciada como membro de domínio M2 é criada como CLONE de M1 (cópia do VHD) • Podem coexistir?
Cenário 2 M1 M1 é instalada e promovida como primeiro DC de dom1.lab M2 M2 é instalada como uma nova máquina M3 M3 foi criada como CLONE de M2 M2 é promovida como DC em dom1.lab dom1.lab M3 M3 é adicionada como membro de domínio matido por M1 e M2 • O que acontece ?
Cenário 3 M1 & M2 promovida como primeiro DCs 1. Crie M1 em florestas diferentes 2. Clone M1 para M2 3. M1 e M2 serão DCs em em diferentes M1 é clonada  Florestas e Domínios M2 Trust? 4. Será criado uma relação de confiança Computer: M1 Computer: M2 SID: S-10 SID: S-10 entre as Florestas! Forest1.com Forest2.com SID: S-10 SID: S-10 O que acontece ?
Cenário 4 2k8r2.VHD Windows 7) PEACHAdministrator efetua “logon” em um computador Server 1) Um template membro do domínio PEACH e tenta acessar o caminho: 4) Outra cópia é feita VHD com W2K8 R2 do template VHD em é usado para luigi.princess.peach.comGameboy seguida renomeado instalar novos para LUIGI e incluído O servidores que acontece? E porquê ? como membro do 2) VM Template é clonada, renomeada e domínio PRINCESS promovida como DC para o domínio pai PEACH (peach.com) 6) PEACHAdministrator é adicionado como membro do grupo CHILDSuperMarioBros 5) CHILDSuperMarioBros é concedido permissão de LEITURA e GRAVAÇÃO no compartilhamento 3) Um domínio filho Gameboy do servidor de chamado PRINCESS arquivos LUIGI é promovido como domínio filho usando uma instalação limpa na filial
SID Demo...
Replicação do Active Directory Replicação em Alta Profundidade
Update Sequence Numbers (USN)  O que é USN?  64 Bits tipo QWORD  Cada Controlador de Domínio gerencia os seus USNs  Quando o USN é associado ?  Objeto é criado, modificado ou movido  Valor no atributo  Cada atributo alterado no objeto recebe o próximo USN do DC disponível Highest Commited USN do DC + 1  Independente da hora do sistema
High Watermark Vector Table DC1 • DC4 High-Watermark Vector • DS1 e DS3 são parceiros USN: 4711 de replicação de DS4 DC2 DC4 USN: 2052 USN: 3388 DC3 USN: 1217 DC GUID Highest known USN DC1 GUID 4711 DC3 GUID 1217
Up-To-Dateness (UTD) Vector Table DC1 USN: 4711 • DC4 Up-to-dateness Vector • partition DC2 DC4 USN: 2052 USN: 3388 Invocation Highest Replication ID originating USN timestamp DC3 DC1 GUID 4711 12:02.31 DC2 GUID 2052 12:02.29 USN: 1217 DC3 GUID 1217 12:02.36
Informações utilizadas na replicação  No SOURCE DC: O Highest Commited USN é o maior USN utilizado neste DC  No DESTINATION DC: O High Watermark Table é uma tabela que contém o último USN conhecido (Highest Known USN) para todos os meus parceiros de replicação  O Up-to-dateness vector (UTDVEC) evita que eu replique coisas que já recebi de outro DC. High Watermark Table (DC2) SourceDC Highest Known USN DC1 GUID 4710 DC3 GUID 8769 DC4 GUID 987
Criação de um objeto Novo usuário no DC1 DC1 Highest Commited USN: 4710 -> 4711 Gilson Banin Object uSNCreated: 4711 Object uSNChanged: 4711 Object Metadata (DC1) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword Pa$$word 4711 1 8/1/2009 10:40 <DC1 GUID> 4711 sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
A Replicação do objeto de: DC1, para DC2 DC1 DC2 Highest Commited USN: 4710 -> 4711 Highest Known USN DC1: 4710 Highest Commited USN: 1745 -> 1746 Object uSNCreated: 1746 Object uSNChanged: 1746 Object Metadata (DC2) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword Pa$$word 1746 1 8/1/2009 10:40 <DC1 GUID> 4711 sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
Alterando um objeto Trocando de senha no DC2 DC2 Gilson Banin Highest Commited USN: 2452 -> 2453 Object uSNCreated: 1746 Object uSNChanged:1746 -> 2453 Object Metadata (DC2) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword TechEd@2011 Pa$$word 1746 2453 1 2 9/1/2009 10:40 8/1/2009 <DC1 <DC2 GUID> 4711 2453 sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
A Replicação de uma alteração Objeto com a nova senha! DC1 DC2 Highest Known USN DC2: 2452 Highest Commited USN: 2452 -> 2453 Highest Commited USN:5039 -> 5040 Object uSNCreated: 4711 Object uSNChanged: 4711 -> 5040 Object Metadata (DC1) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword TechEd@2011 Pa$$word 5040 4711 2 1 9/1/2009 11:40 8/1/2009 10:40 <DC2 <DC1 GUID> 2453 4711 sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
Alterações simultâneas  O que acontece ? 1. versionID com maior valor  Mesmo valor no versioID ? 2. Data e horário de maior valor  Mesma data e horário? 3. DC com o GUID de menor valor DC1 = 1134566890 DC2 = 2334341234
USNs e Replicação Demo...
USN rollback  O que é USN rollback?  Corresponde a uma situação onde um USN que tinha sido previamente alocado/usado é reutilizado  Um fenômeno tão forte e não esperado quebra a suposição feita no nosso algoritmo de replicação  Como é detectado:  DC2’s UTD vector indica que ela foi replicada de todas atualizações provenientes de DC1 até USN X1  Da próxima vez que DC2 puxa as atualizações a partir de DC1, DC1 “acha” que o seu maior USN é o originado X2<X1.  DC1 percebe que já havia enviado atualizações com o maior número USN do que o que está usando atualmente, ele se coloca em quarentena  Evento 2095 surge alegando o problema
USN rollback USN rollback detected
USN bubbles … how a USN rollback can turn really bad USN rollback detected USN rollback NOT detected!
USN Rollback Demo...
Objetos “Lingering”  Um objeto em DC1 é “lingering” se:  Ele não está presente no DC2 no mesmo Name Context (NC)  Objetos renascem (resurgem) quando um DC ficou mais tempo parado ( sem replicar ) do que o tempo de “Tombstone life time”  Identificados pelos eventos 1388, 1988  A opção de stric replication impede que objetos em lingering seja replicado para outros DCs do domínio.  Strict Replication Consistency  Desabilitado no 2003  Habilitado no 2008 / R2
Sincronização de Horário  Windows Time Service tem um algoritmo bem definido de sincronização (Domain Hierarchy)  Deixe ele fazer isso para você  Nós estamos sugerindo você desabilitar totalmente o Virtual Machine Integration Services ? Não, absolutamente não  Virtual Machine Integration Services ainda é necessário  enquanto a VM está reiniciando ou em outras operações como Pause/Resume são importantes  Ao invés disso, desabilite o VMIC timesync provider dentro da máquina virtual  HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProviders  VALUE: [REG_DWORD] VMICTimeProvider: 0  (NOTA: é zero)
Time Sync Demo...
Perguntas ?
Conteúdo Relacionado http://blogs.technet.com/gbanin Technet - technet.microsoft.com/pt-br/ms376608 Time Sync http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/tim e-synchronization-in-hyper-v.aspx USN - http://support.microsoft.com/kb/875495 Lingering - http://technet.microsoft.com/en-us/library/cc738018(WS.10).aspx
Palestras Relacionadas SRV303 – Gerenciando Recursos com o Windows System Resource Manager SRV306 – A nova geração de Virtualização do Windows Server SRV305 – Consolidação de Armazenamento com Windows Server 2008 R2 e SMB2 SRV201 – Plataforma Windows Server para pequenas e médias empresas
Get the free mobile app for your phone http:/ / gettag.mobi http://technet.microsoft.com/pt-br Get the free mobile app for your phone http:/ / gettag.mobi http://msdn.microsoft.com/pt-br
Não esqueça de preencher sua avaliação online www.teched.com.br/avaliacao Get the free mobile app for your phone http:/ / gettag.mobi
© 2011 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Recommended

ARIEL HOROWITZ Y SANTIAGO WANSCHELBAUM
ARIEL HOROWITZ Y SANTIAGO WANSCHELBAUM ARIEL HOROWITZ Y SANTIAGO WANSCHELBAUM
ARIEL HOROWITZ Y SANTIAGO WANSCHELBAUM Karina Aizman
 
Sistemul internaţional de protecţie a drepturilor omului
Sistemul internaţional de protecţie a drepturilor omuluiSistemul internaţional de protecţie a drepturilor omului
Sistemul internaţional de protecţie a drepturilor omuluiClaudiu Dăscălescu
 
Keikubo fluxflex meetup_in_tokyo_1006
Keikubo fluxflex meetup_in_tokyo_1006Keikubo fluxflex meetup_in_tokyo_1006
Keikubo fluxflex meetup_in_tokyo_1006keikubo
 
Anneolmak
AnneolmakAnneolmak
Anneolmakjolanta111
 
10 años de MALBA para Buenos Aires - mapa de las artes
10 años de MALBA para Buenos Aires - mapa de las artes10 años de MALBA para Buenos Aires - mapa de las artes
10 años de MALBA para Buenos Aires - mapa de las artesmapadelasartes
 
CDI Lan
CDI LanCDI Lan
CDI LanBate Papo com Lan Houses
 
DvornikiUA, RaybanUA presentation for iCamp Lviv 2011 Oct.08
DvornikiUA, RaybanUA presentation for iCamp Lviv 2011 Oct.08 DvornikiUA, RaybanUA presentation for iCamp Lviv 2011 Oct.08
DvornikiUA, RaybanUA presentation for iCamp Lviv 2011 Oct.08 Dvorniki UA
 
認識你真好Mm
認識你真好Mm認識你真好Mm
認識你真好Mm300tolc
 

Recommended

ARIEL HOROWITZ Y SANTIAGO WANSCHELBAUM
ARIEL HOROWITZ Y SANTIAGO WANSCHELBAUM ARIEL HOROWITZ Y SANTIAGO WANSCHELBAUM
ARIEL HOROWITZ Y SANTIAGO WANSCHELBAUM Karina Aizman
 
Sistemul internaţional de protecţie a drepturilor omului
Sistemul internaţional de protecţie a drepturilor omuluiSistemul internaţional de protecţie a drepturilor omului
Sistemul internaţional de protecţie a drepturilor omuluiClaudiu Dăscălescu
 
Keikubo fluxflex meetup_in_tokyo_1006
Keikubo fluxflex meetup_in_tokyo_1006Keikubo fluxflex meetup_in_tokyo_1006
Keikubo fluxflex meetup_in_tokyo_1006keikubo
 
Anneolmak
AnneolmakAnneolmak
Anneolmakjolanta111
 
10 años de MALBA para Buenos Aires - mapa de las artes
10 años de MALBA para Buenos Aires - mapa de las artes10 años de MALBA para Buenos Aires - mapa de las artes
10 años de MALBA para Buenos Aires - mapa de las artesmapadelasartes
 
CDI Lan
CDI LanCDI Lan
CDI LanBate Papo com Lan Houses
 
DvornikiUA, RaybanUA presentation for iCamp Lviv 2011 Oct.08
DvornikiUA, RaybanUA presentation for iCamp Lviv 2011 Oct.08 DvornikiUA, RaybanUA presentation for iCamp Lviv 2011 Oct.08
DvornikiUA, RaybanUA presentation for iCamp Lviv 2011 Oct.08 Dvorniki UA
 
認識你真好Mm
認識你真好Mm認識你真好Mm
認識你真好Mm300tolc
 
Sujeto pasivo. presentacion1
Sujeto pasivo. presentacion1Sujeto pasivo. presentacion1
Sujeto pasivo. presentacion1joseemilio2304
 
Baìigiang bài 17 lôùp 10
Baìigiang bài 17 lôùp 10Baìigiang bài 17 lôùp 10
Baìigiang bài 17 lôùp 10nhom05vb2
 
I biz 2011 네이버 뮤직
I biz 2011 네이버 뮤직I biz 2011 네이버 뮤직
I biz 2011 네이버 뮤직meta09
 
Valores humanos vivis
Valores humanos vivisValores humanos vivis
Valores humanos vivisvivianatl
 
Informe equipos
Informe equiposInforme equipos
Informe equipos76961237
 
2015 aha-guidelines-highlights-portuguese
2015 aha-guidelines-highlights-portuguese2015 aha-guidelines-highlights-portuguese
2015 aha-guidelines-highlights-portugueseSchirley Cristina
 
Resumen Tema 2 (1ªparte)- nivel 2
Resumen Tema 2 (1ªparte)- nivel 2Resumen Tema 2 (1ªparte)- nivel 2
Resumen Tema 2 (1ªparte)- nivel 2joaquin calzado
 
Virtual v -po-pravu
Virtual v -po-pravuVirtual v -po-pravu
Virtual v -po-pravunatalija106
 
materials del laboratori
materials del laboratorimaterials del laboratori
materials del laboratoriAnita1997
 
Europapress 72% de las empresas necesita una segunda reestructuración
Europapress 72% de las empresas necesita una segunda reestructuraciónEuropapress 72% de las empresas necesita una segunda reestructuración
Europapress 72% de las empresas necesita una segunda reestructuraciónImproven
 
Lllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
LllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzLllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
Lllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzginna paola
 
Piojos
PiojosPiojos
Piojoskindera
 
Reunião de pais em 2012 - EM
Reunião de pais em 2012 - EMReunião de pais em 2012 - EM
Reunião de pais em 2012 - EMteresavalse
 
Curso en 37 imagenes - Resumen
Curso en 37 imagenes - ResumenCurso en 37 imagenes - Resumen
Curso en 37 imagenes - ResumenCentro de Dia Virgen de las Maravillas - CEHS
 
คำอธิบายรายวิชา ว 40223
คำอธิบายรายวิชา ว 40223คำอธิบายรายวิชา ว 40223
คำอธิบายรายวิชา ว 40223jirat266
 
Comunicação e Liderança
Comunicação e LiderançaComunicação e Liderança
Comunicação e LiderançaErica Rocha Lima
 
Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...
Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...
Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...muslimdocuments
 
Kant o iluminismo_1784
Kant o iluminismo_1784Kant o iluminismo_1784
Kant o iluminismo_1784Francilis Enes
 
Apresentação uol belém
Apresentação uol belémApresentação uol belém
Apresentação uol belémBate Papo com Lan Houses
 
Windows server 2012 active directory e server manager fabio hara
Windows server 2012 active directory e server manager fabio haraWindows server 2012 active directory e server manager fabio hara
Windows server 2012 active directory e server manager fabio haraFabio Hara
 
DirectX11: Fundamentos
DirectX11: FundamentosDirectX11: Fundamentos
DirectX11: FundamentosAlexandre Castro
 
Fora Hackers! Proteção em camadas do SQL Server
Fora Hackers! Proteção em camadas do SQL ServerFora Hackers! Proteção em camadas do SQL Server
Fora Hackers! Proteção em camadas do SQL ServerFabrício Catae
 

More Related Content

Viewers also liked

Sujeto pasivo. presentacion1
Sujeto pasivo. presentacion1Sujeto pasivo. presentacion1
Sujeto pasivo. presentacion1joseemilio2304
 
Baìigiang bài 17 lôùp 10
Baìigiang bài 17 lôùp 10Baìigiang bài 17 lôùp 10
Baìigiang bài 17 lôùp 10nhom05vb2
 
I biz 2011 네이버 뮤직
I biz 2011 네이버 뮤직I biz 2011 네이버 뮤직
I biz 2011 네이버 뮤직meta09
 
Valores humanos vivis
Valores humanos vivisValores humanos vivis
Valores humanos vivisvivianatl
 
Informe equipos
Informe equiposInforme equipos
Informe equipos76961237
 
2015 aha-guidelines-highlights-portuguese
2015 aha-guidelines-highlights-portuguese2015 aha-guidelines-highlights-portuguese
2015 aha-guidelines-highlights-portugueseSchirley Cristina
 
Resumen Tema 2 (1ªparte)- nivel 2
Resumen Tema 2 (1ªparte)- nivel 2Resumen Tema 2 (1ªparte)- nivel 2
Resumen Tema 2 (1ªparte)- nivel 2joaquin calzado
 
Virtual v -po-pravu
Virtual v -po-pravuVirtual v -po-pravu
Virtual v -po-pravunatalija106
 
materials del laboratori
materials del laboratorimaterials del laboratori
materials del laboratoriAnita1997
 
Europapress 72% de las empresas necesita una segunda reestructuración
Europapress 72% de las empresas necesita una segunda reestructuraciónEuropapress 72% de las empresas necesita una segunda reestructuración
Europapress 72% de las empresas necesita una segunda reestructuraciónImproven
 
Lllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
LllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzLllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
Lllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzginna paola
 
Reunião de pais em 2012 - EM
Reunião de pais em 2012 - EMReunião de pais em 2012 - EM
Reunião de pais em 2012 - EMteresavalse
 
คำอธิบายรายวิชา ว 40223
คำอธิบายรายวิชา ว 40223คำอธิบายรายวิชา ว 40223
คำอธิบายรายวิชา ว 40223jirat266
 
Comunicação e Liderança
Comunicação e LiderançaComunicação e Liderança
Comunicação e LiderançaErica Rocha Lima
 
Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...
Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...
Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...muslimdocuments
 
Kant o iluminismo_1784
Kant o iluminismo_1784Kant o iluminismo_1784
Kant o iluminismo_1784Francilis Enes
 

Viewers also liked (19)

Sujeto pasivo. presentacion1
Sujeto pasivo. presentacion1Sujeto pasivo. presentacion1
Sujeto pasivo. presentacion1
 
Baìigiang bài 17 lôùp 10
Baìigiang bài 17 lôùp 10Baìigiang bài 17 lôùp 10
Baìigiang bài 17 lôùp 10
 
I biz 2011 네이버 뮤직
I biz 2011 네이버 뮤직I biz 2011 네이버 뮤직
I biz 2011 네이버 뮤직
 
Valores humanos vivis
Valores humanos vivisValores humanos vivis
Valores humanos vivis
 
Informe equipos
Informe equiposInforme equipos
Informe equipos
 
2015 aha-guidelines-highlights-portuguese
2015 aha-guidelines-highlights-portuguese2015 aha-guidelines-highlights-portuguese
2015 aha-guidelines-highlights-portuguese
 
Resumen Tema 2 (1ªparte)- nivel 2
Resumen Tema 2 (1ªparte)- nivel 2Resumen Tema 2 (1ªparte)- nivel 2
Resumen Tema 2 (1ªparte)- nivel 2
 
Virtual v -po-pravu
Virtual v -po-pravuVirtual v -po-pravu
Virtual v -po-pravu
 
materials del laboratori
materials del laboratorimaterials del laboratori
materials del laboratori
 
Europapress 72% de las empresas necesita una segunda reestructuración
Europapress 72% de las empresas necesita una segunda reestructuraciónEuropapress 72% de las empresas necesita una segunda reestructuración
Europapress 72% de las empresas necesita una segunda reestructuración
 
Lllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
LllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzLllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
Lllllllllllllllllllllllllllllllzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
 
Piojos
PiojosPiojos
Piojos
 
Reunião de pais em 2012 - EM
Reunião de pais em 2012 - EMReunião de pais em 2012 - EM
Reunião de pais em 2012 - EM
 
Curso en 37 imagenes - Resumen
Curso en 37 imagenes - ResumenCurso en 37 imagenes - Resumen
Curso en 37 imagenes - Resumen
 
คำอธิบายรายวิชา ว 40223
คำอธิบายรายวิชา ว 40223คำอธิบายรายวิชา ว 40223
คำอธิบายรายวิชา ว 40223
 
Comunicação e Liderança
Comunicação e LiderançaComunicação e Liderança
Comunicação e Liderança
 
Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...
Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...
Buletin jumat al furqon tahun 05 volume 07 nomor 02 menyelami kandungan ayat ...
 
Kant o iluminismo_1784
Kant o iluminismo_1784Kant o iluminismo_1784
Kant o iluminismo_1784
 
Apresentação uol belém
Apresentação uol belémApresentação uol belém
Apresentação uol belém
 

Similar to TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers

Windows server 2012 active directory e server manager fabio hara
Windows server 2012 active directory e server manager fabio haraWindows server 2012 active directory e server manager fabio hara
Windows server 2012 active directory e server manager fabio haraFabio Hara
 
Fora Hackers! Proteção em camadas do SQL Server
Fora Hackers! Proteção em camadas do SQL ServerFora Hackers! Proteção em camadas do SQL Server
Fora Hackers! Proteção em camadas do SQL ServerFabrício Catae
 
Ciclo de Palestras Infnet 2014 - Migrando o dc para Windows Server 2012 R2
Ciclo de Palestras Infnet 2014 - Migrando o dc para Windows Server 2012 R2Ciclo de Palestras Infnet 2014 - Migrando o dc para Windows Server 2012 R2
Ciclo de Palestras Infnet 2014 - Migrando o dc para Windows Server 2012 R2Invent IT Solutions
 
INT302 - VDI com Linux
INT302 - VDI com LinuxINT302 - VDI com Linux
INT302 - VDI com Linuxmestresemhd
 
XDR - eXternal Data Representation
XDR - eXternal Data RepresentationXDR - eXternal Data Representation
XDR - eXternal Data RepresentationKleber Santos
 
Cluster de Alta disponibilidade
Cluster de Alta disponibilidadeCluster de Alta disponibilidade
Cluster de Alta disponibilidadeMarcelo Garcia
 

Similar to TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers (9)

Windows server 2012 active directory e server manager fabio hara
Windows server 2012 active directory e server manager fabio haraWindows server 2012 active directory e server manager fabio hara
Windows server 2012 active directory e server manager fabio hara
 
DirectX11: Fundamentos
DirectX11: FundamentosDirectX11: Fundamentos
DirectX11: Fundamentos
 
Fora Hackers! Proteção em camadas do SQL Server
Fora Hackers! Proteção em camadas do SQL ServerFora Hackers! Proteção em camadas do SQL Server
Fora Hackers! Proteção em camadas do SQL Server
 
What's New On Azure IaaS
What's New On Azure IaaSWhat's New On Azure IaaS
What's New On Azure IaaS
 
Ciclo de Palestras Infnet 2014 - Migrando o dc para Windows Server 2012 R2
Ciclo de Palestras Infnet 2014 - Migrando o dc para Windows Server 2012 R2Ciclo de Palestras Infnet 2014 - Migrando o dc para Windows Server 2012 R2
Ciclo de Palestras Infnet 2014 - Migrando o dc para Windows Server 2012 R2
 
INT302 - VDI com Linux
INT302 - VDI com LinuxINT302 - VDI com Linux
INT302 - VDI com Linux
 
XDR - eXternal Data Representation
XDR - eXternal Data RepresentationXDR - eXternal Data Representation
XDR - eXternal Data Representation
 
Cluster de Alta disponibilidade
Cluster de Alta disponibilidadeCluster de Alta disponibilidade
Cluster de Alta disponibilidade
 
Criando sua própria nuvem com Raspberry Pi
Criando sua própria nuvem com Raspberry PiCriando sua própria nuvem com Raspberry Pi
Criando sua própria nuvem com Raspberry Pi
 

TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers

  • 1. Impactos em Clonar e Virtualizar Controladores de Domínio Nível Técnico : 400 Gilson Banin Antonio Felicio Premier Field Engineer Microsoft Services Brasil
  • 2.
  • 3. Premier Field Engineering Serviços Proativos Situações Serviços Críticas Reativos Health Workshop Checks & RAPs Plus
  • 4. Agenda  Conceitos de Objetos  Explicação sobre SID  Replicação do Active Directory  Atribuição do USN no objeto  USN Rollback  Lingering  Time Sync
  • 6. O que é SID ?  É a principal identificação de segurança de um objeto.  Quais exemplos de SID ?  Usuário  Computador  Grupos
  • 7. Como é composto ? S-1-5-21-2000478354-492864223-854245397 -19221 1. Um prefixo SID  1 é a revisão + identifier authority = 5 2. Account-authority (SID do domínio)  Objetos criados no mesmo domínio compartilham o mesmo prefixo de autoridade 3. Um número inteiro que identifica a identidade relativa única do account-authority  Conhecido como relative identifier (RID)  um espaço de endereço de 32-bits (~1 bilhão de RIDs)
  • 8. Atribuição SID  SIDs de Máquina  Como ele é atribuído ? ver [MS-SAMR]  Quantos SID um computador member server possue?  SID de Domínio  De onde eles vem?  Uso SID  Autorização (SID Principal e Secundário)
  • 10. Cenário 01 M1 M1 é iniciada como membro de domínio M2 é criada como CLONE de M1 (cópia do VHD) • Podem coexistir?
  • 11. Cenário 2 M1 M1 é instalada e promovida como primeiro DC de dom1.lab M2 M2 é instalada como uma nova máquina M3 M3 foi criada como CLONE de M2 M2 é promovida como DC em dom1.lab dom1.lab M3 M3 é adicionada como membro de domínio matido por M1 e M2 • O que acontece ?
  • 12. Cenário 3 M1 & M2 promovida como primeiro DCs 1. Crie M1 em florestas diferentes 2. Clone M1 para M2 3. M1 e M2 serão DCs em em diferentes M1 é clonada  Florestas e Domínios M2 Trust? 4. Será criado uma relação de confiança Computer: M1 Computer: M2 SID: S-10 SID: S-10 entre as Florestas! Forest1.com Forest2.com SID: S-10 SID: S-10 O que acontece ?
  • 13. Cenário 4 2k8r2.VHD Windows 7) PEACHAdministrator efetua “logon” em um computador Server 1) Um template membro do domínio PEACH e tenta acessar o caminho: 4) Outra cópia é feita VHD com W2K8 R2 do template VHD em é usado para luigi.princess.peach.comGameboy seguida renomeado instalar novos para LUIGI e incluído O servidores que acontece? E porquê ? como membro do 2) VM Template é clonada, renomeada e domínio PRINCESS promovida como DC para o domínio pai PEACH (peach.com) 6) PEACHAdministrator é adicionado como membro do grupo CHILDSuperMarioBros 5) CHILDSuperMarioBros é concedido permissão de LEITURA e GRAVAÇÃO no compartilhamento 3) Um domínio filho Gameboy do servidor de chamado PRINCESS arquivos LUIGI é promovido como domínio filho usando uma instalação limpa na filial
  • 16. Update Sequence Numbers (USN)  O que é USN?  64 Bits tipo QWORD  Cada Controlador de Domínio gerencia os seus USNs  Quando o USN é associado ?  Objeto é criado, modificado ou movido  Valor no atributo  Cada atributo alterado no objeto recebe o próximo USN do DC disponível Highest Commited USN do DC + 1  Independente da hora do sistema
  • 17. High Watermark Vector Table DC1 • DC4 High-Watermark Vector • DS1 e DS3 são parceiros USN: 4711 de replicação de DS4 DC2 DC4 USN: 2052 USN: 3388 DC3 USN: 1217 DC GUID Highest known USN DC1 GUID 4711 DC3 GUID 1217
  • 18. Up-To-Dateness (UTD) Vector Table DC1 USN: 4711 • DC4 Up-to-dateness Vector • partition DC2 DC4 USN: 2052 USN: 3388 Invocation Highest Replication ID originating USN timestamp DC3 DC1 GUID 4711 12:02.31 DC2 GUID 2052 12:02.29 USN: 1217 DC3 GUID 1217 12:02.36
  • 19. Informações utilizadas na replicação  No SOURCE DC: O Highest Commited USN é o maior USN utilizado neste DC  No DESTINATION DC: O High Watermark Table é uma tabela que contém o último USN conhecido (Highest Known USN) para todos os meus parceiros de replicação  O Up-to-dateness vector (UTDVEC) evita que eu replique coisas que já recebi de outro DC. High Watermark Table (DC2) SourceDC Highest Known USN DC1 GUID 4710 DC3 GUID 8769 DC4 GUID 987
  • 20. Criação de um objeto Novo usuário no DC1 DC1 Highest Commited USN: 4710 -> 4711 Gilson Banin Object uSNCreated: 4711 Object uSNChanged: 4711 Object Metadata (DC1) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword Pa$$word 4711 1 8/1/2009 10:40 <DC1 GUID> 4711 sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
  • 21. A Replicação do objeto de: DC1, para DC2 DC1 DC2 Highest Commited USN: 4710 -> 4711 Highest Known USN DC1: 4710 Highest Commited USN: 1745 -> 1746 Object uSNCreated: 1746 Object uSNChanged: 1746 Object Metadata (DC2) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword Pa$$word 1746 1 8/1/2009 10:40 <DC1 GUID> 4711 sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
  • 22. Alterando um objeto Trocando de senha no DC2 DC2 Gilson Banin Highest Commited USN: 2452 -> 2453 Object uSNCreated: 1746 Object uSNChanged:1746 -> 2453 Object Metadata (DC2) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword TechEd@2011 Pa$$word 1746 2453 1 2 9/1/2009 10:40 8/1/2009 <DC1 <DC2 GUID> 4711 2453 sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
  • 23. A Replicação de uma alteração Objeto com a nova senha! DC1 DC2 Highest Known USN DC2: 2452 Highest Commited USN: 2452 -> 2453 Highest Commited USN:5039 -> 5040 Object uSNCreated: 4711 Object uSNChanged: 4711 -> 5040 Object Metadata (DC1) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword TechEd@2011 Pa$$word 5040 4711 2 1 9/1/2009 11:40 8/1/2009 10:40 <DC2 <DC1 GUID> 2453 4711 sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
  • 24. Alterações simultâneas  O que acontece ? 1. versionID com maior valor  Mesmo valor no versioID ? 2. Data e horário de maior valor  Mesma data e horário? 3. DC com o GUID de menor valor DC1 = 1134566890 DC2 = 2334341234
  • 26. USN rollback  O que é USN rollback?  Corresponde a uma situação onde um USN que tinha sido previamente alocado/usado é reutilizado  Um fenômeno tão forte e não esperado quebra a suposição feita no nosso algoritmo de replicação  Como é detectado:  DC2’s UTD vector indica que ela foi replicada de todas atualizações provenientes de DC1 até USN X1  Da próxima vez que DC2 puxa as atualizações a partir de DC1, DC1 “acha” que o seu maior USN é o originado X2<X1.  DC1 percebe que já havia enviado atualizações com o maior número USN do que o que está usando atualmente, ele se coloca em quarentena  Evento 2095 surge alegando o problema
  • 27. USN rollback USN rollback detected
  • 28. USN bubbles … how a USN rollback can turn really bad USN rollback detected USN rollback NOT detected!
  • 30. Objetos “Lingering”  Um objeto em DC1 é “lingering” se:  Ele não está presente no DC2 no mesmo Name Context (NC)  Objetos renascem (resurgem) quando um DC ficou mais tempo parado ( sem replicar ) do que o tempo de “Tombstone life time”  Identificados pelos eventos 1388, 1988  A opção de stric replication impede que objetos em lingering seja replicado para outros DCs do domínio.  Strict Replication Consistency  Desabilitado no 2003  Habilitado no 2008 / R2
  • 31. Sincronização de Horário  Windows Time Service tem um algoritmo bem definido de sincronização (Domain Hierarchy)  Deixe ele fazer isso para você  Nós estamos sugerindo você desabilitar totalmente o Virtual Machine Integration Services ? Não, absolutamente não  Virtual Machine Integration Services ainda é necessário  enquanto a VM está reiniciando ou em outras operações como Pause/Resume são importantes  Ao invés disso, desabilite o VMIC timesync provider dentro da máquina virtual  HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProviders  VALUE: [REG_DWORD] VMICTimeProvider: 0  (NOTA: é zero)
  • 34. Conteúdo Relacionado http://blogs.technet.com/gbanin Technet - technet.microsoft.com/pt-br/ms376608 Time Sync http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/tim e-synchronization-in-hyper-v.aspx USN - http://support.microsoft.com/kb/875495 Lingering - http://technet.microsoft.com/en-us/library/cc738018(WS.10).aspx
  • 35. Palestras Relacionadas SRV303 – Gerenciando Recursos com o Windows System Resource Manager SRV306 – A nova geração de Virtualização do Windows Server SRV305 – Consolidação de Armazenamento com Windows Server 2008 R2 e SMB2 SRV201 – Plataforma Windows Server para pequenas e médias empresas
  • 36. Get the free mobile app for your phone http:/ / gettag.mobi http://technet.microsoft.com/pt-br Get the free mobile app for your phone http:/ / gettag.mobi http://msdn.microsoft.com/pt-br
  • 37. Não esqueça de preencher sua avaliação online www.teched.com.br/avaliacao Get the free mobile app for your phone http:/ / gettag.mobi
  • 38. © 2011 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Editor's Notes

  1. RID = 50% do pool (Início com 500 e com máximo de 750)
  2. RID = 50% do pool (Início com 500 e com máximo de 750)
  3. Getsid -
  4. Copy Past de SID – newsid – not support – Verificar se é suportadosuautilizaçãoSCCM – Na coletaClonar, trocar nome, colocar no domínio e rodar o SYSPREP no domínio = Validarparaver se ocorreproblemanasduasmáquinasHow to check duplicate SID on AD = Procurar a ferramenta (tools)Na resposta, colocarosimpactos de esperiência de usuário
  5. Na resposta, colocarosimpactos de esperiência de usuárioVerificar outros problemas de SID do domínioduplicadohttp://support.microsoft.com/kb/816099/t
  6. Na resposta, colocarosimpactos de experiência de usuário
  7. API quesysprep utilize – Verificar de Deploy emlargaescalaVerificartecnologiaem 2000, 2003 e estaçõesComprarprodutospara deploys de máquinas, verificar se o produtosuporta a API da MS para SIDsReferenciarprodutos – Sysprepparapequenaescala e largaescala ?
  8. Rodaroscomandos no PowerShell e nalinha de comando.Repadmin /showobjmeta &lt;servidor&gt; &lt;DN do objeto&gt;
  9. Invocation ID do database = Todo database
  10. Na volta do USN o objetoperdeu reference do Highest Know USNRepadmin /options2003 SPColocar a quebraManutenção = mirror (quebra, faz, e volta) / snapshotHighest = 10000newID version =1
  11. Event :Message 1Event Type: Error Event Source: NTDS Replication Event Category: Replication Event ID: 2095 Date: 3/10/2005 Time: 4:26:51 PM
  12. - Como o AD faz a deletados, o atributoisdeletedficaigual true, cada DC faz a rodazem a cada 12 do garbage collection. Fisicamente é deletado no período de Tombstone (2000= 60, 2003 e 2008=160).1- DC for a (Replicação, link) e os outros estãoreplicadonormalmentefazendo as deleções e jogando no tombstone. Qdovoltaelefaz o update do objeto. Com +strict habilitado o lingering nãoseráreplicado. Tirar da rede no caso de schema mistachDoisestados – Existência de objetos e a propagação de objetosDefault Domain Policy – Verificar o parâmetro