Impactos em Clonar e VirtualizarControladores de DomínioNível Técnico : 400Gilson BaninAntonio FelicioPremier Field Engine...
Premier Field Engineering                        Serviços                        Proativos      Situações                 ...
Agenda Conceitos de Objetos Explicação sobre SID Replicação do Active Directory Atribuição do USN no objeto USN Rollb...
Conceitos de ObjetosIdentificação de Computadores
O que é SID ? É a principal identificação de segurança de um objeto. Quais exemplos de SID ?    Usuário    Computador ...
Como é composto ?S-1-5-21-2000478354-492864223-854245397 -19221  1.   Um prefixo SID        1 é a revisão + identifier au...
Atribuição SID SIDs de Máquina   Como ele é atribuído ? ver [MS-SAMR]   Quantos SID um computador member server possue?...
Cenários ReaisExperiências de campo
Cenário 01  M1       M1 é iniciada como membro de domínio          M2 é criada como CLONE de M1                  (cópia do...
Cenário 2  M1             M1 é instalada e promovida como                primeiro DC de dom1.lab  M2           M2 é instal...
Cenário 3                          M1 & M2 promovida como primeiro DCs1. Crie M1                      em florestas diferen...
Cenário 4                                                       2k8r2.VHD                                                 ...
SIDDemo...
Replicação do ActiveDirectoryReplicação em Alta Profundidade
Update Sequence Numbers (USN) O que é USN?    64 Bits tipo QWORD    Cada Controlador de Domínio gerencia os seus USNs ...
High Watermark Vector Table                  DC1                • DC4 High-Watermark Vector                               ...
Up-To-Dateness (UTD) Vector Table                DC1                      USN: 4711                                  • DC4...
Informações utilizadas na replicação No SOURCE DC:   O Highest Commited USN é o maior USN utilizado   neste DC No DESTIN...
Criação de um objeto Novo usuário no DC1                                   DC1                                   Highest C...
A Replicação do objeto   de: DC1, para DC2                 DC1                                                      DC2Hig...
Alterando um objeto Trocando de senha no DC2                                              DC2Gilson Banin                 ...
A Replicação de uma alteração                                                                                  Objeto com ...
Alterações simultâneas O que acontece ?   1. versionID com maior valor Mesmo valor no versioID ?   2. Data e horário de ...
USNs e ReplicaçãoDemo...
USN rollback O que é USN rollback?   Corresponde a uma situação onde um USN que     tinha sido previamente alocado/usado...
USN rollback      USN rollback        detected
USN bubbles… how a USN rollback can turn really bad         USN rollback          detected                         USN rol...
USN RollbackDemo...
Objetos “Lingering” Um objeto em DC1 é “lingering” se:   Ele não está presente no DC2 no mesmo Name      Context (NC)  ...
Sincronização de Horário Windows Time Service tem um algoritmo bem    definido de sincronização (Domain Hierarchy)     D...
Time SyncDemo...
Perguntas ?
Conteúdo Relacionadohttp://blogs.technet.com/gbaninTechnet - technet.microsoft.com/pt-br/ms376608Time Synchttp://blogs.msd...
Palestras Relacionadas SRV303 – Gerenciando Recursos com o Windows System Resource Manager SRV306 – A nova geração de Virt...
Get the free mobile app for your phonehttp:/ / gettag.mobi                                         http://technet.microsof...
Não esqueça depreencher sua avaliação        onlinewww.teched.com.br/avaliacao              Get the free mobile app for yo...
© 2011 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be...
TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers
Próximos SlideShares
Carregando em…5
×

TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers

2.441 visualizações

Publicada em

Os clientes estão olhando mais para virtualizar seus ambientes : servidores de arquivos, servidores web, servidores de DNS, e até mesmo controladores de domínio. É claro que a virtualização oferece muitos benefícios na implantação, recuperação de desastres e redução de custos. No entanto, enquanto a virtualização oferece muitos recursos poderosos e simplifica muito as tarefas repetitivas, é uma tecnologia que deve ser manuseado com cuidado quando usado em conjunto com o Active Directory. Nesta sessão, vamos rever conceitos fundamentais dentro do Active Directory e o impacto da clonagem e virtualização dos controladores de domínio, os membros do domínio e Windows em geral. Discutimos também, as configurações recomendadas e como evitar problemas em primeiro lugar

Publicada em: Tecnologia
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.441
No SlideShare
0
A partir de incorporações
0
Número de incorporações
740
Ações
Compartilhamentos
0
Downloads
32
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • RID = 50% do pool (Início com 500 e com máximo de 750)
  • RID = 50% do pool (Início com 500 e com máximo de 750)
  • Getsid -
  • Copy Past de SID – newsid – not support – Verificar se é suportadosuautilizaçãoSCCM – Na coletaClonar, trocar nome, colocar no domínio e rodar o SYSPREP no domínio = Validarparaver se ocorreproblemanasduasmáquinasHow to check duplicate SID on AD = Procurar a ferramenta (tools)Na resposta, colocarosimpactos de esperiência de usuário
  • Na resposta, colocarosimpactos de esperiência de usuárioVerificar outros problemas de SID do domínioduplicadohttp://support.microsoft.com/kb/816099/t
  • Na resposta, colocarosimpactos de experiência de usuário
  • API quesysprep utilize – Verificar de Deploy emlargaescalaVerificartecnologiaem 2000, 2003 e estaçõesComprarprodutospara deploys de máquinas, verificar se o produtosuporta a API da MS para SIDsReferenciarprodutos – Sysprepparapequenaescala e largaescala ?
  • Rodaroscomandos no PowerShell e nalinha de comando.Repadmin /showobjmeta <servidor> <DN do objeto>
  • Invocation ID do database = Todo database
  • Na volta do USN o objetoperdeu reference do Highest Know USNRepadmin /options2003 SPColocar a quebraManutenção = mirror (quebra, faz, e volta) / snapshotHighest = 10000newID version =1
  • Event :Message 1Event Type: Error Event Source: NTDS Replication Event Category: Replication Event ID: 2095 Date: 3/10/2005 Time: 4:26:51 PM
  • - Como o AD faz a deletados, o atributoisdeletedficaigual true, cada DC faz a rodazem a cada 12 do garbage collection. Fisicamente é deletado no período de Tombstone (2000= 60, 2003 e 2008=160).1- DC for a (Replicação, link) e os outros estãoreplicadonormalmentefazendo as deleções e jogando no tombstone. Qdovoltaelefaz o update do objeto. Com +strict habilitado o lingering nãoseráreplicado. Tirar da rede no caso de schema mistachDoisestados – Existência de objetos e a propagação de objetosDefault Domain Policy – Verificar o parâmetro
  • TechED 2011 - Impactos em Clonar e Virtualizar Domain Controllers

    1. 1. Impactos em Clonar e VirtualizarControladores de DomínioNível Técnico : 400Gilson BaninAntonio FelicioPremier Field EngineerMicrosoft Services Brasil
    2. 2. Premier Field Engineering Serviços Proativos Situações Serviços Críticas Reativos Health Workshop Checks & RAPs Plus
    3. 3. Agenda Conceitos de Objetos Explicação sobre SID Replicação do Active Directory Atribuição do USN no objeto USN Rollback Lingering Time Sync
    4. 4. Conceitos de ObjetosIdentificação de Computadores
    5. 5. O que é SID ? É a principal identificação de segurança de um objeto. Quais exemplos de SID ?  Usuário  Computador  Grupos
    6. 6. Como é composto ?S-1-5-21-2000478354-492864223-854245397 -19221 1. Um prefixo SID  1 é a revisão + identifier authority = 5 2. Account-authority (SID do domínio)  Objetos criados no mesmo domínio compartilham o mesmo prefixo de autoridade 3. Um número inteiro que identifica a identidade relativa única do account-authority  Conhecido como relative identifier (RID)  um espaço de endereço de 32-bits (~1 bilhão de RIDs)
    7. 7. Atribuição SID SIDs de Máquina  Como ele é atribuído ? ver [MS-SAMR]  Quantos SID um computador member server possue? SID de Domínio  De onde eles vem? Uso SID  Autorização (SID Principal e Secundário)
    8. 8. Cenários ReaisExperiências de campo
    9. 9. Cenário 01 M1 M1 é iniciada como membro de domínio M2 é criada como CLONE de M1 (cópia do VHD) • Podem coexistir?
    10. 10. Cenário 2 M1 M1 é instalada e promovida como primeiro DC de dom1.lab M2 M2 é instalada como uma nova máquina M3 M3 foi criada como CLONE de M2 M2 é promovida como DC em dom1.labdom1.lab M3 M3 é adicionada como membro de domínio matido por M1 e M2 • O que acontece ?
    11. 11. Cenário 3 M1 & M2 promovida como primeiro DCs1. Crie M1 em florestas diferentes2. Clone M1 para M23. M1 e M2 serão DCs em em diferentes M1 é clonada  Florestas e Domínios M2 Trust?4. Será criado uma relação de confiança Computer: M1 Computer: M2 SID: S-10 SID: S-10 entre as Florestas! Forest1.com Forest2.com SID: S-10 SID: S-10 O que acontece ?
    12. 12. Cenário 4 2k8r2.VHD Windows 7) PEACHAdministrator efetua “logon” em um computador Server 1) Um template membro do domínio PEACH e tenta acessar o caminho: 4) Outra cópia é feita VHD com W2K8 R2 do template VHD em é usado para luigi.princess.peach.comGameboy seguida renomeado instalar novos para LUIGI e incluído O servidores que acontece? E porquê ? como membro do 2) VM Template é clonada, renomeada e domínio PRINCESS promovida como DC para o domínio pai PEACH (peach.com) 6) PEACHAdministrator é adicionado como membro do grupo CHILDSuperMarioBros 5) CHILDSuperMarioBros é concedido permissão de LEITURA e GRAVAÇÃO no compartilhamento 3) Um domínio filho Gameboy do servidor de chamado PRINCESS arquivos LUIGI é promovido como domínio filho usando uma instalação limpa na filial
    13. 13. SIDDemo...
    14. 14. Replicação do ActiveDirectoryReplicação em Alta Profundidade
    15. 15. Update Sequence Numbers (USN) O que é USN?  64 Bits tipo QWORD  Cada Controlador de Domínio gerencia os seus USNs Quando o USN é associado ?  Objeto é criado, modificado ou movido Valor no atributo  Cada atributo alterado no objeto recebe o próximo USN do DC disponível Highest Commited USN do DC + 1 Independente da hora do sistema
    16. 16. High Watermark Vector Table DC1 • DC4 High-Watermark Vector • DS1 e DS3 são parceiros USN: 4711 de replicação de DS4DC2 DC4 USN: 2052 USN: 3388 DC3 USN: 1217 DC GUID Highest known USN DC1 GUID 4711 DC3 GUID 1217
    17. 17. Up-To-Dateness (UTD) Vector Table DC1 USN: 4711 • DC4 Up-to-dateness Vector • partition DC2 DC4 USN: 2052 USN: 3388 Invocation Highest Replication ID originating USN timestamp DC3 DC1 GUID 4711 12:02.31 DC2 GUID 2052 12:02.29 USN: 1217 DC3 GUID 1217 12:02.36
    18. 18. Informações utilizadas na replicação No SOURCE DC: O Highest Commited USN é o maior USN utilizado neste DC No DESTINATION DC: O High Watermark Table é uma tabela que contém o último USN conhecido (Highest Known USN) para todos os meus parceiros de replicação O Up-to-dateness vector (UTDVEC) evita que eu replique coisas que já recebi de outro DC. High Watermark Table (DC2) SourceDC Highest Known USN DC1 GUID 4710 DC3 GUID 8769 DC4 GUID 987
    19. 19. Criação de um objeto Novo usuário no DC1 DC1 Highest Commited USN: 4710 -> 4711Gilson BaninObject uSNCreated: 4711Object uSNChanged: 4711 Object Metadata (DC1) Atributo Valor USN Local Versão Orig. Time DC Origem USN OrigemdisplayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711userPassword Pa$$word 4711 1 8/1/2009 10:40 <DC1 GUID> 4711sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
    20. 20. A Replicação do objeto de: DC1, para DC2 DC1 DC2Highest Commited USN: 4710 -> 4711 Highest Known USN DC1: 4710 Highest Commited USN: 1745 -> 1746 Object uSNCreated: 1746 Object uSNChanged: 1746 Object Metadata (DC2) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword Pa$$word 1746 1 8/1/2009 10:40 <DC1 GUID> 4711 sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
    21. 21. Alterando um objeto Trocando de senha no DC2 DC2Gilson Banin Highest Commited USN: 2452 -> 2453 Object uSNCreated: 1746 Object uSNChanged:1746 -> 2453 Object Metadata (DC2) Atributo Valor USN Local Versão Orig. Time DC Origem USN OrigemdisplayName Gilson Banin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711userPassword TechEd@2011 Pa$$word 1746 2453 1 2 9/1/2009 10:40 8/1/2009 <DC1 <DC2 GUID> 4711 2453sAMAccountName Gbanin 1746 1 8/1/2009 10:40 <DC1 GUID> 4711
    22. 22. A Replicação de uma alteração Objeto com a nova senha! DC1 DC2Highest Known USN DC2: 2452 Highest Commited USN: 2452 -> 2453Highest Commited USN:5039 -> 5040Object uSNCreated: 4711Object uSNChanged: 4711 -> 5040 Object Metadata (DC1) Atributo Valor USN Local Versão Orig. Time DC Origem USN Origem displayName Gilson Banin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711 userPassword TechEd@2011 Pa$$word 5040 4711 2 1 9/1/2009 11:40 8/1/2009 10:40 <DC2 <DC1 GUID> 2453 4711 sAMAccountName Gbanin 4711 1 8/1/2009 10:40 <DC1 GUID> 4711
    23. 23. Alterações simultâneas O que acontece ? 1. versionID com maior valor Mesmo valor no versioID ? 2. Data e horário de maior valor Mesma data e horário? 3. DC com o GUID de menor valor DC1 = 1134566890 DC2 = 2334341234
    24. 24. USNs e ReplicaçãoDemo...
    25. 25. USN rollback O que é USN rollback?  Corresponde a uma situação onde um USN que tinha sido previamente alocado/usado é reutilizado Um fenômeno tão forte e não esperado quebra a suposição feita no nosso algoritmo de replicação Como é detectado:  DC2’s UTD vector indica que ela foi replicada de todas atualizações provenientes de DC1 até USN X1  Da próxima vez que DC2 puxa as atualizações a partir de DC1, DC1 “acha” que o seu maior USN é o originado X2<X1.  DC1 percebe que já havia enviado atualizações com o maior número USN do que o que está usando atualmente, ele se coloca em quarentena  Evento 2095 surge alegando o problema
    26. 26. USN rollback USN rollback detected
    27. 27. USN bubbles… how a USN rollback can turn really bad USN rollback detected USN rollback NOT detected!
    28. 28. USN RollbackDemo...
    29. 29. Objetos “Lingering” Um objeto em DC1 é “lingering” se:  Ele não está presente no DC2 no mesmo Name Context (NC)  Objetos renascem (resurgem) quando um DC ficou mais tempo parado ( sem replicar ) do que o tempo de “Tombstone life time”  Identificados pelos eventos 1388, 1988  A opção de stric replication impede que objetos em lingering seja replicado para outros DCs do domínio. Strict Replication Consistency  Desabilitado no 2003  Habilitado no 2008 / R2
    30. 30. Sincronização de Horário Windows Time Service tem um algoritmo bem definido de sincronização (Domain Hierarchy)  Deixe ele fazer isso para você Nós estamos sugerindo você desabilitar totalmente o Virtual Machine Integration Services ? Não, absolutamente não  Virtual Machine Integration Services ainda é necessário  enquanto a VM está reiniciando ou em outras operações como Pause/Resume são importantes Ao invés disso, desabilite o VMIC timesync provider dentro da máquina virtual HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProviders  VALUE: [REG_DWORD] VMICTimeProvider: 0  (NOTA: é zero)
    31. 31. Time SyncDemo...
    32. 32. Perguntas ?
    33. 33. Conteúdo Relacionadohttp://blogs.technet.com/gbaninTechnet - technet.microsoft.com/pt-br/ms376608Time Synchttp://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspxUSN - http://support.microsoft.com/kb/875495Lingering - http://technet.microsoft.com/en-us/library/cc738018(WS.10).aspx
    34. 34. Palestras Relacionadas SRV303 – Gerenciando Recursos com o Windows System Resource Manager SRV306 – A nova geração de Virtualização do Windows Server SRV305 – Consolidação de Armazenamento com Windows Server 2008 R2 e SMB2 SRV201 – Plataforma Windows Server para pequenas e médias empresas
    35. 35. Get the free mobile app for your phonehttp:/ / gettag.mobi http://technet.microsoft.com/pt-brGet the free mobile app for your phonehttp:/ / gettag.mobi http://msdn.microsoft.com/pt-br
    36. 36. Não esqueça depreencher sua avaliação onlinewww.teched.com.br/avaliacao Get the free mobile app for your phone http:/ / gettag.mobi
    37. 37. © 2011 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing marketconditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

    ×