O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 50 Anúncio

[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?

Baixar para ler offline

大規模災害や管理者のオペレーションミス、標的型攻撃による管理者アカウントの乗っ取りなど、様々な理由で Active Directory や Azure Active Directory が正常に利用できなくなった場合に IT 管理者はどうすれば良いのか、事前に何を準備しておけば良いのかの対策について具体例を交えて紹介致します。

受講対象: Active Directory の設計と運用を担当するエンジニア

製品/テクノロジ: Microsoft Azure/アイデンティティ (AD/Azure AD)/クラウド/事業継続/運用/セキュリティ

渡辺 元気
NTTコミュニケーションズ株式会社
クラウドサービス部
主査

大規模災害や管理者のオペレーションミス、標的型攻撃による管理者アカウントの乗っ取りなど、様々な理由で Active Directory や Azure Active Directory が正常に利用できなくなった場合に IT 管理者はどうすれば良いのか、事前に何を準備しておけば良いのかの対策について具体例を交えて紹介致します。

受講対象: Active Directory の設計と運用を担当するエンジニア

製品/テクノロジ: Microsoft Azure/アイデンティティ (AD/Azure AD)/クラウド/事業継続/運用/セキュリティ

渡辺 元気
NTTコミュニケーションズ株式会社
クラウドサービス部
主査

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a [SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? (20)

Anúncio

Mais de de:code 2017 (20)

Mais recentes (20)

Anúncio

[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?

  1. 1. 操作マスターの役割の配置の計画 https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/planning-operations-master-role-placement Active Directory FSMO roles in Windows https://support.microsoft.com/en-us/help/197132/active-directory-fsmo-roles-in-windows
  2. 2. contoso.com us eu contoso.com
  3. 3. あり あり
  4. 4. 主な影響範囲
  5. 5. Azure AD Connect Sync: 操作タスクおよび考慮事項 - ステージングモード https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnectsync-operations 2台目のAzure AD Connect同期サーバを構成する場合、ステージング モードを利用して短時間でサービス復帰可能
  6. 6. バックアップ取得は
  7. 7. システム状態 原則、システム状態は同じ インスタンスにのみ復元可 How to restore a Windows installation or move it to different hardware https://support.microsoft.com/ja-jp/help/249694/how-to-restore-a-windows-installation-or-move-it-to-different-hardware
  8. 8. 運用上、頻繁には実施が難しい
  9. 9. Active Directory のシステム状態のバックアップの有効期間について https://support.microsoft.com/ja-jp/help/216993/useful-shelf-life-of-a-system-state-backup-of-active-directory 180日以上への変更を推奨 • ドメインコントローラをオフラインにできる期間 • 複製に問題があるドメインコントローラーが正常に復帰できる期間
  10. 10. [DPM] コンピューター パスワードの更新を意識したベアメタル リカバリー (BMR) https://blogs.technet.microsoft.com/systemcenterjp/2012/12/06/dpm-3/ Netdom.exe を使用して Windows Server ドメイン コントローラーのコンピューター アカウントのパスワードをリセットする方法 https://support.microsoft.com/ja-jp/help/325850/how-to-use-netdom.exe-to-reset-machine-account-passwords-of-a-windows-server-domain-controller 【セキュアチャネル破損時の対応】 • クライアント…Active Directoryから離脱して再復帰 • ドメインコントローラー…Netdomコマンドで強制リセット
  11. 11. A: msDS-deletedObjectLifetime
  12. 12. イントラネット
  13. 13. イントラネット ① DC#3 に発生している障害を取り除く ② 他の健全な DC から DC#3 に同期
  14. 14. イントラネット ① DC#2 に FSMO を強制転送 ② DC#1 の情報を削除 (Metadata Cleanup) ③ DC#1 を再度セットアップし DC に昇格して同期 ④ DC#1 に FSMO を転送
  15. 15. イントラネット ① 復元のマスターを決定しバックアップから復元 ② 他の DC の情報を削除 (Metadata Cleanup) ③ 他の DC を再度セットアップし DC に昇格して同期
  16. 16. イントラネット ① (誤削除の場合) Active Directory ごみ箱から復元 (それ以外の場合)任意の DC で権限のある復元 ② 他の DC に同期
  17. 17. フェデレーションの無効化 Set-MsolDomainAuthentication -Authentication Managed [ドメイン名] 反映までに時間がかかる(1時間に1回)、反映まで利用不可 フェデレーションの再有効化 Convert-MsolDomainToFederated -DomainName [ドメイン名] (有効化)
  18. 18. PowerShellを起動して以下のコマンドを実行 Move-ADDirectoryServerOperationMasterRole [DC名] -OperationMasterRole 0,1,2,3,4 -Force 可能であれば定期的な訓練 コマンドプロンプトを起動 ntdsutil を起動し、以下のコマンドを実行 roles connections connect to server [DC名] quit seize schema master seize domain naming master seize pdc seize rid master seize infrastructure master quit quit
  19. 19. ~秘伝の Active Directory からの脱却~
  20. 20. 実際に起こった障害を参考にしたフィクションであり、実際の拠点名や登場人物とは関係ありません。
  21. 21. 発見の契機 システムアカウントがロックアウトする 事象の詳細 • 複数のアカウントがロックアウト • 時間は不定期 • Active DirectoryのログからAD FSが原因 • AD FS Proxy経由
  22. 22. 原因 外部からのアタック ExtranetLockout を有効化 Enabling AD FS 2012 R2 Extranet Lockout Protection https://blogs.technet.microsoft.com/rmilne/2014/05/05/enabling-adfs-2012-r2-extranet-lockout-protection/ 本格対処として、Azure AD Premiumへの切り替えを検討
  23. 23. 発見の契機 全ドメインコントローラーが高負荷 事象の詳細 • 性能不足と想定して増設を試行 • 増設先でも同様に高負荷 • ネットワークから切り離して調査依頼
  24. 24. 原因 新種のウィルス 既にクライアント環境に侵入されており、再度ドメインコン トローラにアタックされる可能性もある為、特権アカウント の整理と運用整理も実施。特権ID管理を検討
  25. 25. 発見の契機 Exchange Server利用不可 事象の詳細 • メールが利用できないというユーザー申告 • Exchange Serverから多数のアラート • 「設定が読み込めない」などのエラー
  26. 26. 原因 作業担当者によるオペレーションミス その他、Exchangeの一部情報に不整合が発生したため、 誤って設定された属性をスクリプトで修正
  27. 27. 発見の契機 海外(ヨーロッパ)拠点からのアクセス増 事象の詳細 • VPN接続した海外拠点からのアクセス増 • 海外からのドメインコントローラへの接続 が増える
  28. 28. 原因 海外拠点のAD管理者アカウント侵害
  29. 29. セッションアンケートにご協力ください ➢ 専用アプリからご回答いただけます。 decode 2017 ➢ スケジュールビルダーで受講セッションを 登録後、アンケート画面からご回答ください。 ➢ アンケートの回答時間はたったの 15 秒です!
  30. 30. Ask the Speaker のご案内 本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて ご説明させていただきます。是非、お立ち寄りください。
  31. 31. © 2017 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

×