Tkkastur.ru

Авто Бан
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка консоли управления Hyper-V без домена

Прежде, чем начать, необходимо убедиться в наличие на компьютере самой консоли. Для этого загрузите средства удаленного администрирования сервера (RSAT) для Windows 7 или Windows 10. Оно представляет из себя обновление системы, которое мы просто устанавливаем.

После этого открываем Программы и компоненты — кликаем по Включение или отключение компонентов Windows — в открывшемся окне раскрываем Средства удаленного администрирования сервераСредства администрирования ролей — ставим галочку на Средства Hyper-V:

Установка средств Hyper-V

Кликаем по OK. После установки в Панели управленияАдминистрирование появится консоль Диспетчер Hyper-V.

Сбор данных

Общие ресурсы

В среде Active Directory часто используются сетевые папки и файловые серверы. Эти команды отобразят список общих ресурсов на локальном хосте, список сетевых компьютеров и список шар на удаленном компьютере:

Но что делать, если политика безопасности запрещает использовать сетевые команды? В этом случае нас выручит wmic . Список общих ресурсов на локальном хосте и список общих ресурсов на удаленном компьютере можно посмотреть с помощью команд

Полезный инструмент для поиска данных — PowerView. Он автоматически обнаруживает сетевые ресурсы и файловые серверы с помощью команд Find-DomainShare и Get-DomainFileServer .

Кстати, PowerView встроен в фреймворк PowerShell Empire и представлен двумя модулями:

  • situational_awareness/network/powerview/share_finder ;
  • situational_awareness/network/powerview/get_fileserver .

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Закладываем правильный фундамент

Один из ключевых принципов проектирования Active Directory — предоставление надежного источника времени для контроллеров домена. Контроллер домена полагается на точное время для аутентификации Kerberos и процесса репликации. Для Kerberos не требуется высокая точность (в дефолте, максимальное время отклонения составляет 5 минут), а вот использование времени в качестве механизма арбитража для репликации уже требует. Время между контроллерами домена должно быть как можно меньше. Так же, необходимо учитывать особенности платформы VMware vSphere, так как настроить время только в рамках контролеров домена будет недостаточно.

Читайте так же:
Земельный кодекс регулирует оборот земель

Чтобы заложить правильный фундамент, нужно выполнить 3 шага:

  1. Конфигурирвоание времени на хостах ESXi;
  2. Модификация параметров виртуальной машины с контроллером домена;
  3. Настройка служб точного времени Windows на самом контроллере домена.

Первый шаг – настроить все хосты ESXi на синхронизацию с надёжным источником точного времени. В качестве NTP сервера может быть источник времени Stratum 1 (GPS или аппаратные часы) или источник времени Stratum 2 или Stratum 3 (например, pool.ntp.org). Для Украины, в частности для Киева, рекомендую использовать сервера точного времени time.in.ua:

  • ntp.time.in.ua — основной сервер точного времени (stratum 1);
  • ntptime.in.ua — резервный сервер точного времени (stratum 1);
  • ntptime.in.ua — резервный сервер точного времени (stratum 2).

Важно использовать несколько источников одного уровня.

Active Directory в среде виртуализации VMware vSphere

Active Directory в среде виртуализации VMware vSphere

Второй шаг – необходимо добиться условия, при котором время контроллером домена синхронизируется только на моменте старта.

Как уже писалось ранее, есть нюанс в работе VMware Tools. Даже если синхронизация времени отключена, существуют частные случаи, когда это происходит. Например, когда виртуальная машина восстанавливается со снепшота, гибернации или выполняет миграция чрез vMotion.

Для рядовых серверов домена, такое поведение не является критичным ввиду того, что контроллер домена выступает для них источником точного времени. Причем время от него является приоритетнее, чем от ESXi гипервизора. С контроллером домена, держателем FSMO роли PDC эмулятора, оставить дефолтную конфигурацию будет не корректно. Он сам выступает источником точного времени и не должен зависеть от среды виртуализации. В конфигурацию виртуальной машины необходимо добавить следующие строки:

NameValue
tools.syncTime
time.synchronize.continue
time.synchronize.restore
time.synchronize.resume.disk
time.synchronize.shrink
time.synchronize.tools.startup
time.synchronize.tools.enable
time.synchronize.resume.host

Более подробную информацию можно найти в соответствующей KB

Третий шаг – это настройка службы времени Windows (w32tm). На контроллере домена выполняем 3 команды в cmd:

Читайте так же:
Москвич 21412 регулировка карбюратора

w32tm /config /syncfromflags:manual /manualpeerlist:ntp.time.in.ua (NTP сервера могут быть любыми)

w32tm /config /update

w32tm /resync

Восстановление контроллера домена в режиме «authoritative»

С большой долей вероятности вам не потребуется этот режим восстановления. Однако давайте познакомимся с ним поближе, чтобы вы поняли, почему это так. Этот режим может быть использован, когда вы пытаетесь восстановить верную копию контроллера домена в среде с несколькими контроллерами домена, при том, что вся структура AD по какой-то причине повреждена (напр., вредоносное ПО, вирус и т. п.). В этой ситуации вы предпочтете, чтобы поврежденные котроллеры домена принимали изменения от вновь восстановленного контроллера.

ПРИМЕЧАНИЕ. Выполняемые действия сходны с тем, что происходит при использовании Veeam SureBackup для восстановления контроллера домена в изолированной среде.

Чтобы выполнить восстановление удаленного объекта или контейнера в режиме «authoritative» и принудить контроллер домена скопировать восстановленные данные с этого DC на другие контроллеры:

  1. Выберите в Veeam операцию восстановления ВМ полностью: программа автоматически выполнит стандартное восстановление DC в режиме «non-authoritative» (см. выше).
  2. При втором перезапуске DC откройте мастер загрузки (нажмите F8), выберите пункт DSRM и войдите в систему с данными учетной записи DSRM (те данныеучетная запись, которыеую вы настроиливвели, когда назначали сделав данный компьютер контроллером домена).
  3. Откройте командную строку и запустите утилиту ntdsutil
  4. Используйте следующие команды: activate instance ntds; затем authoritative restore; затем restore object “distinguishedName” или restore subtree “distinguishedName”
    Пример: restore subtree “OU=Branch,DC=dc,DC=lab, DC=local.
  5. Подтвердите «authoritative» восстановление и перезапустите сервер после завершения операции.

Процедура «authoritative» восстановления SYSVOL (при использовании службы DFSR) осуществляется следующим образом:

  1. Выполните «non-authoritative» восстановление контроллера домена (например, восстановление ВМ целиком в Veeam Backup & Replication).
  2. При второй загрузке перейдите в ветку реестра HKLMSystemCurrentControlSetServicesDFSR, создайте ключ Restore, а затем создайте строку SYSVOL со значением authoritative.
    Это значение будет считано службой DFSR. Если значение не установлено, по умолчанию производится восстановление SYSVOL в режиме «non-authoritative»
  3. Перейдите к HKLMSystemCurrentControlSetControlBackupRestore, создайте ключ SystemStateRestore, затем создайте строку LastRestoreId с любым значением GUID. Например: 10000000-0000-0000-0000-000000000000.
  4. Перезапустите службу DFSR.
Читайте так же:
Регулировка карбюратор без подсоса

3 - Authoritative SYSVOL restore

Рис. 3. Восстановление SYSVOL в режиме «authoritative» (служба DFSR)

Процедура «authoritative» восстановления SYSVOL (при использовании службы FRS):

  1. Выполните «non-authoritative» восстановление контроллера домена (например, восстановление ВМ целиком в Veeam Backup & Replication).
  2. При второй загрузке перейдите в ветку реестра HKLMSystemCurrentControlSetServicesNtFrsParametersBackup/RestoreProcess at Startup и измените значение ключа Burflag на 000000D4 (hex) или 212 (dec).
    Это обеспечит принудительное копирование данных на контроллеры домена, использующие старую технологию FRS, в «authoritative» режиме. Подробнее о восстановлении FRS.
  3. Перезапустите службу NTFRS.

В этой статье я рассмотрел восстановление отдельного контроллера домена. Однако чаще всего при работе с AD вам требуется восстановить случайно удаленный объект, и в этом случае восстанавливать контроллер целиком — не лучший вариант. В следующей статье я расскажу о восстановлении отдельных объектов каталога AD с помощью собственных инструментов Microsoft и утилиты Veeam Explorer для Active Directory.

Также вас могут заинтересовать:

  • Статья Восстановление объектов Active Directory (TechNet)
  • Подробная информация о Veeam Explorer дляMicrosoft Active Directory

Андрей Железко

Andrew, currently working as a Cloud Technologist on the Veeam Product Strategy team, is a certified IT professional with over a decade of industry experience. Initially doing technical support for various solutions, including Veeam Backup & Replication, he has got practical expertise, which helps him to speak the same language as Veeam community members.

You can always find him presenting at different offline/online events, where he loves to solve the challenges associated with data protection. His motto is to help others realize the beauty and power of virtualization and cloud technologies.

голоса
Рейтинг статьи
Читайте так же:
Регулировка реле давления краба
Ссылка на основную публикацию
Adblock
detector