giovedì 29 giugno 2017

Centralino IP PBX su Windows - 3CX Phone System which links here: http://www.3cx.it/centralino/index.html

 

 

RSS Feed RSS Feed

Login

Newsletter Newsletter

Registrati

RisorseGuide e Articoli

 

02

Di Ermanno Goletto SysAdmin.it - Microsoft MVP Directory Services - MCTS - MCSA - MCP - MCBMSP - MCBMSS
e Mario Serra SysAdmin.it - Microsoft MCP – MCTS - MCDST

Introduzione

Active Directory rappresenta il baricentro di un'infrastruttura informatica basata su tecnologia Microsoft. L'accesso alle risorse, la funzionalità dei servizi, la configurazione degli ambienti di lavoro dipendono da Active Directory. Diventa quindi essenziale progettare l'infrastruttura in modo che questo fondamentale servizio sia ridondato e predisporre delle procedure per ripristino in casi in cui occorre eseguire un disaster recovery.

Sommario

Scenario

In questo scenario prenderemo in esame un'infrastruttura ipotetica con un'unica foresta a singolo dominio test.local in cui vi siano due domain controller:

  • il server SRVDC01 che detiene i cinque ruoli FSMO (master schema, master per la denominazione dei domini, master RID, master emulatore PDC e master infrastrutture) ed configurato come server DNS e Global Catalog;
  • il server SRVDC02 configurato come server DNS e Global Catalog.

Si noti che in una struttura a singolo dominio non sono presenti phantom, quindi il master infrastrutture non ha funzioni da svolgere. Questo significa che ruolo master infrastrutture può essere collocato su un qualsiasi controller di dominio indipendentemente dal fatto che sua o meno configurato come catalogo globale. I phantom sono oggetti di basso livello del database Active Directory utilizzati per operazione di gestione interna e non visibili tramite LDAP o Active Directory Service Interfaces (ADSI). Per ulteriori informazioni in merito si vedano Collocazione e ottimizzazione di FSMO in controller di dominio Active Directory e Phantoms, tombstones and the infrastructure master.

Si supponga ora che il server SRVDC01 cessi di funzionare rendendo così non disponibili i ruolo FSMO, per ripristinare la funzionalità di Active Directory occorre eseguire le seguenti operazioni:

  • Assegnare (seize) i ruoli FSMO sul server SRVDC02 in quanto, dal momento che il server SRVDC01 non è disponibile, non è possibile trasferirli.
  • Rimuovere da Active Directory i riferimenti al server SRVDC01.
  • Assicurarsi che i client abbiano il sever SRVDC02 configurato come DNS e non abbiano più riferimenti al server SRVDC01.

Si noti che sebbene il server SRVDC01 non sia disponibile i client possono continuare ad autenticarsi se su di essi è stato configurato come DNS secondario il server SRVDC02 grazie al fatto che entrambi i DC sono Global Catalog. Il Global Catalog (GC) contiene una copia parziale in sola lettura di tutti gli oggetti definiti nei domini della foresta il cui insieme e l'aggiornamento dei loro attributi è frutto della replica multimaster. Le attività che prevedono l'utilizzo del GC sono:

  1. ricerca di oggetti a livello di foresta eseguite tramite LDAP su porta TCP 3268 o su porta TCP 3269 se viene utilizzato LDAP con SSL. Un esempio di utilizzo del GC è lo snap-in Active Directory Users and Computers quando si esegue una ricerca che ha come scope Entire Directory un altro esempio è l'Infrastructure Master durate la fase di aggiornamento dei phantom record;
  2. user logon in un dominio con livello funzionale Windows 2000 nativo o successivo in quanto a partire da versione dello schema di Active Directory sono disponibili i gruppi universali e ciò comporta che durante la fase di autenticazione il DC contatti il GC per ottenere i SID dell'utente e dei gruppi universali a cui appartiene (anche quelli definiti esternamente al dominio).
  3. UPN logon se l'utente utilizzi la sintassi UPN (User Principal Name) per l'autenticazione, in questo caso il DC contatta il GC fornendo il valore dell'attributo user-PrincipalName dell'oggetto User per ottenere il DN dell'utente e ricavare in questo modo il dominio di appartenenza dell'account. Inoltre il GC viene anche utilizzato nel caso vi sia un trust tra due foreste con livello funzionale Windows Server 2003 o successivo durante l'autenticazione UPN di un  account definito esternamente alla foresta su cui si sta eseguendo l'autenticazione (in questo il GC contatta il GC dell'altra foresta per ottenere le informazioni sull'account).
  4. Exchange client infatti i client Outlook durate l'apertura dell'Address Book o durate la compilazione del campo "Da" di una mail contattano il GC specificato dal server Exchange  per ottenere la GAL (Global Address List).
  5. Client Active Directory che utilizzano la rubrica di Windows per ricercare persone e contatti memorizzati in Active Directory.

Nel caso di una foresta a dominio singolo ogni DC può servire tutte le richieste di logon (incluse le UPN) senza utilizzare il GC, ma solo un DC configurato come GC può rispondere a richieste LDAP.

L'indisponibilità dei ruoli master impedisce l'esecuzione delle seguenti operazioni e genera alcuni disservizi:

  1. la modifica dello schema della foresta in quanto tale operazione, che può essere eseguita da un qualunque DC, prevede la connessione al DC che detiene il ruolo di Schema Master e che è anche l'unico DC della foresta a possedere una copia in scrittura dello Schema Partition;
  2. la creazione di un nuovo dominio in quanto tale operazione prevede la connessione al DC che detiene il ruolo Domain Naming Master che provvede a verificare che il dominio non sia già stato definito e ad attribuirgli un identificativo GUID univoco, inoltre il Domani Naming Master si occupa anche dell'autorizzazione alla cancellazione di un dominio e della creazione e cancellazione di una Application Partition, nonchè della validazione delle operazioni di modifica dei nomi dei domini tramite il tool RENDOM;
  3. la richiesta di un nuovo pool di RID (Relative ID) in quanto tale operazione viene servita da DC che detiene il ruolo di Relative ID Master, i RID sono utilizzati dai DC durate la creazione di oggetti Security Principal (User, Group o Computer) per attribuirgli identificativi Security ID (SID) univoci nel formato S-1-5-Y1-Y2-Y3-Y4 (dove Y1-Y2-Y3 è il domain SID e Y4 il RID). Ciò significa che esaurito il pool di RID corrente non sarà più possibile creare oggetti Security Principal (un pool di RID è composto da 500 RID e quando si raggiunge le 100 unità disponibili viene richiesto un nuovo pool). Il Relative ID Master è contattato anche per autorizzare lo spostamento di un oggetto in un altro dominio tramite ad esempio Active Directory Migration Tool per evitare che possa essere spostato in due domini diversi;
  4. l'autorizzazione del raise del livello funzionale del dominio in quanto tale operazione viene servita da DC che detiene il ruolo di PDC Emulator. Inoltre la modifica della password potrebbe avere tempi di convergenza maggiori poiché in seguito ad un cambio password di un account utente o computer il DC interessato comunica la nuova password al PDC Emulator e nel caso un altro DC durante la fase di autenticazione rilevi una password errata prima di comunicare l'errore verifica se il PDC Emulator non abbia ricevuto una modifica delle credenziali (se il ruolo PDC Emulator non è disponibile occorre attendere la replica di Active Directory affinché il secondo DC validi la nuova password). Potrebbero verificarsi anche problemi di sincronizzazione oraria dal momento che il PDC Emulator è la fonte di sincronizzazione del Windows Time Service infatti i DC di un dominio utilizzano il PDC Emulator del proprio dominio come time source e i PDC Emulator dei vari domini utilizzano come time source il PDC Emulator del Forest Root Domain. Infine il PDC Emulator è utilizzato di default dallo snap-in di creazione o modifica di un Group policy Object, ma tramite DC Options è possibile selezionare un altro DC;
  5. possibili incoerenze durante la visualizzazione degli utenti/gruppi nei domini esterni utilizzati nei gruppi del dominio (phantom record) in quanto la relazione GUID-SID-DN di tali utenti/gruppi definiti nei domini esterni viene mantenuta aggiornata dal DC che detiene il ruolo di Infrastructure Master. Il corretto funzionamento dell'Infrastructure Master prevede infatti che la visualizzazione dei membri di tali utenti e dei membri di tali gruppi non produca incoerenze causate dalla modifica del Distinguished Name (DN), per spostamento nel dominio, o del SID, per spostamento in altri domini. L'Infrastrucure Master per svolgere questa attività verifica e aggiorna periodicamente eventuali differenze tra il proprio database locale di phantom record e le informazioni contenute nei Global Catalog e replica tale database a tutti i DC del dominio.

Assegnazione (seize) dei ruoli FSMO

Per eseguire il seize dei ruoli FSMO sul server SRVDC02 è possibile utilizzare l'utility a riga di comando Ntdsutil, utilizzando la seguente procedura valida per Windows 2000 Server, Windows 2003 Server e Windows 2008 Server.

  1. Autenticarsi al server SRVDC02 con credenziali di amministratore di dominio.
  2. Aprire un prompt dei comandi.
  3. Digitare il comando ntdsutil.
  4. Al prompt ntdsutil: digitare il comando roles.
  5. Al prompt fsmo maintenance: digitare il comando connections.
  6. Al prompt connections: digitare connect to server srvdc02.
  7. Verificare che la connessione sia avvenuta controllado di ottenere il seguente output.
    Connesso a srvdc02 tramite le credenziali dell'utente connesso localmente.
  8. Al prompt server connections: digitare quit.
  9. Al prompt fsmo maintenance: digitare il comando seize domain naming master.
  10. Confermare il messaggio di conferma della requisizione del ruolo.
  11. Al prompt fsmo maintenance: digitare il comando seize schema master.
  12. Confermare il messaggio di conferma della requisizione del ruolo.
  13. Al prompt fsmo maintenance: digitare il comando seize infrastructure master.
  14. Confermare il messaggio di conferma della requisizione del ruolo.
  15. Al prompt fsmo maintenance: digitare il comando seize pdc.
  16. Confermare il messaggio di conferma della requisizione del ruolo.
  17. Al prompt fsmo maintenance: digitare il comando seize rid master.
  18. Confermare il messaggio di conferma della requisizione del ruolo.
  19. Al prompt fsmo maintenance: digitare il comando quit.
  20. Al prompt ntdsutil: digitare il comando quit.

Per verificare che i ruoli siano stati correttamente assegnati è possibile utilizzare il comando netdom query fsmo che dovrà restituire il seguente output:

Schema owner SRVDC02.test.local

Domain role owner SRVDC02.test.local

PDC role SRVDC02.test.local

RID pool manager SRVDC02.test.local

Infrastructure owner SRVDC02.test.local

The command completed successfully.

 

 In Windows 2003 Server il tool a riga di comando Netdom è contenuto nei Support Tools, mentre in Windows 2008 Server e successivi è nativamente presente nel sistema. In Windows 2008 Server R2 grazie alla presenza di PowerShell, la nuova shell a riga di comando basata sul .NET framework 2.0, è possibile utilizzare il cmdlet Move-ADDirectoryServerOperationMasterRole per trasferire i ruoli Fsmo.

Per ulteriori informazioni si vedano:

Rimozione dei riferimenti del Domain Controller

Dal momento che si è reso necessario il seize dei ruoli si presuppone che il server SRVDC01 non tornerà più ad essere disponibile e quindi occorre rimuovere da Active Directory ogni suo riferimento. Inoltre va precisato che anche qualora SRVDC01 tornasse ad essere operativo non dovrà più essere connesso alla rete e andrà formattato.

Per eseguire l'eliminazione dei riferimenti del server SRVDC01 da Active Directory verrà utilizzato ancora il tool Ntdsutil che a partire dalla versione inclusa in Windows 2003 Server SP1 e successivi è in grado di svolgere le seguenti operazioni quando viene eseguito il metadata cleanup:

  • Rimozione dei riferimenti NTDSA o NTDS Setting del DC da eliminare.
  • Rimozione delle impostazioni di replica AD relative al DC da eliminare.
  • Rimozione del computer account del DC da elinare.
  • Rimozione delle impostazioni relative al FRS (File Replication System) relative al DC da eliminare.
  • Viene tentato il seize dei ruoli FSMO posseduti dal DC che si intende eliminare.

Di seguito viene riportata la procedura da eseguire su sistemi Windows 2003 SP1 o successivi per rimuovere i riferimenti del server SRVDC01 in Active Directory.

  1. Autenticarsi al server SRVDC02 con credenziali di amministratore di dominio.
  2. Aprire un prompt dei comandi.
  3. Digitare il comando ntdsutil.
  4. Al prompt ntdsutil: digitare il comando metada cleanup.
  5. Al prompt metadata cleanup: digitare il comando connections.
  6. Al prompt connections: digitare connect to server srvdc02.
  7. Verificare che la connessione sia avvenuta controllando di ottenere il seguente output.
    Connesso a srvdc02 tramite le credenziali dell'utente connesso localmente.
  8. Al prompt server connections: digitare quit.
  9. Al prompt metadata cleanup: digitare il comando select operation target.
  10. Al prompt select operation target: digitare il comando list domains.
  11. Viene restituita la lista dei domini tramite il seguente output
    Trovati 1 domini
    0 - DC=test,DC=local
  12. Al prompt select operation target: digitare il comando select domain 0
    (per selezionare il dominio in cui si trova il server da rimuovere SRVDC01).
  13. Viene restituito il seguente output
    Nessun sito corrente
    Dominio - DC=test,DC=local
    Nessun server corrente
    Nessun contesto dei nomi attivo
  14. Al prompt select operation target: digitare il comando list sites.
  15. Viene restituita la lista dei siti tramite il seguente output
    Trovati 1 siti
    0 - CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
  16. Al prompt select operation target: digitare il comando select site 0
    (per selezionare il sito in cui si trova il server da rimuovere SRVDC01).
  17. Viene restituito il seguente output
    Sito - CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Dominio - DC=test,DC=local
    Nessun server corrente
  18. Al prompt select operation target: digitare il comando list server in site.
  19. Viene restituita la lista dei server tramite il seguente output
    Trovati 2 server
    0 - CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    1 - CN=SRVDC02,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
  20. Al prompt select operation target: digitare il comando select server 0
    (per selezionare il server da rimuovere SRVDC01).
  21. Viene restituito il seguente output
    Sito - CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Dominio - DC=test,DC=local
    Server - CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Oggetto DSA - CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo- sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Nome host DNS - SRVDC01.test.local
    Oggetto computer - CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local
    Nessun contesto dei nomi attivo
  22. Al prompt select operation target: digitare quit.
  23. Al prompt metadata cleanup: digitare il comando remove selected server.
  24. Confermare il messaggio di conferma.
  25. Viene restituito il seguente output
    Rimozione di metadati FRS per il server selezionato.
    Ricerca di membri FRS in "CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local.
    Rimozione dei membri FRS "CN=SRVDC01,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local.
    Eliminazione della sottostruttura in "CN=SRVDC01,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local.
    Eliminazione della sottostruttura in "CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local.
    Il tentativo di rimuovere le impostazioni FRS su CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local non è riuscito per il seguente motivo: Impossibile trovare elemento.
    È ancora in corso la pulitura dei metadati.
    CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local rimossi dal server srvdc02
  26. Al prompt metadata cleanup: digitare quit.
  27. Al prompt ntdsutil: digitare il comando quit.
  28. Aprire lo snap-in Siti e servizi di Active Directory (dssite.msc).
  29. Selezionare il nodo Sites.
  30. Selezionare il sito a cui il server da rimuovere SRVDC01 appartiene (in questo caso Nome-predefinito-primo-sito).
  31. Selezionare il nodo Servers.
  32. Selezionare il server SRVDC01 e quindi selezionare Azione -> Elimina.

Per eseguire l'eliminazione dei riferimenti del server SRVDC01 dal DNS utilizzare la seguente procedura:

  1. Aprire lo snap-in DNS (dnsmgmt.msc /s).
  2. Nella zona diretta _msdcs.dominio rimuovere il record CNAME relativo al server SRVDC01. Nel caso il server non venga reinstallato e promosso Domain Controller con lo stesso nome eliminare anche i record NS (tramite la scheda Server dei nomi delle proprietà della zona) e i vari record SRV.
  3. Nella zona diretta relativa al dominio rimuovere il record A (Host) relativo al server SRVDC01. Nel caso il server non venga reinstallato e promosso Domain Controller con lo stesso nome eliminare anche i record NS (tramite la scheda Server dei nomi delle proprietà della zona) e i vari record SRV e impostare su SRVDC02 il record CNAME nella zona delegata _msdcs (tramite la scheda Server dei nomi delle proprietà della zona).

Terminata l'eliminazione dei riferimenti del server SRVDC01 in Active Directory e nel DNS occorre assicurarsi che i client non continuino ad utilizzarlo con server DNS, assicurarsi quindi che il DHCP non fornisca ai client tale impostazione.

Per ulteriori informazioni si vedano:

Conclusioni

In questo scenario grazie al fatto che nell'infrastruttura sono prendi almeno due DC e che si ha la ridondanza del GC e del servizio DNS nonostante cessi di funzionare il server che detiene i ruoli FSMO i disservizi risultano contenuti. Infatti gli utenti possono continuare ad autenticarsi e ad operare normalmente e anche la procedura di disaster recovery risulta non eccessivamente complessa e soprattutto non comporta interruzioni di servizio.


Scritto in: Guide e Articoli
AZIONI: E-mail | Permalink |
CONDIVIDI: del.icio.us   Facebook   Digg   Google   Live Bookmarks   Newsvine   StumbleUpon   Technorati   Yahoo   DotNetKicks
blog comments powered by Disqus

Copyright 2011 by SysAdmin.it