Active Directory on Windows Server version(DFL, FFL) – new features

ActiveDirectory

 List of changes with Domain and Forest functional levels

 

2008 Domain functional level:

  • Multiple password policies per domain
  • User-viewable last logon information
  • Increased Kerberos encryption
  • DFS replication for SYSVOL shares

 

2008 R2 Domain functional level:

  • Better and more automated service account management
  • Security logs and access lists based on authentication type

 

2008 R2 Forest functional level:

  •  AD „recycle bin“

 

2012 R2 Domain functional level:

  • Restricted admin mode – Mstsc /restrictedadmin (it is not store admin passwordon remote desktop to LSA)
  • LSA Protection
  • Protected user groups
  • Authentication Polices
  • Silos (management for authentication polices)
  • COMPOUND ID
  • Kerberos Armoring

 

2012 R2 Forest functional level:

  • nothing

relax

MS Exchange 2010 v DAG-u je choulostivý na změnu fyzických sektorů při replikaci transakčních logů v režimu „block mode“

images

Jestli máte MS Exchange 2010 server v DAG-u na více mašinách a neprovádíte pravidelné instalace firmware na diskové řadiče serverů, může se vám přihodit jedna nepříjemnost. Známá věc je, že pro možnost mít Mailbox servery v DAG-u je zapotřebí, aby všechny členské servery měli stejné označení pro jména, jednotky disků, kde budou uloženy DB a transakční logy. Také se to ale týká velikosti fyzických sektorů disků. Mimochodem tuto informaci najdete na oficiálním webu Microsoftu –  Exchange storage configuration options V default nastavení budete mít pravděpodobně velikost fyzických sektorů na 512B. V případě, že se vám poškodí řadič, nebo je zapotřebí vyměnit baterku na řadiči disků vám obvykle servisák spolu s komponentou provede i instalaci nejnovějšího firmware a tím vám v některém případě automaticky změní instalací velikost fyzických sektorů.

Obecně s tím nebude problém, protože dnešní operační systémy podporují tzv. Advanced format, odkaz na pěkný článek – advanced-format-prichazeji-pevne-disky-se-4k-sektor

Ovšem v případě, že máte MS Exchange 2010 SP1 a vyšší, replikace transakčních logů vám poběží ve výchozím nastavení v režimu „Block Mode“, tedy používání bufferů na všech Mailbox serverech v DAG-u. MS Exchange vám kontroluje velikost datových bloků a v případě nesouladu velikosti fyzických sektorů na pasivní kopii Db + Transakční log vám přestane zapisovat a aktualizovat data v pasivní kopii DB.  Jak toto vyřešit ? Provést aktualizaci na všech serverech a tedy v některých scénářích provést dost práce, u které se můžete i trochu zapotit :). Protože se může jednat částečně i o virtuální servery, připravil jsem malou ukázku otestování disků VHD a VHDX na již aktualizovaném diskovém řadiči (aktualizace provedla změnu velikosti fyzických sektorů z 512B na 4KB) Server Fujitsu Primergy RX300 S6

Tady to je: )

 

Physical Disks (Server Fujitsu Primergy RX300 S6)

 

PS C:\Users\administrator.VDI> fsutil fsinfo ntfsinfo c:

NTFS Volume Serial Number :       0x4028750a28750068

NTFS Version   :                  3.1

LFS Version    :                  2.0

Number Sectors :                  0x000000003a27e7ff

Total Clusters :                  0x000000000744fcff

Free Clusters  :                  0x0000000006f5df5d

Total Reserved :                  0x0000000000000ff0

Bytes Per Sector  :               512

Bytes Per Physical Sector :       4096

Bytes Per Cluster :               4096

Bytes Per FileRecord Segment    : 1024

Clusters Per FileRecord Segment : 0

Mft Valid Data Length :           0x000000000be00000

Mft Start Lcn  :                  0x00000000000c0000

Mft2 Start Lcn :                  0x0000000000000002

Mft Zone Start :                  0x00000000000cbe00

Mft Zone End   :                  0x00000000000cc820

Resource Manager Identifier :     B2BFCF04-1D79-11E4-9ACC-0019999200EA

 

 

PS C:\Users\administrator.VDI> fsutil fsinfo ntfsinfo f:

NTFS Volume Serial Number :       0x0ea859aba85991d7

NTFS Version   :                  3.1

LFS Version    :                  2.0

Number Sectors :                  0x00000000073f7dff

Total Clusters :                  0x00000000073f7dff

Free Clusters  :                  0x00000000054926b4

Total Reserved :                  0x0000000000020040

Bytes Per Sector  :               4096

Bytes Per Physical Sector :       4096

Bytes Per Cluster :               4096

Bytes Per FileRecord Segment    : 4096

Clusters Per FileRecord Segment : 1

Mft Valid Data Length :           0x0000000000100000

Mft Start Lcn  :                  0x00000000000c0000

Mft2 Start Lcn :                  0x0000000000000002

Mft Zone Start :                  0x00000000000c0100

Mft Zone End   :                  0x00000000000cc820

Resource Manager Identifier :     CBF966D0-1F65-11E4-80B9-0019999CD753

 

 Virtuální disky VHD, VHDX používané v Microsoft OS a Hyper-V  umístěné na fyzických discích viz. výše

 

PS C:\Users\administrator.VDI> #vhd disk H: je ulozen na disku C:

PS C:\Users\administrator.VDI> fsutil fsinfo ntfsinfo h:

NTFS Volume Serial Number :       0xa0da4950da4923be

NTFS Version   :                  3.1

LFS Version    :                  2.0

Number Sectors :                  0x00000000001f27ff

Total Clusters :                  0x000000000003e4ff

Free Clusters  :                  0x000000000003d17f

Total Reserved :                  0x000000000001f2c0

Bytes Per Sector  :               512

Bytes Per Physical Sector :       512

Bytes Per Cluster :               4096

Bytes Per FileRecord Segment    : 1024

Clusters Per FileRecord Segment : 0

Mft Valid Data Length :           0x0000000000040000

Mft Start Lcn  :                  0x0000000000014c55

Mft2 Start Lcn :                  0x0000000000000002

Mft Zone Start :                  0x0000000000014c40

Mft Zone End   :                  0x000000000001c900

Resource Manager Identifier :     2D8AC3C4-372D-11E4-80BA-0019999CD753

 

 

PS C:\Users\administrator.VDI> #vhdx disk I: je ulozen na disku C:

PS C:\Users\administrator.VDI> fsutil fsinfo ntfsinfo I:

NTFS Volume Serial Number :       0x6cce64b8ce647be8

NTFS Version   :                  3.1

LFS Version    :                  2.0

Number Sectors :                  0x00000000001f27ff

Total Clusters :                  0x000000000003e4ff

Free Clusters  :                  0x000000000003d17f

Total Reserved :                  0x000000000001f2c0

Bytes Per Sector  :               512

Bytes Per Physical Sector :       4096

Bytes Per Cluster :               4096

Bytes Per FileRecord Segment    : 1024

Clusters Per FileRecord Segment : 0

Mft Valid Data Length :           0x0000000000040000

Mft Start Lcn  :                  0x0000000000014c55

Mft2 Start Lcn :                  0x0000000000000002

Mft Zone Start :                  0x0000000000014c40

Mft Zone End   :                  0x000000000001c900

Resource Manager Identifier :     2D8AC3D3-372D-11E4-80BA-0019999CD753

PS C:\Users\administrator.VDI>

 

 

PS C:\Users\administrator.VDI> #vhd disk J: je ulozen na disku F:

PS C:\Users\administrator.VDI> fsutil fsinfo ntfsinfo J:

NTFS Volume Serial Number :       0x1a0487290487074b

NTFS Version   :                  3.1

LFS Version    :                  2.0

Number Sectors :                  0x00000000001f27ff

Total Clusters :                  0x000000000003e4ff

Free Clusters  :                  0x000000000003d17f

Total Reserved :                  0x000000000001f2c0

Bytes Per Sector  :               512

Bytes Per Physical Sector :       512

Bytes Per Cluster :               4096

Bytes Per FileRecord Segment    : 1024

Clusters Per FileRecord Segment : 0

Mft Valid Data Length :           0x0000000000040000

Mft Start Lcn  :                  0x0000000000014c55

Mft2 Start Lcn :                  0x0000000000000002

Mft Zone Start :                  0x0000000000014c40

Mft Zone End   :                  0x000000000001c900

Resource Manager Identifier :     2D8AC3ED-372D-11E4-80BA-0019999CD753

 

 

PS C:\Users\administrator.VDI> #vhdx disk k: je ulozen na disku F:

PS C:\Users\administrator.VDI> fsutil fsinfo ntfsinfo k:

NTFS Volume Serial Number :       0x6c8ca2ec8ca2b04e

NTFS Version   :                  3.1

LFS Version    :                  2.0

Number Sectors :                  0x00000000001f27ff

Total Clusters :                  0x000000000003e4ff

Free Clusters  :                  0x000000000003d17f

Total Reserved :                  0x000000000001f2c0

Bytes Per Sector  :               512

Bytes Per Physical Sector :       4096

Bytes Per Cluster :               4096

Bytes Per FileRecord Segment    : 1024

Clusters Per FileRecord Segment : 0

Mft Valid Data Length :           0x0000000000040000

Mft Start Lcn  :                  0x0000000000014c55

Mft2 Start Lcn :                  0x0000000000000002

Mft Zone Start :                  0x0000000000014c40

Mft Zone End   :                  0x000000000001c900

Resource Manager Identifier :     2D8AC3FD-372D-11E4-80BA-0019999CD753

Instalace Full Server Gui ze Server Core 2012 R2 bez připojení k internetu

Postup najdete všude na internetu. Také jsem jeden z nich použil a níže je uvedený ověřený konkrétní postup a konkrétní příkazy.

Pro postup jsem použil nástroj a jeho CMD příkazy DISM (Deployment Image Servicing and Management) namísto powershell příkazu Enable-WindowsOptionalFeature, který stejně volá zmíněný nástroj.

 

1) Vytvorte slozku pro budouci pouziti
# mkdir c:\mountdir

2) Zjisteni cisla indexu vhodne licence (SERVERDATACENTER, SERVERDATACENTERCORE, ……………) <drive> představuje cestu k instalačnímu mediu DVD
# Dism /get-wiminfo /wimfile:<drive>:sources\install.wim

3) Namountovani WIM file
# Dism /mount-wim /WimFile:<drive>:\sources\install.wim /Index:<číslo INDEXU – step 2 > /MountDir:c:\mountdir /readonly

4) Instalace Full Server GUI
# Dism /online /enable-feature /featurename:servercore-fullServer /featurename:Server-gui-shell /featurename:server-gui-mgmt /source:D:\sources\winsxs

5) Restart Serveru

WP_20140507_002

 

AdminSDHolder – Co to je a k čemu ?

Toto je opravdu stručný článek o tom co je a k čemu slouží objekt v ActiveDirectory „AdminSDHolder (objekt v security/Advanced   nemá povolené dědění by default !)

AdminSDHolder je objekt, který najdete v Active Directory Users and Computers (ADUC) konzoli po povolení „Advanced Features“ ve view „zobrazit“, ale předpokládám, že moc z vás českou lokalizaci serveru nemá ….

AdminSDHolder má na starost chránit tzv. „protected groups“ před změnou v ACL. Na starost ho má FSMO PDC. Jestliže někdo změní na jmenované skupině oprávnění, přidá třeba domain user-ovi právo modify na Domain Admins skupinu, během následující hodiny se toto oprávnění odstraní. Každou hodinu se totiž by default kontoluje stav ACL a jestliže nesedí dle výchozího stavu, systém (PDC) ACL vrátí do původního stavu. Všechny objekty (user, groups), které jsou a nebo jsou členy těchto skupin, mají hodnotu atributu AdminCount=1 (odstraňuje dědění na těchto objektech), tato hodnota s už sama od sebe nikdy nevrátí zpět. Toto má však za následek, že se při zapnutí dědění na objektu s hodnotou atributu AdminCount=1, nebudou správně dědit práva z nadřazených objektů. AdminCount můžete nastavit na <not set> přes ADSIEDIT nástroj, nebo  nástroj ADUC  přes tab Attribute Editor.

Windows 2000 Server RTM  Windows 2000 Server with SP4  Windows Server 2003 with SP1 ,SP2 Windows Server 2008,R2, Windows Server 2012, R2
Administrators Account Operators Account Operators Account Operators
Domain Admins Administrator Administrator Administrator
Enterprise Admins Administrators Administrators Administrators
Schema Admins Backup Operators Backup Operators Backup Operators
  Cert Publishers Domain Admins Domain Admins
  Domain Admins Domain Controllers Domain Controllers
  Domain Controllers Enterprise Admins Enterprise Admins
  Enterprise Admins Krbtgt Krbtgt
  Krbtgt Print Operators Print Operators
  Print Operators Replicator Read-only Domain Controllers
  Replicator Schema Admins Replicator
  Schema Admins Server Operators Schema Admins
  Server Operators   Server Operators

 

Malá ukázka: (opravdu jsem oprávnění send as, neodstranil ručně :)) – Ukázka, jak může nastat problém, jestliže používáte domain admin účet s mailboxem v MS Exchange a budete chtít někomu dovolit posílat za admina email (oprávnění send as)

adminSDholders_demo1

Toto je mimochodem způsob, jak kontrolu ACL, která je default jednou za hodinu, urychlit (v mém případě se ale stejně kontrola ACL projevila o něco později, než po akci viz.níže )

Použit nástroj ldp.exe

adminSDholders_demo2

Tady už vidíme, že uživatel user1 není v seznamu uveden.

adminSDholders_demo3latter

Více informací najdete zde: https://technet.microsoft.com/cs-cz/magazine/2009.09.sdadminholder(en-us).aspx