2022. május 27., péntek

Gyorskeresés

Active Directory mélyvíz - 1. rész

Írta: | Kulcsszavak: active directory . adsi edit . schema . trust . forest

[ ÚJ BEJEGYZÉS ]

A "nagysikerű" Trend Micro-s sorozat után (az összes résznek talán volt annyi hozzászólója mint valamelyik gyengébb Apple vs. Samsung topiknak :D) elindítok egy AD sorozatot is többféle céllal.
Elsősorban itt szeretném összegyűjteni azokat az infókat amiket a migrációk, cross-forest Exchange munkák meg egyéb projectek során összegyűlt, és nem szeretném ha a feledés homályába veszne.

Valamint magyar nyelven elég szegényes ebben a témában az anyag, hátha valakinek jól jön majd.

Tehát röviden a mostani project:
Két-három állami cég összeolvad, (összesen 1500-2000 user) közös tető alá kell hozni a tíz éve épített AD és Exchange rendszereket, úgy hogy ne legyen sok sírás, valamint a végén csak egyetlenegy erdő létezzen. (Ja, aki nincs tisztában az AD alapfogalmakkal, azoknak majd valószínűleg csinálok egy pár alapozó részt is ha lesz időm). Jelenleg minkettő működik, egy kétirányú trust van közöttük, az egyikhez van valamilyen hozzáférésem.
El lehet képzelni, hogy 10 év alatt mindkét rendszerben milyen mennyiségű konfiguráció, módosítás meg mindenféle egyéb cucc gyűlt össze, szerdán kell ebből workshopot tartani azoknak akik már évek óta heggesztik a rendszereket, hogy miképp is csinálnám meg a migrációt.

Természetesen minden itt leírt, képernyőmentett cucc a képzelet szüleménye, és csak laborban történt ;]

Tehát a sztori, pénteken sikerült az egyik jóképességű helpdesk-esnek beállítania a hozzáférésem, csinált egy tartományi felhasználót nekem amivel be tudtam lépni a terminal szerverre, majd onnan az exchange szerverekre készített ügyesen egy-egy helyi felhasználót nekem amivel be tudok lépni rájuk RDP-vel.
Mivel eléggé szenzitív rendszer, első körben csak olvasási jogot szabad csak kapnom.
A terminal szerveren nincs semmiféle management eszköz telepítve, a tartományvezérlőre nem tudok belépni, az Exchange szerverre belépve, miután elindítom az ADUC-ot a következő aranyos kép fogad:

Hmm.. ez nem túl bíztató.. az OK lenyomása után se történik semmi amivel előrébb jutnék a rendszer megismerésében:

Ha helyi felhasználóként belépve próbálom az AD konzolt a runas paranccsal futtatni, az is kövér hibára fut.

Az Exchange konzol se sokkal bíztatóbb:

Amit a helpdeskes legénynek csinálni kellett volna: A helyi felhasználókkal történő matyizás helyett, csak felveszi az egyik Exchange szerveren a Remote Desktop Users közé a tartományi felhasználom, meg a read-only exchange adminok közé, ezzel el is van intézve.

Hogy fogok én így bámi infót kinyerni szerdára?

Itt jön elő a régi barátunk, az ADSI editor (a mazochisták majdnem minden AD és Exchange adminisztrációt megcsinálhatnak ebben a progiban :D )
Alapból nem sok minden látszódik benne, de mindjárt eláraszt minket infóval:

Jobb klikk az ADSI edit ikonra a bal oldalt, majd connect:

Kiválasztjuk, hogy melyik kontextushoz akarunk csatlakozni (DN, Schema, Configuration, stb) majd az advanced gomb lenyomása után megadhatjuk a tartományi felhasználónevet, és meg is nyílik szépen.

A DN és Configuration context megnyitása után:

A DN-ben ugyanaz látható mint az ADUC-ben a haladó beállítások engedélyezése után, a Configuration-ban pedig az Exchange és egyéb dolgok beállításai található. Sajnos mivel még nem vagyok tagja semmilyen Exchange csoportnak, így a configuration, services, Microsoft Exchange konténert üresnek látom :(
Ugyanígy hozzácsatlakozhatunk a másik erdőhöz, ha a trust be van rendesen állítva, és a DNS is működik.

De ADSI editből milyen információt is tudunk kinyerni ami most épp lényeges a számunkra a tervezéshez:

1, A tartományvezérlők száma, és operációs rendszere:
A DN-ben megnyitva a domain-t, és a domain controllers OU-t, látható, hogy hány db tartományvezérlő van, (itt épp 10db) valamint az első tulajdonságait megnyitva a következők derülnek ki:

Ez a gép Hyper-V-n fut, Windows Server 2003 R2 oprendszer, SP2 telepítve, kicsit lejjeb görgetve pedig látható, hogy mikor telepítették.
Ugyanitt, a printQueue osztályban láthatóak a telepített nyomtatók:

2, Domain és forest functional level:
Domain esetén:

A DN-ben a domain tulajdonságait megnyitni, majd az msDS-Behavior-Version attribútumot sasolni ezerrel.
0 és nTMixedDomain = 1 esetén a domain Windows 2000 mixed módban fut
0 és nTMixedDomain = 0 esetén a domain Windows 2000 natív módban fut
2 értéknél a domain Windows 2003 módban fut
3-nál Windows 2008 módban
4-nél Windows 2008 R2 módban
5-nél Windows 2012 módban

Forest estén:
Configuration, partition, majd a forest nevére jobb klikk, tulajdonságok, és szintén az msDS-Behavior-Version adja meg a választ:

0 = Windows 2000
1 = Windows 2003 interim
2 = Windows 2003
3 = Windows 2008
4 = Windows 2008 R2
5 = Windows 2012

3, DHCP, Cisco ACS
Ha létezik a Configuration / Services / Cisco ACS konténer, akkor valahol van Cisco ACS a hálón.
A Configuration / Services / NetServices-ben található a hitelesített DHCP szerverek listája

4, Tanusítványszolgáltatások, OCS/Lync, AD RMS
A PKI infrastruktúra beállításait a Configuration / Services / Public Key Services-ben
OCS / Lync valószínűleg telepítve van ha a sémában megtaláljuk az ms-RTC kiterjesztéseket
Az RMS beállítások pedig a Configuration / Services / RightsManagementServices-ben vannak.

5, Séma verzió, schema master server
A séma verziójából kiderül, hogy melyik telepítővel csinálták meg az adprep /forestprep parancsot, és ha frissíteni kell akkor ezt is be kell tervezni
Ezek az adatok a séma objektum tulajdonságainál lehet megnézni:

fSMORoleOwner: a schema master szerver neve
objectVersion: a séma verziószáma

Win2000: 13
Win2003: 30
Win2003 R2: 31
Win2008: 44
Win2008 R2: 47
Win2012: 57

Még ezeken kívül sok-sok infót ki lehet nyerni az ADSI editből, de első résznek elég lesz ennyi. :)

Hozzászólások

(#1) kraftxld


kraftxld
nagyúr

Topiknyitó hsz, legyen némi szakma is, ne csak f@szbook, apple meg ilyenek :D

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

(#2) bobsys válasza kraftxld (#1) üzenetére


bobsys
addikt

Apple mondjon le, Samsung szar, a cikket meg nem olvastam :D

Enterprise Admin? Kirk kapitany leszel? - Ne törődjél semmivel, egyél zsömlét kiflivel

(#3) D1Rect


D1Rect
félisten

A bejegyzésben tényleg nincs vicces videó? :F

01110011 01101000 01101111 01110010 01110100 01110101 01110010 01101100 00101110 01100001 01110100 00101111 01100010 01101110 01110100 01001111 01010101

(#4) kraftxld válasza D1Rect (#3) üzenetére


kraftxld
nagyúr

Majd kerítek valami fán lévő levelet evő kecskés videót ha nagyon igényli a nép :D

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

(#5) Samus


Samus
addikt

Én a folytatást igénylem, illetve az említett "majd lesz alapozó bejegyzés is" :)

'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!

(#6) pschio


pschio
őstag

Még még még!!! :R

''Én nem süllyedek a hülyék szintjére, mert ott legyőznének a rutinjukkal''

(#7) CsodaPOK


CsodaPOK
senior tag

Köszi a cikket és várom a folytatást.

ADSI editor (a mazochisták majdnem minden AD és Exchange adminisztrációt megcsinálhatnak ebben a progiban

A folytatást e mondat szellemiségében kérjük :DDD :DDD

(#8) sztikac válasza pschio (#6) üzenetére


sztikac
senior tag

+1 :)

(#9) bugizozi


bugizozi
őstag

Köszi a cikket, jól sikerült iromány, vár(om)/juk a folytatást :R

VCP6-DCV, CCNA ||| Ami működik, ahhoz nem szabad hozzányúlni!

(#10) jonagy válasza kraftxld (#1) üzenetére


jonagy
újonc

Hell!

Nagyszerű cikk, de..

1. Aki az alapoknál sem tart annak ez nem való, depláne aki nem tudni angol.
2. nem vág a szakmámba, mégis érthető, gratula! (kapcsolódás a cisco ACS-nél...)
3. Inkább a zélandi szakmáról, életről írjál pls.

köszi!
jonagy

További hozzászólások megtekintése...
Copyright © 2000-2022 PROHARDVER Informatikai Kft.