Bezpečné virtualizace služby Active Directory Domain Services (AD DS)

Od Windows Serveru 2012 poskytuje služba AD DS větší podporu virtualizace řadičů domény zavedením funkcí bezpečných pro virtualizaci. Tento článek vysvětluje roli sítí USN a invocationID v replikaci řadiče domény a popisuje některé potenciální problémy, ke kterým může dojít.

Aktualizace pořadových čísel a ID vyvolání

Virtuální prostředí představují jedinečné problémy s distribuovanými úlohami, které závisí na logickém schématu replikace založeném na hodinách. Například replikace služby AD DS používá monotonicky rostoucí hodnotu (označovanou jako USN nebo pořadové číslo aktualizace) přiřazenou transakcím na každém řadiči domény. Každá instance databáze řadiče domény má také identitu, která se označuje jako InvocationID. InvocationID řadiče domény a jeho USN společně slouží jako jedinečný identifikátor přidružený ke každé transakci zápisu prováděné na každém řadiči domény a musí být jedinečný v rámci lesa.

Replikace služby AD DS používá na každém řadiči domény InvocationID a USN k určení změn, které je potřeba replikovat do jiných řadičů domény. Pokud se řadič domény vrátí zpět v čase mimo povědomí řadiče domény a hodnota USN se znovu použije pro úplně jinou transakci, replikace se neskonverguje, protože ostatní řadiče domény budou věřit, že už obdržely aktualizace spojené s opětovným použitím USN v kontextu tohoto invocationID.

Například následující obrázek znázorňuje posloupnost událostí, ke kterým dochází v operačních systémech Windows Server 2008 R2 a starších, když se na cílovém řadiči domény VDC2, který je spuštěn na virtuálním počítači, zjistí vrácení USN zpět. Na tomto obrázku dochází k detekci vrácení hodnoty USN zpět ve VDC2, když partner replikace zjistí, že VDC2 odeslal hodnotu USN up-to-dateness, kterou dříve viděl partner replikace, což značí, že databáze VDC2 se nesprávně vrátila zpět.

Virtuální počítač umožňuje správcům hypervisoru snadno vrátit unikátní sekvenční čísla (USN) řadiče domény (jeho logického počítadla), například použitím snímku mimo povědomí řadiče domény. Další informace o USN a vrácení zpět USN, včetně další ilustrace, která demonstruje nedetekované instance vrácení zpět USN, najdete v tématu USN a vrácení zpět USN.

Od Windows Serveru 2012 mohou virtuální řadiče domény AD DS hostované na hypervisorových platformách, které zpřístupňují identifikátor nazvaný VM-Generation ID, detekovat a využívat potřebná bezpečnostní opatření k ochraně prostředí AD DS, pokud se virtuální počítač vrátí zpět v čase aplikací snímku VM. Návrh VM-GenerationID používá nezávislý mechanismus hypervisoru k zveřejnění tohoto identifikátoru v adresních prostorech hostovaného virtuálního počítače, takže bezpečné prostředí virtualizace je konzistentně dostupné u jakéhokoli hypervisoru, který podporuje VM-GenerationID. Tento identifikátor můžou vzorkovat služby a aplikace spuštěné uvnitř virtuálního počítače, aby zjistily, jestli se virtuální počítač vrátil zpět v čase.

Účinky vrácení USN zpět

Když dojde ke zpětnému vrácení hodnoty USN, změny objektů a atributů se nereplikují cílovými řadiči domény, jimž již byl tento USN zobrazen.

Vzhledem k tomu, že se tyto cílové řadiče domény domnívají, že jsou aktuální, nejsou v protokolech událostí adresářové služby ani pomocí monitorovacích a diagnostických nástrojů hlášeny žádné chyby replikace.

Vrácení hodnoty USN může mít vliv na replikaci jakéhokoli objektu nebo atributu v libovolném oddílu. Nejčastěji pozorovaným vedlejším účinkem je, že uživatelské účty a účty počítačů vytvořené na řadiči domény vrácení zpět neexistují u jednoho nebo více partnerů replikace. Nebo aktualizace hesel, které pocházejí ze zpětného řadiče domény, neexistují u partnerů replikace.

Vrácení hodnoty USN může zabránit replikaci kteréhokoliv typu objektu v kterékoliv části služby Active Directory. Mezi tyto typy objektů patří:

• Topologie a plán replikace služby Active Directory
• Existence řadičů domény v doménové struktuře a rolí, které tyto řadiče domény zastávají
• Existence oddílů domény a aplikací v doménové struktuře
• Existence skupin zabezpečení a jejich aktuálních členství ve skupinách
• Registrace záznamů DNS v zónách DNS integrovaných ve službě Active Directory

Velikost mezery USN může představovat stovky, tisíce nebo dokonce desítky tisíc změn týkajících se uživatelů, počítačů, důvěryhodných vztahů, hesel a bezpečnostních skupin. Díra USN je definována rozdílem mezi nejvyšším číslem USN, které existovalo při zálohování obnoveného stavu systému, a počtem původních změn vytvořených na vráceném řadiči domény před tím, než byl přesměrován do režimu offline.

Zjištění obnovení zpětného stavu USN.

Vzhledem k tomu, že návrat USN je obtížné zjistit, řadič domény zaznamená událost 2095, když zdrojový řadič domény odešle dříve potvrzené číslo USN cílovému řadiči domény bez odpovídající změny v ID vyvolání.

Aby se zabránilo vytvoření jedinečných aktualizací služby Active Directory na nesprávně obnoveném řadiči domény, služba Net Logon je pozastavena. Když je služba Net Logon pozastavena, uživatelské a počítačové účty nemohou změnit heslo na řadiči domény, který tyto změny nebude replikovat směrem ven. Podobně nástroje pro správu služby Active Directory budou při provádění aktualizací objektů ve službě Active Directory upřednostňovat řadič domény, který je v pořádku.

V řadiči domény se zaznamenají zprávy událostí, které se podobají následujícím zprávám, pokud jsou splněny následující podmínky:

• Zdrojový řadič domény odešle dříve potvrzené číslo USN cílovému řadiči domény.
• V ID vyvolání neexistuje žádná odpovídající změna.

Tyto události mohou být zaznamenány v protokolu událostí adresářové služby. Mohou být přepsány dříve, než je správce pozoruje.

Pokud máte podezření, že došlo k rollbacku USN, ale v protokolech událostí se nezobrazuje odpovídající událost, zkontrolujte v registru položku DSA Nezapisovatelná. Tato položka poskytuje forenzní důkazy o tom, že došlo k vrácení USN.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Registry entry: Dsa Not Writable
Value: 0x4

Warning

Odstranění nebo ruční změna hodnoty položky registru Dsa Not Writable způsobí, že řadič domény určený pro vrácení se zpět se dostane do trvale nepodporovaného stavu. Proto tyto změny nejsou podporovány. Konkrétně úprava hodnoty odebere chování karantény přidané kódem pro zjištění zvratu USN. Oddíly služby Active Directory na řadiči domény pro vrácení změn budou definitivně nekonzistentní s přímými a tranzitivními partnery replikace v rámci stejné doménové struktury služby Active Directory.

Další informace o tomto klíči registru a postupu řešení najdete v článku podpory Chyba replikace služby Active Directory 8456 nebo 8457: Zdroj | Cílový server v současné době odmítá žádosti o replikaci.

Ochrana založená na virtualizaci

Během instalace řadiče domény služba AD DS zpočátku ukládá identifikátor VM GenerationID jako součást atributu msDS-GenerationID v objektu počítače řadiče domény ve své databázi (často označovaný jako strom informací o adresáři nebo DIT). ID generování virtuálního počítače je nezávisle sledováno ovladačem systému Windows uvnitř virtuálního počítače.

Když správce obnoví virtuální počítač z předchozího snímku, porovná se aktuální hodnota VM GenerationID z ovladače virtuálního počítače s hodnotou v DIT.

Pokud se obě hodnoty liší, id vyvolání se resetuje a fond identifikátorů RID se zahodí, čímž zabrání opakovanému použití čísla USN. Pokud jsou hodnoty stejné, transakce je potvrzena jako normální.

Služba AD DS také porovná aktuální hodnotu VM GenerationID z virtuálního počítače s hodnotou v DIT pokaždé, když se řadič domény restartuje, a pokud se liší, resetuje id vyvolání, zahodí fond RID a aktualizuje DIT novou hodnotou. Kromě toho neautoritativně provádí synchronizaci složky SYSVOL pro dokončení bezpečného obnovení. To umožňuje ochranu rozšířit na aplikaci snímků na virtuálních počítačích, které byly vypnuty. Tato bezpečnostní opatření zavedená ve Windows Serveru 2012 umožňují správcům služby AD DS využívat jedinečné výhody nasazení a správy řadičů domény ve virtualizovaném prostředí.

Následující ilustrace ukazuje, jak jsou aplikována opatření ochrany virtualizace, když je na virtualizovaném řadiči domény, který běží na Windows Server 2012 a hypervisoru podporujícím VM-GenerationID, detekován stejný rollback USN.

Když hypervisor zjistí změnu hodnoty VM-GenerationID, jsou spuštěny ochranné mechanismy virtualizace, včetně resetování ID invokace virtualizovaného řadiče domény (z A na B v předchozím příkladu) a aktualizace hodnoty VM-GenerationID uložené na virtuálním počítači tak, aby odpovídala nové hodnotě (G2) uložené hypervisorem. Bezpečnostní opatření zajišťují, že replikace konverguje pro oba řadiče domény.

V systému Windows Server 2012 služba AD DS využívá ochranu na virtuálních řadičích domény hostovaných na hypervisorech kompatibilních s VM-GenerationID a zajišťuje, aby náhodná aplikace snímků nebo jiných mechanismů s podporou hypervisoru, které by mohly vrátit zpět stav virtuálního počítače, nenarušily prostředí služby AD DS tím, že brání vzniku problémů s replikací, jako je USN bublina nebo přetrvávající objekty.

Obnovení řadiče domény použitím snímku virtuálního počítače se nedoporučuje jako alternativní mechanismus zálohování řadiče domény. Doporučujeme, abyste dál používali zálohování Windows Serveru nebo jiná řešení zálohování založená na VSS.

Caution

Pokud se řadič domény v produkčním prostředí omylem vrátí ke snímku, doporučujeme konzultovat dodavatele aplikací a služeb hostovaných na daném virtuálním počítači kvůli pokynům k ověření stavu těchto programů po obnovení snímku.

Další informace najdete v tématu Architektura bezpečného obnovení virtualizovaného řadiče domény.

Obnovení po zpětném převrácení USN

Existují dva přístupy k zotavení ze zpětného vrácení USN:

• Odeberte řadič domény z domény
• Obnovení stavu systému z dobré zálohy

Odeberte řadič domény z domény

1. Odeberte službu Active Directory z řadiče domény, aby byl nucen stát se samostatným serverem.
2. Vypněte server s omezenými funkcemi.
3. Na zdravém řadiči domény vyčistěte metadata odsunutého řadiče domény.
4. Pokud nesprávně obnovený řadič domény hostuje role hlavního operačního serveru, přeneste tyto role do řadiče domény, který je v pořádku.
5. Restartujte degradovaný server.
6. Pokud je to potřeba, nainstalujte službu Active Directory na samostatný server znovu.
7. Pokud byl řadič domény dříve globálním katalogem, nakonfigurujte řadič domény tak, aby byl globálním katalogem.
8. Pokud řadič domény dříve hostoval operační role, přeneste je zpět do řadiče domény.

Obnovení stavu systému z dobré zálohy

Vyhodnoťte, jestli pro tento řadič domény existují platné zálohy stavu systému. Pokud byla provedena platná záloha stavu systému před nesprávným obnovením řadiče domény vrácenou zpět a záloha obsahuje nedávné změny provedené na řadiči domény, obnovte stav systému z nejnovější zálohy.

Snímek můžete použít také jako zdroj zálohy. Nebo můžete nastavit databázi tak, aby se pomocí postupu v části Obnovení virtuálního řadiče domény v případě, že není k dispozici odpovídající záloha dat o stavu systému, získala nové ID vyvolání.

Další kroky

• Další informace o řešení potíží s virtualizovanými řadiči domény najdete v tématu Řešení potíží s virtualizovaným řadičem domény.
• Podrobné informace o službě Windows Time Service (W32Time)