AD相关
1.什么是活动目录墓碑时间,默认设置是多久?
活动目录墓碑时间是指从在AD中删除某对象开始,到该对象真正被删除的时间间隔。这个时间间隔的默认值是60天,但自Windows Server 2003开始,这个时间间隔有所增加,为180天。这样做是为了保证这种删除操作被复制到域中其它的DC。
在AD中,被删除的对象并不会立即消失,而是会被标记为“已删除”,并保留在活动目录中一段时间,这段时间就是所谓的墓碑生存时间。在这段时间内,被删除的对象信息仍然存在于活动目录数据库中,并且可以通过相应的工具进行恢复。
在墓碑生存时间结束后,这些被标记为“已删除”的对象将被彻底从活动目录中删除。这个时间间隔是固定的,不能进行调整。如果要缩短这个时间间隔,需要重新考虑数据备份和恢复策略,以确保数据的完整性和可用性。
2.AD中SID history是什么,以及其作用是什么?
在AD(Active Directory)中,SID(Security Identifier)History是一个属性,它与用户账户的访问权限和身份验证相关。
每个用户在AD中都有一个关联的安全标识符(SID),这个SID用于跟踪安全主体控制用户连接资源时的访问权限。当用户账户发生更改,例如在域迁移过程中,SID也会相应地改变。
在域迁移过程中,如果用户的SID发生了改变,系统会将原来的SID添加到迁移后用户的SID History属性中。这个属性的作用是保持域用户的访问权限。因为如果迁移后用户的SID值改变,会导致用户无法访问以前可以访问的资源。通过将原来的SID添加到SID History属性中,可以使迁移后的用户保持原有权限,能够访问其原来可以访问的资源。
以上信息仅供参考,可以查阅与SID History相关的专业书籍或者咨询AD管理员获取更全面更准确的信息。
3.FSMO有几个角色以及每个角色的功能? 如何使用PowerShell迁移?
FSMO(Flexible Single Master Operations)有5个角色,包括架构主机(Schema Master)、域命名主机(Domain Naming Master)、基础架构主机(Infrastructure Master)、相对标识符(RID)主机和PDC模拟器(PDC Emulator)。
架构主机负责维护活动目录架构,包括定义和修改目录架构。域命名主机负责域的创建和删除,以及域名的解析。基础架构主机负责维护域成员关系,包括添加、删除和修改对象。RID主机负责分配RID,即分配给每个新创建的用户的唯一标识符。PDC模拟器是PDC操作的主机,负责处理所有与身份验证相关的请求。
使用PowerShell迁移FSMO角色的步骤如下:
查看当前FSMO角色信息:使用Get-ADForest或Get-ADDomain命令,可以查看当前林范围或域范围的FSMO角色信息。也可以使用netdom query fsmo来查询当前FSMO角色位于哪些服务器上:
选择新的FSMO角色拥有者:选择一个新的服务器来拥有FSMO角色。
执行FSMO角色迁移:使用Move-ADDirectoryServerOperationMasterRole命令,将FSMO角色从原来的服务器迁移到新的服务器上。需要指定FSMO角色的类型,以及新的FSMO角色的拥有者。
例如,要将架构主机迁移到新的服务器上,可以执行以下命令:
Move-ADDirectoryServerOperationMasterRole -Identity newserver -OperationMasterRole SchemaMaster
4.FRS与DFSR的功能与区别是什么?
FRS(File Replication Service)和DFSR(Distributed File System Replication)都是用于文件复制的服务,但它们的功能和特点有所不同。
FRS是早期的一种文件复制服务,它主要用于在文件服务器之间同步文件。然而,FRS在可伸缩性和效率方面可能存在一些问题。
DFS-R是一种更强大的多主机文件复制服务,它在文件服务器同步的可伸缩性和效率方面都大大优于FRS。DFS-R可以用于将分支机构的数据复制到其他分支机构和中央服务器,其中任何一台中央服务器都可在分支机构服务器失效时充当备份源。此外,DFS-R支持在数据库丢失或遭破坏的情况下自动执行恢复,还支持复制计划和带宽调节。在数据压缩方面,DFS-R采用了一种称为RDC的新式压缩算法。
总的来说,DFS-R在功能和性能上相较于FRS有了很大的提升,更适合于大规模、高效率的文件复制场景。
5.什么是NTLM和Kerberos,以及它们间最主要区别是什么?
NTLM和Kerberos是两种在网络中使用的身份验证协议。
NTLM (New Technology LAN Manager)是Microsoft专有的身份验证协议,基于对称密钥加密技术,需要资源服务器为用户提供身份验证、完整性和机密性。NTLM不支持双因子身份验证(2FA),被广泛使用在早期的Windows版本中,如Windows 95、Windows 98和Windows ME中,NTLM是默认的身份验证协议。
Kerberos是一种基于票证的认证系统,用于在登录系统时对用户信息进行身份验证。它基于对称密钥加密技术,并且依赖于可靠的第三方,在身份验证阶段使用私有密钥加密。Kerberos开发了不同版本以增强身份验证的安全性,通常在Microsoft产品(例如Windows 2000,Windows XP和更高版本的Windows)中实现。Kerberos取代NTLM作为Windows 2000和后续Active Directory中的默认认证协议。
NTLM和Kerberos的主要区别在于它们的安全性和可扩展性。Kerberos提供了更强的安全性,因为它使用私钥加密,并依赖于可靠的第三方进行认证,而NTLM仅支持单点登录,且不支持双因子身份验证。此外,Kerberos通常在Microsoft产品中实现,而NTLM是Microsoft专有的协议。
6.Lastlogon 和 LastLogonTimestamp 最主要区别是什么?
LastLogon和LastLogonTimestamp都是用于记录用户登录时间的属性,但它们之间存在一些主要的区别。
LastLogon是记录用户最后一次在该域控制器上进行认证的时间。然而,这个属性并不会在域控制器之间进行复制,所以如果需要确定用户最后一次登录域的时间,必须在所有域控制器上查看LastLogon,取其中最大的那个值即为用户的最后一次登录时间。此外,LastLogon只记录交互式登录和Kerberos验证的用户。
LastLogonTimestamp则是一个可以复制到其他域控制器的属性,因此管理员只需从一个域控制器上就能获取到用户上次登录的信息。这个属性会记录所有交互式登录、Kerberos和NTLM验证的用户。它可以根据一个更新间隔来更新(注意:要启用这个属性,域功能级别必须是Windows Server 2003及以上版本)。因此,LastLogonTimestamp能够反映出账号长时间没有登录的情况,同时减少了AD复制流量,减轻了网络负担。
总结来说,LastLogon和LastLogonTimestamp的主要区别在于:LastLogon是特定域控制器的登录时间,不会在域控制器之间复制,而LastLogonTimestamp是可以在域控制器之间复制的属性,能够反映出账号长时间没有登录的情况。
7.ADCS是什么,企业内部部署的最佳实践是什么?
ADCS(Active Directory Certificate Services)是企业中重要的安全服务,它提供了一个集中的框架来管理、颁发和审计数字证书。这些数字证书用于在网络中建立信任,从而确保数据的安全性和完整性。
关于ADCS在企业内部部署的最佳实践,以下是一些建议:
- 规划和管理:首先,需要制定详细的规划和管理策略,包括确定所需的证书类型、颁发和管理的最佳实践以及安全审计的策略。
- 角色分离:确保ADCS服务器上的角色分离,以减少潜在的安全风险。例如,颁发证书的服务器不应同时负责管理用户账户。
- 安全的网络环境:ADCS服务器应部署在安全的环境中,例如在DMZ区域中,并使用防火墙来限制对服务器的访问。
- 使用强密码和多因素身份验证:为ADCS服务器使用强密码,并启用多因素身份验证,以提高安全性。
- 备份和恢复策略:制定详细的备份和恢复策略,以防止数据丢失或设备故障。
- 监控和日志记录:通过监控ADCS的性能和活动,以及记录日志,可以及时发现并解决潜在的安全问题。
- 定期更新和维护:定期更新ADCS服务器和相关软件,以修复任何已知的漏洞。此外,定期进行系统维护,以确保服务器的稳定性和性能。
- 培训和意识提升:为员工提供有关ADCS的培训,并提高他们对网络安全的认识。此外,定期进行安全意识提升活动,以保持员工对网络安全的警觉性。
- 灾难恢复计划:制定灾难恢复计划,以应对自然灾害或其他重大事件导致ADCS服务中断的情况。
- 合规性检查:确保ADCS的部署符合相关的法规和标准要求。
以上建议仅供参考,实际部署中还需根据企业的具体情况进行调整和完善。
8.DC服务器最常用的端口有哪些,其功能是什么? 加域计算机与DC服务器间需要开放的防火墙端口有哪些?
1)与AD DS相关的端口有:
135--TCP--RPC Endpoint Mapper
88--TCP&UDP--Kerberos
389--TCP&UDP---LDAP
636--TCP&UDP---LDAPS (LDAP over SSL)
3268--TCP---LDAP GC (LDAP Global Catalog)
3269--TCP---LDAPS GC (LDAP Global Catalog over SSL)
445--TCP---SMB (Microsoft CIFS)
53--TCP&UDP---DNS
123--UDP---NTP(Network Time Protocol)
137--UDP----NetBIOS Name Service
138--UDP---NetBIOS Datagram Service
139--TCP---NetBIOS Session Service
两台DC之间AD DS数据库数据复制,默认是使用动态RPC端口:
其范围是49152~65535之间。
2)要将客户端计算机加入域时要用到的端口为:
445--TCP---SMB (Microsoft CIFS)
88--TCP&UDP--Kerberos
53--TCP&UDP---DNS
389--TCP&UDP---LDAP
137--UDP----NetBIOS Name Service
138--UDP---NetBIOS Datagram Service
139--TCP---NetBIOS Session Service
3)计算机登录用到的端口:
445--TCP---SMB (Microsoft CIFS)
88--TCP&UDP--Kerberos
53--TCP&UDP---DNS
389--TCP&UDP---LDAP
4)建立域信任时用到的商品:
445--TCP---SMB (Microsoft CIFS)
88--TCP&UDP--Kerberos
53--TCP&UDP---DNS
389--TCP&UDP---LDAP
636--TCP&UDP---LDAPS (LDAP over SSL)
5)验证域信任时用到的端口:
445--TCP---SMB (Microsoft CIFS)
88--TCP&UDP--Kerberos
53--TCP&UDP---DNS
389--TCP&UDP---LDAP
137--UDP----NetBIOS Name Service
138-----NetBIOS Datagram Service
139--TCP---NetBIOS Session Service
9.如何备份与还原DC? 权威恢复与非权威恢复间的区别?
1)备份DC:
安装备份工具(Windows Server Backup):
Install-WindowsFeature Windows-Server-Backup
备份DC服务器的系统状态:
wbadmin start systemstatebackup -backuptarget:\\HK-DC01\software\DC_Bak
2)还原DC:
在系统状态备份完成后,若AD DS数据损坏,可以通过执行“非授权还原(nonauthoritative restore)” 来修复 AD DS。如果系统无法启动,就无法执行非授权还原,而必须执行完整服务器还原。
进入目录服务修复模式(Directory Services Restore Mode,DSRM):
bcdedit /set {bootmgr} displaybootmenu Yes
重启服务器,进入Windows 启动管理界面,按F8.
在高级启动选项,选择“目录修复模式”
执行“非授权还原(nonauthoritative restore)”:
使用系统管理员来登录系统(.\Administrator)
打开“开始”--“Windows 管理工具”--"Windows Server Backup",
点击左侧的"本地备份"----“还原”:
也可以通过wbadmin命令来恢复:
wbadmin get versions -backuptarget:\\HK-DC01\software\DC_bak
记下要恢复的备份版本,执行:
wbadmin start systemstaterecovery -version:11/07/2023-12:36 -backuptarget:\\HK-DC01\Software\DC_Bak -authsysvol
执行“授权还原”:
在DC上执行非授权还害的后,不要重启服务器,就可以执行“授权还原”:
ntdsutil
activate instance ntds
authoritative restore
restore object cn=wendy,ou=ZH,ou=NB,DC=nipit,DC=cn
quit
quit
repadmin /syncall hk-dc02.nipit.cn /e /d /A /P
/e--表示所有站点内的DC
/d--表示以distinguished name (DN) 来识别服务器
/A--表示同步此DC内的所有目录分区
/P--表示同步方向为以此DC(hk-dc02)上的数据向其他DC同步。
在restore的时候,分为权威性及非权威性恢复2种,
一般我们做的都是非权威性恢复
所谓非权威性恢复是指将AD对象恢复到原先备份时的版本号,然后进入正常的AD中自动运行.
权威性恢复是指做完非权威性恢复后,将AD对象的版本号提高,以使它成为最高最权威的,其它DC以它为准来进行复制.
10.WSUS需要哪些定期维护才能维持正常服务?
为了确保WSUS(Windows Server Update Services)的正常服务,需要进行以下定期维护:
- 数据库维护:WSUS数据库在服务器上存储了大量数据,包括更新、计算机、报告和状态信息。定期对数据库进行清理、备份和优化,可以确保数据库的完整性和稳定性。
- 更新管理:WSUS负责管理和分发更新,因此需要定期检查和清理过期的更新。管理员应该定期运行WSUS清理向导,删除不需要的更新和旧的计算机数据,以避免占用存储空间和降低服务器性能。
- 报告分析:WSUS提供了详细的报告功能,可以帮助管理员了解WSUS服务器的状态和更新分发情况。定期分析这些报告可以帮助管理员及时发现和解决问题,并优化WSUS的性能。
- 安全更新:WSUS服务器应该及时应用安全更新,以确保服务器的安全性和稳定性。管理员应该定期检查安全更新并安装到WSUS服务器上。
- 服务器监控:定期监控WSUS服务器的状态和性能可以帮助管理员及时发现和解决问题。管理员可以使用系统工具和第三方工具来监控WSUS服务器的CPU使用率、内存使用情况、磁盘空间等指标。
- 备份策略:定期备份WSUS数据库和相关文件可以帮助管理员在发生故障时快速恢复数据。建议使用可靠的备份工具,并制定详细的备份策略,包括备份频率、备份位置和备份保留策略等。
- 网络连接检查:定期检查WSUS服务器与客户端计算机之间的网络连接是否正常,以确保更新分发和报告传输的可靠性。
- 权限管理:确保具有适当权限的用户才能访问WSUS服务器和数据库。管理员应该设置合适的权限策略,并定期审查权限分配情况,以确保只有授权用户才能访问敏感数据和配置信息。
- 硬件和软件更新:定期检查硬件和软件的兼容性和更新情况,以确保WSUS服务器的正常运行。如果需要升级或更换硬件组件,请先进行备份并测试新硬件的兼容性。
- 用户支持和培训:定期为用户提供支持和培训,帮助他们正确配置和使用WSUS客户端,并了解如何利用WSUS报告和通知功能来管理更新和安全策略。
通过执行以上维护任务,可以确保WSUS服务器的正常工作和稳定性,并提高更新的分发效率和管理能力。