среда, 18 августа 2010 г.

Вопросы по Active Directory.


Решил сделать небольшую подборку интересных вопросов по Active Directory. Данные вопросы в основном нацелены на проверку понимания работы служб Active Directory. На некоторые из этих вопросов трудно ответить сходу, в таких случаях необходимо время на поиск. Таким образом, можно проверить, на сколько хорошо специалист умеет искать информацию, анализировать ее, фильтровать и правильно трактовать. Проще говоря, это называется уметь читать. В наш информационный век это чуть ли не самое главное качество и достоинство специалиста. Данное мастерство приходит с годами, а точнее с количеством прочитанных книг.
Данные вопросы, думаю можно смело задавать соискателю на должность инженера, эксперта по Core Infrastructure. Я, кстати, в данный момент являюсь соискателем :). Ответы можно присылать по адресу f o r m a t 0 0 7 @ y a n d e x . r u, в ответ напишу правильные. В дальнейшем придумаю еще вопросы (здесь только часть) по AD, ну и по Core Infrastructure в целом. Возможно по Messaging (хотя сейчас это уже UC).

Стоит отметить, что данные вопросы относятся в основном к Windows Server 2003 Active Directory (иначе указан конкретная версия AD). Не смотря на это, многие из вопросов относятся и к Windows 2000 Server, к 2008 и 2008 R2.

Не отрицаю, что могут быть ошибки, комментируйте, исправлю.
Приступим:
1.  Какие изменения в методах репликации произошли в GC Windows Server 2003 по сравнению с GC Windows Server 2000 при изменении (добавлении, удалении) признака PAS (partial attribute set) в схеме?
2.  Сколько полных реплик NC (naming context), без учета NC-приложений, находится на GC в трех доменном лесе?  Частичных реплик?
3.  Возможен ли поиск по всему лесу при соединении с GC по порту 389? Почему?
4.  Требуется ли доступность GC для разрешения членства в универсальных группах в однодоменном лесу? В много доменном лесу для пользователя из домена с функциональным уровнем Windows Server 2000 Native/2003? Имеет ли значение уровень домена/леса при таких операциях? Какой?
5.  Сценарий доступности GC из 4, но для операций логона по UPN в однодоменном лесу? В многодоменном лесу? Имеет ли значение уровень леса/домена при таких операциях? Какой?
6.  Для чего членство универсальных групп реплицируется на глобальный каталог?
7.  Членство в каких группах (доменно-локальных, глобальных, универсальных) реплицируется на GC? Членство каких групп может быть на GC?
8.  Как происходит разрешение UPN при логоне, если пользователь из одного леса, входит на рабочую станцию другого леса,  при этом существуют доверительные отношения между доменами леса (для упрощения — двухсторонние, глобальные (domain-wide))? Как происходит вход по UPN между лесами при наличии forest-trust? А если в обоих лесах есть домены с одинаковыми именами?
9.  Рассмотрим такую топологию: один лес, два сайта (A и B), два домена (A и B); в сайте A  есть 3 контроллера домена из домена A, в сайте B есть три контроллера домена из домена B и один из домена A. Если указать один контроллер домена из сайта A в качестве предпочтительного сервера-плацдарма (Bridgehead Server, BH) и впоследствии он будет выведен из строя (недоступен), будет ли выбран другой контроллер домена из этого же сайта в качестве BH? Предположим, что в сайте A не указаны предпочтительные BH, а в сайте B в качестве предпочтительных  BH указаны контроллеры домена из домена B, будет ли контроллер домена из домена A сайта B выбран в качестве сервера-плацдарма для репликации NC домена A?
10. При обращении к GC по 3268 возможны ли операции модификации объектов? возвращение атрибутов не входящих в PAS?
12. В каких случаях используется UDP для LDAP?
13. Для репликации каких контекстов именования можно использовать SMTP в качестве транспорта?
14. Какие контексты именования не поддерживают авторизованное восстановление?
15. Рассмотрим ситуацию: Вы добавили группу MyAccountAdmin в группу Account Operators (Уровень леса Windows Server 2003), после этого вы делегировали полномочия другому администратору на добавление членов в группу MyAccountAdmin.  Все работает, человек с делегированными правами добавляет пользователей в группу MyAccountAdmin. Спустя некоторое время вам сообщают о невозможности добавления членов в группу MyAccountadmin. Что случилось?
16. Какие типы групп кэшируются в процессе Universal Group Membership Caching (UGMC)?
17. Для чего необходима FSMO-роль Infrastructure? желательно развернуть ответ со ссылкой на внутреннюю структуру NTDS.dit.
18. Что такое объекты Foreign Security Principal?
19. Какой ролью обновляются объекты Foreign Security Principal и соответствующие ссылки на эти объекты?
20. Во время изменения схемы проверяются ли объекты других контекстов именования на валидность новой схемы?
21. Рассмотрим такую ситуацию: есть определенный в схеме атрибут, attrX, строковый, максимальная длина 25, атрибут ассоциирован с некоторым классом — classX. Предположим что существуют объекты класса classX, атрибут attrx которых заполнен до 25 символов. Что произойдет со значениями атрибута attrX существующих объектов classX, если мы изменим максимальную длину атрибута attrX до 10?
22. Опишите процесс входа пользователя по UPN (однодоменный лес, много доменный лес).
23. Где хранится кэш универсальных групп полученный в процессе Universal Group Membership Caching (UGMC)?
24. Как сохранить кэш универсальных групп полученный в процессе Universal Group Membership Caching при перезапуске контроллера домена?
25. Опишите процесс Universal Group Membership Caching при первом входе пользователя в сайт? Обновление кэша? Последующий вход?
26. Как происходит выбор глобального каталога при Universal Group Membership Caching.
27. Какой учетной записи разрешается входить в домен при недоступности глобального каталога (upn-вход, универсальные группы)?
28. Как происходит обмен кэшем Universal Group Membership Caching между контроллерами домена?
29. Максимальное (по умолчанию) число учетных записей для которых производится обновление кэша универсальных групп?
30. Может ли быть включена опция кэширования универсальных групп, если в сайте есть Windows 2000 Server контроллеры домена? Если включить опцию при этих условиях, каковы возможные последствия?
31. Используется ли расписание репликации связи сайтов (site link) в процессе обновления кэша универсальных групп?
32. Для построения маркера (возврат списка групп) используются данные о членстве в группах из кэша или непосредственно из «родного» контекста именования  контроллера домена.
33. Какая служба предоставляет матрицу стоимости сайтов? Какими компонентами используется?
34. Что будет если указать сайт для обновления кэша универсальных групп, в котором нет глобального каталога или на момент процесса обновления кэша глобальный каталог недоступен?
35. Как очистить кэш UGMC?
36. Как запустить процесс обновления кэша UGMC?
37. Рассмотрим такую ситуацию: есть сайт, для него включен механизм UGMC, в сайте два контроллера из разных доменов (DC1 и DC2), пользователь впервые входит в домен (DC1). Когда и как будет заполнен UGMC на DC2 для этого пользователя?
38. Почему не рекомендуется назначать права на объекты Active Directory с использованием доменно-локальных групп?
39. Назовите условия объявления GC к готовности выполнять свои функции (isGlobalCatalogReady=true), при различных версиях ОС? Допускается ли объявление GC без репликации частичных реплик всех доменов леса (кроме своего)? Допускается ли неполная (не все объекты)   репликация частичных реплик на DC до объявления DC в качестве GC (isGlobalCatalogReady=true)?
40. Может ли выступать GC в качестве источника репликации для другого GC? Может ли выступать GC в качестве источника репликации для DC (не GC)?
41. Что такое up-to-dateness vector? Для чего предназначен?
42. Что такое high-watermark ? Для чего предназначен?
43. В чем отличие up-to-dateness от high-watermark?
44. Что такое invocationID? Как используется при восстановлении из резервной копии?
45. Почему существует практическое ограничение (примерно) на 5000 членов в группе в лесу с функциональным уровнем windows 2000? Осталось ли ограничение на добавление одновременно более 5000 членов в группу в лесу с функциональным уровнем Windows 2003?
46. Какие проблемы могут быть при авторизованном восстановлении объектов с обратными ссылками после перехода на лес с функциональным уровнем Windows Server 2003? Какие есть способы решения данных проблем?
47. Рассмотрим такую ситуацию: Имеется три сайта (SiteA, SiteB, SiteC), два домена (DomainA, DomainB), два контроллера домена для DomainA (DC1, DC2)   и один контроллер домена для DomainB (DC3). DC1 и DC3 – глобальные каталоги. Связь сайтов LINK-A-B связывает сайты SiteA и SiteB, связь сайтов LINK-B-C связывает сайты SiteB и SiteC. Контроллеры домена DC1, DC2 и DC3 располагаются в сайтах SiteA, SiteC, и SiteB соответственно. Все остальные настройки по умолчанию. При недоступности связи между контроллерами домена DC1 и DC2 (сайтами SiteA и SiteC) будут ли созданы соединения (между этими контроллерами) для репликации DomainA? При недоступности связи между контроллерами домена DC1 и DC2 (сайтами SiteA и SiteC) будет ли реплицироваться контекст DomainA (попадут ли изменения сделанные на DC1 на DC2)?

48. Опишите принцип объявления атрибута как прямой ссылки (forward-link) и обратной ссылки (backward link)? Как это выглядит в БД ntds.dit?
49. Как в LDAP-запросе вернуть значения многозначного атрибута частично (порциями)?
50. Что такое конфиденциальный атрибут?
51. Назовите категории классов, которые можно создать в схеме. Опишите особенности и назначение каждой категории.
52. изменение коннектов репликации. Изменение при помощи adsiedit.msc.
53. Кратко опишите способы отката расширения схемы в лесу.
54. Почему не рекомендуется размещать FSMO-роль Infrastructure на GC? При каких условиях можно/нельзя?
55. Может ли использоваться протокол Kerberos между не доменной машиной и доменной? 
56. Можно ли удалить объекты из контекста именования схемы? Как предотвратить немедленное удаление экземпляров отключенных классов? Как предотвратить  немедленную очистку атрибутов у экземпляров классов, у которых есть отключенные атрибуты? Доступны ли экземпляры отключенных классов для чтения, изменения, удаления? Доступны ли для чтения, изменения, удаления отключенные атрибуты у экземпляров классов (операции проводятся с экземплярами классов, у которых есть отключенные атрибуты)?
57. Может ли FSMO-роль Schema и Domain Naming располагаться на DC не из корневого домена?
58. Можно ли создать объекты класса или атрибута в схеме с одинаковыми идентификаторами (AttributeID, governsID, ldapDisplayName и т.д.)? Могут ли быть эти классы активными?
59. -
60. Можно ли откатить назад операцию повышения функциональной роли леса/домена?
61. В какой версии Windows появились функциональные уровни леса?
62. Поддерживает ли режим функционирования Windows 2003 Interim контроллеры домена Windows 2000 Server? Контроллеры домена Windows Server 2008? Контроллеры домена Windows Server 2008 R2?
63. Какие проверки делаются при повышении функционального режима леса? Домена? (с учетом различных версий контроллеров домена и различных уровней функционирования домена).

12 комментариев:

Unknown комментирует...

Это прекрасно. Редко когда такие дельные вещи попадаются. Спасибо.

[ster.id] комментирует...

Интересно, подпишусь на RSS

Unknown комментирует...

Вопросы получились крайне неравнозначны по уровню и с большим уклоном на сторону функционирования ГК.
52й вопрос - самый понятный.
59й вопрос - самый сложный! ;)

В 15 вопросе надо бы уточнить, что через короткое время и при этом, мол, никто не "менял разрешений" и членство в AO.
Вопрос 32 ("Для построения маркера<...>") невнятно сформулирован, я считаю.

К своему стыду не смог ответить на некоторые вопросы...
Самыми сложными для меня оказались вопросы: 38, 39, 51 и 63.

Что режет глаза: domain-wide в контексте _доверительных отношений_ - "<...> при этом существуют доверительные отношения между доменами леса (для упрощения — двухсторонние, глобальные (domain-wide)<...>".

Жду продолжения.

Может, стоит опубликовать ответы отдельным постом?

Efimov Gennady комментирует...

Обязательно опубликую через некоторое время.

часть вопросов делал заведомо не правильными (или неправильно сформулированными). Тут ответчик должен опровергнуть и сказать правильный ответ.

Анонимный комментирует...

Я мечтаю увидеть подобный вопросник по Linux системам! Никто не подскажет есть где?

Efimov Gennady комментирует...

>>getopts:
А вы их сами составьте.

Анонимный комментирует...

Hello! nice blog!

Анонимный комментирует...

not so sure about that..

Анонимный комментирует...

I about such yet did not hear

Анонимный комментирует...

большое спасибо было очень интересно прочитать

Андрей Вахитов комментирует...

Приветствую. Возник вопрос на тему USN Rollback...
Если выполнить следующую последовательность действий, то мы его получим или нет?
1) снять снапшот базы ч/з NTDSUTIL
2) остановить службы AD
3) заменить файл NTDS.DIT на тот, который в снапшоте;
4) Выполнить из контекста NTDSUTIL полномочное восстановление OU.
А то нет понимания статьи в технете...

Анонимный комментирует...

Отличчная статяь, мне нравитсся, достойно.