я сделал аудит Active Directory... и нашел НЕЧТО
ฝัง
- เผยแพร่เมื่อ 2 ต.ค. 2024
- Привет, друзья. Это видео предназначено для ведущих специалистов в области информационных технологий, ИТ-менеджеров, системных администраторов, а также всех, кто интересуется процессом ИТ-аудита и стремится улучшить эффективность и безопасность своей ИТ-инфраструктуры. В этой серии видео я покажу вам, как я провожу ИТ-аудит, начиная с определения области аудита и заканчивая реализацией конкретных действий для оптимизации ИТ-системы.
Мы начнем с основ - что именно входит в область аудита, и через какие этапы нам предстоит пройти. Я поделюсь с вами своими методиками и подходами к аудиту, которые помогут выявить потенциальные угрозы и уязвимости, а также определить пути их устранения. Вместе мы посмотрим на реальные примеры и ситуации, с которыми я сталкивался в своей практике, и обсудим, как применить полученные знания на практике в вашей собственной ИТ-среде.
Я надеюсь, что мои советы и рекомендации помогут вам в вашей работе и станут полезным инструментом для достижения лучших результатов.
Подписывайся на Boosty и Patreon чтобы забрать практику и получить кучу полезных Use Case'ов.
Мой Телеграм (запись на менторство или консультацию): t.me/idiyatov_pro
Сообщество на Patreon: patreon.com/us...
Сообщество на Boosty: boosty.to/serg...
Сообщество на TH-cam: / @sergey-idiyatov
Telegram чат (для общения в сообществе): t.me/+xe0zRLVD...
Приятного просмотра!
Очень ждём видео про информационную безопасность! Расскажешь?
Да, будет в виде одного из блоков ролика про инфраструктуру в целом)
Такая рекомендация была необходима для доменов NT4 и Windows 2000. Если по какой-то причине меняется IP адрес на контроллере, то остальные контроллеры об этом не знают и обращаются за репликами по старому IP. В доменах Windows 2003, 2008 эта проблема была устранена. Контроллер домена будет регить свой новый IP и на других указанных dns серверах.
Регить он не будет, он зарегает в одном месте, а потом зона реплицируется вместе с каталогом ad. А вот случись что - будешь выгребать)
Спасибо большое за видео, не только за это, а за все. Всё очень грамотно рассказано и показано. У меня возник вопрос, по поводу параметров DNS раз он промелькнул в видео. Я думаю, что правильнее указать свой IP потом другого сервера или это тоже не верно? и собственно сам вопрос. а правильно ли указать все записи в dns из разрозненных сетей (локальных (домашних) и тех что торчат в интернет), и включить все в AD`шку . P.S. я не являюсь сис.админом. просто мне эта тема интересна, после установки локального Windows Server`а для себя для удобства на работе... и потихоньку узнаю что к чему...
Спасибо за обратную связь! Да, верно - сначала свой адрес, потом адрес соседнего КД. А вот сам вопрос к сожалению не понял, что имеется ввиду. Объясни плиз
Серег, как корректно удалить сервера пересылки, я так понимаю что просто выбрать его IP и удалить из списка не вариант? Или я может усложняю, просто пересматривал у себя настройки и вот такая лабуда досталась мне по наследству ))) У меня почему-то там адрес шлюза прописан.
Привет) Адрес шлюза прописан скорее всего потому что там DNS пересылка на нем работает на провайдера, например.
Выбери нерабочее время, проверь состояние root hints, проверь что фаервол у тебя пропускает DNS трафик (командой nslookup) и попробуй удалить серверы пересылки
И что же с настройкой ДНС не так? Во всех мануалах написано что сначало прописываем соседний, потом свой.
Производитель так не считает :). Можно проверить запустив на любом домен контроллере BPA, например, или посмотреть на technet.
@@Sergey-Idiyatov холивары на эту тему не прекращаются уже не один десяток лет.
есть мнение, что сначала нужно опрашивать соседний, чтоб на локальном записи обновлялись. особенно это рекомендуется делать на резервных контроллерах. это немного противоречит логике, как может показаться, но на самом деле клиент может поменять свой адрес на ближайшем сервере и это будет не твой.
в общем, кросс-кверинг имеет свою логику и лучше подходит для сетей, где высокая динамика.
а вообще, неправильная настройка днс - это примерно половина "успеха" в Аду))
@@Sergey-Idiyatov BPA как раз говорит 1й соседний а 2й локалхост
@@ВладимирБалашов-б2о сходи проверь)
Мальчик Саша в it c 14 лет)
Если на обоих поднята роль dns, можно ничего не указывать вообще. ))) На первом нечего на втором первый.)))
Так делать не стоит)
Говорил, что потом расскажешь, что плохого в том, что нашел из недостатков и не рассказал :)
во время подготовки этого видео был не опытен)))
Спасибо.🎉
Я думаю я ответил)
Про Forwarders в DNS-сервере хотелось бы услышать. Почему же всё таки это ужасно ?
Потому что как только ты настроил форвардеры - ты больше не управляешь процессом разрешения самостоятельно. У тебя есть функционирующий DNS, а он просто пересылает запросы Forwarder'у. Форвардер недоступен - внешние записи не разрешаются (а у тебя есть все, чтобы их разрешать самостоятельно!). Ты поменял во внешней зоне DNS запись, а чтобы ее увидеть у своих клиентов тебе больше не достаточно сбросить кэш на DNS сервере и клиенте - тебе надо ждать, пока он истечет на форвардере твоем (которым ты не управляешь). И это касается не только записей, но и если ты делегировал домен на другие NS-серверы, например, тоже (потому что это по сути тоже изменение записей, но только записей типа NS)
здравствуйте)не планируете разобрать вакансию какую нибудь всратую на админа!)
да я давно хочу стрим сделать, но чувствую не соберу аудиторию)
Основной ДНС сервер - это тот, на который ты обращаешься в первую очередь. Резервный опрашивается в случае, если основной не доступен.
Зачем спрашивать у соседа правильный ответ на вопрос, если ты его знаешь сам? Какая то вообще не обоснованная нагрузка. А вот уже если твой DNS-сервер упал, тогда можешь и к соседу сходить, он подскажет.
Я вот только не понимаю, почему на КД, когда указан свой адрес, он написан через 192.168.... , а не 127.0.0.1
Ну это как я понимаю)
Все верно ты говоришь, но народ не устает делать такие ошибки :)
И да, использовать надо именно реальный сетевой адрес своего сетевого адаптера, а не loopback. Так у тебя DC начнет авторизовываться и регать свои записи только после того как поднялась сеть и DC. Иначе могут быть проблемы с нахождением партнеров по репликации. Подробнее: learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff807362(v=ws.10)?redirectedfrom=MSDN#impact
> Зачем спрашивать у соседа правильный ответ на вопрос, если ты его знаешь сам?
потому что не факт, что твой ответ правильный))
так делают в сетях, где очень много динамических клиентов. днс-записи на мастере обновляются точечно путём запроса/сравнения со слейвом в больших распределённых сетях.
если у тебя новые клиенты приходят-уходят несколько раз в минуту, то будет немного накладно реплицировать так часто весь днс-сервер. для этого мастер всегда сначала запрашивает слейва и если там запись более свежая, то он обновляет её у себя.
ну а вообще, всё это строго индивидуально и нужно проводить исследования, чтоб понять, какая модель тебе подойдёт лучше.
указывать свой адрес первым - это дефолтная отказоустойчивая модель, которая будет работать всегда и подходит всем.
указывать первым соседний адрес нужно только тем, кто хорошо понимает, ЗАЧЕМ он это делает.
Спасибо за видео. Очень информативно
Рад что понравилось :) Какую тему хотите увидеть еще?
@@Sergey-Idiyatov Вообще интересно было бы создать плейлист и в него добавлять видео - по типу путь с 0. И в каждом видео все больше и больше рассматривать разных задач с повышением сложности.
ну по AD слишком много не наснимаешь) но вот, например, развертывание инфраструктуры целиком с Exchange, FS, CA и тд... make sense
Можно кстати это поделать на стримах
Так и не рассказал, как надо настраивать адаптеры DNS
Будет видео с рекомендациями в конце аудита :)
Тебе бы похудеть, уже 2 подбородок торчит ё-маё). Но это, конечно, личное дело каждого.
P/S - Что бы не быть голословным, похудел на 15 кг, просто сидя за компом (то есть с низкой физической активностью). Сейчас добиваю последние 5 килограмм).
20.04.2024
что за волшебная таблетка? :)
@@Sergey-Idiyatov Ну, лично я отказался от сладкого и сахара, мучного, и стал подсчитывать калории (всю еду взвешивал на весах).
В теории, можно есть всё, но соблюдать дефицит калорий, и тогда будешь худеть).
Так же я не пью и не курю, но это база для меня, тут сложностей нет).
Можешь посмотреть информацию на каналах - Ярослав Брин, Freshlife28.
P/s - Раз в неделю могу съесть шаверму, или фастфуд). Чит-мил называется. Но,в начале пути увлекаться не стоит, ибо может случиться зажор, как говорят)).
Больше похоже на фитнес клуб или на отель, со своими а2 клуб , менеджер , и рецептион, некогда было админу красоту наводить, пока он софт этот дебажил от компании a&a и занимался возвратами и отменами в роли бухгалтера
видимо да 😂
Кто заказчик? Кого аудировали?
Производственная компания в одном из регионов, любезно согласившаяся на этот аудит)
@@Sergey-Idiyatov любезно согласившаяся на распространение К и КТ? ;)
@@Benkyyy именно )