অ্যাক্টিভ ডিরেক্টরি 2012 এলডিএপি ইন্টিগ্রেশন পরিষেবা অধ্যক্ষের নাম এন্ট্রি গায়েব হয়ে যাচ্ছে?

এডি বৈশিষ্ট্যগুলির ক্যোয়ারী থেকে পাইথন পরিষেবা তৈরি করা

আমি 2012 এডি ব্যবহারকারীর বৈশিষ্ট্যগুলি (বিভাগ, বিভাগ, ফোন এক্সটেনশান, ইমেল ইত্যাদি) জিজ্ঞাসা করতে পাইথন-এলডিএপি ওভার এসএএসএল (ডিজিট-এমডি 5) ব্যবহার করে লিনাক্সে পাইথন চালিত ওয়েব পরিষেবাগুলির সাথে আমাদের এডি সংহত করছি। ২০০৩ সালের AD এর বিপরীতে আমার সেবার জন্য নির্দিষ্ট কিঙ্কসটি কাজ করার পরে আমি আমাদের নতুন AD 2012 এর বিপরীতে এসপিএন ত্রুটি চালাতে শুরু করেছি, যে ডাইজেস্ট-ইউরি সার্ভারে কোনও এসপিএন এর সাথে মেলে না। আমি উভয় সার্ভারের জন্য এসপিএন তালিকা ক্রস রেফারেন্স করেছি এবং সেগুলিতে একে অপরের অভিন্ন এনালগ রয়েছে।

ত্রুটি: ডাইজেস্ট-ইউরি এই সার্ভারের জন্য নিবন্ধিত কোনও এলডিএপি এসপিএন এর সাথে মেলে না

ঠিক করা?

এটি চালিয়ে ঠিক করা হয়েছিল:

setspn -A ldap/<Domain_Name> <Computer_Name>

নোট করুন যে একটি পরিষেবা অ্যাকাউন্ট তৈরি করা আমার এসপিএন ত্রুটিটি ঠিক করে নি এমনকি নিম্নলিখিত কমান্ডটি চালিত হওয়ার পরেও:

setspn -A ldap/<Domain_Name> <Domain_Name>/<Service_Account_Name>

সরল_বিন্দ_ () এর এসপিএন দরকার নেই, সাসল_আন্টিটিভ_বাইন্ড_ () এর এসপিএন দরকার

কেবল স্থানীয় মেশিনে এসপিএন যুক্ত করা এসপিএন তালিকায় আমার পাইথন-এলডিএপি সেবার জন্য স্যাসেল_ইন্টেটিভ_বাইন্ড_ () ব্যবহার করে কাজ করেছে। আমার এও লক্ষ্য করা উচিত যে আমি সরল_বাইন্ড () ব্যবহার করলে এসপিএন পদক্ষেপটি এড়ানো যায় তবে এই পদ্ধতিটি ক্লিয়ারটেক্সটে শংসাপত্রগুলি প্রেরণ করে যা অগ্রহণযোগ্য।

তবে আমি লক্ষ্য করেছি যে রেকর্ডটি কেবল অদৃশ্য হওয়ার আগে প্রায় এক মিনিটের জন্য এসপিএন তালিকায় থাকে? আমি যখন সেপস্পেন কমান্ডটি চালাচ্ছি তখন কোনও ত্রুটি নেই, ইভেন্ট লগগুলি সম্পূর্ণ খালি, কোথাও কোনও সদৃশ নেই, বেস ডিএন-এ -F বন-প্রশস্ত অনুসন্ধানের সাথে চেক করা হয়েছে। আমি যুক্ত করেছি এবং পুনরায় যুক্ত করার চেষ্টা করেছি এবং অপসারণ করেছি এবং এসপিএনটিকে বস্তু থেকে অন্য কোনও জায়গায় লুকিয়ে রাখছি না তা যাচাই করার জন্য সরানো হয়েছে, তবে দ্বিতীয়টি আমি যে কোনও স্থানে যুক্ত করেছিলাম এবং তারপরে পুনরায় যুক্ত করার চেষ্টা করে আমাকে একটি সদৃশ বলে। সুতরাং আমি খুব আত্মবিশ্বাসী যে কোথাও কোনও সদৃশ লুকানো নেই।

হ্যাক

আপাতত আমি একটি তফসিলযুক্ত কাজ পেয়েছি যাতে রেকর্ডটি তালিকায় রাখার জন্য কমান্ডটি পুনরায় চালিত করা যায় যাতে আমার পরিষেবাটি "এসপিএন হ্যাক" নামে যথাযথভাবে কাজ করবে

cmd.exe /C "setspn -A ldap/<Domain_Name> <Computer_Name>"

এসপিএন তালিকা থেকে কেন পরিষ্কার করা হচ্ছে তা অবধি আমি খুঁজে পাচ্ছি না।

আমি এই নির্দিষ্ট এডি এর প্রাথমিক প্রশাসক নই, অ্যাডমিনের কোনও পরিষেবা চলতে পারে যা এপি তে অন্য কোনও পরিষেবা থেকে এসপিএন সিঙ্ক করে এবং সে সম্পর্কে সচেতন হতে পারে না? আমার শিরোনাম ওয়েব বিকাশকারী, অজুহাত হিসাবে নয় তবে অ্যাক্টিভ ডিরেক্টরি সম্পর্কিত বিষয়গুলির জন্য আমার অজ্ঞতা ব্যাখ্যা করার জন্য। আমাকে AD কে মাস্টার ইউজার ডিবি তৈরি করতে বলা হয়েছে এবং আমি প্রচুর পড়ছি তবে এসপিএন নিয়ে লোকেরা যে কোনও সমস্যা নিয়ে চলেছে তা নির্দিষ্ট সময়ে পর্যায়ক্রমে 'পরিষ্কার করা' বা কোনটিই খুঁজে পাই না এবং প্রশাসকরা এসকিউএল সার্ভার এন্ট্রিগুলির বাইরে এসপিএন এর সাথে খুব পরিচিত।

আমার হ্যাক লাগবে কেন?

এখনও পর্যন্ত আমার হ্যাকটি কোনও ব্যবহারকারীর বা পরিষেবাগুলির জন্য কোনও সমস্যা সৃষ্টি করেছে এবং কোনও ত্রুটি তৈরি করেছে বলে মনে হচ্ছে না, তাই অ্যাডমিন বলেছে যে সে কেবল এটি চালিয়ে দেবে এবং আমি সন্ধান করব। তবে আমি নিজেকে এমন একটি পরিষেবা লেখার অনিশ্চিত পরিস্থিতিতে দেখতে পেলাম যার বাস্তবায়নটি মূলত ক্রোন হ্যাক / কাঁপুনি দিয়ে লেখা আছে ... সুতরাং, যে কোনও সাহায্যের প্রশংসা করা হবে।

হালনাগাদ

সিসাদমিনের সাথে কথোপকথনের পরে তিনি একমত হয়েছিলেন যে একটি হ্যাকের শীর্ষে পরিষেবা তৈরি করা কোনও সমাধান নয়, তাই তিনি আমাকে স্থানীয় উদ্দেশ্যে একটি এন্ডপয়েন্ট এনক্রিপশন দিয়ে স্পাই করার অনুমতি দিয়েছেন যা আমি আমার উদ্দেশ্যে ব্যবহার করতে পারি, ফলাফলটি একই । এসপিএন কীভাবে পরিষ্কার হয়ে যাচ্ছে তার জন্য আমি নজর রাখব। পাইথন-এলডিএপি ব্যবহার করে স্থানীয় বাইন্ডগুলি কোনও সমস্যা নয় এবং লোকাল পরিষেবাটি ইতিমধ্যে কেবল এক ঘন্টা বা আরও কয়েক ঘন্টা পরে চলছে। এটি দুর্ভাগ্যজনক যে আমি মূলত এলডিএপি-তে অন্তর্নির্মিত কার্যকারিতাটি গুটিয়ে রাখি তবে আমাদের যা করতে হবে তা আমরা করি।

এটি একটি সত্যই আকর্ষণীয় (এবং বিরক্তিকর) ঘটনা এবং আমি জোর দিয়ে বলছি যে এখানে কী চলছে তা আমরা খুঁজে বের করব।

সৌভাগ্যক্রমে, উইন্ডোজ সার্ভারের ২০০৮ সাল থেকে কিছু সূক্ষ্ম দানযুক্ত অডিটিং নীতি রয়েছে এবং কে এটি করেছে তা খুঁজে বের করার জন্য আমরা অডিটিং ব্যবহার করতে পারি । এটি করার জন্য, আমাদের এগুলি করতে হবে:

1. কোথায় এসপিএন পরিবর্তন ঘটে তা সন্ধান করুন
2. AD ডিএস অবজেক্ট চেঞ্জ অডিটিং সক্ষম করুন
3. বস্তুর উপর একটি অডিট এসিই সেট করুন
4. ত্রুটি পুনরুত্পাদন
5. আপত্তিজনক ডিসিতে সুরক্ষা লগটি পরীক্ষা করুন

এসপিএন পরিবর্তনটি কোথায় ঘটে তা সন্ধান করুন:

কোনও ডোমেন নিয়ামককে একটি উন্নত কমান্ড প্রম্পট খুলুন এবং এই আদেশটি জারি করুন:

repadmin /showobjmeta . "CN=computerAccount,DC=domain,DC=local"|findstr servicePricipalName

আউটপুটে ডোমেন কন্ট্রোলারের নাম থাকবে যা মূলত সার্ভিসের বর্তমান সংস্করণটি লিখেছিল মূলত: প্রিন্সিপাল নেম বৈশিষ্ট্যগুলির মান:

AD ডিএস অবজেক্ট চেঞ্জ অডিটিং সক্ষম করুন:

যদি কোনও বিশ্ব নিরীক্ষণ নীতি ইতিমধ্যে সংজ্ঞায়িত না করা হয় তবে আপনি পূর্ববর্তী ধাপে চিহ্নিত ডোমেন নিয়ন্ত্রকের স্থানীয় সুরক্ষা নীতিতে এই পরিবর্তনটি করতে পারেন

গোষ্ঠী নীতি পরিচালনা কনসোল ( gpmc.msc) খুলুন Default Domain Controllers Policyএবং এটি সম্পাদনা করুন and

1. যাও Computer Configuration -> Windows Settings -> Security Settings
2. নির্বাচন করুন এবং প্রসারিত করুন Local Policies -> Security Options
3. নিশ্চিত করুন যে অডিট: জোর করে নিরীক্ষণ নীতি উপশ্রেনী সেটিংস ... সক্ষম এ সেট করা আছে
4. নির্বাচন করুন এবং প্রসারিত করুন Advanced Audit Policy -> Audit Policies -> DS Access
5. অডিট ডিরেক্টরি পরিষেবা পরিবর্তনগুলি কমপক্ষে সাফল্যে সেট করা আছে তা নিশ্চিত করুন

বস্তুর উপর একটি অডিট এসি সেট করুন:

অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারী এবং কম্পিউটার ( dsa.msc) খুলুন এবং "দেখুন" মেনুতে "উন্নত বৈশিষ্ট্য" সেটিংটি পরীক্ষা করুন।
কম্পিউটার অ্যাকাউন্টে নেভিগেট করুন, এটিকে ডান-ক্লিক করুন এবং বৈশিষ্ট্যগুলি নির্বাচন করুন। সুরক্ষা ট্যাবটি চয়ন করুন এবং "উন্নত" বোতামটি টিপুন।

প্রম্পটে, অডিটিং ট্যাবটি নির্বাচন করুন এবং নিশ্চিত করুন যে "সমস্ত সম্পত্তি লিখুন" প্রত্যেকের জন্য নিরীক্ষণ করা হচ্ছে । যদি না হয় বা আপনার সন্দেহ হয় তবে একটি নতুন এন্ট্রি যুক্ত করুন:

1. অ্যাড টিপুন ।
2. লক্ষ্য অধ্যক্ষ হিসাবে "প্রত্যেককে" ইনপুট করুন
3. প্রকার হিসাবে "সাফল্য" নির্বাচন করুন
4. বৈশিষ্ট্যের অধীনে নীচে স্ক্রোল করুন এবং "পরিষেবা লিখুন প্রিন্সিপালনাম" পরীক্ষা করুন
5. এন্ট্রি যুক্ত করতে এবং এডিইউসি থেকে প্রস্থান করতে ওকে টিপুন

( আপনি যদি অলস হন তবে আপনি কেবল "সমস্ত সম্পত্তি লিখুন" নির্বাচন করতে পারেন )

ত্রুটি পুনরুত্পাদন

আপনার প্রশ্ন থেকে মনে হচ্ছে এসপিএন প্রতি মিনিট বা তার কয়েক মিনিটে মুছে ফেলা হয়েছে, সুতরাং এটি সম্ভবত সবচেয়ে সহজ পদক্ষেপ। একটি নিন 1 মিনিট সঙ্গীত পাঠ গড় সময়।

আপত্তিজনক ডিসিতে সুরক্ষা লগটি পরীক্ষা করুন

এখন যেহেতু এক মিনিট কেটে গেছে, আসুন প্রথম ধাপে প্রবর্তক হিসাবে চিহ্নিত ডোমেন কন্ট্রোলারের সুরক্ষা লগটি পরীক্ষা করে দেখুন large

1. ইভেন্ট দর্শকটি খুলুন এবং এতে নেভিগেট করুন Windows Logs -> Security
2. ডান প্যানেলে ফিল্টার কারেন্ট লগ নির্বাচন করুন
3. " <All Event IDs>" বলার ইনপুট ক্ষেত্রে , ইনপুট 5136 (এটি ডিরেক্টরি অবজেক্টের পরিবর্তনের ইভেন্ট আইডি)

আপনার এখন servicePrincipalNameকম্পিউটার অ্যাকাউন্টে বৈশিষ্ট্যের প্রতিটি পরিবর্তনের জন্য ইভেন্টের এন্ট্রিটি সন্ধান করা উচিত ।

পরিবর্তনের জন্য দায়ী "বিষয়" সনাক্ত করুন এবং দেখুন কোথা থেকে এসেছে। সেই প্রক্রিয়া / মেশিন / অ্যাকাউন্টটিকে আগুন দিয়ে হত্যা করুন!

বিষয় হিসেবে চিহ্নিত করা হয়, তাহলে SYSTEM, ANONYMOUS LOGONবা একভাবে জেনেরিক বিবরণ, আমরা ডোমেন নিয়ন্ত্রক নিজেই অভ্যন্তরীণ প্রক্রিয়াকরণ সঙ্গে তার আচরণ করছি, এবং আমরা খুঁজে বের করতে কি হচ্ছে কিছু NTDS ডায়গনিস্টিক লগিং আউট বিরতি করতে হবে। দয়া করে প্রশ্নটি আপডেট করুন this