Главная Networks, Windows, Без рубрики, Новое Взрыв мозга. Вопросы по Active Directory.
  • Взрыв мозга. Вопросы по Active Directory.

    mozg Решил сделать небольшую подборку интересных вопросов по Active Directory. Данные вопросы в основном нацелены на проверку понимания работы служб Active Directory. На некоторые из этих вопросов трудно ответить сходу, в таких случаях необходимо время на поиск. Таким образом, можно проверить, на сколько хорошо специалист умеет искать информацию, анализировать ее, фильтровать и правильно трактовать. Проще говоря, это называется уметь читать. В наш информационный век это чуть ли не самое главное качество и достоинство специалиста. Данное мастерство приходит с годами, а точнее с количеством прочитанных книг.

    Данные вопросы, думаю можно смело задавать соискателю на должность инженера, эксперта по Core Infrastructure. Я, кстати, в данный момент являюсь соискателем :). Ответы можно выкладывать в комментариях, как только дискуссия в обсуждения поутихнет, будут выложены правильные ответы. В дальнейшем придумаю еще вопросы (здесь только часть) по AD, ну и по Core Infrastructure в целом. Возможно по Messaging (хотя сейчас это уже UC).

    Чем еще могут помочь данные вопросы? Я, например, использую их для повторения материала. Как правило в вопросах всегда присутствует ответ или подсказка. А когда вопросы формализованы, то на них легче ответить. Нет необходимости сначала формулировать в голове, потом обдумывать, искать ответ.

    Не отрицаю, что могут быть ошибки, комментируйте, исправлю.

    Данные вопросы в основном относятся к Windows Server 2003 Active Directory, если не указано иначе. Но в основном они распространяются и на 2000/2008/2008R2.

    Приступим:

    1.  Какие изменения в методах репликации произошли в GC Windows Server 2003 по сравнению с GC Windows Server 2000 при изменении (добавлении, удалении) признака PAS (partial attribute set) в схеме?

    2.  Сколько полных реплик NC (naming context), без учета NC-приложений, находится на GC в трех доменном лесе?  Частичных реплик?

    3.  Возможен ли поиск по всему лесу при соединении с GC по порту 389? Почему?

    4.  Требуется ли доступность GC для разрешения членства в универсальных группах в однодоменном лесу? В много доменном лесу для пользователя из домена с функциональным уровнем Windows Server 2000 Native/2003? Имеет ли значение уровень домена/леса при таких операциях? Какой?

    5.  Сценарий доступности GC из 4, но для операций логона по UPN в однодоменном лесу? В многодоменном лесу? Имеет ли значение уровень леса/домена при таких операциях? Какой?

    6.  Для чего членство универсальных групп реплицируется на глобальный каталог?

    7.  Членство в каких группах (доменно-локальных, глобальных, универсальных) реплицируется на GC? Членство каких групп может быть на GC?

    8.  Как происходит разрешение UPN при логоне, если пользователь из одного леса, входит на рабочую станцию другого леса,  при этом существуют доверительные отношения между доменами леса (для упрощения – двухсторонние, глобальные (domain-wide))? Как происходит вход по UPN между лесами при наличии forest-trust? А если в обоих лесах есть домены с одинаковыми именами?

    9.  Рассмотрим такую топологию: один лес, два сайта (A и B), два домена (A и B); в сайте A  есть 3 контроллера домена из домена A, в сайте B есть три контроллера домена из домена B и один из домена A. Если указать один контроллер домена из сайта A в качестве предпочтительного сервера-плацдарма (Bridgehead Server, BH) и впоследствии он будет выведен из строя (недоступен), будет ли выбран другой контроллер домена из этого же сайта в качестве BH? Предположим, что в сайте A не указаны предпочтительные BH, а в сайте B в качестве предпочтительных  BH указаны контроллеры домена из домена B, будет ли контроллер домена из домена A сайта B выбран в качестве сервера-плацдарма для репликации NC домена A?

    10. При обращении к GC по 3268 возможны ли операции модификации объектов? возвращение атрибутов не входящих в PAS?

    12. В каких случаях используется UDP для LDAP?

    13. Для репликации каких контекстов именования можно использовать SMTP в качестве транспорта?

    14. Какие контексты именования не поддерживают авторизованное восстановление?

    15. Рассмотрим ситуацию: Вы добавили группу MyAccountAdmin в группу Account Operators (Уровень леса Windows Server 2003), после этого вы делегировали полномочия другому администратору на добавление членов в группу MyAccountAdmin.  Все работает, человек с делегированными правами добавляет пользователей в группу MyAccountAdmin. Спустя некоторое время вам сообщают о невозможности добавления членов в группу MyAccountadmin. Что случилось?

    16. Какие типы групп кэшируются в процессе Universal Group Membership Caching (UGMC)?

    17. Для чего необходима FSMO-роль Infrastructure? желательно развернуть ответ со ссылкой на внутреннюю структуру NTDS.dit.

    18. Что такое объекты Foreign Security Principal?

    19. Какой ролью обновляются объекты Foreign Security Principal и соответствующие ссылки на эти объекты?

    20. Во время изменения схемы проверяются ли объекты других контекстов именования на валидность новой схемы?

    21. Рассмотрим такую ситуацию: есть определенный в схеме атрибут, attrX, строковый, максимальная длина 25, атрибут ассоциирован с некоторым классом – classX. Предположим что существуют объекты класса classX, атрибут attrx которых заполнен до 25 символов. Что произойдет со значениями атрибута attrX существующих объектов classX, если мы изменим максимальную длину атрибута attrX до 10?

    22. Опишите процесс входа пользователя по UPN (однодоменный лес, много доменный лес).

    23. Где хранится кэш универсальных групп полученный в процессе Universal Group Membership Caching (UGMC)?

    24. Как сохранить кэш универсальных групп полученный в процессе Universal Group Membership Caching при перезапуске контроллера домена?

    25. Опишите процесс Universal Group Membership Caching при первом входе пользователя в сайт? Обновление кэша? Последующий вход?

    26. Как происходит выбор глобального каталога при Universal Group Membership Caching.

    27. Какой учетной записи разрешается входить в домен при недоступности глобального каталога (upn-вход, универсальные группы)?

    28. Как происходит обмен кэшем Universal Group Membership Caching между контроллерами домена?

    29. Максимальное (по умолчанию) число учетных записей для которых производится обновление кэша универсальных групп?

    30. Может ли быть включена опция кэширования универсальных групп, если в сайте есть Windows 2000 Server контроллеры домена? Если включить опцию при этих условиях, каковы возможные последствия?

    31. Используется ли расписание репликации связи сайтов (site link) в процессе обновления кэша универсальных групп?

    32. Для построения маркера (возврат списка групп) используются данные о членстве в группах из кэша или непосредственно из "родного" контекста именования  контроллера домена.

    33. Какая служба предоставляет матрицу стоимости сайтов? Какими компонентами используется?

    34. Что будет если указать сайт для обновления кэша универсальных групп, в котором нет глобального каталога или на момент процесса обновления кэша глобальный каталог недоступен?

    35. Как очистить кэш UGMC?

    36. Как запустить процесс обновления кэша UGMC?

    37. Рассмотрим такую ситуацию: есть сайт, для него включен механизм UGMC, в сайте два контроллера из разных доменов (DC1 и DC2), пользователь впервые входит в домен (DC1). Когда и как будет заполнен UGMC на DC2 для этого пользователя?

    38. Почему не рекомендуется назначать права на объекты Active Directory с использованием доменно-локальных групп?

    39. Назовите условия объявления GC к готовности выполнять свои функции (isGlobalCatalogReady=true), при различных версиях ОС? Допускается ли объявление GC без репликации частичных реплик всех доменов леса (кроме своего)? Допускается ли неполная (не все объекты)  репликация частичных реплик на DC до объявления DC в качестве GC (isGlobalCatalogReady=true)?

    40. Может ли выступать GC в качестве источника репликации для другого GC? Может ли выступать GC в качестве источника репликации для DC (не GC)?

    41. Что такое up-to-dateness vector? Для чего предназначен?

    42. Что такое high-watermark ? Для чего предназначен?

    43. В чем отличие up-to-dateness от high-watermark?

    44. Что такое invocationID? Как используется при восстановлении из резервной копии?

    45. Почему существует практическое ограничение (примерно) на 5000 членов в группе в лесу с функциональным уровнем windows 2000? Осталось ли ограничение на добавление одновременно более 5000 членов в группу в лесу с функциональным уровнем Windows 2003?

    46. Какие проблемы могут быть при авторизованном восстановлении объектов с обратными ссылками после перехода на лес с функциональным уровнем Windows Server 2003? Какие есть способы решения данных проблем?

    47. Рассмотрим такую ситуацию: Имеется три сайта (SiteA, SiteB, SiteC), два домена (DomainA, DomainB), два контроллера домена для DomainA (DC1, DC2)  и один контроллер домена для DomainB (DC3). DC1 и DC3 – глобальные каталоги. Связь сайтов LINK-A-B связывает сайты SiteA и SiteB, связь сайтов LINK-B-C связывает сайты SiteB и SiteC. Контроллеры домена DC1, DC2 и DC3 располагаются в сайтах SiteA, SiteC, и SiteB соответственно. Все остальные настройки по умолчанию. При недоступности связи между контроллерами домена DC1 и DC2 (сайтами SiteA и SiteC) будут ли созданы соединения (между этими контроллерами) для репликации DomainA? При недоступности связи между контроллерами домена DC1 и DC2 (сайтами SiteA и SiteC) будет ли реплицироваться контекст DomainA (попадут ли изменения сделанные на DC1 на DC2)?

    48. Опишите принцип объявления атрибута как прямой ссылки (forward-link) и обратной ссылки (backward link)? Как это выглядит в БД ntds.dit?

    49. Как в LDAP-запросе вернуть значения многозначного атрибута частично (порциями)?

    50. Что такое конфиденциальный атрибут?

    51. Назовите категории классов, которые можно создать в схеме. Опишите особенности и назначение каждой категории.

    52. изменение коннектов репликации. Изменение при помощи adsiedit.msc.

    53. Кратко опишите способы отката расширения схемы в лесу.

    54. Почему не рекомендуется размещать FSMO-роль Infrastructure на GC? При каких условиях можно/нельзя?

    55. Может ли использоваться протокол Kerberos между не доменной машиной и доменной?

    56. Можно ли удалить объекты из контекста именования схемы? Как предотвратить немедленное удаление экземпляров отключенных классов? Как предотвратить  немедленную очистку атрибутов у экземпляров классов, у которых есть отключенные атрибуты? Доступны ли экземпляры отключенных классов для чтения, изменения, удаления? Доступны ли для чтения, изменения, удаления отключенные атрибуты у экземпляров классов (операции проводятся с экземплярами классов, у которых есть отключенные атрибуты)?

    57. Может ли FSMO-роль Schema и Domain Naming располагаться на DC не из корневого домена?

    58. Можно ли создать объекты класса или атрибута в схеме с одинаковыми идентификаторами (AttributeID, governsID, ldapDisplayName и т.д.)? Могут ли быть эти классы активными?

    59. –

    60. Можно ли откатить назад операцию повышения функциональной роли леса/домена?

    61. В какой версии Windows появились функциональные уровни леса?

    62. Поддерживает ли режим функционирования Windows 2003 Interim контроллеры домена Windows 2000 Server? Контроллеры домена Windows Server 2008? Контроллеры домена Windows Server 2008 R2?

    63. Какие проверки делаются при повышении функционального режима леса? Домена? (с учетом различных версий контроллеров домена и различных уровней функционирования домена).

    Gennady Efimov

Комментарии

  1. 52 вопрос не сформулировал 🙂

  2. Уважаемый Gennady Efimov, если вы реально знаете ответы на эти вопросы до думаю вам прямая дорога в Microsoft (такие глубокие и специфические знания будут там востребованы наиболее полно), сам вроде не новичёк в данном вопросе , но по некоторым вопросам в придётся почитать дополнительно…

  3. По-моему, половина вопросов и в 6425В не рассматриваются.

  4. Мне кажется, что это все вопросы клиентов, не осиливших их.

    Вопросы некоторые могут возникнуть только в пикантных ситуациях 🙂

  5. ИМХО, начинаешь решать подобные вопросы только когда натыкаешься на них непосредственно в своей работе. Чисто теоретические изыскания – мало нужны.

    15 – сам натыкался, группа не только Account Administrators, как помню, есть еще ряд builtin групп, вызывающих аналогичные проблемы. На вложенных в них группы/юзеров устанавливаются права взятые с какого-то объекта АД. Лень искать статью МСа, но когда я озадачился – довольно быстро нашел ответ.
    54 – опять же по памяти пишу, могу врать. Можно размещать если все DC являются GC. Если нет – нельзя, тк при репликации для поиска изменений идет обращение к GC. Есть статья на МCе, описывающая данное поведение.
    55 – конечно да. Сами пользуемся, есть апачь на BSD, на котором наши юзеры “прозрачно” авторизуются по смарткарте. Кстати, опять же по статьям с МСДН настраивали (создаётся “заглушечный” комп в АД, на него навешиваются SPNы, генерируются keytab-ы и тп).

  6. >По-моему, половина вопросов и в 6425В не рассматриваются.

    И не должна

  7. как собака – 90% слов понимаю 🙁

  8. Соглашусь с другими комментаторами – часть вопросов не для обычной работы с AD. Все это знать и помнить не обязательно, достаточно знать где посмотреть. Пожалуй единственное место где они могут потребоватся – у интегратора, для специалиста заточенного под решение проблем с AD.

  9. Вопросы получились крайне неравнозначны по уровню и с большим уклоном на сторону функционирования ГК.
    52й вопрос – самый понятный.
    59й вопрос – самый сложный! 😉

    В 15 вопросе надо бы уточнить, что через короткое время и при этом, мол, никто не “менял разрешений” и членство в AO.
    Вопрос 32 (“Для построения маркера”) невнятно сформулирован, я считаю.

    К своему стыду не смог ответить на некоторые вопросы…
    Самыми сложными для меня оказались вопросы: 38, 39, 51 и 63.

    Что режет глаза: domain-wide в контексте _доверительных отношений_ – ” при этом существуют доверительные отношения между доменами леса (для упрощения — двухсторонние, глобальные (domain-wide)”.

    Жду продолжения.

    Может, стоит опубликовать ответы отдельным постом?

  10. Я следую дедуктивному способу обучения, тоесть переход от общего к частному. Не стараюсь запоминать какие-то частные случаи. Как я и писал, вопросы нацелены на знание/понимание работы компонентов AD, структуры БД AD и т.д..
    Зная эту базу можно вывести любой частный случай. Например, знания что такое GC, как данные реплицируются на GC (и вообще как реплицируются); виды групп, их область действия, LVR и т.д. – позволяют ответить на множество вопросов.
    Скажете: Да для чего это нужно? Да это теория, это не используется на практике.
    Нет. Все это используется, например, при восстановлении AD. И вы корректно не восстановите информацию, не зная этих особенностей (в большой, распределенной среде).

    Курсы (например, 6425В) это скорее всего индуктивный способ обучения, в нем рассказывает как делать это, как делать то (например, как восстановить AD, как сделать из DC GC и т.д.), рассказывается best practices. Но особенностей вам мало кто расскажет. В итоге практика (если ее так можно назвать) сводится к пляскам с бубном и выливается в теорию догадок и неправильных выводов.

    Поэтому теорию нужно всегда знать, она позволит вам чувствовать себя комфортно в экстренных ситуациях и всегда выходить сухим из воды :).

  11. Гена, не хотел бы я к тебе на собеседование попасть))) Столько фундаментальных знаний хранить в голове я точно не могу. Я бесконечно перечитывать Resource Kit-ы времени нет(

  12. Блинский, без заминки смог ответить только на 4 вопроса 🙂 С заминкой, но зная точно где искать ну еще б с десяток осилил. А все остальное бубен+гугл
    Жесть, реально такие вопросы только после серьезных проблем могут возникнуть

  13. Пост надо было называть – демотиватор)))) Сходу могу процентов на 50 ответить. Процентов 20 вопросов даже сходу не соображу о чем это.

  14. а теперь даешь статью с ответами!

  15. Да реально хочу ответы!!! И желательно расшифровку всех сокращений

  16. Мдаа, жесть. Если желаете засадить чела, мнящего себя спецом по AD — зачитывайте по порядку.

  17. Уважаемый Геннадий,вверху статьи большими буквами напишите “Запрещается использовать этот список вопросов на собеседовании при приеме на работу,это головоломки”,а то у некоторых умственно ограниченных кадровиков хватит серого вещества это спрашивать.

  18. Я бы плюнул в глаз такому кадровику, развернулся и ушел. Как он будет оценивать ответ ?

  19. поскольку статья была опубликована буквально вчера, то ответы я опубликую отдельной статьей, не ранее чем через неделю.

  20. настоящий ДЕМОТИВАТОР, разослал коллегам-все сидят грустят…)

    А вообще подобная рубрика весьма неплоха! Может стоит выделить отдельно?
    Только не “демотиваторы”, а например тематические опросники для соискателей?
    У всех ведь наверняка есть ряд вопросов, который в той или иной специализации, при собеседовании, сразу позволяют оценить планку кандидата.
    Было бы интересно сделать сборник.
    Опять же позволяет “взбодрить” мозг и коллегам и друзьям.

  21. >а например тематические опросники для соискателей?

    Шутите? Большинство вопросов deep-dive и даже тот кто хорошо знает технологию не сразу скажет.

  22. Опросники для собеседований есть у Карманова в спейсах, под названием “Мозговыверки”.

    Их минус – общедоступность 🙂

  23. >Их минус — общедоступность
    Смеешься? Что там, что тут вопросы такого уровня, что их общедоступность никак не влияет. Даже если кандидат почитал такой опросник и разобралсязаучил все ответы – я бы его брал. КАк минимум читать и понимать он точно умеет 🙂

  24. 12. В каких случаях используется UDP для LDAP?

    “LDAP ping”, проверка доступности и запрос служебной инфы о службе каталогов.

    57. Может ли FSMO-роль Schema и Domain Naming располагаться на DC не из корневого домена?

    Могут. Более того, право Manage Replication Topology есть у каждого контроллера в лесу, и наличие физического доступа к любому из них (либо наличие у суб-админа прав Domain Admin в любом суб-домене) может вылезти боком.

    60. Можно ли откатить назад операцию повышения функциональной роли леса/домена?

    Можно. Как минимум, из бэкапа восстановить 🙂

    Прошу Геннадия не торопиться с ответами, тут вопросов больше, чем на неделю 🙂

  25. >Смеешься?
    Есть немного. Течнет и мсдн вон тоже общедоступные.

  26. >>Только ___не «демотиваторы»___, а например тематические опросники для соискателей?
    Я специально указал какого рода.
    Я не призываю делать такие вот выверты же.
    Ряд кандидатов может свалиться на “чем хаб от свитча отличается”, кто то на NAT, кто то на Share and security может слиться…
    Так сказать на эрудицию и общую осведомленность.
    Опросник не для MCSE и иже с ним, а остальным просто повспоминать..
    типа:
    win2k3, с какого гудка RRaS подмымает трубку на модемном входящем соединении? а можно поменять? Как? …)

    >>Смеешься? Что там, что тут вопросы такого уровня, что их общедоступность никак не влияет. Даже если кандидат почитал такой опросник и разобралсязаучил все ответы — я бы его брал
    главное чтоб не заучил! а то ЕГЭ получится.”знаю чО-не знаю как и почему”

  27. 13. Configuration, Schema, Application.

    16. Универсальные? 🙂

    27. Встроенной учетной записи администратора.

    33. KCC?

    45. Возможно, потому, что 2003 в этом случае реплицирует только изменения в членстве группы, а не всех членов группы заново.

    50. Атрибут, который не реплицируется на RODC.

    54. Будут проблемы с обновлением ghost объектов. Можно либо не совмещать IM и GC, либо все DC назначать в качестве GC.

    60. В Windows Server 2008 R2 появилась возможность отката до уровня Windows Server 2008.

  28. >50. Атрибут, который не реплицируется на RODC.
    Ниправда-ниправда. Аттрибут, для чтения котрого нужно обладать пермишенами на правку ACL, а не только на чтение.
    И да, ждем ответов с картинкаме.

  29. Атцы! гдеж ответы то?! прошу о ГУРУ покажи нам путь к дзэну!

  30. подбираю/собираю полезные ссылочки..
    проверяю некоторые вопросы/ответы практически (возникли вопросы/сомнения:)).. скоро выложу..

  31. Да уж вопросы жесть, сходу ответил масксимум на десяток, но с точки зрения российских зарплат и обязанностей администраторов думаю эти вопросы не актуальны.

    Для сравнения посмотрите вопросы Даниеля Петри,считаю что они более близки к реалиям:
    http://www.petri.co.il/mcse-system-administrator-windows-server-2008-r2-active-directory-interview-questions.htm

  32. И конечно же знания автора достойны уважения, так как знаю очень мало людей с доскональным понимаем AD DS