Upload
salida-schliesman
View
115
Download
1
Embed Size (px)
Citation preview
Active Directory-Domänendienste{ in Windows Server® 2008}
Ulf B. Simon-WeidnerSenior Consultant , Trainer, Autor
Neue Begrifflichkeiten
Active Directory
Active Directory Domain Services
Active Directory
Application Mode
Active Directory Leightweight
Domain Services
Active Directory Federation Services
Active Directory Federation Services
Rights Management
Services
Active Directory Rights Management
Services
Certificate Services
Active Directory Certificate Services
Active Directory Neuerungen:Installation
Servermanager:Installation der Active Directory Produkte als Rollen
Überwachung der Standarddienste für Active Directory
Domänenkontroller Installations Assistent (DCPromo):Implementieren von Best Practices bei der Standardinstallation
Einrichten von DNS-Weiterleitungen und –Delegationen
Aktivieren des Globalen Katalogservers
Installation von Read-Only-Domänenkontrollern (wenn gewollt in zwei Stufen)
Erstellen von Unattended-Dateien
Installation über Kommandozeile möglich
Active Directory: Benutzeroberfläche
Bessere Integration der KonsolenAttribute EditorLDPServer Manager
Überwachung der RolleAdministration der RollePerformance Analyzer
Read-Only-DomänenkontrollerHerausforderung:
Sicherheit in verteilten Infrastrukturen (ungesicherter Domänenkontroller)
Lösung: Read-Only-DomänenkontrollerAD-DS, DNS und GC für Filialbüros
Akzeptiert keine Änderungen (write-referral)
"Cached Secrets" werden nur repliziert, wennsie in der "Allow-Liste" sind
Administratorenkonten sind standard-mäßig in der "Deny-Liste", deren Passwörter werden nicht auf den RODCs gecached
RO-PAS: Attribute können von der Replikation auf RODCs ausgenommen werden
Read-Only-DomänenkontrollerErläuterungen
DNS-UpdatesMehrere DomänenMehrere RODCs in einem StandortExchange
Wartung des Active DirectoryBisher:
Directory Services Restore Modus für viele Wartungsaufgaben notwendig
Neu: Active Directory lässt sich stoppen, bestimmte Wartungsaufgaben wie Offline-Defragmentierung können in diesem Modus durchgeführt werdenVorteil: Weniger "Downtime", besser per Script ausführbar
Achtung: DSRM-Administrator kann sich nicht bei gestopptem DS anmelden, aber:HKLM\system\currentcontrolset\Control\LsaDsrmAdminLogonBehavior: REG_DWORD0: DSRM-Admin kann sich nur im DSRM anmelden
(Standardeinstellung)1: DSRM-Admin kann sich im DSRM und wenn NTDS gestoppt ist
anmelden2: DSRM-Admin kann sich jederzeit anmelden
Fine Grained Password PoliciesPasswort Einstellungen
Bisher: eine Passwort-Richtlinie pro DomäneNeu: Passwort- und Kontosperrung können beliebig definiert werden
Werden Gruppen oder Benutzerkonten zugeordnet"Precedence" bestimmt im Konfliktfall welche Einstellung angewendet wird
Voraussetzung: Domäne im Windows Server 2008-Modus (alle DCs der Domäne auf Windows Server 2008)
Wie:Password Settings Object in cn=Password Settings, cn=System, dc=... erstellen, dann mit Gruppe (oder Benutzer) verlinken
Fine Grained Password PoliciesErläuterungen
GUI / ToolsWarum auf Gruppen/User statt Ous?Warum nicht über GPO verwaltet?
Active Directory SnapshotsActive Directory-Snapshots
Snapshot kann online erstellt werden
Snapshot hält aktuellen Stand des AD komplett fest
Snapshot / Backup kann jederzeit als zusätzliches LDAP-Verzeichnis gestartet werden
Online Zugriff mittels LDAP-Browser/Scripts
Mehrwert:
Active Directory-Recovery (Objekte / Attribute)
Identifizieren des richtigen AD-Backups
Kundenszenario:Präventive Maßnamen AD-Recovery
Lokales Backup / Versionierung auf Fileserver / Band
Schneller Restore der "gestrigen" Daten
Restore der letzten Tagesversionen über Netzwerk
Install from Media
Active Directory-RecoverysiteOnline-Recovery
Domain- / Forest-Recovery
Active Directory-SnapshotsObject-Recovery / Tombstone Reanimation
Attribute Recovery
Wiederherstellungsstandorte
Active Directory Snapshots
Geschützte Objekte
Objekte können vor versehentlichem Löschen / Verschieben geschützt werdenStandard bei OUs die mit Active Directory-Benutzer und –Computer von WS2k8 erstellt werdenEntspricht :
Deny Everyone to DeleteDeny Everyone to Delete Subtree
Überwachungsrichtlinien fürActive Directory
Eigene Ansichten des Eventlogs möglichWeiterleiten und zentrales Sammeln von bestimmten EreignissenAufgaben können durch Events ausgelöst werdenMehr Details in Audit-Logs
Z.B. Attributänderungen
auditpol /get /category:“DS Access“auditpol /set /subcategory:“Directory Service Changes“
DNS Neuerungen
IPv6Starten von DNSSupport von RODCsTimestamps in GUIDNAME-Support: Alias für NamensräumeBedingte Weiterleitungen werden in der GUI unterstütztBisher: dnscmd
/ZoneAdd myexample.net /DsForwarder 10.1.2.4 /DP /forest
DNS Neuerungen
GlobalNames-Zone
Kein WINS mehr?
Wird in DNS erstellt
Muss auf Windows Server 2008 liegen
Antwortet Kurznamen auf alle ZonenanfragenDnscmd /config /EnableGlobalnamesSupport
Multidomain:
Repliziert in AD auf möglichst alle Server
SRV-Record in _msdcs möglich
Quickwins
Active Directory NotfallplanungActive Directory SnapshotsProtected Objects (Objekte vorm löschen schützen)
Einsatz von Windows Server 2008 in Niederlassungen
Read only DCFine Grained Password PolicyActive Directory Attribute EditorActive Directory Management (dcpromo, aduc)DNS Management (conditional forwarder, dnsmgmt)Active Directory Auditing
Partner auf dem Launch 2008
Europas führender herstellerübergreifender Dienstleister für Informationstechnologie
Windows Server 2008 im Haus implementiertKundenprojekte zu WS2k8 seit Anfang 2007Zahlreiche ReferenzenGroße Erfahrung bei Migrationsprojekten
Das Magazin für professionelle System- und Netzwerkadministration
Mai / Juni 2007: Vorschau auf Windows Server 2008November 2007 bis Januar 2008: Serie zu Windows Server 2008März / April 2008: Active Directory Wiederherstellung mit Windows Server 2008
Windows Server 2008Ressourcen
Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx
Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx
Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx
Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx
Ressourcen
Mein Blog (Directory Services – Active Directory):www.msmvps.com/UlfBSimonWeidner
Fine Grained Password Policies:Psomgr: www.joeware.netMMC:
http://blogs.chrisse.se/blogs/chrisse/archive/2007/07/14/fine-grain-password-policy-tool-beta-1-is-ready.aspx
PowerGUI: http://dmitrysotnikov.wordpress.com/2007/06/19/free-ui-console-for-fine-grained-password-policies/
SpecOps Password Policiy™ Basic:http://www.specopssoft.com/wiki/index.php/SpecopsPasswordPolicybasic/SpecopsPasswordPolicybasic/
Konferenzen:Directory Experts Conference USA (Chicago, April)TechEd USA (Orlando, Juni)Directory Experts Conference Europe (Ort tba, Herbst 2008)TechEd IT-Forum Europe (Barcelona , November)
Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.