Upload
sofie-keel
View
104
Download
0
Embed Size (px)
Citation preview
IT Pro Day
Änderungen in Active Directory für Windows Server 2012 – und wie man dazu kommtFlorian FrommherzConsultant, Microsoft [email protected]
Agenda
Agenda
Neue Funktionalität in Server 201235’
Dynamic Access Control (DAC) 15’Neue Funktionalität im «Active Directory Administrative Center» 5’Active Directory Domänencontroller einfacher ausrollen 5’Domain Controller Cloning & VM-Safe Domain Controllers10’
Aktualisieren nach Server 2012 20’Transitions- und Aktualisierungswege nach Server 2012 7’Das Stolperstein-Nähkästchen bei AD-Aktualisierungen 7’Funktionslevel in AD für Windows Server 2012 2’«Und was noch?» 4’
Neue Funktionalität für Active Directory in Windows Server 2012
Investmentbereiche
Beschleunigung von AD Deployments
Sicherheit für Dateiserver
Erweiterter Virtualisierungssupp
ortEinheitliches Management
Dynamic Access Control (DAC)
Bisher: Berechtigung von für File Services auf Sicherheitsgruppen-BasisBenutzer werden in Gruppen unterteilt
Zugriff wird auf Gruppen gewährt (Verschachtelung)
Jetzt: Berechtigung für File Services basierend auf AD-AttributenBenutzer führen ausgewählte AD-Attribute in ihrem Token
Zugriffsentscheidungen basierend auf “Titel” oder “Abteilung”, …
Zugriff, wenn user.Department == “Finance”
Dynamic Access Control (DAC) II
AD-zentrisch: Verteilung per GPORegelsatz wird von Administratoren im AD angefertigt
Verteilung via Gruppenrichtlinien
File-Administratoren wenden Regeln auf NTFS-Ordner an
Anwendung auf NTFS-EbeneShare-Berechtigungen werden separat/manuell konfiguriert
Kann perfekt mit DFS-R kombiniert werden
Erspart File-Admins viel manuelle Arbeit
Anfassen!
DAC und Resource Properties
“Claims” auch für Resourcen – Dateien und Ordner Die “File Classification Infrastructure” in Windows hilft
Automatisches und statisches Klassifizieren von Daten möglich
“Resource Properties” auch verwendbar für den Regelsatz:
Nutzung Bool’scher OperatorenAND, OR
Zugriff, wenn User.Location == Resource.LocationUND User.Department == Resource.DepartmentUND User.EmployeeType == “FTE”
Auditing auf Basis von ClaimsWENN User.EmployeeType == “Part Time Employee”, DANN Auditing für Erfolg und Fehler BEI READ-Aktionen
AD Administration Center (ADAC)Implementierung des Recycle Bins
Fine-Grained Password Policies (FGPP)-Integration
Powershell History Viewer
Integration neuer Funktionalität nur in die ADAC
DCPromo, Adieu!“dcpromo.exe” verweist auf den Server Manager
Neuer Assistent, der durch die Installation führtSchrittreihenfolge und Datenabfrage “intelligenter”
Defaultwerte sinnvoller (Was ist die häufigste Deploymentart?)
Retry-Logik im Assistenten
ADPrep ist Vergangenheit
Promotion mal einfach
Installation von Domänencontrollern komplett per Powershell
Promotion der DCs via WinRM von “remote”Kein lokaler Logon an Domänencontrollern notwendig
Domain Controller Cloning…
Wozu Domain Controller Cloning?
Schnelles Deployment vieler DCs
Schnelleres Wiederherstellen
von DCs
DCs mit identischem Patchlevel
Einheitliche, gleich
konfigurierte DCs (Security, Tools)
Domain Controller Cloning
Supportetes Duplizieren von VM-DCs1. Erstellung und Platzierung der DCCloneConfig.XML und DefaultDCCloneAllowList.xml
2. Herunterfahren eines VM-DCs (“Vater”-VM-DC)
3. Kopieren seiner VHDX zu einem anderen Host, neue VM anlegen und auf VHDX verweisen
4. “Vater”-VM-DC starten, Clone-DC starten.
5. Clone-DC wird als neuer DC in den Replikationsverbund genommen.
Automatische Promotion des ClonesDCCloneConfig.XML beinhaltet Rahmenparameter (Name, IP-Adresse, Gateway, DNS-Server)
Ein neues DC-Computerkonto wird erstellt
AD-Datenbank-ID wird zurückgesetzt, Replikation angestossen
“Virtualization-Safe” DCs
Domänencontroller erkennen, wenn sie “verändert” werdenEindeutige ID wird zwischen VM und VM-Host geführt (VM-Generation-ID)
Ändert diese ID, wird eine Änderung der VM erkannt
Änderungen: Restore einer VM, Snapshot-Restore, Kopieren einer VM (ohne Cloning)
Domänencontroller schützen sichÄhnliche Aktionen wie beim DC Cloning
DCs setzen ihre Datenbank-ID zurück
Initiieren die Replikation mit Replikationspartnern von Neuem
-> Kein USN-Rollback mehr, keine Duplikate mehr
SID Compression in access tokens
Deferred Index Creation
AD Powershell CMDLets for Replication
AD-based Activation
Connected Accounts in Windows 8
Kerberos Enhancements
Group Managed Service
Accounts
RID Master Improvements
AD FS 2.1 built into Windows
Powershell CMDlets for AD
Sites and Services
Off-Premise Domain Join
Enhanced LDAP Logging
Beschleunigung von AD Deployments
Sicherheit für Dateiserver
Erweiterter Virtualisierungssupp
ortEinheitliches Management
Das Active Directory (für Server 2012) aktualisieren
Terminologie
Wir “aktualisieren” und “updaten”, aber wir “migrieren” (normalerweise) nicht
Transitionswege
IP-Adressen behalten? DC-Namen behalten?
Applikationen und Dienste
Bekannte Anwendungstypen:Webportale
Intranet-Gelbe Seiten, Telefonbücher
Anwendungen, die Gruppenmitgliedschaften „manuell“ in Active Directory auflösen
Unscheinbare Hardwaretypen:Remote Login/VPN-Lösungen
Firewall Appliances
CA/HSM appliances
Drucker und Scanner
Schmerzbehaftet:Hart verdrahtete IP-Adressen oder Hostnamen von Domänencontrollern
Vorabklärungen
Inplace-Upgrade vs. Neuinstallation vs. neue HardwareWindows Server 2012 ist 64bit-only.
Kein Inplace-Upgrade-Pfad von Server 2003 x64 nach Windows Server 2012.
Active Directory Schema UpdateEntweder über den Assistenten beim Dcpromo Provisionieren des ersten DCs
…oder manuell, als separater Schritt vorab: ADPrep existiert weiter (Server 2012: 64bit-only!)
Zusätzlich: die Erweiterungen für RODCs, Group Policy in “domainprep”.
“Standard Edition” genügt – alles eine Lizenzfrage
Das Stolperstein-Nähkästchen
Kein Support für NT4 Trusts (2008).NT4 wird so oder so nicht mehr supportet.
Deaktivierung von DES als Kerberos Verschlüsselungstyp (2008 R2)DES als Kerberos-Ticketverschlüsselung per Standard deaktiviert.
Anwendungen und Clients, die NUR DES als Kerberos-Ticketverschlüsselung erlauben, werden mit “Access Denied” scheitern.
Lösung: Anwendungen ausfindig machen und aktualisieren/ersetzen
Workaround: Den Verschlüsselungstyp für Domänencontroller, Server und Clients via GPO erlauben
Anpassungen des LDAP Servers (2008 R2)Nachrichtenkonformität bei “Paged Searches” wurde angepasst (messageID, cookie, pageSize)
LDAP-Servereinstellungen werden auf den Default zurückgesetzt (Anpassungen via dsHeuristics)
Active Directory Funktionslevel
Domänenfunktionslevel und Forestfunktionslevel existieren weiterhinSpielen jedoch eine untergeordnete Rolle
Migrationen von 2003-Umgebungen werden dennoch mit DFL/FFL 2012 liebäugeln (müssen)
Alle Server 2012 Features sind ohne DFL/FFL-Raise nutzbarEin Statement der Produktgruppe für “Deploymentblocker” bei Kunden
Die Anzahl der notwendigen Windows Server 2012-Domänencontroller variiert für Feature
«Und was noch?»
Einsatz von RODCs?
Gesamtanzahl der DCs
hinterfragen
DC Hardware-Spezifikationen überprüfen
Global Catalog
Platzierung
Sites & Services
Definitionen
Standort-Platzierung
der DC
Ist Server Core eine
Möglichkeit?
Einführung eines App-Registrars
Nachfassen!
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.