IT Pro Day

Änderungen in Active Directory für Windows Server 2012 – und wie man dazu kommtFlorian FrommherzConsultant, Microsoft Schweizflorianf@microsoft.com

Agenda

Agenda

Neue Funktionalität in Server 201235’

Dynamic Access Control (DAC) 15’Neue Funktionalität im «Active Directory Administrative Center» 5’Active Directory Domänencontroller einfacher ausrollen 5’Domain Controller Cloning & VM-Safe Domain Controllers10’

Aktualisieren nach Server 2012 20’Transitions- und Aktualisierungswege nach Server 2012 7’Das Stolperstein-Nähkästchen bei AD-Aktualisierungen 7’Funktionslevel in AD für Windows Server 2012 2’«Und was noch?» 4’

Neue Funktionalität für Active Directory in Windows Server 2012

Investmentbereiche

Beschleunigung von AD Deployments

Sicherheit für Dateiserver

Erweiterter Virtualisierungssupp

ortEinheitliches Management

Dynamic Access Control (DAC)

Bisher: Berechtigung von für File Services auf Sicherheitsgruppen-BasisBenutzer werden in Gruppen unterteilt

Zugriff wird auf Gruppen gewährt (Verschachtelung)

Jetzt: Berechtigung für File Services basierend auf AD-AttributenBenutzer führen ausgewählte AD-Attribute in ihrem Token

Zugriffsentscheidungen basierend auf “Titel” oder “Abteilung”, …

Zugriff, wenn user.Department == “Finance”

Dynamic Access Control (DAC) II

AD-zentrisch: Verteilung per GPORegelsatz wird von Administratoren im AD angefertigt

Verteilung via Gruppenrichtlinien

File-Administratoren wenden Regeln auf NTFS-Ordner an

Anwendung auf NTFS-EbeneShare-Berechtigungen werden separat/manuell konfiguriert

Kann perfekt mit DFS-R kombiniert werden

Erspart File-Admins viel manuelle Arbeit

Anfassen!

DAC und Resource Properties

“Claims” auch für Resourcen – Dateien und Ordner Die “File Classification Infrastructure” in Windows hilft

Automatisches und statisches Klassifizieren von Daten möglich

“Resource Properties” auch verwendbar für den Regelsatz:

Nutzung Bool’scher OperatorenAND, OR

Zugriff, wenn User.Location == Resource.LocationUND User.Department == Resource.DepartmentUND User.EmployeeType == “FTE”

Auditing auf Basis von ClaimsWENN User.EmployeeType == “Part Time Employee”, DANN Auditing für Erfolg und Fehler BEI READ-Aktionen

AD Administration Center (ADAC)Implementierung des Recycle Bins

Fine-Grained Password Policies (FGPP)-Integration

Powershell History Viewer

Integration neuer Funktionalität nur in die ADAC

DCPromo, Adieu!“dcpromo.exe” verweist auf den Server Manager

Neuer Assistent, der durch die Installation führtSchrittreihenfolge und Datenabfrage “intelligenter”

Defaultwerte sinnvoller (Was ist die häufigste Deploymentart?)

Retry-Logik im Assistenten

ADPrep ist Vergangenheit

Promotion mal einfach

Installation von Domänencontrollern komplett per Powershell

Promotion der DCs via WinRM von “remote”Kein lokaler Logon an Domänencontrollern notwendig

Domain Controller Cloning…

Wozu Domain Controller Cloning?

Schnelles Deployment vieler DCs

Schnelleres Wiederherstellen

von DCs

DCs mit identischem Patchlevel

Einheitliche, gleich

konfigurierte DCs (Security, Tools)

Domain Controller Cloning

Supportetes Duplizieren von VM-DCs1. Erstellung und Platzierung der DCCloneConfig.XML und DefaultDCCloneAllowList.xml

2. Herunterfahren eines VM-DCs (“Vater”-VM-DC)

3. Kopieren seiner VHDX zu einem anderen Host, neue VM anlegen und auf VHDX verweisen

4. “Vater”-VM-DC starten, Clone-DC starten.

5. Clone-DC wird als neuer DC in den Replikationsverbund genommen.

Automatische Promotion des ClonesDCCloneConfig.XML beinhaltet Rahmenparameter (Name, IP-Adresse, Gateway, DNS-Server)

Ein neues DC-Computerkonto wird erstellt

AD-Datenbank-ID wird zurückgesetzt, Replikation angestossen

“Virtualization-Safe” DCs

Domänencontroller erkennen, wenn sie “verändert” werdenEindeutige ID wird zwischen VM und VM-Host geführt (VM-Generation-ID)

Ändert diese ID, wird eine Änderung der VM erkannt

Änderungen: Restore einer VM, Snapshot-Restore, Kopieren einer VM (ohne Cloning)

Domänencontroller schützen sichÄhnliche Aktionen wie beim DC Cloning

DCs setzen ihre Datenbank-ID zurück

Initiieren die Replikation mit Replikationspartnern von Neuem

-> Kein USN-Rollback mehr, keine Duplikate mehr

SID Compression in access tokens

Deferred Index Creation

AD Powershell CMDLets for Replication

AD-based Activation

Connected Accounts in Windows 8

Kerberos Enhancements

Group Managed Service

Accounts

RID Master Improvements

AD FS 2.1 built into Windows

Powershell CMDlets for AD

Sites and Services

Off-Premise Domain Join

Enhanced LDAP Logging

Beschleunigung von AD Deployments

Sicherheit für Dateiserver

Erweiterter Virtualisierungssupp

ortEinheitliches Management

Das Active Directory (für Server 2012) aktualisieren

Terminologie

Wir “aktualisieren” und “updaten”, aber wir “migrieren” (normalerweise) nicht

Transitionswege

IP-Adressen behalten? DC-Namen behalten?

Applikationen und Dienste

Bekannte Anwendungstypen:Webportale

Intranet-Gelbe Seiten, Telefonbücher

Anwendungen, die Gruppenmitgliedschaften „manuell“ in Active Directory auflösen

Unscheinbare Hardwaretypen:Remote Login/VPN-Lösungen

Firewall Appliances

CA/HSM appliances

Drucker und Scanner

Schmerzbehaftet:Hart verdrahtete IP-Adressen oder Hostnamen von Domänencontrollern

Vorabklärungen

Inplace-Upgrade vs. Neuinstallation vs. neue HardwareWindows Server 2012 ist 64bit-only.

Kein Inplace-Upgrade-Pfad von Server 2003 x64 nach Windows Server 2012.

Active Directory Schema UpdateEntweder über den Assistenten beim Dcpromo Provisionieren des ersten DCs

…oder manuell, als separater Schritt vorab: ADPrep existiert weiter (Server 2012: 64bit-only!)

Zusätzlich: die Erweiterungen für RODCs, Group Policy in “domainprep”.

“Standard Edition” genügt – alles eine Lizenzfrage

Das Stolperstein-Nähkästchen

Kein Support für NT4 Trusts (2008).NT4 wird so oder so nicht mehr supportet.

Deaktivierung von DES als Kerberos Verschlüsselungstyp (2008 R2)DES als Kerberos-Ticketverschlüsselung per Standard deaktiviert.

Anwendungen und Clients, die NUR DES als Kerberos-Ticketverschlüsselung erlauben, werden mit “Access Denied” scheitern.

Lösung: Anwendungen ausfindig machen und aktualisieren/ersetzen

Workaround: Den Verschlüsselungstyp für Domänencontroller, Server und Clients via GPO erlauben

Anpassungen des LDAP Servers (2008 R2)Nachrichtenkonformität bei “Paged Searches” wurde angepasst (messageID, cookie, pageSize)

LDAP-Servereinstellungen werden auf den Default zurückgesetzt (Anpassungen via dsHeuristics)

Active Directory Funktionslevel

Domänenfunktionslevel und Forestfunktionslevel existieren weiterhinSpielen jedoch eine untergeordnete Rolle

Migrationen von 2003-Umgebungen werden dennoch mit DFL/FFL 2012 liebäugeln (müssen)

Alle Server 2012 Features sind ohne DFL/FFL-Raise nutzbarEin Statement der Produktgruppe für “Deploymentblocker” bei Kunden

Die Anzahl der notwendigen Windows Server 2012-Domänencontroller variiert für Feature

«Und was noch?»

Einsatz von RODCs?

Gesamtanzahl der DCs

hinterfragen

DC Hardware-Spezifikationen überprüfen

Global Catalog

Platzierung

Sites & Services

Definitionen

Standort-Platzierung

der DC

Ist Server Core eine

Möglichkeit?

Einführung eines App-Registrars

Nachfassen!

© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a

commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a

commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.