Änderungen in Active Directory für Windows Server 2012 – und wie man dazu kommt Florian Frommherz Consultant, Microsoft Schweiz florianf@microsoft.com

Agenda Neue Funktionalität in Server 2012 35’ Dynamic Access Control (DAC) 15’ Neue Funktionalität im «Active Directory Administrative Center» 5’ Active Directory Domänencontroller einfacher ausrollen 5’ Domain Controller Cloning & VM-Safe Domain Controllers 10’ Aktualisieren nach Server 2012 20’ Transitions- und Aktualisierungswege nach Server 2012 7’ Das Stolperstein-Nähkästchen bei AD-Aktualisierungen 7’ Funktionslevel in AD für Windows Server 2012 2’ «Und was noch?» 4’

Neue Funktionalität für Active Directory in Windows Server 2012

Investmentbereiche Sicherheit für Dateiserver Einheitliches Management Beschleunigung von AD Deployments Erweiterter Virtualisierungssupport

Dynamic Access Control (DAC) Bisher: Berechtigung von für File Services auf Sicherheitsgruppen-Basis Benutzer werden in Gruppen unterteilt Zugriff wird auf Gruppen gewährt (Verschachtelung) Jetzt: Berechtigung für File Services basierend auf AD-Attributen Benutzer führen ausgewählte AD-Attribute in ihrem Token Zugriffsentscheidungen basierend auf “Titel” oder “Abteilung”, … Zugriff, wenn user.Department == “Finance”

Ein Beispiel für DAC Ein Unternehmen – mehrere Standorte Abteilungen in den Standorten Benutzer sollen auf die Shares ihres Standortes zugreifen können Benutzer sollen NICHT auf Shares anderer Standorte zugreifen Benutzer sollen NICHT auf Shares anderer Abteilungen zugreifen Es gilt, möglichst wenige Gruppen zu nutzen Zugriff, wenn User.Location == “Basel” UND User.Department == “Finance”

Dynamic Access Control (DAC) II AD-zentrisch: Verteilung per GPO Regelsatz wird von Administratoren im AD angefertigt Verteilung via Gruppenrichtlinien File-Administratoren wenden Regeln auf NTFS-Ordner an Anwendung auf NTFS-Ebene Share-Berechtigungen werden separat/manuell konfiguriert Kann perfekt mit DFS-R kombiniert werden Erspart File-Admins viel manuelle Arbeit

Anfassen!

DAC und Resource Properties “Claims” auch für Resourcen – Dateien und Ordner Die “File Classification Infrastructure” in Windows hilft Automatisches und statisches Klassifizieren von Daten möglich “Resource Properties” auch verwendbar für den Regelsatz: Nutzung Bool’scher Operatoren AND, OR Zugriff, wenn User.Location == Resource.Location UND User.Department == Resource.Department UND User.EmployeeType == “FTE” Auditing auf Basis von Claims WENN User.EmployeeType == “Part Time Employee”, DANN Auditing für Erfolg und Fehler BEI READ-Aktionen

AD Administration Center (ADAC) Implementierung des Recycle Bins Fine-Grained Password Policies (FGPP)-Integration Powershell History Viewer Integration neuer Funktionalität nur in die ADAC

DCPromo, Adieu! “dcpromo.exe” verweist auf den Server Manager Neuer Assistent, der durch die Installation führt Schrittreihenfolge und Datenabfrage “intelligenter” Defaultwerte sinnvoller (Was ist die häufigste Deploymentart?) Retry-Logik im Assistenten ADPrep ist Vergangenheit

Promotion mal einfach Installation von Domänencontrollern komplett per Powershell Promotion der DCs via WinRM von “remote” Kein lokaler Logon an Domänencontrollern notwendig Domain Controller Cloning…

Wozu Domain Controller Cloning? Schnelles Deployment vieler DCs Schnelleres Wiederherstellen von DCs Einheitliche, gleich konfigurierte DCs (Security, Tools) DCs mit identischem Patchlevel

Domain Controller Cloning Supportetes Duplizieren von VM-DCs Erstellung und Platzierung der DCCloneConfig.XML und DefaultDCCloneAllowList.xml Herunterfahren eines VM-DCs (“Vater”-VM-DC) Kopieren seiner VHDX zu einem anderen Host, neue VM anlegen und auf VHDX verweisen “Vater”-VM-DC starten, Clone-DC starten. Clone-DC wird als neuer DC in den Replikationsverbund genommen. Automatische Promotion des Clones DCCloneConfig.XML beinhaltet Rahmenparameter (Name, IP-Adresse, Gateway, DNS-Server) Ein neues DC-Computerkonto wird erstellt AD-Datenbank-ID wird zurückgesetzt, Replikation angestossen

Virtualisierung! Virtualisierung von DCs hat eine lange Geschichte… Duplizierung von Domänencontrollern (Kopieren und Einfügen) verursacht “Unannehmlichkeiten” “USN Rollback” “Erlaubte” Aktionen mit VM-DCs eingeschränkt KEIN Kopieren der VM und doppeltes Starten VMs auf unterschiedlichen Hosts Snapshots von Domänencontroller NICHT wiederherstellen (besser: gar keine Snapshots) KEIN Restore der virtuellen Maschine durch unlautere Mittel Synchronisation der Zeit in der VM mit dem VM-Host NICHT verwenden

“Virtualization-Safe” DCs Domänencontroller erkennen, wenn sie “verändert” werden Eindeutige ID wird zwischen VM und VM-Host geführt (VM-Generation-ID) Ändert diese ID, wird eine Änderung der VM erkannt Änderungen: Restore einer VM, Snapshot-Restore, Kopieren einer VM (ohne Cloning) Domänencontroller schützen sich Ähnliche Aktionen wie beim DC Cloning DCs setzen ihre Datenbank-ID zurück Initiieren die Replikation mit Replikationspartnern von Neuem -> Kein USN-Rollback mehr, keine Duplikate mehr

Sicherheit für Dateiserver Einheitliches Management Beschleunigung von AD Deployments Erweiterter Virtualisierungssupport SID Compression in access tokens Deferred Index Creation Kerberos Enhancements Group Managed Service Accounts Connected Accounts in Windows 8 Off-Premise Domain Join AD Powershell CMDLets for Replication AD-based Activation AD FS 2.1 built into Windows RID Master Improvements Powershell CMDlets for AD Sites and Services Enhanced LDAP Logging

Das Active Directory (für Server 2012) aktualisieren

Terminologie Wir “aktualisieren” und “updaten”, aber wir “migrieren” (normalerweise) nicht

Transitionswege IP-Adressen behalten? DC-Namen behalten?

Applikationen und Dienste Bekannte Anwendungstypen: Webportale Intranet-Gelbe Seiten, Telefonbücher Anwendungen, die Gruppenmitgliedschaften „manuell“ in Active Directory auflösen Unscheinbare Hardwaretypen: Remote Login/VPN-Lösungen Firewall Appliances CA/HSM appliances Drucker und Scanner Schmerzbehaftet: Hart verdrahtete IP-Adressen oder Hostnamen von Domänencontrollern

Vorabklärungen Inplace-Upgrade vs. Neuinstallation vs. neue Hardware Windows Server 2012 ist 64bit-only. Kein Inplace-Upgrade-Pfad von Server 2003 x64 nach Windows Server 2012. Active Directory Schema Update Entweder über den Assistenten beim Dcpromo Provisionieren des ersten DCs …oder manuell, als separater Schritt vorab: ADPrep existiert weiter (Server 2012: 64bit-only!) Zusätzlich: die Erweiterungen für RODCs, Group Policy in “domainprep”. “Standard Edition” genügt – alles eine Lizenzfrage

Das Stolperstein-Nähkästchen Kein Support für NT4 Trusts (2008). NT4 wird so oder so nicht mehr supportet. Deaktivierung von DES als Kerberos Verschlüsselungstyp (2008 R2) DES als Kerberos-Ticketverschlüsselung per Standard deaktiviert. Anwendungen und Clients, die NUR DES als Kerberos-Ticketverschlüsselung erlauben, werden mit “Access Denied” scheitern. Lösung: Anwendungen ausfindig machen und aktualisieren/ersetzen Workaround: Den Verschlüsselungstyp für Domänencontroller, Server und Clients via GPO erlauben Anpassungen des LDAP Servers (2008 R2) Nachrichtenkonformität bei “Paged Searches” wurde angepasst (messageID, cookie, pageSize) LDAP-Servereinstellungen werden auf den Default zurückgesetzt (Anpassungen via dsHeuristics)

Active Directory Funktionslevel Domänenfunktionslevel und Forestfunktionslevel existieren weiterhin Spielen jedoch eine untergeordnete Rolle Migrationen von 2003-Umgebungen werden dennoch mit DFL/FFL 2012 liebäugeln (müssen) Alle Server 2012 Features sind ohne DFL/FFL-Raise nutzbar Ein Statement der Produktgruppe für “Deploymentblocker” bei Kunden Die Anzahl der notwendigen Windows Server 2012-Domänencontroller variiert für Feature

«Und was noch?» Einsatz von RODCs? Gesamtanzahl der DCs hinterfragen Standort-Platzierung der DC Ist Server Core eine Möglichkeit? DC Hardware-Spezifikationen überprüfen Sites & Services Definitionen Global Catalog Platzierung Einführung eines App-Registrars

Nachfassen!

3/28/2017 8:10 PM © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.