Die Active Directory Domain Services unter Windows Server 2008 bieten zahlreiche neue Möglichkeiten, mit Hilfe derer Sie Domänen konsolidieren können, sich besser auf eine Wiederherstellung des Active Directory vorbereiten können, Ihre Außenstandorte sicherer machen oder nur die Administration vereinfachen. In dieser Session erhalten Sie eine Übersicht über die wichtigsten Änderungen im Active Directory und erfahren eine Menge Tipps und Tricks von den Experten. NEXT:
Ulf B. Simon-Weidner Senior Consultant, Trainer, Autor
Active Directory Active Directory Domain Services Active Directory Application Mode Active Directory Leightweight Domain Services Active Directory Federation Services Rights Management Services Active Directory Rights Management Services Certificate Services Active Directory Certificate Services
Servermanager: Installation der Active Directory Produkte als Rollen Überwachung der Standarddienste für Active Directory Domänenkontroller Installations Assistent (DCPromo): Implementieren von Best Practices bei der Standardinstallation Einrichten von DNS-Weiterleitungen und –Delegationen Aktivieren des Globalen Katalogservers Installation von Read-Only-Domänenkontrollern (wenn gewollt in zwei Stufen) Erstellen von Unattended-Dateien Installation über Kommandozeile möglich
Bessere Integration der Konsolen Attribute Editor LDP Server Manager Überwachung der Rolle Administration der Rolle Performance Analyzer
Herausforderung: Sicherheit in verteilten Infrastrukturen (ungesicherter Domänenkontroller) Lösung: Read-Only-Domänenkontroller AD-DS, DNS und GC für Filialbüros Akzeptiert keine Änderungen (write-referral) "Cached Secrets" werden nur repliziert, wenn sie in der "Allow-Liste" sind Administratorenkonten sind standard- mäßig in der "Deny-Liste", deren Passwörter werden nicht auf den RODCs gecached RO-PAS: Attribute können von der Replikation auf RODCs ausgenommen werden
Erläuterungen DNS-Updates Mehrere Domänen Mehrere RODCs in einem Standort Exchange
Bisher: Directory Services Restore Modus für viele Wartungsaufgaben notwendig Neu: Active Directory lässt sich stoppen, bestimmte Wartungsaufgaben wie Offline-Defragmentierung können in diesem Modus durchgeführt werden Vorteil: Weniger "Downtime", besser per Script ausführbar Achtung: DSRM-Administrator kann sich nicht bei gestopptem DS anmelden, aber: HKLM\system\currentcontrolset\Control\Lsa DsrmAdminLogonBehavior: REG_DWORD 0: DSRM-Admin kann sich nur im DSRM anmelden (Standardeinstellung) 1: DSRM-Admin kann sich im DSRM und wenn NTDS gestoppt ist anmelden 2: DSRM-Admin kann sich jederzeit anmelden
Passwort Einstellungen Bisher: eine Passwort-Richtlinie pro Domäne Neu: Passwort- und Kontosperrung können beliebig definiert werden Werden Gruppen oder Benutzerkonten zugeordnet "Precedence" bestimmt im Konfliktfall welche Einstellung angewendet wird Voraussetzung: Domäne im Windows Server 2008-Modus (alle DCs der Domäne auf Windows Server 2008) Wie: Password Settings Object in cn=Password Settings, cn=System, dc=... erstellen, dann mit Gruppe (oder Benutzer) verlinken
Erläuterungen GUI / Tools Warum auf Gruppen/User statt Ous? Warum nicht über GPO verwaltet?
Active Directory-Snapshots Snapshot kann online erstellt werden Snapshot hält aktuellen Stand des AD komplett fest Snapshot / Backup kann jederzeit als zusätzliches LDAP-Verzeichnis gestartet werden Online Zugriff mittels LDAP-Browser/Scripts Mehrwert: Active Directory-Recovery (Objekte / Attribute) Identifizieren des richtigen AD-Backups
Lokales Backup / Versionierung auf Fileserver / Band Schneller Restore der "gestrigen" Daten Restore der letzten Tagesversionen über Netzwerk Install from Media Active Directory-Recoverysite Online-Recovery Domain- / Forest-Recovery Active Directory-Snapshots Object-Recovery / Tombstone Reanimation Attribute Recovery
Auf den Snapshot zugreifen Active Directory-Benutzer & -Computer, LDP, ADSIEdit, dsquery,... gegen Port Snapshot als LDAP-Verzeichnisdienst starten (R/O) Dsamain –dbpath c:\$snap \ntds.dit –ldapport Snapshot in das Dateisystem verbinden Ntdsutil Snapshot List All / Mount ID Mount {GUID} List All / Mount ID Mount {GUID} Snapshot erstellen Ntdsutil Snapshot Create
Objekte können vor versehentlichem Löschen / Verschieben geschützt werden Standard bei OUs die mit Active Directory- Benutzer und –Computer von WS2k8 erstellt werden Entspricht : Deny Everyone to Delete Deny Everyone to Delete Subtree
Eigene Ansichten des Eventlogs möglich Weiterleiten und zentrales Sammeln von bestimmten Ereignissen Aufgaben können durch Events ausgelöst werden Mehr Details in Audit-Logs Z.B. Attributänderungen auditpol /get /category:DS Access auditpol /set /subcategory:Directory Service Changes
IPv6 Starten von DNS Support von RODCs Timestamps in GUI DNAME-Support: Alias für Namensräume Bedingte Weiterleitungen werden in der GUI unterstützt Bisher: dnscmd /ZoneAdd myexample.net /DsForwarder /DP /forest
Kein WINS mehr? Wird in DNS erstellt Muss auf Windows Server 2008 liegen Antwortet Kurznamen auf alle Zonenanfragen Dnscmd /config /EnableGlobalnamesSupport Multidomain: Repliziert in AD auf möglichst alle Server SRV-Record in _msdcs möglich
Active Directory Notfallplanung Active Directory Snapshots Protected Objects (Objekte vorm löschen schützen) Einsatz von Windows Server 2008 in Niederlassungen Read only DC Fine Grained Password Policy Active Directory Attribute Editor Active Directory Management (dcpromo, aduc) DNS Management (conditional forwarder, dnsmgmt) Active Directory Auditing
Europas führender herstellerübergreifender Dienstleister für Informationstechnologie Windows Server 2008 im Haus implementiert Kundenprojekte zu WS2k8 seit Anfang 2007 Zahlreiche Referenzen Große Erfahrung bei Migrationsprojekten Das Magazin für professionelle System- und Netzwerkadministration Mai / Juni 2007: Vorschau auf Windows Server 2008 November 2007 bis Januar 2008: Serie zu Windows Server 2008 März / April 2008: Active Directory Wiederherstellung mit Windows Server 2008
Windows Server 2008 Tech Center fault.mspx fault.mspx Windows Server 2008 Webcasts: Windows Server 2008 Produktseite: Microsoft Virtualization:
Mein Blog (Directory Services – Active Directory): Fine Grained Password Policies: Psomgr: MMC: policy-tool-beta-1-is-ready.aspx policy-tool-beta-1-is-ready.aspx PowerGUI: password-policies/ password-policies/ SpecOps Password Policiy Basic: PasswordPolicybasic/ PasswordPolicybasic/ Konferenzen: Directory Experts Conference USA (Chicago, April) TechEd USA (Orlando, Juni) Directory Experts Conference Europe (Ort tba, Herbst 2008) TechEd IT-Forum Europe (Barcelona, November)
Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.