Embed Size (px)
Citation preview
Windows Server 2012Novedades de Directorio Activo
Julián Blázquez GarcíaDirector Técnico Implantación de Sistemas
Sidertia [email protected]
Agenda
• Simplificado el proceso de instalación
• Virtualización segura de controladores de dominio
• Despliegue más rápido
• Cambios en la arquitectura de Active Directory
• Mejoras en la administración
Despliegue SimplificadoProblemática
• Añadir a la replicación DCs que ejecutan las versiones más recientes de Windows Server ha demostrado ser:– Consumo de tiempo– Propenso a errores– complejo
• En el pasado, los profesionales de IT eran obligados a:– Obtener la nueva versión de las herramientas ADPrep– Iniciar sesión interactiva en DCs de cada dominio– Ejecutar las herramientas de preparación en la secuencia correcta y
con los parámetros correctos– Esperar a la convergencia de la replicación entre cada paso
Despliegue SimplificadoSolución
• Integrar los pasos de preparación dentro de proceso de promoción– Automatizar las pre-requisitos entre cada paso
• Validar requisitos previos del entorno antes de comenzar la implementación
• Integración con Server Manager
• Construido bajo PowerShell
• Asistente de configuración cubre escenarios más comunes de implementación
Despliegue SimplificadoRequisitos
• Windows Server 2012
• El bosque nivel funcional Windows Server 2003 o superior
• Agregar el primer DC Windows Server 2012 requiere privilegios de Administrador de Empresa y Esquema
– El resto de DCs requiere solo privilegios de Administrador del Dominio
DEMO
Implementación Controlador de Dominio
Virtualización SeguraProblemática
• Las operaciones más comunes de virtualización como crear instantáneas o copiar VMs/VHDs puede revertir el estado de un DC Virtual
• Introducir las burbujas USN conduce a un estado de divergente permanente causando:– Objetos persistentes– Contraseñas inconsistentes– Valores de atributos incoherentes– Errores de esquema si el maestro de es revertido
• También existe el riesgo de crear objetos con SIDs duplicados
Virtualización SeguraSolución
• DCs virtuales con Windows Server 2012 detectan cuando:– Se aplica una instantánea– Una máquina virtual es copiada
• Incluir un identificador de generación (VM-generation ID) que cambia cuando se usan funciones de virtualización
• DCs virtuales con Windows Server 2012 rastrea el identificador de generación para detectar cambios y proteger Active Directory– Descartar pila RID– Reestablecer el invocationID– Recuperar INITSYNC requisito de FSMOs
USN rollback NOT detected: only 50 users converge across the two DCsAll others are either on one or the other DC100 security principals (users in this example) with RIDs 500-599 have conflicting SIDs
Virtualización SeguraRequisitos e Impacto
• DCs con Windows Server 2012 en plataforma de hypervisor que soporten VM-Generation ID
Tim
elin
e of
eve
nts
TIME: T2
TIME: T3
TIME: T4
CreateSnapshot
T1 SnapshotApplied!
USN: 100 ID: A RID Pool: 500 - 1000
USN: 100 ID: A RID Pool: 500 - 1000
USN: 250ID: A RID Pool: 650 - 1000
+150 more users created
DC1(A)@USN = 200
DC2 receives updates: USNs >200DC1(A)
@USN = 250
USN: 200ID: A RID Pool: 600- 1000
+100 users added
DC2 receives updates: USNs >100
DC1
DC2
TIME: T1
Despliegue RápidoProblemática
• Implementar DCs virtuales secundarios es tan costoso como DCs físicos– La virtualización ofrece capacidades para simplificar la implementación– El resultado de promover DCs adicionales en un dominio es una instancia
idéntica• Excluyendo nombre, dirección IP, etc.
• La implementación implica muchos pasos (posiblemente repetitivos)– Preparación y despliegue de imagen servidor Syspreada– Manualmente promocionar un DC usando:
• En línea: mucho tiempo dependiendo del tamaño de base de datos• IFM: preparación de medio y la copia agregar tiempo y complejidad
– Pasos posteriores a la implementación son necesarios
Despliegue RápidoSolución: Clonar controlador de dominio
• Crear replicas de DCs virtualizados mediante la clonación– ej. Copiar el VHD a través de operaciones de exportación e importación
• Simplificar la interacción y despliegue entre administradores de HyperVisor y Active Director– El clonado requiere privilegios de Administrador de Empresa o Dominio
• Cambio de juego para la recuperación frente a desastres– Un solo DC virtual Windows Server 2012 para recuperar rápidamente un
busque entero– DCs posteriores pueden implementarse rápidamente reduciendo el tiempo
hasta su puesta en producción
• Este despliegue soporta implementaciones de nube privada, etc.
NTDS starts
Obtain current VM-GenID
If different from value in DIT
Reset InvocationID, discard RID pool
DCCloneConfig.xml available?
Dcpromo /fixclone
Parse DCCloneConfig.xml
Configure network settings
Locate PDC
Call _IDL_DRSAddCloneDC(name, site)
Check authorization
Create new DC object by duplicating source DC objects(NTDSDSA, Server, Computer instances)
Generate new DC machine account and password
Save clone state (new name, password, site)
Promote as replica (IFM)
Run (specific) sysprep providers
Reboot
Clone VM Windows Server 2012 PDC
IDL_DRSAddCloneDC
CN=Configuration|--CN=Sites
|---CN=<site name>|---CN=Servers
|---CN=<DC Name> |---CN=NTDS Settings
Despliegue RápidoFlujo de Clonado
Despliegue RápidoRequisitos
• DC Virtual Windows Server 2012 alojado sobre plataforma hypervisor con capacidad de VM-Generation-ID
• Maestro PDC debe ser Windows Server 2012 para autorizar operaciones de clonado
• El DC a clonar debe se autorizado para ello– Añadir el DC al grupo “Cloneable Domain Controllers”
• DCCloneConfig.XML debe estar presente en el DC clonado en:– Directorio que contiene NTDS.DIT – Directorio DIT por defecto (%windir%\NTDS) – Medio extraíble (USB, disquete virtual, etc.)
• Los servicios más comunes de los DCS soportan la clonación (DNS, FRS, DFSR)– El resto de servicios o tareas programadas debe agregarse a una lista blanca– Si el componente no está en la lista blanca, la clonación fallará y el DC resultante
arrancará en DSRM
DEMO
Desplegar Controlador de Dominio Virtual
Arquitectura Active DirectoryMejoras RID
• Arreglado la perdida de RID durante la creación de la cuenta de usuario y equipo
• Aumentar el registro de eventos, por ejemplo:– evento de registro cada vez que un grupo RID es invalidado en un DC– ADVERTENCIA de consumo RID al 10% de espacio restante de RID
global
• Imponer limite y parada del RID Manager en el reparto de grupos RID– ELIMINAR asignación de grupos RID al 90% de espacio global de RID
• Desbloquear el bit 31 del espacio global RID (2.147.483.647)
Arquitectura Active DirectoryCreación de Indices Diferidos
• Agregar índices a los atributos existentes dio lugar a problemas de rendimiento de DCs– DCs recibieron actualización del esquema a través de la replicación– 5 minutos más tarde, los DCs actualizaban su caché del esquema
• muchos / todos los DC ~ simultáneamente comenzar a construir el índice
• Windows Server 2012 introduce nueva heurística– 18º se usa como base-cero– Valor 1, los DCs Windows Server 2012 demoran la reconstrucción del índice:
• Reciba UpdateSchemaNow • Sea reiniciado el DC
– cualquier atributo que se encuentra en un estado de índice diferido se registrarán en el registro de sucesos cada 24 horas
Arquitectura Active DirectoryMejoras Unión al Dominio en modo Offline
• Unión al dominio en modo offline fue agregado en AD DS en Windows Server 2008 R2 – Permite a cliente unirse a un dominio sin necesidad de conectividad con un controlador de
dominio– Pero el equipo cliente no podía ser preconfigurado para DirectAccess.
• Windows Server 2012 AD DS proporciona las siguientes mejoras:– Se extiende para preconfigurar DirectAccess– Certificados– Directivas de grupo
• ¿Qué significa esto?– Un equipo puede ahora ser Unido a un dominio desde Internet, Si el dominio tiene
habilitado DirectAccess– El objeto binario de la máquina se realiza mediante un proceso offline bajo la
responsabilidad del administrador
• Requisitos– Controladores de dominio de Windows Server 2012
Papelera Reciclaje ADInterfaz Gráfica
• Simplifica la recuperación de objetos a través del centro de administración de Active Directory– Objetos eliminados se pueden recuperar ahora dentro de la interfaz
gráfica de usuario
• Reduce considerablemente el tiempo de recuperación• Vista consistente y detección de objetos eliminados
Papelera Reciclaje ADRequisitos
• Nivel funcional de bosque Windows Server 2008 R2
• Activar la característica de Papelera de reciclaje
• Windows Server 2012 Active Directory Administrative Center
• Los objetos a recuperar deben estar dentro del Tiempo de Vida de los Objetos Borrados (DOL)– Por defecto 180 días
DEMO
Interfaz Gráfica Papelera de Reciclaje
Activación Basada en ADActualmente
• Licenciamiento por Volumen para Windows/office requiere de servidores KMS
• requiere una capacitación mínima– solución llave en mano cubre ~ 90% de implementaciones– complejidad por la falta de una consola de administración gráfica
• requiere tráfico RPC en la red que complica las cosas
• no admite ningún tipo de autenticación
• CLUF prohíbe a clientes KMS conectarse a redes externas
• Una simple conexión al servicio equivale a activado
Activación Basada en ADWindows Server 2012
• Utilizar Active Directory para activar sus clientes– No hay máquinas adicionales requeridas– No requiere RPC, utiliza exclusivamente LDAP– incluidos los RODC
• Requiere activación inicial CSVLK (clave licencia de volumen específico del cliente):– único contacto con los servicios de activación de Microsoft sobre Internet – Escribir la clave utilizando la función de servidor de activación de volumen o línea de comandos.– Repita el proceso de activación para los bosques adicionales hasta 6 veces por defecto
• Objeto de activación en la partición de configuración– representa la prueba de compra– las máquinas pueden ser miembros de cualquier dominio del bosque
• Todas las máquinas de Windows 8 se activarán automáticamente
Activación Basada en ADRequisitos
• Solamente Windows 8 o Windows Server 2012
• Pueden coexistir KMS y Activación AD
– KMS necesario para sistemas operativos anteriores
• Requiere Active Directory Schema basado en Windows Server 2012
• No requiere Controladores de dominio Windows Server 2012
AD Windows PowerShell Visor de Historico
• permiten a los administradores ver los comandos de Windows PowerShell ejecutados
• reduce la curva de aprendizaje• aumenta la confianza en secuencias de comandos• aumenta aún más la capacidad de descubrimiento de Windows
PowerShell
AD Windows PowerShell Requisitos
• Windows Server 2012 Active Directory Administrative Center
• Active Directory Web Service
– Ejecutar en un controlador de dominio del dominio objetivo
Política Granular de ContraseñasActualmente
• Las políticas granulares de contraseña proporciona flexibilidad en los requisitos de cumplimiento de las contraseñas
• Los administradores tenían que crear manualmente los objetos de configuración de contraseñas (PSO)
– difícil asegurar que los valores definidos se comporten como se esperaba
– Mucho tiempo, pruebas y errores
Política Granular de ContraseñasWindows Server 2012
• creación, edición y asignación de PSOs ahora administrados por el centro de administración de Active Directory
• simplifica la administración de objetos de configuración de contraseñas
DEMO
Administración de Política Granular de Contraseñas
Flexible Authentication Secure Tunneling (FAST)Problemática
• ataques offline de diccionario contra inicios de sesión basados en contraseña
• preocupación relativamente alrededor de la conocida falsificación de Kerberos
• Los clientes pueden:
– Caer a protocolos heredados menos seguros
– debilitar la fortaleza de las claves criptográficas
Flexible Authentication Secure Tunneling (FAST)Solución
• Kerberos en Windows Server 2012 soporta FAST– Definido en RFC 6113– A menudo denominado como el blindaje de Kerberos
• Proporciona un canal protegido entre clients de dominio y DCs– Protege los datos de pre-autenticación de los usuarios– allows DCs to return authenticated Kerberos errors thereby protecting them from
spoofing
• permite DCs a devolver errores de Kerberos autenticados protegiendo de suplantación de identidad
• una vez todos los clientes Kerberos y DCs soporten FAST– el dominio se puede configurar para requieren blindaje de Kerberos o utilizar a
petición• primero debe asegurarse de todos o suficiente DCs están ejecutando Windows Server 2012• habilitar la directiva correspondiente
Grupo de Cuentas de Servicio AdministradasProblemática
• Las cuentas de servicio administradas aparecen con Windows Server 2008 R2
• Servicios de Cluster y Balanceo de Carga no estában soportados
– Las cuentas de servicio administradas no puede utilizarse en mucho escenarios deseables
Grupo de Cuentas de Servicio AdministradasSolución
• Con los grupos de cuentas de servicio administradas (gMSA) los servicios que corren en multiples equipos están soportados
• Requerido 1 o más DCs Windows Server 2012– gMSAs puede autenticar contra cualquier version de DC– Las contraseñas se generan por Group Key Distribution Service (GKDS) que existen en los
DCs Windows Server 2012• Los equipos Windows Server 2012 usan gMSAs obteniendo y actualizando las
contraseñas de GKDS– recuperación de contraseña limitado a equipos autorizados
• intervalo definido en la creación de la cuenta de gMSA (30 días por defecto) de cambio de contraseña
• como MSAs, gMSAs son compatibles sólo con el administrador de Control de servicios de Windows (SCM) y grupos de aplicaciones de IIS
Grupo de Cuentas de Servicio AdministradasRequisitos
• Esquema de Active Directory en Windows Server 2012 en los bosques que contiene gMSAs
• 1 o más Windows Server 2012 DCs para proporcionar recuperación y cambio de la contraseña
• sólo los servicios que se ejecutan en Windows 8 o Windows Server 2012 pueden usar gMSAs
• Módulo de Active Directory Powershell Windows Server 2012 para crear cuentas de gMSA
Descargate Windows Server 2012 Evaluación
http://bit.ly/DescargaWS2012
http://bit.ly/AzureItPro
Más TechNet
• IT CAMPS
http://bit.ly/ITCamps2012
• Registro en futuros webcastshttp://technet.microsoft.com/es-es/bb291010.aspx
• Suscripción al boletín TechNet Flashhttp://www.microsoft.com/spain/technet/boletines/default.mspx
• TechCenters de TechNet (información de productos)http://technet.microsoft.com/es-es/bb421517.aspx
• Suscripciones TechNethttp://technet.microsoft.com/es-es/subscriptions/default.aspx
Serie de Webcasts Windows Server 2012
http://bit.ly/Webcasts2012
Sigue a TechNet España
http://www.facebook.com/TechNet.Spain
http://www.twitter.com/TechNet_es
