Windows Server 2012 Novedades de Directorio Activo Julián Blázquez García Director Técnico Implantación de Sistemas Sidertia Solutions jblazquez@sidertia.com
Agenda Simplificado el proceso de instalación Virtualización segura de controladores de dominio Despliegue más rápido Cambios en la arquitectura de Active Directory Mejoras en la administración
Despliegue Simplificado Problemática Añadir a la replicación DCs que ejecutan las versiones más recientes de Windows Server ha demostrado ser: Consumo de tiempo Propenso a errores complejo En el pasado, los profesionales de IT eran obligados a: Obtener la nueva versión de las herramientas ADPrep Iniciar sesión interactiva en DCs de cada dominio Ejecutar las herramientas de preparación en la secuencia correcta y con los parámetros correctos Esperar a la convergencia de la replicación entre cada paso
Despliegue Simplificado Solución Integrar los pasos de preparación dentro de proceso de promoción Automatizar las pre-requisitos entre cada paso Validar requisitos previos del entorno antes de comenzar la implementación Integración con Server Manager Construido bajo PowerShell Asistente de configuración cubre escenarios más comunes de implementación
Despliegue Simplificado Requisitos Windows Server 2012 El bosque nivel funcional Windows Server 2003 o superior Agregar el primer DC Windows Server 2012 requiere privilegios de Administrador de Empresa y Esquema El resto de DCs requiere solo privilegios de Administrador del Dominio
Controlador de Dominio DEMO Implementación Controlador de Dominio
Virtualización Segura Problemática 4/1/2017 6:51 PM Virtualización Segura Problemática Las operaciones más comunes de virtualización como crear instantáneas o copiar VMs/VHDs puede revertir el estado de un DC Virtual Introducir las burbujas USN conduce a un estado de divergente permanente causando: Objetos persistentes Contraseñas inconsistentes Valores de atributos incoherentes Errores de esquema si el maestro de es revertido También existe el riesgo de crear objetos con SIDs duplicados ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Virtualización Segura Solución DCs virtuales con Windows Server 2012 detectan cuando: Se aplica una instantánea Una máquina virtual es copiada Incluir un identificador de generación (VM-generation ID) que cambia cuando se usan funciones de virtualización DCs virtuales con Windows Server 2012 rastrea el identificador de generación para detectar cambios y proteger Active Directory Descartar pila RID Reestablecer el invocationID Recuperar INITSYNC requisito de FSMOs
Virtualización Segura Requisitos e Impacto 4/1/2017 6:51 PM Virtualización Segura Requisitos e Impacto DCs con Windows Server 2012 en plataforma de hypervisor que soporten VM-Generation ID Timeline of events DC1 DC2 TIME: T1 Create Snapshot USN: 100 ID: A RID Pool: 500 - 1000 USN rollback NOT detected: only 50 users converge across the two DCs All others are either on one or the other DC 100 security principals (users in this example) with RIDs 500-599 have conflicting SIDs +100 users added TIME: T2 USN: 200 ID: A RID Pool: 600- 1000 DC2 receives updates: USNs >100 DC1(A) @USN = 200 TIME: T3 T1 Snapshot Applied! USN: 100 ID: A RID Pool: 500 - 1000 +150 more users created TIME: T4 DC1(A) @USN = 250 USN: 250 ID: A RID Pool: 650 - 1000 DC2 receives updates: USNs >200 ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Despliegue Rápido Problemática Implementar DCs virtuales secundarios es tan costoso como DCs físicos La virtualización ofrece capacidades para simplificar la implementación El resultado de promover DCs adicionales en un dominio es una instancia idéntica Excluyendo nombre, dirección IP, etc. La implementación implica muchos pasos (posiblemente repetitivos) Preparación y despliegue de imagen servidor Syspreada Manualmente promocionar un DC usando: En línea: mucho tiempo dependiendo del tamaño de base de datos IFM: preparación de medio y la copia agregar tiempo y complejidad Pasos posteriores a la implementación son necesarios
Despliegue Rápido Solución: Clonar controlador de dominio Crear replicas de DCs virtualizados mediante la clonación ej. Copiar el VHD a través de operaciones de exportación e importación Simplificar la interacción y despliegue entre administradores de HyperVisor y Active Director El clonado requiere privilegios de Administrador de Empresa o Dominio Cambio de juego para la recuperación frente a desastres Un solo DC virtual Windows Server 2012 para recuperar rápidamente un busque entero DCs posteriores pueden implementarse rápidamente reduciendo el tiempo hasta su puesta en producción Este despliegue soporta implementaciones de nube privada, etc.
Despliegue Rápido Flujo de Clonado 4/1/2017 6:51 PM Despliegue Rápido Flujo de Clonado Clone VM Windows Server 2012 PDC NTDS starts Configure network settings IDL_DRSAddCloneDC Obtain current VM-GenID Locate PDC Check authorization If different from value in DIT CN=Configuration |--CN=Sites |---CN=<site name> |---CN=Servers |---CN=<DC Name> |---CN=NTDS Settings Create new DC object by duplicating source DC objects (NTDSDSA, Server, Computer instances) Call _IDL_DRSAddCloneDC(name, site) Reset InvocationID, discard RID pool Save clone state (new name, password, site) Generate new DC machine account and password DCCloneConfig.xml available? Promote as replica (IFM) Dcpromo /fixclone Run (specific) sysprep providers Parse DCCloneConfig.xml Reboot ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Despliegue Rápido Requisitos DC Virtual Windows Server 2012 alojado sobre plataforma hypervisor con capacidad de VM-Generation-ID Maestro PDC debe ser Windows Server 2012 para autorizar operaciones de clonado El DC a clonar debe se autorizado para ello Añadir el DC al grupo “Cloneable Domain Controllers” DCCloneConfig.XML debe estar presente en el DC clonado en: Directorio que contiene NTDS.DIT Directorio DIT por defecto (%windir%\NTDS) Medio extraíble (USB, disquete virtual, etc.) Los servicios más comunes de los DCS soportan la clonación (DNS, FRS, DFSR) El resto de servicios o tareas programadas debe agregarse a una lista blanca Si el componente no está en la lista blanca, la clonación fallará y el DC resultante arrancará en DSRM
Desplegar Controlador de Dominio Virtual DEMO Desplegar Controlador de Dominio Virtual
Arquitectura Active Directory Mejoras RID Arreglado la perdida de RID durante la creación de la cuenta de usuario y equipo Aumentar el registro de eventos, por ejemplo: evento de registro cada vez que un grupo RID es invalidado en un DC ADVERTENCIA de consumo RID al 10% de espacio restante de RID global Imponer limite y parada del RID Manager en el reparto de grupos RID ELIMINAR asignación de grupos RID al 90% de espacio global de RID Desbloquear el bit 31 del espacio global RID (2.147.483.647)
Arquitectura Active Directory Creación de Indices Diferidos Agregar índices a los atributos existentes dio lugar a problemas de rendimiento de DCs DCs recibieron actualización del esquema a través de la replicación 5 minutos más tarde, los DCs actualizaban su caché del esquema muchos / todos los DC ~ simultáneamente comenzar a construir el índice Windows Server 2012 introduce nueva heurística 18º se usa como base-cero Valor 1, los DCs Windows Server 2012 demoran la reconstrucción del índice: Reciba UpdateSchemaNow Sea reiniciado el DC cualquier atributo que se encuentra en un estado de índice diferido se registrarán en el registro de sucesos cada 24 horas
Arquitectura Active Directory Mejoras Unión al Dominio en modo Offline Unión al dominio en modo offline fue agregado en AD DS en Windows Server 2008 R2 Permite a cliente unirse a un dominio sin necesidad de conectividad con un controlador de dominio Pero el equipo cliente no podía ser preconfigurado para DirectAccess. Windows Server 2012 AD DS proporciona las siguientes mejoras: Se extiende para preconfigurar DirectAccess Certificados Directivas de grupo ¿Qué significa esto? Un equipo puede ahora ser Unido a un dominio desde Internet, Si el dominio tiene habilitado DirectAccess El objeto binario de la máquina se realiza mediante un proceso offline bajo la responsabilidad del administrador Requisitos Controladores de dominio de Windows Server 2012
Papelera Reciclaje AD Interfaz Gráfica Simplifica la recuperación de objetos a través del centro de administración de Active Directory Objetos eliminados se pueden recuperar ahora dentro de la interfaz gráfica de usuario Reduce considerablemente el tiempo de recuperación Vista consistente y detección de objetos eliminados
Papelera Reciclaje AD Requisitos Nivel funcional de bosque Windows Server 2008 R2 Activar la característica de Papelera de reciclaje Windows Server 2012 Active Directory Administrative Center Los objetos a recuperar deben estar dentro del Tiempo de Vida de los Objetos Borrados (DOL) Por defecto 180 días
DEMO Interfaz Gráfica Papelera de Reciclaje
Activación Basada en AD Actualmente Licenciamiento por Volumen para Windows/office requiere de servidores KMS requiere una capacitación mínima solución llave en mano cubre ~ 90% de implementaciones complejidad por la falta de una consola de administración gráfica requiere tráfico RPC en la red que complica las cosas no admite ningún tipo de autenticación CLUF prohíbe a clientes KMS conectarse a redes externas Una simple conexión al servicio equivale a activado
Activación Basada en AD Windows Server 2012 Utilizar Active Directory para activar sus clientes No hay máquinas adicionales requeridas No requiere RPC, utiliza exclusivamente LDAP incluidos los RODC Requiere activación inicial CSVLK (clave licencia de volumen específico del cliente): único contacto con los servicios de activación de Microsoft sobre Internet Escribir la clave utilizando la función de servidor de activación de volumen o línea de comandos. Repita el proceso de activación para los bosques adicionales hasta 6 veces por defecto Objeto de activación en la partición de configuración representa la prueba de compra las máquinas pueden ser miembros de cualquier dominio del bosque Todas las máquinas de Windows 8 se activarán automáticamente
Activación Basada en AD Requisitos Solamente Windows 8 o Windows Server 2012 Pueden coexistir KMS y Activación AD KMS necesario para sistemas operativos anteriores Requiere Active Directory Schema basado en Windows Server 2012 No requiere Controladores de dominio Windows Server 2012
AD Windows PowerShell Visor de Historico permiten a los administradores ver los comandos de Windows PowerShell ejecutados reduce la curva de aprendizaje aumenta la confianza en secuencias de comandos aumenta aún más la capacidad de descubrimiento de Windows PowerShell
AD Windows PowerShell Requisitos 4/1/2017 6:51 PM AD Windows PowerShell Requisitos Windows Server 2012 Active Directory Administrative Center Active Directory Web Service Ejecutar en un controlador de dominio del dominio objetivo ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Política Granular de Contraseñas Actualmente Las políticas granulares de contraseña proporciona flexibilidad en los requisitos de cumplimiento de las contraseñas Los administradores tenían que crear manualmente los objetos de configuración de contraseñas (PSO) difícil asegurar que los valores definidos se comporten como se esperaba Mucho tiempo, pruebas y errores
Política Granular de Contraseñas Windows Server 2012 creación, edición y asignación de PSOs ahora administrados por el centro de administración de Active Directory simplifica la administración de objetos de configuración de contraseñas
Administración de Política Granular de Contraseñas DEMO Administración de Política Granular de Contraseñas
Flexible Authentication Secure Tunneling (FAST) Problemática ataques offline de diccionario contra inicios de sesión basados en contraseña preocupación relativamente alrededor de la conocida falsificación de Kerberos Los clientes pueden: Caer a protocolos heredados menos seguros debilitar la fortaleza de las claves criptográficas
Flexible Authentication Secure Tunneling (FAST) Solución 4/1/2017 6:51 PM Flexible Authentication Secure Tunneling (FAST) Solución Kerberos en Windows Server 2012 soporta FAST Definido en RFC 6113 A menudo denominado como el blindaje de Kerberos Proporciona un canal protegido entre clients de dominio y DCs Protege los datos de pre-autenticación de los usuarios allows DCs to return authenticated Kerberos errors thereby protecting them from spoofing permite DCs a devolver errores de Kerberos autenticados protegiendo de suplantación de identidad una vez todos los clientes Kerberos y DCs soporten FAST el dominio se puede configurar para requieren blindaje de Kerberos o utilizar a petición primero debe asegurarse de todos o suficiente DCs están ejecutando Windows Server 2012 habilitar la directiva correspondiente ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Grupo de Cuentas de Servicio Administradas Problemática Las cuentas de servicio administradas aparecen con Windows Server 2008 R2 Servicios de Cluster y Balanceo de Carga no estában soportados Las cuentas de servicio administradas no puede utilizarse en mucho escenarios deseables
Grupo de Cuentas de Servicio Administradas Solución Con los grupos de cuentas de servicio administradas (gMSA) los servicios que corren en multiples equipos están soportados Requerido 1 o más DCs Windows Server 2012 gMSAs puede autenticar contra cualquier version de DC Las contraseñas se generan por Group Key Distribution Service (GKDS) que existen en los DCs Windows Server 2012 Los equipos Windows Server 2012 usan gMSAs obteniendo y actualizando las contraseñas de GKDS recuperación de contraseña limitado a equipos autorizados intervalo definido en la creación de la cuenta de gMSA (30 días por defecto) de cambio de contraseña como MSAs, gMSAs son compatibles sólo con el administrador de Control de servicios de Windows (SCM) y grupos de aplicaciones de IIS
Grupo de Cuentas de Servicio Administradas Requisitos Esquema de Active Directory en Windows Server 2012 en los bosques que contiene gMSAs 1 o más Windows Server 2012 DCs para proporcionar recuperación y cambio de la contraseña sólo los servicios que se ejecutan en Windows 8 o Windows Server 2012 pueden usar gMSAs Módulo de Active Directory Powershell Windows Server 2012 para crear cuentas de gMSA
Descargate Windows Server 2012 Evaluación http://bit.ly/DescargaWS2012
http://bit.ly/AzureItPro
Más TechNet IT CAMPS Registro en futuros webcasts http://bit.ly/ITCamps2012 Registro en futuros webcasts http://technet.microsoft.com/es-es/bb291010.aspx Suscripción al boletín TechNet Flash http://www.microsoft.com/spain/technet/boletines/default.mspx TechCenters de TechNet (información de productos) http://technet.microsoft.com/es-es/bb421517.aspx Suscripciones TechNet http://technet.microsoft.com/es-es/subscriptions/default.aspx
Serie de Webcasts Windows Server 2012 http://bit.ly/Webcasts2012
Sigue a TechNet España http://www.facebook.com/TechNet.Spain http://www.twitter.com/TechNet_es
Contacto Julián Blázquez García jblazquez@sidertia.com www.sidertia.com info@sidertia.com