Windows Server 2012 Novedades de Directorio Activo

Slides:



Advertisements
Presentaciones similares
TNT4-04 KEY MESSAGE: Entry Slide SLIDE BUILDS: 0 SLIDE SCRIPT:
Advertisements

Introducción Técnica a Virtual PC
© 2006 Microsoft Corporation. All rights reserved.
Administración remota de Active Directory®
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Código: HOL-WIN36. Core Version ¿Por qué Core Version? Configuración y securización del Servidor Instalación y configuración de roles Instalación y configuración.
Introducción a servidores
Database Mounting Tool (Dsamain.exe) Mediante esta nueva herramienta y una de las mejoras de la nueva versión de Ntdsutil… podemos generar y examinar.
DIRECT ACCESS.
Virtual PC.
Ing. Horacio Carlos Sagredo Tejerina
2.5 Seguridad e integridad.
Windows Server 2012 Failover Clustering
Diseño e implementación de un ambiente virtualizado para un Sistema de Administración de Contenidos usando Microsoft SharePoint con cada uno de sus componentes.
INFOPATH.
WINDOWS AZURE CONNECT.
IIS 8 Windows Server 2012 Paulo Dias IT
Windows Server 2012 Direct Access
Windows Server 2012 Despliegue de VDI
José Parada Gimeno ITPro Evangelist
DYNAMIC ACCESS CONTROL Windows Server Objetivos de la Sesión Entender las capacidades de Dynamic Access Control y File Clasiffication en Server.
WebCast Technet Windows Server 2012 Gestión Centralizada de Servidores
Antonio Gámir Optimized Desktop Specialist Microsoft Ibérica.
28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:
Systems Management Server 2003 Santiago Pastor Zaltor Soluciones Informáticas.
Las 7 cosas más importantes de Volume Activation con Windows 7 © 2009 Microsoft Corporation. Reservados todos los derechos. Como profesional de TI, debe.
Windows Server 2012 Alberto Marcos González (Plain Concepts)
Gestión Basada en Directivas en SQL Server 2008
FOREFRONT TMG HTTPS INSPECTION Juan Luis García Rambla MVP Windows Security
Directorio Activo- Active Directory
TEMA 8: « LA ADMINISTRACIÓN DE DOMINIOS»
DEFENSA PÚBLICA Jorge Salinas
Por: Santiago Toro Rendón Raquel Sepúlveda.  El SO se instala en una sección definida de la unidad de disco duro, denominada partición de disco. Existen.
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
Se trata de un nuevo tipo de Controlador de Dominio No puede escribir en su base de datos fruto de peticiones externas No se le permite tener replicación.
Implementación y administración de DHCP
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
Código: HOL-WIN51. Introducción a Windows Server 2008 Novedades en Windows Server 2008 R2 Actualización a Windows Server 2008 R2 Implantación Instalación.
Windows XP Windows XP (cuyo nombre en clave inicial fue Whistler) fue hecho público el 25 de octubre de 2001 por Microsoft. Microsoft inicialmente sacó.
Administrar • Crear • Autoservicio • Auditoría • Workflows
InfoPath Ventajas y Uso.
ASP.NET es una nueva y potente tecnología para escribir páginas web dinámica. Es una importante evolución respecto a las antiguas páginas ASP de Microsoft.
Introducción Técnica a Virtual PC Sergio Dongo Bonello Microsoft España Soluciones de Educación.
5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.
Creación de un dominio Windows  Descripción general Introducción a la creación de un dominio de Windows 2000 Instalación de Active Directory Proceso.
Diana Herrera León 6 º «H». Es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores.
Norman SecureTide Potente solución de nube para detener el spam y las amenazas antes de que lleguen a su red.
 Un servidor basado en un procesador Intel que ejecute Windows Server 2003 debe tener al menos 128 MB de RAM. Microsoft recomienda también que haya.
WINDOWS SERVER 2008 Windows Server 2008 es el nombre de un sistema operativo de Microsoft diseñado para servidores. Es el sucesor de Windows Server 2003,
Michael Ángelo De Lancer Franco  DNS: es un protocolo de resolución de nombres para redes TCP/IP, como Internet o la red de una organización.
Cuentas de usuarios y grupos en windows 2008 server
“Protocolo Dinámico de Configuración de hosts”
Almacenamiento virtual de sitios web “HOSTS VIRTUALES”
¿QUE SON LAS ACTUALIZACIONES?  Las actualizaciones son adiciones al software que pueden evitar problemas o corregirlos, mejorar el funcionamiento del.
La administración de dominios
Instalación de Active Directory en Windows Server 2003
INTRODUCCIÓN Para comenzar les hablaremos de lo que significa Windows server 2003, el cual es un sistema operativo de la familia Windows de la marca Microsoft.
WINDOWS 2008 SERVER
File Transfer Protocol.
Cuentas de usuarios y grupos en windows 2008 server
TALLER DE SISTEMAS OPERATIVOS
Gestión de sistemas operativos de red
Francis Ariel Jiménez Zapata
Michael Ángelo De Lancer Franco Windows Server 2008 dispone de muchas características que mejoran la seguridad y el cumplimiento. Algunas mejoras.
BOOTP Luis Villalta Márquez.
BASE DE DATOS DISTRIBUIDAS
Instituto Tecnológico Superior de Libres Organismo Publico Descentralizado del Gobierno del Estado de Puebla José Alejandro Leal González.
INVESTIGACION DE TEMARIO JOSE LUIS VEGA MERINO.  1.2. Requerimientos de instalación.  Microsoft Windows 7 Professional y Microsoft Windows 7 Ultimate.
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)
Transcripción de la presentación:

Windows Server 2012 Novedades de Directorio Activo Julián Blázquez García Director Técnico Implantación de Sistemas Sidertia Solutions jblazquez@sidertia.com

Agenda Simplificado el proceso de instalación Virtualización segura de controladores de dominio Despliegue más rápido Cambios en la arquitectura de Active Directory Mejoras en la administración

Despliegue Simplificado Problemática Añadir a la replicación DCs que ejecutan las versiones más recientes de Windows Server ha demostrado ser: Consumo de tiempo Propenso a errores complejo En el pasado, los profesionales de IT eran obligados a: Obtener la nueva versión de las herramientas ADPrep Iniciar sesión interactiva en DCs de cada dominio Ejecutar las herramientas de preparación en la secuencia correcta y con los parámetros correctos Esperar a la convergencia de la replicación entre cada paso

Despliegue Simplificado Solución Integrar los pasos de preparación dentro de proceso de promoción Automatizar las pre-requisitos entre cada paso Validar requisitos previos del entorno antes de comenzar la implementación Integración con Server Manager Construido bajo PowerShell Asistente de configuración cubre escenarios más comunes de implementación

Despliegue Simplificado Requisitos Windows Server 2012 El bosque nivel funcional Windows Server 2003 o superior Agregar el primer DC Windows Server 2012 requiere privilegios de Administrador de Empresa y Esquema El resto de DCs requiere solo privilegios de Administrador del Dominio

Controlador de Dominio DEMO Implementación Controlador de Dominio

Virtualización Segura Problemática 4/1/2017 6:51 PM Virtualización Segura Problemática Las operaciones más comunes de virtualización como crear instantáneas o copiar VMs/VHDs puede revertir el estado de un DC Virtual Introducir las burbujas USN conduce a un estado de divergente permanente causando: Objetos persistentes Contraseñas inconsistentes Valores de atributos incoherentes Errores de esquema si el maestro de es revertido También existe el riesgo de crear objetos con SIDs duplicados ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Virtualización Segura Solución DCs virtuales con Windows Server 2012 detectan cuando: Se aplica una instantánea Una máquina virtual es copiada Incluir un identificador de generación (VM-generation ID) que cambia cuando se usan funciones de virtualización DCs virtuales con Windows Server 2012 rastrea el identificador de generación para detectar cambios y proteger Active Directory Descartar pila RID Reestablecer el invocationID Recuperar INITSYNC requisito de FSMOs

Virtualización Segura Requisitos e Impacto 4/1/2017 6:51 PM Virtualización Segura Requisitos e Impacto DCs con Windows Server 2012 en plataforma de hypervisor que soporten VM-Generation ID Timeline of events DC1 DC2 TIME: T1 Create Snapshot USN: 100 ID: A RID Pool: 500 - 1000 USN rollback NOT detected: only 50 users converge across the two DCs All others are either on one or the other DC 100 security principals (users in this example) with RIDs 500-599 have conflicting SIDs +100 users added TIME: T2 USN: 200 ID: A RID Pool: 600- 1000 DC2 receives updates: USNs >100 DC1(A) @USN = 200 TIME: T3 T1 Snapshot Applied! USN: 100 ID: A RID Pool: 500 - 1000 +150 more users created TIME: T4 DC1(A) @USN = 250 USN: 250 ID: A RID Pool: 650 - 1000 DC2 receives updates: USNs >200 ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Despliegue Rápido Problemática Implementar DCs virtuales secundarios es tan costoso como DCs físicos La virtualización ofrece capacidades para simplificar la implementación El resultado de promover DCs adicionales en un dominio es una instancia idéntica Excluyendo nombre, dirección IP, etc. La implementación implica muchos pasos (posiblemente repetitivos) Preparación y despliegue de imagen servidor Syspreada Manualmente promocionar un DC usando: En línea: mucho tiempo dependiendo del tamaño de base de datos IFM: preparación de medio y la copia agregar tiempo y complejidad Pasos posteriores a la implementación son necesarios

Despliegue Rápido Solución: Clonar controlador de dominio Crear replicas de DCs virtualizados mediante la clonación ej. Copiar el VHD a través de operaciones de exportación e importación Simplificar la interacción y despliegue entre administradores de HyperVisor y Active Director El clonado requiere privilegios de Administrador de Empresa o Dominio Cambio de juego para la recuperación frente a desastres Un solo DC virtual Windows Server 2012 para recuperar rápidamente un busque entero DCs posteriores pueden implementarse rápidamente reduciendo el tiempo hasta su puesta en producción Este despliegue soporta implementaciones de nube privada, etc.

Despliegue Rápido Flujo de Clonado 4/1/2017 6:51 PM Despliegue Rápido Flujo de Clonado Clone VM Windows Server 2012 PDC NTDS starts Configure network settings IDL_DRSAddCloneDC Obtain current VM-GenID Locate PDC Check authorization If different from value in DIT CN=Configuration |--CN=Sites |---CN=<site name> |---CN=Servers |---CN=<DC Name> |---CN=NTDS Settings Create new DC object by duplicating source DC objects (NTDSDSA, Server, Computer instances) Call _IDL_DRSAddCloneDC(name, site) Reset InvocationID, discard RID pool Save clone state (new name, password, site) Generate new DC machine account and password DCCloneConfig.xml available? Promote as replica (IFM) Dcpromo /fixclone Run (specific) sysprep providers Parse DCCloneConfig.xml Reboot ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Despliegue Rápido Requisitos DC Virtual Windows Server 2012 alojado sobre plataforma hypervisor con capacidad de VM-Generation-ID Maestro PDC debe ser Windows Server 2012 para autorizar operaciones de clonado El DC a clonar debe se autorizado para ello Añadir el DC al grupo “Cloneable Domain Controllers” DCCloneConfig.XML debe estar presente en el DC clonado en: Directorio que contiene NTDS.DIT Directorio DIT por defecto (%windir%\NTDS) Medio extraíble (USB, disquete virtual, etc.) Los servicios más comunes de los DCS soportan la clonación (DNS, FRS, DFSR) El resto de servicios o tareas programadas debe agregarse a una lista blanca Si el componente no está en la lista blanca, la clonación fallará y el DC resultante arrancará en DSRM

Desplegar Controlador de Dominio Virtual DEMO Desplegar Controlador de Dominio Virtual

Arquitectura Active Directory Mejoras RID Arreglado la perdida de RID durante la creación de la cuenta de usuario y equipo Aumentar el registro de eventos, por ejemplo: evento de registro cada vez que un grupo RID es invalidado en un DC ADVERTENCIA de consumo RID al 10% de espacio restante de RID global Imponer limite y parada del RID Manager en el reparto de grupos RID ELIMINAR asignación de grupos RID al 90% de espacio global de RID Desbloquear el bit 31 del espacio global RID (2.147.483.647)

Arquitectura Active Directory Creación de Indices Diferidos Agregar índices a los atributos existentes dio lugar a problemas de rendimiento de DCs DCs recibieron actualización del esquema a través de la replicación 5 minutos más tarde, los DCs actualizaban su caché del esquema muchos / todos los DC ~ simultáneamente comenzar a construir el índice Windows Server 2012 introduce nueva heurística 18º se usa como base-cero Valor 1, los DCs Windows Server 2012 demoran la reconstrucción del índice: Reciba UpdateSchemaNow Sea reiniciado el DC cualquier atributo que se encuentra en un estado de índice diferido se registrarán en el registro de sucesos cada 24 horas

Arquitectura Active Directory Mejoras Unión al Dominio en modo Offline Unión al dominio en modo offline fue agregado en AD DS en Windows Server 2008 R2 Permite a cliente unirse a un dominio sin necesidad de conectividad con un controlador de dominio Pero el equipo cliente no podía ser preconfigurado para DirectAccess. Windows Server 2012 AD DS proporciona las siguientes mejoras: Se extiende para preconfigurar DirectAccess Certificados Directivas de grupo ¿Qué significa esto? Un equipo puede ahora ser Unido a un dominio desde Internet, Si el dominio tiene habilitado DirectAccess El objeto binario de la máquina se realiza mediante un proceso offline bajo la responsabilidad del administrador Requisitos Controladores de dominio de Windows Server 2012

Papelera Reciclaje AD Interfaz Gráfica Simplifica la recuperación de objetos a través del centro de administración de Active Directory Objetos eliminados se pueden recuperar ahora dentro de la interfaz gráfica de usuario Reduce considerablemente el tiempo de recuperación Vista consistente y detección de objetos eliminados

Papelera Reciclaje AD Requisitos Nivel funcional de bosque Windows Server 2008 R2 Activar la característica de Papelera de reciclaje Windows Server 2012 Active Directory Administrative Center Los objetos a recuperar deben estar dentro del Tiempo de Vida de los Objetos Borrados (DOL) Por defecto 180 días

DEMO Interfaz Gráfica Papelera de Reciclaje

Activación Basada en AD Actualmente Licenciamiento por Volumen para Windows/office requiere de servidores KMS requiere una capacitación mínima solución llave en mano cubre ~ 90% de implementaciones complejidad por la falta de una consola de administración gráfica requiere tráfico RPC en la red que complica las cosas no admite ningún tipo de autenticación CLUF prohíbe a clientes KMS conectarse a redes externas Una simple conexión al servicio equivale a activado

Activación Basada en AD Windows Server 2012 Utilizar Active Directory para activar sus clientes No hay máquinas adicionales requeridas No requiere RPC, utiliza exclusivamente LDAP incluidos los RODC Requiere activación inicial CSVLK (clave licencia de volumen específico del cliente): único contacto con los servicios de activación de Microsoft sobre Internet Escribir la clave utilizando la función de servidor de activación de volumen o línea de comandos. Repita el proceso de activación para los bosques adicionales hasta 6 veces por defecto Objeto de activación en la partición de configuración representa la prueba de compra las máquinas pueden ser miembros de cualquier dominio del bosque Todas las máquinas de Windows 8 se activarán automáticamente

Activación Basada en AD Requisitos Solamente Windows 8 o Windows Server 2012 Pueden coexistir KMS y Activación AD KMS necesario para sistemas operativos anteriores Requiere Active Directory Schema basado en Windows Server 2012 No requiere Controladores de dominio Windows Server 2012

AD Windows PowerShell Visor de Historico permiten a los administradores ver los comandos de Windows PowerShell ejecutados reduce la curva de aprendizaje aumenta la confianza en secuencias de comandos aumenta aún más la capacidad de descubrimiento de Windows PowerShell

AD Windows PowerShell Requisitos 4/1/2017 6:51 PM AD Windows PowerShell Requisitos Windows Server 2012 Active Directory Administrative Center Active Directory Web Service Ejecutar en un controlador de dominio del dominio objetivo ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Política Granular de Contraseñas Actualmente Las políticas granulares de contraseña proporciona flexibilidad en los requisitos de cumplimiento de las contraseñas Los administradores tenían que crear manualmente los objetos de configuración de contraseñas (PSO) difícil asegurar que los valores definidos se comporten como se esperaba Mucho tiempo, pruebas y errores

Política Granular de Contraseñas Windows Server 2012 creación, edición y asignación de PSOs ahora administrados por el centro de administración de Active Directory simplifica la administración de objetos de configuración de contraseñas

Administración de Política Granular de Contraseñas DEMO Administración de Política Granular de Contraseñas

Flexible Authentication Secure Tunneling (FAST) Problemática ataques offline de diccionario contra inicios de sesión basados en contraseña preocupación relativamente alrededor de la conocida falsificación de Kerberos Los clientes pueden: Caer a protocolos heredados menos seguros debilitar la fortaleza de las claves criptográficas

Flexible Authentication Secure Tunneling (FAST) Solución 4/1/2017 6:51 PM Flexible Authentication Secure Tunneling (FAST) Solución Kerberos en Windows Server 2012 soporta FAST Definido en RFC 6113 A menudo denominado como el blindaje de Kerberos Proporciona un canal protegido entre clients de dominio y DCs Protege los datos de pre-autenticación de los usuarios allows DCs to return authenticated Kerberos errors thereby protecting them from spoofing permite DCs a devolver errores de Kerberos autenticados protegiendo de suplantación de identidad una vez todos los clientes Kerberos y DCs soporten FAST el dominio se puede configurar para requieren blindaje de Kerberos o utilizar a petición primero debe asegurarse de todos o suficiente DCs están ejecutando Windows Server 2012 habilitar la directiva correspondiente ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Grupo de Cuentas de Servicio Administradas Problemática Las cuentas de servicio administradas aparecen con Windows Server 2008 R2 Servicios de Cluster y Balanceo de Carga no estában soportados Las cuentas de servicio administradas no puede utilizarse en mucho escenarios deseables

Grupo de Cuentas de Servicio Administradas Solución Con los grupos de cuentas de servicio administradas (gMSA) los servicios que corren en multiples equipos están soportados Requerido 1 o más DCs Windows Server 2012 gMSAs puede autenticar contra cualquier version de DC Las contraseñas se generan por Group Key Distribution Service (GKDS) que existen en los DCs Windows Server 2012 Los equipos Windows Server 2012 usan gMSAs obteniendo y actualizando las contraseñas de GKDS recuperación de contraseña limitado a equipos autorizados intervalo definido en la creación de la cuenta de gMSA (30 días por defecto) de cambio de contraseña como MSAs, gMSAs son compatibles sólo con el administrador de Control de servicios de Windows (SCM) y grupos de aplicaciones de IIS

Grupo de Cuentas de Servicio Administradas Requisitos Esquema de Active Directory en Windows Server 2012 en los bosques que contiene gMSAs 1 o más Windows Server 2012 DCs para proporcionar recuperación y cambio de la contraseña sólo los servicios que se ejecutan en Windows 8 o Windows Server 2012 pueden usar gMSAs Módulo de Active Directory Powershell Windows Server 2012 para crear cuentas de gMSA

Descargate Windows Server 2012 Evaluación http://bit.ly/DescargaWS2012

http://bit.ly/AzureItPro

Más TechNet IT CAMPS Registro en futuros webcasts http://bit.ly/ITCamps2012 Registro en futuros webcasts http://technet.microsoft.com/es-es/bb291010.aspx Suscripción al boletín TechNet Flash http://www.microsoft.com/spain/technet/boletines/default.mspx TechCenters de TechNet (información de productos) http://technet.microsoft.com/es-es/bb421517.aspx Suscripciones TechNet http://technet.microsoft.com/es-es/subscriptions/default.aspx

Serie de Webcasts Windows Server 2012 http://bit.ly/Webcasts2012

Sigue a TechNet España http://www.facebook.com/TechNet.Spain http://www.twitter.com/TechNet_es

Contacto Julián Blázquez García jblazquez@sidertia.com www.sidertia.com info@sidertia.com

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.