1 / 39

Windows Server 2012 Novedades de Directorio Activo

Windows Server 2012 Novedades de Directorio Activo. Julián Blázquez García Director Técnico Implantación de Sistemas Sidertia Solutions jblazquez@sidertia.com. Agenda. Simplificado el proceso de instalación Virtualización segura de controladores de dominio Despliegue más rápido

kimo
Download Presentation

Windows Server 2012 Novedades de Directorio Activo

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows Server 2012Novedades de Directorio Activo Julián Blázquez García Director Técnico Implantación de Sistemas SidertiaSolutions jblazquez@sidertia.com

  2. Agenda • Simplificado el proceso de instalación • Virtualización segura de controladores de dominio • Despliegue más rápido • Cambios en la arquitectura de Active Directory • Mejoras en la administración

  3. Despliegue SimplificadoProblemática • Añadir a la replicación DCs que ejecutan las versiones más recientes de Windows Server ha demostrado ser: • Consumo de tiempo • Propenso a errores • complejo • En el pasado, los profesionales de IT eran obligados a: • Obtener la nueva versión de las herramientas ADPrep • Iniciar sesión interactiva en DCs de cada dominio • Ejecutar las herramientas de preparación en la secuencia correcta y con los parámetros correctos • Esperar a la convergencia de la replicación entre cada paso

  4. Despliegue SimplificadoSolución • Integrar los pasos de preparación dentro de proceso de promoción • Automatizar las pre-requisitos entre cada paso • Validar requisitos previos del entorno antes de comenzar la implementación • Integración con Server Manager • Construido bajo PowerShell • Asistente de configuración cubre escenarios más comunes de implementación

  5. Despliegue SimplificadoRequisitos • Windows Server 2012 • El bosque nivel funcional Windows Server 2003 o superior • Agregar el primer DC Windows Server 2012 requiere privilegios de Administrador de Empresa y Esquema • El resto de DCs requiere solo privilegios de Administrador del Dominio

  6. DEMO Implementación Controlador de Dominio

  7. Virtualización SeguraProblemática • Las operaciones más comunes de virtualización como crear instantáneas o copiar VMs/VHDs puede revertir el estado de un DC Virtual • Introducir las burbujas USN conduce a un estado de divergente permanente causando: • Objetos persistentes • Contraseñas inconsistentes • Valores de atributos incoherentes • Errores de esquema si el maestro de es revertido • También existe el riesgo de crear objetos con SIDsduplicados

  8. Virtualización SeguraSolución • DCs virtuales con Windows Server 2012 detectan cuando: • Se aplica una instantánea • Una máquina virtual es copiada • Incluir un identificador de generación (VM-generation ID) que cambia cuando se usan funciones de virtualización • DCs virtuales con Windows Server 2012 rastrea el identificador de generación para detectar cambios y proteger Active Directory • Descartar pila RID • Reestablecer el invocationID • Recuperar INITSYNC requisito de FSMOs

  9. Virtualización SeguraRequisitos e Impacto • DCs con Windows Server 2012 en plataforma de hypervisor que soporten VM-GenerationID Timeline of events DC2 DC1 TIME: T1 Create Snapshot USN: 100 ID: A RID Pool: 500 - 1000 +100 users added TIME: T2 • USN rollback NOT detected: only 50 users converge across the two DCs • All others are either on one or the other DC • 100 security principals (users in this example) with RIDs 500-599 have conflicting SIDs USN: 200 ID: A RID Pool: 600- 1000 DC2 receives updates: USNs >100 DC1(A)@USN = 200 T1Snapshot Applied! TIME: T3 USN: 100 ID: A RID Pool: 500 - 1000 +150 more users created USN: 250 ID: A RID Pool: 650 - 1000 DC2 receives updates: USNs >200 TIME: T4 DC1(A)@USN = 250

  10. Despliegue RápidoProblemática • Implementar DCs virtuales secundarios es tan costoso como DCs físicos • La virtualización ofrece capacidades para simplificar la implementación • El resultado de promover DCs adicionales en un dominio es una instancia idéntica • Excluyendo nombre, dirección IP, etc. • La implementación implica muchos pasos (posiblemente repetitivos) • Preparación y despliegue de imagen servidor Syspreada • Manualmente promocionar un DC usando: • En línea: mucho tiempo dependiendo del tamaño de base de datos • IFM: preparación de medio y la copia agregar tiempo y complejidad • Pasos posteriores a la implementación son necesarios

  11. Despliegue RápidoSolución: Clonar controlador de dominio • Crear replicas de DCsvirtualizados mediante la clonación • ej. Copiar el VHD a través de operaciones de exportación e importación • Simplificar la interacción y despliegue entre administradores de HyperVisor y Active Director • El clonado requiere privilegios de Administrador de Empresa o Dominio • Cambio de juego para la recuperación frente a desastres • Un solo DC virtual Windows Server 2012 para recuperar rápidamente un busque entero • DCs posteriores pueden implementarse rápidamente reduciendo el tiempo hasta su puesta en producción • Este despliegue soporta implementaciones de nube privada, etc.

  12. Despliegue RápidoFlujo de Clonado Clone VM Windows Server 2012 PDC NTDS starts IDL_DRSAddCloneDC Configure network settings Obtain current VM-GenID Check authorization Locate PDC If different from value in DIT CN=Configuration |--CN=Sites |---CN=<site name> |---CN=Servers |---CN=<DC Name> |---CN=NTDS Settings Create new DC object by duplicating source DC objects (NTDSDSA, Server, Computer instances) Call _IDL_DRSAddCloneDC(name, site) Reset InvocationID, discard RID pool Save clone state (new name, password, site) Generate new DC machine account and password DCCloneConfig.xml available? Promote as replica (IFM) Dcpromo /fixclone Run (specific) sysprepproviders Parse DCCloneConfig.xml Reboot

  13. Despliegue RápidoRequisitos • DC Virtual Windows Server 2012 alojado sobre plataforma hypervisor con capacidad de VM-Generation-ID • Maestro PDC debe ser Windows Server 2012 para autorizar operaciones de clonado • El DC a clonar debe se autorizado para ello • Añadir el DC al grupo “CloneableDomainControllers” • DCCloneConfig.XML debe estar presente en el DC clonado en: • Directorio que contiene NTDS.DIT • Directorio DIT por defecto (%windir%\NTDS) • Medio extraíble (USB, disquete virtual, etc.) • Los servicios más comunes de los DCS soportan la clonación (DNS, FRS, DFSR) • El resto de servicios o tareas programadas debe agregarse a una lista blanca • Si el componente no está en la lista blanca, la clonación fallará y el DC resultante arrancará en DSRM

  14. DEMO Desplegar Controlador de Dominio Virtual

  15. Arquitectura Active DirectoryMejoras RID • Arreglado la perdida de RID durante la creación de la cuenta de usuario y equipo • Aumentar el registro de eventos, por ejemplo: • evento de registro cada vez que un grupo RID es invalidado en un DC • ADVERTENCIA de consumo RID al 10% de espacio restante de RID global • Imponer limite y parada del RID Manager en el reparto de grupos RID • ELIMINAR asignación de grupos RID al 90% de espacio global de RID • Desbloquear el bit 31 del espacio global RID (2.147.483.647)

  16. Arquitectura Active DirectoryCreación de Indices Diferidos • Agregar índices a los atributos existentes dio lugar a problemas de rendimiento de DCs • DCs recibieron actualización del esquema a través de la replicación • 5 minutos más tarde, los DCs actualizaban su caché del esquema • muchos / todos los DC ~ simultáneamente comenzar a construir el índice • Windows Server 2012 introduce nueva heurística • 18º se usa como base-cero • Valor 1, los DCs Windows Server 2012 demoran la reconstrucción del índice: • Reciba UpdateSchemaNow • Sea reiniciado el DC • cualquier atributo que se encuentra en un estado de índice diferido se registrarán en el registro de sucesos cada 24 horas

  17. Arquitectura Active DirectoryMejoras Unión al Dominio en modo Offline • Unión al dominio en modo offline fue agregado en AD DS en Windows Server 2008 R2 • Permite a cliente unirse a un dominio sin necesidad de conectividad con un controlador de dominio • Pero el equipo cliente no podía ser preconfigurado para DirectAccess. • Windows Server 2012 AD DS proporciona las siguientes mejoras: • Se extiende para preconfigurarDirectAccess • Certificados • Directivas de grupo • ¿Qué significa esto? • Un equipo puede ahora ser Unido a un dominio desde Internet, Si el dominio tiene habilitado DirectAccess • El objeto binario de la máquina se realiza mediante un proceso offline bajo la responsabilidad del administrador • Requisitos • Controladores de dominio de Windows Server 2012

  18. Papelera Reciclaje ADInterfaz Gráfica • Simplifica la recuperación de objetos a través del centro de administración de Active Directory • Objetos eliminados se pueden recuperar ahora dentro de la interfaz gráfica de usuario • Reduce considerablemente el tiempo de recuperación • Vista consistente y detección de objetos eliminados

  19. Papelera Reciclaje ADRequisitos • Nivel funcional de bosque Windows Server 2008 R2 • Activar la característica de Papelera de reciclaje • Windows Server 2012 Active DirectoryAdministrative Center • Los objetos a recuperar deben estar dentro del Tiempo de Vida de los Objetos Borrados (DOL) • Por defecto 180 días

  20. DEMO Interfaz Gráfica Papelera de Reciclaje

  21. Activación Basada en ADActualmente • Licenciamiento por Volumen para Windows/office requiere de servidores KMS • requiere una capacitación mínima • solución llave en mano cubre ~ 90% de implementaciones • complejidad por la falta de una consola de administración gráfica • requiere tráfico RPC en la red que complica las cosas • no admite ningún tipo de autenticación • CLUF prohíbe a clientes KMS conectarse a redes externas • Una simple conexión al servicio equivale a activado

  22. Activación Basada en ADWindows Server 2012 • Utilizar Active Directorypara activar sus clientes • No hay máquinas adicionales requeridas • No requiere RPC, utiliza exclusivamente LDAP • incluidos los RODC • Requiere activación inicial CSVLK (clave licencia de volumen específico del cliente): • único contacto con los servicios de activación de Microsoft sobre Internet • Escribir la clave utilizando la función de servidor de activación de volumen o línea de comandos. • Repita el proceso de activación para los bosques adicionales hasta 6 veces por defecto • Objeto de activación en la partición de configuración • representa la prueba de compra • las máquinas pueden ser miembros de cualquier dominio del bosque • Todas las máquinas de Windows 8 se activarán automáticamente

  23. Activación Basada en ADRequisitos • Solamente Windows 8 o Windows Server 2012 • Pueden coexistir KMS y Activación AD • KMS necesario para sistemas operativos anteriores • Requiere Active DirectorySchema basado en Windows Server 2012 • No requiere Controladores de dominio Windows Server 2012

  24. AD Windows PowerShell Visor de Historico • permiten a los administradores ver los comandos de Windows PowerShell ejecutados • reduce la curva de aprendizaje • aumenta la confianza en secuencias de comandos • aumenta aún más la capacidad de descubrimiento de Windows PowerShell

  25. AD Windows PowerShellRequisitos • Windows Server 2012 Active DirectoryAdministrative Center • Active Directory Web Service • Ejecutar en un controlador de dominio del dominio objetivo

  26. Política Granular de ContraseñasActualmente • Las políticas granulares de contraseña proporciona flexibilidad en los requisitos de cumplimiento de las contraseñas • Los administradores tenían que crear manualmente los objetos de configuración de contraseñas (PSO) • difícil asegurar que los valores definidos se comporten como se esperaba • Mucho tiempo, pruebas y errores

  27. Política Granular de ContraseñasWindows Server 2012 • creación, edición y asignación de PSOs ahora administrados por el centro de administración de Active Directory • simplifica la administración de objetos de configuración de contraseñas

  28. DEMO Administración de Política Granular de Contraseñas

  29. Flexible Authentication Secure Tunneling (FAST)Problemática • ataques offline de diccionario contra inicios de sesión basados en contraseña • preocupación relativamente alrededor de la conocida falsificación de Kerberos • Los clientes pueden: • Caer a protocolos heredados menos seguros • debilitar la fortaleza de las claves criptográficas

  30. Flexible Authentication Secure Tunneling (FAST)Solución • Kerberos en Windows Server 2012 soporta FAST • Definido en RFC 6113 • A menudo denominadocomo el blindaje de Kerberos • Proporciona un canal protegido entre clients de dominio y DCs • Protege los datos de pre-autenticación de los usuarios • allows DCs to return authenticated Kerberos errors thereby protecting them from spoofing • permite DCs a devolver errores de Kerberos autenticados protegiendo de suplantación de identidad • una vez todos los clientes Kerberos y DCssoporten FAST • el dominio se puede configurar para requieren blindaje de Kerberos o utilizar a petición • primero debe asegurarse de todos o suficiente DCs están ejecutando Windows Server 2012 • habilitar la directiva correspondiente

  31. Grupo de Cuentas de ServicioAdministradasProblemática • Las cuentas de servicioadministradasaparecen con Windows Server 2008 R2 • Servicios de Cluster y Balanceo de Carga no estábansoportados • Las cuentas de servicioadministradas no puedeutilizarse en mucho escenariosdeseables

  32. Grupo de Cuentas de ServicioAdministradasSolución • Con los grupos de cuentas de servicioadministradas (gMSA) los serviciosquecorren en multiples equiposestánsoportados • Requerido 1 o más DCs Windows Server 2012 • gMSAspuedeautenticar contra cualquier version de DC • Las contraseñas se generanpor Group Key Distribution Service (GKDS) queexisten en los DCs Windows Server 2012 • Los equipos Windows Server 2012 usangMSAsobteniendo y actualizandolascontraseñas de GKDS • recuperación de contraseña limitado a equipos autorizados • intervalo definido en la creación de la cuenta de gMSA (30 días por defecto) de cambio de contraseña • como MSAs, gMSAs son compatibles sólo con el administrador de Control de servicios de Windows (SCM) y grupos de aplicaciones de IIS

  33. Grupo de Cuentas de ServicioAdministradasRequisitos • Esquema de Active Directoryen Windows Server 2012 en los bosques que contiene gMSAs • 1 o más Windows Server 2012 DCs para proporcionar recuperación y cambio de la contraseña • sólo los servicios que se ejecutan en Windows 8 o Windows Server 2012 pueden usar gMSAs • Módulo de Active DirectoryPowershell Windows Server 2012 para crear cuentas de gMSA

  34. Descargate Windows Server 2012 Evaluación http://bit.ly/DescargaWS2012

  35. http://bit.ly/AzureItPro

  36. Más TechNet • IT CAMPS http://bit.ly/ITCamps2012 • Registro en futuros webcasts http://technet.microsoft.com/es-es/bb291010.aspx • Suscripción al boletín TechNet Flash http://www.microsoft.com/spain/technet/boletines/default.mspx • TechCenters de TechNet (información de productos) http://technet.microsoft.com/es-es/bb421517.aspx • Suscripciones TechNet http://technet.microsoft.com/es-es/subscriptions/default.aspx

  37. Serie de Webcasts Windows Server 2012 http://bit.ly/Webcasts2012

  38. Sigue a TechNet España http://www.facebook.com/TechNet.Spain http://www.twitter.com/TechNet_es

  39. Contacto Julián Blázquez García jblazquez@sidertia.com www.sidertia.com info@sidertia.com

More Related