презентация

Report
Что нового в Windows Server 2012
Active Directory Domain Services
Константин Леонтьев
Архитектор
Microsoft
Содержание
• Зачем Вам эта нужна сессия?
• Направления развития / Глобальные цели
• Новые возможности и улучшения (по очереди)
• Требования к функциональности
Заповни Анкету
Виграй Приз
http://anketa.msswit.in.ua
Зачем Вам эта
презентация?
• Дать понимание…
• полного набора функций которые мы улучшили и почему,
• бизнес или технические сложности приведшие к ним.
• Объяснить основы новых функций Active Directory и…
• определить ограничения и особенности их реализации
• указать на преимущества которые они дают для ваше ИТ-среды.
• Дать полный обзор нововведений…
• предоставив их технически глубокий и в тоже время полный обзор
• снабдить вас самодостаточными материалами для применения и
понимания за пределами этой сессии
Основные направления
развития
• Упрощение развертывания Active Directory
• Построение оптимальной архитектуры как для частного так и для
публичного облака
• Улучшить и унифицировать средства управления AD
• Повысить значимость AD для бизнеса путем тесной интеграции с:
• File-classification Infrastructure
• claims-based authorization и Dynamic Access Control
Глобальные цели
Виртуализация с которой AD просто работает
• Все функции Active Directory работают одинаково как в физической среде, так и в виртуализованой
Упрощения развертывания Active Directory
• Тесное объединение функций подготовки, инсталляции ролей и самой установки контроллера в едином мастере
• Контроллеры теперь быстро устанавливать, легко восстанавливать и элементарно масштабировать их количество
• Контроллеры теперь можно устанавливать одновременно на несколько удаленных хостов с единственной машины Windows
8/2012
• Целостное и универсальное управление всеми функциями AD посредством Windows PowerShell
Упрощение администрирования и управления Active Directory
•
•
•
•
Графический интерфейс упрощающий сложные задачи: восстановление объектов или создание парольных политик FGPP
Все действия графической консоли Active Directory Administrative Center в окне истории команд Windows PowerShell
Поддержка всех операций по управлению репликацией и топологией Active Directory из Windows PowerShell
Упрощение и возможность группового использования служебных (сервисных) учетных записей
Новые функции и улучшения
Разнообразное
Управление
Упрощенное развертывание
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Целостность при виртуализации
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Ускоренное развертывание
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Изменения в ядре AD
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Новые функции и улучшения
Разнообразное
Упрощенное развертывание
Целостность при виртуализации
Ускоренное развертывание
Изменения в ядре AD
Упрощенное
развертывание
Исходная ситуация
• Добавление контроллера домена с новой ОС должно
быть:
• длительно по времени
• проверено и вымучено личными ошибками
• сложным и тщательно спланированным
• Таким образом ранее, IT Pro вынуждены были:
• составить сложный план обновления и аварийного
восстановления
• подготовить новую корректную версию ADPrep[32]
• интерактивно войти на контроллер (SM,IM) в каждом домене
под разными правами
• Запустить инструменты проверки и подготовки с нужными
ключами
• после каждого изменения дождаться завершения репликации
Упрощенное
развертывание
Решение
• интегрировать подготовительные
шаги в сам процесс промоушена и…
• автоматизировать все предварительные
шаги
• проверить все зависимости от
окружения перед развертыванием
• интегрироваться с Server Manager
• построить все на базе Windows
PowerShell и увязать с ГУИ
• обеспечить соответствие мастера
самым ходовым сценариям
развертывания
Упрощенное
развертывание
Условия применения
• Windows Server 2012
• Целевой лес не ниже Windows Server 2003 уровня
функциональности
• Установка первого Windows Server 2012 DC требует прав
Enterprise Admin и Schema Admin
• Последующие КД требуют только прав Domain Admin в
целевом домене
Упрощенное развертывание ++
Механизм повторов DC Promotion
• Еще со времен Windows 2000, DCPromo не
выдерживал сетевых сбоев и длительных задержек
• это приводило к сбою в промоушене если сеть (или
вспомогательный КД) «подтормаживали»
• При развертывании Windows Server 2012 попытки
наладить связь и реплицироваться будут
бесконечными
• “бесконечными” потому что нет четких критериев, когда
можно утверждать, что “попыток довольно”
• Таким образом «решение о сбое» перекладывается на
администратора, см. логи dcpromo.log
Упрощенное развертывание ++
Улучшенный механизм Install-From-Media (IFM)
• Цель IFM  развертывать КА намного быстрее
• Раньше “IFM prep” в NTDSUTIL выполнял обязательную offline
defragmentation базы
• По нашим данным обычно почти никто не использует эту операцию в
промышленной среде
• Это приводило в существенному уменьшению размера DIT-файла (что
здорово), но к очень большим затратам времени
• В Windows Server 2012, NTDSUTIL’s процедура IFMprep улучшена
• NTDSUTIL’s IFMprep теперь позволяет отказаться от дефрагментации
• Это не по умолчанию, нужно явно указать ключ NoDefrag
• Исключает долгие часы (а иногда и дни) ожидания и требования
свободного места в 110% от размера DIT
• Правда база DIT будет больше и копирование будет идти дольше
Упрощенное развертывание ++
AD FS V2.1 из коробки
• AD FS v2.0 выпущена отдельной ролью
• можно скачать с http://microsoft.com
• AD FS (v2.1) выпущена как серверная роль
Windows Server 2012
• Основное отличие от 2.0 - интеграция Windows
Server 2012 Dynamic Access Control и поддержка
трансляции Kerberos Claim
Новые функции и улучшения
Разнообразное
Упрощенное развертывание
Целостность при виртуализации
Ускоренное развертывание
Изменения в ядре AD
Целостность при
виртуализации
Исходная ситуация
• Типичные действия с виртуальными
машинами: снятие снапшотов или
копирование VMs/VHDs приводят к
печальным последствиям
• Возникают откаты USN что приводит
к постоянному наличию:
•
lingering objects (лингеринг объектов)
•
•
•
несовпадающих паролей
несовпадающих значений атрибутов
и что еще хуже несоответствий схемы,
если вдруг будет откат для schema master
• Кроме того, весьма вероятна
ситуация с дупликацией SID-ов в
разных субъектов безопасности
Целостность при
виртуализации
• Решение
• Виртуальные контроллеры Windows Server 2012
способны выявлять:
• Когда применен snapshot
• Когда виртуальная машина скопирована
• Механизм построен на идентификаторе поколения VM
(VM-generation ID), который изменяется как только
средства виртуализации применяют «опасные» действия
• Виртуальный КД Windows Server 2012 отслеживает
значнеие VM-generation ID для защиты Active Directory
• Защита реализуется за счет:
• Отмены выделенного RID pool
• Сброса значения invocationID
• Инициации процесса INITSYNC для всех FSMO-ролей
Чем плох для контроллера
VM Snapshot?
USN rollback НЕ выявлен: Только 50 пользователей реплицированы между КД
Все остальные пользователи либо на одном, либо на другом КД
100 объектов безопасности с RIDs 500-599 имеют конфликтующие SIDs
Применен
T1 Snapshot
Целостность при
виртуализации
Условия применения
• Виртуальный КД Windows Server 2012 запущен на
платформе гипервизора с поддержкой VMGeneration ID
• Есть открытая спецификация для поддержки этого
механизма и любой ISV может ее реализовать
Новые функции и улучшения
Разнообразное
Упрощенное развертывание
Целостность при виртуализации
Ускоренное развертывание
Изменения в ядре AD
Ускоренное развертывание
Исходная ситуация
• Развертывание виртуального КД DCs столь же трудоемкий
процесс, что и развертывание физического
• Однако, виртуализация дате преимущества при развертывании
обычных серверов
• Вообще говоря в результате развертывания КД полявляется его копия
(реплика)
• За исключением имени, IP-адреса, и т.п.
• Типичное развертывание включает в себя следующие шаги
• Подготовка и развертывание имиджа механизмом sysprep
• Ручной промоушен КД DC с использованием:
• По сети: время и успешность зависят от размера базы и качества сети
• с применением IFM: подготовка «носителя» и его копирование усложняют
ситуацию
• Требуются обязательные настройки после развертывания
Ускоренное развертывание:
клонирование
Решение
• Создание реплики виртуального КД клонируя существующий
КД
• т.е. простое копирование VHD-файлов используя методы
export/import гипервизора
• Существенное упрощение взаимодействий и зависимостей
между администраторами AD и гипервизором
• обратите внимание, что авторизация клонированных машин требует
прав Enterprise/Domain Admins
• Это решение вносит существенное изменение в принципы
аварийного восстановления AD
• Достаточно всего одного виртуального КД Windows Server 2012 на
домен, чтобы оперативно восстановить лес (не должен быть PDC)
• Последующие КД могут очень быстро быть восстановлены
• Это решение дает возможность в облачных сценариях
повышать свойство эластичности платформы
Ускоренное развертывание:
Клонирование
Ускоренное развертывание:
Клонирование
Условия применения
• Использование виртуального КД Windows Server 2012 гипервизоре с
поддержкой VM-Generation-ID
• Роль FSMO PDC-E должна быть размещена на Windows Server 2012 для
авторизации клонирования
• Исходный КД должен быть авторизован для клонирования
•
•
Либо на уровне прав объекта в домене – “Allow DC to create a clone of itself”
Либо добавлением в группу “Cloneable Domain Controllers”
• Файл DCCloneConfig.XML должен быть создан на КД в одном из мест:
•
•
•
Папка содержащая NTDS.DIT
Директория по умолчанию для файлов DIT (%windir%\NTDS)
Съемный носитель (virtual floppy, USB, и т.п.)
• Сервисы и приложения размещенные на КД Windows Server 2012 должны
поддерживаться (например: DNS, FRS, DFSR):
•
•
Все дополнительные приложения/сервисы и задания по расписанию на исходном контроллере
должны быть явно добавлены белый список
Если будет найдено какое-то из приложений не из списка, то произойдет сбой и контроллер
перейдет в DSRM
Новые функции и улучшения
Разнообразное
Упрощенное развертывание
Целостность при виртуализации
Ускоренное развертывание
Изменения в ядре AD
Краткое напоминание
технических основ
• Режимы использования RootDSE
•
•
Отображает основные свойства NTDS (локально, в домене и лесу)
Аналог вызовов RPC ADSI через LDAP (позволяет вызывать «методы»)
• Конструируемые атрибуты
•
•
•
Представляют собой динамически вычисляемые значения, генерируемые на основе некоторой
информации
Ядро обработки запросов NTDS не дает запрашивать ничего кроме простого фильтра с названием
атрибута и обработкой поиска на первом базовом уровне (base-scoped)
Эти атрибуты в большинстве своем не определены в схеме и документированы только в MSDN.
• Управляющие методы и правила LDAP
•
•
•
Определяют как ядро обработки LDAP-запросов обрабатывает запросы (передается вместе с запросом)
Например управляющие методы Return Deleted Objects и Return Recycled Object
(1.2.840.113556.1.4.417,.2064)
Побитовый поиск (правило соответствия)  (searchFlags:1.2.840.113556.1.5.807:=1
userAccountControl:1.2.840.113556.1.5.807:=512)
• Ограниченный предел количества объектов в базе NTDS
•
•
•
RIDs (можно посмотреть уже использованный пул) – 1Г
DNTs (можно посмотреть уже использованный пул) – 2Г
LIDs (нельзя никак увидеть текущее максимальное значение) 2Г
Улучшения процесса RID
Management
Исходная ситуация
• В последнее время у некоторых очень крупных
заказчиков стали возникать случаи исчерпания RID-space
• Несколько ошибок при обработке запросов на RID-pool
было исправлено
• Исследования вопроса так же показали, что необходимо
существенное кардинальное улучшение с ограничением
в 1Г
Улучшения процесса RID
Management
•
Каждая неудачная попытка создания учетной записи – потеря - 1 RID
• Единичный RID теяется при попытке создания пользователя несоответствующего политике
•
•
В реальности старые оснастки поступают так – создают пользователя и присваивают ему минимальное
количество атрибутов, а уже следующе операцией изменения вносят значения атрибутов
Исправлено в Windows Server 2012 путем выделения временного пула RID в памяти и при необходимости
повторного использования RID-ов.
•
Учтите, что при перезагрузке КД список повторного использования теряется
•
Список повторного использования только если в RID-pool есть блок нераспределенных RID
•
Размер списка повторного использования определяется максимальным числом одновременных попыток
приведших к неудачному созданию.
Наши оценки показывают, что обычно этот размер исчисляется едеиницаи и потому нет необходимости
как-то планировать его размеры.
•
•
Ограничение на создание учетной записи компьютера рядовым пользователем
• Это еще один путь потери 1 RID-а при условии если рядовым пользователям не запрещено включение
компьютеров в домен по стандартной квоте
• Решение в точности аналогично решению приятому при создании пользователя (см. выше)
•
Инвалидация RID-pool-а приводит к потере пула целиком, при этом логируется событие.
• Инвалидация происходит вызовом специального «метода» RootDSE или ADSI
• Обычно это происходит при авторитарном восстановлении RID Master, клонировании или
восстановлении снапшота контроллера домена
Улучшения процесса RID
Management
•
Утрата корректного значения атрибута rIDSetReferences приводит к исчерпанию всего RID pool
• Этот атрибут некорректно воссоздается в случае случайного удаления УЗ контроллера домена.
КД выявляет эту ситуацию и пытается пересоздать УЗ.
•
КД проверяет этот атрибут как указатель на его RID-pool
•
Атрибут не заполнен корректно
•
КД предполагает, что пул RID изчерпан и запрашивает новый пул
•
КД получает новый пул и пытается его записать, однако его ждет неудача, потому как отсутствует корректное
значение rIDSetReference
•
Так повторяется каждые 30 секунд, КД запрашивает пул размером <RID block size> (обычно 500)
•
•
В Windows Server 2012 - это исправлено
•
•
Один единственный поврежденный КД полностью исчерпает весь RID-set примерно за 2 года при
стандартном размере RID block size = 500
При восстановлении в атрибут rIDSetReference записывается теперь корректное значение
Мы так же установили максимальный размер на RID Block Size
• ранее <RID block size> не имел ограничений на максимальный размер
• В Windows Server 2012 мы установили максимальный возможный размер на <RID block size> = 15
000 (значения >15K == 15K)
Улучшения процесса RID
Management
• Мы ввели периодическое сообщение в журнал о
текущем использовании RID.
• Когда объем свободных RID достигнет 10% от общего
глобального блока – логируется первое событие
• Первое событие логируется когда потрачено 100,000,000 RIDs
• Следующее событие логируется при достижении 10% от остатка
RID
• Остаток RID
• 10% от остатка
= 900,000,000
= 90,000,000
• Второе событие логируется при исчерпании 190,000,000 RID-ов.
• existing RID consumption plus 10% of remainder
• Так событие логируется все чаще и чаще по мере того как
объем свободных RID уменьшается
Улучшения процесса RID
Management
• Роль RID Manager теперь имеет «интеллектуальную» защиту от исчерпания
• Представьте, что мы уже слишком близки к исчерпанию пула.
• RID Manager блокирует выделения новых пулов
•
Когда это случается, система переводит атрибут msDS-RIDPoolAllocationEnabled на объекте RID Manager$ в
значение FALSE  только администратор может его перевести в значение TRUE
• Логируется событие, что выделение новых RID остановлено
•
Дополнительное предупреждение логируется, когда исчерпывается 80% глобального пространства RID
•
•
Только Domain Admin может установит его в TRUE
NOTE: очевидно, что по умолчанию этот атрибут имеет значение TRUE
• Этот атрибут система может установить только в значение FALSE (контролируется
RID Manager-ом)
• Граница когда срабатывает этот механизм - 90% общего пространства RID и это не
настраивается
Улучшения процесса RID
Management
•  разблокировка 31-го бита для глобального пространства RID
• Да, да, мы наконец сделали это!!! И не просто сделали, а протестировали в
живой среде и … серьёзно, мы очень тщательно это протестировали 
• Этот шаг увеличивает пространство в 2-а раза RID с 1Г до 2Г
• Кстати, это не обратимая операция, будьте внимательны
•
Это даже невозможно авторитетно восстановить (ну если это не единственный контроллер в лесу)
• 31-й разблокируется через RootDSE операцию (требует Windows Server 2012 RID
FSMO)
•
Операция модификации - sidCompatibilityVersion:1
• Все остальные КД должны быть Windows Server 2012 чтобы понять это
•
•
Существуют планы по портированию этого функционала на Windows Server 2008 R2
КД не поддерживающие этот функционал будут получать пулы RID с установленным старшим
битом, однако будут отказываться их использовать для создания объектов.
•
Такие КД будут спокойно аутентифицировать и авторизовать пользователей с RID более 1Г
Отложенное создание
индексов
• Добавление индексов для уже существующих атрибутов не простая задача. Это
сильно загружает КД.
• КД получает обновление схемы по репликации
• Через 5 минут КД обновляет локальный кеш схемы
•
в результате многие или даже все КД почти одновременно будут строить новые индексы.
• Windows Server 2012 добавляет новое поле в dSHeuristic
• 18-ый байт считая от 0 (некоторые скажут что 19-й)
• Установка его в 1 приводит к тому, что Windows Server 2012 КД откладывает
построение индексов до:
•
•
Получение команды UpdateSchemaNow (rootDSE mod).
Перезагрузки (что требует перестроения кеша схемы)
• Любой атрибут, построение индекса которого отложено приводит к
логированию события каждые 24 часа
•
•
•
2944: index deferred – логируется однажды
2945: index still pending
– логируется каждые 24 часа
1137: index created
– логируется однажды (старое событие)
Отображение DNTs в
RootDSE
• База данных Active Directory NTDS.DIT использует DNT
• DNT – Distinguished Name Tag – уникальный номер записи в БД NTDS
• Ограниченный набор номеров DNT == 2^31 (~2 миллиарда)
• DNT НЕ реплицируются (это локальные номера/идентификаторы)
• Не могут быть повторно использоваться (значение ТОЛЬКО увеличивается)
•
•
•
DNT никогда не уменьшаются (не используются повторно) за исключением промоушена по сети
Даже клонирование и инсталляция IFM не «сбрасывают счетчик»
Если у КД кончились DNS то необходимо демоутить его промоутить заново по сети
• Ранее, чтобы выяснить не закончились ли в базе доступные DNT необходимо
было делать дамп базы данных (операция RootDSE)
•
Затраты времени, сил и места на диске.
• Windows Server 2012 Active Directory позволяет узнать текущее значение DNT:
• У объекта RootDSE есть конструируемый атрибут:
approximateHighestInternalObjectID
• Так же можно использовать счетчик perfmon.
Включение в домен OffPremises
• Расширенное включение в домен без доступа к сети (Off-Premises
Domain Join) позволяет включить в состав передаваемых данных
необходимую информацию для работы DirectAccess:
• Сертификаты
• Групповые политики
• Что же это дает?
• Компьютер может быть подключен к домену через интернет с
включенным Direct Access-ом.
• Перенос необходимых данные в виде файла это по прежнему процесс
требующий ручных действий.
Новые функции и улучшения
Разнообразное
Управление
Упрощенное развертывание
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Целостность при виртуализации
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Ускоренное развертывание
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Изменения в ядре AD
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Новые функции и улучшения
Управление
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Графический интерфейс
Recycle Bin
Исходная ситуация
• Функция Recycle Bin появилась в Windows Server 2008 R2
– она позволяет восстанавливать удаленные объекты со
всеми их атрибутами
• Случаи когда требуется восстановить объект из Recycle
Bin обычно имеют высокий приоритет:
• Восстановление после случайного удалений, которое
парализует работу
• Отсутствие удобного графического интерфейса
усложняет использование и замедлят процесс
восстановления
Графический интерфейс
Recycle Bin
Решение
• Упрощает восстановление
объектов за счет
графического элемента
“Deleted Objects” в
оснастке Active Directory
Administrative Center
•
Таким образом удаленные
объекты теперь можно
восстановить через
графическую консоль
• Драматически снижает
время необходимое на
процедуру
восстановления
отображая список
удаленных объектов, по
которому можно
перемещаться
Графический интерфейс
Recycle Bin
Условия применения
• Существующие требования к работе Recycle Bin должны
быть соблюдены.
• Уровень Windows Server 2008 R2 forest functional level
• Включена опция Recycle Bin optional-feature
• Установлен Windows Server 2012 Active Directory
Administrative Center
• Удаленный объект должен быть удален после включения
Recycle Bin и до истечения срока Deleted Object Lifetime
(DOL)
• 180 дней по умолчанию
Новые функции и улучшения
Управление
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Dynamic Access Control
(DAC)
Исходная ситуация
• на сегодняшний день трудно решит некоторые бизнес-задачи
используя существующую модель управления доступом
• нет решений для централизованного администрирования
• существующий механизм описания прав делает сложным или
невозможным полное описание некоторых требований
• растущие бизнес-потребности в соответствии требованиям
регуляторов требуют эффективных и новых подходов
Dynamic Access Control
(DAC)
Решение
• новая модель централизованного доступа к
политикам (central access policies - CAP)
• новая платформа claim-based авторизации
совершенствует, но не заменяет
существующую модель
•
user-claims и device-claims
•
user+device claims = Compound Identity
•
также включает стандартное членство в группах
• использование информации File Classification
Infrastructure при принятии решении об
авторизации
• современные авторизационные выражения,
например:
•
оценка условий по И (AND), ИЛИ (OR), НЕ (NOT)
•
управление классификацией и свойствами источника в ACL
• Расширенные возможности для Access-Denied
• политики доступа и аудита могут быть
определены гибко и просто, например:
•
resource.Confidentiality = high THEN audit.Success WHEN
user.EmployeeType = vendor
Новые функции и улучшения
Управление
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Активация через Active Directory (AD
BA)
Исходная ситуация
• Сегодня для Volume Licensing в Windows/Office
требуется сервер Key Management Service (KMS)
• Необходим минимальный уровень опыта
• Решение используется ~90% заказчиков
• Отсутствует графический интерфейс для управления
• Использует RPC траффик для взаимодействия
• Не поддерживает никакой аутентификации.
Лицензия запрещает подключать KMS к внешним
сетям
• По сути успешное подключение к KMS серверу по RPC уже
гарантирует активацию
Активация через Active
Directory (AD BA)
Решение
• Использовать существующую у вас Active Directory для активации
•
Не требуется дополнительного оборудования и хостов
•
Нет требования к сетевому взаимодействию как у RPC, используется только LDAP
•
Можно применять и вместе с RODCs
• После инсталляции и выполнения настроек никаких данных больше не
записывается в active directory
•
Активация начального ключа CSVLK (customer-specific volume license key) требует:
•
Однократное взаимодействие с Microsoft Activation Services по сети Internet (аналогично активации в retail
версии)
•
Ключ вводиться с использованием роли activation server или в командной строке.
•
Активация повторяется для всех дополнительных лесов (до 6 штук по умолчанию).
• Объект ассоциированный с активацией храниться в конфигурационном разделе AD
•
Подтверждает факт покупки
•
Машина может быть членом любого домена в лесу.
• Все машины Windows 8 активируются автоматически
Активация через Active
Directory (AD BA)
Условия применения
• Только машины с Windows 8 и Windows Server 2012 могут
использовать AD BA
• Сервисы KMS и AD BA могут сосуществовать
• Вы по-прежнему должны использовать KMS если вы планируете
активировать «старые» версии ОС по программе volume-licensing
• Установка требует Windows 8 или Windows Server 2012 узла
• Требуется расширение схемы до уровня Windows Server 2012
но КД на Windows Server 2012 не требуются
Новые функции и улучшения
Управление
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Active Directory PowerShell History Viewer
Исходная ситуация
• Windows PowerShell – ключевая технология создающая единый
механизм управления всеми элементами Windows и
связывающая графический интерфейс и командную строку.
• Windows PowerShell увеличивает производительность
• Но требует времени для изучения
Active Directory PowerShell History Viewer
Решение
• Новая консоль Administrative
Center позволяет
администраторам просматривать
историю команд Windows
PowerShell например при:
•
•
•
Добавлении пользователей в группы
Отображается история команд Active
Directory Windows PowerShell
command
Администратор может копировать
эту историю в своих скриптах
• Сокращает период обучения
• Повышает грамотность при
написании скриптов
Active Directory PowerShell History Viewer
Условия применения
• Установленный Windows Server 2012 Active Directory
Administrative Center
• Установленные службы Active Directory Web Service
• На контроллере управляемого домена
Новые функции и улучшения
Управление
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Fine-Grained Password Policy
Исходная ситуация
• Функционал Fine-Grained Password Policy добавленный
еще Windows Server 2008 позволяет более тонко
настраивать политики паролей
• Для применения этой возможности администраторы
должны были в ручную создавать объекты PSO
• Было сложно проверить, что созданные в ручную объекты
PSO функционируют так, как планировалось
• В итоге затрачивалось больше времени и усилий, чтобы
реализовать настройки FGPP
Fine-Grained Password Policy
Решение
• Создание,
редактирование и
назначение PSO теперь
управляется через
графический интерфейс
Active Directory
Administrative Center
• Существенно
упрощается управление
политиками паролей
Fine-Grained Password Policy
Условия применения
• Все требования к FGPP должны удовлетворяться:
• Функциональность леса должны быть не ниже Windows Server 2008
• Для управления используется только Windows Server 2012
Active Directory Administrative Center
Новые функции и улучшения
Управление
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Flexible Authentication
Secure Tunneling (FAST)
Исходная ситуация
• Возможны попытки оффлайновых словарных атак
на вход по паролю
• Возможен относительно известный сценарий атаки
с подменой кодов ошибок Kerberos
• В итоге клиенты могут:
• Перейти на менее безопасный устаревший протокол
(NTLM)
• необоснованно снизить уровень шифрования
Flexible Authentication
Secure Tunneling (FAST)
Решение
• Протокол Kerberos в Windows Server 2012 поддерживает Flexible
Authentication Secure Tunneling (FAST)
•
•
определено RFC 6113
иногда на это дополнение ссылаются как «Kerberos armoring»
•
Защищает данные процесса pre-authentication для пользовательских запросов AS_REQ
• решение предоставляет защищенный канал между доменным клиентом и
КД
•
•
использует LSK (logon session key) из компьютерного TGT как общий секрет
Таким образом запрос AS_REQ при загрузке компьютера по прежнему не защищен
•
Возвращает ошибки Kerberos с цифровой подписью, что исключает возможность подмены
•
Домен может быть сконфигурирован как требовать «Kerberos armoring» или использовать
его по запросу
• Если клиенты и сервера поддерживают Kerberos FAST
•
•
Нужо удостовериться что все или необходимые КД используют Windows Server 2012
Включить соответствующую политику
• “Support CBAC and Kerberos armoring”
• “All DCs can support CBAC and Require Kerberos armoring”
Flexible Authentication
Secure Tunneling (FAST)
Условия применения
• Сервера КД Windows Server 2012
• Удостовериться, что все домены, которые используют
клиенты, в том числе и на пути доверия
поддерживают политику:
• “Support CBAC and Kerberos armoring” для всех КД Windows
Server 2012
• Имеется достаточное количество КД Windows Server 2012
• Включена политика “Require FAST” на клиентах
• RFC-совместимое взаимодействие FAST требует DFL5
Kerberos Constrained
Delegation (KCD)
Исходная ситуация
• В первые Kerberos Constrained Delegation (KCD) появилась в Windows
Server 2003
• Механизм KCD позволяет front-end сервису выступать от УЗ
пользователя в многоуровневых приложениях для доступа к back-end
сервисам
• front-end сервис сконфигурирован таким образом (SPN и настройка
УЗ в AD), что может представляться от лица УЗ пользователей
• Настройка этих параметров требует прав Domain Admin
• Делегирование KCD работает только для тех back-end сервисов,
которые находятся в том же домене, что и УЗ front-end сервисов
Kerberos Constrained
Delegation (KCD)
Решение
• KCD в Windows Server 2012 передает принятие решения
об авторизации на сторону владельца ресурса
• Разрешает back-end сервисам авторизовать какие именно УЗ
front-end сервисов могут имперсонировать пользователей на
их ресурсы
• Поддерживает сценарии cross-domain и cross-forest
• Более не требует прав Domain Admin для настройки
• Требует административных прав только на УЗ сервиса backend
Kerberos Constrained
Delegation (KCD)
Условия применения
Клиент должен быть Windows XP или новее
Домен клиента должен быть Windows Server 2003 или новее
Сервер с front-end сервисом должен быть Windows Server 2012
Один или более КД в домене front-end сервиса должен быть Windows Server
2012
• Один или более КД в домене back-end сервиса должен быть Windows Server
2012
• Учетная запись сервиса на back-end сервере имеет права имперсонации
•
•
•
•
•
•
Это нельзя настроить в Active Directory Administrative Center
Для настройки используется Active Directory Windows PowerShell командлеты:
•
•
New/Set-ADComputer [-name] <string> [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]
New/Set-ADServiceAccount [-name] <string> [-PrincipalsAllowedToDelegateToAccount
<ADPrincipal[]>]
• Требуется обновление схемы до Windows Server 2012 в лесу back-end сервера
• Приложение на back-end сервере запущено на ОС Windows Server 2003 и новее.
Новые функции и улучшения
Управление
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Group Managed Service
Accounts (gMSA)
Исходная ситуация
• Впервые Managed Service Accounts (MSAs) появились в
Windows Server 2008 R2
• Кластеризованные решения или сервера с
балансировкой нагрузки, которым необходимо разделять
общий контекст безопасности не поддерживались
• MSAs не могли быть эффективно использованы во многих
очевидных сценариях
Group Managed Service
Accounts (gMSA)
Решение
• Появился новый тип субъекта безопасности gMSA
• Сервисы запущенные на множестве хостов теперь могут выполняться
из-под общего контекста безопасности
• Требуется 1 или более Windows Server 2012 КД
• gMSAs могут аутентифицироваться по отношению к любой версии ОС на КД.
• Пароли сгенерированные Group Key Distribution Service (GKDS) доступны на всех
КД Windows Server 2012
• Узлы Windows Server 2012 использующие gMSAs получают пароли и
обновляют их через GKDS
• Получение паролей ограничено авторизованными компьютерами
• Интервал смены паролей определяется при создании УЗ gMSA (по
умолчанию 30)
• Как и MSA, gMSA поддерживаются только Service Control Manager
(SCM) и application pool-ами IIS
• Поддержка заданиями по расписанию еще изучается
Group Managed Service
Accounts (gMSA)
Условия применения
• Схема должна быть расширена до Windows Server 2012
Active Directory
• В сети должен быть доступен один или более Windows
Server 2012 КД для формирования и получения паролей
• Только службы запущенные на Windows 8 или Windows
Server 2012 могут использовать gMSA
• Учетные записи gMSA могут быть созданы только с
помощью Windows Server 2012 Active Directory Module
для Windows PowerShell
Новые функции и улучшения
Управление
Графический интерфейс Recycle
Bin
Dynamic
Access Control
Active Directory PowerShell History
Viewer
Активация через
Active Directory
Графический интерфейс
Fine-Grained Password Policy
Улучшения Kerberos
Active Directory Replication &
Topology Cmdlets
Group Managed Service Accounts
Active Directory Replication &
Topology Cmdlets
Исходная ситуация
• Администраторам требовалось много различных утилит
для администрирования топологии сайтов и репликации
Active Directory
•
•
•
•
repadmin
ntdsutil
Active Directory Sites and Services
etc.
• Как следствие различные навыки и опыт необходимые
для применения каждой утилиты
• Сложность автоматизации
Active Directory Replication &
Topology Cmdlets
Решение
• Управлять топологией сайтов и репликацией через Active
Directory Windows PowerShell
• create and manage sites, site-links, site-link bridges, subnets and
connections
• replicate objects between DCs
• view replication metadata on object attributes
• view replication failures
• etc.
• Реализовать более однотипный и привычный механизм
для управления через скрипты
• Совместимый и применяемый совместно с другими
модулями и командлетами Windows PowerShell
Active Directory Replication &
Topology Cmdlets
Условия применения
• Active Directory Web Service (ADWS)
• или Active Directory Management Gateway
(для Windows Server 2003 или 2008)
• Remote Server Administration Tools (RSAT)
В завершение
упрощённое управление
• Windows Server 2012
•
•
•
•
•
Managed Service Accounts для ферм
(gMSA)
Поддержка работы Kerberos Constrained
Delegation между доменами и лесами
Подмена кодов ошибок для Kerberos
стала еще более сложной
Графических интерфейс Active Directory
для:
•
поддержки функций Recycle Bin и Fine
Grained Password Policies
•
Просмотр команд Windows PowerShell для
всех действий в Administrative Center
Новые «командлеты» для управления
репликацией и топологией Active
Directory в Windows PowerShell Cmdlets
• В ранних версиях…
•
•
•
•
•
•
Managed Service Accounts работали
только на одном сервере
Kerberos Constrained Delegation (KCD)
работает только в рамках одного домена
В рамках Kerberos можно подменить коды
ошибок
Нет графического интерфейса в Active
Directory Administrative Center для Recycle
Bin и Fine Grained Password Policies
Скрипты PowerShell необходимо писать с
нуля
Целый «ворох» различных графических
утилит и утилит командной строки для
управления репликацией и топологией
В завершении
упрощенное развертывание
• Windows Server 2012
• Целостность при виртуализации
• Упрощенное развертывание
•
•
•
•
Единый и удобный механизм
развертывания
Все операции по развертыванию могут
выполняться удаленно, выбирая
корректные FSMO-роли
Проверка ввода и проверки
окружения уменьшают число ошибок
Полная поддержка автоматизации
установки и настройки через Windows
PowerShell
• Быстрая установка КД используя
клонирование
• Интеграция установки ADFS
• В ранних версиях…
•
•
•
•
•
Использование копирование и снапшотов
приводило к нарушению репликации AD
Подготовка к обновлению Active Directory
была сложной и состояла из многих
шагов
Для завершения промоушена КД нужно
было выполнить много действий
Установка и настройкиа сервисов ADDS
была интерактивной, локальной и не
поддерживала удаленные операции
Было сложно писать скрипты
Устройство Windows
Server 2012 Dynamic
Access Control
14:00 – 15:00 зеленый зал
Сводная таблица требований
Установив это…
... вам станет доступно.
•
+ Первый член домена Windows Server 2012
•
(или установленный RSAT на Windows 8)
•
•
•
•
•
+ Первый контроллер домена на базе Windows Server
2012
+ Windows Server 2012 КД выполняет FSMO-роль PDC-E
•
•
•
•
Новый Active Directory Administrative Center
•
Windows PowerShell History Viewer
•
Графический интерфейс к Recycle Bin и FGPP
Возможности использовать File Classification Infrastructure и
частично DAC
Активация через Active Directory
•
Требуется расширение схемы Windows Server 2012
Active Directory Replication & Topology Cmdlets
AD FS (v2.1)
Упрощенное развертывание и подготовка
Политики Dynamic Access Control
•
Kerberos Claims в AD FS (v2.1)
Kerberos Constrained Delegation через границу леса
Group Managed Service Accounts
Целостность при виртуализации КД Windows Server 2012
•
Требует гипервизор с поддержкой VM-Gen-ID
Клонирование контроллеров домена
•
Требует гипервизор с поддержкой VM-Gen-ID
Заповни Анкету
Виграй Приз
http://anketa.msswit.in.ua
Вопросы и контактная
информация
• Константин Леонтьев
• Архитектор
• [email protected]
• ru.linkedin.com/in/kleontiv

similar documents