Что нового в Windows Server 2012 Active Directory Domain Services Константин Леонтьев Архитектор Microsoft

Содержание Зачем Вам эта нужна сессия? Направления развития / Глобальные цели Новые возможности и улучшения (по очереди) Требования к функциональности

Заповни Анкету Виграй Приз

Зачем Вам эта презентация? Дать понимание… полного набора функций которые мы улучшили и почему, бизнес или технические сложности приведшие к ним. Объяснить основы новых функций Active Directory и… определить ограничения и особенности их реализации указать на преимущества которые они дают для ваше ИТ-среды. Дать полный обзор нововведений… предоставив их технически глубокий и в тоже время полный обзор снабдить вас самодостаточными материалами для применения и понимания за пределами этой сессии

Основные направления развития Упрощение развертывания Active Directory Построение оптимальной архитектуры как для частного так и для публичного облака Улучшить и унифицировать средства управления AD Повысить значимость AD для бизнеса путем тесной интеграции с: File-classification Infrastructure claims-based authorization и Dynamic Access Control

Глобальные цели Виртуализация с которой AD просто работает Все функции Active Directory работают одинаково как в физической среде, так и в виртуализованой Упрощения развертывания Active Directory Тесное объединение функций подготовки, инсталляции ролей и самой установки контроллера в едином мастере Контроллеры теперь быстро устанавливать, легко восстанавливать и элементарно масштабировать их количество Контроллеры теперь можно устанавливать одновременно на несколько удаленных хостов с единственной машины Windows 8/2012 Целостное и универсальное управление всеми функциями AD посредством Windows PowerShell Упрощение администрирования и управления Active Directory Графический интерфейс упрощающий сложные задачи: восстановление объектов или создание парольных политик FGPP Все действия графической консоли Active Directory Administrative Center в окне истории команд Windows PowerShell Поддержка всех операций по управлению репликацией и топологией Active Directory из Windows PowerShell Упрощение и возможность группового использования служебных (сервисных) учетных записей

РазнообразноеРазнообразное УправлениеУправление Новые функции и улучшения Active Directory Replication & Topology Cmdlets Изменения в ядре AD Group Managed Service Accounts

РазнообразноеРазнообразное Новые функции и улучшения Изменения в ядре AD

Упрощенное развертывание Исходная ситуация Добавление контроллера домена с новой ОС должно быть: длительно по времени проверено и вымучено личными ошибками сложным и тщательно спланированным Таким образом ранее, IT Pro вынуждены были: составить сложный план обновления и аварийного восстановления подготовить новую корректную версию ADPrep[32] интерактивно войти на контроллер (SM,IM) в каждом домене под разными правами Запустить инструменты проверки и подготовки с нужными ключами после каждого изменения дождаться завершения репликации

Упрощенное развертывание Решение интегрировать подготовительные шаги в сам процесс промоушена и… автоматизировать все предварительные шаги проверить все зависимости от окружения перед развертыванием интегрироваться с Server Manager построить все на базе Windows PowerShell и увязать с ГУИ обеспечить соответствие мастера самым ходовым сценариям развертывания

Упрощенное развертывание: что изменилось? … by integrating preparation and promotion processes & automating pre-requisites in-between … by validating environment pre-requisites before deployment … by providing remote capabilities for both preparation and promotion processes … by aligning the configuration wizard to the most common deployment scenarios … by integrating the full deployment experience with Server Manager … by providing a deployment & configuration wizard that is built on top of Windows PowerShell Streamline the deployment process Minimize odds of deployment failures Minimize number of touch-points Optimize for common deployment paths Bring consistency with other Windows Server roles deployment experiences Gain UI-consistency by leveraging an enhanced command-line experience

Упрощенное развертывание Условия применения Windows Server 2012 Целевой лес не ниже Windows Server 2003 уровня функциональности Установка первого Windows Server 2012 DC требует прав Enterprise Admin и Schema Admin Последующие КД требуют только прав Domain Admin в целевом домене

Упрощенное развертывание ++ Механизм повторов DC Promotion Еще со времен Windows 2000, DCPromo не выдерживал сетевых сбоев и длительных задержек это приводило к сбою в промоушене если сеть (или вспомогательный КД) «подтормаживали» При развертывании Windows Server 2012 попытки наладить связь и реплицироваться будут бесконечными бесконечными потому что нет четких критериев, когда можно утверждать, что попыток довольно Таким образом «решение о сбое» перекладывается на администратора, см. логи dcpromo.log

Упрощенное развертывание ++ Улучшенный механизм Install-From-Media (IFM) Цель IFM развертывать КА намного быстрее Раньше IFM prep в NTDSUTIL выполнял обязательную offline defragmentation базы По нашим данным обычно почти никто не использует эту операцию в промышленной среде Это приводило в существенному уменьшению размера DIT-файла (что здорово), но к очень большим затратам времени В Windows Server 2012, NTDSUTILs процедура IFMprep улучшена NTDSUTILs IFMprep теперь позволяет отказаться от дефрагментации Это не по умолчанию, нужно явно указать ключ NoDefrag Исключает долгие часы (а иногда и дни) ожидания и требования свободного места в 110% от размера DIT Правда база DIT будет больше и копирование будет идти дольше

Упрощенное развертывание ++ AD FS V2.1 из коробки AD FS v2.0 выпущена отдельной ролью можно скачать с AD FS (v2.1) выпущена как серверная роль Windows Server 2012 Основное отличие от интеграция Windows Server 2012 Dynamic Access Control и поддержка трансляции Kerberos Claim

Новые функции и улучшения РазнообразноеРазнообразное Изменения в ядре AD

Целостность при виртуализации Исходная ситуация Типичные действия с виртуальными машинами: снятие снапшотов или копирование VMs/VHDs приводят к печальным последствиям Возникают откаты USN что приводит к постоянному наличию: lingering objects (лингеринг объектов) несовпадающих паролей несовпадающих значений атрибутов и что еще хуже несоответствий схемы, если вдруг будет откат для schema master Кроме того, весьма вероятна ситуация с дупликацией SID-ов в разных субъектов безопасности

Целостность при виртуализации Решение Виртуальные контроллеры Windows Server 2012 способны выявлять: Когда применен snapshot Когда виртуальная машина скопирована Механизм построен на идентификаторе поколения VM (VM-generation ID), который изменяется как только средства виртуализации применяют «опасные» действия Виртуальный КД Windows Server 2012 отслеживает значнеие VM-generation ID для защиты Active Directory Защита реализуется за счет: Отмены выделенного RID pool Сброса значения invocationID Инициации процесса INITSYNC для всех FSMO-ролей

Чем плох для контроллера VM Snapshot? История событий ВремяT2ВремяT3ВремяT4 Снят Snapshot Применен T1 Snapshot USN: 100 ID: ARID Pool: USN: 100 ID: ARID Pool: USN: 250 ID: ARID Pool: Создано еще 150 польз. = 200 DC2 получил обновл.: USNs >200 = 250 USN: 200 ID: A RID Pool: Добавлено 100 польз. DC2 получил обновл.: USNs >100 DC1 DC2 ВремяT1 USN rollback НЕ выявлен: Только 50 пользователей реплицированы между КД Все остальные пользователи либо на одном, либо на другом КД 100 объектов безопасности с RIDs имеют конфликтующие SIDs

Целостность при виртуализации Условия применения Виртуальный КД Windows Server 2012 запущен на платформе гипервизора с поддержкой VM- Generation ID Есть открытая спецификация для поддержки этого механизма и любой ISV может ее реализовать

Новые функции и улучшения РазнообразноеРазнообразное Изменения в ядре AD

Ускоренное развертывание Исходная ситуация Развертывание виртуального КД DCs столь же трудоемкий процесс, что и развертывание физического Однако, виртуализация дате преимущества при развертывании обычных серверов Вообще говоря в результате развертывания КД полявляется его копия (реплика) За исключением имени, IP-адреса, и т.п. Типичное развертывание включает в себя следующие шаги Подготовка и развертывание имиджа механизмом sysprep Ручной промоушен КД DC с использованием: По сети: время и успешность зависят от размера базы и качества сети с применением IFM: подготовка «носителя» и его копирование усложняют ситуацию Требуются обязательные настройки после развертывания

Ускоренное развертывание: клонирование Решение Создание реплики виртуального КД клонируя существующий КД т.е. простое копирование VHD-файлов используя методы export/import гипервизора Существенное упрощение взаимодействий и зависимостей между администраторами AD и гипервизором обратите внимание, что авторизация клонированных машин требует прав Enterprise/Domain Admins Это решение вносит существенное изменение в принципы аварийного восстановления AD Достаточно всего одного виртуального КД Windows Server 2012 на домен, чтобы оперативно восстановить лес (не должен быть PDC) Последующие КД могут очень быстро быть восстановлены Это решение дает возможность в облачных сценариях повышать свойство эластичности платформы

Ускоренное развертывание: Клонирование

Условия применения Использование виртуального КД Windows Server 2012 гипервизоре с поддержкой VM-Generation-ID Роль FSMO PDC-E должна быть размещена на Windows Server 2012 для авторизации клонирования Исходный КД должен быть авторизован для клонирования Либо на уровне прав объекта в домене – Allow DC to create a clone of itself Либо добавлением в группу Cloneable Domain Controllers Файл DCCloneConfig.XML должен быть создан на КД в одном из мест: Папка содержащая NTDS.DIT Директория по умолчанию для файлов DIT (%windir%\NTDS) Съемный носитель (virtual floppy, USB, и т.п.) Сервисы и приложения размещенные на КД Windows Server 2012 должны поддерживаться (например: DNS, FRS, DFSR): Все дополнительные приложения/сервисы и задания по расписанию на исходном контроллере должны быть явно добавлены белый список Если будет найдено какое-то из приложений не из списка, то произойдет сбой и контроллер перейдет в DSRM

Новые функции и улучшения РазнообразноеРазнообразное Изменения в ядре AD

Краткое напоминание технических основ Режимы использования RootDSE Отображает основные свойства NTDS (локально, в домене и лесу) Аналог вызовов RPC ADSI через LDAP (позволяет вызывать «методы») Конструируемые атрибуты Представляют собой динамически вычисляемые значения, генерируемые на основе некоторой информации Ядро обработки запросов NTDS не дает запрашивать ничего кроме простого фильтра с названием атрибута и обработкой поиска на первом базовом уровне (base-scoped) Эти атрибуты в большинстве своем не определены в схеме и документированы только в MSDN. Управляющие методы и правила LDAP Определяют как ядро обработки LDAP-запросов обрабатывает запросы (передается вместе с запросом) Например управляющие методы Return Deleted Objects и Return Recycled Object ( ,.2064) Побитовый поиск (правило соответствия) (searchFlags: :=1 userAccountControl: :=512) Ограниченный предел количества объектов в базе NTDS RIDs (можно посмотреть уже использованный пул) – 1Г DNTs (можно посмотреть уже использованный пул) – 2Г LIDs (нельзя никак увидеть текущее максимальное значение) 2Г

Улучшения процесса RID Management Исходная ситуация В последнее время у некоторых очень крупных заказчиков стали возникать случаи исчерпания RID-space Несколько ошибок при обработке запросов на RID-pool было исправлено Исследования вопроса так же показали, что необходимо существенное кардинальное улучшение с ограничением в 1Г

Улучшения процесса RID Management Каждая неудачная попытка создания учетной записи – потеря - 1 RID Единичный RID теяется при попытке создания пользователя несоответствующего политике В реальности старые оснастки поступают так – создают пользователя и присваивают ему минимальное количество атрибутов, а уже следующе операцией изменения вносят значения атрибутов Исправлено в Windows Server 2012 путем выделения временного пула RID в памяти и при необходимости повторного использования RID-ов. Учтите, что при перезагрузке КД список повторного использования теряется Список повторного использования только если в RID-pool есть блок нераспределенных RID Размер списка повторного использования определяется максимальным числом одновременных попыток приведших к неудачному созданию. Наши оценки показывают, что обычно этот размер исчисляется едеиницаи и потому нет необходимости как-то планировать его размеры. Ограничение на создание учетной записи компьютера рядовым пользователем Это еще один путь потери 1 RID-а при условии если рядовым пользователям не запрещено включение компьютеров в домен по стандартной квоте Решение в точности аналогично решению приятому при создании пользователя (см. выше) Инвалидация RID-pool-а приводит к потере пула целиком, при этом логируется событие. Инвалидация происходит вызовом специального «метода» RootDSE или ADSI Обычно это происходит при авторитарном восстановлении RID Master, клонировании или восстановлении снапшота контроллера домена

Улучшения процесса RID Management Утрата корректного значения атрибута rIDSetReferences приводит к исчерпанию всего RID pool Этот атрибут некорректно воссоздается в случае случайного удаления УЗ контроллера домена. КД выявляет эту ситуацию и пытается пересоздать УЗ. КД проверяет этот атрибут как указатель на его RID-pool Атрибут не заполнен корректно КД предполагает, что пул RID изчерпан и запрашивает новый пул КД получает новый пул и пытается его записать, однако его ждет неудача, потому как отсутствует корректное значение rIDSetReference Так повторяется каждые 30 секунд, КД запрашивает пул размером (обычно 500) Один единственный поврежденный КД полностью исчерпает весь RID-set примерно за 2 года при стандартном размере RID block size = 500 В Windows Server это исправлено При восстановлении в атрибут rIDSetReference записывается теперь корректное значение Мы так же установили максимальный размер на RID Block Size ранее не имел ограничений на максимальный размер В Windows Server 2012 мы установили максимальный возможный размер на = (значения >15K == 15K)

Улучшения процесса RID Management Мы ввели периодическое сообщение в журнал о текущем использовании RID. Когда объем свободных RID достигнет 10% от общего глобального блока – логируется первое событие Первое событие логируется когда потрачено 100,000,000 RIDs Следующее событие логируется при достижении 10% от остатка RID Остаток RID= 900,000,000 10% от остатка = 90,000,000 Второе событие логируется при исчерпании 190,000,000 RID-ов. existing RID consumption plus 10% of remainder Так событие логируется все чаще и чаще по мере того как объем свободных RID уменьшается

Улучшения процесса RID Management Роль RID Manager теперь имеет «интеллектуальную» защиту от исчерпания Представьте, что мы уже слишком близки к исчерпанию пула. RID Manager блокирует выделения новых пулов Когда это случается, система переводит атрибут msDS-RIDPoolAllocationEnabled на объекте RID Manager$ в значение FALSE только администратор может его перевести в значение TRUE Логируется событие, что выделение новых RID остановлено Дополнительное предупреждение логируется, когда исчерпывается 80% глобального пространства RID Этот атрибут система может установить только в значение FALSE (контролируется RID Manager-ом) Только Domain Admin может установит его в TRUE NOTE: очевидно, что по умолчанию этот атрибут имеет значение TRUE Граница когда срабатывает этот механизм - 90% общего пространства RID и это не настраивается

Улучшения процесса RID Management разблокировка 31-го бита для глобального пространства RID Да, да, мы наконец сделали это!!! И не просто сделали, а протестировали в живой среде и … серьёзно, мы очень тщательно это протестировали Этот шаг увеличивает пространство в 2-а раза RID с 1Г до 2Г Кстати, это не обратимая операция, будьте внимательны Это даже невозможно авторитетно восстановить (ну если это не единственный контроллер в лесу) 31-й разблокируется через RootDSE операцию (требует Windows Server 2012 RID FSMO) Операция модификации - sidCompatibilityVersion:1 Все остальные КД должны быть Windows Server 2012 чтобы понять это Существуют планы по портированию этого функционала на Windows Server 2008 R2 КД не поддерживающие этот функционал будут получать пулы RID с установленным старшим битом, однако будут отказываться их использовать для создания объектов. Такие КД будут спокойно аутентифицировать и авторизовать пользователей с RID более 1Г

Отложенное создание индексов Добавление индексов для уже существующих атрибутов не простая задача. Это сильно загружает КД. КД получает обновление схемы по репликации Через 5 минут КД обновляет локальный кеш схемы в результате многие или даже все КД почти одновременно будут строить новые индексы. Windows Server 2012 добавляет новое поле в dSHeuristic 18-ый байт считая от 0 (некоторые скажут что 19-й) Установка его в 1 приводит к тому, что Windows Server 2012 КД откладывает построение индексов до: Получение команды UpdateSchemaNow (rootDSE mod). Перезагрузки (что требует перестроения кеша схемы) Любой атрибут, построение индекса которого отложено приводит к логированию события каждые 24 часа 2944: index deferred – логируется однажды 2945: index still pending – логируется каждые 24 часа 1137: index created – логируется однажды (старое событие)

Отображение DNTs в RootDSE База данных Active Directory NTDS.DIT использует DNT DNT – Distinguished Name Tag – уникальный номер записи в БД NTDS Ограниченный набор номеров DNT == 2^31 (~2 миллиарда) DNT НЕ реплицируются (это локальные номера/идентификаторы) Не могут быть повторно использоваться (значение ТОЛЬКО увеличивается) DNT никогда не уменьшаются (не используются повторно) за исключением промоушена по сети Даже клонирование и инсталляция IFM не «сбрасывают счетчик» Если у КД кончились DNS то необходимо демоутить его промоутить заново по сети Ранее, чтобы выяснить не закончились ли в базе доступные DNT необходимо было делать дамп базы данных (операция RootDSE) Затраты времени, сил и места на диске. Windows Server 2012 Active Directory позволяет узнать текущее значение DNT: У объекта RootDSE есть конструируемый атрибут: approximateHighestInternalObjectID Так же можно использовать счетчик perfmon.

Включение в домен Off- Premises Расширенное включение в домен без доступа к сети ( Off-Premises Domain Join ) позволяет включить в состав передаваемых данных необходимую информацию для работы DirectAccess: Сертификаты Групповые политики Что же это дает? Компьютер может быть подключен к домену через интернет с включенным Direct Access-ом. Перенос необходимых данные в виде файла это по прежнему процесс требующий ручных действий.

Расширенное логирование LDAP Enhanced LDAP logging added in Windows Server 2012 existing LDAP logging capabilities deemed insufficient unable to isolate/diagnose root cause of many behaviors/failures with existing logging Enabled through registry via logging overrides or level 5 LDAP logging additional logging logs entry and exit stats for a given API we now also track the entry and exit tick making it feasible to determine sequence of events entry: logs the operation name, the SID of the callers context, the client IP, entry tick and client ID exit: logs the operation name, the SID of the callers context, client IP, entry and exit tick and client ID … further details on this in the appendix of this deck

Новые возможности LDAP Batched extended-LDAP operations ( ) Require server-sorted search use index on sort attribute ( ) DirSync_EX_Control ( ) TreeDelete control with batch size ( ) Include ties in server-sorted search results ( ) Return highest change stamp applied as part of an update ( ) Expected entry count ( ) … details on each of these new controls in the appendix of this deck

РазнообразноеРазнообразное Изменения в ядре AD Новые функции и улучшения УправлениеУправление Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

Новые функции и улучшения УправлениеУправление Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

Графический интерфейс Recycle Bin Исходная ситуация Функция Recycle Bin появилась в Windows Server 2008 R2 – она позволяет восстанавливать удаленные объекты со всеми их атрибутами Случаи когда требуется восстановить объект из Recycle Bin обычно имеют высокий приоритет: Восстановление после случайного удалений, которое парализует работу Отсутствие удобного графического интерфейса усложняет использование и замедлят процесс восстановления

Графический интерфейс Recycle Bin Решение Упрощает восстановление объектов за счет графического элемента Deleted Objects в оснастке Active Directory Administrative Center Таким образом удаленные объекты теперь можно восстановить через графическую консоль Драматически снижает время необходимое на процедуру восстановления отображая список удаленных объектов, по которому можно перемещаться

Графический интерфейс Recycle Bin Условия применения Существующие требования к работе Recycle Bin должны быть соблюдены. Уровень Windows Server 2008 R2 forest functional level Включена опция Recycle Bin optional-feature Установлен Windows Server 2012 Active Directory Administrative Center Удаленный объект должен быть удален после включения Recycle Bin и до истечения срока Deleted Object Lifetime (DOL) 180 дней по умолчанию

Новые функции и улучшения УправлениеУправление Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

Dynamic Access Control (DAC) Исходная ситуация на сегодняшний день трудно решит некоторые бизнес-задачи используя существующую модель управления доступом нет решений для централизованного администрирования существующий механизм описания прав делает сложным или невозможным полное описание некоторых требований растущие бизнес-потребности в соответствии требованиям регуляторов требуют эффективных и новых подходов

Dynamic Access Control (DAC) Решение новая модель централизованного доступа к политикам (central access policies - CAP) новая платформа claim-based авторизации совершенствует, но не заменяет существующую модель user-claims и device-claims user+device claims = Compound Identity также включает стандартное членство в группах использование информации File Classification Infrastructure при принятии решении об авторизации современные авторизационные выражения, например: оценка условий по И (AND), ИЛИ (OR), НЕ (NOT) управление классификацией и свойствами источника в ACL Расширенные возможности для Access-Denied политики доступа и аудита могут быть определены гибко и просто, например: resource.Confidentiality = high THEN audit.Success WHEN user.EmployeeType = vendor

Dynamic Access Control (DAC) Условия применения Windows 8 или файловые серверы Windows Server 2012 (КД не требуется) современные авторизационные выражения, например: оценка условий с AND НО: управление классификацией и свойствами источника в ACL требуют схемы Windows Server 2012 modern authorization expressions, e.g. evaluating ANDed authorization conditions NOTE: leveraging classification and resource properties in ACLs requires the Windows Server 2012 schema корректировка списков Access-Denied требуется как минимум 1 сервер Windows Server 2012 с ролью КД для получения билетов Kerberos поддержка Central Access Policies (CAP) должна быть применена политика запросов на уровне контроллера домена, например, Default Domain Controllers Policy после конфигурирования клиенты Windows 8 могут использовать только контроллеры Windows Server 2012 DC должно быть установлено достаточное количество контроллеров для обслуживания нагрузки со стороны Win 8 клиентов и серверов Windows Server 2012 Active Directory Administrative Center для администрирования CAP и CAPR CAPR = Claims Access Policy Rules для запросов от устройств device-claims, Compound ID должен быть переключен на целевой служебный аккаунт через групповые политики или напрямую редактированием соответствующих объектов нижнеуровневым клиентам требуется DFL 5 для получения запросов от KDC при отсутствии этого условия, верхнеуровневые серверы могут использовать S4U2Self для получения активированного запросом билета от инициатора важно, что Authentication Mechanism Assurance (AMA) SIDs/claims и данные об авторизации устройства становятся недоступны как только будут потеряны данные о методе авторизации и устройстве

Kerberos Claims (DAC) в AD FS Исходная ситуация AD FS v2.0 может генерировать запросы пользователя напрямую из NTtokens также может раскрывать запросы, основанные на атрибутах AD и других хранилищ атрибутов мы знаем, что в Windows Server 2012 билеты Kerberos также могут содержать запросы но AD FS 2.0 не может считывать запросы из билетов Kerberos AD FS 2.0 вынужден совершать дополнительные LDAP- запросы в Active Directory к источнику запроса пользовательского атрибута не в состоянии обработать запросы устройства

Kerberos Claims (DAC) в AD FS Решение AD FS (v2.1) в Windows Server 2012 может заполнить SAML-токены пользовательскими запросами и запросами устройства, взятыми напрямую из билета Kerberos Условия применения DAC активирован и настроен Compound ID должен быть переключен на служебный аккаунт AD FS Версия Windows Server 2012 AD FS (v2.1)

Dynamic Access Control (DAC) Исходная ситуация today, its difficult to translate business-intent using existing authorization model no central administration capabilities existing expression language makes it hard or impossible to fully express requirements increasing regulatory and business requirements around compliance demand a different approach

Dynamic Access Control (DAC) Решение new central access policies (CAP) model new claims-based authorization platform enhances, not replaces, existing model user-claims and device-claims user+device claims = compound identity includes traditional group memberships too use of file-classification information in authorization decisions modern authorization expressions, e.g. evaluation of ANDed authorization conditions leveraging classification and resource properties in ACLs easier Access-Denied remediation experience access- and audit-policies can be defined flexibly and simply, e.g. IF resource.Confidentiality = high THEN audit.Success WHEN user.EmployeeType = vendor

Dynamic Access Control (DAC) Условия применения Windows 8 or Windows Server 2012 file servers (no DCs necessary yet) modern authorization expressions, e.g. evaluating ANDed authorization conditions NOTE: leveraging classification and resource properties in ACLs requires the Windows Server 2012 schema Access Denied Remediation 1 or more Windows Server 2012 DCs required for Kerberos claims Central Access Policies (CAP) support must enable the claims-policy in a Domain Controller-scoped policy, e.g. Default Domain Controllers Policy once configured, Windows 8 clients might use only Windows Server 2012 DCs enough DCs must be deployed to service the load imposed by uplevel clients and servers (piling-on) Windows Server 2012 Active Directory Administrative Center to administer CAPs and CAPRs CAPR = Claims Access Policy Rules for device-claims, compound ID must be switched on at the target service account via Group Policy or directly editing the corresponding objects downlevel clients require DFL 5 in order to receive claims from a KDC in the absence of that, uplevel servers able to use S4U2Self to obtain claims-enabled ticket on callers behalf note that Authentication Mechanism Assurance (AMA) SIDs/claims and device authorization data not available since context around authentication method and device already lost

Kerberos Claims (DAC) в AD FS Исходная ситуация AD FS v2.0 is able to generate user-claims directly from NTtokens also capable of further expanding claims based on attributes in Active Directory and other attribute stores in Windows Server 2012, we know that Kerberos tickets can also contain claims but AD FS 2.0 cant read claims from Kerberos tickets forced to make additional LDAP calls to Active Directory to source user-attribute claims cannot leverage device-attribute claims at all

Kerberos Claims (DAC) в AD FS Решение AD FS (v2.1) in Windows Server 2012 now able to populate SAML tokens with user- and device-claims taken directly from the Kerberos ticket Условия применения DAC enabled and configured compound ID must be switched on for the AD FS service account Windows Server 2012 AD FS (v2.1)

Новые функции и улучшения УправлениеУправление Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

Активация через Active Directory (AD BA) Исходная ситуация Сегодня для Volume Licensing в Windows/Office требуется сервер Key Management Service (KMS) Необходим минимальный уровень опыта Решение используется ~90% заказчиков Отсутствует графический интерфейс для управления Использует RPC траффик для взаимодействия Не поддерживает никакой аутентификации. Лицензия запрещает подключать KMS к внешним сетям По сути успешное подключение к KMS серверу по RPC уже гарантирует активацию

Активация через Active Directory (AD BA) Решение Использовать существующую у вас Active Directory для активации Не требуется дополнительного оборудования и хостов Нет требования к сетевому взаимодействию как у RPC, используется только LDAP Можно применять и вместе с RODCs После инсталляции и выполнения настроек никаких данных больше не записывается в active directory Активация начального ключа CSVLK (customer-specific volume license key) требует: Однократное взаимодействие с Microsoft Activation Services по сети Internet (аналогично активации в retail версии) Ключ вводиться с использованием роли activation server или в командной строке. Активация повторяется для всех дополнительных лесов (до 6 штук по умолчанию). Объект ассоциированный с активацией храниться в конфигурационном разделе AD Подтверждает факт покупки Машина может быть членом любого домена в лесу. Все машины Windows 8 активируются автоматически

Активация через Active Directory (AD BA) Условия применения Только машины с Windows 8 и Windows Server 2012 могут использовать AD BA Сервисы KMS и AD BA могут сосуществовать Вы по-прежнему должны использовать KMS если вы планируете активировать «старые» версии ОС по программе volume-licensing Установка требует Windows 8 или Windows Server 2012 узла Требуется расширение схемы до уровня Windows Server 2012 но КД на Windows Server 2012 не требуются

Новые функции и улучшения УправлениеУправление Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

Active Directory PowerShell History Viewer Исходная ситуация Windows PowerShell – ключевая технология создающая единый механизм управления всеми элементами Windows и связывающая графический интерфейс и командную строку. Windows PowerShell увеличивает производительность Но требует времени для изучения

Active Directory PowerShell History Viewer Решение Новая консоль Administrative Center позволяет администраторам просматривать историю команд Windows PowerShell например при: Добавлении пользователей в группы Отображается история команд Active Directory Windows PowerShell command Администратор может копировать эту историю в своих скриптах Сокращает период обучения Повышает грамотность при написании скриптов

Active Directory PowerShell History Viewer Условия применения Установленный Windows Server 2012 Active Directory Administrative Center Установленные службы Active Directory Web Service На контроллере управляемого домена

Новые функции и улучшения УправлениеУправление Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

Fine-Grained Password Policy Исходная ситуация Функционал Fine-Grained Password Policy добавленный еще Windows Server 2008 позволяет более тонко настраивать политики паролей Для применения этой возможности администраторы должны были в ручную создавать объекты PSO Было сложно проверить, что созданные в ручную объекты PSO функционируют так, как планировалось В итоге затрачивалось больше времени и усилий, чтобы реализовать настройки FGPP

Fine-Grained Password Policy Решение Создание, редактирование и назначение PSO теперь управляется через графический интерфейс Active Directory Administrative Center Существенно упрощается управление политиками паролей

Fine-Grained Password Policy Условия применения Все требования к FGPP должны удовлетворяться: Функциональность леса должны быть не ниже Windows Server 2008 Для управления используется только Windows Server 2012 Active Directory Administrative Center

Новые функции и улучшения УправлениеУправление Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

Flexible Authentication Secure Tunneling (FAST) Исходная ситуация Возможны попытки оффлайновых словарных атак на вход по паролю Возможен относительно известный сценарий атаки с подменой кодов ошибок Kerberos В итоге клиенты могут: Перейти на менее безопасный устаревший протокол (NTLM) необоснованно снизить уровень шифрования

Flexible Authentication Secure Tunneling (FAST) Решение Протокол Kerberos в Windows Server 2012 поддерживает Flexible Authentication Secure Tunneling (FAST) определено RFC 6113 иногда на это дополнение ссылаются как «Kerberos armoring» решение предоставляет защищенный канал между доменным клиентом и КД Защищает данные процесса pre-authentication для пользовательских запросов AS_REQ использует LSK (logon session key) из компьютерного TGT как общий секрет Таким образом запрос AS_REQ при загрузке компьютера по прежнему не защищен Возвращает ошибки Kerberos с цифровой подписью, что исключает возможность подмены Если клиенты и сервера поддерживают Kerberos FAST Домен может быть сконфигурирован как требовать «Kerberos armoring» или использовать его по запросу Нужо удостовериться что все или необходимые КД используют Windows Server 2012 Включить соответствующую политику Support CBAC and Kerberos armoring All DCs can support CBAC and Require Kerberos armoring

Flexible Authentication Secure Tunneling (FAST) Условия применения Сервера КД Windows Server 2012 Удостовериться, что все домены, которые используют клиенты, в том числе и на пути доверия поддерживают политику: Support CBAC and Kerberos armoring для всех КД Windows Server 2012 Имеется достаточное количество КД Windows Server 2012 Включена политика Require FAST на клиентах RFC-совместимое взаимодействие FAST требует DFL5

Kerberos Constrained Delegation (KCD) Исходная ситуация В первые Kerberos Constrained Delegation (KCD) появилась в Windows Server 2003 Механизм KCD позволяет front-end сервису выступать от УЗ пользователя в многоуровневых приложениях для доступа к back-end сервисам front-end сервис сконфигурирован таким образом (SPN и настройка УЗ в AD), что может представляться от лица УЗ пользователей Настройка этих параметров требует прав Domain Admin Делегирование KCD работает только для тех back-end сервисов, которые находятся в том же домене, что и УЗ front-end сервисов

Kerberos Constrained Delegation (KCD) Решение KCD в Windows Server 2012 передает принятие решения об авторизации на сторону владельца ресурса Разрешает back-end сервисам авторизовать какие именно УЗ front-end сервисов могут имперсонировать пользователей на их ресурсы Поддерживает сценарии cross-domain и cross-forest Более не требует прав Domain Admin для настройки Требует административных прав только на УЗ сервиса back- end

Kerberos Constrained Delegation (KCD) Условия применения Клиент должен быть Windows XP или новее Домен клиента должен быть Windows Server 2003 или новее Сервер с front-end сервисом должен быть Windows Server 2012 Один или более КД в домене front-end сервиса должен быть Windows Server 2012 Один или более КД в домене back-end сервиса должен быть Windows Server 2012 Учетная запись сервиса на back-end сервере имеет права имперсонации Это нельзя настроить в Active Directory Administrative Center Для настройки используется Active Directory Windows PowerShell командлеты: New/Set-ADComputer [-name] [-PrincipalsAllowedToDelegateToAccount ] New/Set-ADServiceAccount [-name] [-PrincipalsAllowedToDelegateToAccount ] Требуется обновление схемы до Windows Server 2012 в лесу back-end сервера Приложение на back-end сервере запущено на ОС Windows Server 2003 и новее.

Новые функции и улучшения УправлениеУправление Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

Group Managed Service Accounts (gMSA) Исходная ситуация Впервые Managed Service Accounts (MSAs) появились в Windows Server 2008 R2 Кластеризованные решения или сервера с балансировкой нагрузки, которым необходимо разделять общий контекст безопасности не поддерживались MSAs не могли быть эффективно использованы во многих очевидных сценариях

Group Managed Service Accounts (gMSA) Решение Появился новый тип субъекта безопасности gMSA Сервисы запущенные на множестве хостов теперь могут выполняться из-под общего контекста безопасности Требуется 1 или более Windows Server 2012 КД gMSAs могут аутентифицироваться по отношению к любой версии ОС на КД. Пароли сгенерированные Group Key Distribution Service (GKDS) доступны на всех КД Windows Server 2012 Узлы Windows Server 2012 использующие gMSAs получают пароли и обновляют их через GKDS Получение паролей ограничено авторизованными компьютерами Интервал смены паролей определяется при создании УЗ gMSA (по умолчанию 30) Как и MSA, gMSA поддерживаются только Service Control Manager (SCM) и application pool-ами IIS Поддержка заданиями по расписанию еще изучается

Group Managed Service Accounts (gMSA) Условия применения Схема должна быть расширена до Windows Server 2012 Active Directory В сети должен быть доступен один или более Windows Server 2012 КД для формирования и получения паролей Только службы запущенные на Windows 8 или Windows Server 2012 могут использовать gMSA Учетные записи gMSA могут быть созданы только с помощью Windows Server 2012 Active Directory Module для Windows PowerShell

Новые функции и улучшения УправлениеУправление Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

Active Directory Replication & Topology Cmdlets Исходная ситуация Администраторам требовалось много различных утилит для администрирования топологии сайтов и репликации Active Directory repadmin ntdsutil Active Directory Sites and Services etc. Как следствие различные навыки и опыт необходимые для применения каждой утилиты Сложность автоматизации

Active Directory Replication & Topology Cmdlets Решение Управлять топологией сайтов и репликацией через Active Directory Windows PowerShell create and manage sites, site-links, site-link bridges, subnets and connections replicate objects between DCs view replication metadata on object attributes view replication failures etc. Реализовать более однотипный и привычный механизм для управления через скрипты Совместимый и применяемый совместно с другими модулями и командлетами Windows PowerShell

Active Directory Replication & Topology Cmdlets Условия применения Active Directory Web Service (ADWS) или Active Directory Management Gateway (для Windows Server 2003 или 2008) Remote Server Administration Tools (RSAT)

В завершение упрощённое управление Windows Server 2012 Managed Service Accounts для ферм (gMSA) Поддержка работы Kerberos Constrained Delegation между доменами и лесами Подмена кодов ошибок для Kerberos стала еще более сложной Графических интерфейс Active Directory для: поддержки функций Recycle Bin и Fine Grained Password Policies Просмотр команд Windows PowerShell для всех действий в Administrative Center Новые «командлеты» для управления репликацией и топологией Active Directory в Windows PowerShell Cmdlets В ранних версиях… Managed Service Accounts работали только на одном сервере Kerberos Constrained Delegation (KCD) работает только в рамках одного домена В рамках Kerberos можно подменить коды ошибок Нет графического интерфейса в Active Directory Administrative Center для Recycle Bin и Fine Grained Password Policies Скрипты PowerShell необходимо писать с нуля Целый «ворох» различных графических утилит и утилит командной строки для управления репликацией и топологией

В завершении упрощенное развертывание Windows Server 2012 Целостность при виртуализации Упрощенное развертывание Единый и удобный механизм развертывания Все операции по развертыванию могут выполняться удаленно, выбирая корректные FSMO-роли Проверка ввода и проверки окружения уменьшают число ошибок Полная поддержка автоматизации установки и настройки через Windows PowerShell Быстрая установка КД используя клонирование Интеграция установки ADFS В ранних версиях… Использование копирование и снапшотов приводило к нарушению репликации AD Подготовка к обновлению Active Directory была сложной и состояла из многих шагов Для завершения промоушена КД нужно было выполнить много действий Установка и настройкиа сервисов ADDS была интерактивной, локальной и не поддерживала удаленные операции Было сложно писать скрипты

Устройство Windows Server 2012 Dynamic Access Control 14:00 – 15:00 зеленый зал

Сводная таблица требований

Заповни Анкету Виграй Приз

Вопросы и контактная информация Константин Леонтьев Архитектор ru.linkedin.com/in/kleontiv