Post on 17-Sep-2019
Active Directory Domain Services und DNS in Windows Server 2008
Ulf B. Simon-WeidnerSenior Consultant, Computacenter
MVP für Windows Server – Directory Serviceswww.msmvps.com/ulfbsimonweidner
1
Neue Begrifflichkeiten
Active DirectoryActive Directory Domain
Services
Active Directory Application Mode
Active Directory Leightweight Domain Services
Active Directory Federation Services
Active Directory Federation Services
Rights Management Services
Active Directory Rights Management Services
Certificate ServicesActive Directory
Certificate Services
2
Active Directory Neuerungen:Installation
Servermanager:• Installation der Active Directory Produkte als Rollen• Überwachung der Standarddienste für Active Directory
Domänenkontroller Installations Assistent (DCPromo):• Implementieren von Best Practices bei der Standardinstallation• Einrichten von DNS-Weiterleitungen und –Delegationen• Aktivieren des Globalen Katalogservers• Installation von Read-Only-Domänenkontrollern (wenn gewollt in
zwei Stufen)• Erstellen von Unattended-Dateien• Installation über Kommandozeile möglich
3
Active Directory: Benutzeroberfläche
• Bessere Integration der Konsolen
• Attribute Editor
• LDP
• Server Manager
– Überwachung der Rolle
– Administration der Rolle
– Performance Analyzer
4
Read-Only-Domänenkontroller
Herausforderung:• Sicherheit in verteilten Infrastrukturen (ungesicherter Domänenkontroller)
Lösung: Read-Only-Domänenkontroller• AD-DS, DNS und GC für Filialbüros• Akzeptiert keine Änderungen (write-referral)• "Cached Secrets" werden nur repliziert, wenn
sie in der "Allow-Liste" sind• Administratorenkonten sind standard-
mäßig in der "Deny-Liste", deren Passwörter werden nicht auf den RODCs gecached
• RO-PAS: Attribute können von derReplikation auf RODCs ausgenommen werden
5
Read-Only-Domänenkontroller
Erläuterungen
• DNS-Updates
• Mehrere Domänen
• Mehrere RODCs in einem Standort
• Exchange
6
Wartung des Active Directory
Bisher:
• Directory Services Restore Modus für viele Wartungsaufgaben notwendig
Neu:
• Active Directory lässt sich stoppen, bestimmte Wartungsaufgaben wie Offline-Defragmentierung können in diesem Modus durchgeführt werden
• Vorteil: Weniger "Downtime", besser per Script ausführbar
Achtung:
• DSRM-Administrator kann sich nicht bei gestopptem DS anmelden, aber:HKLM\system\currentcontrolset\Control\Lsa
DsrmAdminLogonBehavior: REG_DWORD
0: DSRM-Admin kann sich nur im DSRM anmelden (Standardeinstellung)
1: DSRM-Admin kann sich im DSRM und wenn NTDS gestoppt ist anmelden
2: DSRM-Admin kann sich jederzeit anmelden
7
Fine Grained Password Policies
Passwort Einstellungen
• Bisher: eine Passwort-Richtlinie pro Domäne
• Neu: Passwort- und Kontosperrung können beliebig definiert werden– Werden Gruppen oder Benutzerkonten zugeordnet
– "Precedence" bestimmt im Konfliktfall welche Einstellung angewendet wird
• Voraussetzung: Domäne im Windows Server 2008-Modus (alle DCs der Domäne auf Windows Server 2008)
Wie:Password Settings Object in cn=Password Settings, cn=System, dc=... erstellen, dann mit Gruppe (oder Benutzer) verlinken
8
Fine Grained Password Policies
Erläuterungen
• GUI / Tools
• Warum auf Gruppen/User statt Ous?
• Warum nicht über GPO verwaltet?
9
Active Directory Snapshots
Active Directory-Snapshots• Snapshot kann online erstellt werden• Snapshot hält aktuellen Stand des AD komplett fest• Snapshot / Backup kann jederzeit als zusätzliches LDAP-
Verzeichnis gestartet werden• Online Zugriff mittels LDAP-Browser/ScriptsMehrwert:• Active Directory-Recovery (Objekte / Attribute)• Identifizieren des richtigen AD-Backups
10
Kundenszenario:Präventive Maßnamen AD-Recovery
• Lokales Backup / Versionierung auf Fileserver / Band
– Schneller Restore der "gestrigen" Daten
– Restore der letzten Tagesversionen über Netzwerk
– Install from Media
• Active Directory-Recoverysite
– Online-Recovery
– Domain- / Forest-Recovery
• Active Directory-Snapshots
– Object-Recovery / Tombstone Reanimation
– Attribute Recovery
11
12
Active Directory-Snapshots
1. Erstellen des SnapshotNtdsutil Snapshot Create
2. Mounten des SnapshotNtdsutil Snapshot Mount {GUID}
3. Snapshot per LDAP zur Verfügung stellenDsamain –dbpath c:\$snap...\ntds.dit –ldapport 10000
4. Ansehen / Scripten:Dsquery –S localhost:1000 ...
13
Geschützte Objekte
Geschützte Objekte
• Objekte können vor versehentlichem Löschen / Verschieben geschützt werden
• Standard bei OUs die mit Active Directory-Benutzer und –Computer von WS2k8 erstellt werden
• Entspricht :Deny Everyone to DeleteDeny Everyone to Delete Subtree
14
Überwachungsrichtlinien fürActive Directory
• Eigene Ansichten des Eventlogs möglich
• Weiterleiten und zentrales Sammeln von bestimmten Ereignissen
• Aufgaben können durch Events ausgelöst werden
• Mehr Details in Audit-Logs
– Z.B. Attributänderungen
auditpol /get /category:“DS Access“
auditpol /set /subcategory:“Directory Service Changes“
15
DNS Neuerungen
• IPv6• Starten von DNS• Support von RODCs• Timestamps in GUI• DNAME-Support: Alias für
Namensräume• Bedingte Weiterleitungen
werden in der GUI unterstütztBisher: dnscmd /ZoneAdd myexample.net /DsForwarder 10.1.2.4 /DP /forest
16
DNS Neuerungen
17
GlobalNames-Zone
• Kein WINS mehr?
• Wird in DNS erstellt
• Muss auf Windows Server 2008 liegen
• Antwortet Kurznamen auf alle ZonenanfragenDnscmd /config /EnableGlobalnamesSupport
Multidomain:
• Repliziert in AD auf möglichst alle Server
• SRV-Record in _msdcs möglich
18
Quickwins
• Active Directory Notfallplanung
– Active Directory Snapshots
– Protected Objects (Objekte vorm löschen schützen)
• Einsatz von Longhorn Server in Niederlassungen
– Read only DC
• Fine Grained Password Policy
• Active Directory Attribute Editor
• Active Directory Management (dcpromo, aduc)
• DNS Management (conditional forwarder, dnsmgmt)
• Active Directory Auditing
19
Ressourcen
• Mein Blog (Directory Services – Active Directory):www.msmvps.com/UlfBSimonWeidner
• Windows Server 2008www.microsoft.com/windowsserver2008
• Windows Server 2008 TechCenterwww.microsoft.com/technet/windowsserver2008
• Fine Grained Password Policies:Psomgr: www.joeware.net
MMC: http://blogs.chrisse.se/blogs/chrisse/archive/2007/07/14/fine-grain-password-policy-tool-beta-1-is-ready.aspx
PowerGUI: http://dmitrysotnikov.wordpress.com/2007/06/19/free-ui-console-for-fine-grained-password-policies/
• Konferenzen:– TechEd:IT-Forum Barcelona (November)
– Windows Server 2008 Launchevent Frankfurt (Februar)
– Directory Experts Conference USA Chicago (April)
20