Что нового в Windows Server 2012 Active Directory Domain Services

Что нового в Windows Server 2012 Active Directory Domain Services

Константин Леонтьев

Архитектор

Microsoft

Содержание• Зачем Вам эта нужна сессия?

• Направления развития / Глобальные цели

• Новые возможности и улучшения (по очереди)

• Требования к функциональности

Заповни АнкетуВиграй Приз

http://anketa.msswit.in.ua

Зачем Вам эта презентация?

• Дать понимание…• полного набора функций которые мы улучшили и почему,• бизнес или технические сложности приведшие к ним.

• Объяснить основы новых функций Active Directory и…• определить ограничения и особенности их реализации• указать на преимущества которые они дают для ваше ИТ-среды.

• Дать полный обзор нововведений…• предоставив их технически глубокий и в тоже время полный

обзор• снабдить вас самодостаточными материалами для применения и

понимания за пределами этой сессии

Основные направления развития

• Упрощение развертывания Active Directory

• Построение оптимальной архитектуры как для частного так и для публичного облака

• Улучшить и унифицировать средства управления AD

• Повысить значимость AD для бизнеса путем тесной интеграции с:• File-classification Infrastructure• claims-based authorization и Dynamic Access Control

Глобальные цели

Виртуализация с которой AD просто работает

• Все функции Active Directory работают одинаково как в физической среде, так и в виртуализованой

Упрощения развертывания Active Directory

• Тесное объединение функций подготовки, инсталляции ролей и самой установки контроллера в едином мастере • Контроллеры теперь быстро устанавливать, легко восстанавливать и элементарно масштабировать их количество• Контроллеры теперь можно устанавливать одновременно на несколько удаленных хостов с единственной машины Windows

8/2012• Целостное и универсальное управление всеми функциями AD посредством Windows PowerShell

Упрощение администрирования и управления Active Directory

• Графический интерфейс упрощающий сложные задачи: восстановление объектов или создание парольных политик FGPP• Все действия графической консоли Active Directory Administrative Center в окне истории команд Windows PowerShell• Поддержка всех операций по управлению репликацией и топологией Active Directory из Windows PowerShell• Упрощение и возможность группового использования служебных (сервисных) учетных записей

Разнообразное Управление

Новые функции и улучшения

Active Directory PowerShell History Viewer

Графический интерфейсFine-Grained Password Policy

Active Directory Replication & Topology Cmdlets

Графический интерфейс Recycle Bin

Целостность при виртуализации

Изменения в ядре AD

Ускоренное развертывание

Упрощенное развертывание Dynamic Access Control

Активация черезActive Directory

Group Managed Service Accounts

Улучшения Kerberos

Разнообразное





Упрощенное развертывание


Исходная ситуация• Добавление контроллера домена с новой ОС

должно быть:• длительно по времени• проверено и вымучено личными ошибками• сложным и тщательно спланированным

• Таким образом ранее, IT Pro вынуждены были:• составить сложный план обновления и аварийного

восстановления• подготовить новую корректную версию ADPrep[32]• интерактивно войти на контроллер (SM,IM) в каждом

домене под разными правами• Запустить инструменты проверки и подготовки с

нужными ключами• после каждого изменения дождаться завершения

репликации


Решение• интегрировать подготовительные

шаги в сам процесс промоушена и…• автоматизировать все

предварительные шаги

• проверить все зависимости от окружения перед развертыванием

• интегрироваться с Server Manager• построить все на базе Windows

PowerShell и увязать с ГУИ• обеспечить соответствие мастера

самым ходовым сценариям развертывания


Условия применения• Windows Server 2012• Целевой лес не ниже Windows Server 2003 уровня

функциональности• Установка первого Windows Server 2012 DC требует

прав Enterprise Admin и Schema Admin• Последующие КД требуют только прав Domain Admin в

целевом домене

Упрощенное развертывание ++Механизм повторов DC Promotion

• Еще со времен Windows 2000, DCPromo не выдерживал сетевых сбоев и длительных задержек• это приводило к сбою в промоушене если сеть (или

вспомогательный КД) «подтормаживали»

• При развертывании Windows Server 2012 попытки наладить связь и реплицироваться будут бесконечными• “бесконечными” потому что нет четких критериев,

когда можно утверждать, что “попыток довольно”• Таким образом «решение о сбое» перекладывается на

администратора, см. логи dcpromo.log

Упрощенное развертывание ++Улучшенный механизм Install-From-Media (IFM)

• Цель IFM развертывать КА намного быстрее• Раньше “IFM prep” в NTDSUTIL выполнял обязательную offline

defragmentation базы• По нашим данным обычно почти никто не использует эту операцию в

промышленной среде

• Это приводило в существенному уменьшению размера DIT-файла (что здорово), но к очень большим затратам времени

• В Windows Server 2012, NTDSUTIL’s процедура IFMprep улучшена• NTDSUTIL’s IFMprep теперь позволяет отказаться от

дефрагментации• Это не по умолчанию, нужно явно указать ключ NoDefrag

• Исключает долгие часы (а иногда и дни) ожидания и требования свободного места в 110% от размера DIT• Правда база DIT будет больше и копирование будет идти дольше

Упрощенное развертывание ++AD FS V2.1 из коробки

• AD FS v2.0 выпущена отдельной ролью• можно скачать с http://microsoft.com

• AD FS (v2.1) выпущена как серверная роль Windows Server 2012• Основное отличие от 2.0 - интеграция

Windows Server 2012 Dynamic Access Control и поддержка трансляции Kerberos Claim

http://microsoft.com/


Исходная ситуация• Типичные действия с

виртуальными машинами: снятие снапшотов или копирование VMs/VHDs приводят к печальным последствиям

• Возникают откаты USN что приводит к постоянному наличию:

• lingering objects (лингеринг объектов)

• несовпадающих паролей

• несовпадающих значений атрибутов

• и что еще хуже несоответствий схемы, если вдруг будет откат для schema master

• Кроме того, весьма вероятна ситуация с дупликацией SID-ов в разных субъектов безопасности


• Решение• Виртуальные контроллеры Windows Server 2012

способны выявлять:• Когда применен snapshot • Когда виртуальная машина скопирована

• Механизм построен на идентификаторе поколения VM (VM-generation ID), который изменяется как только средства виртуализации применяют «опасные» действия

• Виртуальный КД Windows Server 2012 отслеживает значнеие VM-generation ID для защиты Active Directory• Защита реализуется за счет:

• Отмены выделенного RID pool• Сброса значения invocationID• Инициации процесса INITSYNC для всех FSMO-ролей

Чем плох для контроллера VM Snapshot?

Ист

ория

соб

ыти

й

ВремяT2

ВремяT3

ВремяT4

СнятSnapshot

ПримененT1 Snapshot

USN: 100 ID: A RID Pool: 500 - 1000

USN: 100 ID: A RID Pool: 500 - 1000

USN: 250ID: A RID Pool: 650 - 1000

Создано еще 150 польз.

DC1(A)@USN = 200

DC2 получил обновл.: USNs >200DC1(A)

@USN = 250

USN: 200ID: A RID Pool: 600- 1000

Добавлено 100 польз.

DC2 получил обновл.: USNs >100

DC1

DC2

ВремяT1

USN rollback НЕ выявлен: Только 50 пользователей реплицированы между КДВсе остальные пользователи либо на одном, либо на другом КД100 объектов безопасности с RIDs 500-599 имеют конфликтующие SIDs


Условия применения• Виртуальный КД Windows Server 2012 запущен на

платформе гипервизора с поддержкой VM-Generation ID

• Есть открытая спецификация для поддержки этого механизма и любой ISV может ее реализовать


Исходная ситуация• Развертывание виртуального КД DCs столь же трудоемкий

процесс, что и развертывание физического• Однако, виртуализация дате преимущества при развертывании

обычных серверов• Вообще говоря в результате развертывания КД полявляется его

копия (реплика)• За исключением имени, IP-адреса, и т.п.

• Типичное развертывание включает в себя следующие шаги• Подготовка и развертывание имиджа механизмом sysprep• Ручной промоушен КД DC с использованием:

• По сети: время и успешность зависят от размера базы и качества сети• с применением IFM: подготовка «носителя» и его копирование

усложняют ситуацию• Требуются обязательные настройки после развертывания

Ускоренное развертывание: клонирование

Решение• Создание реплики виртуального КД клонируя существующий

КД• т.е. простое копирование VHD-файлов используя методы export/import

гипервизора• Существенное упрощение взаимодействий и зависимостей

между администраторами AD и гипервизором• обратите внимание, что авторизация клонированных машин требует

прав Enterprise/Domain Admins• Это решение вносит существенное изменение в принципы

аварийного восстановления AD• Достаточно всего одного виртуального КД Windows Server 2012 на

домен, чтобы оперативно восстановить лес (не должен быть PDC)• Последующие КД могут очень быстро быть восстановлены

• Это решение дает возможность в облачных сценариях повышать свойство эластичности платформы

Запуск NTDS

Получить VM-GenID

Если отличается от значения в DIT

Сбросить InvocationID, отменить RID pool

Файл DCCloneConfig.xml доступен?

Dcpromo /fixclone

Разобрать DCCloneConfig.xml

Установить сетевые настройки

Найти КД с ролью PDC

Вызов _IDL_DRSAddCloneDC(name, site)

Проверка авторизации

Создать новый объект КД скопировав исходный(NTDSDSA, Server, Computer instances)

Сгенерировать новую учетную запись КД и пароль

Сохранить состояние клона (имя, пароль, сайт)

Объявить себя репликой (на основе IFM)

Выполнить набор специализированных провайдеров sysprep

Перезагрузка

Клонируемая VM Windows Server 2012 PDC

IDL_DRSAddCloneDC

CN=Configuration|--CN=Sites

|---CN=<site name>|---CN=Servers

|---CN=<DC Name> |---CN=NTDS Settings

Ускоренное развертывание: Клонирование

Ускоренное развертывание: Клонирование

Условия применения• Использование виртуального КД Windows Server 2012 гипервизоре с

поддержкой VM-Generation-ID• Роль FSMO PDC-E должна быть размещена на Windows Server 2012

для авторизации клонирования• Исходный КД должен быть авторизован для клонирования

• Либо на уровне прав объекта в домене – “Allow DC to create a clone of itself”

• Либо добавлением в группу “Cloneable Domain Controllers”

• Файл DCCloneConfig.XML должен быть создан на КД в одном из мест:• Папка содержащая NTDS.DIT

• Директория по умолчанию для файлов DIT (%windir%\NTDS)

• Съемный носитель (virtual floppy, USB, и т.п.)

• Сервисы и приложения размещенные на КД Windows Server 2012 должны поддерживаться (например: DNS, FRS, DFSR):

• Все дополнительные приложения/сервисы и задания по расписанию на исходном контроллере должны быть явно добавлены белый список

• Если будет найдено какое-то из приложений не из списка, то произойдет сбой и контроллер перейдет в DSRM

Краткое напоминание технических основ

• Режимы использования RootDSE• Отображает основные свойства NTDS (локально, в домене и лесу)• Аналог вызовов RPC ADSI через LDAP (позволяет вызывать «методы»)

• Конструируемые атрибуты• Представляют собой динамически вычисляемые значения, генерируемые на основе некоторой

информации• Ядро обработки запросов NTDS не дает запрашивать ничего кроме простого фильтра с

названием атрибута и обработкой поиска на первом базовом уровне (base-scoped)• Эти атрибуты в большинстве своем не определены в схеме и документированы только в MSDN.

• Управляющие методы и правила LDAP• Определяют как ядро обработки LDAP-запросов обрабатывает запросы (передается вместе с

запросом)• Например управляющие методы Return Deleted Objects и Return Recycled Object

(1.2.840.113556.1.4.417,.2064)• Побитовый поиск (правило соответствия) (searchFlags:1.2.840.113556.1.5.807:=1

userAccountControl:1.2.840.113556.1.5.807:=512)

• Ограниченный предел количества объектов в базе NTDS• RIDs (можно посмотреть уже использованный пул) – 1Г• DNTs (можно посмотреть уже использованный пул) – 2Г• LIDs (нельзя никак увидеть текущее максимальное значение) 2Г

Улучшения процесса RID Management

Исходная ситуация• В последнее время у некоторых очень крупных заказчиков

стали возникать случаи исчерпания RID-space• Несколько ошибок при обработке запросов на RID-pool

было исправлено• Исследования вопроса так же показали, что необходимо

существенное кардинальное улучшение с ограничением в 1Г


• Каждая неудачная попытка создания учетной записи – потеря - 1 RID

• Единичный RID теяется при попытке создания пользователя несоответствующего политике

• В реальности старые оснастки поступают так – создают пользователя и присваивают ему минимальное количество атрибутов, а уже следующе операцией изменения вносят значения атрибутов

• Исправлено в Windows Server 2012 путем выделения временного пула RID в памяти и при необходимости повторного использования RID-ов.

• Учтите, что при перезагрузке КД список повторного использования теряется

• Список повторного использования только если в RID-pool есть блок нераспределенных RID

• Размер списка повторного использования определяется максимальным числом одновременных попыток приведших к неудачному созданию.

• Наши оценки показывают, что обычно этот размер исчисляется едеиницаи и потому нет необходимости как-то планировать его размеры.

• Ограничение на создание учетной записи компьютера рядовым пользователем

• Это еще один путь потери 1 RID-а при условии если рядовым пользователям не запрещено включение компьютеров в домен по стандартной квоте

• Решение в точности аналогично решению приятому при создании пользователя (см. выше)

• Инвалидация RID-pool-а приводит к потере пула целиком, при этом логируется событие.

• Инвалидация происходит вызовом специального «метода» RootDSE или ADSI

• Обычно это происходит при авторитарном восстановлении RID Master, клонировании или восстановлении снапшота контроллера домена


• Утрата корректного значения атрибута rIDSetReferences приводит к исчерпанию всего RID pool• Этот атрибут некорректно воссоздается в случае случайного удаления УЗ

контроллера домена. КД выявляет эту ситуацию и пытается пересоздать УЗ.• КД проверяет этот атрибут как указатель на его RID-pool

• Атрибут не заполнен корректно

• КД предполагает, что пул RID изчерпан и запрашивает новый пул

• КД получает новый пул и пытается его записать, однако его ждет неудача, потому как отсутствует корректное значение rIDSetReference

• Так повторяется каждые 30 секунд, КД запрашивает пул размером <RID block size> (обычно 500)

• Один единственный поврежденный КД полностью исчерпает весь RID-set примерно за 2 года при стандартном размере RID block size = 500

• В Windows Server 2012 - это исправлено• При восстановлении в атрибут rIDSetReference записывается теперь корректное значение

• Мы так же установили максимальный размер на RID Block Size• ранее <RID block size> не имел ограничений на максимальный размер • В Windows Server 2012 мы установили максимальный возможный размер на <RID

block size> = 15 000 (значения >15K == 15K)


• Мы ввели периодическое сообщение в журнал о текущем использовании RID.• Когда объем свободных RID достигнет 10% от общего

глобального блока – логируется первое событие• Первое событие логируется когда потрачено 100,000,000 RIDs • Следующее событие логируется при достижении 10% от остатка

RID• Остаток RID = 900,000,000• 10% от остатка = 90,000,000

• Второе событие логируется при исчерпании 190,000,000 RID-ов.• existing RID consumption plus 10% of remainder

• Так событие логируется все чаще и чаще по мере того как объем свободных RID уменьшается


• Роль RID Manager теперь имеет «интеллектуальную» защиту от исчерпания• Представьте, что мы уже слишком близки к исчерпанию пула. • RID Manager блокирует выделения новых пулов

• Когда это случается, система переводит атрибут msDS-RIDPoolAllocationEnabled на объекте RID Manager$ в значение FALSE только администратор может его перевести в значение TRUE

• Логируется событие, что выделение новых RID остановлено• Дополнительное предупреждение логируется, когда исчерпывается 80% глобального пространства

RID

• Этот атрибут система может установить только в значение FALSE (контролируется RID Manager-ом)

• Только Domain Admin может установит его в TRUE• NOTE: очевидно, что по умолчанию этот атрибут имеет значение TRUE

• Граница когда срабатывает этот механизм - 90% общего пространства RID и это не настраивается


• разблокировка 31-го бита для глобального пространства RID• Да, да, мы наконец сделали это!!! И не просто сделали, а

протестировали в живой среде и … серьёзно, мы очень тщательно это протестировали

• Этот шаг увеличивает пространство в 2-а раза RID с 1Г до 2Г• Кстати, это не обратимая операция, будьте внимательны

• Это даже невозможно авторитетно восстановить (ну если это не единственный контроллер в лесу)

• 31-й разблокируется через RootDSE операцию (требует Windows Server 2012 RID FSMO)

• Операция модификации - sidCompatibilityVersion:1

• Все остальные КД должны быть Windows Server 2012 чтобы понять это

• Существуют планы по портированию этого функционала на Windows Server 2008 R2

• КД не поддерживающие этот функционал будут получать пулы RID с установленным старшим битом, однако будут отказываться их использовать для создания объектов.

• Такие КД будут спокойно аутентифицировать и авторизовать пользователей с RID более 1Г

Отложенное создание индексов

• Добавление индексов для уже существующих атрибутов не простая задача. Это сильно загружает КД.• КД получает обновление схемы по репликации• Через 5 минут КД обновляет локальный кеш схемы

• в результате многие или даже все КД почти одновременно будут строить новые индексы.

• Windows Server 2012 добавляет новое поле в dSHeuristic• 18-ый байт считая от 0 (некоторые скажут что 19-й)• Установка его в 1 приводит к тому, что Windows Server 2012 КД

откладывает построение индексов до:• Получение команды UpdateSchemaNow (rootDSE mod).

• Перезагрузки (что требует перестроения кеша схемы)

• Любой атрибут, построение индекса которого отложено приводит к логированию события каждые 24 часа

• 2944: index deferred – логируется однажды

• 2945: index still pending – логируется каждые 24 часа

• 1137: index created – логируется однажды (старое событие)

Отображение DNTs в RootDSE

• База данных Active Directory NTDS.DIT использует DNT • DNT – Distinguished Name Tag – уникальный номер записи в БД NTDS• Ограниченный набор номеров DNT == 2^31 (~2 миллиарда)• DNT НЕ реплицируются (это локальные номера/идентификаторы)• Не могут быть повторно использоваться (значение ТОЛЬКО

увеличивается)• DNT никогда не уменьшаются (не используются повторно) за исключением промоушена

по сети

• Даже клонирование и инсталляция IFM не «сбрасывают счетчик»

• Если у КД кончились DNS то необходимо демоутить его промоутить заново по сети

• Ранее, чтобы выяснить не закончились ли в базе доступные DNT необходимо было делать дамп базы данных (операция RootDSE)

• Затраты времени, сил и места на диске.

• Windows Server 2012 Active Directory позволяет узнать текущее значение DNT:• У объекта RootDSE есть конструируемый атрибут:

approximateHighestInternalObjectID • Так же можно использовать счетчик perfmon.

Включение в домен Off-Premises

• Расширенное включение в домен без доступа к сети (Off-Premises Domain Join) позволяет включить в состав передаваемых данных необходимую информацию для работы DirectAccess:• Сертификаты• Групповые политики

• Что же это дает?• Компьютер может быть подключен к домену через интернет

с включенным Direct Access-ом.• Перенос необходимых данные в виде файла это по

прежнему процесс требующий ручных действий.







Управление





Dynamic Access Control





Исходная ситуация• Функция Recycle Bin появилась в Windows Server 2008

R2 – она позволяет восстанавливать удаленные объекты со всеми их атрибутами

• Случаи когда требуется восстановить объект из Recycle Bin обычно имеют высокий приоритет:• Восстановление после случайного удалений, которое

парализует работу

• Отсутствие удобного графического интерфейса усложняет использование и замедлят процесс восстановления


Решение• Упрощает восстановление

объектов за счет графического элемента “Deleted Objects” в оснастке Active Directory Administrative Center • Таким образом удаленные

объекты теперь можно восстановить через графическую консоль

• Драматически снижает время необходимое на процедуру восстановления отображая список удаленных объектов, по которому можно перемещаться


Условия применения • Существующие требования к работе Recycle Bin

должны быть соблюдены.• Уровень Windows Server 2008 R2 forest functional level • Включена опция Recycle Bin optional-feature

• Установлен Windows Server 2012 Active Directory Administrative Center

• Удаленный объект должен быть удален после включения Recycle Bin и до истечения срока Deleted Object Lifetime (DOL)• 180 дней по умолчанию

Dynamic Access Control (DAC)

Исходная ситуация• на сегодняшний день трудно решит некоторые бизнес-

задачи используя существующую модель управления доступом

• нет решений для централизованного администрирования• существующий механизм описания прав делает сложным

или невозможным полное описание некоторых требований • растущие бизнес-потребности в соответствии требованиям

регуляторов требуют эффективных и новых подходов

Dynamic Access Control (DAC)

Решение• новая модель централизованного доступа

к политикам (central access policies - CAP)• новая платформа claim-based авторизации

совершенствует, но не заменяет существующую модель

• user-claims и device-claims

• user+device claims = Compound Identity

• также включает стандартное членство в группах

• использование информации File Classification Infrastructure при принятии решении об авторизации

• современные авторизационные выражения, например:

• оценка условий по И (AND), ИЛИ (OR), НЕ (NOT)

• управление классификацией и свойствами источника в ACL

• Расширенные возможности для Access-Denied

• политики доступа и аудита могут быть определены гибко и просто, например:

• resource.Confidentiality = high THEN audit.Success WHEN user.EmployeeType = vendor

Активация через Active Directory (AD BA)

Исходная ситуация• Сегодня для Volume Licensing в Windows/Office

требуется сервер Key Management Service (KMS) • Необходим минимальный уровень опыта

• Решение используется ~90% заказчиков• Отсутствует графический интерфейс для управления

• Использует RPC траффик для взаимодействия• Не поддерживает никакой аутентификации.

Лицензия запрещает подключать KMS к внешним сетям• По сути успешное подключение к KMS серверу по RPC

уже гарантирует активацию


Решение• Использовать существующую у вас Active Directory для активации

• Не требуется дополнительного оборудования и хостов• Нет требования к сетевому взаимодействию как у RPC, используется только LDAP• Можно применять и вместе с RODCs

• После инсталляции и выполнения настроек никаких данных больше не записывается в active directory

• Активация начального ключа CSVLK (customer-specific volume license key) требует:• Однократное взаимодействие с Microsoft Activation Services по сети Internet (аналогично

активации в retail версии)

• Ключ вводиться с использованием роли activation server или в командной строке.

• Активация повторяется для всех дополнительных лесов (до 6 штук по умолчанию).

• Объект ассоциированный с активацией храниться в конфигурационном разделе AD

• Подтверждает факт покупки• Машина может быть членом любого домена в лесу.

• Все машины Windows 8 активируются автоматически


Условия применения • Только машины с Windows 8 и Windows Server 2012 могут

использовать AD BA• Сервисы KMS и AD BA могут сосуществовать

• Вы по-прежнему должны использовать KMS если вы планируете активировать «старые» версии ОС по программе volume-licensing

• Установка требует Windows 8 или Windows Server 2012 узла• Требуется расширение схемы до уровня Windows Server

2012 но КД на Windows Server 2012 не требуются


Исходная ситуация• Windows PowerShell – ключевая технология создающая

единый механизм управления всеми элементами Windows и связывающая графический интерфейс и командную строку.

• Windows PowerShell увеличивает производительность• Но требует времени для изучения


Решение• Новая консоль Administrative

Center позволяет администраторам просматривать историю команд Windows PowerShell например при:• Добавлении пользователей в

группы• Отображается история команд

Active Directory Windows PowerShell command

• Администратор может копировать эту историю в своих скриптах

• Сокращает период обучения• Повышает грамотность при

написании скриптов


Условия применения • Установленный Windows Server 2012 Active Directory

Administrative Center• Установленные службы Active Directory Web Service

• На контроллере управляемого домена

Fine-Grained Password Policy

Исходная ситуация• Функционал Fine-Grained Password Policy

добавленный еще Windows Server 2008 позволяет более тонко настраивать политики паролей

• Для применения этой возможности администраторы должны были в ручную создавать объекты PSO• Было сложно проверить, что созданные в ручную объекты

PSO функционируют так, как планировалось• В итоге затрачивалось больше времени и усилий, чтобы

реализовать настройки FGPP


Решение• Создание,

редактирование и назначение PSO теперь управляется через графический интерфейс Active Directory Administrative Center

• Существенно упрощается управление политиками паролей


Условия применения • Все требования к FGPP должны удовлетворяться:

• Функциональность леса должны быть не ниже Windows Server 2008• Для управления используется только Windows Server 2012

Active Directory Administrative Center

Flexible Authentication Secure Tunneling (FAST)

Исходная ситуация• Возможны попытки оффлайновых словарных

атак на вход по паролю• Возможен относительно известный сценарий

атаки с подменой кодов ошибок Kerberos• В итоге клиенты могут:

• Перейти на менее безопасный устаревший протокол (NTLM)

• необоснованно снизить уровень шифрования


Решение• Протокол Kerberos в Windows Server 2012 поддерживает Flexible

Authentication Secure Tunneling (FAST)• определено RFC 6113• иногда на это дополнение ссылаются как «Kerberos armoring»

• решение предоставляет защищенный канал между доменным клиентом и КД• Защищает данные процесса pre-authentication для пользовательских запросов AS_REQ

• использует LSK (logon session key) из компьютерного TGT как общий секрет• Таким образом запрос AS_REQ при загрузке компьютера по прежнему не защищен

• Возвращает ошибки Kerberos с цифровой подписью, что исключает возможность подмены

• Если клиенты и сервера поддерживают Kerberos FAST• Домен может быть сконфигурирован как требовать «Kerberos armoring» или

использовать его по запросу• Нужо удостовериться что все или необходимые КД используют Windows Server 2012• Включить соответствующую политику

• “Support CBAC and Kerberos armoring”• “All DCs can support CBAC and Require Kerberos armoring”


Условия применения • Сервера КД Windows Server 2012• Удостовериться, что все домены, которые

используют клиенты, в том числе и на пути доверия поддерживают политику:• “Support CBAC and Kerberos armoring” для всех КД

Windows Server 2012• Имеется достаточное количество КД Windows Server

2012

• Включена политика “Require FAST” на клиентах• RFC-совместимое взаимодействие FAST

требует DFL5

Kerberos Constrained Delegation (KCD)

Исходная ситуация• В первые Kerberos Constrained Delegation (KCD) появилась в

Windows Server 2003• Механизм KCD позволяет front-end сервису выступать от УЗ

пользователя в многоуровневых приложениях для доступа к back-end сервисам

• front-end сервис сконфигурирован таким образом (SPN и настройка УЗ в AD), что может представляться от лица УЗ пользователей

• Настройка этих параметров требует прав Domain Admin• Делегирование KCD работает только для тех back-end

сервисов, которые находятся в том же домене, что и УЗ front-end сервисов


Решение• KCD в Windows Server 2012 передает принятие решения

об авторизации на сторону владельца ресурса• Разрешает back-end сервисам авторизовать какие именно УЗ

front-end сервисов могут имперсонировать пользователей на их ресурсы

• Поддерживает сценарии cross-domain и cross-forest• Более не требует прав Domain Admin для настройки

• Требует административных прав только на УЗ сервиса back-end


Условия применения • Клиент должен быть Windows XP или новее• Домен клиента должен быть Windows Server 2003 или новее• Сервер с front-end сервисом должен быть Windows Server 2012• Один или более КД в домене front-end сервиса должен быть Windows Server

2012• Один или более КД в домене back-end сервиса должен быть Windows Server

2012 • Учетная запись сервиса на back-end сервере имеет права имперсонации

• Это нельзя настроить в Active Directory Administrative Center

• Для настройки используется Active Directory Windows PowerShell командлеты: • New/Set-ADComputer [-name] <string> [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]

• New/Set-ADServiceAccount [-name] <string> [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]

• Требуется обновление схемы до Windows Server 2012 в лесу back-end сервера• Приложение на back-end сервере запущено на ОС Windows Server 2003 и новее.

Group Managed Service Accounts (gMSA)

Исходная ситуация• Впервые Managed Service Accounts (MSAs) появились в

Windows Server 2008 R2• Кластеризованные решения или сервера с балансировкой

нагрузки, которым необходимо разделять общий контекст безопасности не поддерживались• MSAs не могли быть эффективно использованы во многих

очевидных сценариях


Решение• Появился новый тип субъекта безопасности gMSA• Сервисы запущенные на множестве хостов теперь могут

выполняться из-под общего контекста безопасности• Требуется 1 или более Windows Server 2012 КД

• gMSAs могут аутентифицироваться по отношению к любой версии ОС на КД.• Пароли сгенерированные Group Key Distribution Service (GKDS) доступны на

всех КД Windows Server 2012

• Узлы Windows Server 2012 использующие gMSAs получают пароли и обновляют их через GKDS• Получение паролей ограничено авторизованными компьютерами

• Интервал смены паролей определяется при создании УЗ gMSA (по умолчанию 30)

• Как и MSA, gMSA поддерживаются только Service Control Manager (SCM) и application pool-ами IIS• Поддержка заданиями по расписанию еще изучается


Условия применения • Схема должна быть расширена до Windows Server 2012

Active Directory• В сети должен быть доступен один или более Windows

Server 2012 КД для формирования и получения паролей• Только службы запущенные на Windows 8 или Windows

Server 2012 могут использовать gMSA• Учетные записи gMSA могут быть созданы только с

помощью Windows Server 2012 Active Directory Module для Windows PowerShell


Исходная ситуация• Администраторам требовалось много различных

утилит для администрирования топологии сайтов и репликации Active Directory• repadmin• ntdsutil• Active Directory Sites and Services• etc.

• Как следствие различные навыки и опыт необходимые для применения каждой утилиты

• Сложность автоматизации


Решение• Управлять топологией сайтов и репликацией через

Active Directory Windows PowerShell• create and manage sites, site-links, site-link bridges, subnets

and connections• replicate objects between DCs• view replication metadata on object attributes• view replication failures• etc.

• Реализовать более однотипный и привычный механизм для управления через скрипты

• Совместимый и применяемый совместно с другими модулями и командлетами Windows PowerShell


Условия применения• Active Directory Web Service (ADWS)

• или Active Directory Management Gateway (для Windows Server 2003 или 2008)

• Remote Server Administration Tools (RSAT)

В завершениеупрощённое управление

• Windows Server 2012• Managed Service Accounts для ферм

(gMSA)• Поддержка работы Kerberos

Constrained Delegation между доменами и лесами

• Подмена кодов ошибок для Kerberos стала еще более сложной

• Графических интерфейс Active Directory для:

• поддержки функций Recycle Bin и Fine Grained Password Policies

• Просмотр команд Windows PowerShell для всех действий в Administrative Center

• Новые «командлеты» для управления репликацией и топологией Active Directory в Windows PowerShell Cmdlets

• В ранних версиях…• Managed Service Accounts работали

только на одном сервере• Kerberos Constrained Delegation (KCD)

работает только в рамках одного домена

• В рамках Kerberos можно подменить коды ошибок

• Нет графического интерфейса в Active Directory Administrative Center для Recycle Bin и Fine Grained Password Policies

• Скрипты PowerShell необходимо писать с нуля

• Целый «ворох» различных графических утилит и утилит командной строки для управления репликацией и топологией

В завершенииупрощенное развертывание

• Windows Server 2012• Целостность при виртуализации• Упрощенное развертывание

• Единый и удобный механизм развертывания

• Все операции по развертыванию могут выполняться удаленно, выбирая корректные FSMO-роли

• Проверка ввода и проверки окружения уменьшают число ошибок

• Полная поддержка автоматизации установки и настройки через Windows PowerShell

• Быстрая установка КД используя клонирование

• Интеграция установки ADFS

• В ранних версиях…• Использование копирование и

снапшотов приводило к нарушению репликации AD

• Подготовка к обновлению Active Directory была сложной и состояла из многих шагов

• Для завершения промоушена КД нужно было выполнить много действий

• Установка и настройкиа сервисов ADDS была интерактивной, локальной и не поддерживала удаленные операции

• Было сложно писать скрипты

Устройство Windows Server 2012 Dynamic Access Control14:00 – 15:00 зеленый зал

Сводная таблица требований

Установив это… ... вам станет доступно.

+ Первый член домена Windows Server 2012 (или установленный RSAT на Windows 8)

• Новый Active Directory Administrative Center• Windows PowerShell History Viewer• Графический интерфейс к Recycle Bin и FGPP

• Возможности использовать File Classification Infrastructure и частично DAC

• Активация через Active Directory• Требуется расширение схемы Windows Server 2012

• Active Directory Replication & Topology Cmdlets• AD FS (v2.1)

+ Первый контроллер домена на базе Windows Server 2012

• Упрощенное развертывание и подготовка• Политики Dynamic Access Control

• Kerberos Claims в AD FS (v2.1)• Kerberos Constrained Delegation через границу леса• Group Managed Service Accounts• Целостность при виртуализации КД Windows Server 2012

• Требует гипервизор с поддержкой VM-Gen-ID

+ Windows Server 2012 КД выполняет FSMO-роль PDC-E • Клонирование контроллеров домена• Требует гипервизор с поддержкой VM-Gen-ID

Заповни АнкетуВиграй Приз

http://anketa.msswit.in.ua

Вопросы и контактная информация

• Константин Леонтьев• Архитектор• [email protected]• ru.linkedin.com/in/kleontiv

http://ru.linkedin.com/in/kleontiv

http://ru.linkedin.com/in/kleontiv

Что нового в Windows Server 2012 Active Directory Domain Services

Documents

Transcript of Что нового в Windows Server 2012 Active Directory Domain Services