Active Directory Domain Services und DNS in Windows Server 2008

Ulf B. Simon-WeidnerSenior Consultant, Computacenter

MVP für Windows Server – Directory Serviceswww.msmvps.com/ulfbsimonweidner

1

Neue Begrifflichkeiten

Active DirectoryActive Directory Domain

Services

Active Directory Application Mode

Active Directory Leightweight Domain Services

Active Directory Federation Services

Active Directory Federation Services

Rights Management Services

Active Directory Rights Management Services

Certificate ServicesActive Directory

Certificate Services

2

Active Directory Neuerungen:Installation

Servermanager:• Installation der Active Directory Produkte als Rollen• Überwachung der Standarddienste für Active Directory

Domänenkontroller Installations Assistent (DCPromo):• Implementieren von Best Practices bei der Standardinstallation• Einrichten von DNS-Weiterleitungen und –Delegationen• Aktivieren des Globalen Katalogservers• Installation von Read-Only-Domänenkontrollern (wenn gewollt in

zwei Stufen)• Erstellen von Unattended-Dateien• Installation über Kommandozeile möglich

3

Active Directory: Benutzeroberfläche

• Bessere Integration der Konsolen

• Attribute Editor

• LDP

• Server Manager

– Überwachung der Rolle

– Administration der Rolle

– Performance Analyzer

4

Read-Only-Domänenkontroller

Herausforderung:• Sicherheit in verteilten Infrastrukturen (ungesicherter Domänenkontroller)

Lösung: Read-Only-Domänenkontroller• AD-DS, DNS und GC für Filialbüros• Akzeptiert keine Änderungen (write-referral)• "Cached Secrets" werden nur repliziert, wenn

sie in der "Allow-Liste" sind• Administratorenkonten sind standard-

mäßig in der "Deny-Liste", deren Passwörter werden nicht auf den RODCs gecached

• RO-PAS: Attribute können von derReplikation auf RODCs ausgenommen werden

5

Read-Only-Domänenkontroller

Erläuterungen

• DNS-Updates

• Mehrere Domänen

• Mehrere RODCs in einem Standort

• Exchange

6

Wartung des Active Directory

Bisher:

• Directory Services Restore Modus für viele Wartungsaufgaben notwendig

Neu:

• Active Directory lässt sich stoppen, bestimmte Wartungsaufgaben wie Offline-Defragmentierung können in diesem Modus durchgeführt werden

• Vorteil: Weniger "Downtime", besser per Script ausführbar

Achtung:

• DSRM-Administrator kann sich nicht bei gestopptem DS anmelden, aber:HKLM\system\currentcontrolset\Control\Lsa

DsrmAdminLogonBehavior: REG_DWORD

0: DSRM-Admin kann sich nur im DSRM anmelden (Standardeinstellung)

1: DSRM-Admin kann sich im DSRM und wenn NTDS gestoppt ist anmelden

2: DSRM-Admin kann sich jederzeit anmelden

7

Fine Grained Password Policies

Passwort Einstellungen

• Bisher: eine Passwort-Richtlinie pro Domäne

• Neu: Passwort- und Kontosperrung können beliebig definiert werden– Werden Gruppen oder Benutzerkonten zugeordnet

– "Precedence" bestimmt im Konfliktfall welche Einstellung angewendet wird

• Voraussetzung: Domäne im Windows Server 2008-Modus (alle DCs der Domäne auf Windows Server 2008)

Wie:Password Settings Object in cn=Password Settings, cn=System, dc=... erstellen, dann mit Gruppe (oder Benutzer) verlinken

8

Fine Grained Password Policies

Erläuterungen

• GUI / Tools

• Warum auf Gruppen/User statt Ous?

• Warum nicht über GPO verwaltet?

9

Active Directory Snapshots

Active Directory-Snapshots• Snapshot kann online erstellt werden• Snapshot hält aktuellen Stand des AD komplett fest• Snapshot / Backup kann jederzeit als zusätzliches LDAP-

Verzeichnis gestartet werden• Online Zugriff mittels LDAP-Browser/ScriptsMehrwert:• Active Directory-Recovery (Objekte / Attribute)• Identifizieren des richtigen AD-Backups

10

Kundenszenario:Präventive Maßnamen AD-Recovery

• Lokales Backup / Versionierung auf Fileserver / Band

– Schneller Restore der "gestrigen" Daten

– Restore der letzten Tagesversionen über Netzwerk

– Install from Media

• Active Directory-Recoverysite

– Online-Recovery

– Domain- / Forest-Recovery

• Active Directory-Snapshots

– Object-Recovery / Tombstone Reanimation

– Attribute Recovery

11

12

Active Directory-Snapshots

1. Erstellen des SnapshotNtdsutil Snapshot Create

2. Mounten des SnapshotNtdsutil Snapshot Mount {GUID}

3. Snapshot per LDAP zur Verfügung stellenDsamain –dbpath c:\$snap...\ntds.dit –ldapport 10000

4. Ansehen / Scripten:Dsquery –S localhost:1000 ...

13

Geschützte Objekte

Geschützte Objekte

• Objekte können vor versehentlichem Löschen / Verschieben geschützt werden

• Standard bei OUs die mit Active Directory-Benutzer und –Computer von WS2k8 erstellt werden

• Entspricht :Deny Everyone to DeleteDeny Everyone to Delete Subtree

14

Überwachungsrichtlinien fürActive Directory

• Eigene Ansichten des Eventlogs möglich

• Weiterleiten und zentrales Sammeln von bestimmten Ereignissen

• Aufgaben können durch Events ausgelöst werden

• Mehr Details in Audit-Logs

– Z.B. Attributänderungen

auditpol /get /category:“DS Access“

auditpol /set /subcategory:“Directory Service Changes“

15

DNS Neuerungen

• IPv6• Starten von DNS• Support von RODCs• Timestamps in GUI• DNAME-Support: Alias für

Namensräume• Bedingte Weiterleitungen

werden in der GUI unterstütztBisher: dnscmd /ZoneAdd myexample.net /DsForwarder 10.1.2.4 /DP /forest

16

DNS Neuerungen

17

GlobalNames-Zone

• Kein WINS mehr?

• Wird in DNS erstellt

• Muss auf Windows Server 2008 liegen

• Antwortet Kurznamen auf alle ZonenanfragenDnscmd /config /EnableGlobalnamesSupport

Multidomain:

• Repliziert in AD auf möglichst alle Server

• SRV-Record in _msdcs möglich

18

Quickwins

• Active Directory Notfallplanung

– Active Directory Snapshots

– Protected Objects (Objekte vorm löschen schützen)

• Einsatz von Longhorn Server in Niederlassungen

– Read only DC

• Fine Grained Password Policy

• Active Directory Attribute Editor

• Active Directory Management (dcpromo, aduc)

• DNS Management (conditional forwarder, dnsmgmt)

• Active Directory Auditing

19

Ressourcen

• Mein Blog (Directory Services – Active Directory):www.msmvps.com/UlfBSimonWeidner

• Windows Server 2008www.microsoft.com/windowsserver2008

• Windows Server 2008 TechCenterwww.microsoft.com/technet/windowsserver2008

• Fine Grained Password Policies:Psomgr: www.joeware.net

MMC: http://blogs.chrisse.se/blogs/chrisse/archive/2007/07/14/fine-grain-password-policy-tool-beta-1-is-ready.aspx

PowerGUI: http://dmitrysotnikov.wordpress.com/2007/06/19/free-ui-console-for-fine-grained-password-policies/

• Konferenzen:– TechEd:IT-Forum Barcelona (November)

– Windows Server 2008 Launchevent Frankfurt (Februar)

– Directory Experts Conference USA Chicago (April)

20