NOVITÀ DI ACTIVE DIRECTORY

IN WINDOWS SERVER 2012 E

MIGRAZIONE

Ermanno GolettoMVP - MCITP - MCSA

e.goletto@sysadmin.it

MVP - MCITP - MCSDT

m.serra@sysadmin.it

Mario Serra

Agenda

• Active Directory Recycle Bin

• Interfaccia per Fine-Grained Password Policy

• Active Directory PowerShell enhancements

• Virtualization-safe technology: Domain

Controller Cloning

• Dynamic Access Control

• Scenari di migrazione

ACTIVE DIRECTORY

RECYCLEBINNovità di Active Directory in Windows Server 2012 e migrazione

Situazione in WS2003 e WS2008

Strumenti Limitazioni

Ripristino autorevole(tramite NTDSUTIL)

Downtime del DCRischio d’inconsistenza a causa di modifiche intercorse dopo il backup

Recupero di oggetti contrassegnati per la rimozione o Tumbstoned(tramite LDP o ADRestore)

Non è possibile ripristinare gli attributi con valori di collegamento degli oggetti recuperatiAccount utente non riottengono le appartenenze ai gruppi e i diritti di accesso

Opzione Proteggi oggetto da eliminazioni accidentali(Deny delete per Everyone)

Disponibile nella GUI di WS2008In WS2003 abilitabile via DSACLS

Ciclo di vita oggetti senza AD Recycle Bin

Tumbstoned

• Oggetto eliminato a livello logico e spostato nel contenitoreCN=Deleted Objects (modifica del DN dell’oggetto)

• Perde gli attributi di collegamento e la maggior parte degli attributi(tranne quelli con searchFlags = 0x8 nello schema)

• Durata = attributo di foresta tombstoneLifetime (per default 180 giorni)

WS2003/WS2008 oppure

AD Recycle Bin disabilitato

Active Directory Recycle Bin

FUNZIONALITÀ

• Ripristino degli oggetti

nello stesso stato logico

coerente in cui si trovavano

• Account utente riottengono

appartenenze ai gruppi e i

diritti di accesso all'interno

del dominio e tra domini

REQUISITI

• Richiede livello funzionale

foresta WS2008 R2 o

superiore

• Tutti i DC nella foresta

devono essere WS2008R2

• Disattivato per default e

irreversibile

Introdotto in WS2008 R2

Ciclo di vita oggetti con AD Recycle Bin

Deleted object (Eliminato)

•Attributo isDeleted a True (attributo presente su tutti gli oggetti introdotto con WS2000)

•Eliminato a livello logico e spostato nel contenitore CN=Deleted Objects(modifica del DN dell’oggetto)

•Mantiene tutti attributi, compresi quelli di collegamento

•Durata = attributo di foresta msDS-deletedObjectLifetime (per default a nullovvero uguale a tombstoneLifetime)

Recycled object (Riciclato)

•Attributo isRecycled a True (attributo presente su tutti gli oggetti introdotto con WS2008 R2)

•Perde gli attributi di collegamento e la maggior parte degli attributi (tranne quelli con searchFlags = 0x8 nello schema)

•Durata = attributo di foresta tombstoneLifetime (per default a null ovvero 180 giorni)

AD Recycle Bin: Considerazioni

• Maggiore capacità di conservazione e recupero• Eliminazione fisica 360 giorni (default)

• I Recycled Object sono recuperabili sono con RestoreAutoritativo• Validità backup AD è il valore minore tra tombstoneLifetime e

msDS-deleteObjectLifetime

• Default 180 giorni

• All’attivazione i Tombstoned objects diventano Recycledobjects non visibili nel container Deleted Objects, ma non recuperabili tramite AD Recycle BinPer recuperarli occorre un restore autoritativo da un backup precedente all’attivazione

• Non è disattivabile

Attivazione AD Recycle Bin

• Raise livello funzionale foresta a 2008R2 o

superiore

• Abilitazione Recycle Bin sul forest root domain

• E’ possibile eseguire raise e abilitazione tramite

il Centro di amministrazione di Active Directory

• Valutare abilitazione GPO audit delete su AD¹

¹Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies - Local Group Policy\DS Access\Audit Directory Service Changes

Attivazione AD Recycle Bin via PowerShell

#Raise livello funzionale foresta

Set-ADForestMode –Identity contoso.com -

ForestMode Windows2008R2Forest

#Abilitazione AD Recycle Bin

Enable-ADOptionalFeature –Identity

‘CN=Recycle Bin Feature,CN=Optional

Features,CN=Directory Service,CN=Windows

NT,CN=Services,CN=Configuration,

DC=contoso,DC=com’

–Scope ForestOrConfigurationSet

–Target ‘contoso.com’

Modifica Deleted e Recycled object lifetime

#Impostazione msDS-DeletedObjectLifetime

Set-ADObject -Identity “CN=Directory Service,CN=Windows

NT,CN=Services,CN=Configuration,DC=contoso,DC=com”

–Partition “CN=Configuration,DC=contoso,DC=com”

–Replace:@{“msDS-DeletedObjectLifetime” = 365}

#Impostazione tombstoneLifetime

Set-ADObject -Identity “CN=Directory Service,CN=Windows

NT,CN=Services,CN=Configuration,DC=contoso,DC=com”

–Partition “CN=Configuration,DC=contoso,DC=com”

–Replace:@{“tombstoneLifetime” = 365}

Restore via PowerShell

#Restore singolo oggetto

Get-ADObject -Filter {sAMAccountName -eq “m.rossi"}

-IncludeDeletedObjects | Restore-ADObject

#Restore elenco oggetti

Get-ADObject –Filter 'Name –Like "*test*"' –

IncludeDeletedObjects | Restore-ADObject

#Restore elenco oggetti in posizione diversa

Get-ADObject –Filter 'Name –Like "*test*"' –

IncludeDeletedObjects | Restore-ADObject –TargetPath

"OU=OU1,DC=contoso,DC=com"

Novità in WS 2012Restore tramite

l’interfaccia utente di ADAC

(dsac.exe)

Nel Centro di amministrazione di

Active Directory è stato aggiunto

il nodo Deleted Objects

E’ possibile eseguire il ripristino

di un oggetto tramite Restore o

tramite Restore To per il

ripristino in posizione diversa

dall’originale

DEMO

FINE-GRAINED

PASSWORD POLICYNovità di Active Directory in Windows Server 2012 e migrazione

Situazione in WS2000 e WS2003

• La Default Domain Policy definisce le password policies di default

• E’ possibile avere una sola password policy per l’intero dominio, non è possibile avere password policy diverse per OU

• Le impostazioni della password policy non possono essere estese a meno di non utilizzare tool di terze parti

• La password policy del Root Domain non viene ereditata dai Child Domains (sono due password policy scorrelate)

Situazione in WS 2008

• Introdotte le FGPP tramite due nuove classi di oggetti¹• Password Settings Container

• Password Settings Objects

• E’ richiesto livello funzionale di domino WS 2008

• Password/Account lockout policies diverse per Gruppi di protezione Globali o Utenti (o oggetti inetOrgPerson se usati al posto degli oggetti utente)

• Per applicazione alle OU occorre usare gruppo shadow(gruppo protezione globale mappato su una OU)

• L’impostazione richiede la modifica del DB di AD mediante ADSI Edit o ldifde²

¹http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx²http://technet.microsoft.com/it-it/library/cc825610 - http://technet.microsoft.com/it-IT/library/cc770842.aspx

Situazione in WS 2008 R2

#Raise livello funzionale di dominio a WS2008

Set-ADDomainMode -Identity contoso.com -DomainMode 3

#Creazione FGPP e associazione

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -

LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -

LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00"

-MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -

ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true

Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

#Visualizzazione FGPP

Get-ADUserResultantPasswordPolicy test1

#Modifica FGPP:

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

#Eliminazione FGPP:

Set-ADFineGrainedPasswordPolicy –Identity TestPswd –

ProtectedFromAccidentalDeletion $False

Remove-ADFineGrainedPasswordPolicy TestPswd –Confirm

Gestione FGPP via

PowerShell

Novità FGPP in WS2012

Creazione e gestione delle FGPP tramite

ADAC (dsac.exe)

Creazione FGPP

Le FPGP con precedenza più

bassa hanno priorità su quelle

con precedenza più alta

Gruppi di protezione

globali o utenti a cui

viene applicata la FGPP

Impostazione FGPP

Verifica FGPP su Utente

Se non vi sono FGPP assegnate

FGPP risultante, nel caso di più FGPP viene applicata

quella a precedenza inferiore

DEMO

ACTIVE DIRECTORY

POWERSHELL

ENHANCEMENTSNovità di Active Directory in Windows Server 2012 e migrazione

Situazione in Windows 2008 R2

Modulo AD per Windows PowerShell

(*) http://technet.microsoft.com/en-us/library/ee617195.aspx

Novità in WS2012

In ADAC è stata aggiunta la sezione

Windows PowerShell History Viewer

dove vengono visualizzati i comandi

PowerShell corrispondenti ai task

eseguiti

Elenco cmdles: http://technet.microsoft.com/en-us/library/hh852274.aspx

135 Cmdletper gestire

AD DS

Cmdlets per Replica e Topologia

• Estensione modulo AD con 25 cmdlets per gestione Replica e Topologia

• Precedentemente gestione tramite repadmin, ntdsutil e AD Site and Services con difficoltà di automazione

#Informazioni sui siti

Get-ADReplicationSite -Filter *

#Stato replica

Get-ADReplicationUpToDatenessVectorTable dc1.dom.com

#Metadati di replica (repadmin.exe /showobjmeta)

Get-ADReplicationAttributeMetadata -object "cn=domain

admins,cn=users,dc=corp,dc=contoso,dc=com" -server

dc1.dom.com

http://technet.microsoft.com/en-us/library/hh831757.aspx http://technet.microsoft.com/en-us/library/jj574083.aspx

Esempio automazione via PowerShell#Rename the computer

Rename-Computer SrvDC01

#Configurazione IPv4 statico e Gateway

New-NetIPAddress -IPAddress 10.0.0.2 -InterfaceAlias "Ethernet" -DefaultGateway 10.0.0.1 -

AddressFamily IPv4 -PrefixLength 24

#Impostazione server DNS

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.10.10.1

#Join computer a dominio e riavvio

Add-Computer -DomainName corp.contoso.com

Restart-Computer

#Installazione AD DS e DNS e creazione nuovo dominio in una nova foresta

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Install-ADDSForest -DomainName corp.contoso.com

#Creazione DNS Reverse Lookup Zone

Add-DnsServerPrimaryZone 0.0.10.in-addr.arpa -ZoneFile 0.0.10.in-addr.arpa.dns

#Creazione nuovo account utente

New-ADUser -SamAccountName User1 -AccountPassword (read-host "Set user password" -assecurestring) -

name "User1" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false

#Assegnazione Group membership ad un utente

Add-ADPrincipalGroupMembership -Identity "CN=User1,CN=Users,DC=corp,DC=contoso,DC=com" -MemberOf

"CN=Enterprise Admins,CN=Users,DC=corp,DC=contoso,DC=com","CN=Domain

Admins,CN=Users,DC=corp,DC=contoso,DC=com"

DEMO

VIRTUALIZATION-SAFE

TECHNOLOGY: DOMAIN

CONTROLLER CLONINGNovità di Active Directory in Windows Server 2012 e migrazione

Replica e DC virtuali

• Snapshot di DC non supportato in WS2008R2 e precedenti

• L’applicazione di SnapShot può causare problemi alla replica dovuti allo shift

temporale dal momento che la replica è gestita tramite l’USN e l’InvocationID

Update Sequence NumberIncrementato ad ogni modifica del DB di directory persincronizzare la replica tra DC

InvocationIDGUID memorizzato nell’attributo objectGUID dell’oggetto:cn=NTDS Settings,cn=ServerName,cn=Servers, cn=SiteName,cn=Sites, cn=Configuration,dc=ForestRootDomainCambia solo se viene eseguito il restore del system state o se viene aggiunta o rimossa una partizione applicativa(repadmin /showrepl)

Up-to-dateness vectorMemorizza gli aggiornamenti ricevuti, viene offerto al DC sorgente perché invii solo gli attributi necessari

High water mark (o direct up-to-dateness vector) memorizza gli aggiornamenti più recenti ricevuti da un DC per una partizione, impedisce che il DC origine invii modifiche già registrate sul DC destinazione

Rappresenta la versione del DB di directory a cui Up-to-dateness vector e High water mark fanno riferimento

Rollback USN non rilevato

USN=20IID=A

DC1(A)@USN=20

DC1(A)@USN=30

CopiaVHD

USN=30IID=A

ModificheAD

USN=20IID=A

USN=40IID=A

ModificheAD

DC1(A)@USN=40

La replica

sincronizza su

DC2 le gli USN

tra 20 e 30

USN DC1 > USN DC2 quindi non

viene rilevato il Rollback USN

La replica sincronizza su DC2

solo gli USN tra 30 e 40

Gli oggetti con USN tra 20 e 30

non corrispondono sui due DC

I RODC hanno copie RO delle partizioni AD e non replicano le modifiche ad altri DC.

Non generano Rollback USN, ma possono subirli da altri DC

Read Only DC

RipristinoCopia VHD

DC1

DC2

DC Safe virtualization

• I DC WS2012 sono in grado di rilevare quando:• Viene applicata una Snapshot

• Viene copiata una VM

• La rilevazione utilizza un VM-generation identifier(VM-generation ID) • VM-generation ID viene modificato quando vengono

utilizzate features come gli Snapshots

• Gli snapshots non sono supportati come alternativa al backup dei DC virtuali• Utilizzare Windows Server Backup

• Una soluzione di backup VSS-writer-based

VM-generation identifier

• ID univoco di 128 bit fornito dall’Hypervisor (tramite il VM BIOS) utilizzabile dal guest OS e applicazioni tramite un driver nella VM• Modificato quando la VM usa un file di configurazione diverso

(import VM, applicazione Snapshot , restore backup, failover replica target)

• Supportato da Hyper-V v3 in WS2012

• Anche Vmware e Citrix lo supporteranno

• Durante l’installazione di un DC il VM GenerationID viene memorizzato nell’AD DB locale (DIT) tramite l’attributo msDS-GenerationID dell’oggetto computer del DC WS2012

• msDS-GenerationID non viene replicato

http://www.microsoft.com/en-us/download/details.aspx?id=30707

Utilizzo VM-generation ID

Restore VM Snaphot

msDS-GenerationIDVM Generation ID

- Reset dell’InvocationID

- Svuotamento RID pool

Evitariutilizzo

USN

Reboot VM

- Aggiornamento del DIT con nuovo valore delVM-generation ID

- Sincronizzazione non autoritativa SYSVOL

I DC che detengono ruoli FSMO ritardanol’esecuzione delle funzionalità FSMO sino a quando il ciclo di replica non viene completato

Warning2170

Directory Services Log

Information 13516

File Replication Services Log

Confrontocon esitonegativo

Evita roolbackUSN al reboot di snapshoot di VM

arrestateInformation

4604File Replication Services Log

Clone VM DC

PRE WS2012

• Copia VHD con SYSPREP OS

• Promozione del server a DC

• Attesa replica AD DB (DIT) nel

caso di DC aggiuntivo

• Nel caso di disaster recovery

del primo DC applicazione

dell’ultimo backup del server

WS 2012

• Clone di soli VM DC WS 2012

• Il PDC emulator deve essere

un DC WS2012

• L’uso di DC WS2012 richiede:

• Schema AD ver. >=56 (WS2012)

• Livello funzionale foresta

WS2003 Native o superiore

• Non è possibile eseguire il

cloning del DC PDC Emulator

• Installare i primi due DC e distribuire i ruoli FSMO tra loro

• Installare un terzo DC virtuale senza ruoli FSMO da utilizzare come master per il processo di cloning

Best practies per il clone di VM DC 2012

Creazione VM DC master

1. Installazione VM DC con WS2012 su Hyper-V v3 (o Hypervisor con supporto a VM-Generation ID)

2. Autorizzare il DC ad essere utilizzato come sorgente per il processo di cloning aggiungendo il suo oggetto computer al nuovo gruppo Clonable Domain Controllers

3. Verificare la compatibilità dei servizi in esecuzione sul DC col processo di cloning tramite il cmdlet PowerShellGet-ADDCCloningExecutedApplicationList

4. Configurare il DC tramite il cmdlet PowerShellNew-ADDCCloneConfigFile (IP, Site, Name)• Crea il file DCCloneConfig.xml nella directory dell’NTDS.DIT

• File d’esempio in %windir%\System32\Sample DCCloneConfig.xml

5. Shutdown VM, Export VM e copia dell’esportazionehttp://blogs.technet.com/b/keithmayer/archive/2012/08/06/safely-cloning-an-active-directory-domain-controller-with-windows-server-2012-step-by-step-ws2012-hyperv-itpro-vmware.aspx

Deploy VM DC clone

1. Import della VM e generazione nuovo VM-Generation IDImport-VM –Path «…» -Copy –GenerateNewId

2. Rename della VM e avvio VM

3. Controllo che il DC è un clone verificando:• VM-Generation ID diverso da msDS-GenerationID

• File DCCloneConfig.xml in una delle seguenti posizioni: Directory del file NTDS.DIT

%windir%\NTDS

Root di un media drive removibile

4. Avvio processo cloning mediante provisioning come DC replica con le impostazioni in DCCloneConfig.xml

5. Richiesta al WS2012 PDC emulator di un nuovo machine identity, nuovo SID, nome, password

http://blogs.technet.com/b/keithmayer/archive/2012/08/06/safely-cloning-an-active-directory-domain-controller-with-windows-server-2012-step-by-step-ws2012-hyperv-itpro-vmware.aspx

Cloning Flow: Boot VM DC

Cloning Flow: Provisioning VM DC Replica

DYNAMIC ACCESS

CONTROLNovità di Active Directory in Windows Server 2012 e migrazione

Accesso file server pre WS2012

• Accesso basato sul SID dell’utente e sull’elenco dei SID

dei gruppi di appartenenza determinato al logon

• Sistema di autorizzazione basato su ACL

(Share permissions e NTFS permissions)

• La gestione permissions basata

su gruppi (in certi casi onerosa)A-GG-DLG-P

Share Permissions

NTFS Permissions

Access

Control

Decision

Kerberos flow pre WS2012

Pre-2012

Token

User Account

User Groups

[other stuff]

Dynamic Access Control

CARATTERISTICHE

• Soluzione Claim-Based Access Control

• Claim basati su attributi utente e/o del device in AD¹

• Utilizzo delle informazioni di classificazione dei file

• Central Access Policies per la definizione di granulare delle condizioni di accesso

• Distribuzione CAP ai file server via GPO

• Gestibile tramite PowerShell

REQUISITI

• Uno o più Domain controller

WS2012

• File server WS2012

• Windows 8 per usare le

Device Claim in quanto è

richiesto il supporto al

Kerberos Armoring (FAST)

• Per usare Access Denied

Remedation occorre SMB 3.0

e quindi client W8 o WS2012

Novità in WS2012

¹Claim sono memorizzati nel Ticket Kerberos con il SID dell’utente e delle group memberships

Novità nell’autenticazione

• Flexible Authentication Secure Tunneling (FAST) RFC6113• Fornisce un canale protetto tra client e KDC per lo scambio di Authentication

Service (AS) e Ticket-Granting Service (TGS)

• Protegge i dati di pre-autenticazione utente che sono vulnerabili ad attacchi a dizionario quando generati da una password

• Protegge le autenticazioni utente Kerberos dallo spoofing di errori KDC Kerberosper il downgrade a NTLM o a una crittografia più vulnerabile

• Kerberos armoring• Implementazione di FAST in WS2012

• Usa un TGT del device per proteggere lo scambio di AS col KDC (lo scambio AS del computer non è blindato), in seguito il TGT dell'utente è utilizzato per proteggerne gli scambi TGS con il KDC

• Richiede DC WS2012

• Compound authentication• Estensione della FAST per consentire a KDC WS2012 di creare TGS con dati di

autorizzazione dispositivo per i servizi W8 che sfruttano tali dati

• Richiede DC WS2012 e client W8

Expression-based access policy

User claims

User.Department = Finance

User.Clearance = High

ACCESS POLICY

Per accedere a file riservati del dipartimento Finance un utente deve:

Appartenere al dipartimento Finance

Avere autorizzazione Hight

Accedere da un device del dipartimento Finance

Device claims

Device.Department = Finance

Device.Managed = True

Resource properties

Resource.Department = Finance

Resource.Impact = High

ClientW8

FileServer

WS2012

DCWS2012

Attributi AD Attributi AD Attributi Classificazione

Controllo d’accessoShare Permissions

NTFS Permissions

Central Access Policy

Access

Control

Decision

File/Folder

Security Descriptor

Central Access Policy Reference

NTFS Permissions

Access Control Decision:1) Access Check – Share permissions if applicable2) Access Check – File permissions3) Access Check – Every matching Central Access Rule

in Central Access Policy

Share

Security Descriptor

Share Permissions

Active Directory

(cached in local Registry)

Cached Central Access Policy

Definition

Cached Central Access Rule

Cached Central Access Rule

Cached Central Access Rule

Kerberos flow con client Pre-W8

2012 Token

User Account

User Group

s

Claims

Device Group

s

[other stuff]

Gestionedelle sole

User Claims

Kerberos flow con Compound Identity

2012 Token

User Account

User Group

s

Claims

Device Group

s

Claims

[other stuff]

Gestionedelle User Claims& Device Claims

Configurazione delle Claims

Central Access policy

Claim Types

Classificazione utenti

• Department

• Country

Resource Property List

Aggiunta a ResourceProperty List

• Global Resource Property List

Resources Properties

Classificazione dei file

• Department_MS

• Country (US, JP)

Condizioni per accesso al file

Target Resources

• Exists Department AND Exists Country

Permissions

• Use following permissions as current, Principal: Authenticated - Full Control

• User Departement=Resource Departement AND User Country=Resource Country

Central Access Rule Gruppo di rule che verranno applicate ai file

Abilita DAC

L’impostazione di default

crea solo audit log entries

Configurazione su DC 2012 tramite Active Directory Administrative Center

Deploy Central Access Policy

• Creazione GPO di dominio per i File Server

• Computer Configuration/Policies/Windows

Settings/SecuritySettings/File System/Central Access

Policies

Group Policy

Object

La GPO pubblica la CAP,

tramite più GPO è possibile

pubblicare più CAP

Nella security della GPO rimuovere

Authenticated Users e inserire solo i

file server interessati

CentralAccessPolicy

Configurazione su DC 2012 tramite Group Policy Object

Abilitazione Kerberos Armoring

Computer Configuration/Policies/Administrative

Templates/System/KDC/KDC Support for claims, compound

authentication and Kerberos armoring

Computer Configuration/Policies/Administrative

Templates/System/Kerberos/Kerberos client support for claims,

compound authentication and Kerberos armoring

Configurazione su DC 2012 tramite Group Policy Object

KDC Support for claims, compound

authentication and Kerberos armoring

• Not supported (default)• Claims non disponibile

• Compound authentication non supportata

• Kerberos armoring non supportata

• Supported• Claims disponibile su richiesta

• Compound authentication su richiesta se la risorsa lo supporta

• Kerberos armoring supportata

• Always provide claims• Claims sempre disponibili

• Compound authentication su richiesta se la risorsa lo supporta

• Kerberos armoring supportata e Flexible Authentication via Secure Tunneling (RFC FAST) supportata

• Fail unarmored authentication requests• Claims sempre disponibili

• Compound authentication su richiesta se la risorsa lo supporta

• Rifiuto dei messaggi Kerberos unarmored e Flexible Authentication via Secure Tunneling (RFC FAST) supportata

Richiede DC 2012 per servire le richieste client

Il dominio non deve avere DC2003

Richiede livello funzionale dominio WS2012

Richiede livello funzionale dominio WS2012 e

compatibilità con FAST dei dispositivi (W8)

http://gps.cloudapp.net

Computer Configuration/Policies/Administrative Templates/System/KDC

GPO applicata

ai DC 2012

Deploy File server

• Modifica Proprietà della Folder

• Tab Classification

• Visualizza le Resource Properties definite

• Update-FSRMClassificationPropertyDefinition per forzare l’update delle classificazioni

• Impostazione delle Resource

• Security Tab – Advanced

• Central Policy selezionare la CAP

• Effective Access Tab

• Verifica degli accessi in base NTFS Rules e Central Policy

Resources Properties

Department=Finance

Country = US

Central Access Policy

Configurazione File Server WS 2012 tramite File and Storage Services

SCENARI DI MIGRAZIONENovità di Active Directory in Windows Server 2012 e migrazione

Novità deploy e upgrade

DEPLOY NUOVO DC

• Tutti gli step in un’unica GUI

• Dcpromo dismesso

• Utilizzabile con answer file

• Utilizzabile per demote

• Processo di installazione

basato su PowerShell

• Esecuzione su server multipli

• Deploy remoto di DC

• Wizard di esportazione script

per installazione con le opzioni

specificate nella GUI

UPGRADE DI AD

• Integrazione di Adprep.exe

nel processo di installazione

• Può ancora essere eseguito

da command line

• Reperibile in

media\support\adprep

• Non esiste una versione a 32

bit di Adprep in WS2012

• Validazione dei prerequisiti

• Gli RSAT per WS2012 richiedono W8

• Per eseguire VM WS2012 su HV WS2008R2 occorre la KB2525776

Deploy DC WS2012

• Prerequisiti per deploy di DC 2012

• Livello funzionale foresta Windows Server 2003 o superiore

• Privilegi Enterprise Admin, Schema Admin e Domain Admins

• La promozione a DC di un WS2012 esegue retryindefiniti

• In questo modo tolleranza a problemi di rete

• Sarà l’Amministratore a decidere l’eventuale failure

• Installazione locale o remota tramite Server Manager

• Aggiunta features Active Directory Domain Services

• Avvio del Task Promote this server to a domain controller

• DNS e GPMC installati automaticamenteInst. nuova foresta: http://technet.microsoft.com/en-us/library/jj574166.aspx Upgrade DC a WS2012: http://technet.microsoft.com/en-us/library/hh994618.aspx

Upgrade in-place e AD WS2012

DC Upgrade in-place WS 2012 STD WS2012 DC

WS2008R2 STD

WS2008R2 ENT

WS2008R2 DC

WS2008 STD

WS2008 ENT

WS2008 DC

WS2003/WS2003R2

Domain functional level WS2012

• Dynamic Access Control administrative template policy

• Kerberos armoring KDC administrative template policy

Requisiti per l’upgrade in-place dei DC

• OS upgrade in-place path supportato

• Il drive che contiene il DB di AD (NTDS.DIT) deve avere almeno il 20% di spazio libero

Forest functional level WS2012

Non aggiunge nuove funzionalità

AD Schema version

13 Windows 2000

30 Windows 2003

31 Windows 2003 R2

44 Windows 2008

47 Windows 2008 R2

56 Windows 2012

Migrazione AD da WS2003

1. Join a dominio di un computer WS2012

2. Promozione a DC del computer WS2012

3. Spostamento ruoli FSMO sul DC WS2012

4. Rimozione DNS da DC WS2003

5. Rimozione ruolo Domain Controller sul DC WS2003

6. Pulizia eventuali record DNS relativi a DC WS2003

7. Configurazione replica DFS per la cartella SYSVOL

SYSVOL Replication Migration Guide: FRS to DFS Replication: http://technet.microsoft.com/it-it/library/dd640019(v=ws.10).aspx

DEMO

QUESTIONS&

ANSWERS

Links

• Torino Technologies Group www.torinotechnologiesgroup.it

• SysAdmin.itwww.sysadmin.it

• Windows Server 2012 Virtual Labshttp://technet.microsoft.com/en-

us/windowsserver/hh968267.aspx

Grazie.