Windows Server 2012

Novedades de Directorio Activo

Julin Blzquez Garca Director Tcnico Implantacin de Sistemas Sidertia Solutions jblazquez@sidertia.com

Agenda
Simplificado el proceso de instalacin Virtualizacin segura de controladores de dominio

Despliegue ms rpido
Cambios en la arquitectura de Active Directory Mejoras en la administracin

Despliegue Simplificado
Problemtica
Aadir a la replicacin DCs que ejecutan las versiones ms recientes de Windows Server ha demostrado ser:
Consumo de tiempo Propenso a errores complejo

En el pasado, los profesionales de IT eran obligados a:

Obtener la nueva versin de las herramientas ADPrep Iniciar sesin interactiva en DCs de cada dominio Ejecutar las herramientas de preparacin en la secuencia correcta y con los parmetros correctos Esperar a la convergencia de la replicacin entre cada paso

Despliegue Simplificado
Solucin
Integrar los pasos de preparacin dentro de proceso de promocin
Automatizar las pre-requisitos entre cada paso

Validar requisitos previos del entorno antes de comenzar la implementacin

Integracin con Server Manager

Construido bajo PowerShell

Asistente de configuracin cubre escenarios ms comunes de implementacin

Despliegue Simplificado
Requisitos
Windows Server 2012 El bosque nivel funcional Windows Server 2003 o superior

Agregar el primer DC Windows Server 2012 requiere privilegios de Administrador de Empresa y Esquema
El resto de DCs requiere solo privilegios de Administrador del Dominio

DEMO
Implementacin Controlador de Dominio

Virtualizacin Segura
Problemtica
Las operaciones ms comunes de virtualizacin como crear instantneas o copiar VMs/VHDs puede revertir el estado de un DC Virtual Introducir las burbujas USN conduce a un estado de divergente permanente causando:
Objetos persistentes Contraseas inconsistentes Valores de atributos incoherentes Errores de esquema si el maestro de es revertido

Tambin existe el riesgo de crear objetos con SIDs duplicados

Virtualizacin Segura
Solucin
DCs virtuales con Windows Server 2012 detectan cuando:
Se aplica una instantnea Una mquina virtual es copiada

Incluir un identificador de generacin (VM-generation ID) que cambia cuando se usan funciones de virtualizacin DCs virtuales con Windows Server 2012 rastrea el identificador de generacin para detectar cambios y proteger Active Directory
Descartar pila RID Reestablecer el invocationID Recuperar INITSYNC requisito de FSMOs

Virtualizacin Segura
Requisitos e Impacto
DCs con Windows Server 2012 en plataforma de hypervisor que soporten VM-Generation ID

USN rollback NOT detected: only 50 users converge across the two DCs All others are either on one or the other DC 100 security principals (users in this example) with RIDs 500-599 have conflicting SIDs

Despliegue Rpido
Problemtica
Implementar DCs virtuales secundarios es tan costoso como DCs fsicos
La virtualizacin ofrece capacidades para simplificar la implementacin El resultado de promover DCs adicionales en un dominio es una instancia idntica
Excluyendo nombre, direccin IP, etc.

La implementacin implica muchos pasos (posiblemente repetitivos)

Preparacin y despliegue de imagen servidor Syspreada Manualmente promocionar un DC usando:
En lnea: mucho tiempo dependiendo del tamao de base de datos IFM: preparacin de medio y la copia agregar tiempo y complejidad

Pasos posteriores a la implementacin son necesarios

Despliegue Rpido
Solucin: Clonar controlador de dominio
Crear replicas de DCs virtualizados mediante la clonacin
ej. Copiar el VHD a travs de operaciones de exportacin e importacin

Simplificar la interaccin y despliegue entre administradores de HyperVisor y Active Director

El clonado requiere privilegios de Administrador de Empresa o Dominio

Cambio de juego para la recuperacin frente a desastres

Un solo DC virtual Windows Server 2012 para recuperar rpidamente un busque entero DCs posteriores pueden implementarse rpidamente reduciendo el tiempo hasta su puesta en produccin

Este despliegue soporta implementaciones de nube privada, etc.

Despliegue Rpido
Flujo de Clonado

NTDS starts
Obtain current VM-GenID If different from value in DIT Reset InvocationID, discard RID pool DCCloneConfig.xml available? Dcpromo /fixclone Parse DCCloneConfig.xml Configure network settings Locate PDC IDL_DRSAddCloneDC Check authorization

Call _IDL_DRSAddCloneDC(name, site)

Save clone state (new name, password, site) Promote as replica (IFM) Run (specific) sysprep providers

Create new DC object by duplicating source DC objects (NTDSDSA, Server, Computer instances)
Generate new DC machine account and password

Reboot

Despliegue Rpido
Requisitos
DC Virtual Windows Server 2012 alojado sobre plataforma hypervisor con capacidad de VM-Generation-ID Maestro PDC debe ser Windows Server 2012 para autorizar operaciones de clonado El DC a clonar debe se autorizado para ello
Aadir el DC al grupo Cloneable Domain Controllers

DCCloneConfig.XML debe estar presente en el DC clonado en:

Directorio que contiene NTDS.DIT Directorio DIT por defecto (%windir%\NTDS) Medio extrable (USB, disquete virtual, etc.)

Los servicios ms comunes de los DCS soportan la clonacin (DNS, FRS, DFSR)
El resto de servicios o tareas programadas debe agregarse a una lista blanca Si el componente no est en la lista blanca, la clonacin fallar y el DC resultante arrancar en DSRM

DEMO
Desplegar Controlador de Dominio Virtual

Arquitectura Active Directory

Mejoras RID
Arreglado la perdida de RID durante la creacin de la cuenta de usuario y equipo Aumentar el registro de eventos, por ejemplo:
evento de registro cada vez que un grupo RID es invalidado en un DC ADVERTENCIA de consumo RID al 10% de espacio restante de RID global

Imponer limite y parada del RID Manager en el reparto de grupos RID

ELIMINAR asignacin de grupos RID al 90% de espacio global de RID

Desbloquear el bit 31 del espacio global RID (2.147.483.647)

Arquitectura Active Directory

Creacin de Indices Diferidos
Agregar ndices a los atributos existentes dio lugar a problemas de rendimiento de DCs
DCs recibieron actualizacin del esquema a travs de la replicacin 5 minutos ms tarde, los DCs actualizaban su cach del esquema
muchos / todos los DC ~ simultneamente comenzar a construir el ndice

Windows Server 2012 introduce nueva heurstica

18 se usa como base-cero Valor 1, los DCs Windows Server 2012 demoran la reconstruccin del ndice:
Reciba UpdateSchemaNow Sea reiniciado el DC

cualquier atributo que se encuentra en un estado de ndice diferido se registrarn en el registro de sucesos cada 24 horas

Arquitectura Active Directory

Mejoras Unin al Dominio en modo Offline
Unin al dominio en modo offline fue agregado en AD DS en Windows Server 2008 R2
Permite a cliente unirse a un dominio sin necesidad de conectividad con un controlador de dominio Pero el equipo cliente no poda ser preconfigurado para DirectAccess.

Windows Server 2012 AD DS proporciona las siguientes mejoras:

Se extiende para preconfigurar DirectAccess Certificados Directivas de grupo

Qu significa esto?
Un equipo puede ahora ser Unido a un dominio desde Internet, Si el dominio tiene habilitado DirectAccess El objeto binario de la mquina se realiza mediante un proceso offline bajo la responsabilidad del administrador

Requisitos
Controladores de dominio de Windows Server 2012

Papelera Reciclaje AD
Interfaz Grfica
Simplifica la recuperacin de objetos a travs del centro de administracin de Active Directory
Objetos eliminados se pueden recuperar ahora dentro de la interfaz grfica de usuario

Reduce considerablemente el tiempo de recuperacin Vista consistente y deteccin de objetos eliminados

Papelera Reciclaje AD
Requisitos
Nivel funcional de bosque Windows Server 2008 R2 Activar la caracterstica de Papelera de reciclaje

Windows Server 2012 Active Directory Administrative Center

Los objetos a recuperar deben estar dentro del Tiempo de Vida de los Objetos Borrados (DOL)
Por defecto 180 das

DEMO
Interfaz Grfica Papelera de Reciclaje

Activacin Basada en AD
Actualmente
Licenciamiento por Volumen para Windows/office requiere de servidores KMS requiere una capacitacin mnima
solucin llave en mano cubre ~ 90% de implementaciones complejidad por la falta de una consola de administracin grfica

requiere trfico RPC en la red que complica las cosas

no admite ningn tipo de autenticacin

CLUF prohbe a clientes KMS conectarse a redes externas Una simple conexin al servicio equivale a activado

Activacin Basada en AD
Windows Server 2012
Utilizar Active Directory para activar sus clientes
No hay mquinas adicionales requeridas No requiere RPC, utiliza exclusivamente LDAP incluidos los RODC

Requiere activacin inicial CSVLK (clave licencia de volumen especfico del cliente):
nico contacto con los servicios de activacin de Microsoft sobre Internet Escribir la clave utilizando la funcin de servidor de activacin de volumen o lnea de comandos. Repita el proceso de activacin para los bosques adicionales hasta 6 veces por defecto

Objeto de activacin en la particin de configuracin

representa la prueba de compra las mquinas pueden ser miembros de cualquier dominio del bosque

Todas las mquinas de Windows 8 se activarn automticamente

Activacin Basada en AD
Requisitos
Solamente Windows 8 o Windows Server 2012 Pueden coexistir KMS y Activacin AD
KMS necesario para sistemas operativos anteriores

Requiere Active Directory Schema basado en Windows Server 2012 No requiere Controladores de dominio Windows Server 2012

AD Windows PowerShell
Visor de Historico
permiten a los administradores ver los comandos de Windows PowerShell ejecutados reduce la curva de aprendizaje aumenta la confianza en secuencias de comandos aumenta an ms la capacidad de descubrimiento de Windows PowerShell

AD Windows PowerShell
Requisitos
Windows Server 2012 Active Directory Administrative Center Active Directory Web Service
Ejecutar en un controlador de dominio del dominio objetivo

Poltica Granular de Contraseas

Actualmente
Las polticas granulares de contrasea proporciona flexibilidad en los requisitos de cumplimiento de las contraseas Los administradores tenan que crear manualmente los objetos de configuracin de contraseas (PSO)
difcil asegurar que los valores definidos se comporten como se esperaba Mucho tiempo, pruebas y errores

Poltica Granular de Contraseas

Windows Server 2012
creacin, edicin y asignacin de PSOs ahora administrados por el centro de administracin de Active Directory simplifica la administracin de objetos de configuracin de contraseas

DEMO
Administracin de Poltica Granular de Contraseas

Flexible Authentication Secure Tunneling (FAST)

Problemtica ataques offline de diccionario contra inicios de sesin basados en contrasea preocupacin relativamente alrededor de la conocida falsificacin de Kerberos Los clientes pueden:
Caer a protocolos heredados menos seguros debilitar la fortaleza de las claves criptogrficas

Flexible Authentication Secure Tunneling (FAST)

Solucin
Kerberos en Windows Server 2012 soporta FAST
Definido en RFC 6113 A menudo denominado como el blindaje de Kerberos

Proporciona un canal protegido entre clients de dominio y DCs

Protege los datos de pre-autenticacin de los usuarios allows DCs to return authenticated Kerberos errors thereby protecting them from spoofing

permite DCs a devolver errores de Kerberos autenticados protegiendo de suplantacin de identidad una vez todos los clientes Kerberos y DCs soporten FAST
el dominio se puede configurar para requieren blindaje de Kerberos o utilizar a peticin
primero debe asegurarse de todos o suficiente DCs estn ejecutando Windows Server 2012 habilitar la directiva correspondiente

Grupo de Cuentas de Servicio Administradas

Problemtica Las cuentas de servicio administradas aparecen con Windows Server 2008 R2 Servicios de Cluster y Balanceo de Carga no estban soportados
Las cuentas de servicio administradas no puede utilizarse en mucho escenarios deseables

Grupo de Cuentas de Servicio Administradas

Solucin
Con los grupos de cuentas de servicio administradas (gMSA) los servicios que corren en multiples equipos estn soportados Requerido 1 o ms DCs Windows Server 2012
gMSAs puede autenticar contra cualquier version de DC Las contraseas se generan por Group Key Distribution Service (GKDS) que existen en los DCs Windows Server 2012

Los equipos Windows Server 2012 usan gMSAs obteniendo y actualizando las contraseas de GKDS
recuperacin de contrasea limitado a equipos autorizados

intervalo definido en la creacin de la cuenta de gMSA (30 das por defecto) de cambio de contrasea como MSAs, gMSAs son compatibles slo con el administrador de Control de servicios de Windows (SCM) y grupos de aplicaciones de IIS

Grupo de Cuentas de Servicio Administradas

Requisitos Esquema de Active Directory en Windows Server 2012 en los bosques que contiene gMSAs 1 o ms Windows Server 2012 DCs para proporcionar recuperacin y cambio de la contrasea slo los servicios que se ejecutan en Windows 8 o Windows Server 2012 pueden usar gMSAs

Mdulo de Active Directory Powershell Windows Server 2012 para crear cuentas de gMSA

Descargate Windows Server 2012 Evaluacin http://bit.ly/DescargaWS2012

http://bit.ly/AzureItPro

Ms TechNet
IT CAMPS
http://bit.ly/ITCamps2012

Registro en futuros webcasts

http://technet.microsoft.com/es-es/bb291010.aspx

Suscripcin al boletn TechNet Flash

http://www.microsoft.com/spain/technet/boletines/default.mspx

TechCenters de TechNet (informacin de productos)

http://technet.microsoft.com/es-es/bb421517.aspx

Suscripciones TechNet
http://technet.microsoft.com/es-es/subscriptions/default.aspx

Serie de Webcasts Windows Server 2012

http://bit.ly/Webcasts2012

Sigue a TechNet Espaa

http://www.facebook.com/TechNet.Spain

http://www.twitter.com/TechNet_es

Contacto
Julin Blzquez Garca jblazquez@sidertia.com

www.sidertia.com info@sidertia.com