Evento Online:ADDS en Windows Server
2012: novedades en Virtualización y Operación
Orador: Pablo Ariel Di LoretoDuración: ~60 minutos.
Orador
Pablo Ariel Di Loreto
@Buenos Aires, Argentina.
Gerente de Servicios IT en Algeiba SA.
MVP Windows Expert - ITPro desde 04/2014.
Twitter: @PabloDiLoreto
Blog: http://www.TecTimes.net
Correo Electrónico: [email protected]
Agenda
• Objetivo & Alcance.
• Breve Introducción a Active Directory Domain Services.
• Novedades para AD DS en Windows Server 2012 / 2012 R2.
• Demos Online. Instantáneas en Controladores de Dominio [Snapshots] | Clonación de
Controladores de Dominio | Directivas de Contraseñas [Fine-grained Passwords y Account
Lockout Policy] | Papelera de Reciclaje de Active Directory [Active Directory Recycle Bin]
• Q&A
Objetivo y Alcance
• Mostrar cuáles son en alto nivel las novedades en Active Directory Domain Services en
Windows Server 2012 relacionadas a Virtualización y Operación de la plataforma.
• Demostrar cómo las Organizaciones pueden aprovechar estas nuevas funcionalidades en pos
de agilizar la operación y minimizar el riesgo en ejecución de actividades críticas.
• Realizar demostraciones sobre posibilidades de clonación de controladores de dominio,
vuelta atrás de una instantánea, administración de políticas de contraseña y recuperación de
objetos eliminados mediante el entorno gráfico.
Introducción a AD DS
• Implementación de LDAP por parte de Microsoft.
• Componentes:
– Bosque: límite de seguridad.
– Dominio: límite de administración.
• Active Directory en Windows Server 2012 está
confirmado por 5 roles: Active Directory Domain Services (AD
DS), Active Directory Federation Services (AD FS), Active Directory
Certificate Services (AD CS), Active Directory Lightweight Services
(AD LS) y Active Directory Rights Management Services (AD RMS).
Virtualización Segura de DCs
Pre-Windows 2012
Despliegue de DCs virtualizados:
• Realizado por muchos años.
• Basado en practicas bien definidas.
Evitar siguientes acciones sobre estos DCs:
• Aplicación de Instantáneas (Snapshots).
• Exportar una máquina virtual que sea DC.
• Copiar discos virtuales (VHDs).
Post-Windows 2012
Despliegue de DCs virtualizados:
• Soportado totalmente.
• Detección y tratamiento de instantáneas.
• Detección y tratamiento de clonación.
• Nuevo identificador llamado “VM-
Generation ID” que permite el soporte de
instantáneas.
Virtualización Segura de DCs
Instantáneas [Snapshots] antes de Windows 2012
Problemas potenciales en aplicación de Instantáneas
en Aplicaciones Distribuidas (AD):
• Desplazamiento de Reloj Lógico.
• Operaciones ocurren fuera de la conciencia del OS.
• El reloj lógico es utilizado para rastrear cambios.
• El reloj lógico de AD es el Update Sequence Number.
• USN graba la secuencia de actualizaciones realizadas en
cada Controlador de Dominio.
Virtualización Segura de DCs
Impacto en la replicación:
• Lingering Objects.
• Contraseñas inconsistentes.
• Valores de atributos inconsistentes.
• Inconsistencias en Esquema de AD ante
eventual rollback del Schema Master.
Impacto en Security Principals:
• Duplicación de SIDs.
• Acceso no autorizado a recursos por un
período de tiempo.
• En última instancia, además, los usuarios
afectados no podrán iniciar sesión.
Instantáneas [Snapshots] antes de Windows 2012
Virtualización Segura de DCs
Controladores de Dominio virtualizados:
• Soportado totalmente.
• Detección y tratamiento en la aplicación de instantáneas.
• Detección y tratamiento de equipos virtuales copiados.
• Nuevo identificador llamado “VM-Generation ID” que permite el soporte de
instantáneas.
Instantáneas [Snapshots] luego de Windows 2012
Virtualización Segura de DCs
VM-Generation ID:
• Debe ser soportado por el Hypervisor, como Hyper-V de Windows Server 2012.
• Identificador de 128 bits que los sistemas operativos virtualizados y aplicaciones
instaladas en los sistemas pueden aprovechar.
• A disposición de las aplicaciones a través del controlador de Windows Server 2012.
Instantáneas [Snapshots] luego de Windows 2012
Virtualización Segura de DCs
VM-Generation ID en Active Directory:
• Permite al DC para detectar cambios y proteger Active Directory.
• Es un atributo no replicado alojado en el Objeto “Computer”.
VM-Generation ID en la Replicación:
• El DC compara el VM-Generation ID en NTDS.DIT contra el actual.
• Si es diferente invalida el RID Pool y solicita actualización.
Instantáneas [Snapshots] luego de Windows 2012
Virtualización Segura de DCs
Semántica de la generación de VM-Generation ID:
• Si una operación de Virtualización causa un contexto de cambio en Active Directory: el
sistema de virtualización debe proveer un nuevo VM-Generation ID.
• Si una operación de Virtualización no causa un contexto de cambio Active Directory: el
sistema de virtualizción NO debe proveer un nuevo VM-Generation ID.
• Si no está claro si una operación de virtualización provocará un contexto de cambio en
Active Directory: el sistema de virtualización DEBE proveer un nuevo VM-Generation ID.
Instantáneas [Snapshots] luego de Windows 2012
Implementación Rápida con Clonación
• Posible gracias al atributo VM-Generation-ID.
• Permite distribución e implementación rápida
de Controladores de Dominio.
• El Controlador de Dominio debe ser autorizado
a ser clonado.
Implementación Rápida con Clonación
• Identificar el DC adecuado para clonación.
• Autorizar el DC para clonación agregandolo al grupo “Cloneable Domain Controllers”.
• Correr el CMDLet New-ADDCCloneConfigfile
• Verifica los pre-requisitos.
• Verifica la autorización del DC.
• Permite especificar el Nombre, Dirección IP, Servidores DNS, Sitio, etc.
• Un ejemplo está proporcionado en: %windir%\system32\SampleDCCloneConfig.xml
Pasos a seguir en alto nivel
Implementación Rápida con Clonación
• Ejecutar Get-ADDCCloningExcludedApplicationList [-generateXML]
• Apagar y exportar el disco del DC a clonar.
• Iniciar normalmente el otro DC utilizado de base.
• Importar el clon del DC a clonar tantas veces como se desee e iniciar el/los equipos.
– $vm = Import-VM -Path "E:\Virtuales\SourceDC\Virtual Machines" -Copy –GenerateNewId
– Rename-VM -VM $vm -New-Name "VirtualDC2"
Pasos a seguir en alto nivel
Implementación y Actualización mejorada
• Integración de Adprep en la instalación de AD DS.
• La instalación del rol puede ser ejecutada en
multiples Servidores.
• Validación de pre-requisitos durante el proceso
de configuración de AD DS.
• Asistente agrupado en secuencias ordenadas.
• Script para exporter a PowerShell.
Administración Simplificada
• Dynamic Access Control.
• DirectAccess Offline Domain Join.
• Active Directory Federation Services (AD FS).
• Interfaz gráfica para Papelera de Reciclaje de AD DS.
• Visor Histórico de Windows PowerShell.
• Mejoras en Group Policy Management Console.
Administración Simplificada
• Interfaz de Usuario para Políticas de Contraseña
Granuladas.
• CMDLets de Windows PowerShell para Replicación y
Topología de Active Directory.
• Active Directory Based Activation (AD BA).
• Group Managed Service Accounts (gMSA).
Cambios en la Plataforma
• AD DS Claims in AD FS.
• Deferred Index Creation.
• Kerberos Enhancements.
• Otros…
WorkPlace Join y Single Sign-On (SSO)
• Registrar sus dispositivos en Active Directory,
Configuration Manger y Windows Intune.
• Registro de tipo user@device.
• Certificado para los dispositivos (identidad de
dispositivo y usuario autenticado) -> Acceso a
recursos publicados por Web Application Proxy.
• No incluye políticas de cumplimiento. Para esto ->
Windows Intune y/o SCCM.
Web Application Proxy (AD FS)
• Proxy reverso para aplicaciones web internas.
• Pre-autentica el acceso a las aplicaciones web utilizando Active Directory Federation Services.
• Proxy de AD FS.
Multi-Factor Authentication (MFA)
• Autenticación:
– Métodos de Autenticación Primarios.
– Métodos de autenticación adicionales.
• MFA proporciona asistencia en configuración de
Métodos de Autenticación Adicionales.
Multi-Factor Access Control
• AD FS da soporte a múltiples factores: Usuario,
Dispositivo (Wordplace Join), Ubicación, Datos de autenticación
(MFA).
• Políticas flexibles y expresivas por aplicación.
• Creación de reglas de autorización (terceros).
• Experiencia enriquecida gráfica para escenarios de
control de accesos multifactoriales comunes.
• Mensajes personalizados de “Acceso Denegado”.
Resumen del Evento
• Breve Introducción a Active Directory Domain Services.
• Virtualización Segura. Snapshots en AD DS
• Implementación Rápida con Clonación.
• Administración Simplificada. Active Directory Administrative Center | Interfaz gráfica para Papelera de
Reciclaje de AD DS | Visor Histórico de Windows PowerShell | Mejoras en Group Policy Management Console |
Interfaz de Usuario para Políticas de Contraseña Granuladas
• Acceso Seguro. WorkPlace Join | Single Sign-On | Web Application Proxy | Multi-Factor Authentication | Multi-
Factor Access Control
Material del Evento
• Compilación de Artículos, Tutoriales y guías “Cómo hacer” del evento:
http://www.tectimes.net/Evento20140508
• ¿Qué hay de Nuevo en Windows Server 2012 R2?:
http://www.tectimes.net/WindowsServer2012R2
• Próximos Eventos:
http://www.tectimes.net/Eventos
¡Muchas Gracias!
Twitter: @PabloDiLoreto
Blog: http://www.TecTimes.net
Correo Electrónico: [email protected]
Contacto con Algeiba: [email protected]