Novita AD WS2012 - Torino Technologies Group

NOVITÀ DI ACTIVE DIRECTORY
IN WINDOWS SERVER 2012 E
M IGRAZIONE
Ermanno Goletto
Mario Serra
MVP - MCITP - MCSA
MVP - MCITP - MCSDT
[email protected]
[email protected]
Agenda
• Active Directory Recycle Bin
• Interfaccia per Fine-Grained Password Policy
• Active Directory PowerShell enhancements
• Virtualization-safe technology: Domain
Controller Cloning
• Dynamic Access Control
• Scenari di migrazione
ACTIVE DIRECTORY
RECYCLE BIN
Novità di Active Directory in Windows Server 2012 e migrazione
Situazione in WS2003 e WS2008
Strumenti
Limitazioni
Ripristino autorevole
(tramite NTDSUTIL)
Downtime del DC
Rischio d’inconsistenza a causa di
modifiche intercorse dopo il
backup
Recupero di oggetti
contrassegnati per la rimozione o
Tumbstoned
(tramite LDP o ADRestore)
Non è possibile ripristinare gli
attributi con valori di collegamento
degli oggetti recuperati
Account utente non riottengono le
appartenenze ai gruppi e i diritti di
accesso
Opzione Proteggi oggetto da
eliminazioni accidentali
(Deny delete per Everyone)
Disponibile nella GUI di WS2008
In WS2003 abilitabile via DSACLS
Ciclo di vita oggetti senza AD Recycle Bin
WS2003/WS2008
oppure
AD Recycle Bin
disabilitato
Tumbstoned
• Oggetto eliminato a livello logico e spostato nel contenitore
CN=Deleted Objects (modifica del DN dell’oggetto)
• Perde gli attributi di collegamento e la maggior parte degli attributi
(tranne quelli con searchFlags = 0x8 nello schema)
• Durata = attributo di foresta tombstoneLifetime (per default 180 giorni)
Active Directory Recycle Bin
Introdotto in
WS2008 R2
FUNZIONALITÀ
REQUISITI
• Ripristino degli oggetti
nello stesso stato logico
coerente in cui si trovavano
• Richiede livello funzionale
foresta WS2008 R2 o
superiore
• Account utente riottengono
appartenenze ai gruppi e i
diritti di accesso all'interno
del dominio e tra domini
• Tutti i DC nella foresta
devono essere WS2008R2
• Disattivato per default e
irreversibile
Ciclo di vita oggetti con AD Recycle Bin
Deleted object (Eliminato)
• Attributo isDeleted a True (attributo presente
su tutti gli oggetti introdotto con WS2000)
• Eliminato a livello logico e spostato nel
contenitore CN=Deleted Objects
(modifica del DN dell’oggetto)
• Mantiene tutti attributi, compresi quelli di
collegamento
• Durata = attributo di foresta msDSdeletedObjectLifetime (per default a null
ovvero uguale a tombstoneLifetime)
Recycled object (Riciclato)
• Attributo isRecycled a True (attributo presente
su tutti gli oggetti introdotto con WS2008 R2)
• Perde gli attributi di collegamento e la maggior
parte degli attributi (tranne quelli con
searchFlags = 0x8 nello schema)
• Durata = attributo di foresta tombstoneLifetime
(per default a null ovvero 180 giorni)
AD Recycle Bin: Considerazioni
• Maggiore capacità di conservazione e recupero
• Eliminazione fisica 360 giorni (default)
• I Recycled Object sono recuperabili sono con Restore
Autoritativo
• Validità backup AD è il valore minore tra tombstoneLifetime e
msDS-deleteObjectLifetime
• Default 180 giorni
• All’attivazione i Tombstoned objects diventano Recycled
objects non visibili nel container Deleted Objects, ma non
recuperabili tramite AD Recycle Bin
Per recuperarli occorre un restore autoritativo da un backup
precedente all’attivazione
• Non è disattivabile
Attivazione AD Recycle Bin
• Raise livello funzionale foresta a 2008R2 o
superiore
• Abilitazione Recycle Bin sul forest root domain
• E’ possibile eseguire raise e abilitazione tramite
il Centro di amministrazione di Active Directory
• Valutare abilitazione GPO audit delete su AD¹
¹Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies - Local Group Policy\
DS Access\Audit Directory Service Changes
Attivazione AD Recycle Bin via PowerShell
#Raise livello funzionale foresta
Set-ADForestMode –Identity contoso.com ForestMode Windows2008R2Forest
#Abilitazione AD Recycle Bin
Enable-ADOptionalFeature –Identity
‘CN=Recycle Bin Feature,CN=Optional
Features,CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,
DC=contoso,DC=com’
–Scope ForestOrConfigurationSet
–Target ‘contoso.com’
M odifica Deleted e Recycled object lifetime
#Impostazione msDS-DeletedObjectLifetime
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=contoso,DC=com”
–Partition “CN=Configuration,DC=contoso,DC=com”
–Replace:@{“msDS-DeletedObjectLifetime” = 365}
#Impostazione tombstoneLifetime
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=contoso,DC=com”
–Partition “CN=Configuration,DC=contoso,DC=com”
–Replace:@{“tombstoneLifetime” = 365}
Restore via PowerShell
#Restore singolo oggetto
Get-ADObject -Filter {sAMAccountName -eq “m.rossi"}
-IncludeDeletedObjects | Restore-ADObject
#Restore elenco oggetti
Get-ADObject –Filter 'Name –Like "*test*"' –
IncludeDeletedObjects | Restore-ADObject
#Restore elenco oggetti in posizione diversa
Get-ADObject –Filter 'Name –Like "*test*"' –
IncludeDeletedObjects | Restore-ADObject –TargetPath
"OU=OU1,DC=contoso,DC=com"
Novità in WS 2012
Restore tramite
l’interfaccia
utente di ADAC
(dsac.exe)
E’ possibile eseguire il ripristino
di un oggetto tramite Restore o
tramite Restore To per il
ripristino in posizione diversa
dall’originale
Nel Centro di amministrazione di
Active Directory è stato aggiunto
il nodo Deleted Objects
DEM O
FINE-GRAINED
PASSWORD POLICY
Novità di Active Directory in Windows Server 2012 e migrazione
Situazione in WS2000 e WS2003
• La Default Domain Policy definisce le password
policies di default
• E’ possibile avere una sola password policy per
l’intero dominio, non è possibile avere password
policy diverse per OU
• Le impostazioni della password policy non possono
essere estese a meno di non utilizzare tool di terze
parti
• La password policy del Root Domain non viene
ereditata dai Child Domains (sono due password
policy scorrelate)
Situazione in WS 2008
• Introdotte le FGPP tramite due nuove classi di oggetti¹
• Password Settings Container
• Password Settings Objects
• E’ richiesto livello funzionale di domino WS 2008
• Password/Account lockout policies diverse per Gruppi di
protezione Globali o Utenti (o oggetti inetOrgPerson se
usati al posto degli oggetti utente)
• Per applicazione alle OU occorre usare gruppo shadow
(gruppo protezione globale mappato su una OU)
• L’impostazione richiede la modifica del DB di AD
mediante ADSI Edit o ldifde²
¹http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx
²http://technet.microsoft.com/it-it/library/cc825610 - http://technet.microsoft.com/it-IT/library/cc770842.aspx
Situazione in WS 2008 R2
#Raise livello funzionale di dominio a WS2008
Set-ADDomainMode -Identity contoso.com -DomainMode 3
Gestione FGPP
via
PowerShell
#Creazione FGPP e associazione
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00"
-MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1
#Visualizzazione FGPP
Get-ADUserResultantPasswordPolicy test1
#Modifica FGPP:
Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"
#Eliminazione FGPP:
Set-ADFineGrainedPasswordPolicy –Identity TestPswd –
ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd –Confirm
Novità FGPP in WS2012
Creazione e
gestione delle
FGPP tramite
ADAC (dsac.exe)
Creazione FGPP
Le FPGP con precedenza più
bassa hanno priorità su quelle
con precedenza più alta
Gruppi di protezione
globali o utenti a cui
viene applicata la FGPP
Impostazione FGPP
Verifica FGPP su Utente
Se non vi
sono FGPP
assegnate
FGPP risultante, nel
caso di più FGPP
viene applicata
quella a precedenza
inferiore
DEM O
ACTIVE DIRECTORY
POWERSHELL
ENHANCEM ENTS
Novità di Active Directory in Windows Server 2012 e migrazione
Situazione in Windows 2008 R2
Modulo AD
per Windows
PowerShell
(*) http://technet.microsoft.com/en-us/library/ee617195.aspx
Novità in WS2012
In ADAC è stata aggiunta la sezione
Windows PowerShell History Viewer
dove vengono visualizzati i comandi
PowerShell corrispondenti ai task
eseguiti
135 Cmdlet
per gestire
AD DS
Elenco cmdles: http://technet.microsoft.com/en-us/library/hh852274.aspx
Cmdlets per Replica e Topologia
• Estensione modulo AD con 25 cmdlets per gestione Replica e
Topologia
• Precedentemente gestione tramite repadmin, ntdsutil e AD
Site and Services con difficoltà di automazione
#Informazioni sui siti
Get-ADReplicationSite -Filter *
#Stato replica
Get-ADReplicationUpToDatenessVectorTable dc1.dom.com
#Metadati di replica (repadmin.exe /showobjmeta)
Get-ADReplicationAttributeMetadata -object "cn=domain
admins,cn=users,dc=corp,dc=contoso,dc=com" -server
dc1.dom.com
http://technet.microsoft.com/en-us/library/hh831757.aspx
http://technet.microsoft.com/en-us/library/jj574083.aspx
Esempio automazione via PowerShell
#Rename the computer
Rename-Computer SrvDC01
#Configurazione IPv4 statico e Gateway
New-NetIPAddress -IPAddress 10.0.0.2 -InterfaceAlias "Ethernet" -DefaultGateway 10.0.0.1 AddressFamily IPv4 -PrefixLength 24
#Impostazione server DNS
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.10.10.1
#Join computer a dominio e riavvio
Add-Computer -DomainName corp.contoso.com
Restart-Computer
#Installazione AD DS e DNS e creazione nuovo dominio in una nova foresta
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName corp.contoso.com
#Creazione DNS Reverse Lookup Zone
Add-DnsServerPrimaryZone 0.0.10.in-addr.arpa -ZoneFile 0.0.10.in-addr.arpa.dns
#Creazione nuovo account utente
New-ADUser -SamAccountName User1 -AccountPassword (read-host "Set user password" -assecurestring) name "User1" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
#Assegnazione Group membership ad un utente
Add-ADPrincipalGroupMembership -Identity "CN=User1,CN=Users,DC=corp,DC=contoso,DC=com" -MemberOf
"CN=Enterprise Admins,CN=Users,DC=corp,DC=contoso,DC=com","CN=Domain
Admins,CN=Users,DC=corp,DC=contoso,DC=com"
DEM O
VIRTUALIZATION-SAFE
TECHNOLOGY: DOM AIN
CONTROLLER CLONING
Novità di Active Directory in Windows Server 2012 e migrazione
Replica e DC virtuali
• Snapshot di DC non supportato in WS2008R2 e precedenti
• L’applicazione di SnapShot può causare problemi alla replica dovuti allo shift
temporale dal momento che la replica è gestita tramite l’USN e l’InvocationID
Update Sequence Number
Incrementato ad ogni modifica del DB di directory per
sincronizzare la replica tra DC
InvocationID
GUID memorizzato nell’attributo objectGUID dell’oggetto:
cn=NTDS Settings,
Rappresenta la versione del
cn=ServerName,
DB di directory a cui Up-tocn=Servers, cn=SiteName,
cn=Sites, cn=Configuration, dateness vector e High water
mark fanno riferimento
dc=ForestRootDomain
Cambia solo se viene eseguito il restore del system state o
se viene aggiunta o rimossa una partizione applicativa
(repadmin /showrepl)
Up-to-dateness vector
Memorizza gli aggiornamenti ricevuti, viene offerto al DC
sorgente perché invii solo gli attributi necessari
High water mark (o direct up-to-dateness vector)
memorizza gli aggiornamenti più recenti ricevuti da un DC
per una partizione, impedisce che il DC origine invii
modifiche già registrate sul DC destinazione
Rollback USN non rilevato
DC2
DC1(A)
@USN=20
DC1(A)
@USN=30
La replica
sincronizza su
DC2 le gli USN
tra 20 e 30
DC1(A)
@USN=40
USN DC1 > USN DC2 quindi non
viene rilevato il Rollback USN
La replica sincronizza su DC2
solo gli USN tra 30 e 40
Gli oggetti con USN tra 20 e 30
non corrispondono sui due DC
Read Only DC
DC1
I RODC hanno copie RO delle
partizioni AD e non replicano le
modifiche ad altri DC.
USN=20
IID=A
USN=30
IID=A
USN=20
IID=A
USN=40
IID=A
Copia
VHD
Modifiche
AD
Ripristino
Copia VHD
Modifiche
AD
Non generano Rollback USN, ma
possono subirli da altri DC
DC Safe virtualization
• I DC WS2012 sono in grado di rilevare quando:
• Viene applicata una Snapshot
• Viene copiata una VM
• La rilevazione utilizza un VM-generation identifier
(VM-generation ID)
• VM-generation ID viene modificato quando vengono
utilizzate features come gli Snapshots
• Gli snapshots non sono supportati come
alternativa al backup dei DC virtuali
• Utilizzare Windows Server Backup
• Una soluzione di backup VSS-writer-based
VM -generation identifier
• ID univoco di 128 bit fornito dall’Hypervisor (tramite il VM
BIOS) utilizzabile dal guest OS e applicazioni tramite un driver
nella VM
• Modificato quando la VM usa un file di configurazione diverso
(import VM, applicazione Snapshot , restore backup, failover replica
target)
• Supportato da Hyper-V v3 in WS2012
• Anche Vmware e Citrix lo supporteranno
• Durante l’installazione di un DC il VM GenerationID viene
memorizzato nell’AD DB locale (DIT) tramite l’attributo msDSGenerationID dell’oggetto computer del DC WS2012
• msDS-GenerationID non viene replicato
http://www.microsoft.com/en-us/download/details.aspx?id=30707
Utilizzo VM -generation ID
Warning
2170
Directory
Services Log
Restore VM
Snaphot
Evita
riutilizzo
USN
- Reset dell’InvocationID
- Svuotamento RID pool
Confronto
con esito
negativo
VM Generation ID
msDS-GenerationID
- Sincronizzazione non
autoritativa SYSVOL
Reboot VM
I DC che detengono ruoli FSMO ritardano
l’esecuzione delle funzionalità FSMO sino a
quando il ciclo di replica non viene completato
- Aggiornamento del DIT
con nuovo valore del
VM-generation ID
Information
13516
File Replication
Services Log
Information
4604
File Replication
Services Log
Evita roolback
USN al reboot di
snapshoot di VM
arrestate
Clone VM DC
PRE WS2012
WS 2012
• Copia VHD con SYSPREP OS
• Clone di soli VM DC WS 2012
• Promozione del server a DC
• Il PDC emulator deve essere
un DC WS2012
• Attesa replica AD DB (DIT) nel
caso di DC aggiuntivo
• Nel caso di disaster recovery
del primo DC applicazione
dell’ultimo backup del server
Best practies per il clone di VM DC 2012
•
•
Installare i primi due DC e distribuire i ruoli FSMO tra loro
Installare un terzo DC virtuale senza ruoli FSMO da utilizzare
come master per il processo di cloning
• L’uso di DC WS2012 richiede:
• Schema AD ver. >=56 (WS2012)
• Livello funzionale foresta
WS2003 Native o superiore
• Non è possibile eseguire il
cloning del DC PDC Emulator
Creazione VM DC master
1. Installazione VM DC con WS2012 su Hyper-V v3 (o
Hypervisor con supporto a VM-Generation ID)
2. Autorizzare il DC ad essere utilizzato come sorgente per il
processo di cloning aggiungendo il suo oggetto computer al
nuovo gruppo Clonable Domain Controllers
3. Verificare la compatibilità dei servizi in esecuzione sul DC col
processo di cloning tramite il cmdlet PowerShell
Get-ADDCCloningExecutedApplicationList
4. Configurare il DC tramite il cmdlet PowerShell
New-ADDCCloneConfigFile (IP, Site, Name)
•
•
Crea il file DCCloneConfig.xml nella directory dell’NTDS.DIT
File d’esempio in %windir%\System32\Sample DCCloneConfig.xml
5. Shutdown VM, Export VM e copia dell’esportazione
http://blogs.technet.com/b/keithmayer/archive/2012/08/06/safely-cloning-an-active-directory-domain-controller-with-windows-server-2012-step-by-step-ws2012-hyperv-itpro-vmware.aspx
Deploy VM DC clone
1. Import della VM e generazione nuovo VM-Generation ID
Import-VM –Path «…» -Copy –GenerateNewId
2. Rename della VM e avvio VM
3. Controllo che il DC è un clone verificando:
•
•
VM-Generation ID diverso da msDS-GenerationID
File DCCloneConfig.xml in una delle seguenti posizioni:



Directory del file NTDS.DIT
%windir%\NTDS
Root di un media drive removibile
4. Avvio processo cloning mediante provisioning come DC
replica con le impostazioni in DCCloneConfig.xml
5. Richiesta al WS2012 PDC emulator di un nuovo machine
identity, nuovo SID, nome, password
http://blogs.technet.com/b/keithmayer/archive/2012/08/06/safely-cloning-an-active-directory-domain-controller-with-windows-server-2012-step-by-step-ws2012-hyperv-itpro-vmware.aspx
Cloning Flow: Boot VM DC
Cloning Flow: Provisioning VM DC Replica
DYNAM IC ACCESS
CONTROL
Novità di Active Directory in Windows Server 2012 e migrazione
Accesso file server pre WS2012
• Accesso basato sul SID dell’utente e sull’elenco dei SID
dei gruppi di appartenenza determinato al logon
• Sistema di autorizzazione basato su ACL
(Share permissions e NTFS permissions)
• La gestione permissions basata
su gruppi (in certi casi onerosa)
Share Permissions
NTFS Permissions
Access
Control
Decision
A-GG-DLG-P
Kerberos flow pre WS2012
Pre-2012
Token
User Account
User Groups
[other stuff]
Dynamic Access Control
Novità in
WS2012
CARATTERISTICHE
REQUISITI
• Soluzione Claim-Based Access
Control
• Claim basati su attributi
utente e/o del device in AD¹
• Utilizzo delle informazioni di
classificazione dei file
• Central Access Policies per la
definizione di granulare delle
condizioni di accesso
• Distribuzione CAP ai file
server via GPO
• Gestibile tramite PowerShell
• Uno o più Domain controller
WS2012
• File server WS2012
• Windows 8 per usare le
Device Claim in quanto è
richiesto il supporto al
Kerberos Armoring (FAST)
• Per usare Access Denied
Remedation occorre SMB 3.0
e quindi client W8 o WS2012
¹Claim sono memorizzati nel Ticket Kerberos con il SID dell’utente e delle group memberships
Novità nell’autenticazione
• Flexible Authentication Secure Tunneling (FAST) RFC6113
• Fornisce un canale protetto tra client e KDC per lo scambio di Authentication
Service (AS) e Ticket-Granting Service (TGS)
• Protegge i dati di pre-autenticazione utente che sono vulnerabili ad attacchi a
dizionario quando generati da una password
• Protegge le autenticazioni utente Kerberos dallo spoofing di errori KDC Kerberos
per il downgrade a NTLM o a una crittografia più vulnerabile
• Kerberos armoring
• Implementazione di FAST in WS2012
• Usa un TGT del device per proteggere lo scambio di AS col KDC (lo scambio AS del
computer non è blindato), in seguito il TGT dell'utente è utilizzato per proteggerne
gli scambi TGS con il KDC
• Richiede DC WS2012
• Compound authentication
• Estensione della FAST per consentire a KDC WS2012 di creare TGS con dati di
autorizzazione dispositivo per i servizi W8 che sfruttano tali dati
• Richiede DC WS2012 e client W8
Expression-based access policy
DC
WS2012
User claims
User.Department = Finance
User.Clearance = High
Attributi AD
File
Server
WS2012
Client
W8
Device claims
Device.Department = Finance
Device.Managed = True
Attributi AD
Resource properties
Resource.Department = Finance
Resource.Impact = High
Attributi Classificazione
ACCESS POLICY
Per accedere a file riservati del dipartimento Finance un utente deve:
 Appartenere al dipartimento Finance
 Avere autorizzazione Hight
 Accedere da un device del dipartimento Finance
Controllo d’accesso
Share Permissions
NTFS Permissions
Central Access Policy
Access
Control
Decision
Share Permissions
Active Directory
(cached in local Registry)
Cached Central Access Policy
Definition
Cached Central Access Rule
Cached Central Access Rule
Cached Central Access Rule
Share
Security Descriptor
NTFS Permissions
File/Folder
Security Descriptor
Central Access Policy Reference
Access Control Decision:
1) Access Check – Share permissions if applicable
2) Access Check – File permissions
3) Access Check – Every matching Central Access Rule
in Central Access Policy
Kerberos flow con client Pre-W8
Gestione
delle sole
User Claims
2012 Token
User Account
User
Group
s
Claims
Device
Group
s
[other stuff]
Kerberos flow con Compound Identity
Gestione
delle User Claims
& Device Claims
2012 Token
User Account
User
Group
s
Claims
Device
Group
s
Claims
[other stuff]
Configurazione delle Claims
Configurazione su DC 2012 tramite Active Directory Administrative Center
Claim Types
Classificazione utenti
• Department
• Country
Resources Properties
Classificazione dei file
• Department_MS
• Country (US, JP)
Resource Property List
Aggiunta a ResourceProperty List
• Global Resource Property List
Central Access policy
Central Access Rule
Gruppo di rule che verranno
applicate ai file
Condizioni per accesso al file
Target Resources
Abilita DAC
• Exists Department AND Exists Country
L’impostazione di default
Permissions
crea solo audit log entries
• Use following permissions as current, Principal: Authenticated - Full Control
• User Departement=Resource Departement AND User Country=Resource Country
Deploy Central Access Policy
Configurazione su DC 2012 tramite Group Policy Object
• Creazione GPO di dominio per i File Server
• Computer Configuration/Policies/Windows
Settings/SecuritySettings/File System/Central Access
Policies
Nella security della GPO rimuovere
Authenticated Users e inserire solo i
file server interessati
Group Policy
Object
Central
Access
Policy
La GPO pubblica la CAP,
tramite più GPO è possibile
pubblicare più CAP
Abilitazione Kerberos Armoring
Configurazione su DC 2012 tramite Group Policy Object
Computer Configuration/Policies/Administrative
Templates/System/KDC/KDC Support for claims, compound
authentication and Kerberos armoring
Computer Configuration/Policies/Administrative
Templates/System/Kerberos/Kerberos client support for claims,
compound authentication and Kerberos armoring
KDC Support for claims, compound
authentication and Kerberos armoring
Computer Configuration/Policies/Administrative Templates/System/KDC
•
Not supported (default)
•
•
•
•
•
Richiede DC 2012 per servire le richieste client
Il dominio non deve avere DC2003
Claims disponibile su richiesta
Compound authentication su richiesta se la risorsa lo supporta
Kerberos armoring supportata
Always provide claims
•
•
•
•
Claims non disponibile
Compound authentication non supportata
Kerberos armoring non supportata
Supported
•
•
•
Richiede livello funzionale dominio WS2012
Claims sempre disponibili
Compound authentication su richiesta se la risorsa lo supporta
Kerberos armoring supportata e Flexible Authentication via Secure Tunneling (RFC FAST) supportata
Fail unarmored authentication requests
•
•
•
GPO
applicata
ai DC 2012
Richiede livello funzionale dominio WS2012 e
compatibilità con FAST dei dispositivi (W8)
Claims sempre disponibili
Compound authentication su richiesta se la risorsa lo supporta
Rifiuto dei messaggi Kerberos unarmored e Flexible Authentication via Secure Tunneling (RFC FAST)
supportata
http://gps.cloudapp.net
Deploy File server
Configurazione File Server WS 2012 tramite File and Storage Services
• Modifica Proprietà della Folder
• Tab Classification
• Visualizza le Resource Properties definite
• Update-FSRMClassificationPropertyDefinition per forzare
l’update delle classificazioni
Resources Properties
• Impostazione delle Resource
Department=Finance
• Security Tab – Advanced
• Central Policy selezionare la CAP
Country = US
Central Access Policy
• Effective Access Tab
• Verifica degli accessi in base NTFS Rules e Central Policy
SCENARI DI M IGRAZIONE
Novità di Active Directory in Windows Server 2012 e migrazione
Novità deploy e upgrade
DEPLOY NUOVO DC
UPGRADE DI AD
• Tutti gli step in un’unica GUI
• Integrazione di Adprep.exe
nel processo di installazione
• Dcpromo dismesso
• Utilizzabile con answer file
• Utilizzabile per demote
• Processo di installazione
basato su PowerShell
• Esecuzione su server multipli
• Deploy remoto di DC
• Wizard di esportazione script
per installazione con le opzioni
specificate nella GUI
• Può ancora essere eseguito
da command line
• Reperibile in
media\support\adprep
• Non esiste una versione a 32
bit di Adprep in WS2012
• Validazione dei prerequisiti
• Gli RSAT per WS2012 richiedono W8
• Per eseguire VM WS2012 su HV WS2008R2 occorre la KB2525776
Deploy DC WS2012
• Prerequisiti per deploy di DC 2012
• Livello funzionale foresta Windows Server 2003 o superiore
• Privilegi Enterprise Admin, Schema Admin e Domain Admins
• La promozione a DC di un WS2012 esegue retry
indefiniti
• In questo modo tolleranza a problemi di rete
• Sarà l’Amministratore a decidere l’eventuale failure
• Installazione locale o remota tramite Server Manager
• Aggiunta features Active Directory Domain Services
• Avvio del Task Promote this server to a domain controller
• DNS e GPMC installati automaticamente
Inst. nuova foresta: http://technet.microsoft.com/en-us/library/jj574166.aspx Upgrade DC a WS2012: http://technet.microsoft.com/en-us/library/hh994618.aspx
Upgrade in-place e AD WS2012
DC Upgrade in-place WS 2012 STD
WS2012 DC
Requisiti per l’upgrade in-place dei DC
WS2008R2 STD


• OS upgrade in-place path supportato
• Il drive che contiene il DB di AD
(NTDS.DIT) deve avere almeno il 20%
di spazio libero
WS2008R2 ENT


WS2008R2 DC


WS2008 STD


WS2008 ENT


WS2008 DC


WS2003/WS2003R2


Domain functional level WS2012
Forest functional level WS2012
• Dynamic Access Control
administrative template policy
• Kerberos armoring KDC
administrative template policy
Non aggiunge nuove
funzionalità
AD Schema version
13 Windows 2000
30 Windows 2003
31 Windows 2003 R2
44 Windows 2008
47 Windows 2008 R2
56 Windows 2012
M igrazione AD da WS2003
1. Join a dominio di un computer WS2012
2. Promozione a DC del computer WS2012
3. Spostamento ruoli FSMO sul DC WS2012
4. Rimozione DNS da DC WS2003
5. Rimozione ruolo Domain Controller sul DC WS2003
6. Pulizia eventuali record DNS relativi a DC WS2003
7. Configurazione replica DFS per la cartella SYSVOL
SYSVOL Replication Migration Guide: FRS to DFS Replication: http://technet.microsoft.com/it-it/library/dd640019(v=ws.10).aspx
DEM O
QUESTIONS
&
ANSWERS
Links
• Torino Technologies Group
www.torinotechnologiesgroup.it
• SysAdmin.it
www.sysadmin.it
• Windows Server 2012 Virtual Labs
http://technet.microsoft.com/enus/windowsserver/hh968267.aspx
Grazie.