novitÀ di active directory migrazionetorinotechnologiesgroup.it/download/novita ad ws2012.pdf ·...
TRANSCRIPT
NOVITÀ DI ACTIVE DIRECTORY
IN WINDOWS SERVER 2012 E
MIGRAZIONE
Ermanno GolettoMVP - MCITP - MCSA
MVP - MCITP - MCSDT
Mario Serra
Agenda
• Active Directory Recycle Bin
• Interfaccia per Fine-Grained Password Policy
• Active Directory PowerShell enhancements
• Virtualization-safe technology: Domain
Controller Cloning
• Dynamic Access Control
• Scenari di migrazione
ACTIVE DIRECTORY
RECYCLEBINNovità di Active Directory in Windows Server 2012 e migrazione
Situazione in WS2003 e WS2008
Strumenti Limitazioni
Ripristino autorevole(tramite NTDSUTIL)
Downtime del DCRischio d’inconsistenza a causa di modifiche intercorse dopo il backup
Recupero di oggetti contrassegnati per la rimozione o Tumbstoned(tramite LDP o ADRestore)
Non è possibile ripristinare gli attributi con valori di collegamento degli oggetti recuperatiAccount utente non riottengono le appartenenze ai gruppi e i diritti di accesso
Opzione Proteggi oggetto da eliminazioni accidentali(Deny delete per Everyone)
Disponibile nella GUI di WS2008In WS2003 abilitabile via DSACLS
Ciclo di vita oggetti senza AD Recycle Bin
Tumbstoned
• Oggetto eliminato a livello logico e spostato nel contenitoreCN=Deleted Objects (modifica del DN dell’oggetto)
• Perde gli attributi di collegamento e la maggior parte degli attributi(tranne quelli con searchFlags = 0x8 nello schema)
• Durata = attributo di foresta tombstoneLifetime (per default 180 giorni)
WS2003/WS2008 oppure
AD Recycle Bin disabilitato
Active Directory Recycle Bin
FUNZIONALITÀ
• Ripristino degli oggetti
nello stesso stato logico
coerente in cui si trovavano
• Account utente riottengono
appartenenze ai gruppi e i
diritti di accesso all'interno
del dominio e tra domini
REQUISITI
• Richiede livello funzionale
foresta WS2008 R2 o
superiore
• Tutti i DC nella foresta
devono essere WS2008R2
• Disattivato per default e
irreversibile
Introdotto in WS2008 R2
Ciclo di vita oggetti con AD Recycle Bin
Deleted object (Eliminato)
•Attributo isDeleted a True (attributo presente su tutti gli oggetti introdotto con WS2000)
•Eliminato a livello logico e spostato nel contenitore CN=Deleted Objects(modifica del DN dell’oggetto)
•Mantiene tutti attributi, compresi quelli di collegamento
•Durata = attributo di foresta msDS-deletedObjectLifetime (per default a nullovvero uguale a tombstoneLifetime)
Recycled object (Riciclato)
•Attributo isRecycled a True (attributo presente su tutti gli oggetti introdotto con WS2008 R2)
•Perde gli attributi di collegamento e la maggior parte degli attributi (tranne quelli con searchFlags = 0x8 nello schema)
•Durata = attributo di foresta tombstoneLifetime (per default a null ovvero 180 giorni)
AD Recycle Bin: Considerazioni
• Maggiore capacità di conservazione e recupero• Eliminazione fisica 360 giorni (default)
• I Recycled Object sono recuperabili sono con RestoreAutoritativo• Validità backup AD è il valore minore tra tombstoneLifetime e
msDS-deleteObjectLifetime
• Default 180 giorni
• All’attivazione i Tombstoned objects diventano Recycledobjects non visibili nel container Deleted Objects, ma non recuperabili tramite AD Recycle BinPer recuperarli occorre un restore autoritativo da un backup precedente all’attivazione
• Non è disattivabile
Attivazione AD Recycle Bin
• Raise livello funzionale foresta a 2008R2 o
superiore
• Abilitazione Recycle Bin sul forest root domain
• E’ possibile eseguire raise e abilitazione tramite
il Centro di amministrazione di Active Directory
• Valutare abilitazione GPO audit delete su AD¹
¹Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies - Local Group Policy\DS Access\Audit Directory Service Changes
Attivazione AD Recycle Bin via PowerShell
#Raise livello funzionale foresta
Set-ADForestMode –Identity contoso.com -
ForestMode Windows2008R2Forest
#Abilitazione AD Recycle Bin
Enable-ADOptionalFeature –Identity
‘CN=Recycle Bin Feature,CN=Optional
Features,CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,
DC=contoso,DC=com’
–Scope ForestOrConfigurationSet
–Target ‘contoso.com’
Modifica Deleted e Recycled object lifetime
#Impostazione msDS-DeletedObjectLifetime
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=contoso,DC=com”
–Partition “CN=Configuration,DC=contoso,DC=com”
–Replace:@{“msDS-DeletedObjectLifetime” = 365}
#Impostazione tombstoneLifetime
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=contoso,DC=com”
–Partition “CN=Configuration,DC=contoso,DC=com”
–Replace:@{“tombstoneLifetime” = 365}
Restore via PowerShell
#Restore singolo oggetto
Get-ADObject -Filter {sAMAccountName -eq “m.rossi"}
-IncludeDeletedObjects | Restore-ADObject
#Restore elenco oggetti
Get-ADObject –Filter 'Name –Like "*test*"' –
IncludeDeletedObjects | Restore-ADObject
#Restore elenco oggetti in posizione diversa
Get-ADObject –Filter 'Name –Like "*test*"' –
IncludeDeletedObjects | Restore-ADObject –TargetPath
"OU=OU1,DC=contoso,DC=com"
Novità in WS 2012Restore tramite
l’interfaccia utente di ADAC
(dsac.exe)
Nel Centro di amministrazione di
Active Directory è stato aggiunto
il nodo Deleted Objects
E’ possibile eseguire il ripristino
di un oggetto tramite Restore o
tramite Restore To per il
ripristino in posizione diversa
dall’originale
DEMO
FINE-GRAINED
PASSWORD POLICYNovità di Active Directory in Windows Server 2012 e migrazione
Situazione in WS2000 e WS2003
• La Default Domain Policy definisce le password policies di default
• E’ possibile avere una sola password policy per l’intero dominio, non è possibile avere password policy diverse per OU
• Le impostazioni della password policy non possono essere estese a meno di non utilizzare tool di terze parti
• La password policy del Root Domain non viene ereditata dai Child Domains (sono due password policy scorrelate)
Situazione in WS 2008
• Introdotte le FGPP tramite due nuove classi di oggetti¹• Password Settings Container
• Password Settings Objects
• E’ richiesto livello funzionale di domino WS 2008
• Password/Account lockout policies diverse per Gruppi di protezione Globali o Utenti (o oggetti inetOrgPerson se usati al posto degli oggetti utente)
• Per applicazione alle OU occorre usare gruppo shadow(gruppo protezione globale mappato su una OU)
• L’impostazione richiede la modifica del DB di AD mediante ADSI Edit o ldifde²
¹http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx²http://technet.microsoft.com/it-it/library/cc825610 - http://technet.microsoft.com/it-IT/library/cc770842.aspx
Situazione in WS 2008 R2
#Raise livello funzionale di dominio a WS2008
Set-ADDomainMode -Identity contoso.com -DomainMode 3
#Creazione FGPP e associazione
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -
LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -
LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00"
-MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -
ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1
#Visualizzazione FGPP
Get-ADUserResultantPasswordPolicy test1
#Modifica FGPP:
Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"
#Eliminazione FGPP:
Set-ADFineGrainedPasswordPolicy –Identity TestPswd –
ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd –Confirm
Gestione FGPP via
PowerShell
Novità FGPP in WS2012
Creazione e gestione delle FGPP tramite
ADAC (dsac.exe)
Creazione FGPP
Le FPGP con precedenza più
bassa hanno priorità su quelle
con precedenza più alta
Gruppi di protezione
globali o utenti a cui
viene applicata la FGPP
Impostazione FGPP
Verifica FGPP su Utente
Se non vi sono FGPP assegnate
FGPP risultante, nel caso di più FGPP viene applicata
quella a precedenza inferiore
DEMO
ACTIVE DIRECTORY
POWERSHELL
ENHANCEMENTSNovità di Active Directory in Windows Server 2012 e migrazione
Situazione in Windows 2008 R2
Modulo AD per Windows PowerShell
(*) http://technet.microsoft.com/en-us/library/ee617195.aspx
Novità in WS2012
In ADAC è stata aggiunta la sezione
Windows PowerShell History Viewer
dove vengono visualizzati i comandi
PowerShell corrispondenti ai task
eseguiti
Elenco cmdles: http://technet.microsoft.com/en-us/library/hh852274.aspx
135 Cmdletper gestire
AD DS
Cmdlets per Replica e Topologia
• Estensione modulo AD con 25 cmdlets per gestione Replica e Topologia
• Precedentemente gestione tramite repadmin, ntdsutil e AD Site and Services con difficoltà di automazione
#Informazioni sui siti
Get-ADReplicationSite -Filter *
#Stato replica
Get-ADReplicationUpToDatenessVectorTable dc1.dom.com
#Metadati di replica (repadmin.exe /showobjmeta)
Get-ADReplicationAttributeMetadata -object "cn=domain
admins,cn=users,dc=corp,dc=contoso,dc=com" -server
dc1.dom.com
http://technet.microsoft.com/en-us/library/hh831757.aspx http://technet.microsoft.com/en-us/library/jj574083.aspx
Esempio automazione via PowerShell#Rename the computer
Rename-Computer SrvDC01
#Configurazione IPv4 statico e Gateway
New-NetIPAddress -IPAddress 10.0.0.2 -InterfaceAlias "Ethernet" -DefaultGateway 10.0.0.1 -
AddressFamily IPv4 -PrefixLength 24
#Impostazione server DNS
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.10.10.1
#Join computer a dominio e riavvio
Add-Computer -DomainName corp.contoso.com
Restart-Computer
#Installazione AD DS e DNS e creazione nuovo dominio in una nova foresta
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName corp.contoso.com
#Creazione DNS Reverse Lookup Zone
Add-DnsServerPrimaryZone 0.0.10.in-addr.arpa -ZoneFile 0.0.10.in-addr.arpa.dns
#Creazione nuovo account utente
New-ADUser -SamAccountName User1 -AccountPassword (read-host "Set user password" -assecurestring) -
name "User1" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
#Assegnazione Group membership ad un utente
Add-ADPrincipalGroupMembership -Identity "CN=User1,CN=Users,DC=corp,DC=contoso,DC=com" -MemberOf
"CN=Enterprise Admins,CN=Users,DC=corp,DC=contoso,DC=com","CN=Domain
Admins,CN=Users,DC=corp,DC=contoso,DC=com"
DEMO
VIRTUALIZATION-SAFE
TECHNOLOGY: DOMAIN
CONTROLLER CLONINGNovità di Active Directory in Windows Server 2012 e migrazione
Replica e DC virtuali
• Snapshot di DC non supportato in WS2008R2 e precedenti
• L’applicazione di SnapShot può causare problemi alla replica dovuti allo shift
temporale dal momento che la replica è gestita tramite l’USN e l’InvocationID
Update Sequence NumberIncrementato ad ogni modifica del DB di directory persincronizzare la replica tra DC
InvocationIDGUID memorizzato nell’attributo objectGUID dell’oggetto:cn=NTDS Settings,cn=ServerName,cn=Servers, cn=SiteName,cn=Sites, cn=Configuration,dc=ForestRootDomainCambia solo se viene eseguito il restore del system state o se viene aggiunta o rimossa una partizione applicativa(repadmin /showrepl)
Up-to-dateness vectorMemorizza gli aggiornamenti ricevuti, viene offerto al DC sorgente perché invii solo gli attributi necessari
High water mark (o direct up-to-dateness vector) memorizza gli aggiornamenti più recenti ricevuti da un DC per una partizione, impedisce che il DC origine invii modifiche già registrate sul DC destinazione
Rappresenta la versione del DB di directory a cui Up-to-dateness vector e High water mark fanno riferimento
Rollback USN non rilevato
USN=20IID=A
DC1(A)@USN=20
DC1(A)@USN=30
CopiaVHD
USN=30IID=A
ModificheAD
USN=20IID=A
USN=40IID=A
ModificheAD
DC1(A)@USN=40
La replica
sincronizza su
DC2 le gli USN
tra 20 e 30
USN DC1 > USN DC2 quindi non
viene rilevato il Rollback USN
La replica sincronizza su DC2
solo gli USN tra 30 e 40
Gli oggetti con USN tra 20 e 30
non corrispondono sui due DC
I RODC hanno copie RO delle partizioni AD e non replicano le modifiche ad altri DC.
Non generano Rollback USN, ma possono subirli da altri DC
Read Only DC
RipristinoCopia VHD
DC1
DC2
DC Safe virtualization
• I DC WS2012 sono in grado di rilevare quando:• Viene applicata una Snapshot
• Viene copiata una VM
• La rilevazione utilizza un VM-generation identifier(VM-generation ID) • VM-generation ID viene modificato quando vengono
utilizzate features come gli Snapshots
• Gli snapshots non sono supportati come alternativa al backup dei DC virtuali• Utilizzare Windows Server Backup
• Una soluzione di backup VSS-writer-based
VM-generation identifier
• ID univoco di 128 bit fornito dall’Hypervisor (tramite il VM BIOS) utilizzabile dal guest OS e applicazioni tramite un driver nella VM• Modificato quando la VM usa un file di configurazione diverso
(import VM, applicazione Snapshot , restore backup, failover replica target)
• Supportato da Hyper-V v3 in WS2012
• Anche Vmware e Citrix lo supporteranno
• Durante l’installazione di un DC il VM GenerationID viene memorizzato nell’AD DB locale (DIT) tramite l’attributo msDS-GenerationID dell’oggetto computer del DC WS2012
• msDS-GenerationID non viene replicato
http://www.microsoft.com/en-us/download/details.aspx?id=30707
Utilizzo VM-generation ID
Restore VM Snaphot
msDS-GenerationIDVM Generation ID
- Reset dell’InvocationID
- Svuotamento RID pool
Evitariutilizzo
USN
Reboot VM
- Aggiornamento del DIT con nuovo valore delVM-generation ID
- Sincronizzazione non autoritativa SYSVOL
I DC che detengono ruoli FSMO ritardanol’esecuzione delle funzionalità FSMO sino a quando il ciclo di replica non viene completato
Warning2170
Directory Services Log
Information 13516
File Replication Services Log
Confrontocon esitonegativo
Evita roolbackUSN al reboot di snapshoot di VM
arrestateInformation
4604File Replication Services Log
Clone VM DC
PRE WS2012
• Copia VHD con SYSPREP OS
• Promozione del server a DC
• Attesa replica AD DB (DIT) nel
caso di DC aggiuntivo
• Nel caso di disaster recovery
del primo DC applicazione
dell’ultimo backup del server
WS 2012
• Clone di soli VM DC WS 2012
• Il PDC emulator deve essere
un DC WS2012
• L’uso di DC WS2012 richiede:
• Schema AD ver. >=56 (WS2012)
• Livello funzionale foresta
WS2003 Native o superiore
• Non è possibile eseguire il
cloning del DC PDC Emulator
• Installare i primi due DC e distribuire i ruoli FSMO tra loro
• Installare un terzo DC virtuale senza ruoli FSMO da utilizzare come master per il processo di cloning
Best practies per il clone di VM DC 2012
Creazione VM DC master
1. Installazione VM DC con WS2012 su Hyper-V v3 (o Hypervisor con supporto a VM-Generation ID)
2. Autorizzare il DC ad essere utilizzato come sorgente per il processo di cloning aggiungendo il suo oggetto computer al nuovo gruppo Clonable Domain Controllers
3. Verificare la compatibilità dei servizi in esecuzione sul DC col processo di cloning tramite il cmdlet PowerShellGet-ADDCCloningExecutedApplicationList
4. Configurare il DC tramite il cmdlet PowerShellNew-ADDCCloneConfigFile (IP, Site, Name)• Crea il file DCCloneConfig.xml nella directory dell’NTDS.DIT
• File d’esempio in %windir%\System32\Sample DCCloneConfig.xml
5. Shutdown VM, Export VM e copia dell’esportazionehttp://blogs.technet.com/b/keithmayer/archive/2012/08/06/safely-cloning-an-active-directory-domain-controller-with-windows-server-2012-step-by-step-ws2012-hyperv-itpro-vmware.aspx
Deploy VM DC clone
1. Import della VM e generazione nuovo VM-Generation IDImport-VM –Path «…» -Copy –GenerateNewId
2. Rename della VM e avvio VM
3. Controllo che il DC è un clone verificando:• VM-Generation ID diverso da msDS-GenerationID
• File DCCloneConfig.xml in una delle seguenti posizioni: Directory del file NTDS.DIT
%windir%\NTDS
Root di un media drive removibile
4. Avvio processo cloning mediante provisioning come DC replica con le impostazioni in DCCloneConfig.xml
5. Richiesta al WS2012 PDC emulator di un nuovo machine identity, nuovo SID, nome, password
http://blogs.technet.com/b/keithmayer/archive/2012/08/06/safely-cloning-an-active-directory-domain-controller-with-windows-server-2012-step-by-step-ws2012-hyperv-itpro-vmware.aspx
Cloning Flow: Boot VM DC
Cloning Flow: Provisioning VM DC Replica
DYNAMIC ACCESS
CONTROLNovità di Active Directory in Windows Server 2012 e migrazione
Accesso file server pre WS2012
• Accesso basato sul SID dell’utente e sull’elenco dei SID
dei gruppi di appartenenza determinato al logon
• Sistema di autorizzazione basato su ACL
(Share permissions e NTFS permissions)
• La gestione permissions basata
su gruppi (in certi casi onerosa)A-GG-DLG-P
Share Permissions
NTFS Permissions
Access
Control
Decision
Kerberos flow pre WS2012
Pre-2012
Token
User Account
User Groups
[other stuff]
Dynamic Access Control
CARATTERISTICHE
• Soluzione Claim-Based Access Control
• Claim basati su attributi utente e/o del device in AD¹
• Utilizzo delle informazioni di classificazione dei file
• Central Access Policies per la definizione di granulare delle condizioni di accesso
• Distribuzione CAP ai file server via GPO
• Gestibile tramite PowerShell
REQUISITI
• Uno o più Domain controller
WS2012
• File server WS2012
• Windows 8 per usare le
Device Claim in quanto è
richiesto il supporto al
Kerberos Armoring (FAST)
• Per usare Access Denied
Remedation occorre SMB 3.0
e quindi client W8 o WS2012
Novità in WS2012
¹Claim sono memorizzati nel Ticket Kerberos con il SID dell’utente e delle group memberships
Novità nell’autenticazione
• Flexible Authentication Secure Tunneling (FAST) RFC6113• Fornisce un canale protetto tra client e KDC per lo scambio di Authentication
Service (AS) e Ticket-Granting Service (TGS)
• Protegge i dati di pre-autenticazione utente che sono vulnerabili ad attacchi a dizionario quando generati da una password
• Protegge le autenticazioni utente Kerberos dallo spoofing di errori KDC Kerberosper il downgrade a NTLM o a una crittografia più vulnerabile
• Kerberos armoring• Implementazione di FAST in WS2012
• Usa un TGT del device per proteggere lo scambio di AS col KDC (lo scambio AS del computer non è blindato), in seguito il TGT dell'utente è utilizzato per proteggerne gli scambi TGS con il KDC
• Richiede DC WS2012
• Compound authentication• Estensione della FAST per consentire a KDC WS2012 di creare TGS con dati di
autorizzazione dispositivo per i servizi W8 che sfruttano tali dati
• Richiede DC WS2012 e client W8
Expression-based access policy
User claims
User.Department = Finance
User.Clearance = High
ACCESS POLICY
Per accedere a file riservati del dipartimento Finance un utente deve:
Appartenere al dipartimento Finance
Avere autorizzazione Hight
Accedere da un device del dipartimento Finance
Device claims
Device.Department = Finance
Device.Managed = True
Resource properties
Resource.Department = Finance
Resource.Impact = High
ClientW8
FileServer
WS2012
DCWS2012
Attributi AD Attributi AD Attributi Classificazione
Controllo d’accessoShare Permissions
NTFS Permissions
Central Access Policy
Access
Control
Decision
File/Folder
Security Descriptor
Central Access Policy Reference
NTFS Permissions
Access Control Decision:1) Access Check – Share permissions if applicable2) Access Check – File permissions3) Access Check – Every matching Central Access Rule
in Central Access Policy
Share
Security Descriptor
Share Permissions
Active Directory
(cached in local Registry)
Cached Central Access Policy
Definition
Cached Central Access Rule
Cached Central Access Rule
Cached Central Access Rule
Kerberos flow con client Pre-W8
2012 Token
User Account
User Group
s
Claims
Device Group
s
[other stuff]
Gestionedelle sole
User Claims
Kerberos flow con Compound Identity
2012 Token
User Account
User Group
s
Claims
Device Group
s
Claims
[other stuff]
Gestionedelle User Claims& Device Claims
Configurazione delle Claims
Central Access policy
Claim Types
Classificazione utenti
• Department
• Country
Resource Property List
Aggiunta a ResourceProperty List
• Global Resource Property List
Resources Properties
Classificazione dei file
• Department_MS
• Country (US, JP)
Condizioni per accesso al file
Target Resources
• Exists Department AND Exists Country
Permissions
• Use following permissions as current, Principal: Authenticated - Full Control
• User Departement=Resource Departement AND User Country=Resource Country
Central Access Rule Gruppo di rule che verranno applicate ai file
Abilita DAC
L’impostazione di default
crea solo audit log entries
Configurazione su DC 2012 tramite Active Directory Administrative Center
Deploy Central Access Policy
• Creazione GPO di dominio per i File Server
• Computer Configuration/Policies/Windows
Settings/SecuritySettings/File System/Central Access
Policies
Group Policy
Object
La GPO pubblica la CAP,
tramite più GPO è possibile
pubblicare più CAP
Nella security della GPO rimuovere
Authenticated Users e inserire solo i
file server interessati
CentralAccessPolicy
Configurazione su DC 2012 tramite Group Policy Object
Abilitazione Kerberos Armoring
Computer Configuration/Policies/Administrative
Templates/System/KDC/KDC Support for claims, compound
authentication and Kerberos armoring
Computer Configuration/Policies/Administrative
Templates/System/Kerberos/Kerberos client support for claims,
compound authentication and Kerberos armoring
Configurazione su DC 2012 tramite Group Policy Object
KDC Support for claims, compound
authentication and Kerberos armoring
• Not supported (default)• Claims non disponibile
• Compound authentication non supportata
• Kerberos armoring non supportata
• Supported• Claims disponibile su richiesta
• Compound authentication su richiesta se la risorsa lo supporta
• Kerberos armoring supportata
• Always provide claims• Claims sempre disponibili
• Compound authentication su richiesta se la risorsa lo supporta
• Kerberos armoring supportata e Flexible Authentication via Secure Tunneling (RFC FAST) supportata
• Fail unarmored authentication requests• Claims sempre disponibili
• Compound authentication su richiesta se la risorsa lo supporta
• Rifiuto dei messaggi Kerberos unarmored e Flexible Authentication via Secure Tunneling (RFC FAST) supportata
Richiede DC 2012 per servire le richieste client
Il dominio non deve avere DC2003
Richiede livello funzionale dominio WS2012
Richiede livello funzionale dominio WS2012 e
compatibilità con FAST dei dispositivi (W8)
http://gps.cloudapp.net
Computer Configuration/Policies/Administrative Templates/System/KDC
GPO applicata
ai DC 2012
Deploy File server
• Modifica Proprietà della Folder
• Tab Classification
• Visualizza le Resource Properties definite
• Update-FSRMClassificationPropertyDefinition per forzare l’update delle classificazioni
• Impostazione delle Resource
• Security Tab – Advanced
• Central Policy selezionare la CAP
• Effective Access Tab
• Verifica degli accessi in base NTFS Rules e Central Policy
Resources Properties
Department=Finance
Country = US
Central Access Policy
Configurazione File Server WS 2012 tramite File and Storage Services
SCENARI DI MIGRAZIONENovità di Active Directory in Windows Server 2012 e migrazione
Novità deploy e upgrade
DEPLOY NUOVO DC
• Tutti gli step in un’unica GUI
• Dcpromo dismesso
• Utilizzabile con answer file
• Utilizzabile per demote
• Processo di installazione
basato su PowerShell
• Esecuzione su server multipli
• Deploy remoto di DC
• Wizard di esportazione script
per installazione con le opzioni
specificate nella GUI
UPGRADE DI AD
• Integrazione di Adprep.exe
nel processo di installazione
• Può ancora essere eseguito
da command line
• Reperibile in
media\support\adprep
• Non esiste una versione a 32
bit di Adprep in WS2012
• Validazione dei prerequisiti
• Gli RSAT per WS2012 richiedono W8
• Per eseguire VM WS2012 su HV WS2008R2 occorre la KB2525776
Deploy DC WS2012
• Prerequisiti per deploy di DC 2012
• Livello funzionale foresta Windows Server 2003 o superiore
• Privilegi Enterprise Admin, Schema Admin e Domain Admins
• La promozione a DC di un WS2012 esegue retryindefiniti
• In questo modo tolleranza a problemi di rete
• Sarà l’Amministratore a decidere l’eventuale failure
• Installazione locale o remota tramite Server Manager
• Aggiunta features Active Directory Domain Services
• Avvio del Task Promote this server to a domain controller
• DNS e GPMC installati automaticamenteInst. nuova foresta: http://technet.microsoft.com/en-us/library/jj574166.aspx Upgrade DC a WS2012: http://technet.microsoft.com/en-us/library/hh994618.aspx
Upgrade in-place e AD WS2012
DC Upgrade in-place WS 2012 STD WS2012 DC
WS2008R2 STD
WS2008R2 ENT
WS2008R2 DC
WS2008 STD
WS2008 ENT
WS2008 DC
WS2003/WS2003R2
Domain functional level WS2012
• Dynamic Access Control administrative template policy
• Kerberos armoring KDC administrative template policy
Requisiti per l’upgrade in-place dei DC
• OS upgrade in-place path supportato
• Il drive che contiene il DB di AD (NTDS.DIT) deve avere almeno il 20% di spazio libero
Forest functional level WS2012
Non aggiunge nuove funzionalità
AD Schema version
13 Windows 2000
30 Windows 2003
31 Windows 2003 R2
44 Windows 2008
47 Windows 2008 R2
56 Windows 2012
Migrazione AD da WS2003
1. Join a dominio di un computer WS2012
2. Promozione a DC del computer WS2012
3. Spostamento ruoli FSMO sul DC WS2012
4. Rimozione DNS da DC WS2003
5. Rimozione ruolo Domain Controller sul DC WS2003
6. Pulizia eventuali record DNS relativi a DC WS2003
7. Configurazione replica DFS per la cartella SYSVOL
SYSVOL Replication Migration Guide: FRS to DFS Replication: http://technet.microsoft.com/it-it/library/dd640019(v=ws.10).aspx
DEMO
QUESTIONS&
ANSWERS
Links
• Torino Technologies Group www.torinotechnologiesgroup.it
• SysAdmin.itwww.sysadmin.it
• Windows Server 2012 Virtual Labshttp://technet.microsoft.com/en-
us/windowsserver/hh968267.aspx
Grazie.