Evento Online:ADDS en Windows Server

2012: novedades en Virtualización y Operación

Orador: Pablo Ariel Di LoretoDuración: ~60 minutos.

Orador

Pablo Ariel Di Loreto

@Buenos Aires, Argentina.

Gerente de Servicios IT en Algeiba SA.

MVP Windows Expert - ITPro desde 04/2014.

Twitter: @PabloDiLoreto

Blog: http://www.TecTimes.net

Correo Electrónico: pablodiloreto@hotmail.com

Agenda

• Objetivo & Alcance.

• Breve Introducción a Active Directory Domain Services.

• Novedades para AD DS en Windows Server 2012 / 2012 R2.

• Demos Online. Instantáneas en Controladores de Dominio [Snapshots] | Clonación de

Controladores de Dominio | Directivas de Contraseñas [Fine-grained Passwords y Account

Lockout Policy] | Papelera de Reciclaje de Active Directory [Active Directory Recycle Bin]

• Q&A

Objetivo y Alcance

• Mostrar cuáles son en alto nivel las novedades en Active Directory Domain Services en

Windows Server 2012 relacionadas a Virtualización y Operación de la plataforma.

• Demostrar cómo las Organizaciones pueden aprovechar estas nuevas funcionalidades en pos

de agilizar la operación y minimizar el riesgo en ejecución de actividades críticas.

• Realizar demostraciones sobre posibilidades de clonación de controladores de dominio,

vuelta atrás de una instantánea, administración de políticas de contraseña y recuperación de

objetos eliminados mediante el entorno gráfico.

ACTIVE DIRECTORY DOMAIN SERVICES

Breve Introducción

Introducción a AD DS

• Implementación de LDAP por parte de Microsoft.

• Componentes:

– Bosque: límite de seguridad.

– Dominio: límite de administración.

• Active Directory en Windows Server 2012 está

confirmado por 5 roles: Active Directory Domain Services (AD

DS), Active Directory Federation Services (AD FS), Active Directory

Certificate Services (AD CS), Active Directory Lightweight Services

(AD LS) y Active Directory Rights Management Services (AD RMS).

ACTIVE DIRECTORY DOMAIN SERVICES EN WINDOWS SERVER 2012

Novedades

Virtualización Segura de DCs

Pre-Windows 2012

Despliegue de DCs virtualizados:

• Realizado por muchos años.

• Basado en practicas bien definidas.

Evitar siguientes acciones sobre estos DCs:

• Aplicación de Instantáneas (Snapshots).

• Exportar una máquina virtual que sea DC.

• Copiar discos virtuales (VHDs).

Post-Windows 2012

Despliegue de DCs virtualizados:

• Soportado totalmente.

• Detección y tratamiento de instantáneas.

• Detección y tratamiento de clonación.

• Nuevo identificador llamado “VM-

Generation ID” que permite el soporte de

instantáneas.

Virtualización Segura de DCs

Instantáneas [Snapshots] antes de Windows 2012

Problemas potenciales en aplicación de Instantáneas

en Aplicaciones Distribuidas (AD):

• Desplazamiento de Reloj Lógico.

• Operaciones ocurren fuera de la conciencia del OS.

• El reloj lógico es utilizado para rastrear cambios.

• El reloj lógico de AD es el Update Sequence Number.

• USN graba la secuencia de actualizaciones realizadas en

cada Controlador de Dominio.

Virtualización Segura de DCsInstantáneas [Snapshots] antes de Windows 2012

Virtualización Segura de DCs

Impacto en la replicación:

• Lingering Objects.

• Contraseñas inconsistentes.

• Valores de atributos inconsistentes.

• Inconsistencias en Esquema de AD ante

eventual rollback del Schema Master.

Impacto en Security Principals:

• Duplicación de SIDs.

• Acceso no autorizado a recursos por un

período de tiempo.

• En última instancia, además, los usuarios

afectados no podrán iniciar sesión.

Instantáneas [Snapshots] antes de Windows 2012

Virtualización Segura de DCs

Controladores de Dominio virtualizados:

• Soportado totalmente.

• Detección y tratamiento en la aplicación de instantáneas.

• Detección y tratamiento de equipos virtuales copiados.

• Nuevo identificador llamado “VM-Generation ID” que permite el soporte de

instantáneas.

Instantáneas [Snapshots] luego de Windows 2012

Virtualización Segura de DCsInstantáneas [Snapshots] luego de Windows 2012

Virtualización Segura de DCs

VM-Generation ID:

• Debe ser soportado por el Hypervisor, como Hyper-V de Windows Server 2012.

• Identificador de 128 bits que los sistemas operativos virtualizados y aplicaciones

instaladas en los sistemas pueden aprovechar.

• A disposición de las aplicaciones a través del controlador de Windows Server 2012.

Instantáneas [Snapshots] luego de Windows 2012

Virtualización Segura de DCs

VM-Generation ID en Active Directory:

• Permite al DC para detectar cambios y proteger Active Directory.

• Es un atributo no replicado alojado en el Objeto “Computer”.

VM-Generation ID en la Replicación:

• El DC compara el VM-Generation ID en NTDS.DIT contra el actual.

• Si es diferente invalida el RID Pool y solicita actualización.

Instantáneas [Snapshots] luego de Windows 2012

Virtualización Segura de DCs

Semántica de la generación de VM-Generation ID:

• Si una operación de Virtualización causa un contexto de cambio en Active Directory: el

sistema de virtualización debe proveer un nuevo VM-Generation ID.

• Si una operación de Virtualización no causa un contexto de cambio Active Directory: el

sistema de virtualizción NO debe proveer un nuevo VM-Generation ID.

• Si no está claro si una operación de virtualización provocará un contexto de cambio en

Active Directory: el sistema de virtualización DEBE proveer un nuevo VM-Generation ID.

Instantáneas [Snapshots] luego de Windows 2012

Implementación Rápida con Clonación

• Posible gracias al atributo VM-Generation-ID.

• Permite distribución e implementación rápida

de Controladores de Dominio.

• El Controlador de Dominio debe ser autorizado

a ser clonado.

Implementación Rápida con Clonación

• Identificar el DC adecuado para clonación.

• Autorizar el DC para clonación agregandolo al grupo “Cloneable Domain Controllers”.

• Correr el CMDLet New-ADDCCloneConfigfile

• Verifica los pre-requisitos.

• Verifica la autorización del DC.

• Permite especificar el Nombre, Dirección IP, Servidores DNS, Sitio, etc.

• Un ejemplo está proporcionado en: %windir%\system32\SampleDCCloneConfig.xml

Pasos a seguir en alto nivel

Implementación Rápida con Clonación

• Ejecutar Get-ADDCCloningExcludedApplicationList [-generateXML]

• Apagar y exportar el disco del DC a clonar.

• Iniciar normalmente el otro DC utilizado de base.

• Importar el clon del DC a clonar tantas veces como se desee e iniciar el/los equipos.

– $vm = Import-VM -Path "E:\Virtuales\SourceDC\Virtual Machines" -Copy –GenerateNewId

– Rename-VM -VM $vm -New-Name "VirtualDC2"

Pasos a seguir en alto nivel

Implementación Rápida con ClonaciónArchivo XML de ejemplo

Implementación Rápida con ClonaciónResumen del Proceso

Implementación y Actualización mejorada

• Integración de Adprep en la instalación de AD DS.

• La instalación del rol puede ser ejecutada en

multiples Servidores.

• Validación de pre-requisitos durante el proceso

de configuración de AD DS.

• Asistente agrupado en secuencias ordenadas.

• Script para exporter a PowerShell.

Administración Simplificada

• Dynamic Access Control.

• DirectAccess Offline Domain Join.

• Active Directory Federation Services (AD FS).

• Interfaz gráfica para Papelera de Reciclaje de AD DS.

• Visor Histórico de Windows PowerShell.

• Mejoras en Group Policy Management Console.

Administración Simplificada

• Interfaz de Usuario para Políticas de Contraseña

Granuladas.

• CMDLets de Windows PowerShell para Replicación y

Topología de Active Directory.

• Active Directory Based Activation (AD BA).

• Group Managed Service Accounts (gMSA).

Cambios en la Plataforma

• AD DS Claims in AD FS.

• Deferred Index Creation.

• Kerberos Enhancements.

• Otros…

ACTIVE DIRECTORY DOMAIN SERVICES EN WINDOWS SERVER 2012 R2

Novedades

WorkPlace Join y Single Sign-On (SSO)

• Registrar sus dispositivos en Active Directory,

Configuration Manger y Windows Intune.

• Registro de tipo user@device.

• Certificado para los dispositivos (identidad de

dispositivo y usuario autenticado) -> Acceso a

recursos publicados por Web Application Proxy.

• No incluye políticas de cumplimiento. Para esto ->

Windows Intune y/o SCCM.

Web Application Proxy (AD FS)

• Proxy reverso para aplicaciones web internas.

• Pre-autentica el acceso a las aplicaciones web utilizando Active Directory Federation Services.

• Proxy de AD FS.

Multi-Factor Authentication (MFA)

• Autenticación:

– Métodos de Autenticación Primarios.

– Métodos de autenticación adicionales.

• MFA proporciona asistencia en configuración de

Métodos de Autenticación Adicionales.

Multi-Factor Access Control

• AD FS da soporte a múltiples factores: Usuario,

Dispositivo (Wordplace Join), Ubicación, Datos de autenticación

(MFA).

• Políticas flexibles y expresivas por aplicación.

• Creación de reglas de autorización (terceros).

• Experiencia enriquecida gráfica para escenarios de

control de accesos multifactoriales comunes.

• Mensajes personalizados de “Acceso Denegado”.

RESUMEN DEL EVENTO Y RECURSOS

Resumen

Resumen del Evento

• Breve Introducción a Active Directory Domain Services.

• Virtualización Segura. Snapshots en AD DS

• Implementación Rápida con Clonación.

• Administración Simplificada. Active Directory Administrative Center | Interfaz gráfica para Papelera de

Reciclaje de AD DS | Visor Histórico de Windows PowerShell | Mejoras en Group Policy Management Console |

Interfaz de Usuario para Políticas de Contraseña Granuladas

• Acceso Seguro. WorkPlace Join | Single Sign-On | Web Application Proxy | Multi-Factor Authentication | Multi-

Factor Access Control

Material del Evento

• Compilación de Artículos, Tutoriales y guías “Cómo hacer” del evento:

http://www.tectimes.net/Evento20140508

• ¿Qué hay de Nuevo en Windows Server 2012 R2?:

http://www.tectimes.net/WindowsServer2012R2

• Próximos Eventos:

http://www.tectimes.net/Eventos

Q&A

Preguntas y Respuestas

¡Muchas Gracias!

Twitter: @PabloDiLoreto

Blog: http://www.TecTimes.net

Correo Electrónico: pablodiloreto@hotmail.com

Contacto con Algeiba: info@algeiba.com.ar