Tomek Onyszko Microsoft Services | W2K.PL 3/28/2017 5:45 AM Windows Community Launch Windows 2008 R2 a usługa katalogowa Tomek Onyszko Microsoft Services | W2K.PL © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Nowe elementy \ funkcjonalność Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Na początek – architektura …

Windows Server 2008 Windows Server 2008 R2 ADUC/ADSS/ADDT WSH ADSI LDAP MMC … GUI DS RPC-Based Protocols DRS SAM CLI Windows Server 2008 R2 Klient Administrative Center GUI BPA AD PowerShell MUX WCF .NET WPF Serwer WCF .NET Web Services .NET S.DS.P / S.DS.AM / S.DS.AD DS RPC-Based Protocols … DRS SAM LDAP Active Directory Core

… a teraz - funkcjonalność

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Offline Domain Join (ODJ) TechReady7 Breakout Chalktalk Template 3/28/2017 Offline Domain Join (ODJ) Po co to? Pozwala na pełne dodanie klienta do domeny bez kontaktu z kontrolerem domeny Zalety Możliwość aplikacji na VHD Maszyna dołączana do sieci nie musi posiadać połączenia sieciowego Jednak jeżeli nie ma cached credentials na stacji połączenie może się przydać  Wymagania BRAK zależności od poziomu lasu \ domeny NIE WYMAGA kontrolera domeny 2008 R2 WYMAGA klienta Windows 7 lub Windows Server 2008 R2 © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

ODJ – jak to działa? Polecenie DJOIN.exe przejmuje poświadczenia potrzebne do wykonania operacji i tworzy “plik” ”plik” zawiera Informacje o maszynie Nazwę, hasło Informacje o docelowej domenie Nazwa, GUID, SID Informacje o lesie Nazwę Informację o pomocniczym DC Nazwę, adres, informację o lokacji

ODJ – co należy pamiętać Tworzony jest jeden plik dla maszyny NIE MOGĄ być użyte ponownie Zawartość “pliku” nie jest szyfrowana (base64) Zawiera hasło w zasadzie w czystym tekście Należy je chronić przed przejęciem Wygenerowane pliki nie mają czasu życia

ODJ – jak to zrobić? Zainstalować nową maszynę Win 7 lub R2 Zamknąć system operacyjny nowej maszyny, uzyskać dostęp do jej dysku Na innej maszynie dołączonej do domeny wykonać polecenie (z odpowiednimi uprawnieniami) – Włączyć system operacyjny nowego klienta djoin /provision /domain <docelowa domena> /machine <nazwa nowej maszyny> /savefile <nazwa pliku> djoin /requestODJ /loadfile <nazwa pliku> /windowspath <folderu %windir% na nowym systemie >

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

AD Web Services (ADWS) Co to? Do zapamiętania Web Services nasłuchująca na porcie TCP/9389 Dostępna dla usługi katalogowej (DS) i Lightweight Directory Services (LDS) Zbudowana w oparciu o protokoły WS-* i WCF WS-Enum, WS-Transfer, IMDA Podstawa dla przyszłych interfejsów programistycznych Do zapamiętania Uzupełnienie interfejsów LDAP i RPC dla zarządzania Wykrywana przez klienta poprzez proces lokatora – LDAP Ping (skalowanie) Nie wymaga instalacji IIS na DC

ADWS Wymagania Wymagane wdrożenie na odpowiedniej liczbie DC Kontroler domeny Windows Server 2008 R2 Domain Controller lub instancja AD LDS Wsparcie dla Windows Server 2003 i 2008 Active Directory Management Gateway (ADMG) - uaktualnienie OOB Musi działać lokalnie na DC lub instancji LDS Wymagane wdrożenie na odpowiedniej liczbie DC Wymagane na DC dla każdego NC zarządzanego przez mechanizmy ADWS

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Moduł PowerShell Co to? Po co? Wymagania PowerShell for Active Directory Module to zestaw poleceń PowerShell przeznaczonych do zarządzania AD i AD LDS Interfejs administracyjny, dostęp do konfiguracji i do zapytań Po co? Podstawa pod przyszłe mechanizmy zarządzania katalogiem De-facto standard zarządzania w środowisku Windows Server Wymagania Windows 7 lub Windows Server 2008 R2 PowerShell 2.0 ADWS (lub ADMG) na zarządzanym DC(s) Cmdlet’y z modułu nie używają LDAP

PowerShell dla AD Instalowany poprzez Moduł rozszerzający PowerShell Server Manager / Windows Server 2008 R2’s DCpromo Remote Server Admin Tools dla Windows 7 client (RSAT) Moduł rozszerzający PowerShell PS C:\> import-module ActiveDirectory PS C:\> Get-Command -module ActiveDirectory ~90 cmdlet dla AD i AD LDS PowerShell Provider dla Active Directory

demo Moduł PowerShell dla Active Directory

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Best Practice Analyzer (BPA) Co to? Analizuję konfiguracje usługi i wskazuje odstępstwa od best practices Wskazuje rozwiązania problemów Nie wykonuje modyfikacji \ akcji naprawczych samodzielnie Jak? Skan uruchamiany poprzez Server Manager lub PowerShell Loklanie lub zdalnie Skanowanie manualny (task scheduler) Skan wykonywany lokalnie na DC  Nie skanuje całego środowiska katalogu Wymaga Windows 2008 R2 (tylko R2 !!!) Kwartalne uaktualnienia dla BPA dostępne będą przez Windows Update

BPA – uruchomienie skanu … Server Manager … PowerShell Import-Module BestPractices Invoke-BPAmodel Microsoft\Windows\DirectoryServices Get-BPAresult Microsoft\Windows\DirectoryServices

BPA – co jest sprawdzane (RTM) DNS Rejestracja i rozwiązanie rekordów A/AAAA Disaster Recovery Ilość DC \ domena Czas życia kopii zapasowych Replication Co najmniej 1 GC \ site Stan KCC Informacje dla VMs Topologia Rozmieszczenie i dostępność DC z rolami FSMO Lingering Objects Stan Strict Replication Consistency Time service PDC time source Wartości graniczne Max[POS|NEG]PhaseCorrection

demo Best Practices Analyzer

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Recycle Bin Co to? Po co? Wymagania Pozwala na odzyskanie skasowanego obiektu w jego oryginalnym kształcie z wszystkimi wartościami Główna zaleta – linki pozostają nienaruszone po skasowaniu obiektu Dodatkowy stan linku \ kolumna w bazie danych (link_deActiveTime) Po co? Pełna możliwość odzyskania obiektu bez użycia kopii zapasowej Wyeliminowanie obiektów tombstone z procesu odtworzenia Wymagania Poziom lasu 4 (WIN2008R2) Zmiana procesu usuwania fantomów w danych Włączenie funkcjonalności w katalogu

Żywot Briana (jako obiektu) Tombstone Object Windows Server 2008 - bez Recycle Bin Garbage Collection Brian Auth Restore/ Odzyskanie Skasowanie Tombstone Lifetime 180 dni Recycled Object Deleted Object Windows Server 2008 - z włączonym Recycle Bin Garbage Collection Skasowanie Odzyskanie Deleted Object Lifetime 180 dni Recycled (Tombstone) Object Lifetime Brian

Zwraca Deleted i Recycled Żywot Briana c.d. 180 dni Windows Server 2008 Brian Tombstone Object Garbage collection Zwraca Tombstones LDAP OID 1.2.840.113556.1.4.417 Zwraca Deleted Windows Server 2008 R2 - z włączonym Recycle Bin LDAP OID 1.2.840.113556.1.4.2064 Zwraca Deleted i Recycled Brian Deleted Object Recycled Object Garbage collection 180 Days 180 Days

Recycle Bin – trzeba wiedzieć Wpływ na DIT Pierwszy DC generuje ruch replikacyjny isRecycled = True dla wszystkich skasowanych obiektów Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia Dostępy jako dodatkowa funkcja Pierwsza (jak dotąd jedyna) implementacja optional feature Włączana poprzez modyfikację atrybutu katalogu (Powershell lub LDAP) Enable-ADOptionalFeature ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet –Target {docelowy DC lub instancja LDS} Zmiany w katalogu Po ustawienia isRecycled, blokowane jest odzyskanie tombstone Możliwe poprzez dodatkową opcje NTDSUTIL.EXE

Optional features Recycle Bin msDS-EnabledFeature CN=Optional Features, CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=W2K,DC=PL msDS-EnabledFeature CN=Partitions, CN=Configuration, DC=W2K,DC=PL Recycle Bin msDS-EnabledFeatureBL objectClass: msDS-OptionalFeature msDS-OptionalFeatureFlags: FOREST_OPTIONAL_FEATURE msDS-OptionalFeatureGuid: 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a msDS-RequiredForestBehaviorVersion: DS_BEHAVIOR_WIN7

Recycle bin – warto wiedzieć Czas życia obiektów: Atrybuty CN=Directory Services,cn=Windows NT… msDS-DeletedObjectLifetime (DOL) tombstoneLifetime (TSL, ROL) Domyślnie DOL == ROL == 180 dni Każdy z nich może mieć inną wartość Czas życia kopii zapasowych MIN (DOL, ROL) Dotyczny kopii zapasowych i IFM Nie wolno odzyskiwać obiektów w stanie RECYCLED

Recycle Bin – odtwarzanie Delete OU=Finanse OU=Admins CN=Tom CN=Sally CN=Mark OU=Finanse Undelete OU=Admins CN=Tom CN=Sally Brak GUI PowerShell lub LDAP Deleted Objects Płaska lista obiektów Zmieniony RDN (<RDN>+DEL:+CHAR(0A)) Zachowane wszystkie atrybuty (linki) Wypełnione lastKnownParent and lastKnownRDN Obiekt MUSI być odtwarzany do istniejącego rodzica Odtworzenie obiektów top-down CN=Mark CN=Deleted Objects OU=Finanse\0ADEL:... CN=Mark\0ADEL:… OU=Admins\0ADEL:… CN=Tom\0ADEL:… CN=Sally\0ADEL:… CN=Robert\0ADEL:…

demo Recycle Bin

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSAs) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Managed Service Accounts (MSA) Co to? Nowa klasa podmiotów bezpieczeństwa (security principal) Przewidziana do użycia przez usługi Zastępstwo dla standardowych kont serwisowych Dostarczają mechanizmów automatycznego zarządzania hasłami Do zapamiętania Można używać tylko jednego MSA per usługa \ serwer Nie można współdzielić jednego MSA na różnych maszynach Wymaga Windows 7 lub Windows 2008 R2

MSA – zarządzanie hasłami Hasła MSA Generowane przez system operacyjny Skomplikowane hasła z dużą entropią Długość hasła: 240 bajtów Zmieniane zgodnie z ustawieniem NETLOGON MaximumPasswordAge Zarządzanie manualne hasłem PS C:\> reset-ADServiceAccountPassword <MSA> PS C:\> nltest /sc_change_pwd:<SAMAcctName> Nie podlegają domenowej polityce haseł Nie podlegają mechanizmom FGPP

MSA – krótka ściąga Utworzenie MSA Przypisanie MSA do serwera PS C:\> New-ADServiceAccount –Name {nazwa} –Path {ścieżka w DS} Przypisanie MSA do serwera Add-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA} Instalacja MSA na lokalnym systemie Install-ADServiceAccount –Identity {MSA}

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Podsumowując

Windows 2008 R2 to … … ewolucja a nie rewolucja Nowe funkcje Nowe mechanizmy zarządzania PowerShell AD AC, BPA … zmiany będące podstawą dla dalszego rozwoju usługi AD Web Service Optional features

Funkcjonalność a wymagania Minimalne wymaganie … ... pozwalające na użycie Windows 7 lub Windows 2008 R2 jako klient Offline Domain Join Managed Service Accounts + jedna lub więcej instancji Web Services (również ADMG) Active Directory Administrative Center Moduł PowerShell dla Active Directory + jeden lub więcej kontroler domeny Windows Server 2008 R2 Best Practices Analyzer Synchronizacja hasła DSRM + Windows Server 2008 R2 Domain Functional Level Authentication Mechanism Assurance + Windows Server 2008 R2 Forest Functional Level Recycle Bin

Pytania … … i ewentualnie odpowiedzi

Dziękuję !!! Kontakt: t.onyszko@w2k.pl http://www.w2k.pl