Active Directory-Domänendienste{ in Windows Server® 2008}

Ulf B. Simon-WeidnerSenior Consultant , Trainer, Autor

Neue Begrifflichkeiten

Active Directory

Active Directory Domain Services

Active Directory

Application Mode

Active Directory Leightweight

Domain Services

Active Directory Federation Services

Active Directory Federation Services

Rights Management

Services

Active Directory Rights Management

Services

Certificate Services

Active Directory Certificate Services

Active Directory Neuerungen:Installation

Servermanager:Installation der Active Directory Produkte als Rollen

Überwachung der Standarddienste für Active Directory

Domänenkontroller Installations Assistent (DCPromo):Implementieren von Best Practices bei der Standardinstallation

Einrichten von DNS-Weiterleitungen und –Delegationen

Aktivieren des Globalen Katalogservers

Installation von Read-Only-Domänenkontrollern (wenn gewollt in zwei Stufen)

Erstellen von Unattended-Dateien

Installation über Kommandozeile möglich

Active Directory: Benutzeroberfläche

Bessere Integration der KonsolenAttribute EditorLDPServer Manager

Überwachung der RolleAdministration der RollePerformance Analyzer

Read-Only-DomänenkontrollerHerausforderung:

Sicherheit in verteilten Infrastrukturen (ungesicherter Domänenkontroller)

Lösung: Read-Only-DomänenkontrollerAD-DS, DNS und GC für Filialbüros

Akzeptiert keine Änderungen (write-referral)

"Cached Secrets" werden nur repliziert, wennsie in der "Allow-Liste" sind

Administratorenkonten sind standard-mäßig in der "Deny-Liste", deren Passwörter werden nicht auf den RODCs gecached

RO-PAS: Attribute können von der Replikation auf RODCs ausgenommen werden

Read-Only-DomänenkontrollerErläuterungen

DNS-UpdatesMehrere DomänenMehrere RODCs in einem StandortExchange

Wartung des Active DirectoryBisher:

Directory Services Restore Modus für viele Wartungsaufgaben notwendig

Neu: Active Directory lässt sich stoppen, bestimmte Wartungsaufgaben wie Offline-Defragmentierung können in diesem Modus durchgeführt werdenVorteil: Weniger "Downtime", besser per Script ausführbar

Achtung: DSRM-Administrator kann sich nicht bei gestopptem DS anmelden, aber:HKLM\system\currentcontrolset\Control\LsaDsrmAdminLogonBehavior: REG_DWORD0: DSRM-Admin kann sich nur im DSRM anmelden

(Standardeinstellung)1: DSRM-Admin kann sich im DSRM und wenn NTDS gestoppt ist

anmelden2: DSRM-Admin kann sich jederzeit anmelden

Fine Grained Password PoliciesPasswort Einstellungen

Bisher: eine Passwort-Richtlinie pro DomäneNeu: Passwort- und Kontosperrung können beliebig definiert werden

Werden Gruppen oder Benutzerkonten zugeordnet"Precedence" bestimmt im Konfliktfall welche Einstellung angewendet wird

Voraussetzung: Domäne im Windows Server 2008-Modus (alle DCs der Domäne auf Windows Server 2008)

Wie:Password Settings Object in cn=Password Settings, cn=System, dc=... erstellen, dann mit Gruppe (oder Benutzer) verlinken

Fine Grained Password PoliciesErläuterungen

GUI / ToolsWarum auf Gruppen/User statt Ous?Warum nicht über GPO verwaltet?

Active Directory SnapshotsActive Directory-Snapshots

Snapshot kann online erstellt werden

Snapshot hält aktuellen Stand des AD komplett fest

Snapshot / Backup kann jederzeit als zusätzliches LDAP-Verzeichnis gestartet werden

Online Zugriff mittels LDAP-Browser/Scripts

Mehrwert:

Active Directory-Recovery (Objekte / Attribute)

Identifizieren des richtigen AD-Backups

Kundenszenario:Präventive Maßnamen AD-Recovery

Lokales Backup / Versionierung auf Fileserver / Band

Schneller Restore der "gestrigen" Daten

Restore der letzten Tagesversionen über Netzwerk

Install from Media

Active Directory-RecoverysiteOnline-Recovery

Domain- / Forest-Recovery

Active Directory-SnapshotsObject-Recovery / Tombstone Reanimation

Attribute Recovery

Wiederherstellungsstandorte

Active Directory Snapshots

Geschützte Objekte

Objekte können vor versehentlichem Löschen / Verschieben geschützt werdenStandard bei OUs die mit Active Directory-Benutzer und –Computer von WS2k8 erstellt werdenEntspricht :

Deny Everyone to DeleteDeny Everyone to Delete Subtree

Überwachungsrichtlinien fürActive Directory

Eigene Ansichten des Eventlogs möglichWeiterleiten und zentrales Sammeln von bestimmten EreignissenAufgaben können durch Events ausgelöst werdenMehr Details in Audit-Logs

Z.B. Attributänderungen

auditpol /get /category:“DS Access“auditpol /set /subcategory:“Directory Service Changes“

DNS Neuerungen

IPv6Starten von DNSSupport von RODCsTimestamps in GUIDNAME-Support: Alias für NamensräumeBedingte Weiterleitungen werden in der GUI unterstütztBisher: dnscmd

/ZoneAdd myexample.net /DsForwarder 10.1.2.4 /DP /forest

DNS Neuerungen

GlobalNames-Zone

Kein WINS mehr?

Wird in DNS erstellt

Muss auf Windows Server 2008 liegen

Antwortet Kurznamen auf alle ZonenanfragenDnscmd /config /EnableGlobalnamesSupport

Multidomain:

Repliziert in AD auf möglichst alle Server

SRV-Record in _msdcs möglich

Quickwins

Active Directory NotfallplanungActive Directory SnapshotsProtected Objects (Objekte vorm löschen schützen)

Einsatz von Windows Server 2008 in Niederlassungen

Read only DCFine Grained Password PolicyActive Directory Attribute EditorActive Directory Management (dcpromo, aduc)DNS Management (conditional forwarder, dnsmgmt)Active Directory Auditing

Partner auf dem Launch 2008

Europas führender herstellerübergreifender Dienstleister für Informationstechnologie

Windows Server 2008 im Haus implementiertKundenprojekte zu WS2k8 seit Anfang 2007Zahlreiche ReferenzenGroße Erfahrung bei Migrationsprojekten

Das Magazin für professionelle System- und Netzwerkadministration

Mai / Juni 2007: Vorschau auf Windows Server 2008November 2007 bis Januar 2008: Serie zu Windows Server 2008März / April 2008: Active Directory Wiederherstellung mit Windows Server 2008

Windows Server 2008Ressourcen

Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx

Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx

Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx

Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx

Ressourcen

Mein Blog (Directory Services – Active Directory):www.msmvps.com/UlfBSimonWeidner

Fine Grained Password Policies:Psomgr: www.joeware.netMMC:

http://blogs.chrisse.se/blogs/chrisse/archive/2007/07/14/fine-grain-password-policy-tool-beta-1-is-ready.aspx

PowerGUI: http://dmitrysotnikov.wordpress.com/2007/06/19/free-ui-console-for-fine-grained-password-policies/

SpecOps Password Policiy™ Basic:http://www.specopssoft.com/wiki/index.php/SpecopsPasswordPolicybasic/SpecopsPasswordPolicybasic/

Konferenzen:Directory Experts Conference USA (Chicago, April)TechEd USA (Orlando, Juni)Directory Experts Conference Europe (Ort tba, Herbst 2008)TechEd IT-Forum Europe (Barcelona , November)

Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.