WINDOWS SERVER 2012 ACTIVE DIRECTORY E

SERVER MANAGERFABIO HARA, TECHNICAL EVANGELIST, MICROSOFT

www.fabiohara.com.br@fabiohara

PPT original via Daniel Petri (Microsoft PFE – Israel)http://blogs.microsoft.co.il/blogs/danielp/

ImpressõesNovos Recursos do AD

Agenda

Melhoramentos no AD

Areas de Investimentos / Nosso principais objetivos

Resumo dos requisitos

Gerenciamento de Servidor Simplificado

Impressões

Virtualização que “Simplesmente Funciona”

Gerenciamento Simplificado do Active Directory

Implantação Simplificada do Active Directory

Filosofia de Gerenciamento do Windows Server

O Novo Windows Server Manager

SoluçãoInvestimento em gerenciamento remoto

multi-servidor

• Taxa de administração “Admin por

Servidor” melhorada

Design de Interface de Usuário com

Princípios

• Mudança de contexto minimizada

• Informações eficientes e relevantes

Fácil aprendizado para automação

Requerimentos

• Para Windows Server 2012

– OOB

• Para Windows 8 – instale

RSAT

• Para gerenciar Windows

Server 2008/R2 – Instale

WMF 3.0,

.NET 4.0, Habilite

PowerShell remoting e

instale KB2682011

Gerenciamento de Servidor Simplificado

Gerenciamento de ServidoresDemo

Recursos Diversos Gerenciamento

Novos Recursos e Melhoramentos do AD

• Implantação Simplificada

• Tecnologia Segura para

Virtualização

• Implantação Rápida

• Alterações na Plataforma do

Active Directory

• Lixeira com Interface Gráfica

• Fine-Grained Password Policy

User Interface

• Dynamic Access Control *

• E muito mais…

Antes…

Implantação Simplificada do AD

Utilizar o ADPREP exige cuidados:• Consumo de tempo• Passível de erros• Complexo

No passado os IT pros eram requisitados para:• Colocar na versão correta• Logon interativo para DCs específicos• Executar a ferramenta de preparação na sequência correta• Aguardar pela convergência de replicação

Solução

Implantação Simplificada do AD

• Integrado

• Automatizado

• Validação

• Suporte para execução remota

• PowerShell

Requerimentos• Servidor com Windows

Server 2012• Nível functional

Windows Server 2003 ou superior

Implantação de DCsDemo

No passado, falhas de rede durante o DCPROMO podiam impactar negativamente todo o processo

Implantação Simplificada do AD

No Windows Server 2012, a promoção utiliza um loop indefinido de novas tentativas• Até o administrador resolver o problema de rede, ou clicar

em “Cancelar”

No passado, o Install From Media (IFM) era usado para fazer uma desfragmentação obrigatória offline no arquivo DIT• Em um arquivo DIT muito grande, isto podia levar horas, até

dias…• Ninguém realiza uma desfragmentação offline …

Implantação Simplificada do AD

No Windows Server 2012, NTDSUTIL > IFMprep elimina a passagem pela desfragmentação (opcional)• Criar um arquivo para mídia IFM é muito mais rápido

Implantação de DCs - IFMDemo

Implantação Simplificada do AD

Antes

Tecnologia Segura para Virtualização

Criar snapshots ou copiar VMs/VHDs de DCs virtualizados e depois retornar a estes pontos de restauração causam impactos• Lingering objects• Senhas inconsistentes• Valores de atributos inconsistentes• Diferenças no Schema• SIDs duplicados

17

Lin

ha d

o T

em

po d

os

Even

tos

TIME: T2

TIME: T3

TIME: T4

CreateSnapshot

T1 SnapshotApplied!

USN: 100 ID: A

RID Pool: 500 - 1000

USN: 100 ID: A

RID Pool: 500 - 1000

USN: 250ID: A

RID Pool: 650 - 1000

+150 more users created

DC1(A)@USN = 200

DC2 receives updates: USNs >200

DC1(A)@USN = 250

USN: 200ID: A

RID Pool: 600- 1000

+100 users added

DC2 receives updates: USNs >100

DC

1

DC

2

TIME: T1

USN rollback NOT detected: only 50 users converge across the two DCsAll others are either on one or the other DC100 security principals (users in this example) with RIDs 500-599 have conflicting SIDs

Como Domain Controllers são Impactados

Solução

Tecnologia Segura para Virtualização• DCs Virtuais usam um “VM

GenerationID”

• Quando um ponto de restauração for

ativado, o GenerationID é alterado

• DC verifica durante o reboot, e por

cada escrita no DIT

• Se alterado, passos de proteção são

iniciados

Requerimentos

• DCs com Windows

Server 2012

em uma plataforma de

virtualização que

suporte GenerationID:

• Hyper-V 3.0

• Hypervisors de

terceiros

Tecnologia Segura para Virtualização

Antes

Implantação Rápida

Implantar DCs virtualizados era tão trabalhoso quanto implantar

DCs físicos

• Preparação e implantação de uma imagem de servidor com

sysprep

• Promoção manual de um DC

• Em alguns casos era necessário passos adicionais de

configuração após implantar

Virtualização traz capacidades que simplificam implantação

Solução

Implantação Rápida: Domain Controller Cloning

• Cria réplicas de DCs virtualizados

através de clonagem de DCs

existentes

• Grande ajuda para cenários de

Disaster Recovery

• Permite capacidades de

provisionamento elático

Requerimentos

• DCs com Windows Server

2012

DCs em hypervisors que

suportem GenerationID

• PDC FSMO no Windows

Server 2012 (não pode ser

clonado)

• DC de origem deve ser

autorizado para clonagem

Implantação de DCs – ClonagemDemo

Implantação Rápida: Domain Controller Cloning

Implantação Rápida: Domain Controller Cloning

Antes

Lixeira com Interface Gráfica

Introduzido com Windows Server 2008 R2, permite que

administradores

recuperem objetos apagados, como usuários, grupos, OUs, etc

• Tipicamente com alta prioridade

No passado, IT pros eram requisitados para habilitar e usar a

lixeira via comandos do PowerShell

• Complexo, não muito fácil de lembrar e usar

Solução

Lixeira com Interface Gráfica

• Recuperação de objeto

simplificado

• Fácil para usar interface

gráfica

• Reduz tempo de recuperação

• Restaura todos os atributos e

membros de grupos

Requerimentos• Windows Server 2008 R2 FFL• Recurso opcionais de Recycle

Bin deve ser habilitado • Windows Server 2012 Active

Directory Administrative Center• Objetos apagados não podem

ter mais de 180 dias (padrão para Deleted Object Lifetime = 180 dias)

Lixeira com Interface GráficaDemo

Lixeira com Interface Gráfica

Antes

Fine-Grained Password Policy UI

Introduzido com Windows Server 2008, permite gerenciamento mais

granular da política de senhas

• Necessário criar manualmente password-settings objects (PSOs)

No passado, IT pros eram requisitados para habilitar e utilizar o

Fine-Grained

Password Policies via ADSIEDIT ou importando arquivos LDIF

• Complexo, consome muito tempo e não é facil de lembrar e usar

Solução

Fine-Grained Password Policy UI

• Criação, edição e atribuição

de PSOs simplificada

• Interface gráfica (UI) fácil

de utilizar(Sem alterações – pode ser atribuída

somente para usuários e/ou grupos)

Requerimentos

• Nível funcional de

domínio = Windows

Server 2008

• Windows Server 2012

Active Directory

Administrative Center

Fine-Grained Password Policy UIDemo

Fine-Grained Password Policy UI

Muitos Recursos Incluídos!

Outros Recursos e Melhoramentos do AD

• Melhoramentos no RID

• Ativação baseada em Active Directory

• Dynamic Access Control (DAC)

• Group Managed Service Accounts

(gMSA)

• Cmdlets PowerShell para replicação e

topologia do AD

• PowerShell History Viewer

• Junção ao domínio fora da rede

corporativa

• Connected Accounts – Windows 8

• Melhoramentos no Kerberos

• Kerberos Constrained Delegation

(KCD)

• Flexible Authentication Secure

Tunneling (FAST)

• Log LDAP melhorado

• Novos controles/comportamentos do

LDAP

Primeiro servidor membro de domínio Windows Server 2012 (ou Windows 8 com RSAT instalado)

Resumo dos Requisitos Mínimos

Novo Active Directory Administrative

Center

• Windows PowerShell History Viewer

• Lixeira gráfica (2008 R2 FFL) e

gerenciamento FGPP (2008 DFL)

Autorização avançada usando DAC e FCI

Ativação baseada em Active Directory

• Requer Windows Server 2012 Schema

Cmdlets PowerShell para topologia e

replicação do Active Directory

Instalando isto…. … você tem isto

Resumo dos Requisitos Mínimos

Preparação e Implantação simplificados

Políticas e Claims do Dynamic Access

Control

Group Managed Service Accounts

Virtualização segura para DCs com

Windows Server 2012

• Requer Hypervisor suportando

VM-Gen-ID

Primeiro DC com Windows Server 2012

Instalando isto…. … você tem isto

Resumo dos Requisitos Mínimos

Windows Server 2012 DC com FSMO de PDC Emulator

Implantação rápida de DCs

virtualizados usando DC-cloning

• Requires Hypervisor support for

VM-Gen-ID

Instalando isto…. … você tem isto

Gerenciamento de Servidor Simplificado

Impressões

Virtualização que “Simplesmente Funciona”

Gerenciamento Simplificado do Active Directory

Implantação Simplificada do Active Directory

BUILT FROM THE CLOUD UP

PERGUNTAS?

BUILT FROM THE CLOUD UP

BAIXE O WINDOWS SERVER 2012

HTTP://BIT.LY/BAIXEWS2012

E AGORA?

ESTUDE O WINDOWS SERVER 2012

HTTP://AKA.MS/MVA

OBRIGADO.