Documente Academic
Documente Profesional
Documente Cultură
Agenda
Simplificado el proceso de instalacin Virtualizacin segura de controladores de dominio
Despliegue ms rpido
Cambios en la arquitectura de Active Directory Mejoras en la administracin
Despliegue Simplificado
Problemtica
Aadir a la replicacin DCs que ejecutan las versiones ms recientes de Windows Server ha demostrado ser:
Consumo de tiempo Propenso a errores complejo
Despliegue Simplificado
Solucin
Integrar los pasos de preparacin dentro de proceso de promocin
Automatizar las pre-requisitos entre cada paso
Despliegue Simplificado
Requisitos
Windows Server 2012 El bosque nivel funcional Windows Server 2003 o superior
Agregar el primer DC Windows Server 2012 requiere privilegios de Administrador de Empresa y Esquema
El resto de DCs requiere solo privilegios de Administrador del Dominio
DEMO
Implementacin Controlador de Dominio
Virtualizacin Segura
Problemtica
Las operaciones ms comunes de virtualizacin como crear instantneas o copiar VMs/VHDs puede revertir el estado de un DC Virtual Introducir las burbujas USN conduce a un estado de divergente permanente causando:
Objetos persistentes Contraseas inconsistentes Valores de atributos incoherentes Errores de esquema si el maestro de es revertido
Virtualizacin Segura
Solucin
DCs virtuales con Windows Server 2012 detectan cuando:
Se aplica una instantnea Una mquina virtual es copiada
Incluir un identificador de generacin (VM-generation ID) que cambia cuando se usan funciones de virtualizacin DCs virtuales con Windows Server 2012 rastrea el identificador de generacin para detectar cambios y proteger Active Directory
Descartar pila RID Reestablecer el invocationID Recuperar INITSYNC requisito de FSMOs
Virtualizacin Segura
Requisitos e Impacto
DCs con Windows Server 2012 en plataforma de hypervisor que soporten VM-Generation ID
USN rollback NOT detected: only 50 users converge across the two DCs All others are either on one or the other DC 100 security principals (users in this example) with RIDs 500-599 have conflicting SIDs
Despliegue Rpido
Problemtica
Implementar DCs virtuales secundarios es tan costoso como DCs fsicos
La virtualizacin ofrece capacidades para simplificar la implementacin El resultado de promover DCs adicionales en un dominio es una instancia idntica
Excluyendo nombre, direccin IP, etc.
Despliegue Rpido
Solucin: Clonar controlador de dominio
Crear replicas de DCs virtualizados mediante la clonacin
ej. Copiar el VHD a travs de operaciones de exportacin e importacin
Despliegue Rpido
Flujo de Clonado
NTDS starts
Obtain current VM-GenID If different from value in DIT Reset InvocationID, discard RID pool DCCloneConfig.xml available? Dcpromo /fixclone Parse DCCloneConfig.xml Configure network settings Locate PDC IDL_DRSAddCloneDC Check authorization
Create new DC object by duplicating source DC objects (NTDSDSA, Server, Computer instances)
Generate new DC machine account and password
Reboot
Despliegue Rpido
Requisitos
DC Virtual Windows Server 2012 alojado sobre plataforma hypervisor con capacidad de VM-Generation-ID Maestro PDC debe ser Windows Server 2012 para autorizar operaciones de clonado El DC a clonar debe se autorizado para ello
Aadir el DC al grupo Cloneable Domain Controllers
Los servicios ms comunes de los DCS soportan la clonacin (DNS, FRS, DFSR)
El resto de servicios o tareas programadas debe agregarse a una lista blanca Si el componente no est en la lista blanca, la clonacin fallar y el DC resultante arrancar en DSRM
DEMO
Desplegar Controlador de Dominio Virtual
cualquier atributo que se encuentra en un estado de ndice diferido se registrarn en el registro de sucesos cada 24 horas
Qu significa esto?
Un equipo puede ahora ser Unido a un dominio desde Internet, Si el dominio tiene habilitado DirectAccess El objeto binario de la mquina se realiza mediante un proceso offline bajo la responsabilidad del administrador
Requisitos
Controladores de dominio de Windows Server 2012
Papelera Reciclaje AD
Interfaz Grfica
Simplifica la recuperacin de objetos a travs del centro de administracin de Active Directory
Objetos eliminados se pueden recuperar ahora dentro de la interfaz grfica de usuario
Papelera Reciclaje AD
Requisitos
Nivel funcional de bosque Windows Server 2008 R2 Activar la caracterstica de Papelera de reciclaje
DEMO
Interfaz Grfica Papelera de Reciclaje
Activacin Basada en AD
Actualmente
Licenciamiento por Volumen para Windows/office requiere de servidores KMS requiere una capacitacin mnima
solucin llave en mano cubre ~ 90% de implementaciones complejidad por la falta de una consola de administracin grfica
Activacin Basada en AD
Windows Server 2012
Utilizar Active Directory para activar sus clientes
No hay mquinas adicionales requeridas No requiere RPC, utiliza exclusivamente LDAP incluidos los RODC
Requiere activacin inicial CSVLK (clave licencia de volumen especfico del cliente):
nico contacto con los servicios de activacin de Microsoft sobre Internet Escribir la clave utilizando la funcin de servidor de activacin de volumen o lnea de comandos. Repita el proceso de activacin para los bosques adicionales hasta 6 veces por defecto
Activacin Basada en AD
Requisitos
Solamente Windows 8 o Windows Server 2012 Pueden coexistir KMS y Activacin AD
KMS necesario para sistemas operativos anteriores
Requiere Active Directory Schema basado en Windows Server 2012 No requiere Controladores de dominio Windows Server 2012
AD Windows PowerShell
Visor de Historico
permiten a los administradores ver los comandos de Windows PowerShell ejecutados reduce la curva de aprendizaje aumenta la confianza en secuencias de comandos aumenta an ms la capacidad de descubrimiento de Windows PowerShell
AD Windows PowerShell
Requisitos
Windows Server 2012 Active Directory Administrative Center Active Directory Web Service
Ejecutar en un controlador de dominio del dominio objetivo
DEMO
Administracin de Poltica Granular de Contraseas
permite DCs a devolver errores de Kerberos autenticados protegiendo de suplantacin de identidad una vez todos los clientes Kerberos y DCs soporten FAST
el dominio se puede configurar para requieren blindaje de Kerberos o utilizar a peticin
primero debe asegurarse de todos o suficiente DCs estn ejecutando Windows Server 2012 habilitar la directiva correspondiente
Los equipos Windows Server 2012 usan gMSAs obteniendo y actualizando las contraseas de GKDS
recuperacin de contrasea limitado a equipos autorizados
intervalo definido en la creacin de la cuenta de gMSA (30 das por defecto) de cambio de contrasea como MSAs, gMSAs son compatibles slo con el administrador de Control de servicios de Windows (SCM) y grupos de aplicaciones de IIS
Mdulo de Active Directory Powershell Windows Server 2012 para crear cuentas de gMSA
http://bit.ly/AzureItPro
Ms TechNet
IT CAMPS
http://bit.ly/ITCamps2012
Suscripciones TechNet
http://technet.microsoft.com/es-es/subscriptions/default.aspx
http://bit.ly/Webcasts2012
http://www.facebook.com/TechNet.Spain
http://www.twitter.com/TechNet_es
Contacto
Julin Blzquez Garca jblazquez@sidertia.com
www.sidertia.com info@sidertia.com