Active Directory ve Windows Serveru 2012 přináší několik zásadních novinek a změn. Seznamte se s těmi nejdůležitějšími.
Windows Server 2012 přináší řadu novinek a vylepšení z mnoha oblastí. Tato vylepšení se samozřejmě týkají i Active Directory, srdce každého IT prostředí. Active Directory v roce 2012 doznala několik změn, z technického hlediska jde většinou o vylepšení stávajících funkcionalit, existuje však i několik celkem zásadních novinek.
Instalace Active Directory
Životní cyklus každé Active Directory začíná instalací. Proces instalace se oproti všem předchozím verzím Windows Serveru změnil, již neexistuje DCPROMO. Ačkoliv to může vypadat na první pohled děsivě, nejde o nic dramatického - proces instalace se pouze sjednotil s instalací ostatních komponent systému.
Nově je instalace Active Directory rozdělena na dvě části, 1. instalace feature, 2. konfigurace. Toto rozdělení umožňuje mít „předinstalovánu“ roli Active Directory již v instalačním médiu (bez konfigurace).
První část se provádí přidáním "role" operačního systému. Instalaci role lze provést buď z konzole „Server Manager“, případně z PowerShellu.
Pokud jste si mimochodem dříve nebyli jisti, zda to, co chcete instalovat, je feature nebo role, pak pro Vás bude příjemným překvapením zjištění, že průvodce přidáním rolí a features byl sjednocen do jednoho jediného průvodce.
V rámci tohoto průvodce zaškrtneme roli Active Directory a průvodce předvybere příslušné features pro správu instalované role (AD DS and LDS Tools, PowerShell modul, AD Administrative Center, Group Policy Management konzole, atp.).
Na závěr instalace je nabídnut odkaz na spuštění průvodce konfigurací Active Directory, který lze ale spustit kdykoliv později. Jak bylo zmíněno v úvodu instalace Active Directory, instalace je rozdělena na dvě části. První částí jsme pouze přidali roli řadiče, ale pro správnou funkci je potřeba Active Directory konfigurovat. Nyní se spouští průvodce konfigurací, který se ptá na důvěrně známé údaje pro instalaci Active Directory (typ instalace, název domény, umístění souborů, atp.). Průvodce na závěr nabízí možnost exportovat PowerShell skript, kterým Server Manager na pozadí provádí konfiguraci Active Directory.
Dialogová okna průvodce jsou sice graficky změněná oproti předchozím verzím, s instalací ale určitě nebudete mít problém.
Graficky změněný není pouze průvodce instalací rolí, ale všechny ostatní průvodci. Na obrázku je například vidět, jak vypadá průvodce vytvořením objektu uživatele. Celý průvodce sestává z jediného okna, rozděleného na sekce (vlevo). Příjemná je také možnost okno maximalizovat.
Active Directory Recycle Bin – doménový koš
Nejde tak úplně o novinku, protože Active Directory Recycle Bin je k dispozici již od verze Windows Server 2008 R2 Forest Level. Pokud jste ale někdy s košem pracovali, pak víte, že správa koše nemusí být pro každého správce úplně jednoduchá. Díky Active Directory Administrative Center na Windows Serveru 2012 je pro správu koše k dispozici grafické rozhraní. Jediné, co ke správě koše z grafického prostředí potřebujete je Windows Server 2012 Administrative Center, správu lze také provádět pomocí RSAT nástrojů na Windows 8.
Díky grafickému rozhraní je obnova objektů z koše a i vlastní aktivace koše velmi jednoduchá. V praxi to znamená, že pokud jsou splněny všechny nutné předpoklady, Active Directory koš lze aktivovat jedním kliknutím z konzole Active Directory Administrative Center. Aktivace je možná také pomocí PowerShellu. Objekty se po smazání nacházejí v organizační jednotce „Deleted Objects“ a objekty je možné obnovit z grafické konzole Active Directory Administrative Center.
FGPP - Fine grained password policies
Fine Grained Password Policies umožňují mít více politik hesel v rámci jedné domény. Stejně jako koš Active Directory, Fine Grained Password Policies existovaly již dříve, konkrétně ve Windows Serveru 2008, ale jejich správa byla např. s porovnáním správy koše ještě složitější. Ve verzi Windows Server 2012 proto přibyla možnost spravovat FGPP pomocí grafické konzole Active Directory Administrative Center.
Pro možnost spravovat FGPP z grafického prostředí stačí RSAT nástroje na Windows 8, podmínkou je pouze Windows Server 2008 Domain Level.
Active Directory Administrative Center
Ve dvou předchozích novinkách bylo zmíněno Active Directory Administrative Center a přestože ani Active Directory Administrative Center není novinka, je patrná snaha centralizovat správu a mnohé úkony prostě z ADACu uděláte efektivněji. Jedním z těch velmi praktických vylepšení je integrovaná historie spuštěných PowerShell cmdletů, které ADAC na pozadí provádí. V praxi to znamená, že si v grafickém průvodci naklikáte vytvoření nového uživatelského účtu a v historii uvidíte jaký PowerShell příkaz byl spuštěn se všemi paramety. Díky tomu je velmi usnadněno psaní skriptů pro zjednodušení správy. Pokud například aktivujete koš, nebo obnovíte objekt z koše, veškerá aktivita je viditelná v historii spuštěných příkazů v ADAC.
Active Directory Based Activation
Aktivace pomocí Active Directory je nový způsob aktivace Windows. U všech předchozích verzí byla pro úspěšnou aktivaci Windows potřeba konektivita na KMS server, v případě MAK klíče na Microsoft aktivační centrum. Nově od verze Windows 8 dochází k aktivaci připojením počítače do domény. Výhodou je vlastnost, že díky integraci s Active Directory se tento způsob aktivace stává distribuovanou aplikací a nemusíte řešit vysokou dostupnost KMS serveru, neboť aktivace probíhá pouhým připojením do domény a serverů s rolí doménového řadiče bývá v prostředí zpravidla více. Další výhodou je, že není potřeba RPC komunikace, kterou jste pro správu z Volume Activation Management Tool potřebovali povolit, nyní komunikace využívá pouze LDAP protokol. Podporován je také Read-Only Domain Controller.
Konfigurace probíhá tak, že s pomocí nástroje Volume Activation Management Tool se aktivuje celý Forest (jednorázově je konektivita nutná). Prostým připojením počítače do domény je tento počítač aktivován.
Aktivace pomocí Active Directory vyžaduje Active Directory schéma verze 2012 a Windows 8. To znamená, že pro poskytování podpory pro starší operační systémy bude potřeba provozovat „starý“ KMS server. Obě aktivační metody mohou však být bez problému provozovány na stejném serveru.
Kerberos
V protokolu Kerberos přibyla řada vylepšení s cílem omezit počet chyb při autentizaci, nově dochází např. ke kompresi skupin v tokenu (KDC resource group compression) s cílem zmenšit velikost dat v servisním tiketu. Jedním z důvodů je i to, že tikety od verze Windows 2012 mohou obsahovat tzv. „Claims“ a velikost tiketu tak bude logicky narůstat. KDC resource group compression funguje od verze Windows 2012 a Windows 8 automaticky.
Kerberos doznal změn také v logování, kdy přibyly některé události zapisované do prohlížeče událostí (Event viewer) a pro diagnostiku přibyly některé čítače do Performance Monitoru. Přibyla podpora tzv. Kerberos Armoring, neboli Flexible Authentication Secure Tunneling (FAST). Kerberos Armoring poskytuje bezpečný kanál pro Windows 2012 a Windows 8 systémy s cílem zamezit offline útokům na požadavky na Authentication Service (AS).
Rozšířená je také podpora Constrained Delegation, nyní lze konfigurovat delegaci na objekty mimo Doménu i mimo Forest.
Vylepšení doznala i utilitka setSPN, s jejíž pomocí by již nemělo docházet k vytvoření duplicitních SPN (Service Principal Names) v doméně. Přibyla také možnost tzv. Device logon with certificate, a jak již bylo zmíněno výše v Kerberos protokolu přibyla podpora „Claims“.
S termínem „Claims“ a „Compounds“ se budeme setkávat v budoucnu častěji, neboť právě „Claims“ slouží jako další autorizační prvek, který je obsažen v tiketu, který služba Kerberos poskytuje. Claims obsahují definici atributů pro vyhodnocení pravidel DAC – Dynamic Access Control. Dynamic Access Control zásadním způsobem rozšiřuje možnosti zabezpečení k firemním zdrojům, na základě definovaných atributů. Doporučuji sledovat následující články v tomto seriálu, o Dynamic Access Control vyjde samostatný článek, kde se o „Claims“ a „Compounds“ dozvíte více.
GenerationID – snímkování (snapshot) virtualizovaných doménových řadičů je již podporované a bezpečné!
GenerationID je nová funkce Windows Serveru 2012 Hyper-V, jejímž cílem je ochrana virtálních doménových řadičů před náhlou změnou v čase. Touto náhlou změnou v čase je myšlen např. vrácení snapshotu. Active Directory předchozích verzí totiž nepočítaly s touto možností a výsledkem byly často autoritativní obnovy celé Active Directory (USN rollback).
Jak GenerationID funguje? Virtuální doménové řadiče používají speciální identifikátor, který jim poskytuje vrstva hypervisoru. Toto GenerationID se změní pokaždé, když dojde k posunu v čase a tak se o tomto posunu v čase dozví i virtuální Windows Server 2012 doménový řadič. Během startování virtuálního doménového řadiče dojde k porovnání (před startováním Active Directory) GenerationID s hodnotou uloženou v Active Directory, přičemž jakákoliv neshoda spouští nové ochranné mechanismy Active Directory, které umožní správnou synchronizaci a předchází chybám (reset InvocationID, reset RID poolu, non-autoritativni obnova Sysvolu, atd). Podmínkou je, aby GenerationID podporovala virtualizační platforma (např. Hyper-V) a operační systém virtualizovaného doménového řadiče byl alespoň Windows Server 2012.
Scénář „obnova ze snaphotu jako způsob zálohování“ není však doporučen a pro zálohování by mělo být používáno řešení s podporou VSS (Volume Shadow Service).
Klonování doménových řadičů
Díky GenerationID lze také virtuální počítače s instalovanou rolí doménových řadičů klonovat. Proces klonování jednoduše vytvoří kopii virtuálního počítače a s pomocí PowerShellu zkonfiguruje vlastnosti řadiče jako je IP adresa, jméno serveru, atp. Při procesu klonování se spouští několik PowerShell cmdletů, nejprve je však nutné přiřadit práva pomocí Active Directory Administrative Center.
Group Managed Service Accounts
Stejně jako Managed Service Accounts, které byly k dispozici ve verzi Windows Server 2008 R2, cílem Group Managed Service Accounts (gMSA) je správa servisních účtů, konkrétně správa hesel, správa SPN (Service Principal Names), delegace, atp.
Klasické Managed Service Accounts (MSA), někdy také zmiňované jako „standalone Managed Service Accounts“ jsou ale lokální účty každého počítače a není možné je použít na více počítačích v doméně (např. ve farmě).
Novinka Group Managed Service Accounts umožňuje použití servisních účtů právě napříč více servery. Stejně jako u MSA i gMSA jsou podporovány pouze pro Windows Service Control Manager a IIS aplikační pooly.
Kromě zmíněných novinek nebo vylepšení Windows Server 2012 obsahuje nové PowerShell cmdlety pro správu replikace, vylepšení se týkají také funkce RID Poolu, který do Event vieweru hlásí s předstihem případné vyčerpání poolu.
Odkazy:
Kompletníseznam What's new in Active Directory 2012 lze najít zde.
Jakub Urban – KPCS CZ, s.r.o., urban@kpcs.cz
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.
