Упрощенное администрирование Active Directory Domain Services в Windows Server 2012. Часть 1


Windows Server 2012 представляет следующее поколение упрощенного управления Active Directory Domain Services и является наиболее радикальным пересмотром модели управления со времен Windows 2000 Server. Упрощенное управление AD DS включает в себя весь накопленный за 12 лет опыт работы администраторов и архитекторов со службой каталогов и делает ее легче поддерживаемой, более гибкой  и интуитивной, расширяя возможности предшествующей версии Windows Server 2008 R2 и добавляя к ним новый функционал.

Так что же представляет из себя упрощенное администрирование Active Directory?

Доменные службы Active Directory упрощают администрирование и переосмысляют развертывание домена:

• Роль развертывания AD DS теперь является частью новой архитектуры Manager Server и позволяет  выполнять удаленную установку.

• Развертывание и конфигурирование AD DS в настоящее время полностью реализовано на движке Windows PowerShell, даже при использовании графического интерфейса.

• Расширение схемы, подготовка леса и домена теперь происходят автоматически во время  выполнения процесса повышения контроллера домена  и не требуют больше выполнения отдельных задач на специальных серверах, таких как Schema Master.

• Повышение контроллера домена включает в себя прохождение требований проверки, которая проверяет лес и домен на готовность к новому контроллеру домена, снижая вероятность неудачного выполнения операции.

• Модуль Active Directory для Windows PowerShell включает в себя новые командлеты для управления топологией репликации, Dynamic Access Control и другими операциями.

• Функциональный уровень домена и леса Windows Server 2012  реализует  только две новые функции, избавляя администраторов от необходимости создания однородной среды контроллеров домена.

There is one new feature available at the Windows Server 2012 domain functional
level: the Support for Dynamic Access Control and Kerberos armoring KDC
administrative template policy has two settings (Always provide claims and Fail
unarmored authentication requests) that require Windows Server 2012 domain
functional level. For more information, see “Support for claims, compound
authentication and Kerberos armoring” in What’s new in Kerberos
Authentication
.

The Windows Server 2012 forest functional level does
not provide any new features, but it ensures that any new domain created in the
forest will automatically operate at the Windows Server 2012 domain functional
level. The Windows Server 2012 domain functional level does not provide any new
other features beside support for Dynamic Access Control and Kerberos armoring,
but it ensures that any domain controller in the domain runs Windows Server
2012. For more information about other features that are available at different
functional levels, see Understanding
Active Directory Domain Services (AD DS) Functional Levels
.

• Добавлена полная поддержка для виртуальных контроллеров домена, включая автоматизированное развертывание и защиту отката изменений.

Кроме того, существует множество улучшения для администрирования и обслуживания :

• Центр администрирования Active Directory включает в себя графический интерфейс для корзины Active Directory и Fine-Grained Password Policy, а также просмотр истории команд Windows PowerShell.

• Новый Диспетчер Сервера Доменных Служб Active Directory получил интерфейсные изменения  в области мониторинга, лучших рекомендаций обслуживания , критически важных служб, а также журналов событий.

• Динамическое управление доступом к ресурсам файлового сервера, включая восстановление отказа в доступе(Access Denied Remediation)

• Мониторинг состояния здоровья Group Policy и удаленное обновление групповой политики через Windows PowerShell, о чем уже упоминалось подробно в недавних статьях, посвященных этой теме.

• Групповые управляемые учетные записи служб (MSA) или Group Managed Service Accounts теперь полностью поддерживают кластеризацию и  балансировку сетевой нагрузки.

• Усовершенствование возможностей Kerberos в области безопасности.

http://technet.microsoft.com/en-us/library/hh831747.aspx

• Улучшения относительных идентификаторов (RID) — теперь выдача и контроль  обеспечивают лучшую управляемость и мониторинг в среде  служб каталога.

http://blogs.technet.com/b/askds/archive/2012/09/12/maxtokensize-and-windows-8-and-windows-server-2012.aspx

Наконец,  использование доменных служб Active Directory  приносит дополнительные возможности использования других новых функций, включенных в Windows Server 2012, таких как:

• NIC teaming для сетевых адаптеров и Datacenter Bridging. (не поддерживается для контроллеров домена, как и ранее с 2008R2)

•Единый удаленный доступ к службам сайта, ближайшего к клиенту (Unified Remote Access)

• DNS Security и ускорение загрузки AD-интегрированной зоны.

• Улучшения в области надежности и масштабируемости Hyper-V.

• Сетевая разблокировка BitLocker.

• Дополнительные модули администрирования Windows PowerShell.

На первый взляд, эти изменения могут показаться более сложными. При перестройке процесса развертывания AD DS были учтены противоположные мнения по выполнению множества шагов лучших практик администрирования и желанием упростить  и облегчить установку. Сейчас, к примеру, при cоздании нового контроллера домена в существующем домене графическое конфигурирование сведено к восьми диалоговым окнам (двенадцать в предыдущей версии)

А вот создание нового леса  полностью сведено к выполнению одного командлета PowerShell с одним единственным параметром — именем домена!

Другие интересные командлеты  работы с групповой политикой, такие, как Set-GPInheritance и его друзья могут быть подсмотрены тут….

Почему в Windows Server  сделан такой акцент на Windows PowerShell? По мере развития распределенных вычислений развивается и Windows PowerShell, становясь единым движком для настройки и обслуживания системы из графического интерфейса и  интерфейса командной строки. Этот движок предоставляет полнофункциональную среду сценариев любого  серверного компонента с таким же множеством классов для ИТ-специалистов, как и API предоставляет разработчикам. Поскольку применение облачных вычислительных становится практически  повсеместным, Windows PowerShell  сейчас приносит истинные возможности «безголового сервера» , где компьютер  полностью без графического интерфейса обладает теми же возможностями управления, как и его собрат с монитором и мышью.

Ветеран администрирования доменных служб Active Directory найдет свои предыдущие знание весьма актуальными,начинающий  же администратор найдет гораздо меньше «шероховатостей» , используя упрощенное администрирование Доменных Служб Active Directory.

Реклама

One thought on “Упрощенное администрирование Active Directory Domain Services в Windows Server 2012. Часть 1

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s