Упрощенное администрирование Active Directory Domain Services в Windows Server 2012. Часть 2


В первой части цикла статей я сделал краткий обзор новый возможностей Active Directory. Давайте посмотрим на все это повнимательнее….

Конфигурирование роли AD DS

Для установки доменных служб Active Directory теперь используется  Диспетчер Серверов и Windows PowerShell, как и для установки всех других ролей  и компонентов сервера и в Windows Server 2012.

Dcpromo.exe, о которой я недавно писал , больше не будет использоваться для предварительнй установки двоичных файлов Active Directory и предоставления графических опций конфигурации. Вместо этой команды будут использованы Диспетчер Сервера и Windows PowerShel, которые позволяют теперь выполнять локальную и удаленную установки.

При запуске нескольких экземпляров этого мастера или командлетов , вы можете развернуть службы Active Directory на множестве контроллеров домена одновременно,  управляя процессом установки из одной консоли. Правда, для фанов командной строки у меня есть хорошая новость -DISM.exe остался на месте ;), и вы можете использовать его для локальной установки роли из классического интерфейса командной строки, как и в Windows Server 2008 R2. Примечание: эти новые возможности не имеют обратной совместимости с Windows Server 2008 R2 или более старыми операционными системами.

Конфигуратор Доменных служб Active Directory,ранее известный как DCPROMO  теперь просто штатная операция, выполняемая в процессе установки роли. После установки роли Active Directory администратор настраивает сервер в качестве контроллера домена с использованием отдельного мастера в Server Manager или с помощью модуля PowerShell ADDSDeployment . Конфигурирование роли Доменных Служб Active Directory основывается на двенадцатилетнем опыте работы на местах сражений :), и теперь  мастер настраивает контроллеры домена на основе самых последних и лучших практик Microsoft. Например, DNS и сервер глобального каталога устанавливаются теперь по умолчанию для каждого контроллера домена.

Мастер настройки доменных служб Active Directory объединяет множество  отдельных диалогов в меньшее количество и не скрывает больше настройки в «продвинутом» режиме. Весь процесс повышения выполняется в одном диалоговом окне во время установки. Мастер и модуль ADDSDeployment  для Windows PowerShell покажут вам заметные изменения в безопасности, а также предоставят ссылки на дополнительную информацию в интернете.Команда Dcpromo.exe  пока остается (ура!) в Windows Server 2012, но только для опций автоматической установки из командной строки, и больше не запустит графический мастер установки. Настоятельно рекомендуется прекратить использование Dcpromo.exe для автоматической установки и заменить его модулем ADDSDeployment,поскольку это приложение устарело и не будет включено в следующую версию Windows.Примечание: эти новые возможности не имеют обратной совместимости с Windows Server 2008 R2 или более старыми операционными системами.

Интеграция ADPREP и проверка необходимых компонентов для установки

Расширение схемы AD и подготовка домена теперь интегрированы в процесс конфигурации контроллера домена. Если вы повышаете новый контроллер домена в существующем лесу, процесс определяет статус модернизации и расширение схемы а также этапы подготовки домена происходят автоматически.Пользователь, устанавливающий первый контроллер домена Windows Server 2012  должен входить в группу Администраторы предприятия и Администраторы схемы или предоставить альтернативные верные учетные данные. Конфигурация контроллера домена теперь реализует этапы предварительной проверки , которая оценивает готовность леса и домена до продолжается по мере продвижения контроллера. Проверка включает в себя доступность  ролей FSMO , привилегии пользователя, совместимость расширения схемы и другие требования. Это нововведение помогает избежать ситуаций, в которых контроллер домена запускается и останавливается на полпути с фатальной ошибкой конфигурации. Это уменьшает вероятность  появления «осиротевших» контроллеров домена в лесу или сервера, который неправильно считает, что  он является контроллером домена. Adprep.exe останется на инсталляционном DVD для подготовки отдельных лесов и доменов .Версия Adprep,включеная в Windows Server 2012 имеет обратную совместимость с Windows Server 2008 x64 и Windows Server 2008 R2. Adprep.exe также поддерживает удаленные команды ForestPrep и DomainPrep, как инструменты конфигурации контроллера домена (ADDSDeployment).

 Running Adprep (Windows Server 2008 R2)

  Интеграция Диспетчера Серверов и AD DS

Диспетчер Серверов выступает в качестве единого концентратора  задач по управлению серверами. Его панель периодически обновляет установленные роли и группы удаленных серверов. Server Manager обеспечивает централизованное управление локальными и удаленными серверами без необходимости доступа к  локальной консоли. Доменные службы Active Directory являются одной из этих ролей; запустив Диспетчера Сервера на контроллере домена или средства удаленного администрирования сервера на  клиенте Windows 8, вы увидите  все важные события , произошедшие за последнее время на контроллерах домена в лесу. Эти представления включают в себя:

• Доступность сервера

• Монитор производительности с предупреждениями о высокой загрузке процессора и памяти

• Состояние служб Windows, относящихся к AD DS

• Последние предупреждения,связанные с Directory Services и записи ошибок в журнале событий

• Лучшие практики анализа контроллеров домена и набор рекомендаций Microsoft

Корзина в Центре администрирования Active Directory

В Windows Server 2008 R2  впервые появилась корзина Active Directory, которая  позволяла восстанавливать удаленные объекты Active Directory без восстановления из резервной копии, перезапуска доменных служб Active Directory или перезагрузки контроллеров домена. Windows Server 2012 принес с собой новый графический интерфейс для Корзины в Центре администрирования Active Directory .Это позволяет администраторам включить корзину и  затем найти или восстановить удаленные объекты в доменном контексте в лесу, и все это без непосредственного использования командлетов Windows PowerShell.Центр администрирования Active Directory и Корзина  Active Directory по-прежнему используют движок Windows PowerShell , поэтому предыдущие сценарии и  выполнение отдельных командлетов по-прежнему могут быть с успехом применены.

Active Directory Recycle Bin Step-by-Step Guide (Windows Server 2008 R2)

Детальные настройки политик блокировки учетных записей и паролей в Центре администрирования

В Windows Server 2008 появились детальные политики паролей, которые позволили администраторам настроить несколько паролей и политик блокировки учетной записи в домене. Это решение позволяло более гибко управлять доменной политикой для обеспечения более или менее строгиих правил паролей, на основе пользователей и групп. У него не было отдельного интерфейса управления и администраторам  приходилось настраивать его с помощью Ldp.exe или Adsiedit.msc. Windows Server 2008 R2 представил модуль ActiveDirectory для Windows PowerShell, который позволил администраторам  использовать интерфейс командной строки для FGPP. Windows Server 2012  приносит графический интерфейс для детального управления политикой паролей.Центр администрирования Active Directory теперь является отправной точкой упрощенного  управления  FGPP для всех администраторов.

AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide (Windows Server 2008 R2)

Просмотр истории Windows PowerShell

Windows Server 2008 R2 представил Центр администрирования Active Directory, который заменил известную администраторам еще со времен Windows 2000 остнастку Active Directory пользователи и компьютеры. .Центр администрирования Active Directory просто использует под капотом движок модуля ActiveDirectory для  PowerShell, предоставляя графический интерфейс  для выполнения команд администратора.

Поскольку сам модуль ActiveDirectory содержит более ста команд, в них можно слегка запутаться. Сейчас PowerShell тесно интегрирован  в стратегию администрирования ОС Windows ,и  Центр администрирования Active Directory теперь включает в себя просмотр истории выполнения команд, который позволяет вам видеть команду, которая была выполнена в графическом интерфейсе. Вы  также можете осуществлять здесь поиск и копирование, очищать историю и добавлять заметки в  простом и удобном  интерфейсе. Это позволит администратору удобно использовать использовать графический интерфейс для создания и редактирования объектов, а затем просмотреть их  создание в истории просмотра, чтобы узнать больше о  возможностях сценариев PowerShell  на примерах.

Репликация средствами PowerShell

Ура!Теперь старый добрый repadmin может отправиться на покой- в новом модуле PowerShell  для Active Directory теперь есть гораздо более богатый функционал- он позволяет конфигурировать новые или существующие сайты, подсети,соединения,стоимости сайтов и серверы-плацдармы.Также можно управлять метаданными и статусом репликации,очередью вектором обновления (UTDVEC).

Использование командлетов  репликации совместно с другими командлетами  модуля AD PowerShell позволяют администрировать весь лес используя только одну консоль.

Все это дает дополнительный толчок администраторам, желающим воспользоваться всеми  новыми возможностями Windows Server без использования графического интерфейса,что сократит поверхность атак и время на обслуживание сервера. Это приобретает особое значение, если серверы должны быть развернуты в высоко защищенных сетях, таких, как Secret Internet Protocol Router (SIPR) и корпоративных сетях периметра (DMZ).

Позволю себе здесь заметить, что новый мастер установки Windows Server 2012 сразу же  настоятельно рекомендует установить сервер в режиме Core, как наиболее эффективную установку, в отличие от предыдущей версии установщика в Windows Server 2008 R2.(эта опция сразу выбрана по умолчанию)

Windows Server Technical Reference

Улучшения в области выдачи и управления RID 

В  Windows 2000  появился RID Master, который выдавал  пул относительных идентификаторов для контроллеров домена, чтобы  последние могли создать идентификаторы безопасности (SID)для принципалов безопасности, таких как пользователи, группы и компьютеры. По умолчанию, глобальное пространство  RID ограничено 230 (или 1073741823) общего количества  идентификаторов,созданных в домене. Идентификаторы SID не могут быть повторно созданными или перевыпущенными. В течение долгого времени в больших доменах может начать иссякать пул RID либо возникшие инциденты могут привести к ненужным истощениям  пула RID . Windows Server 2012 пересматривает ряд моментов, связанных с выдачей RID и вопросами управления впервые с 1999 года. К ним относятся:

  •         Периодическое использование пула RID теперь записывается как предупреждение в журнале событий.
  •        Создается событие о недеиствительном пуле RID
  •          Максимальное ограничение политики  RID на размер блока RID теперь  применяется принудительно.
  •          Искусственное завышение  RID применяется принудительно и заносит оповещение в журнал событий, если глобальное пространство RID истощается, позволяя тем самым администратору предпринять действия прежде, чем оно будет исчерпано.
  •       Глобальное пространствоRID теперь увеличено на один бит ;),удваивая размер адресов до  231 (2,147,483,648 SIDs)     How Security Identifiers Work

потрогать риды руками поможет…..DCDIAG:

Dcdiag.exe /TEST:RidManager /v | find /i “Available RID Pool for the Domain”

или PowerShell

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
#######################
# Get Domain RID Info #
#######################
## Based on code From https://blogs.technet.com/b/askds/archive/2011/09/12/managing-rid-pool-depletion.aspx
Import-Module ActiveDirectory
Write-Verbose “Get RID Information from AD including the number of RIDs issued and remaining `r “
$RIDManagerProperty = Get-ADObject “cn=rid manager$,cn=system,$ADDomainDistinguishedName” -property RIDAvailablePool -server ((Get-ADDomain $DomainDNS).RidMaster)
$RIDInfo = $RIDManagerProperty.RIDAvailablePool
[int32]$TotalSIDS = $RIDInfo / ([math]::Pow(2,32))
[int64]$Temp64val = $TotalSIDS * ([math]::Pow(2,32))
[int32]$CurrentRIDPoolCount = $RIDInfo – $Temp64val
$RIDsRemaining = $TotalSIDS – $CurrentRIDPoolCount

$RIDsIssuedPcntOfTotal = ( $CurrentRIDPoolCount / $TotalSIDS )
$RIDsIssuedPercentofTotal = “{0:P2}” -f $RIDsIssuedPcntOfTotal
$RIDsRemainingPcntOfTotal = ( $RIDsRemaining / $TotalSIDS )
$RIDsRemainingPercentofTotal = “{0:P2}” -f $RIDsRemainingPcntOfTotal

Write-Output “RIDs Issued: $CurrentRIDPoolCount ($RIDsIssuedPercentofTotal of total) `r “
Write-Output “RIDs Remaining: $RIDsRemaining ($RIDsRemainingPercentofTotal of total) `r “

Продолжение следует… 🙂

Реклама

Упрощенное администрирование Active Directory Domain Services в Windows Server 2012. Часть 2: Один комментарий

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s