Нові можливості Active Directory в Windows Server 2008 R2

Зміни на функціональному рівні домену та ліси
керованість
Служба Active Directory Web Service
Адміністративний центр Active Directory
Додаткові функції управління
Контроль використання, безпеку і міграція
вибір шляху

Наша взаимовыгодная связь https://banwar.org/

Нововведення AD можна розділити на дві категорії: спрямовані на поліпшення керованості і «всі інші», серед яких є дуже корисні.

Зміни на функціональному рівні домену та ліси

У Server 2008 R2 з'явився новий функціональний рівень домену, який можна реалізувати в домені, де все контролери домену (DC) працюють на Windows Server 2008 R2. Він забезпечує нові функції перевірки автентичності, які будуть розглянуті нижче.

Server 2008 R2 також забезпечує новий функціональний рівень лісу з новим компонентом - кошиком. Для нього необхідно, щоб всі контролери домену в усьому лісі працювали з Server 2008 R2. На відміну від колишніх змін функціонального рівня домену та ліси Windows Server, дана операція не односпрямованим і може бути скасована за умови, що не активна жодна з функцій нового рівня домену або лісу.

Наприклад, якщо після переходу на функціональний рівень домену чи лісу Server 2008 R2 була активізована кошик, функціональний рівень можна знизити до Server 2008. Після переходу на функціональний рівень Server 2008 R2 в ліс або домен не можна додавати контролери домену Windows Server 2003 і Server 2008. перш ніж ввести в домен контролер Windows Server 2008 R2, необхідно оновити схему, а також скористатися додатковими функціями, щоб використовувати деякі нові можливості Server 2008 R2.

Якщо перехід виконується від домену Windows 2003, а не домену, вже підготовленого для Server 2008, необхідно оновити об'єкти групової політики (GPO). Контролери домену Windows 2000 SP4, Windows 2003 і Server 2008 можуть співіснувати в домені з контролерами Server 2008 R2. Резервні контролери домену (BDC) Windows NT 4.0 не підтримуються в домені Server 2008 R2. Очевидно, що при зміні функціонального режиму домену або лісу він повинен відповідати рівню операційної системи контролерів домену.

керованість

З випуском Server 2008 був зроблений рішучий крок до управління на основі Windows PowerShell для операційної системи і служб, але не всі компоненти підтримують PowerShell (насправді несумісних компонентів багато). Новий мінімальний режим установки Server Core з меншою потребою в ресурсах та вразливістю для атак не підтримує PowerShell через прив'язку до платформи .NET, яка відсутня в Server Core.

У Server 2008 R2 виправлено багато упущення PowerShell. Відтепер Server Core підтримує більшість компонентів .NET, тому стає можливим застосування PowerShell в примірниках Server 2008 R2 Server Core. Підтримкою PowerShell доповнені багато раніше несумісні ролі і компоненти, в тому числі AD.

Реалізація PowerShell в AD охоплює 75 команд і постачальника PowerShell з додатковими 14 командами. За оцінками компанії Microsoft, приблизно 70% функцій AD можна виконати безпосередньо з використанням команд AD, складених спеціально для цих дій. Інші 30% можна виконати за допомогою PowerShell, але замість спеціальних команд необхідно застосовувати їх комбінації.

Служба Active Directory Web Service

Нова служба Active Directory Web Service (AD WS) встановлюється на контролерах доменів Server 2008 R2 і працює через порт 9389. Необхідна виключення брандмауера виконується автоматично при установці ролі (включаючи контролери домену Server Core); однак якщо керувати винятками брандмауера через групову політику, необхідно переконатися, що новий порт відкритий. Сьогодні більшість інструментів виконує підключення з використанням LDAP і віддалених викликів процедур (RPC).

Надання Web-служби для доступу до AD розширює можливості розробника і становить перший ступінь на шляху до більшої мети - застосування AD в хмарних обчисленнях і розподілених службах. Команди PowerShell для AD використовують інтерфейс, наданий службою AD Web Service (ADWS). Якщо не вдається знайти DC зі службою ADWS, команди PowerShell для AD непрацездатні.

Тому дуже важливо мати достатню кількість контролерів домену з операційною системою R2 і активної службою ADWS у всіх доменах, які може запросити команда PowerShell. Службу ADWS можна відключити, але робити цього не рекомендується. Зверніть увагу, що одночасно з випуском Server 2008 R2 з'являться позачергові поновлення для Windows 2003 і Server 2008, які додають служби ADWS до реалізацій AD в цих версіях.

Адміністративний центр Active Directory

Адміністративний центр Active Directory (ADAC) (екран) - нова консоль, призначена для заміни оснащення Active Directory Users and Computers. У наступних версіях сервера центр ADAC буде використовуватися замість оснасток AD Domains and Trusts і AD Sites and Services, забезпечуючи єдиний адміністративний інтерфейс для всього управління AD поряд з підтримкою компонентів, у яких в даний час немає ніякого графічного інтерфейсу, таких як кошик і детальні політики паролів .

За допомогою ADAC можна управляти користувачами, групами, комп'ютерами та організаційними одиницями (OU). Крім того, в інтерфейсі є потужні і інтуїтивно зрозумілі параметри пошуку і фільтрації. З одного примірника можна керувати кількома доменами і навіть підключатися до кількох контролерів домену одночасно.

ADAC побудований на основі PowerShell, але зараз він не відображає команд PowerShell, які використовуються для виконання дій; це область вдосконалення для майбутньої версії. Інтерфейс ADAC складається з багатьох рівнів; наприклад, в ньому використовується оболонка PowerShell, а в PowerShell - служба ADWS. Багато нові компоненти і залежно ADAC укупі з новими можливостями Windows Server 2008 R2 в дійсності забезпечують потужну платформу для управління AD.

Додаткові функції управління

Поряд з перерахованими вище основними функціями існують інші компоненти, що відносяться до управління. Кожен з них по-своєму корисний.

Модель стану Active Directory Health Model. Це єдиний авторитетне джерело діагностичної інформації, що використовується пакетами управління і аналізаторами BPA. При необхідності модель доступна з інших сторонніх додатків.

Best Practices Analyzer для Active Directory. Доступний Best Practices Analyzer (BPA) через диспетчер Server Manager; він забезпечує перевірку обраного екземпляра DC на відповідність всім рекомендаціям, які належать до AD. Це зручна можливість швидко перевірити правильність конфігурації.

Пакет управління для Server 2008 і Server 2008 R2. Новий пакет управління для System Center Operations Manager 2007 не відноситься до компонентів AD, але забезпечує контроль всіх сторін реалізації Active Directory в Server 2008 і Server 2008 R2. Додаткові відомості можна знайти на сторінці завантажень Microsoft: www.microsoft.com/dpwnloads/details.aspx?FamilyId=008F58A6-DC67-4E59-95C6-D7C7C34A1447&displaylang=en&displaylang=en .

Можливості нових функцій управління Server 2008 R2 значно розширені. Однак дві найцінніші функції Server 2008 R2 знаходяться поза сферою управління: керовані облікові записи служб Managed Service Accounts (MSA) і корзина AD Recycle Bin.

Керовані облікові записи служб. Облікові записи служб - спеціалізовані облікові записи AD для запуску служб на сервері - найдавніша вразливе місце AD. Оскільки від облікових записів залежать такі служби, як SQL Server і Exchange, зміна їх паролів призведе до збою в обслуговуванні.

Для усунення цієї проблеми в багатьох випадках вважають за краще використовувати вбудовані облікові записи, такі як локальні системні облікові записи та облікові записи мережевих служб. Остаточне рішення з'явилося в версії R2 в формі MSA.

MSA в Server 2008 R2 є облікові записи, мета яких - спростити управління паролями та іменами служб Service Principal Name (SPN) шляхом автоматичної зміни пароля облікового запису на сервері, коли пароль змінюється в AD. Налаштування SPN потрібно для правильного функціонування Kerberos і виконується адміністратором домену; завдяки MSA можна делегувати оновлення SPN будь-якому користувачеві, поряд з можливістю для служби автоматично оновлювати SPN для керованої облікового запису служби.

Слід зазначити, що MSA можна задіяти тільки на одному комп'ютері; поділ між комп'ютерами не допускається. Переваги управління паролями через MSA можна реалізувати в доменах Windows 2003 і новіших версій, але необхідно провести підготовчі заходи до переведення лісу і домена на рівень Server 2008 R2.

Для доступу до функцій управління SPN потрібно перевести домен в режим Server 2008 R2, тобто повинні використовуватися тільки контролери домену Server 2008 R2. Для MSA необхідні комп'ютери з операційною системою Server 2008 R2 або Windows 7.

Коли запускається підготовка домену до Server 2008 R2, створюється новий контейнер, Managed Service Accounts. Це місце розташування керованих облікових записи служб за замовчуванням; але при необхідності його можна змінити.

Все управління обліковими записами MSA як всередині AD, так і на стороні сервера виконується командами PowerShell. Після того як компонент MSA доданий в AD, наділений всіма необхідними правами і запущений в роботу, досить налаштувати службу на хост-комп'ютері на використання MSA.

Віртуальна обліковий запис працює аналогічно MSA, але є локальною обліковий запис комп'ютера. Вона не має ніякими функціями управління паролями і не використовує AD. Віртуальну обліковий запис можна розглядати просто як додатковий обліковий запис мережевих служб з власними профілями. Не слід додавати або видаляти віртуальні облікові записи; просто служба налаштовується на використання віртуальної облікового запису.

Кошик AD. Іноді видалення об'єкта всередині AD відбувається в результаті помилки адміністратора. В цьому випадку можна завантажитися в режим відновлення служб каталогів і виконати примусове відновлення певних об'єктів або ж спробувати реанімувати «похований» об'єкт безпосередньо за допомогою таких утиліт, як ADRestore ( technet.microsoft.com/sysinternals ).

У обох підходів є свої недоліки. Примусове відновлення - хвороблива процедура, для якої потрібно перевести DC в автономний режим в процесі відновлення (потрібно справна резервна копія). При реанімації «похованого» об'єкта втрачається більшість атрибутів об'єкта і видаляються всі пов'язані значення атрибутів (такі, як членство в групах).

У Server 2008 R2 AD можна задіяти кошик AD Recycle Bin, яка забезпечує відновлення будь-якого віддаленого об'єкта за допомогою простої команди PowerShell, Restore-ADObject. На сьогодні графічний інтерфейс відсутня; але відновлення з використанням команди PowerShell все ж відрізняється великою гнучкістю. При відновленні об'єкта з кошика повністю відновлюються всі атрибути об'єкта, як пов'язані, так і не пов'язані, тому відновлюється і членство в групах.

Щоб активізувати кошик, необхідний функціональний рівень Server 2008 R2 домену та ліси. Одного разу активізовану кошик відключити вже не можна.

Після активізації AD Recycle Bin віддалений об'єкт може існувати в одному з двох станів: віддаленому або утилізувати (recycled). Коли об'єкт спочатку видаляється, він переходить в стан «видалений» і зберігається в контейнері Deleted Objects зі зміненим различающимся ім'ям. Об'єкт залишається в віддаленому стані протягом часу, що задається атрибутом msDS-deletedObjectLifetime. За замовчуванням його тривалість така ж, як і задається атрибутом tombstoneLifetime - 180 днів.

Після закінчення часу, зазначеного атрибутом msDS-deleted ObjectLifetime, об'єкт перетворюється в утилізований, і більшість атрибутів видаляється (в тому числі пов'язаних). Після того як об'єкт перейде в утилізувати стан, його не можна відновити через корзину або методом примусового відновлення. Утилізувати стан завжди переважає: якщо виконати примусове відновлення утилізованого об'єкта, він знову переходить в утилізувати стан. З плином часу tombstoneLifetime, об'єкт фізично видаляється в процесі збору сміття.

Будь-які об'єкти, які були помічені на видалення під час активізації кошика, автоматично переводяться в утилізувати стан, тобто їх не можна відновити через корзину і примусовим методом (так як атрибути вже були видалені звичайним способом, застосовуваним без кошика). Слід зазначити, що кошик доступна для служб Active Directory Lightweight Directory Services (ADLDS) поряд з Active Directory Directory Services (ADDS).

Контроль використання, безпеку і міграція

Іноді необхідно приєднати комп'ютер до домену в середовищі без DC. Нова функція, іменована автономним приєднанням до домену (offline domain join), забезпечує приєднання комп'ютерів до домену без мережевого контакту з DC.

При цьому використовується новий інструмент командного рядка, Djoin.exe, який спочатку надає нового комп'ютера обліковий запис в AD і зберігає необхідну інформацію в текстовому файлі. Потім комп'ютер використовує текстовий файл для автономного приєднання до домену, і після перезавантаження комп'ютер стає частиною домену. Така можливість передбачена тільки в комп'ютерах Server 2008 R2 і Windows 7.

За допомогою нової функції, іменованої механізмом контролю перевірки автентичності (authentication mechanism assurance), адміністратори можуть додавати членство в універсальних групах до маркера Kerberos облікового запису користувача, коли виконується реєстрація на основі сертифікату. Потім служби можуть перевірити членство в універсальної групі по маркеру облікового запису користувача, який містить відомості про виконану реєстрації з сертифікатом.

У маркері можна вказати членство в різних універсальних групах на основі ідентифікатора об'єкта (OID) політики видачі сертифікатів. Це дуже корисно при управлінні федеративними посвідченнями (наприклад, ADFS) і взагалі для додатків, в яких задіяні запити.

Інформацію з маркера можна витягти, щоб з'ясувати рівень авторизації і, відповідно, забезпечити авторизацію, в залежності від того, чи використовувався метод на основі сертифікату, і OID сертифіката. Для контролю перевірки автентичності потрібно домен в режимі Server 2008 R2.

Нарешті, Server 2008 R2 має майстрами міграції та документацією, за допомогою яких простіше перенести служби DNS і AD на нові сервери. Server 2008 R2-64-розрядна операційна система, тому деяким компаніям буде потрібно поряд з впровадженням Server 2008 R2 оновити обладнання та, можливо, платформу віртуалізації. Нові майстри міграції та документація містять докладні інструкції для всього процесу. Портал міграції знаходиться на сайті Microsoft technet.microsoft.com/en-us/library/dd365353.aspx .

вибір шляху

Багато компаній, що працюють з Windows 2003, сумніваються, чи потрібно впроваджувати Server 2008, або краще перейти відразу до Server 2008 R2. Кілька різних факторів можуть впливати на рішення про перехід до Server 2008 R2.

Подивіться на функціональні можливості різних версій. Чи будуть переваги Server 2008 корисні вже сьогодні - наприклад, контролери домену, доступні тільки для читання, Server Core, DFS-реплікація SYSVOL і детальні політики паролів - або краще почекати і перейти прямо до Server 2008 R2.

Важливо розуміти, що рішення про перехід на Server 2008 або Server 2008 R2 не обов'язково зводиться до вибору «все або нічого». Багато нововведення Server 2008 R2 можна отримати, розмістивши лише кілька контролерів домену Server 2008 R2 і залишивши на більшості контролерів операційну систему Server 2008. Звичайно, найскладніше, дороге і одне найбільш цінних нововведень - корзина AD - вимагає перекладу всього лісу на рівень Server 2008 R2 . Вирішальним фактором може бути і необхідність 64-розрядної обладнання для Server 2008 R2.

Джон Севілл ( [email protected] ) - директор з технічної інфраструктури компанії Geniant, має сертифікати CISSP, Security and Messaging MCSE для Windows Server 2003 і звання MVP

Aspx?