Windows server 2012 otimize seu ambiente de ti com a nuvem
Windows server 2012 active directory e server manager fabio hara
1. FABIO HARA, TECHNICAL EVANGELIST, MICROSOFT
www.fabiohara.com.br PPT original via Daniel Petri (Microsoft PFE – Israel)
@fabiohara http://blogs.microsoft.co.il/blogs/danielp/
2. Agenda
Novos Recursos do
Impressões Melhoramentos no
AD
AD
Areas de Investimentos / Nosso principais
Resumo dos
objetivos
requisitos
3. Impressões
Gerenciamento de
Virtualização que
Servidor
“Simplesmente Funciona”
Simplificado
Gerenciamento
Implantação Simplificada
Simplificado do Active
do Active Directory
Directory
6. Gerenciamento de Servidor
Simplificado
Solução
Investimento em gerenciamento remoto multi-
servidor Requerimentos
• Para Windows Server 2012 –
• Taxa de administração “Admin por Servidor”
OOB
melhorada • Para Windows 8 – instale RSAT
Design de Interface de Usuário com Princípios • Para gerenciar Windows Server
2008/R2 – Instale WMF 3.0,
• Mudança de contexto minimizada
.NET 4.0, Habilite PowerShell
• Informações eficientes e relevantes
remoting e instale KB2682011
Fácil aprendizado para automação
8. Novos Recursos e Melhoramentos do
AD
Recursos Diversos Gerenciamento
• Implantação Simplificada
• Lixeira com Interface Gráfica
• Tecnologia Segura para
• Fine-Grained Password Policy
Virtualização
User Interface
• Implantação Rápida
• Dynamic Access Control *
• Alterações na Plataforma do
• E muito mais…
Active Directory
9. Implantação Simplificada do AD
Antes…
Utilizar o ADPREP exige cuidados:
• Consumo de tempo
• Passível de erros
• Complexo
No passado os IT pros eram requisitados para:
• Colocar na versão correta
• Logon interativo para DCs específicos
• Executar a ferramenta de preparação na sequência correta
• Aguardar pela convergência de replicação
10. Implantação Simplificada do AD
Solução
• Integrado
• Automatizado Requerimentos
• Servidor com Windows
• Validação Server 2012
• Nível functional Windows
• Suporte para execução remota Server 2003 ou superior
• PowerShell
12. Implantação Simplificada do AD
No passado, falhas de rede durante o DCPROMO podiam impactar
negativamente todo o processo
No Windows Server 2012, a promoção utiliza um loop indefinido de
novas tentativas
• Até o administrador resolver o problema de rede, ou clicar em
“Cancelar”
13. Implantação Simplificada do AD
No passado, o Install From Media (IFM) era usado para fazer uma
desfragmentação obrigatória offline no arquivo DIT
• Em um arquivo DIT muito grande, isto podia levar horas, até dias…
• Ninguém realiza uma desfragmentação offline …
No Windows Server 2012, NTDSUTIL > IFMprep elimina a passagem pela
desfragmentação (opcional)
• Criar um arquivo para mídia IFM é muito mais rápido
16. Tecnologia Segura para
Virtualização
Antes
Criar snapshots ou copiar VMs/VHDs de DCs virtualizados e depois
retornar a estes pontos de restauração causam impactos
• Lingering objects
• Senhas inconsistentes
• Valores de atributos inconsistentes
• Diferenças no Schema
• SIDs duplicados
17. Como Domain Controllers são
Impactados
DC2
DC1
Linha do Tempo dos Eventos
Create USN: 100
TIME: T1
Snapshot ID: A RID Pool: 500 - 1000
+100 users added NOT
USN rollback detected: only 50 users converge across the two DCs
TIME: T2 All others are200 on one or the other DC
USN: either
ID: A RID Pool: 600- 1000
100 security principals (users in this example) withupdates: USNs >100
DC2 receives RIDs 500-599 have conflicting SIDs
DC1(A)
@USN = 200
T1 Snapshot USN: 100
TIME: T3
Applied! ID: A RID Pool: 500 - 1000
+150 more users created
USN: 250 DC1(A)
TIME: T4
ID: A RID Pool: 650 - 1000 DC2 receives updates: USNs >200 @USN = 250
17
18. Tecnologia Segura para
Virtualização
Solução
• DCs Virtuais usam um “VM GenerationID” Requerimentos
• Quando um ponto de restauração for • DCs com Windows Server
ativado, o GenerationID é alterado 2012
em uma plataforma de
• DC verifica durante o reboot, e por cada
virtualização que suporte
escrita no DIT
GenerationID:
• Se alterado, passos de proteção são • Hyper-V 3.0
iniciados • Hypervisors de terceiros
20. Implantação Rápida
Antes
Implantar DCs virtualizados era tão trabalhoso quanto implantar DCs
físicos
• Preparação e implantação de uma imagem de servidor com sysprep
• Promoção manual de um DC
• Em alguns casos era necessário passos adicionais de configuração após
implantar
Virtualização traz capacidades que simplificam implantação
21. Implantação Rápida: Domain Controller
Cloning
Solução
• Cria réplicas de DCs virtualizados através de Requerimentos
clonagem de DCs existentes • DCs com Windows Server 2012
DCs em hypervisors que
• Grande ajuda para cenários de Disaster suportem GenerationID
Recovery • PDC FSMO no Windows Server
2012 (não pode ser clonado)
• Permite capacidades de provisionamento • DC de origem deve ser
elático autorizado para clonagem
25. Lixeira com Interface Gráfica
Antes
Introduzido com Windows Server 2008 R2, permite que administradores
recuperem objetos apagados, como usuários, grupos, OUs, etc
• Tipicamente com alta prioridade
No passado, IT pros eram requisitados para habilitar e usar a lixeira via
comandos do PowerShell
• Complexo, não muito fácil de lembrar e usar
26. Lixeira com Interface Gráfica
Solução
• Recuperação de objeto Requerimentos
• Windows Server 2008 R2 FFL
simplificado • Recurso opcionais de Recycle Bin
deve ser habilitado
• Fácil para usar interface gráfica • Windows Server 2012 Active
Directory Administrative Center
• Reduz tempo de recuperação • Objetos apagados não podem ter
mais de 180 dias (padrão para
• Restaura todos os atributos e Deleted Object Lifetime =
180 dias)
membros de grupos
29. Fine-Grained Password Policy UI
Antes
Introduzido com Windows Server 2008, permite gerenciamento mais granular
da política de senhas
• Necessário criar manualmente password-settings objects (PSOs)
No passado, IT pros eram requisitados para habilitar e utilizar o Fine-Grained
Password Policies via ADSIEDIT ou importando arquivos LDIF
• Complexo, consome muito tempo e não é facil de lembrar e usar
30. Fine-Grained Password Policy UI
Solução
• Criação, edição e atribuição de Requerimentos
PSOs simplificada • Nível funcional de domínio =
Windows Server 2008
• Interface gráfica (UI) fácil de
• Windows Server 2012 Active
utilizar
Directory Administrative
(Sem alterações – pode ser atribuída somente
para usuários e/ou grupos) Center
33. Outros Recursos e Melhoramentos do
AD
Muitos Recursos Incluídos!
• Melhoramentos no RID • Connected Accounts – Windows 8
• Ativação baseada em Active Directory • Melhoramentos no Kerberos
• Dynamic Access Control (DAC) • Kerberos Constrained Delegation (KCD)
• Group Managed Service Accounts (gMSA) • Flexible Authentication Secure
• Cmdlets PowerShell para replicação e Tunneling (FAST)
topologia do AD • Log LDAP melhorado
• PowerShell History Viewer • Novos controles/comportamentos do LDAP
• Junção ao domínio fora da rede corporativa
34. Resumo dos Requisitos Mínimos
Instalando isto…. … você tem isto
Novo Active Directory Administrative Center
Primeiro servidor membro de
domínio Windows Server 2012 (ou • Windows PowerShell History Viewer
Windows 8 com RSAT instalado) • Lixeira gráfica (2008 R2 FFL) e gerenciamento
FGPP (2008 DFL)
Autorização avançada usando DAC e FCI
Ativação baseada em Active Directory
• Requer Windows Server 2012 Schema
Cmdlets PowerShell para topologia e replicação
do Active Directory
35. Resumo dos Requisitos Mínimos
Instalando isto…. … você tem isto
Preparação e Implantação simplificados
Políticas e Claims do Dynamic Access Control
Group Managed Service Accounts
Primeiro DC com Windows Server
2012 Virtualização segura para DCs com Windows
Server 2012
• Requer Hypervisor suportando
VM-Gen-ID
36. Resumo dos Requisitos Mínimos
Instalando isto…. … você tem isto
Implantação rápida de DCs
virtualizados usando DC-cloning
• Requires Hypervisor support for
VM-Gen-ID
Windows Server 2012 DC com FSMO
de PDC Emulator
37. Impressões
Gerenciamento de
Virtualização que
Servidor
“Simplesmente Funciona”
Simplificado
Gerenciamento
Implantação Simplificada
Simplificado do Active
do Active Directory
Directory