(0) exportieren Drucken
Alle erweitern

Neues in den Active Directory-Domänendiensten (AD DS)

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Juni 2013

Betrifft: Windows Server 2012

Sie können Active Directory-Domänendienste (AD DS) in Windows Server 2012 verwenden, um Domänencontroller (lokal und in der Cloud) schneller und einfacher bereitzustellen, um die Flexibilität beim Überwachen und Autorisieren des Dateizugriffs zu erhöhen und um Verwaltungsaufgaben unterschiedlichen Umfangs (lokal oder remote) durch konsistente grafische und geskriptete Verwaltungserfahrungen einfacher durchzuführen. Die Verbesserungen der AD DS in Windows Server 2012 umfassen Folgendes:

  • Virtualisierung, die einfach funktioniert

    Windows Server 2012 bietet mehr Unterstützung für die Möglichkeiten öffentlicher und privater Clouds durch virtualisierungssichere Technologien und die schnelle Bereitstellung virtualisierter Domänencontroller mittels Klonen.

  • Einfachere Bereitstellung und Upgradevorbereitung

    Die Upgrade- und Vorbereitungsprozesse ("dcpromo" und "adprep") wurden durch einen neuen optimierten Assistenten zum Heraufstufen von Domänencontrollern ersetzt, der in den Server-Manager integriert ist und auf Windows PowerShell aufbaut. Mit diesem Assistenten werden Voraussetzungen überprüft sowie die Gesamtstruktur- und Domänenvorbereitung automatisiert. Er erfordert nur einen Satz von Anmeldeinformationen und kann AD DS remote auf einem Zielserver installieren.

  • Einfachere Verwaltung

    Einige Beispiele für die einfachere Verwaltung sind die Integration der anspruchsbasierten Authentifizierung in AD DS und der Windows-Plattform, zwei wichtige Komponenten eines umfassenderen Features, das als "dynamische Zugriffssteuerung" (Dynamic Access Control, DAC) bezeichnet wird. Die dynamische Zugriffssteuerung umfasst zentralisierte Zugriffsrichtlinien, Verzeichnisattribute, das Windows-Dateiklassifizierungsmodul und Verbundidentitäten, die sowohl aus Benutzer- als auch aus Computeridentitäten bestehen. Zudem ermöglicht Ihnen das Active Directory-Verwaltungscenter (Active Directory Administrative Center, ADAC) nun das Ausführen von grafischen Aufgaben, die automatisch die entsprechenden Windows PowerShell-Befehle erstellen. Die Befehle können einfach kopiert und in ein Skript eingefügt werden. Dadurch wird die Automatisierung von wiederkehrenden administrativen Aktionen vereinfacht.

  • Änderungen an der AD DS-Plattform

    Die AD DS-Plattform umfasst grundlegende Funktionen, darunter die "verdeckten" Verhalten, die die Komponenten steuern, auf denen der Rest des Verzeichnisdiensts basiert. Aktualisierungen der AD DS-Plattform beinhalten die verbesserte Zuordnung und Skalierung von RIDs (relativen Bezeichnern), die verzögerte Indexerstellung, verschiedene Kerberos-Erweiterungen und die Unterstützung für Kerberos-Ansprüche (siehe Dynamische Zugriffsteuerung) in AD FS.

Active Directory und der AD DS befanden sich 10 Jahre lang im Zentrum der IT-Infrastruktur, und die Features, die Akzeptanz und der Geschäftswert sind mit jeder Version gewachsen. Heutzutage verbleibt der Großteil dieser Active Directory-Infrastruktur in der lokalen Umgebung, es entwickelt sich jedoch ein Trend hin zum Cloudcomputing. Der Übergang zum Cloudcomputing erfolgt jedoch nicht über Nacht, und das Migrieren geeigneter Standort-Arbeitslasten oder -Anwendungen ist ein inkrementeller und langfristiger Prozess. Neue Hybridinfrastrukturen werden entstehen, und es ist wichtig, dass AD DS die Ansprüche dieser neuen und einzigartigen Bereitstellungsmodelle unterstützt, die Dienste umfassen, die vollständig in der Cloud gehostet werden, Dienste, die Cloud- und Standortkomponenten umfassen, und Dienste, die ausschließlich am Standort verbleiben. Diese Hybridmodelle werden die Bedeutung, die Sichtbarkeit und den Fokus auf Sicherheit und Kompatibilität weiter verstärken und den bereits komplexen und zeitintensiven Prozess des Sicherstellens, dass der Zugriff auf Unternehmensdaten und -dienste entsprechend überwacht wird und dass das Geschäftsziel präzise ausgedrückt wird, zusammensetzen.

In den folgenden Abschnitten wird erläutert, wie diesen immer wichtiger werdenden Anforderungen von AD DS in Windows Server 2012 begegnet wird.

Weitere Informationen zur Installation von AD DS finden Sie unter Bereitstellen der Active Directory-Domänendienste (AD DS) im Unternehmen und Aktualisieren von Domänencontrollern auf Windows Server 2012.

Mit AD DS in Windows Server 2012 können Sie replizierte virtuelle Domänencontroller bereitstellen, indem Sie vorhandenen virtuelle Domänencontroller "klonen". Sie können einen einzelnen virtuellen Domänencontroller heraufstufen, indem Sie im Server-Manager die Domänencontroller-Heraufstufungsschnittstelle verwenden und dann durch Klonen schnell zusätzliche virtuelle Domänencontroller in der gleichen Domäne bereitstellen.

Der Vorgang zum Klonen beinhaltet das Erstellen einer Kopie eines vorhandenen virtuellen Domänencontrollers, das Autorisieren des Klonvorgangs des ursprünglichen Domänencontrollers in AD DS und die Ausführung von Windows PowerShell-Cmdlets zum Erstellen einer Konfigurationsdatei mit detaillierten Informationen zur Heraufstufung (Name, IP-Adresse, DNS [Domain Name System]-Servers usw.). Sie können die Konfigurationsdatei auch leer lassen, damit die Informationen vom System automatisch eingetragen werden können. Durch das Klonen verringern sich die erforderlichen Schritte und die Zeit, indem sich wiederholende Bereitstellungsaufgaben wegfallen. Des Weiteren können Sie zusätzliche Domänencontroller vollständig bereitstellen, für die vom Active Directory-Domänenadministrator das Klonen autorisiert und konfiguriert ist.

Detaillierte Informationen zum Klonen von virtualisierten Domänencontrollern finden Sie unter Virtualisierung der Active Directory-Domänendienste (Active Directory Domain Services, AD DS).

AD DS ist bereits seit einigen Jahren virtualisiert, jedoch können in den meisten Hypervisoren vorhandene Features grundlegende Annahmen seitens der Active Directory-Replikationsalgorithmen ungültig machen. Ein Hauptgrund ist, dass die logischen Uhren, die von Domänencontrollern zum Bestimmen der relativen Konvergenzebenen verwendet werden, sich zeitlich nur vorwärts bewegen. In Windows Server 2012 wird von einem virtuellen Domänencontroller ein eindeutiger Bezeichner verwendet, der vom Hypervisor verfügbar gemacht wird. Dieser wird als Generations-ID des virtuellen Computers (VM-Generations-ID) bezeichnet. Die VM-Generations-ID ändert sich bei jedem Ereignis auf dem virtuellen Computer, das seine zeitliche Position beeinflusst. Die VM-Generations-ID wird für den Adressraum des virtuellen Computers in dessen BIOS verfügbar gemacht. Für das Betriebssystem wird sie über einen Treiber in Windows Server 2012 verfügbar gemacht.

Während des Starts und vor dem Abschluss einer Transaktion wird von virtuellen Domänencontrollern, auf denen Windows Server 2012 ausgeführt wird, der aktuelle Wert der VM-Generations-ID mit dem von ihm im Verzeichnis gespeicherten Wert verglichen. Ein Unterschied wird als "Rollback"-Ereignis betrachtet, und der Domänencontroller verwendet AD DS-Schutzvorrichtungen, die neu in Windows Server 2012 sind. Diese Schutzvorrichtungen ermöglichen dem virtuellen Domänencontroller, mit anderen Domänencontrollern zu konvergieren, und sie verhindern, dass der virtuelle Domänencontroller doppelte Sicherheitsprinzipale erstellt. Um diesen zusätzlichen Schutz für virtuelle Windows Server 2012-Domänencontroller zu ermöglichen, muss der virtuelle Domänencontroller auf einem Hypervisor gehostet sein, der die VM-Generations-ID erkennen kann, wie etwa Windows Server 2012 mit der Hyper-V-Rolle.

Detaillierte Informationen zum Feature für virtualisierungssichere Technologien finden Sie unter Virtualisierung der Active Directory-Domänendienste (Active Directory Domain Services, AD DS).

Die AD DS-Bereitstellung in Windows Server 2012 beinhaltet alle für das Bereitstellen neuer Domänencontroller in einer einzigen grafischen Oberfläche erforderlichen Schritte. Es ist nur eine Anmeldeinformation auf Unternehmensebene erforderlich, und die Gesamtstruktur oder die Domäne können vorbereitet werden, indem die entsprechenden Betriebsmasterrollen remote angesprochen werden. Durch den neuen Bereitstellungsprozess werden umfassende Tests zur Überprüfung der Voraussetzungen durchgeführt. So gibt es weniger Möglichkeiten für das Auftreten von Fehlern, die andernfalls die Installation verhindern oder beeinträchtigen könnten. Der AD DS-Installationsvorgang basiert auf Windows PowerShell, das in den Server-Manager integriert ist und mehrere Server ansprechen sowie Domänencontroller remote bereitstellen kann. Dadurch ist der Bereitstellungsprozess einfacher, konsistenter und weniger zeitaufwendig. Die folgende Abbildung zeigt den AD DS-Konfigurationsassistenten in Windows Server 2012.

Überprüfungsoptionen

Abbildung 1   AD DS-Konfigurationsassistent

Die AD DS-Installation umfasst die folgenden Features:

  • Integration von "Adprep.exe" in den AD DS-Installationsprozess. Verkürzt die zum Installieren von AD DS erforderliche Zeit und reduziert die Möglichkeiten für das Auftreten von Fehlern, durch die die Heraufstufung von Domänencontrollern verhindert werden könnte.

  • Die AD DS-Serverrolleninstallation, die auf Windows PowerShell basiert und auf mehreren Servern remote ausgeführt werden kann. Reduziert die Wahrscheinlichkeit von Verwaltungsfehlern und die für die Installation erforderliche Gesamtzeit, vor allem bei der Bereitstellung mehrerer Domänencontroller in verschiedenen Regionen und Domänen weltweit.

  • Überprüfung der Voraussetzungen im AD DS-Konfigurationsassistenten. Erkennt mögliche Fehler vor der Installation. Sie können Fehlerzustände noch vor deren Eintreten korrigieren und müssen sich keine Sorgen um Probleme machen, die aus einem teilweise abgeschlossenen Upgrade resultieren.

  • Konfigurationsseiten sind in einer Reihenfolge gruppiert, die die Anforderungen der gängigsten Heraufstufungsoptionen widerspiegelt, wobei die zugehörigen Optionen in weniger Assistenten-Seiten gruppiert sind. Bietet einen besseren Kontext für das Treffen von installationsrelevanten Entscheidungen und reduziert die Anzahl der Schritte und die benötigte Zeit zum Abschließen der Installation des Domänencontrollers.

  • Ein Assistent, der ein Windows PowerShell-Skript exportiert, das alle während der grafischen Installation angegebenen Optionen enthält. Vereinfacht den Prozess durch die Automatisierung nachfolgender AD DS-Installationen anhand automatisch generierter Windows PowerShell-Skripte.

Ausführliche Informationen zur Integration von AD DS in den Server-Manager finden Sie unter Bereitstellen der Active Directory-Domänendienste (AD DS) im Unternehmen.

Mit dem Ziel, die Verwaltung von AD DS zu vereinfachen, wurden mehrere Bereiche überarbeitet. Zu diesen Bereichen zählen:

Heutzutage ist es schwierig, geschäftliche Ziele in das bestehende Autorisierungsmodell zu übersetzen. Die vorhandenen Funktionen der Zugriffssteuerungseinträge (Access Control Entries, ACEs) gestalten das vollständige Ausdrücken von Anforderungen schwierig oder machen es unmöglich. Darüber hinaus sind keine zentralen Verwaltungsfunktionen vorhanden. Schließlich tragen die heutzutage immer höheren regulatorischen und geschäftlichen Anforderungen zu einer weiteren Vergrößerung des Problems bei.

Windows Server 2012-AD DS begegnet dieser Herausforderung durch die Einführung folgender Komponenten:

  • Eine neue anspruchsbasierte Authentifizierungsplattform, die das vorhandene Modell nicht ersetzt, sondern verbessert; dieses Modell umfasst:

    • Benutzeransprüche und Geräteansprüche

    • Benutzeransprüche + Geräteansprüche (auch als "zusammengesetzte Identität" bezeichnet)

  • Neues Richtlinienmodell für den zentralen Zugriff (Central Access Policies, CAP)

  • Verwendung von Informationen zu Dateiklassifizierungen für Autorisierungsentscheidungen

  • Einfachere Wartung nach "Zugriff verweigert"

  • Zugriffs- und Überwachungsrichtlinien können flexibel und einfach definiert werden:

    • IFresource.Confidentiality = high, THEN audit.Success, WHEN user.EmployeeType = vendor

Anforderungen

  • Mindestens ein Windows Server 2012-Domänencontroller

  • Windows Server 2012-Dateiserver

  • Aktivieren der Anforderungsrichtlinie in der Standard-Domänencontrollerrichtlinie

  • Windows Server 2012-Active Directory-Verwaltungscenter

  • Für Geräteansprüche muss die Verbund-ID auf dem Zieldienstkonto aktiviert werden, in dem die Gruppenrichtlinie verwendet oder das Objekt direkt bearbeitet wird.

Weitere Informationen zur dynamischen Zugriffssteuerung finden Sie im Abschnitt Dynamische Zugriffssteuerung der technischen Bibliothek.

Die Offline-Domänenbeitrittsfunktion wurde AD DS in Windows Server 2008 R2 hinzugefügt und ermöglicht praktisch den Beitritt von Clientcomputer zu einer Domäne, ohne dass eine Netzwerkverbindung zu einem Domänencontroller erforderlich ist. Der Clientcomputer konnte im Rahmen des Domänenbeitritts jedoch nicht auch für DirectAccess vorkonfiguriert sein.

AD DS in Windows Server 2012 bietet folgende Verbesserungen:

  • Erweiterung des Offline-Domänenbeitritts durch Zulassen der Voraussetzungen für DirectAccess durch das Blob

    • Zertifikate

    • Gruppenrichtlinien

  • Was bedeutet dies?

    • Ein Computer kann jetzt über das Internet einer Domäne angeschlossen werden, wenn DirectAccess für die Domäne aktiviert wurde.

    • Das Blob muss in einem Offline-Verfahren auf den Computer übertragen werden, der nicht der Domäne angeschlossen ist. Hierfür ist der Administrator verantwortlich.

Anforderungen

  • Windows Server 2012-Domänencontroller:

Weitere Informationen finden Sie unter DirectAccess-Offline-Domänenbeitritt.

AD FS v2.0 ist nicht im Lieferumfang von Windows Server enthalten. In Windows Server 2012, ist AD FS (v2.1) als Serverrolle im Lieferumfang enthalten. Folgendes wird damit bereitgestellt:

  • Einfachere Einrichtung und automatische Verwaltung von Vertrauensstellungen

  • Unterstützung des SAML-Protokolls

  • Erweiterbarer Attributspeicher

  • Anforderungen können von überall innerhalb des Unternehmens bezogen werden

  • Attributspeicher-Provider für Active Directory Lightweight Directory Service (AD LDS) und SQL im Lieferumfang enthalten

Anforderungen

  • Windows Server 2012

Ausführliche Informationen zu AD FS in Windows Server 2012 finden Sie unter AD FS.

Windows PowerShell stellt eine Schlüsseltechnologie für die Konsistenz zwischen Befehlszeile und grafischer Benutzeroberfläche dar. Windows PowerShell erhöht die Produktivität, es muss jedoch auch Zeit in das Erlernen der Verwendung investiert werden.

Um den Lernaufwand möglichst gering zu halten, beinhaltet Windows Server 2012 die neue Windows PowerShell-Verlaufsanzeige. Die Vorteile dieser umfassen:

  • Erlauben Sie den Administratoren, die Ausführung der Windows PowerShell-Befehle anzuzeigen, wenn sie das Active Directory-Verwaltungscenter nutzen. Beispiel:

    • Der Administrator fügt der Gruppe einen Benutzer hinzu.

    • Die Benutzeroberfläche zeigt den entsprechenden Befehl in Windows PowerShell für Active Directory an.

    • Der Administrator kopiert die dabei entstehende Syntax und integriert sie in ein Skript.

    • Der Aufwand für das Erlernen von Windows PowerShell wird reduziert.

    • Die Sicherheit bei der Skripterstellung wird erhöht.

    • Die Übersichtlichkeit von Windows PowerShell wird noch weiter verbessert.

Anforderungen

  • Windows Server 2012-Active Directory-Verwaltungscenter

Weitere Informationen zur Windows PowerShell-Verlaufsanzeige finden Sie unter Erweiterungen des Active Directory-Verwaltungscenters.

Die mit Windows Server® 2008 R2 eingeführte Active Directory-Papierkorbfunktion bot eine Architektur, die eine vollständige Objektwiederherstellung ermöglicht. Szenarien, in denen eine Objektwiederherstellung mithilfe des Active Directory-Papierkorbs erfordern, haben in der Regel hohe Priorität, z. B. die Wiederherstellung nach versehentlichem Löschen, das zum Fehlschlagen von Anmeldungen oder Arbeitsunterbrechungen führte. Das Fehlen einer umfassenden grafischen Benutzeroberfläche machte die Anwendung jedoch kompliziert und verlangsamte die Wiederherstellung.

Um dieser Herausforderung zu begegnen, verfügt AD DS in Windows Server 2012 über eine neue Benutzeroberfläche für den Active Directory-Papierkorb, die folgende Vorteile bietet:

  • Vereinfachte Objektwiederherstellung durch die Einbindung eines Gelöschte Objekte-Knotens in das Active Directory-Verwaltungscenter (Active Directory Administrative Center, ADAC)

    • Wiederherstellung gelöschter Objekte über die grafische Benutzeroberfläche

  • Weniger Zeitaufwand für die Wiederherstellung durch eine übersichtliche, einheitliche Ansicht der gelöschten Objekte

Anforderungen

  • Anforderungen für den Papierkorb müssen erfüllt sein:

    • Windows Server 2008 R2-Gesamtstrukturfunktionsebene

    • Das optionale Papierkorb-Feature muss aktiviert sein.

  • Windows Server 2012-Active Directory-Verwaltungscenter

  • Die wiederherzustellenden Objekte müssen innerhalb der Lebensdauer von "Gelöschte Objekte" gelöscht worden sein.

    • Die Lebensdauer von "Gelöschte Objekte" beträgt standardmäßig 180 Tage.

Weitere Informationen zur Benutzeroberfläche für den Active Directory-Papierkorb finden Sie unter Erweiterungen des Active Directory-Verwaltungscenters.

Die differenzierte Kennwortrichtlinie (Fine-Grained Password Policy, FGPP), die mit Windows Server 2008 eingeführt wurde, bietet eine feiner abgestimmte Verwaltung der Kennwortrichtlinien. Um dieses Feature nutzen zu können, mussten die Administratoren bisher manuell Kennworteinstellungsobjekte (Password-settings Objects, PSOs) erstellen. Das Sicherstellen, dass sich die manuell festgelegten Richtlinienwerte wunschgemäß verhalten, erwies sich als schwierig und führte zu einer zeitintensiven Verwaltung nach dem Trial-and-Error-Prinzip.

In Windows Server 2012:

  • Kennworteinstellungsobjekte können jetzt über das Active Directory-Verwaltungscenter erstellt, bearbeitet und zugewiesen werden.

  • So wird die Verwaltung der Kennworteinstellungsobjekte deutlich vereinfacht.

Anforderungen

  • Die Anforderungen für differenzierte Kennwortrichtlinien (Fine-Grained Password Policies, FGPP) müssen erfüllt sein:

    • Windows Server® 2008-Domänenfunktionsebene

  • Windows Server 2012-Active Directory-Verwaltungscenter

Weitere Informationen zur Benutzeroberfläche für differenzierte Kennwortrichtlinien finden Sie unter Erweiterungen des Active Directory-Verwaltungscenters.

Für die Verwaltung der Standorttopologie von Active Directory benötigen Administratoren eine Reihe von Tools.

  • Repadmin

  • Ntdsutil

  • Active Directory-Standorte und -Dienste

Die Verwendung mehrere Tools führt zu Inkonsistenzen, die eine Automatisierung erschweren.

AD DS in Windows Server 2012 bietet Administratoren folgende Möglichkeiten:

  • Verwaltung von Replikation und Standorttopologie mit Windows PowerShell

    • Erstellen und Verwalten von Standorten, Standortverknüpfungen, Standortverknüpfungsbrücken, Subnetzen und Verbindungen

    • Replikation von Objekten zwischen Domänencontrollern

    • Anzeigen von Replikationsmetadaten auf Objektattributen

    • Anzeigen von Replikationsfehlern

  • Ermöglichen einer einfachen und leicht skriptfähigen Handhabung

  • Kompatibilität und Interoperabilität mit weiteren Windows PowerShell-Cmdlets

Anforderungen

  • Active Directory-Webdienst (auch als "Active Directory-Verwaltungsgateway" für Windows Server 2003 oder Windows Server 2008 bezeichnet)

  • Windows Server 2012-Domänencontroller oder Windows Server 2012 mit installierten Rollenverwaltungstools für AD DS und AD LDS.

Weitere Informationen zu den Windows PowerShell-Cmdlets für die Verwaltung der Active Directory-Topologie und -Replikation finden Sie unter Active Directory-Replikation und Topologieverwaltung mithilfe von Windows PowerShell.

Heute sind für die Volumenlizenzierung von Windows und Office Schlüsselverwaltungsdienst-Server (Key Management Service, KMS) erforderlich. Diese Lösung erfordert minimalen Schulungsaufwand, ist sofort einsetzbar und deckt etwa 90 % der Bereitstellungen ab.

Das Fehlen einer grafischen Verwaltungskonsole sorgt jedoch für eine gewisse Komplexität. Die Lösung erfordert RPC-Datenverkehr im Netzwerk, was die Angelegenheit etwas komplizierter macht. Zudem unterstützt sie keine Authentifizierung. Der Endbenutzer-Lizenzvertrag (EULA) verbietet dem Kunden, den KMS-Server an ein externes Netzwerk anzuschließen. Beispielsweise entspricht die bloße Verbindung zum Dienst dem Status aktiviert.

In Windows Server 2012 bietet die Active Directory-basierte Aktivierung folgende Verbesserungen:

  • Verwenden Ihrer bestehenden Active Directory-Infrastruktur zum Aktivieren Ihrer Clients

    • Keine zusätzlichen Computer erforderlich

    • Keine RPC-Anforderung, verwendet ausschließlich LDAP

    • Enthält schreibgeschützte Domänencontroller

  • Mit Ausnahme von installations- und dienstspezifischen Anforderungen werden keine Daten in das Verzeichnis zurückgeschrieben

    • Die Aktivierung des ersten kundenspezifischen Volumenlizenzschlüssels (Customer-Specific Volume License Key, CSVLK) erfordert:

      • Einmaligen Kontakt mit den Microsoft Aktivierungsdiensten über das Internet (mit der Einzelhandelsaktivierung identisch)

      • Mittels Serverrolle "Volumenaktivierung" oder Befehlszeile eingegebener Schlüssel

      • Wiederholung des Aktivierungsprozesses für weitere Gesamtstrukturen, standardmäßig bis zu sechs Mal

  • Speicherung des Aktivierungsobjekts in Konfigurationspartition

    • Stellt den Kaufnachweis dar

    • Computer können einer beliebigen Domäne innerhalb der Gesamtstruktur angehören.

  • Alle Windows 8-Computer werden automatisch aktiviert.

Anforderungen

  • Nur Windows 8-Computer können AD BA nutzen.

  • KMS und AD BA können gleichzeitig vorhanden sein.

    • Für die Volumenlizenzierung auf den unteren Ebenen wird KMS weiterhin benötigt.

  • Erfordert das Windows Server 2012-Active Directory-Schema, keine Windows Server 2012-Domänencontroller.

Weitere Informationen zu AD BA finden Sie in den folgenden Dokumenten:

Verwaltete Dienstkonten (Managed Service Accounts, MSAs) wurden mit Windows Server 2008 R2 eingeführt. Geclusterte Dienste oder Dienste mit Lastenausgleich, die ein einziges Sicherheitsprinzipal teilen mussten, wurden nicht unterstützt. Infolgedessen konnten MSAs in zahlreichen gewünschten Szenarien nicht verwendet werden.

Windows Server 2012 umfasst folgende Änderungen:

  • Einführung neuer, als "gMSA" bezeichneter Sicherheitsprinzipaltypen

  • Auf mehreren Hosts ausgeführte Dienste können unter demselben gMSA-Konto ausgeführt werden.

  • Mindestens ein Windows Server 2012-Domänencontroller ist erforderlich.

    • gMSAs Authentifizierungen an allen Domänencontrollern durchführen, auf denen eine beliebige Windows Server-Version ausgeführt wird.

    • Kennwörter werden vom Gruppenschlüsselverteilungsdienst (Group Key Distribution Service, GKDS) berechnet, der auf allen Windows Server 2012-Domänencontrollern ausgeführt wird.

  • Windows Server 2012-Hosts, die gMSAs verwenden, rufen Kennwörter und Kennwortaktualisierungen vom GKDS ab.

    • Der Kennwortabruf ist auf autorisierte Computer beschränkt.

  • Das Intervall für die Kennwortänderung wird bei Erstellung des gMSA-Kontos festgelegt (standardmäßig 30 Tage).

  • Wie MSAs werden gMSAs nur durch den Dienststeuerungs-Manager (Service Control Manager, SCM) von Windows und IIS-Anwendungspools unterstützt

Anforderungen

  • Aktualisierung des Windows Server 2012-Active Directory-Schemas in Gesamtstrukturen , die gMSAs enthalten.

  • Mindestens ein Windows Server 2012-Domänencontroller zum Berechnen und Abrufen von Kennwörtern.

  • Nur unter Windows Server 2012 ausgeführte Dienste können gMSAs verwenden.

Weitere Informationen zu gruppenverwalteten Dienstkonten finden Sie unter Verwaltete Dienstkonten.

In Skalierbarkeits-, Einschränkungs- und Sicherheitsbereichen wurden zahlreiche Plattformänderungen vorgenommen. Zu diesen Bereichen zählen:

AD FS v2.0 kann Benutzeransprüche direkt aus Windows NT-Token generieren. AD FS v2.0 konnte auch auf Attributen in AD DS und anderen Attributspeichern basierende Ansprüche erweitern.

In Windows Server 2012 können Kerberos-Tickets mit Benutzer und Geräteattributen ausgefüllt werden, die als Ansprüche dienen. AD FS 2.0 kann keine Ansprüche von Kerberos-Tickets lesen. Daher muss ein separater LDAP-Aufruf an Active Directory erfolgen, damit Benutzerattributansprüche abgerufen werden können, und AD FS 2.0 kann Geräteattributansprüche überhaupt nicht nutzen.

AD FS v2.1 in Windows Server 2012 kann SAML-Token mit Benutzer- und Geräteansprüchen ausfüllen, die direkt aus dem Kerberos-Ticket stammen.

Anforderungen

  • Aktivierung und Konfiguration der dynamischen Zugriffssteuerung

  • Aktivierung der Verbund-ID für das AD FS-Dienstkonto

  • Windows Server 2012-AD FS v2.1

Ausführliche Informationen zu AD FS in Windows Server 2012 finden Sie unter AD FS.

Die folgenden RID-Verbesserungen in Windows Server 2012 bieten mehr Möglichkeiten, auf eine potenzielle Ausschöpfung des globalen RID-Poolspeichers, zu reagieren:

  • Regelmäßige Benachrichtigungen über den RID-Verbrauch

    • Bei 10 % des verbleibenden globalen Speichers gibt das System ein Informationsereignis aus.

      • Erstes Ereignis bei 100.000.000 verbrauchten RIDs, zweites Ereignis wird bei 10 % des Restwerts erfasst.

        • Restwert = 900.000.000

        • 10 % des Restwerts = 90.000.000

      • Zweites Ereignis wird bei 190.000.000 erfasst

        • Bestehender RID-Verbrauch plus 10 % des Restwerts

    • Die Ereignisse werden häufiger, je weniger globaler Speicher verfügbar ist.

  • Schutzmechanismus durch künstliche Obergrenze für RID-Manager

    • Es besteht eine weiche Obergrenze von 90 % des globalen RID-Speichers, die nicht konfiguriert werden kann.

    • Die weiche Obergrenze gilt als "erreicht", wenn ein RID-Pool herausgegeben wurde, der 90 % der RID enthält.

    • Blockiert die weitere Zuweisung von RID-Pools

      • Beim Erreichen der Obergrenze legt das System das msDS-RIDPoolAllocationEnabled-Attribut des RID Manager$-Objekts auf FALSE fest. Um diese Einstellung zu überschreiben, muss ein Administrator es wieder auf TRUE festlegen.

    • Ausgeben eines Ereignisses, um das Erreichen der Obergrenze anzuzeigen

      • Eine erste Warnung wird ausgegeben, wenn der gesamte RID-Speicherplatz den Wert von 80 % erreicht.

    • Das Attribut kann nur vom SYSTEM auf FALSE festgelegt werden und wird vom RID-Master verwaltet (es wird z. B. für den RID-Master geschrieben).

      • Der Domänenadministrator kann es wieder auf "TRUE" festlegen.

        noteHinweis
        Standardmäßig ist "TRUE" eingestellt.

  • Der globale RID-Speicher pro Domäne wurde erhöht, d. h. die Anzahl der Sicherheitsprinzipale, die während der Lebensdauer eine Domäne erstellt werden können, wurden von 1 Milliarde auf 2 Milliarden verdoppelt.

Anforderungen

  • Windows Server 2012-RID-Master

  • Windows Server 2012-Domänencontroller

Weitere Informationen zu den RID-Verbesserungen finden Sie unter Managing RID Issuance.

Bislang konnte sich die Indexerstellung negativ auf die Leistung des Domänencontrollers auswirken. Mit Windows Server 2012 wird eine neue Funktion eingeführt, die es Gesamtstrukturadministratoren ermöglicht, die Indexerstellung auf einen beliebigen Zeitpunkt zu verschieben. Standardmäßig erstellen Domänencontroller Indizes, wenn sie über die Replikation die entsprechenden Schemaänderungen erhalten. In Windows Server 2012 wurde ein neues DSheuristic-Attribut eingeführt, um zu steuern, ob die Indexerstellung durch Domänencontroller verschoben wird. Die Details lauten wie folgt:

  • Wird das 19. Byte auf 1 gesetzt, so wird die Indexerstellung durch alle Windows Server 2012-Domänencontroller (DC mit älteren Betriebssystemen ignorieren die Einstellung) verschoben, bis:

    • der Domänencontroller das UpdateSchemaNow-Attribut vom Element "rootDSE mod" erhält (dadurch wird die erneute Erstellung des Schemacache ausgelöst).

    • der Domänencontroller neu gestartet wird (Voraussetzung ist, dass der Schemacache neu erstellt werden kann und die Indizes entsprechend verschoben wurden).

  • Jedes Attribut, das sich im Status der verzögerten Indizierung befindet, wird alle 24 Stunden im Ereignisprotokoll erfasst

    • 2944: Index verschoben – einmal protokolliert

    • 2945: Index noch ausstehend – alle 24 Stunden protokolliert

    • 1137: Index erstellt – einmal protokolliert (kein neues Ereignis)

Anforderungen

  • Windows Server 2012-Domänencontroller:

Die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) wurde zusammen mit Windows Server 2003 eingeführt. Mithilfe der KCD kann ein Dienstkonto (Front-End) bei einer beschränkten Anzahl von Back-End-Diensten handeln. Beispiel:

  1. Ein Benutzer meldet sich als User1 bei einer Website an.

  2. Der Benutzer fordert Informationen von der Website (Front-End) an, die der Webserver aus einer SQL-Datenbank (Back-End) abrufen muss.

  3. Zugriff auf die Daten wird je nach Front-End-Benutzer autorisiert.

  4. In diesem Fall nimmt der Webserver beim Abruf aus der SQL-Datenbank die Identität von User1 an.

Das Front-End musste mit den Diensten konfiguriert (vom SPN) werden, deren Benutzeridentitäten es annehmen kann. Setup und Verwaltung erfordern Domänenadministratorberechtigungen. KCD-Delegierung funktioniert nur bei Back-End-Diensten in derselben Domäne wie die Front-End-Dienstkonten.

Mit der KCD in Windows Server 2012 wird die Autorisierungsentscheidung an die Ressourcenbesitzer übertragen, was folgende Vorteile birgt:

  • Erlaubt dem Back-End die Autorisierung, welche Front-End-Dienstkonten die Identitäten von Benutzern bei ihren Ressourcen annehmen können.

  • Unterstützt domänenübergreifende, gesamtstrukturübergreifende Szenarien

  • Keine Domänenadministratorberechtigungen mehr erforderlich

    • Erfordert nur Administratorberechtigungen für das Back-End-Dienstkonto

Anforderungen

  • Clientcomputer mit Windows XP oder höher

  • Domänencontroller der Clientdomäne mit Windows Server 2003 oder höher

  • Front-End-Server mit Windows Server 2012

  • Mindestens ein Domänencontroller in der Front-End Domäne mit Windows Server 2012

  • Mindestens ein Domänencontroller in der Back-End Domäne mit Windows Server 2012

  • Back-End-Serverkonto konfiguriert mit Konten, die eine Berechtigung für einen Identitätswechsel haben

    • Nicht durch das Active Directory-Verwaltungscenter verfügbar gemacht

    • Konfiguriert über Windows PowerShell:

      • New/Set-ADComputer [-name] <string> [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]

      • New/Set-ADServiceAccount [-name] <string> [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]

  • Windows Server 2012-Schemaaktualisierung in der Gesamtstruktur des Back-End-Servers

  • Back-End-Anwendungsserver mit Windows Server 2003 oder höher

Weitere Informationen zur eingeschränkten Kerberos-Delegierung finden Sie im Abschnitt Kerberos der technischen Bibliothek.

Heute sind Offlineverzeichnisangriffe gegen kennwortbasierte Anmeldungen möglich. Bedenken hinsichtlich gefälschter Kerberos-Fehler sind relativ verbreitet. Clientcomputer können:

  • Auf weniger sichere ältere Protokolle zurückgreifen.

  • Die Stärke ihres kryptografischen Schlüssels und/oder der Verschlüsselung vermindern.

Kerberos in Windows Server 2012 unterstützt die Flexible Authentifizierung via Secure Tunneling (FAST)

  • Festgelegt von RFC 6113

  • Manchmal auch als Kerberos Armoring bezeichnet

  • Bietet einen sicheren Kanal zwischen einem in eine Domäne eingebundenen Client und dem Domänencontroller

    • Schützt Vorauthentifizierungsdaten für AS_REQs des Benutzers

      • Verwendet Sitzungsschlüssel (Logon Session Key, LSK) aus dem TGT des Computers als gemeinsamen geheimen Schlüssel

      • Beachten Sie, dass der Computer während der Authentifizierung NICHT hochgerüstet ist.

    • Erlaubt Domänencontrollern authentifizierte Kerberos-Fehler auszugeben und sie so vor Fälschung zu schützen

  • Sobald alle Kerberos-Clients und Domänencontroller FAST unterstützen (Entscheidung liegt beim Administrator)

    • Die Domäne kann so konfiguriert werden, dass Kerberos Armoring erforderlich ist oder auf Anforderung erfolgt.

      • Zuerst sicherstellen, dass auf allen oder auf genügend Domänencontrollern Windows Server 2012 ausgeführt wird

      • Aktivieren der entsprechenden Richtlinie

        • "Unterstützung von CBAC und Kerberos Armoring"

        • "Alle Domänencontroller können CBAC unterstützen und Kerberos Armoring erfordern"

Anforderungen

  • Windows Server 2012-Server

  • Stellen Sie sicher, dass alle vom Client verwendeten Domänen übertragene Verweisdomänen beinhalten:

    • Aktivieren Sie die Richtlinie "Unterstützung von CBAC und Kerberos Armoring" für alle Windows Server 2012-Domänencontroller.

    • Achten Sie darauf, dass eine ausreichende Anzahl von Windows Server 2012-Domänencontrollern FAST unterstützen.

  • Aktivieren Sie die Richtlinie "FAST erforderlich" auf unterstützten Clients.

  • RFC-konforme FAST-Interoperabilität erfordert Windows Server 2012-Domänenfunktionsebene

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft