Verbeteringen in Active Directory van Windows Server 2008

door Martijn Bellaard

Bij elke nieuwe release van een besturingssysteem wordt een groot aantal technologische verbeteringen doorgevoerd. Dat zien we ook nu, bij de komende introductie van Windows Server 2008.

Hier beperk ik me tot een aantal nieuwe voorzieningen in Active Directory (AD)en kijk naar de read-only domain controller, core server, verbeterde installatieopties en de auditing op het beheer van Active Directory. Tot slot kijk ik naar de nieuwe voorziening waarmee Active Directory domain service herstartbaar is gemaakt, zonder de gehele server te herstarten.

• Read-Only Domain Controller en caching
• Windows Server 2008 core server en unattended install
• Native of mixed mode
• Herstarten van Active Directory en auditing
• Conclusie

Read-Only Domain Controller en caching

De Read-Only Domain Controller (RODC) is een nieuwe verschijningsvorm voor een domain controller. De RODC als domain controller vindt zijn toepassing op locaties waar goede fysieke beveilig lastig of onmogelijk.

Een voorbeeld hiervan is een remote-locatie waar geen beheer wordt gedaan en waar geen afsluitbare systeemruimte is, zoals een winkel of kleine vestiging. Een RODC toepassen is dan veilig en levert snelheid op, met de beperking dat Active Directory-gegevens voor clients alleen read-only beschikbaar zijn. De snelheid van het netwerk is hoog, omdat de Active Directory-database op een RODC alle Active Directory-informatie bevat. Uitzonderingen zijn wachtwoorden en specifieke security-gerelateerde zaken, zoals de ledenlijst van de domain admins-groep.

Op het moment dat een gebruiker inlogt zal de RODC naar een gewone domain controller - de hub domain controller - gaan en vragen of hij een kopie van de credentials lokaal mag opslaan. De password replication policy zal vervolgens bepalen van welke accounts de RODC een kopie mag behouden. 

Credential caching voorziet er in dat er lokaal een aantal gegevens van een gebruiker gecached kunnen worden, maar deze rechten zijn tot een minimum teruggebracht. In de credential cache van een RODC zit standaard alleen het zogenoemde krbtgt-account bedoeld voor Kerberos-authenticatie en de inloggegevens van het computeraccount van de server.

Het is mogelijk met wijzigingen in de password replication policy-accounts aan de cache van een RODC toe te voegen. Als wordt toegestaan dat het password van een gebruiker in de credential cache komt, dan kan de RODC vanaf dat moment een inlogverzoek van een gebruiker direct afhandelen, zonder eerst contact te zoeken met een hub domain controller.

Een RODC kan het domain niet vervuilen, maar wel worden gebruikt voor inloggen en voor LDAP read-toegang. Als er LDAP write-toegang nodig is, zal de RODC automatisch het verzoek omleiden naar een hub domain controller. Unidirectional replication is een belangrijk mechanisme achter de werking van een RODC. Aangezien er op een RODC geen mutaties plaatsvinden zal het replicatieverkeer van een hub domain controller naar de RODC gaan, maar niet terug. Het is replicatie één richting op.

Administrator role separation geeft een gebruiker rechten om beheer te doen op een RODC zonder dat hij of zij domain- of enterprise-admin is. Hiermee kan op de RODC-server lokaal beheer worden gedaan zonder administratieve rechten op Active Directory. De DNS is, net als in Windows Server 2003, een onderdeel van Active Directory-infrastructuur. Bij een RODC zorgt een read-only DNS er voor dat een gebruiker wel  DNS-functionaliteit heeft op een RODC, maar de DNS geen dynamic updates accepteert.

top

Windows Server 2008 core server en unattended install

Een nieuwe installatievariant is core server. Het is een kaal serverbesturingssysteem, waar heel veel onderdelen weggelaten worden, waaronder de grafische gebruikersinterface (GUI) op de console. Ook remote desktop ontbreekt. Voor beheerders is dit wennen. Op de machine zelf moeten administratieve handelingen nu via de command line interface worden gedaan. Beheer op afstand kan wel deels grafisch zijn, met RPC over het netwerk, bijvoorbeeld door een MMC op een client op te starten.

De voordelen van core server zitten in de eenvoud. Allereerst zijn er minder kwetsbare plekken voor een aanval; core server is makkelijker veilig te maken. Net zo belangrijk is, dat er door de eenvoud minder patches nodig zijn, waardoor het aantal herstarts afneemt. Deze twee zaken geven een betere continuïteit voor netwerkdiensten.

De core server kan dan ook uitstekend dienst doen als domain controller of RODC, maar omdat er geen GUI beschikbaar is, zult u een unattended setup willen uitvoeren. Op installatievlak is dan ook veel verbeterd. Er is ook een aantal nieuwe opties voor de installatie van Active Directory.

Bij een dcpromo van Windows Server 2003 is er een wizard die de installatie een aantal malen onderbreekt, om onder meer te vragen wat er moet gebeuren als er geen DNS is. In Windows Server 2008 kunt u alles van te voren aangeven, wat een unattended install mogelijk maakt. De nieuwe dcpromo maakt nu ook de juiste delegation aan in een toplevel DNS-server.

top

Native of mixed mode

Bij Windows Server 2003 leverde een dcpromo standaard compatibiliteit naar Windows 2000 op, de zogenoemde mixed mode. Na installatie kunt u dan upgraden naar een native Windows Server 2003-domain. Bij Windows Server 2008 is de native mode al bij de installatieopties te selecteren.

Het installeren van een domain controller vereist aan het eind van de installatie een reboot. In Windows Server 2008 kan er in het begin al toestemming worden gegeven dat deze reboot na installatie gedaan mag worden. Hierdoor kan een dcpromo in één keer worden uitgevoerd. Er bij blijven staan is niet langer nodig. Bij een unattended-installatie wordt er aan het einde een errorcode afgegeven. Deze errorcode vertelt hoe de unattended install is verlopen, en helpt bij troubleshooting van een mislukte installatie.

top

Herstarten van Active Directory en auditing

In Windows Server 2008, zijn meer voorzieningen om uitgebreid te monitoren wat er allemaal gebeurt aan onderhoud en mutaties op Active Directory. Deze voorziening is bedoeld voor omgevingen waar beveiliging erg belangrijk is. Windows Server 2003 kent maar één audit-mogelijkheid voor Active Directory, audit directory service access. Windows Server 2008 voegt hier nog drie aan toe: directory service change, directory service replication en detailed directory service replication.

Een grote bijdrage aan beheer en onderhoud is dat bij Windows Server 2008 de directory service gestopt en gestart kan worden. Het is nu eenvoudig de database offline te brengen. Ook de database achter Active Directory heeft immers onderhoud nodig en om onderhoud te kunnen doen op een database zal deze eerste offline moeten worden gehaald. Bij Windows Server 2003 kunt u de Active Directory-database alleen offline halen door de hele server te herstarten en in directory service restore mode te brengen. De start- en stopmogelijkheid van de service is dus een grote verbetering.

top

Conclusie

Door in de slecht beveiligde uithoeken van een netwerkinfrastructuur een RODC toe te passen wordt de beveiliging en de integriteit van Active Directory verhoogd, omdat er vanuit de uithoeken niet in de database kan worden geschreven, en wachtwoorden er niet opgeslagen worden.

Een dergelijke beveiliging kon tot nu toe alleen worden bereikt, door op dit type locaties géén Active Directory te plaatsen maar Active Directory-verkeer over het WAN te leiden. Met de RODC is Active Directory voor remote clients nu wel veilig lokaal beschikbaar, en is bij LDAP-gebruik en het opvragen van informatie uit Active Directory nagenoeg geen vertraging.

Installatie van een DC of RODC is sterk verbeterd. Tijdens de installatie geeft u alles in het begin van de wizard aan, de setup loopt dan in één keer door, inclusief de reboot aan het eind. Daarnaast is beveiliging van Active Directory ook toegenomen omdat nu gebruik gemaakt kan worden van extra audit-opties. De extra mogelijkheden maken het beheer van de Active Directory eenvoudiger.

top

Meer informatie (US)

• Windows Server 2008 TechCenter
• Active Directory Domain Services
• Windows Server Community Center