Vereenvoudigd AD DS-beheer
Van toepassing op: Windows Server 2012
In dit onderwerp worden de nieuwe mogelijkheden en voordelen van het implementeren en beheren van Windows Server 2012-domeincontrollers uitgelegd en wordt aangegeven wat voor de implementatie van domeincontrollers het verschil is tussen eerdere besturingssysteem en het nieuwe Windows Server 2012.
In Windows Server 2012 maakt u kennis met de nieuwe generatie van Active Directory Domain Services Simplified Administration, de meest radicale wijziging in de visie op domeinen sinds Windows 2000 Server. In AD DS Simplified Administration zijn de ervaringen van twaalf jaar Active Directory verwerkt waardoor het een beter te ondersteunen, flexibelere en intuïtievere beheerervaring biedt voor architecten en administrators. Dit betekende dat er nieuwe versies van bestaande technologieën moesten worden gemaakt en dat de mogelijkheden van onderdelen uitgebracht in Windows Server 2008 R2 moesten worden uitgebreid.
AD DS Simplified Administration is een geheel nieuwe vorm van domeinimplementatie.
De implementatie van AD DS-functies is nu onderdeel van de nieuwe Serverbeheer-architectuur waardoor nu ook externe installaties mogelijk zijn
De implementatie- en configuratie-engine van AD DS is nu Windows PowerShell, zelfs wanneer de nieuwe wizard AD DS configureren wordt gebruikt
Schema-uitbreiding en de voorbereiding van forests en domeinen worden nu automatisch uitgevoerd tijdens promoties van domeincontrollers en hoeven niet meer als aparte taken te worden uitgevoerd op speciale servers zoals de schemamaster
Tijdens promoties worden nu ook vereistencontroles uitgevoerd om de gereedheid van forests en domeinen voor de nieuwe domeincontroller te valideren en de kans op mislukte promoties te verlagen
De Active Directory-module voor Windows PowerShell omvat nu cmdlets voor het beheer van replicatietopologieën, dynamisch toegangsbeheer en andere bewerkingen
Op functionaliteitsniveau van het Windows Server 2012-forest worden geen nieuwe onderdelen geïmplementeerd en het functionaliteitsniveau van het domein is alleen vereist voor een subset van nieuwe Kerberos-onderdelen zodat administrators niet meer voortdurend hoeven te zorgen voor een homogene domeincontrolleromgeving
Gevirtualiseerde domeincontrollers worden nu volledig ondersteund om bescherming voor geautomatiseerde implementaties en herstelbewerkingen te bieden
Zie Inleiding tot virtualisatie van Active Directory Domain Services (AD DS) (niveau 100) voor meer informatie over gevirtualiseerde domeincontrollers.
Daarnaast zijn er veel beheer- en onderhoudsverbeteringen:
Het Active Directory-beheercentrum omvat een grafische Active Directory-prullenbak, fijnmazig wachtwoordbeleid en een Windows PowerShell-geschiedenisviewer
Het nieuwe Serverbeheer bevat AD DS-specifieke interfaces voor prestatiecontrole, de analyse van best practices, essentiële services en de gebeurtenislogboeken
Door groepen beheerde serviceaccounts ondersteunen meerdere computers met dezelfde beveiligingsprincipals
Verbeteringen in de uitgifte en controle van relatieve id's voor een betere beheerbaarheid in oude Active Directory-domeinen
Ten slotte profiteert AD DS van andere nieuwe onderdelen in Windows Server 2012, waaronder:
NIC-teams en Data Center Bridging
DNS-beveiliging en snellere beschikbaarheid van in AD geïntegreerde zones na opstarten
Verbeteringen in Hyper-V-betrouwbaarheid en -schaalbaarheid
Met BitLocker-vergrendelde computers via het netwerk ontgrendelen
Aanvullende beheermodules voor Windows PowerShell-onderdelen
Technisch overzicht
ADPREP-integratie
Schema-uitbreiding voor Active Directory-forests en domeinvoorbereiding zijn nu geïntegreerd in het proces voor de configuratie van domeincontrollers. Als u een nieuwe domeincontroller in een bestaand forest promoveert, wordt de upgradestatus gedetecteerd en worden de fasen voor schema-uitbreiding en domeinvoorbereiding automatisch uitgevoerd. De gebruiker die de eerste Windows Server 2012-domeincontroller installeert, moet nog steeds een ondernemingsadministrator en schema-administrator zijn of geldige alternatieve referenties opgeven.
Adprep.exe blijft op de dvd-rom voor afzonderlijke forest- en domeinvoorbereiding. De versie van het hulpprogramma in Windows Server 2012 is achterwaarts compatibel met Windows Server 2008 x64 en Windows Server 2008 R2. Adprep.exe ondersteunt ook externe forestprep en domainprep, net als de configuratieprogramma's voor domeincontrollers op basis van ADDSDeployment.
Raadpleeg Running Adprep (Windows Server 2008 R2) (Engelstalig) voor informatie over Adprep en de voorbereiding van forests in eerdere besturingssystemen.
AD DS-integratie Serverbeheer
.jpeg "Dashboard")
Serverbeheer fungeert als een hub voor serverbeheertaken. De weergaven met geïnstalleerde functies en externe servergroepen in het dashboard worden regelmatig vernieuwd. Serverbeheer biedt mogelijkheden voor het centraal beheren van lokale en externe servers zonder dat consoletoegang nodig is.
Active Directory Domain Services is een van deze hubfuncties. Wanneer u Serverbeheer op een domeincontroller of Remote Server Administration Tools op een Windows 8 uitvoert, wordt er informatie over belangrijke recente problemen op domeincontrollers in uw forest weergegeven.
Hier wordt onder andere het volgende weergegeven:
De beschikbaarheid van servers
Prestatiemeter-waarschuwingen over hoog CPU- en geheugengebruik
De status van AD DS-specifieke Windows-services
Recente waarschuwings- en foutitems gerelateerd aan Directory Services in het gebeurtenislogboek
Analyse van best practices voor een domeincontroller op basis van een verzameling door Microsoft aanbevolen regels
Prullenbak in Active Directory-beheercentrum
.jpeg "Active Directory Administrative Center")
In Windows Server 2008 R2 werd de Active Directory-prullenbak geïntroduceerd, waarmee verwijderde Active Directory-objecten kunnen worden hersteld zonder een back-up te gebruiken, de AD DS-service opnieuw te starten of domeincontrollers opnieuw op te starten.
In Windows Server 2012 zijn de bestaande Windows PowerShell-herstelfuncties verbeterd met een nieuwe grafische interface in het Active Directory-beheercentrum. Dit stelt administrators in staat de prullenbak in te schakelen en verwijderde objecten in de domeincontexten van het forest te zoeken of te herstellen, allemaal zonder direct Windows PowerShell-cmdlets uit te voeren. Het Active Directory-beheercentrum en de Active Directory-prullenbak zijn nog steeds gebaseerd op Windows PowerShell, dus eerdere scripts en procedures zijn nog waardevol.
Raadpleeg Active Directory Recycle Bin Step-by-Step Guide (Windows Server 2008 R2) (Engelstalig) voor informatie over de Active Directory-prullenbak.
Fijnmazig wachtwoordbeleid van Active Directory-beheercentrum
.jpeg "Verfijnd wachtwoordbeleid")
In Windows Server 2008 werd het fijnmazige wachtwoordbeleid geïntroduceerd waarmee administrators meerdere beleidsregels voor wachtwoorden en accountvergrendeling per domein kunnen configureren. Dit biedt domeinen een flexibele oplossing om meer of minder beperkende wachtwoordregels af te dwingen, op basis van gebruikers en groepen. Het had geen beheerinterface en administrators moesten het configureren met Ldp.exe of Adsiedit.msc. In Windows Server 2008 R2 werd de Active Directory-module voor Windows PowerShell geïntroduceerd waarmee administrators over een opdrachtregelinterface voor het fijnmazige wachtwoordbeleid beschikten.
Windows Server 2012 biedt een grafische interface voor het fijnmazige wachtwoordbeleid. Het Active Directory-beheercentrum vormt het hart van dit nieuwe dialoogvenster dat het beheer van het fijnmazige wachtwoordbeleid vereenvoudigt voor alle administrators.
Raadpleeg AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide (Windows Server 2008 R2) (Engelstalig) voor informatie over het fijnmazige wachtwoordbeleid.
Windows PowerShell-geschiedenisviewer in Active Directory-beheercentrum
.jpeg "Geschiedenisviewer")
In Windows Server 2008 R2 werd het Active Directory-beheercentrum geïntroduceerd ter vervanging van de oudere module Active Directory - gebruikers en computers uit Windows 2000. Vanuit het Active Directory-beheercentrum was een grafische beheerinterface beschikbaar voor de destijds nieuwe Active Directory-module voor Windows PowerShell.
Hoewel de Active Directory-module meer dan honderd cmdlets bevat, kan het leerproces voor een administrator ingewikkeld zijn. Aangezien Windows PowerShell sterk is geïntegreerd in de strategie van Windows-beheer, bevat het Active Directory-beheercentrum nu een viewer waarmee u de uitvoering van cmdlets kunt bekijken in de grafische interface. U kunt de geschiedenis doorzoeken, kopiëren en wissen, en opmerkingen toevoegen via een eenvoudige interface. Het is de bedoeling dat een administrator de grafische interface gebruikt om objecten te maken en wijzigen, en deze vervolgens te controleren in de geschiedenisviewer voor meer informatie over Windows PowerShell-scripts en het wijzigen van de voorbeelden.
AD-replicatie in Windows PowerShell
.jpeg "Nieuwe Active Directory-site")
In Windows Server 2012 zijn extra cmdlets voor Active Directory-replicatie toegevoegd aan de Active Directory-module voor Windows PowerShell. Hiermee kunnen nieuwe of bestaande sites, subnetten, verbindingen, sitekoppelingen en bruggen worden geconfigureerd. Daarnaast worden hiermee Active Directory-metagegevens voor replicatie, de replicatiestatus, wachtrijen en bijgewerkte vectorgegevens geretourneerd. Dankzij de introductie van de replicatie-cmdlets, gecombineerd met de implementatie en andere bestaande AD DS-cmdlets, kunt u een forest geheel beheren met Windows PowerShell. Dit biedt nieuwe mogelijkheden voor administrators die Windows Server 2012 willen inrichten en beheren zonder grafische interface, waardoor het besturingssysteem minder kwetsbaar wordt voor aanvallen en onderhoudsvereisten. Dit is vooral belangrijk bij het implementeren van servers in sterk beveiligde netwerken, zoals SIPR (Secret Internet Protocol Router) en zakelijke DMZ's.
Raadpleeg Windows Server Technical Reference (Engelstalig) voor meer informatie over AD DS-sitetopologie en -replicatie.
Verbeteringen in beheer en uitgifte van relatieve id's
In Windows 2000 Active Directory werd de RID-master geïntroduceerd waarmee groepen relatieve id's worden uitgegeven aan domeincontrollers om beveiligings-id's van vertrouwde entiteiten, zoals gebruikers, groepen en computers, te maken. Standaard is deze algemene RID-ruimte beperkt tot in totaal 230 (of 1.073.741.823) beveiligings-id's in een domein. Beveiligings-id's kunnen niet worden geretourneerd aan de groep of opnieuw worden uitgegeven. Na verloop van tijd kan een groot domein onvoldoende reletieve id''s overhouden of kunnen ongevallen leiden tot onnodig verbruik van relatieve id's.
In Windows Server 2012 zijn een aantal door klanten en de Microsoft-klantenondersteuning gesignaleerde problemen met de uitgifte en het beheer van relatieve id's opgelost. Deze omvatten:
Periodieke waarschuwingen over het verbruik van relatieve id's worden naar het gebeurtenislogboek geschreven
Gebeurtenissen worden geregistreerd wanneer een administrator een groep relatieve id's ongeldig maakt
Er wordt nu een maximumcapaciteit voor de blokgrootte van relatieve id's afgedwongen
Kunstmatige limieten voor relatieve id's worden nu afgedwongen en vastgelegd wanneer de globale ruimte voor relatieve id's bijna leeg is om een administrator in staat te stellen actie te ondernemen voordat de globale ruimte is verbruikt
De globale ruimte voor relatieve id's kan nu met één bit worden vergroot (en dus verdubbeld) naar 231 (2.147.483.648 beveiligings-id's)
Raadpleeg How Security Identifiers Work (Engelstalig) voor meer informatie over relatieve id's en de RID-master.
Nieuwe architectuur voor AD DS-implementatie
Architectuur voor implementatie en beheer van AD DS-functie
Server Manager en ADDSDeployment Windows PowerShell zijn voor functionaliteit afhankelijk van de volgende kernassembly's bij het implementeren of beheren van de AD DS-functie:
Microsoft.ADroles.Aspects.dll
Microsoft.ADroles.Instrumentation.dll
Microsoft.ADRoles.ServerManager.Common.dll
Microsoft.ADRoles.UI.Common.dll
Microsoft.DirectoryServices.Deployment.Types.dll
Microsoft.DirectoryServices.ServerManager.dll
Addsdeployment.psm1
Addsdeployment.psd1
Beide zijn afhankelijk van Windows PowerShell en de opdracht voor extern aanroepen voor de externe installatie en configuratie van functies.
.jpeg "Implementatie-dll-bestanden")
In Windows Server 2012 zijn ook een aantal eerdere promotiebewerkingen uit LSASS.EXE geherstructureerd als onderdeel van:
DS-functieserverservice (DsRoleSvc)
DSRoleSvc.dll (geladen door DsRoleSvc-service)
Deze service moet aanwezig zijn en worden uitgevoerd om virtuele domeincontrollers te kunnen promoveren, degraderen en klonen. Met de installatie van de AD DS-functie wordt deze service toegevoegd en wordt standaard het starttype Handmatig ingesteld. Schakel deze service niet uit.
Architectuur voor ADPrep en controle van vereisten
Adprep hoeft niet meer te worden uitgevoerd op de schemamaster. Adprep kan extern worden uitgevoerd vanaf een computer waarop Windows Server 2008 x 64 of hoger wordt uitgevoerd.
Notitie
Adprep gebruikt LDAP om Schxx.ldf-bestanden te importeren en maakt niet automatisch opnieuw verbinding als de verbinding met de schemamaster tijdens het importeren wordt verbroken. Als onderdeel van het importproces wordt de schemamaster in een bepaalde modus ingesteld en wordt de optie voor automatisch opnieuw verbinden uitgeschakeld omdat de schemamaster bij een automatisch opnieuw tot stand gebrachte verbinding niet in dezelfde modus zou worden ingesteld. In dat geval zou het schema niet correct worden bijgewerkt.
Door vereisten te controleren, zorgt u ervoor dat aan bepaalde voorwaarden wordt voldaan. Deze voorwaarden zijn vereist voor een geslaagde AD DS-installatie. Als aan sommige vereiste voorwaarden niet wordt voldaan, kan dit probleem worden opgelost voordat u doorgaat met de installatie. Daarnaast wordt gedetecteerd of een forest of domein nog niet is voorbereid zodat de Adprep-implementatiecode automatisch wordt uitgevoerd.
Uitvoerbare bestanden voor ADPrep, DLL-bestanden, LDF-bestanden, bestanden
ADprep.dll
Ldifde.dll
Csvde.dll
Sch14.ldf - Sch56.ldf
Schupgrade.cat
*dcpromo.csv
De AD Preparation-code die voorheen in ADprep.exe was opgenomen, is geherstructureerd in adprep.dll. Hierdoor kunnen ADPrep.exe en de Windows PowerShell-module ADDSDeployment de bibliotheek voor dezelfde taken gebruiken en bieden ze dezelfde mogelijkheden. Adprep.exe is opgenomen in de installatiemedia, maar wordt niet rechtstreeks aangeroepen door geautomatiseerde processen. Adprep.exe kan alleen door een administrator handmatig worden uitgevoerd. Adprep.exe kan alleen worden uitgevoerd in Windows Server 2008 x64 en latere besturingssystemen. Van ldifde.exe en csvde.exe zijn geherstructureerde DLL-versies gemaakt die worden geladen door het voorbereidingsproces. Voor schema-uitbreiding worden nog steeds de door ondertekening geverifieerde LDF-bestanden gebruikt zoals in eerdere versies van het besturingssysteem.
.jpeg "Adprep-dll-bestanden")
Belangrijk
Er bestaat geen 32-bits versie van het Adprep32.exe-hulpprogramma voor Windows Server 2012. U minstens over één Windows Server 2008 x64-, Windows Server 2008 R2- of Windows Server 2012-computer beschikken die wordt uitgevoerd als domeincontroller, als lidserver of in een werkgroep, om het forest en domein voor te bereiden. Adprep.exe wordt niet uitgevoerd in Windows Server 2003 x64.
Vereisten controleren
Het ingebouwde systeem voor het controleren van vereisten in Windows PowerShell-beheerde code in ADDSDeployment werkt in verschillende modi, afhankelijk van de bewerking. In de onderstaande tabellen worden de tests beschreven, wordt aangegeven wanneer deze worden gebruikt en wordt uitgelegd hoe en wat wordt gevalideerd. Deze tabellen kunnen nuttig zijn als er problemen zijn waarbij de validatie mislukt en fout niet voldoende informatie biedt om het probleem op te lossen.
Deze tests worden in het operationele kanaal DirectoryServices-Deployment van het gebeurtenislogboek onder de taakcategorie Core en als gebeurtenis-id 103 vastgelegd.
Vereiste Windows PowerShell
Er zijn ADDSDeployment-cmdlets voor Windows PowerShell voor alle cmdlets voor de implementatie van domeincontrollers. Ze hebben ongeveer dezelfde argumenten als de bijbehorende cmdlets.
Test-ADDSDomainControllerInstallation
Test-ADDSDomainControllerUninstallation
Test-ADDSDomainInstallation
Test-ADDSForestInstallation
Test-ADDSReadOnlyDomainControllerAccountCreation
U hoeft deze cmdlets doorgaans niet uit te voeren. Ze worden standaard al automatisch uitgevoerd met de cmdlets voor implementatie.
Vereisten testen
Naam van test |
Gebruikte protocollen |
Uitleg en opmerkingen |
VerifyAdminTrusted ForDelegationProvider |
LDAP |
Hiermee wordt gevalideerd of u over de bevoegdheid Computer- en gebruikersaccounts inschakelen als vertrouwd voor delegeren (SeEnableDelegationPrivilege) beschikt voor de bestaande partnerdomeincontroller. Hiervoor is toegang tot uw geconstrueerde tokenGroups-kenmerk vereist. Wordt niet gebruikt wanneer verbinding wordt gemaakt met Windows Server 2003-domeincontrollers. U moet deze bevoegdheid handmatig bevestigen vóór promotie |
VerifyADPrep Prerequisites (forest) |
LDAP |
Hiermee wordt de schemamaster gedetecteerd en wordt hiermee verbinding gemaakt met het rootDSE-kenmerk namingContexts en het fsmoRoleOwner-kenmerk voor de schemanaamgevingscontext. Hiermee wordt bepaald welke voorbereidende bewerkingen (forestprep, domainprep of rodcprep) vereist zijn voor de installatie van AD DS. Hiermee wordt gecontroleerd of het schemakenmerk objectVersion verwacht is en of er verdere uitbreiding vereist is. |
VerifyADPrep Prerequisites (domein en RODC) |
LDAP |
Hiermee wordt de Infrastructuurmaster gedetecteerd en wordt hiermee verbinding gemaakt met het rootDSE-kenmerk namingContexts en het fsmoRoleOwner-kenmerk voor de infrastructuurcontainer. In het geval van een RODC-installatie wordt met deze test de domeinnaamgevingsmaster gedetecteerd en wordt gecontroleerd of deze online is. |
CheckGroup Membership |
LDAP, RPC via SMB (LSARPC) |
Hiermee wordt gevalideerd of de gebruiker lid is van de groep Domeinadministrators of Ondernemingsadministrators, afhankelijk van de bewerking (Domeinadministrators voor het toevoegen of degraderen van een domeincontroller, Ondernemingsadministrators voor het toevoegen of verwijderen van een domein) |
CheckForestPrep GroupMembership |
LDAP, RPC via SMB (LSARPC) |
Hiermee valideert u of de gebruiker lid is van de groepen Schema-administrators en Ondernemingsadministrators, en over de bevoegdheid voor het beheren van controle- en gebeurtenislogboeken (SesScurityPrivilege) beschikt op de bestaande domeincontrollers |
CheckDomainPrep GroupMembership |
LDAP, RPC via SMB (LSARPC) |
Hiermee valideert u of de gebruiker lid is van de groep Domeinadministrators en over de bevoegdheid voor het beheren van controle- en gebeurtenislogboeken (SesScurityPrivilege) beschikt op de bestaande domeincontrollers |
CheckRODCPrep GroupMembership |
LDAP, RPC via SMB (LSARPC) |
Hiermee valideert u of de gebruiker lid is van de groep Ondernemingsadministrators en over de bevoegdheid voor het beheren van controle- en gebeurtenislogboeken (SesScurityPrivilege) beschikt op de bestaande domeincontrollers |
VerifyInitSync AfterReboot |
LDAP |
Hiermee valideert u of de schemamaster minstens één keer is gerepliceerd sinds deze opnieuw is gestart door een dummywaarde voor het rootDSE-kenmerk becomeSchemaMaster in te stellen |
VerifySFUHotFix Applied |
LDAP |
Hiermee valideert u of het bestaande forestschema geen problematische SFU2-uitbreiding voor het UID-kenmerk met OID 1.2.840.113556.1.4.7000.187.102 bevat |
VerifyExchange SchemaFixed |
LDAP, WMI, DCOM, RPC |
Hiermee valideert u of het bestaande forestschema niet nog steeds de problematische Exchange 2000-uitbreidingen ms-Exch-Assistant-Name, ms-Exch-LabeledURI en ms-Exch-House-Identifier bevat (https://support.microsoft.com/kb/314649, Engelstalig) |
VerifyWin2KSchema Consistency |
LDAP |
Hiermee valideert u of het bestaande forestschema consistente (niet incorrect gewijzigd door een derde) kernkenmerken en -klassen bevat. |
DCPromo |
DRSR via RPC, LDAP, DNS RPC via SMB (SAMR) |
Valideer de syntaxis van de opdrachtregel doorgegeven aan de promotiecode en testpromotie. Valideer of het forest of domein niet al bestaat als u een nieuw forest of domein maakt. |
VerifyOutbound ReplicationEnabled |
LDAP, DRSR via SMB, RPC via SMB (LSARPC) |
Hiermee valideert u of voor de bestaande domeincontroller die is opgegeven als replicatiepartner uitgaande replicatie is ingeschakeld door het optiekenmerk van het NTDS-instellingsobject voor NTDSDSA_OPT_DISABLE_OUTBOUND_REPL (0x00000004) te controleren |
VerifyMachineAdmin Wachtwoord |
DRSR via RPC, LDAP, DNS RPC via SMB (SAMR) |
Hiermee valideert u of het wachtwoord voor de veilige modus ingesteld voor DSRM voldoet aan vereisten voor domeincomplexiteit. |
VerifySafeModePassword |
N.v.t. |
Hiermee valideert u het ingestelde wachtwoord voor de lokale administrator voldoet aan de complexiteitsvereisten van het computerbeveiligingsbeleid. |