AD aktualisieren: Zusatzinformationen zum Workshop im IT-Administrator

In Heft 10/2012 der Zeitschrift IT-Administrator findet sich ein Artikel zu Upgrade-Vorgängen für Active Directory von Fabian Müller und Nils Kaczenski. Leider konnten wir nicht alle Informationen im Heft unterbringen, die wir gesammelt hatten, daher gibt es hier einige ergänzende Hinweise und Links.

Sicherheitstechnische Stolpersteine

Auch unter Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012 hat Microsoft die Standard-Sicherheit der Windows Betriebssysteme erhöht. Folgende Sicherheitseinstellungen haben sich unter anderem im Auslieferungszustand ab Windows Server 2008 und Windows Server 2008 R2 verändert:

Seit Windows Server 2008 ist die Option „AllowNT4Crypto“ standardmäßig deaktiviert, was Probleme mit Windows NT oder auch älteren Samba-Versionen (kleiner Version 3.2.x) nach sich ziehen kann, die per SMB/CIFS auf die Server zugreifen.

Die Verschlüsselung von Kerberos-Tickets erfolgt seit Windows Server 2008 R2 in den Standardeinstellungen nicht mehr mittels DES, sondern AES bzw. RC4.

LanManager Version 2 ist ebenfalls ab Windows Server 2008 R2 standardmäßig nicht mehr aktiv.

Als neue Funktion wird ab Windows Server 2008 R2 das sogenannte „Channel Bind Token“ eingesetzt, welches einen Kerberos-SPN an ein TLS-Verbindung bindet. Hier müssen die Kerberos- bzw. Web-Clients kompatibel sein.

Siehe dazu auch: „Extended Protection for Authentication Overview“:
http://msdn.microsoft.com/en-us/library/dd767318(v=vs.90).aspx

Zusätzlich ist die Einstellung „Secure channel: Require strong (Windows 2000 or later) session key“ ab Windows Server 2008 R2 hart-codiert aktiviert, sodass beispielsweise Trusts zu Windows-NT-Domänen, aber auch Domänen mit älteren Samba-Versionen nicht mehr funktionieren.

Siehe dazu auch „Secure channel: Require strong (Windows 2000 or later) session key“:
http://blogs.technet.com/b/deds/archive/2010/04/07/was-ende-des-lebenszyklus-bedeuten-kann.aspx

Diese Sicherheitseinstellungen sind prädestiniert dafür, insbesondere bei älteren Applikationen und Diensten zu Problemen zu führen, wenn diese „Altsysteme“ den erhöhten Sicherheitsstandards nicht entsprechen. Ziel sollte es aus unserer Sicht sein, diese Applikationen anzupassen, zu kapseln oder abzuschaffen und nicht die erweiterten Sicherheitseinstellungen zu deaktivieren.

Des Weiteren hat sich im Vergleich zu Windows Server 2003 der standardmäßig genutzte dynamische RPC-Port-Bereich verändert, was eine Anpassung der Firewall-Regeln nach sich ziehen kann.

Siehe dazu auch „RPC dynamic port range“:
http://blogs.technet.com/b/askds/archive/2007/08/24/dynamic-client-ports-in-windows-server-2008-and-windows-vista-or-how-i-learned-to-stop-worrying-and-love-the-iana.aspx

Ab Windows Server 2008 ist IPv6 standardmäßig aktiviert, da der gesamte TCP/IP-Stack auf IPv6 basiert. Das Deaktivieren ist nicht zu empfehlen, da Microsoft weder aktuelle Produkte ohne IPv6 testet, noch alle Produkte reibungslos nach dem Deaktivieren von IPv6 funktionieren.

Siehe dazu auch: „Arguments against disabling IPv6“:
http://blogs.technet.com/b/netro/archive/2010/11/24/arguments-against-disabling-ipv6.aspx
und „How to disable IP version 6 (IPv6) or its specific components in Windows 7, in Windows Vista, in Windows Server 2008 R2, and in Windows Server 2008“: http://support.microsoft.com/kb/929852/en-us

Neue Funktionen

In jeder AD-Version kamen eine ganze Menge neuer Funktionen hinzu, die nach der Migration bei Bedarf genutzt oder schrittweise eingeführt werden können. Dazu zählen:

Windows Server 2008

• Restartable AD DS services
  • Die NTDS-Dienste können gestoppt werden, sodass beispielsweise Konsistenzprüfungen der AD-Datenbank ohne DC Neustart durchgeführt werden können oder aber auch die AD-Funktion eines DCs ohne Neustart kurzzeitig eingestellt werden kann (etwa zu Zwecken der Fehleranalyse bzw. -behebung).
• AD LDS (Lightweight Directory Services)
  • Früher als “Active Directory Application Mode (ADAM)” bekannt, sind die AD LDS nun Bestandteil des Standardlieferumfangs eines Windows Servers ab 2008. Die AD LDS ermöglichen einen reinen LDAP-Dienst ohne die zur AD-gehörigen Infrastrukturkomponenten wie Kerberos, DNS, GPOs usw. Viele Applikationen nutzen diese Dienste, darunter die Edge-Dienste von Exchange Server 2010 oder Programme von Drittanbietern.
• AD FS (Federation Services)
  • Um externe Verzeichnisse in Web-Umgebungen anzubinden, können die AD FS genutzt werden. Insbesondere im „Cloud-Umfeld“ ist diese Anbindung relevant, damit Benutzerkonten nicht doppelt gepflegt werden müssen.
• AD RMS (Rights Management Services)
  • Sollen firmeneigene, ggf. vertrauliche Dokumente (auch E-Mails usw.) vor dem Abwandern nach Außen geschützt werden oder auch innerhalb einer Firma nicht jedermann zugänglich sein, schützen die AD RMS vor dem unberechtigten Zugriff und unberechtigtem Kopieren (auch von Teilen des Dokuments) mittels Verschlüsselung der Dokumente.
• Group-Policy-Erweiterungen
  • Im Bereich Gruppenrichtlinien gab es diverse Änderungen, so etwa die Einführung des sogenannten „Group Policy Central Store”, die Änderung des Dateiformats und damit auch der Beschreibungssprache für administrative Vorlagen (alt = ADM, neu = ADMX/ADML), Erweiterungen in der Gruppenrichtlinienverwaltung (etwa Suchfunktion) und die neuen „Group Policy Preferences“, die zahlreiche Funktionen ergänzen.
• Fine-Grained Password Policies
  • Ab Domänenfunktionsebene „Windows Server 2008“ können innerhalb einer Domäne verschiedene Kennwortrichtlinien für globale Sicherheitsgruppen oder einzelne Benutzer eingesetzt werden, um etwa Kontensperrungsrichtlinien, Anforderungen an die Kennwortlaufzeit o.ä. zu definieren. Es ist jedoch weiterhin nicht möglich, die Formate eigenständig zu definieren, die als „komplexe Kennwörter“ gelten – lediglich das Aktivieren oder Deaktivieren der von Microsoft als „komplex“ definierten Zeichenfolgen ist möglich. Dies ist insbesondere für Service Accounts ein wichtiger Punkt.
• Global Naming Zones (DNS)
  • Global Naming Zones sollen es erleichtern, auf die WINS- bzw. NetBIOS-Namensauflösung zu verzichten. Für manche Applikationen können sie eine „flache“ Namensauflösung (nur der Computername wird gesucht) über DNS bereitstellen, indem der DNS-Server der Anfrage eines „Flachnamens“ mit einem FQDN antwortet.
• Read-Only Domain Controller
  • Ein RODC speichert die Active-Directory-Datenbank nur zum Lesen und enthält nur wenige ausgewählte Kennwörter. Insbesondere in Lokationen, in denen nicht sichergestellt werden kann, dass ein lokal notwendiger Domänencontroller physisch abgesichert werden kann und ggf. lokale Administratoren Aufgaben wie Patch-Management o.ä. übernehmen, ist der RODC ein sinnvolles Instrument.
• “Distributed File System Replication (DFSR)” für SYSVOL-Replikation
  • Die SYSVOL-Replikation ist ab Domänenfunktionsebene „Windows Server 2008“ mit dem Replikationsmechanismus DFSR möglich. DFSR gilt als stabiler und effizienter als sein Vorgänger FRS.
• “Distributed File System Replication (DFSN)” v2 Namespaces
  • Mit der aktualisierten Version von DFSN lassen sich weit mehr DFSN Links abbilden als noch in der v1. Zusätzlich zieht eine Änderung eines DFSN-Links keine Replikation aller DFSN-Links nach sich, da sich die Speicherart der DFSN-Informationen im AD verändert hat. Die sogenannte „Access Based Enumeration (ABE)“ ist nun standardmäßig integriert und kann ohne Zusatzinstallationen genutzt werden.
• Backup & Restore
  • “NTBackup ist tot, es lebe Windows Server Backup”. Microsoft hat die im Betriebssystem enthaltenen Programme für Backup und Restore ausgetauscht. In der neuen Version werden nur noch Festplatten und Freigaben als Backupmedien unterstützt, das Sichern direkt auf Bänder ist nicht mehr möglich.
• AD DB Snapshots
  • Die AD-DB-Snapshots, manuell erstellt oder auch als Teil der Windows Server Backups, lassen sich nutzen, um eine „alte“ AD-Datenbank nur zum Lesen einzubinden. Diese AD-DB lässt sich dann etwa per LDAP direkt ansprechen, um zum Beispiel Objektänderungen im Vergleich zur aktuellen AD-DB-Version zu prüfen oder Exporte vorzunehmen.
• Server Core AD DS
  • Der Windows Server Core, also ein Windows ohne Fenster, kann auch für die AD-Dienste eingesetzt werden. Insbesondere in virtualisierten Umgebungen mit automatisierten Prozessen oder in größeren Hosting-Umgebungen kann dies ressourcenschonend sein und die Angriffsfläche verringern – ist weniger Software installiert, gibt es auch weniger Schwachstellen. Erst ab Windows Server 2008 R2 lässt sich auf Server Core die PowerShell nutzen.
• Audit Changes
  • Die Sicherheitsprotokolle auf Windows Systemen bieten eine große Informationsfülle – manchmal zu viele Informationen, denn das Konzentrieren auf die wesentlichen und relevanten Ereignisse fällt schwer. Ab Windows Server 2008 und mit zusätzlichen Änderungen ab Windows Server 2008 R2 wurden die Ereignisprotokoll Kategorien für Sicherheitsprotokolle durch Microsoft überarbeitet und erlauben eine granulare Definition dessen, was geloggt werden soll und was nicht. Außerdem lassen sich Änderungen an AD Objekten mit „Vorher-Nachher“-Werten in den Ereignissen nachvollziehen.
• NTLM Changes
  • Erstmalig ist es möglich, die Nutzung von NTLM innerhalb einer AD Umgebung zu überwachen und auch zu blocken. Außerdem gab es Verbesserungen im Bereich der NTLM Sicherheitseinstellungen (Stichwort „session security“), zusätzlich wurde die „MaxConcurrentAPI“ standardmäßig erhöht bzw. die Nutzung kann mit einem zusätzlichen Update auch geloggt werden. LMv2 ist standardmäßig deaktiviert.
• Kerberos Changes
  • Im Bereich „Kerberos“ gab es einige Änderungen, so etwa den Umstand, dass Kerberos-Tickets ab Windows Server 2008 optional, ab Windows Server 2008 R2 standardmäßig mit AES verschlüsselt werden. DES ist ab Windows Server 2008 R2 standardmäßig deaktivert, kann jedoch aktiviert werden. Dies kann Einfluss auf die Anwendungskompatibilität haben. Außerdem kamen Features wie „Channel Binding Token (CBT)“, die „Forest Search Order“, erweiterte SPN Validierung und einiges mehr dazu.

Windows Server 2008 R2

• AD Recycle-Bin
  • Eine lange erhoffte Funktion hält ab Forest Functional Level „Windows Server 2008 R2“ Einzug: Der AD-Papierkorb. Hierüber können gelöschte AD-Objekte ohne Zuhilfenahme eines Backups wiederhergestellt werden – inclusive aller Attribute wie zum Beispiel Gruppenmitgliedschaften.
• Managed Service Accounts
  • Die sogannnten MSA erlauben dem “Service Control Manager” und IIS Application Pools automatische Dienstkonten-Kennwortänderungen. Mit den MSA ist kein Logon möglich, das Kennwort ist den Administratoren unbekannt, soss auch kein „Missbrauch“ von Dienstkonten möglich ist.
• Offline Domain Join
  • Clients ab Windows 7 können mit dem ODJ auch ohne Netzwerkverbindung zur Zieldomäne einen Domänenbeitritt durchführen. Dies ist beispielsweise bei automatisierten Rollout-Prozeduren hilfreich oder bei Auslagerung (Outsourcing) der Installation von Clients.
• AD Administrative Center
  • Das ADAC ist der Nachfolger von den alten AD-MMCs die “AD Benutzer & Computer” und werden diese MMCs mittelfristig ablösen. Das ADAC basiert auf der Ausführung von PowerShell CMDlets und damit den AD Web Services.
• AD PowerShell CMDlets
  • Active Directory kann standardmäßig ab Windows Server 2008 R2 mit der PowerShell verwaltet werden. Für Windows Server 2003 und Windows Server 2008 DCs gibt es den dafür notwendigen „AD Web Service“ zum Nachrüsten, Administrations-Clients müssen jedoch auf Windows 7 / Windows Server 2008 R2 oder höher laufen.
• Active Directory Best Practices Analyzer
  • Der AD BPA bietet einige Regeln zur Prüfung der eigenen AD-Infrastruktur auf bekannte Probleme und bietet Lösungsvorschläge dazu.
• Active Directory Web Services
  • Wie oben angesprochen sind die AD Web Services die Grundlage für die AD PowerShell CMDlets und in der Zukunft auch für andere AD-Management Schnittstellen. Die Verwaltung der AD erfolgt über diese Schnittstelle mittels sogenanntem SOAP, einem HTTP- / XML-basierten Protokoll.
• Authentication Mechanism Assurance
  • Die AMA übergibt eine spezielle Sicherheitsgruppe in das Kerberos Token eines Benutzers, wenn sich dieser per Smart-Card an einem Windows-System angemeldet hat. Diese Information können Anwendungen nutzen, um etwa den Zugriff auf bestimmte sensitive Daten zu gewähren oder zu verweigern.

Windows Server 2012

• Rapid deployment
  • Es ist ab Windows Server 2012 unter bestimmten Voraussetzungen und einigen Vorbereitungen möglich, Domain Controller zu klonen. Dies ist insbesondere für Forest-Recovery-Szenarien sinnvoll oder bei größeren Domain Controller Rollouts.
• Safer Virtualization
  • Für diese neue Funktion wird ein Hypervisor benötigt, der bei Wiederherstellung eines Snapshots des DCs oder ähnlichen Aktionen, die einen Sprung in der Systemzeit des Gastes hervorrufen, die von Microsoft neu eingeführte „Virtual Machine Generation ID“ ändert. Diese Generation ID wird vom DC beim Neustart als auch vor jeder(!) Änderung in der lokalen AD-Datenbank geprüft – stimmt die ID nicht mit der in der AD-DB gespeicherten zuletzt bekannten ID überein, sorgt der DC für einen umfassenden Abgleich mit seinen Replikationspartnern, und es kommt nicht mehr zu den bekannten USN-Rollbacks.
• Simplified deployment and upgrade preparation
  • Die Aktualisierung der AD DS wurde verändert; beispielsweise werden Abhängigkeiten vor dem Upgrade geprüft, und „adprep.exe“ ist praktisch bedeutungslos geworden. Das Schema-Upgrade und die in einer Domäne notwendigen vorbereitenden Maßnahmen für ein Upgrade sind nun in der DCPROMO-GUI integriert. Es existiert zwar noch ein „adprep.exe“, jedoch spricht dieses Programm ebenfalls dieselben APIs an, wie es das grafische Interface tut. Des Weiteren können alle Aufgaben während eines DC-Rollouts auch remote und für mehrere Maschinen gleichzeitig durchgeführt werden. Als Unterbau dafür dient die PowerShell und deren darunterliegendes Framework, die GUI setzt auf der PowerShell auf.
• Dynamic Access Control
  • Die Dynamic Access Control ist eine vollkommen neue Technik der Zugriffskontrolle, die es in der Form bisher nicht in Active Directory gab. Neben den althergebrachten NTFS-Berechtigungen können nun sogenannte Benutzer- und Geräte-„Claims“ verwendet werden. So ist es zum Beispiel anhand von Zuweisungen von AD-Attributwerten (etwa „ist der Benutzer Mitglied der Abteilung ‚Finance‘“) oder Computer-Zuständen (etwa „ist die Anmeldung von einem PC aus Deutschland erfolgt“) möglich, Zugriffe auf Dateien und Ordner zu gewähren oder zu verweigern. Außerdem ermöglicht DAC im Zusammenspiel mit der Windows Server 2012 File Server „File Classification“ die Zugriffsregelung für Dateien basierend auf dem Inhalt der Dateien.
• Off-Premises Domain Join
  • Als Ergänzung zum mit Windows Server 2008 R2 / Windows 7 eingeführten „offline domain join“, der mittels Übertragung einer vorgefertigten Datei auf den Zielclient einen Domänenbeitritt ohne Netzwerkverbindung zur Zieldomäne ermöglichte, ist es ab Windows 8 / Windows Server 2012 nun möglich, diesen „offline joins“ zu erweitern, um direkt Direct Access für einen offline de Domäne beigetretenen Client zu ermöglichen.
• Active Directory Federation Services (AD FS)
  • Die Active Directory Federation Services wurden auf Version 2.1 gehoben und enthalten diverse Detailverbesserungen.
• Windows PowerShell History Viewer
  • Das auf Windows PowerShell basierende und in Windows 7 RSAT / Windows Server 2008 R2 eingeführte Active Directory Administrative Center (ADAC) beinhaltet nun die Funktion, die durch das ADAC ausgeführten PowerShell-Befehle in einer Historienansicht anzuzeigen und bei Bedarf zu kopieren.
• Active Directory Recycle Bin User Interface
  • Der AD RB bekam durch Microsoft nun eine GUI innerhalb des ADAC spendiert.
• Fine-Grained Password Policy User Interface
  • Wie auch beim AD RB, haben die FGPP eine GUI-Integration in das ADAC erfahren.
• Active Directory Replication and Topology Windows PowerShell cmdlets
  • Microsoft hat einige neue PowerShell cmdlets zur AD-Administration bereitgestellt, auch im Bereich der AD-Replikation und des AD-Site Managements. So können nun etwa AD-Sites kreiert und bearbeitet, die Replikation zwischen DCs angefordert und z.B. die Metadaten eines AD-Objects über diese cmdlets geprüft werden.
• Active Directory Based Activation (AD BA)
  • Der bisherige Key Management Service (KMS) bekommt einen „Konkurrenten“: Die AD BA können Aktivierungen von Benutzern oder Geräten per LDAP durchführen.
• Group Managed Service Accounts (gMSA)
  • Mit den Managed Service Accounts ließen sich ab Windows 7 / Windows Server 2008 R2 Konten des Windows Service Control Managers (SCM) oder IIS Application Pools betreiben. Kennwortänderungen wurden hierbei automatisch wie bei Computer-Accounts alle 30 Tage durchgeführt, was das Sicherheitsniveau von Dienstkonten deutlich erhöht. Solche Konten dienen nur zur Anmeldung von Diensten, die normale Anmeldung ist damit nicht möglich. Die Einschränkung, einen MSA lediglich auf einem Zielclient einsetzen zu können, lösen die gMSAs auf. Sie ermöglichen es, einen gMSA auf mehreren Maschinen gleichzeitig einzusetzen, um so etwa Cluster-Applikationen zu unterstützen.
• AD DS Claims in AD FS
  • Aus Kerberos Tickets können ab Windows Server 2012, ausgestattet mit weiteren Attributen, AD FS SAML-Token generiert werden.
• Relative ID (RID) Improvements
  • Vor dem Auslaufen von RIDs schützt eine neue Funktion in Windows Server 2012: Es werden Events bei Auslaufen des RID-Pool Maximums im Ereignisprotokoll des RID-Masters geschrieben. Diese warnen vor möglichen Problemen. Sind 90% des bisher maximalen RID-Pool Wertes erreicht, werden keine neuen RIDs mehr ausgegeben. Jedoch kann die Ausgabe wieder aktiviert werden als auch der Adressbereich für neue RIDs ab RID-Master Windows Server 2012 vergrößert werden.
• Deferred Index Creation
  • Bei Schema-Upgrades werden in der Regel auch neue Indizes in der AD-Datenbank eingeführt. Beim Erzeugen dieser Indizes kann es in sehr großen Umgebungen zu Replikationsproblemen bzw. einer hohen Auslastung der kreierenden DCs kommen. Um dies zu verhindern kann ab Windows Server 2012 eine verzögerte Indexerzeugung genutzt werden, die die Aktion auf den DCs zeitlich versetzt und so entzerrt.
• Kerberos Enhancements
  • Im Bereich „Kerberos“ gibt es mit Windows Server 2012 eine große Anzahl an Neuerungen bzw. Veränderungen. Eine Liste und Beschreibung mit einigen der Änderungen findet sich hier: What’s New in Kerberos Authentication { HYPERLINK „http://technet.microsoft.com/en-us/library/hh831747.aspx“ }

Quelle Windows Server 2012 Neuerungen:

What’s New in Active Directory Domain Services (AD DS)
http://technet.microsoft.com/en-us/library/hh831477