Windows Server 2019 ist das neue Engagement von Microsoft für das gesamte breite Unternehmenssegment, das beschlossen hat, diesem innovativen und stets zuverlässigen Betriebssystem sein Vertrauen und seine Dienste zu schenken. Das neue Die Windows Server-Version 2019 basiert auf vier Grundpfeilern:
- Hyperconvergence Infrastructure
Dies garantiert uns ein skalierbares, sicheres und zuverlässiges System, in dem die Verwaltungsoptionen viel umfassender sind.
Bei der Verwaltung von Windows Server spielen eine Reihe von Rollen und Diensten eine Rolle Eine wichtige Rolle bei der gesamten Leistung auf Struktur- und Organisationsebene und eine der wichtigsten sind die Active Directory-Domänendienste. Aus diesem Grund wird AdminGuides eine vollständige Analyse dessen durchführen, was diese Dienste sind und woraus sie bestehen ein globales Verständnis aller Auswirkungen, die sie auf das System und die Objekte haben beim Erstellen und sollte verwaltet werden.
1. Active Directory-Domänendienste in Windows Server 2019
Besser bekannt als AD DS (Active Directory-Domänendienste) ) wurden eingerichtet, um die am besten geeigneten Methoden zum Speichern von Verzeichnisdaten anzubieten und um zu ermöglichen, dass diese Daten Benutzern und Netzwerkadministratoren immer zur Verfügung stehen, nur um eine Vorstellung davon zu haben, was der AD DS speichert Informationen, die Benutzerkonten mit Details wie Namen, Kennwörtern, Telefonnummern usw. zugeordnet sind und anderen autorisierten Benutzern in der Domäne den Zugriff auf diese Informationen ermöglichen.
Beachten Sie, dass Active Directory ein strukturiertes Data Warehouse verwendet, um dies zu tun Die Verzeichnisinformationen sind logisch und hierarchisch organisiert. Bei diesen Objekten handelt es sich normalerweise um gemeinsam genutzte Ressourcen wie Server, Volumes, Drucker und Benutzerkonten.
In Windows Server 2019 wurden Active Directory-Domänendienste eingerichtet, um die Fähigkeit von zu verbessern jeder Administrator zu p Rotieren Sie Active Directory-Umgebungen, indem Sie die Option zur Migration auf Hybrid- und Cloud-Bereitstellungen zulassen. Dies ist ein Trend, der einen hohen Stellenwert hat, da viele Anwendungen und Dienste in der Cloud gehostet werden.
Die Verbesserungen, die wir in der Domäne sehen werden Folgende Dienste in Windows Server 2019 sind verfügbar:
Privilegierte Zugriffsverwaltung
Wird auch als (PAM – Privilegierte Zugriffsverwaltung) bezeichnet und dient dazu, die Sicherheitsprobleme zu verringern, die in generierten Active Directory-Umgebungen immer auftreten durch mehrere aktuelle Techniken zum Diebstahl von Anmeldeinformationen wie Spear Phishing, sodass wir über eine neue administrative Zugriffslösung verfügen, die zusammen mit Microsoft Identity Manager (MIM) konfiguriert werden muss.
Einige seiner Vorteile sind:
- Neue Prozesse in MIM, um Administratorrechte anzufordern
- Eine neue Rolle der Active Directory-Gesamtstruktur, die von MIM generiert wird.
- Neue Sicherheitsprinzipien (Gruppen)
- Die ablaufenden Links sind in verfügbar Alle Attribute, die mit den
- KDC-Verbesserungen verknüpft sind, wurden in Active Directory-Domänencontroller integriert, um die Lebensdauer des Kerberos-Tickets auf den niedrigstmöglichen Wert für die Lebensdauer (TTL)
zu beschränken - Neue Überwachungsfunktionen zum Erweitern der Ergebnisse von Verwaltungsaufgaben. Li>
Azure AD-Join
Mit Azure Active Directory-Join können Sie die Identitätserfahrung auf der Website verbessern Ebene der Unternehmen und Kunden von EDU, da es die Funktionen für Unternehmens- und persönliche Geräte verbessert hat. Zu seinen Vorteilen gehören:
- Verfügbarkeit moderner Einstellungen auf Windows-Geräten auf Organisationsebene
- Roaming- oder Personalisierungsdienste, neue Eingabehilfeneinstellungen und Verbesserungen der Anmeldeinformationen
- Zugriff auf den Microsoft Store mit einem Arbeitskonto
- Auf die Ressourcen des Unternehmens kann jetzt auf Mobilgeräten zugegriffen werden, die nicht mit einer Windows-Unternehmensdomäne verbunden werden können. Li>
- Einmaliges Anmelden in Office 365 und anderen Anwendungen
- Auf BYOD-Geräten kann einer Person ein Arbeitskonto hinzugefügt werden, das entweder eine lokale Domäne oder Azure AD verwendet Gerät und nutzen Sie daher SSO-Ressourcen
- Unterstützung ‚Kiosk‘ -Modus
Microsoft Passport
Microsoft Passport wurde entwickelt Als neue Sicherheitsalternative mit einer schlüsselbasierten Authentifizierungsmethode für Unternehmen und Verbraucher, die viel praktischer ist als herkömmliche Kennwörter, da die Microsoft Passport-Authentifizierung auf Verstößen, Diebstahl und Phishing basiert Resistente Anmeldeinformationen.
Wenn wir diese Methode verwenden, meldet sich der Benutzer mit einer biometrischen Anmeldeinformation oder PIN, die mit einem Zertifikat oder einem asymmetrischen Schlüsselpaar verknüpft ist, am Gerät an. Daher validieren Identitätsanbieter (IDPs) den Benutzer, der sich anmeldet Das Zuweisen des öffentlichen Schlüssels des Benutzers zu IDLocker und damit die Anmeldeinformationen werden mithilfe der OTP-Methode (One Time Password) oder eines anderen Benachrichtigungsmechanismus abgerufen.
2. Entwerfen und Planen von Active Directory-Domänendiensten in Windows Server 2019
Wenn wir uns für die Implementierung von Active Directory-Domänendiensten unter Windows Server 2019 entschieden haben, können Sie auf ein vollständiges zentrales Verwaltungsmodell zugreifen und das Einzelzeichen erhalten -on (SSO) -Funktion, die von AD DS generiert wird.
Verwendungsgründe
Da es wichtig ist, diese Dienste konkret zu gestalten, gibt es viele Gründe, einige davon sind:
- Vereinfachen Sie die Verwaltung von Ressourcen und Benutzern
- Erstellen Sie skalierbare, secu re und einfache Verwaltungsinfrastruktur.
- Verwalten der Netzwerkinfrastruktur, einschließlich Objekte, Microsoft Exchange Server und Umgebungen mit mehreren Domänen.
Grundlegende Phasen div >
Grundsätzlich müssen wir verstehen, wenn wir als Administratoren mit dem Entwurf dieser Dienste begonnen haben, dass drei grundlegende Punkte abgedeckt werden:
- Entwurfsphase, in der der Entwurf für die logische Struktur von AD DS erstellt wird ul >
- In der Implementierungsphase testet das Implementierungsteam das Design in einer Laborumgebung und implementiert es dann in der Produktionsumgebung, um die optimale Leistung der Services und Prozesse nicht zu beeinträchtigen.
In der Betriebsphase sind wir für die Verwaltung und Aufrechterhaltung des Verzeichnisdienstes im optimalen Betrieb verantwortlich.
Grundlegende Anforderungen
Die Grundvoraussetzungen für eine korrekte Ausführung Das Design unseres AD DS ist:
- Entwerfen Sie die logische Struktur von Active Directory unter Berücksichtigung Die Anzahl der Gesamtstrukturen, die verwendet werden sollen, um die erforderlichen Designs für die Domänen, die DNS-Infrastruktur (Domain Name System) und die Organisationseinheiten (OU) zu erstellen.
- Entwerfen Sie die zu verwendende Topologie Eine logische Darstellung des verfügbaren physischen Netzwerks
- Definieren Sie die Kapazität des Domänencontrollers, bestimmen Sie die geeignete Anzahl von Domänencontrollern für jeden Standort und überprüfen Sie, ob diese die Hardwareanforderungen für Windows Server 2019 erfüllen
- Aktivieren der erweiterten Funktionen von AD DS in Windows Server 2019.
Vorteile
Durch eine ordnungsgemäße Gestaltung In der logischen Struktur von Active Directory bieten sich folgende Vorteile:
- Vereinfachte Verwaltung von Microsoft Windows-basierten Netzwerken, in denen eine große Anzahl von Objekten enthalten ist.
- Möglichkeit, die administrative Kontrolle zu delegieren Ressourcen
- Eine starke Domänenstruktur und reduzierte Verwaltungskosten
- Reduzierte Auswirkungen auf netwo Steigerung der Leistung der gesamten Bandbreite im gesamten Unternehmen
- Vereinfachte gemeinsame Nutzung von Ressourcen
3. Bereitstellen von Active Directory-Domänendiensten unter Windows Server 2019
Nachdem wir detailliert definiert haben, wie die Domänendienste von Active Directory verwendet werden sollen, fahren wir mit deren Installation fort Wir haben mehrere Alternativen, die die traditionellste Grafikform sind.
Schritt 1
Dazu gehen wir zum Serveradministrator und wählen die Option ‚Rollen und Funktionen hinzufügen‘. Wir gehen zum Abschnitt ‚Active Directory Domain Services‘. Befolgen Sie die Schritte des Assistenten für die Konfiguration der Domäne und der Gesamtstruktur:
Schritt 2
Weitere Informationen finden Sie unter folgendem Link:
Schritt 3
Wir können Führen Sie diesen Prozess auch über Windows PowerShell aus. Dazu müssen Sie Folgendes ausführen: Fügen Sie die Rolle hinzu, mit der die AD DS-Serverrolle installiert wird, und installieren Sie die Verwaltungstools für AD DS- und AD LDS-Server, einschließlich GUI-basierter Tools wie Active Directory-Benutzer und -Computer Mit den Befehlszeilentools führen wir Folgendes aus:
Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools
Schritt 4
Nun führen wir den folgenden Befehl aus, um die verfügbaren anzuzeigen Cmdlets im ADDSDeployment-Modul:
Get-Command -Module ADDSDeployment
Schritt 5
Wenn die Liste der Argumente angezeigt werden soll, die für ein bestimmtes Cmdlet angegeben werden können, führen wir Folgendes aus Syntax:
Get-Help u0026 lt; Cmdlet u0026 gt;
Schritt 6
Nachdem wir AD DS konfiguriert und installiert haben, können wir eines der Test-Cmdlets ausführen, um unsere Installation zu überprüfen. Global sind dies die Optionen auf der Ebene der AD DS-Implementierung in Windows Server 2019. Unter dem oben genannten Link finden Sie den Weg, eine neue Gesamtstruktur oder Domäne hinzuzufügen.
4. Betrieb von Active Directory-Domänendiensten in Windows Server 2019
Schritt 1
Sobald unsere Active Directory-Dienste funktionieren Administratoren Wir müssen ihre Sicherheit und Gesamtleistung für diesen Zweck gewährleisten. Eine Reihe nützlicher Tipps sind:
- Reduzieren Sie die Angriffsfläche von Active Directory, da alle Objekte (Benutzer und Computer) anfällig sein können
- Implementieren Sie Verwaltungsmodelle mit Mindestberechtigungen, um mehr Sicherheit zu schaffen. Li>
- Implementieren Sie sichere Verwaltungshosts
- Sichere Domänencontroller gegen verschiedene Arten von Angriffen
- Ständige Überwachung von Active Directory auf Alarme, die seine Integrität gefährden.
- Neue Überwachungsrichtlinien erstellen
Schritt 2
Eine der einfachsten, aber am Gleichzeitig können Sie mithilfe der ‚Ereignisanzeige‘ mehr integrierte Methoden anzeigen, um alles zu sehen, was mit unseren AD DS-Diensten geschieht:
Schritt 3
Dort gibt es eine Reihe von Ereignis-IDs, die für die Verwaltung nützlich sind, z as:
- 4618: Ein überwachtes Sicherheitsereignis ist aufgetreten.
- 4649: Ein Wiederholungsangriff wurde erkannt. Aufgrund eines falschen Konfigurationsfehlers kann es sich um ein harmloses falsches Positiv handeln. Li>
- 4719: Die Systemüberwachungsrichtlinie wurde geändert. Li>
- 4765: Ein hoher SID-Verlauf wurde zu einem hinzugefügt account
- 4766: Der Versuch, den SID-Verlauf einem Konto hinzuzufügen, ist fehlgeschlagen.
- 4794: Es wurde versucht, den Wiederherstellungsmodus für den Verzeichnisdienst festzulegen.
- 4897: High Role Separation aktiviert
- 4964: Spezielle Gruppen wurden einem neuen Login zugewiesen.
- 5124: A. Die Sicherheitskonfiguration wurde im OCSP-Antwortdienst aktualisiert.
- 550: Möglicher Denial-of-Service-Angriff (DoS)
- 1102: Das Überwachungsprotokoll wurde gelöscht
- 4621: Mittlerer Administrator hat das CrashOnAuditFail-System wiederhergestellt. Benutzer, die keine Administratoren sind
- Sie können sich jetzt anmelden. Einige überprüfbare Aktivitäten wurden möglicherweise nicht aufgezeichnet. Li>
- 4692: Es wurde kein Versuch unternommen, die durchschnittliche Sicherungskopie des Datenschutzmasters zu erstellen Schlüssel.
- 4693: Die durchschnittliche Wiederherstellung des Datenschutz-Hauptschlüssels wurde versucht.
- 4706: Für eine Domäne wurde eine neue Vertrauensstellung erstellt.
- 4713: Die Kerberos Media-Richtlinie wurde geändert.
- 4714: Die Richtlinie zur Wiederherstellung verschlüsselter Daten wurde geändert.
- 4715: Die Die Überwachungsrichtlinie (SACL) für ein Objekt wurde geändert.
- 4764: Eine Gruppe mit deaktivierter Sicherheit wurde gelöscht.
- 4764: Der Typ einer Gruppe wurde geändert
- 4780: Die ACL wurde in Konten eingerichtet, die Mitglieder von Administratorgruppen sind.
Schritt 4
Um alle möglichen Ereignis-IDs im Detail zu kennen Gehen Sie zum folgenden offiziellen Microsoft-Link. Mit diesen Ereignis-IDs können wir eine Reihe von Verwaltungsaufgaben ausführen, um viele mit AD DS verbundene Probleme zu beheben, sodass es auf die richtige und erwartete Weise funktioniert.
span > Windows Server-Ereignis-IDs
5. Befehle zum Verwalten von AD DS in Windows Server 2019
Es gibt Einige nützliche Befehle in Windows Server, mit denen wir Informationen abrufen und Objekte viel vollständiger verwalten können. Einige davon sind:
Adprep
Es ist für die Erweiterung von verantwortlich Active Directory-Schema und Aktualisieren der Berechtigungen zum Vorbereiten einer Gesamtstruktur und Domäne für einen Domänencontroller, auf dem das Betriebssystem Windows Server 2019 ausgeführt wird. Div>
Csvde
Importieren und exportieren Sie Active Directory-Daten mit Dateien, in denen Daten im CSV-Format (Comma Separated Values) gespeichert sind.
Dcdiag
Es ist für die Analyse des Status von Domänencontrollern in a verantwortlich Wald, um Probleme zu bestimmen .
Dadd
Fügen Sie dem Verzeichnis bestimmte Objekttypen hinzu. Wir können folgende Parameter verwenden:
- Dsadd-Computer: Neues Gerät hinzufügen ul >
- Dsadd-Kontakt: Neuen Kontakt hinzufügen
- Dsadd-Benutzer: Neuen Benutzer hinzufügen
- Dsadd-Gruppe: Neue Gruppe erstellen
- Dsadd ou: Erstellen einer neuen Organisationseinheit
Dsdbutil
Generiert AD LDS-Datenbankdienstprogramme (Active Directory Lightweight Directory Services)
Dsget
Zeigt die ausgewählten Eigenschaften eines bestimmten Objekts im Verzeichnis an. Einige der verfügbaren Optionen sind:
Dsmgmt div >
Bietet die Verwaltungsfunktionen von Active Directory Lightweight Directory Services (AD LDS).
Dsmod
Ermöglicht das Ändern eines vorhandenen Objekts eines bestimmten Typs im Verzeichnis.
Dsmove
Es ist dafür verantwortlich, ein Objekt in einer Domäne von seinem aktuellen Speicherort im Verzeichnis an einen neuen Speicherort zu verschieben oder ein einzelnes Objekt umzubenennen, ohne es in der Verzeichnisstruktur zu verschieben. Div>
NET-Computer div >
Hinzufügen oder Entfernen eines Computers zu einer Domänendatenbank.
NET-Gruppe
Hinzufügen, Anzeigen oder Ändern globaler Gruppen in Domänen.
NET-Benutzer
Hinzufügen oder Ändern von Benutzerkonten oder Anzeigen der Kontoinformationen eines Benutzers.
Ntdsutil
Bietet AD DS-Verwaltungsfunktionen
Repadmin
Administratoren können Active Directory-Replikationsprobleme zwischen Domänencontrollern mit Windows-Betriebssystemen diagnostizieren.
Active Directory-Domänendienste sind eine davon der Basiskomponenten, mit denen Sie Windows Server optimal nutzen und somit Adm ausführen können Inistrierungsaufgaben viel vollständiger.