Administrasi Yang Disederhanakan AD DS
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Topik ini menjelaskan kemampuan dan manfaat penyebaran dan administrasi pengendali domain Windows Server 2012, dan perbedaan antara penyebaran DC sistem operasi sebelumnya dan implementasi Windows Server 2012 yang baru.
Windows Server 2012 memperkenalkan Administrasi Sederhana Active Directory Domain Services generasi berikutnya, dan merupakan re-visi domain paling radikal sejak Windows 2000 Server. Ad DS Simplified Administration mengambil pelajaran yang dipelajari dari dua belas tahun Active Directory dan membuat pengalaman administratif yang lebih mendukung, lebih fleksibel, dan lebih intuitif bagi arsitek dan administrator. Ini berarti menciptakan versi baru teknologi yang ada serta memperluas kemampuan komponen yang dirilis di Windows Server 2008 R2.
Administrasi Yang Disederhanakan AD DS adalah penentu ulang penyebaran domain.
- Penyebaran peran AD DS sekarang menjadi bagian dari arsitektur Manajer Server baru dan memungkinkan penginstalan jarak jauh
- Mesin penyebaran dan konfigurasi AD DS sekarang menjadi Windows PowerShell, bahkan saat menggunakan Wizard Konfigurasi AD DS baru
- Ekstensi skema, persiapan hutan, dan persiapan domain secara otomatis merupakan bagian dari promosi pengendali domain dan tidak lagi memerlukan tugas terpisah di server khusus seperti Master Skema
- Promosi sekarang mencakup pemeriksaan prasyarat yang memvalidasi kesiapan forest dan domain untuk pengendali domain baru, menurunkan kemungkinan promosi yang gagal
- Modul Direktori Aktif untuk Windows PowerShell sekarang menyertakan cmdlet untuk manajemen topologi replikasi, Kontrol Akses Dinamis, dan operasi lainnya
- Tingkat fungsional forest Windows Server 2012 tidak menerapkan fitur baru dan tingkat fungsional domain hanya diperlukan untuk subset fitur Kerberos baru, menghilangkan administrator dari kebutuhan yang sering untuk lingkungan pengontrol domain homogen
- Dukungan penuh ditambahkan untuk Pengontrol Domain Virtual, untuk menyertakan penyebaran otomatis dan perlindungan putar kembali
- Untuk informasi selengkapnya tentang pengontrol domain virtual, lihat Pengenalan Virtualisasi Active Directory Domain Services (AD DS) (Tingkat 100).
Selain itu, ada banyak perbaikan administratif dan pemeliharaan:
- Pusat Administratif Direktori Aktif mencakup Keranjang Sampah Direktori Aktif grafis, manajemen Kebijakan Kata Sandi Terperinci, dan penampil riwayat Windows PowerShell
- Manajer Server baru memiliki antarmuka khusus AD DS ke dalam pemantauan performa, analisis praktik terbaik, layanan penting, dan log peristiwa
- Akun Layanan Terkelola Grup mendukung beberapa komputer menggunakan prinsip keamanan yang sama
- Peningkatan penerbitan dan pemantauan Pengidentifikasi Relatif (RID) untuk pengelolaan yang lebih baik di domain Direktori Aktif yang matang
Keuntungan AD DS dari fitur baru lainnya yang disertakan dalam Windows Server 2012, seperti:
- Tim NIC dan Bridging Pusat Data
- Keamanan DNS dan ketersediaan zona terintegrasi AD yang lebih cepat setelah boot
- Peningkatan keandalan dan skalabilitas Hyper-V
- Kunci Jaringan BitLocker
- Modul administrasi komponen Windows PowerShell tambahan
Integrasi ADPREP
Ekstensi skema forest Direktori Aktif dan persiapan domain sekarang terintegrasi ke dalam proses konfigurasi pengendali domain. Jika Anda mempromosikan pengendali domain baru ke forest yang ada, proses mendeteksi status peningkatan dan ekstensi skema dan fase persiapan domain terjadi secara otomatis. Pengguna yang menginstal pengontrol domain Windows Server 2012 pertama masih harus menjadi Admin Perusahaan dan Admin Skema atau memberikan kredensial alternatif yang valid.
Adprep.exe tetap berada di DVD untuk persiapan forest dan domain terpisah. Versi alat yang disertakan dengan Windows Server 2012 kompatibel dengan Windows Server 2008 x64 dan Windows Server 2008 R2. Adprep.exe juga mendukung forestprep dan domainprep jarak jauh, sama seperti alat konfigurasi pengontrol domain berbasis ADDSDeployment.
Untuk informasi tentang Adprep dan persiapan forest sistem operasi sebelumnya, lihat Menjalankan Adprep (Windows Server 2008 R2).
Integrasi AD DS Manajer Server
Manajer Server bertindak sebagai hub untuk tugas manajemen server. Tampilan gaya dasbornya secara berkala me-refresh tampilan peran yang diinstal dan grup server jarak jauh. Manajer Server menyediakan manajemen terpusat server lokal dan jarak jauh, tanpa perlu akses konsol.
Active Directory Domain Services adalah salah satu peran hub tersebut; dengan menjalankan Manajer Server pada pengontrol domain atau Alat Administrasi Server Jarak Jauh pada Windows 8, Anda melihat masalah penting baru-baru ini pada pengontrol domain di forest Anda.
Tampilan ini meliputi:
- Ketersediaan server
- Pemberitahuan monitor performa untuk penggunaan CPU dan memori tinggi
- Status layanan Windows khusus untuk AD DS
- Entri peringatan dan kesalahan terkait Layanan Direktori terbaru dalam log peristiwa
- Analisis Praktik Terbaik pengendali domain terhadap sekumpulan aturan yang direkomendasikan Microsoft
Keranjang Sampah Pusat Administratif Direktori Aktif
Windows Server 2008 R2 memperkenalkan Keranjang Sampah Direktori Aktif, yang memulihkan objek Direktori Aktif yang dihapus tanpa memulihkan dari cadangan, memulai ulang layanan AD DS, atau me-reboot pengontrol domain.
Windows Server 2012 meningkatkan kemampuan pemulihan berbasis Windows PowerShell yang ada dengan antarmuka grafis baru di Pusat Administratif Direktori Aktif. Ini memungkinkan administrator untuk mengaktifkan Keranjang Sampah dan menemukan atau memulihkan objek yang dihapus dalam konteks domain forest, semuanya tanpa langsung menjalankan cmdlet Windows PowerShell. Pusat Administratif Direktori Aktif dan Keranjang Sampah Direktori Aktif masih menggunakan Windows PowerShell di bawah sampul, sehingga skrip dan prosedur sebelumnya masih berharga.
Untuk informasi tentang Keranjang Sampah Direktori Aktif, lihat Panduan Langkah demi Langkah Keranjang Sampah Direktori Aktif (Windows Server 2008 R2).
Kebijakan Kata Sandi Terperindas Pusat Administratif Direktori Aktif
Windows Server 2008 memperkenalkan kebijakan Kata Sandi Terperinci, yang memungkinkan administrator untuk mengonfigurasi beberapa kebijakan penguncian kata sandi dan akun per domain. Ini memungkinkan domain solusi fleksibel untuk memberlakukan aturan kata sandi yang kurang lebih ketat, berdasarkan pengguna dan grup. Ini tidak memiliki antarmuka manajerial dan administrator yang diperlukan untuk mengonfigurasinya menggunakan Ldp.exe atau Adsiedit.msc. Windows Server 2008 R2 memperkenalkan modul Direktori Aktif untuk Windows PowerShell, yang memberi administrator antarmuka baris perintah ke FGPP.
Windows Server 2012 membawa antarmuka grafis ke Kebijakan Kata Sandi Terperindas. Pusat Administratif Direktori Aktif adalah rumah dialog baru ini, yang membawa manajemen FGPP yang disederhanakan kepada semua administrator.
Untuk informasi tentang Kebijakan Kata Sandi Terperinci, lihat Panduan Langkah demi Langkah Kebijakan Penguncian Akun dan Kata Sandi Terperinci AD DS (Windows Server 2008 R2).
Penampil Riwayat Windows PowerShell Pusat Administratif Direktori Aktif
Windows Server 2008 R2 memperkenalkan Pusat Administratif Direktori Aktif, yang menggantikan snap-in Pengguna Direktori Aktif dan Komputer lama yang dibuat di Windows 2000. Pusat Administratif Direktori Aktif membuat antarmuka administratif grafis ke modul Direktori Aktif baru untuk Windows PowerShell.
Meskipun modul Direktori Aktif berisi lebih dari seratus cmdlet, kurva pembelajaran untuk administrator dapat curam. Karena Windows PowerShell terintegrasi sangat ke dalam strategi administrasi Windows, Pusat Administratif Direktori Aktif sekarang menyertakan penampil yang memungkinkan Anda melihat eksekusi cmdlet di antarmuka grafis. Anda dapat mencari, menyalin, menghapus riwayat, dan menambahkan catatan dengan antarmuka sederhana. Tujuannya adalah agar administrator menggunakan antarmuka grafis untuk membuat dan memodifikasi objek, lalu meninjaunya di penampil riwayat untuk mempelajari selengkapnya tentang pembuatan skrip Windows PowerShell dan mengubah contoh.
Ad Replikasi Windows PowerShell
Windows Server 2012 menambahkan cmdlet replikasi Direktori Aktif tambahan ke modul Windows PowerShell Direktori Aktif. Ini memungkinkan konfigurasi situs, subnet, koneksi, tautan situs, dan jembatan baru atau yang sudah ada. Mereka juga mengembalikan metadata replikasi Direktori Aktif, status replikasi, antrean, dan informasi vektor versi terbaru. Pengenalan cmdlet replikasi - dikombinasikan dengan penyebaran dan cmdlet AD DS lainnya yang ada - memungkinkan untuk mengelola forest menggunakan Windows PowerShell saja. Ini menciptakan peluang baru bagi administrator yang ingin menyediakan dan mengelola Windows Server 2012 tanpa antarmuka grafis, yang kemudian mengurangi permukaan serangan sistem operasi dan persyaratan layanan. Ini sangat penting ketika menyebarkan server ke jaringan keamanan tinggi seperti Secret Internet Protocol Router (SIPR) dan DMZ perusahaan.
Untuk informasi selengkapnya tentang topologi dan replikasi situs AD DS, lihat Referensi Teknis Windows Server.
Peningkatan Manajemen dan Penerbitan RID
Direktori Aktif Windows 2000 memperkenalkan RID Master, yang mengeluarkan kumpulan pengidentifikasi relatif ke pengendali domain, untuk membuat pengidentifikasi keamanan (SID) kepercayaan keamanan seperti pengguna, grup, dan komputer. Secara default, ruang RID global ini dibatasi hingga 230 (atau 1.073.741.823) total SID yang dibuat di domain. SID tidak dapat kembali ke kumpulan atau diterbitkan ulang. Seiring waktu, domain besar mungkin mulai kehabisan RID, atau kecelakaan dapat menyebabkan penipisan RID yang tidak perlu dan akhirnya kelelahan.
Windows Server 2012 mengatasi sejumlah masalah penerbitan dan manajemen RID yang diungkap oleh pelanggan dan Dukungan Pelanggan Microsoft saat AD DS dimatangkan sejak pembuatan domain Direktori Aktif pertama pada tahun 1999. Ini termasuk:
- Peringatan konsumsi RID berkala ditulis ke log peristiwa
- Log peristiwa saat administrator membatalkan kumpulan RID
- Batas maksimum pada kebijakan RID Ukuran Blok RID sekarang diberlakukan
- Plafon RID buatan sekarang diberlakukan dan dicatat ketika ruang RID global rendah, memungkinkan administrator untuk mengambil tindakan sebelum ruang global habis
- Ruang RID global sekarang dapat ditingkatkan satu bit, menggandakan ukuran menjadi 231 (2.147.483.648 SID)
Untuk informasi selengkapnya tentang RID dan RID Master, tinjau Cara Kerja Pengidentifikasi Keamanan.
Penyebaran Peran AD DS dan Arsitektur Manajemen
Server Manager dan ADDSDeployment Windows PowerShell mengandalkan rakitan inti berikut untuk fungsionalitas saat menyebarkan atau mengelola peran AD DS:
- Microsoft.ADroles.Aspects.dll
- Microsoft.ADroles.Instrumentation.dll
- Microsoft.ADRoles.ServerManager.Common.dll
- Microsoft.ADRoles.UI.Common.dll
- Microsoft.DirectoryServices.Deployment.Types.dll
- Microsoft.DirectoryServices.ServerManager.dll
- Addsdeployment.psm1
- Addsdeployment.psd1
Keduanya mengandalkan Windows PowerShell dan perintah pemanggilan jarak jauh untuk penginstalan dan konfigurasi peran jarak jauh.
Windows Server 2012 juga merefaktor sejumlah operasi promosi sebelumnya dari LSASS.EXE, sebagai bagian dari:
- Layanan Server Peran DS (DsRoleSvc)
- DSRoleSvc.dll (dimuat oleh layanan DsRoleSvc)
Layanan ini harus ada dan berjalan untuk mempromosikan, menurunkan, atau mengkloning pengontrol domain virtual. Penginstalan peran AD DS menambahkan layanan ini dan mengatur jenis awal Manual, secara default. Jangan nonaktifkan layanan ini.
Arsitektur Pemeriksaan AdPrep dan Prasyarat
Adprep tidak lagi memerlukan berjalan pada master skema. Ini dapat dijalankan dari jarak jauh dari komputer yang menjalankan Windows Server 2008 x64 atau yang lebih baru.
Catatan
Adprep menggunakan LDAP untuk mengimpor file Schxx.ldf dan tidak secara otomatis tersambung kembali jika koneksi ke master skema hilang selama impor. Sebagai bagian dari proses impor, master skema diatur dalam mode tertentu dan koneksi ulang otomatis dinonaktifkan karena jika LDAP terhubung kembali setelah koneksi hilang, koneksi yang dibuat ulang tidak akan berada dalam mode tertentu. Dalam hal ini, skema tidak akan diperbarui dengan benar.
Pemeriksaan prasyarat memastikan bahwa kondisi tertentu benar. Kondisi ini diperlukan untuk penginstalan AD DS yang berhasil. Jika beberapa kondisi yang diperlukan tidak benar, kondisi tersebut dapat diselesaikan sebelum melanjutkan penginstalan. Ini juga mendeteksi bahwa forest atau domain belum disiapkan, sehingga kode penyebaran Adprep berjalan secara otomatis.
AdPrep Executables, DLL, LDF, file
- ADprep.dll
- Ldifde.dll
- Csvde.dll
- Sch14.ldf - Sch56.ldf
- Schupgrade.cat
- *dcpromo.csv
Kode Persiapan AD yang sebelumnya ditempatkan di ADprep.exe direfaktorkan ke adprep.dll. Ini memungkinkan modul ADPrep.exe dan ADDSDeployment Windows PowerShell menggunakan pustaka untuk tugas yang sama dan memiliki kemampuan yang sama. Adprep.exe disertakan dengan media penginstalan tetapi proses otomatis tidak memanggilnya secara langsung - hanya Administrator yang menjalankannya secara manual. Ini hanya dapat berjalan pada Windows Server 2008 x64 dan sistem operasi yang lebih baru. Ldifde.exe dan csvde.exe juga memiliki versi refaktor sebagai DLL yang dimuat oleh proses persiapan. Ekstensi skema masih menggunakan file LDF yang diverifikasi tanda tangan, seperti pada versi sistem operasi sebelumnya.
Penting
Tidak ada alat Adprep32.exe 32-bit untuk Windows Server 2012. Anda harus memiliki setidaknya satu komputer Windows Server 2008 x64, Windows Server 2008 R2, atau Windows Server 2012, yang berjalan sebagai pengendali domain, server anggota, atau dalam grup kerja, untuk menyiapkan forest dan domain. Adprep.exe tidak berjalan pada Windows Server 2003 x64.
Pemeriksaan Prasyarat
Sistem pemeriksaan prasyarat yang disertakan dalam ADDSDeployment Windows PowerShell kode terkelola berfungsi dalam mode yang berbeda, berdasarkan operasi. Tabel di bawah ini menjelaskan setiap pengujian, kapan digunakan, dan penjelasan tentang bagaimana dan apa yang divalidasinya. Tabel ini mungkin berguna jika ada masalah di mana validasi gagal dan kesalahan tidak cukup untuk memecahkan masalah.
Pengujian ini masuk ke saluran log peristiwa operasional DirectoryServices-Deployment di bawah Inti Kategori Tugas, selalu sebagai ID Peristiwa 103.
Windows PowerShell Prasyarat
Ada cmdlet ADDSDeployment Windows PowerShell untuk semua cmdlet penyebaran pengendali domain. Mereka memiliki argumen yang kira-kira sama dengan cmdlet terkait mereka.
- Test-ADDSDomainControllerInstallation
- Test-ADDSDomainControllerUninstallation
- Test-ADDSDomainInstallation
- Test-ADDSForestInstallation
- Test-ADDSReadOnlyDomainControllerAccountCreation
Tidak perlu menjalankan cmdlet ini, biasanya; mereka sudah secara otomatis menjalankan dengan cmdlet penyebaran secara default.
Uji Prasyarat
| Nama Pengujian | Protokol digunakan |
Penjelasan dan catatan |
|---|---|---|
| VerifyAdminTrusted ForDelegationProvider |
LDAP | Memvalidasi bahwa Anda memiliki hak istimewa "Aktifkan akun komputer dan pengguna untuk dipercaya untuk delegasi" (SeEnableDelegationPrivilege) pada pengontrol domain mitra yang ada. Ini memerlukan akses ke atribut tokenGroups yang dibangun. Tidak digunakan saat menghubungi pengontrol domain Windows Server 2003. Anda harus mengonfirmasi hak istimewa ini secara manual sebelum promosi |
| VerifikasiADPrep Prasyarat (forest) |
LDAP | Menemukan dan menghubungi Master Skema menggunakan atribut rootDSE namingContexts dan atribut konteks penamaan Skema fsmoRoleOwner. Menentukan operasi persiapan mana (forestprep, domainprep, atau rodcprep) yang diperlukan untuk penginstalan AD DS. Memvalidasi objectVersion skema diharapkan dan jika memerlukan ekstensi lebih lanjut. |
| VerifikasiADPrep Prasyarat (domain dan RODC) |
LDAP | Menemukan dan menghubungi Master Infrastruktur menggunakan atribut rootDSE namingContexts dan atribut fsmoRoleOwner kontainer Infrastruktur. Dalam kasus penginstalan RODC, pengujian ini menemukan master penamaan domain dan memastikannya online. |
| CheckGroup Keanggotaan |
LDAP RPC melalui SMB (LSARPC) |
Memvalidasi pengguna adalah anggota Admin Domain atau grup Admin Perusahaan, bergantung pada operasi (DA untuk menambahkan atau menurunkan pengendali domain, EA untuk menambahkan atau menghapus domain) |
| CheckForestPrep GroupMembership |
LDAP RPC melalui SMB (LSARPC) |
Memvalidasi pengguna adalah anggota grup Admin Skema dan Admin Perusahaan dan memiliki hak istimewa Kelola Log Peristiwa Audit dan Keamanan (SesScurityPrivilege) pada pengontrol domain yang ada |
| CheckDomainPrep GroupMembership |
LDAP RPC melalui SMB (LSARPC) |
Memvalidasi pengguna adalah anggota grup Admin Domain dan memiliki hak istimewa Kelola Log Peristiwa Audit dan Keamanan (SesScurityPrivilege) pada pengontrol domain yang ada |
| CheckRODCPrep GroupMembership |
LDAP RPC melalui SMB (LSARPC) |
Validasi pengguna adalah anggota grup Admin Perusahaan dan memiliki hak istimewa Kelola Log Peristiwa Audit dan Keamanan (SesScurityPrivilege) pada pengendali domain yang ada |
| VerifyInitSync AfterReboot |
LDAP | Validasi bahwa Master Skema telah direplikasi setidaknya sekali karena dimulai ulang dengan mengatur nilai dummy pada atribut rootDSE menjadiSchemaMaster |
| VerifikasiSFUHotFix Diterapkan |
LDAP | Memvalidasi skema forest yang ada tidak berisi ekstensi SFU2 masalah yang diketahui untuk atribut UID dengan OID 1.2.840.113556.1.4.7000.187.102 |
| VerifyExchange SchemaFixed |
LDAP, WMI, DCOM, RPC | Validasi skema forest yang ada tidak masih berisi masalah Ekstensi Exchange 2000 ms-Exch-Assistant-Name, ms-Exch-LabeledURI, dan ms-Exch-House-Identifier (Tentang ekstensi skema - Configuration Manager) |
| VerifikasiWin2KSchema Konsistensi |
LDAP | Validasi skema forest yang ada memiliki atribut dan kelas inti yang konsisten (tidak salah dimodifikasi oleh pihak ketiga). |
| DCPromo | DRSR melalui RPC, LDAP DNS RPC melalui SMB (SAMR) |
Validasi sintaks baris perintah yang diteruskan ke kode promosi dan uji promosi. Validasi forest atau domain belum ada jika membuat baru. |
| VerifyOutbound ReplicationEnabled |
LDAP, DRSR melalui SMB, RPC melalui SMB (LSARPC) | Validasi pengendali domain yang ada yang ditentukan sebagai mitra replikasi mengaktifkan replikasi keluar dengan memeriksa atribut opsi objek Pengaturan NTDS untuk NTDSDSA_OPT_DISABLE_OUTBOUND_REPL (0x00000004) |
| VerifyMachineAdmin Kata sandi |
DRSR melalui RPC, LDAP DNS RPC melalui SMB (SAMR) |
Validasi set kata sandi mode aman untuk DSRM memenuhi persyaratan kompleksitas domain. |
| Verifikasi Brankas ModePassword | N/A | Memvalidasi kumpulan kata sandi Administrator lokal memenuhi persyaratan kompleksitas kebijakan keamanan komputer. |