www.radians.com.ar Microsoft ha puesto a nuestra disposición la versión Technical Preview 4 de Windows Server 2016. Podemos bajar las versiones de prueba desde “Windows Server Evaluations” en https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-technical-preview

Algunas de las nuevas características desde el punto de Directory Services fueron enfocadas para mejorar la capacidad de las organizaciones para asegurar entornos de Active Directory y los ayudan a migrar a las implementaciones en la nube única e implementaciones híbridas, donde algunas aplicaciones y servicios están alojados en la nube y otros están alojados en el mismo recinto. Las mejoras incluyen:

  • Gestión de acceso privilegiado (Privileged access management)
    Gestión de acceso privilegiado (PAM) ayuda a mitigar los problemas de seguridad para entornos de Active Directory que son causadas por las técnicas de robo de credenciales tales como pass-the-hash, spear phishing, y el similares tipos de ataques. Proporciona una nueva solución de acceso administrativo que se configura mediante el uso de Microsoft Identity Manager (MIM). PAM presenta:
    • Un nuevo bosque bastión de Active Directory, que está aprovisionado por MIM. El bosque bastión tiene un fideicomiso PAM especial con un bosque existente. Proporciona un nuevo entorno de Active Directory que se sabe que es libre de cualquier actividad maliciosa, y el aislamiento de un bosque existente para el uso de cuentas privilegiadas.

    • Nuevos procesos en MIM para solicitar privilegios administrativos, junto con los nuevos flujos de trabajo basados ​​en la aprobación de las solicitudes.

    • Nuevas entidades de seguridad de la sombra (grupos) que están provisionados en el bosque bastión por MIM en respuesta a las solicitudes de privilegios administrativos. Las entidades de seguridad de sombra tienen un atributo que hace referencia el SID de un grupo administrativo en un bosque existente. Esto permite que el grupo de sombra para acceder a los recursos en un bosque existente sin cambiar la lista de control de acceso (ACL).

    • Un usuario puede añadir al grupo para el tiempo justo necesario para realizar una tarea administrativa. El número de miembros de duración determinada se expresa por un tiempo de vida (TTL) que se propaga a una vida vale Kerberos.

    • Recordar que tiene como requerimientos: Microsoft Identity Manager y Active Directory forest functional level of Windows Server 2012 R2 or higher.

  • Azure AD Join
    Mejora las experiencias de identidad de la empresa, los negocios y EDU clientes- con la mejora de las capacidades de los dispositivos corporativos y personales.
  • Microsoft Passport
    Microsoft Passport es un nuevo metodo de autenticacion para las organizaciones y consumidores, que va más allá de las contraseñas. Esta forma de autenticación se basa en la violación, el robo, y las credenciales phishing resistente.
    El usuario inicia sesión en el equipo con un registro biométrico o PIN en la información que está vinculada a un certificado o un par de claves asimétricas. Los proveedores de identidad (PDI) validan al usuario mediante la asignación de la clave pública del usuario y proporciona IDLocker para conectarse con la información a través de una contraseña (OTP), PhoneFactor o un mecanismo de notificación diferente.
  • Deprecación del servicio de replicación de archivos (FRS) y los niveles funcionales de Windows Server 2003
    Aunque el servicio de replicación de archivos (FRS) y los niveles funcionales de Windows Server 2003 fueron desaprobados en las versiones anteriores de Windows Server, la pena repetir que el sistema operativo Windows Server 2003 ya no es compatible. Como resultado, cualquier controlador de dominio que ejecuta Windows Server 2003 debe eliminarse del dominio. El dominio y el nivel funcional del bosque debe elevarse al menos a Windows Server 2008 para evitar que un controlador de dominio que ejecuta una versión anterior de Windows Server que se agreguen al medio ambiente.
    En el nivel funcional más alto de dominio de Windows Server 2008 y, Servicio de archivos distribuido (DFS) de replicación se utiliza para reproducir contenido de la carpeta SYSVOL entre controladores de dominio. Si crea un nuevo dominio en el nivel funcional de dominio de Windows Server 2008 o superior, la replicación DFS se utiliza automáticamente para replicar SYSVOL. Si ha creado el dominio a un nivel inferior funcional, tendrá que migrar de utilizar FRS para la replicación DFS para SYSVOL.

Ósea, algo importantísimo, sobre todo para Sudamérica, NO soporta mas niveles funcionales 2003 ni Réplica de SYSVOL FRS (File Replication Service). Esto no debería ser un problema porque a hemos migrado o estamos en proceso de migración de nuestras viejas tecnologías.

Esto implica que si queremos implementar un domain controller WS2016, deberemos primero migrar nuestros viejos DCs Windows Server 2003, a Windows Server 2008 o superior, aumentar el nivel funcional y migrar el sistema de replicación de SYSVOL a DFS-R; y si ya tenemos DCs en Windows Server 2008 o superior, deberemos verificar el sistema de réplica de SYSVOL utilizado. En caso de disponer FRS, realizar la migración a DFR-R.

Para mas información les recomiendo ver el sitio oficial de MS: https://technet.microsoft.com/en-us/library/mt163897.aspx

Espero que les sea de interés. Saludos. Roberto Di Lello.

Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.