Jump to content

Neuerungen für Active Directory unter "Server vNext" (und weitere vNext Neuigkeiten)


Recommended Posts

vor 21 Stunden schrieb MurdocX:

Spannend finde ich das Thema der Kommunikation untereinander. Ist Kommunikation untereinander ist dann NTLM oder Kerberos?

Soweit ich es aus der Präsentation verstanden habe, weder noch. Es wird beim Aufbau des Clusters ein Secret ausgetauscht, und das dient als Basis für die Authentifizierung der Kommunikation der Knoten untereinander, so ähnlich wie die zertifikatsbasierte Authentifizierung in Hyper-V für Replikation und Live Migraiton.

Edited by cj_berlin
  • Like 1
Link to comment
Am 12.2.2024 um 08:43 schrieb cj_berlin:

Soweit ich es aus der Präsentation verstanden habe, weder noch. Es wird beim Aufbau des Clusters ein Secret ausgetauscht, und das dient als Basis für die Authentifizierung der Kommunikation der Knoten untereinander, so ähnlich wie die zertifikatsbasierte Authentifizierung in Hyper-V für Replikation und Live Migraiton.

 

Danke euch, auch an @MurdocX.

Wenn ihr ein update dazu habt ist das sehr spannend da ich einen entsprechenden use case vorliegen habe in den nächsten Monaten.

Link to comment
Am 15.2.2024 um 21:16 schrieb testperson:

Wo brauchst du das Update? Ob das Kerberos, NTML oder was ganz anderes ist? Oder einfach nur, ob es jetzt auch ein Hyper-V Failover Cluster domainless inkl. Live Migration lauffähig ist?

Genau, ob das Kerberos oder NTLM oder zertifikatsbasierte Authentifizierung ist.
Oder etwas schwarzmagisches.

Link to comment

Wenn ich Kerberos komplett blocke, lässt sich der Cluster Manager nur öffnen, wenn die Cluster Ressource auf dem eigenen Node liegt. Öffnet man den Cluster Manager auf Node1, schiebt die Cluster Ressource auf Node2 und öffnet dort den Manager, lässt sich problemlos von beiden Knoten das Cluster bedienen. Was gar nicht funktioniert - egal ob Kerberos only oder mit NTLM, ist die VM Konsole einer VM auf dem anderen Knoten zu öffnen. (Das wird aber vermutlich daran liegen, dass ich das noch nicht umgesetzt habe (Remotely manage Hyper-V hosts | Microsoft Learn)).

 

"Incoming NTLM" auf "Deny all domain accounts" oder "Allow all" und folgende Ausnahmen scheinen laut Eventlog das Minimum zu sein ;-)

Auf Knoten ADLESS-HV01:

RPCSS/ADLESS-HV02
RPCSS/ADLESS-HV02.workgroup.cluster
host/ADLESS-HV02
host/ADLESS-HV02.workgroup.cluster
MSServerClusterMgmtAPI/adless-cluster02
MSServerClusterMgmtAPI/adless-cluster02.workgroup.cluster
cifs/ADLESS-HV02
cifs/ADLESS-HV02.workgroup.cluster

Auf Knoten ADLESS-HV02:

RPCSS/ADLESS-HV01
RPCSS/ADLESS-HV01.workgroup.cluster
host/ADLESS-HV01
host/ADLESS-HV01.workgroup.cluster
MSServerClusterMgmtAPI/adless-cluster01
MSServerClusterMgmtAPI/adless-cluster01.workgroup.cluster
cifs/ADLESS-HV01
cifs/ADLESS-HV01.workgroup.cluster

 

  • Like 1
Link to comment

In der aktuellen Preview für Server (oder auch Win 11) bin ich gerade über Änderungen im "native LAPS" gestolpert: Announcing Windows 11 Insider Preview Build 26040 (Canary Channel) | Windows Insider Blog

  • Erstellung eines verwalteten, lokalen Accounts inkl. "Zufallsgenerator" für ein Prefix des Accounts, welcher beim Passwortwechsel ebenfalls rotiert
  • Die Passwortkomplexität kann jetzt leicht zu verwechselnde Zeichen auslassen; Kennwortsätze können automatisch generiert werden
  • Ein "Image Rollback Detection Feature" wurde implementiert
Am 17.2.2024 um 20:52 schrieb Apex:

Genau, ob das Kerberos oder NTLM oder zertifikatsbasierte Authentifizierung ist.

 

Im Personal Store der lokalen Hyper-V Hosts liegt ein Zertifikat "CLIUSR":

  • Zertifikat gelöscht -> Keine Livemigration mit Authentifizierungsfehler
  • Zertifikat wieder importiert -> Livemigration

Im Hyper-V Manager, lässt sich die Livemigration allerdings nicht auf Kerberos konfigurieren. Die GUI vermeldet, dafür sei ein Domain-join nötig. Die PowerShell sagt:

Get-VMHost | fl *auth*
VirtualMachineMigrationAuthenticationType : 4

Ich hätte da "Kerberos" oder "CredSSP" erwartet, kann aber auch mit "4" leben. :)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...