Taller de Active Directory (by Vic_Thor)

Si has creado algún documento interesante, este es su sitio

Moderador: Moderadores

Taller de Active Directory (by Vic_Thor)

Notapor Vic_Thor » Mar Mar 21, 2006 12:08 am

1.- Conceptos de Active Directory

1.1.- Evolución de los servicios de directorio de Microsoft

LAN Manager

Este fue el primer Servicio de directorio que se desarrolló para admitir estaciones de trabajo basadas en MS-Dos y OS/2.

Proporciona funciones básicas para compartir archivos, impresoras y seguridad de usuario.

El mayor problema era que no admitía relaciones de confianza, es decir, los usuarios de la red tenían que conectarse a cada dominio de forma independiente para tener acceso a los recursos compartidos.

NT y la SAM

NT 3.1 Advanced Server ofrecía un entorno más robusto y soportaba equipos de 32 bits.

La SAM era el corazón del sistema operativo, es la Base de Datos para la administración de las cuentas de usuario y se utiliza para centralizar todas las cuentas de usuarios y grupos de dominios para controlar el acceso a los recursos y se compartían en cualquier servidor de dominio Windows NT

La SAM permitía relaciones de confianza sin embargo tenía dos limitaciones importantes:
    a) Tamaño límite de 40 MB, que traducido al límite de objetos que podía manejar eran unos 40.000, para superar ese límite, había que agregar mas dominios al entorno de la empresa.

    b) Las empresas y organizaciones se repartían en varios dominios para obtener una autonomía administrativa, sin embargo, dentro del dominio, todos los administradores tienen control total sobre el dominio, sus servidores y los servicios que se ofrecen.

    Al crear mas dominios, la carga administrativa era mayor y mayor era la dependencia de las relaciones de confianza, todas las relaciones se tenían que hacer de forma bilateral de tal forma que cuando existían diferentes administradores de dominio, éstos, tenían que coordinarse y comunicarse para realizarlo.
Se establecieron 4 modelos de dominio:

* Dominio único

Imagen
Imagen

* Dominio maestro

Imagen
Imagen

* Dominio multimaestro

Imagen
Imagen

* Confianza completa

Imagen
Imagen

La segunda gran limitación de la SAM era la accesibilidad. El único método de acceso a la SAM era el NOS (Sistema operativo de red), esto significaba una gran dificultad para acceder a la SAM fuera del NOS al utilizar aplicaciones de red.

El acceso al usuario no era fácil, todo se hacía desde cientos de ordenes y comandos.

Windows 2000 y Active Directory

Fue la aparición de Exchange Server 4 quien abrió el camino y dio el primer paso en la construcción de un estándar abierto, con Exchange llegó a Windows LDAP de tal forma que se podía tener acceso a los objetos del directorio de un modo más sencillo mediante la programación.

Active Directory sustituyó a la SAM como servicio de directorio al lanzarse Windows 2000, siendo su principal ventaja, la escalabilidad.

Este nuevo archivo de base de datos de cuentas de usuario puede escalar hasta los 70 TERABYTES, un paso descomunal tras los 40 MB de antes.

Este avance significa que ya no es necesario crear múltiples dominios para solucionar la limitación del tamaño del servicio del directorio, al existir menos dominio, menos hardware, y menos administración..

Los modelos anteriores de NT con múltiples dominios se pueden implementar ahora con unos pocos (incluso con uno sólo) y mediante Unidades Organizativas dentro del dominio en lugar de crear nuevos dominios para la administración.

Otra gran ventaja de Active Directory además de la escalabilidad es la accesibilidad.

Active Directory se ha diseñado alrededor de los estándares abiertos de Internet, como es LDAP, el acceso al espacio de nombres X.500 y TCP/IP.

Dominios de Windows 2003 Server y Active Directory

Esta es la última versión, una versión mejorada de su hermano pequeño Windows 2000, luego hablaremos un poco mas de las novedades del Servicio de Directorio Activo que implementa Windows 2003, antes de ello, veamos un poco más a fondo qué es eso de LDAP y X.500

1.2.- Estándares abiertos de Active Directory

Jerarquías X.500

El espacio de nombres X.500 define cómo se almacenan los objetos en Active Directory, es una estructura de nombres jerárquica que identifica una UNICA ruta hacia el contenedor de servicios de directorio.

Proporciona un identificador único para cada objeto (OID) aunque también se pueden identificar de forma única utilizando una notación de cadena X.500 que es conocida como directorio de interconexión de sistemas abiertos (OSI)

Por ejemplo, en la notación OID un objeto puede representarse de forma única como:

Código: Seleccionar todo
2.5.5.12


Y ese mismo objeto puede representarse de forma única como cadena:

Código: Seleccionar todo
CN=Doctor Wadalberto, CN=Users, DC=Wadalbertia, DC=org


Cuando veamos herramientas del tipo ADSI Edit entenderemos todo esto con mayor claridad., y para los fanáticos de los RFC, podéis consultar el 1779 que es el que define X.500

Protocolo LDAP

LDAP es tanto un protocolo de acceso como un modelo de servicios de Active Directory en Windows 2003

Como modelo de información, la jerarquía de nombres LDAP es parecida a la jerarquía del espacio de nombres X.500/OSI

LDAP se implementa en Active Directory mediante el archivo Wldap32.dll y un protocolo dentro de la familia de TCP/IP, siguiendo el mismo ejemplo de antes, un usuario se puede representar así mediante LDAP:

Código: Seleccionar todo
LDAP://cn=Doctor Wadalberto. Cn=Users, Dc=Wadalbertia, Dc=org


Para administrar Active Directory a través de LDAP necesitaremos herramientas del tipo ldp.exe, LDAP es un protocolo que usa el Puerto 389 de UDP

También, como antes, si te gusta eso de los RFC, encontrarás toda la información técnica en el RFC 1777

1.3.- Características de Active Directory

Directorio Centralizado

Imagina Active Directory como una gran Base de Datos en la que reside la información de una empresa, cuentas de usuario, contraseñas, impresoras, cuentas de correo, grupos de usuarios, ordenadores, etc. Todo ello en un único lugar, de tal forma que las modificaciones, consultas y actualizaciones se llevan acabo una sola vez, eso a grandes rasgos es Active Directory, los administradores sólo buscaran en Active Directory los objetos que deseen modificar.

Inicio de Sesión único

Todos los usuario que pertenezcan al Directorio Activo del mismo bosque (ya veremos que eso de los árboles, bosques y dominios) podrán conectarse a la red de su organización utilizando sus credenciales (nombre de usuario y contraseña) desde cualquier equipo.

El nombre principal de usuario se denomina UPN, por ejemplo doctor@wadalbertia.org y tras una autenticación correcta se les proporciona un acceso a los recursos de red para los que tenga permiso.

Administración Delegada

Cuando hablábamos de la SAM, en versiones NT, los administradores y los derechos administrativos estaban disponibles de forma “todo o nada”, es decir, se entregaban derechos de administración con poder ilimitado para todo el dominio, esto no es un método seguro para delegar la administración a personas que por su inexperiencia o por políticas de privacidad de la empresa no deseáramos que accediesen a “lugares” privilegiados.

Con la administración delegada, podemos asignar derechos administrativos sobre “una porción” de Active Directory, de tal forma que un usuario con dichos permisos será dueño y señor de “su parte” pero no podrá modificar, acceder o cambiar las cuentas y recursos de red de aquellas zonas en las que no se le haya dado autorización.

Interfaz de Administración Común.

Esto no es otra cosa que las famosas consolas de administración, las MMC, todas las interfaces o consolas de administración presentan un aspecto similar, ergonómico y coherente, o sea, que los usuarios que utilizan esas consolas no tienen que aprender el uso de cada una de ellas, todas son similares, presentan el mismo aspecto, sólo se diferencian en la tarea a realizar.

Las consolas integradas son:

· Usuarios y equipos de Active Directory
· Dominios y Confianzas de Active Directory
· Sitios y Servicios de Active Directory.

Seguridad Integrada

Active Directory se integra en el subsistema de Seguridad de Windows para autenticar usuarios, proteger los recursos compartidos.

Se admiten dos protocolos de autenticación durante el inicio: Kerberos v5 y NT Lan Manager (NTLM)

Kerberos es el protocolo predeterminado para los clientes que se conectan al dominio desde equipos Windows 2000 professional o XP Professional.

Los clientes que usan NT, Windows 98 o anteriores, usarán NTLM para autenticar el inicio de sesión.

Cuando un equipo cliente con Windows 2000/XP se conecta a servidores NT4 o a equipos independientes (sin Active Directory) aun cuando el sistema operativo de estos últimos sean 2000 Server ó 2003 Server, usarán también NTLM

Para cada usuario (estaría mejor dicho, cuenta principal de seguridad) se conecta a un Dominio de Windows Server 2000 ó 2003, se le asigna un SID (Identificador único de Seguridad) que junto a otros SID como los del grupo a que pertenecen, se compara con los descriptores de seguridad del recurso y se proporciona al usuario el nivel de acceso.

Escalabilidad

La escalabilidad viene determinada por el grado de flexibilidad y adaptabilidad a los cambios que se puedan producir. Imagina una empresa que es adquirida por otra, una fusión, una colaboración entre organizaciones, etc.. Los cambios en las estructuras políticas, funcionales, etc de las empresas, tarde o temprano, tendrán que reflejarse informáticamente.

Active Directory está diseñado para ser escalable, para mantener el nivel de crecimiento, para adaptarse a nuevas necesidades o cambios de estructura.

El modelo más pequeño de administración de Active Directory es el Dominio, pero un único dominio puede contener cientos de miles de objetos, por lo que un modelo de un único dominio puede ser perfectamente adaptado a Grandes Empresas.

El máximo número de objetos que puede contener un dominios de Active Directory ronda al millón de objetos y en ocasiones, por no decir casi siempre, en el diseño e implementación de Active Directory se debe empezar pensando que con único dominio será posible mantener toda la infraestructura de la organización.

Recuerda, si Active Directory es escalable, será más fácil crecer desde un único dominio que desde un diseño mal planificado de muchos dominios.

Niveles de Funcionalidad

Active Directory dispone de dos niveles funcionales:

· Dominio
· Bosque

Ambos proporcionan compatibilidad en sentido descendente, es decir, proporcionan compatibilidad con Controladores de Dominio de versiones anteriores como Windows NT ó Windows 2000, para obtener esta ventaja de compatibilidad, es preciso disponer de controladores Windows 2000 descendente a NT ó Windows 2003 descendente a Windows 2000 y NT

Si planeamos implementar Windows 2003 como controlador de Dominio, debemos elevar tan pronto como sea posible las máquinas designadas para ello a Windows 2003.

Bueno, todo esto lo veremos con más detenimiento cuando estudiemos con más detalles la arquitectura de 2003 Server, la migración, etc...

Cambio de Nombre de Dominio (sólo 2003 server)

Imagina que tu empresa cambia de nombre... con versiones anteriores a Windows 2003 era cuanto menos imposible hacer el correspondiente cambio al nombre del dominio, en muchas ocasiones pasaba por la reimpalntación de nuevos servidores e incluso a la creación desde cero de toda la estructura.

Con Windows 2003 Server, se admite el cambio de nombre, siempre que se preserve el identificador único global (GUID) y el SID del dominio, es decir, el dominio pasará a llamarse de
Wadalberto a Wadalbertia, pero manteniendo su GUID y el SID anterior.


Particiones del directorio de Aplicaciones

Los servidores y Controladores de Dominio de Active Directory se replican entre sí, esto es, se “pasan” sus bases de Datos de Active Directory entre ellos para mantener actualizada la información y objetos que lo componen.

Con esta nueva característica, se puede almacenar información específica en un área de Active Directory para que en lugar de replicar TODO Active Directory se replique sólo la/las particiones deseadas, de forma que se ahorra tiempo, tráfico y ancho de banda, así cómo se gana velocidad y eficiencia.

La replicación será otro de nuestros caballos de batalla en este Taller, mantener un replicación correcta y adecuada se convertirá en una buena administración de Active Directory.... todo llegará.

Instalación de Controladores de Dominio Adicionales desde copias de seguridad. (Sólo 2003 Server)

Instalar uno o mas controladores de Dominio adicionales nos proporcionará mayor seguridad y tolerancia a errores si el controlador principal falla o simplemente hay que “desconectarlo” un tiempo por actualizaciones hardware o reparaciones de cualquier tipo.

El proceso de instalación de un nuevo controlador de dominio, aunque sencillo, puede ser una tarea laboriosa e incluso pesada o larga, puede llegar incluso a durar varios días, y no digamos en su replicación... imagina que la replicación de Active Directory debe realizarse con un equipo remoto por una línea de baja velocidad...

Con esta característica podemos instalar, implementar y poner en marcha un Controlador adicional de dominio en poco tiempo desde una copia de seguridad almacenada en un medio local, como discos externos, CD/DVD, flash memory, etc.. porque a los datos del directorio activo se tendrán acceso desde la unidad local en lugar de la replicación por la red.

Desactivación de los objetos de esquema. (sólo Windows 2003)

El esquema no es otra cosa que una forma de definir cada tipo de objeto que se puede almacenar en Active Directory, antes de crear una cuenta, un grupo, un “lo que sea”, éste, debe estar primero definido en el esquema.

Pues bien, los administradores pueden desactivar las clases de esquema y sus atributos.

Te preguntarás para qué sirve esto... pues veamos:

Imaginemos que necesitamos crear un nuevo atributo a las cuentas de usuarios, por ejemplo: Sesiones de Electroshock

Como ese “campo” (atributo) no está definido en la cuenta de usuario, hay que “extender” el esquema para que cuando se añadan nuevos usuarios o se modifiquen las cuentas de los ya existentes podamos usar ese nuevo dato para guardar las veces que nuestros usuarios solicitaron sesiones de electroshock en la terapia de nuestra organización :p

Imaginemos que cuando “extendimos” el esquema, le explicamos que ese atributo sería numérico... y después “caímos” en la cuenta que lo que realmente necesitábamos era un valor alfanumérico, que pudiese guardar información del tipo “dos por semana”, o “5 al mes” en lugar de sólo el 2 ó sólo el 5.

Pues bien, al desactivar los atributos del esquema, también se puede desactivar el atributo original (el que era numérico) y modificarlo sin riesgos, ya que en caso que falle... podemos deshacer el cambio o crear un nuevo atributo con el verdadero tipo de dato y eliminar o dejar de lado el anterior.

Deshabilitar la compresión del tráfico de replicación entre sitios.

Un sitio no es lo mismo que un dominio, ya lo veremos, un sitio es físico... un domini es lógico...un dominio puede extenderse a varios sitios.. bueno, mejor dejo esto para más adelante, el caso es que imagina un sitio como un lugar físico y un dominio como el nombre de la organización... Wadalbertia es el nombre del dominio y puede estar presente en varios sitios físicos, en España, en Venezuela o en Las tierras verdes... eso son sitios.

Tanto Windows 2000 como 2003, cuando replican información entre sitios, la información que pasa por el cable se comprime, obvio, puesto que si existen vínculos lentos entre sitios (por ejemplo una línea de 56KB) si no se comprimiesen tardaría mas... pero la compresión tiene una desventaja, que se carga al procesador de trabajo para controlar la compresión y la descompresión.

Por tanto, si disponemos de líneas rápidas, de gran ancho de banda, podemos evitar la compresión en las réplicas entre sitios (entre diferentes sitios) que si bien consumirá más ancho de banda descargaremos a los controladores de dominio o a las máquinas designadas como cabeza de puente entre sitios del consumo de ciclos de CPU... elegir esta característica o no es cuestión de equilibro....

Catálogo Global no necesario para el inicio de sesión

El catálogo global es una copia parcial y de sólo lectura, este será otro de los datos a tener en cuenta en el diseño, es parcial porque el administrador puede decidir si un atributo u objeto definido en el esquema se ha de replicar o no y es de sólo lectura porque sólo los servidores de catálogo global pueden escribir en él.

Cuando un usuario inicia sesión, se conecta al dominio, se contacta con el Catálogo Global, si éste no está disponible, se le deniega el acceso a la red.

Ahora bien, imaginemos una sede en la conchinchina que utiliza un MODEM de 56k para conectarse al dominio, la línea se interrumpo o sencillamente no hay línea, en esta sede no hay servidores de catálogo global, es una delegación con sólo dos máquinas para los representantes de Wadalberita en ese sitio... pues Windows 2003 server se puede configurar para que se guarden en caché la pertenencia a grupos universales y para que las conexiones de los usuarios se puedan procesar sin tener que contactar con un servidor de catálogo global

Además, sin servidores de catálogo global por cada sitio remoto, se reduce el hardware necesario y el tráfico de replicación entre sitios.

Replicación de pertenencia a grupos

En Windows 2000, cuando se hace una cambio en la pertenencia a un grupo se tenía que replicar y sincronizar dicho cambio con todos los controladores de dominio.

Cuando los grupos son muy grandes, esto supone un alto nivel de tráfico en la red debido a la replicación y con el riesgo añadido de poder perder información si se realizaban varios cambios en simultáneos en servidores diferentes.

En Windows 2003 server, cuando un usuario cambia en la pertenencia a un grupo, la replicación se hace en función de cada miembro y no para todo el grupo.

Eliminación de objetos persistentes

Esto es el mecanismo para eliminar los datos de deshecho de Active Directory. Antes de Windows 2003 Server, no había mecanismos para la eliminación de este tipo de datos, por lo que si un controlador fallaba o se ponía fuera de línea y no se pudo replicar antes de “fuera de servicio” esos datos se marcaban como eliminados o elementos no utilizados.

La base De Datos crece con esos datos “basura” con el correspondiente gasto de tiempo en futuras replicaciones y tráfico en la red... Windows 2003 Server provee mecanismos para compactar y optimizar Active Directory

Compatibilidad inetOrgPerson


InetOrgPerson es una clase definida en el RFC 2798 que permite al administrador de Active Directory migrar estos objetos desde otros directorios LDAP.

InetOrgPerson puede ser utilizado para describir cómo los usuarios de Internet o Intranet acceden al Directorio Activo, es una clase de propósito general y la razón más importante por la que este objeto ha de ser incluido es que será la cuenta de usurio principal para integrar Active Directory con otros directorios o simplemente para poder migrar de versiones anteriores del Directorio Activo por ejemplo de Windows 2000 a Windows 2003.

2.- Estructura Física de Active Directory

En el Servicio de Active Directory de Windows Server 2003 existe en dos niveles:

· Físico: un único archivo en el servidor y el disco duro de cada uno de los controladores de dominio que alojan el servicio

· Lógica es el modelo de servicios de directorio que define cada principal de seguridad.

Estructura Física

Como ya se ha dicho, es un único archivo ubicado en cada controlador de dominio. Se pueden agregar tantos controladores de dominio como sean necesarios para configurar las necesidades de una empresa.

Al conjunto de funciones específicas que puede servir cada uno de estos controladores se le denomina, funciones del maestro de operaciones.

Otra función que puede desempeñar cualquier controlador de dominio es la de Catálogo Global (GC)

2.1 Almacén de Datos

Todos los datos de una base de datos de Active Directory se almacenan en el archivo ntds.dit, dentro de la carpeta %SystemRoot%\NTDS, ya sabes, %SystemRoot% es el directorio de instalación del sistema.

Este archivo guarda toda la información del dominio así como otras que puede compartir con todos los controladores de dominio implementados.

Existe una segunda copia del archivo ntds.dit, en la carpeta %SystemRoot%\System32.

Esta “versión” es la copia de distribución y se utiliza para instalar Active Directory, se copia en el servidor cuando se instala para promover el equipo a Controlador de Dominio.

Cuando se ejecuta Dcpromo.exe, el archivo ntds.dit se copia de la carpeta System32 a la carpeta NTDS y se convierte en la copia “viva” del almacén de datos.

En el caso de que no sea el primer controlador de dominio, éste archivo se actualizará de otros controladores de dominio mediante el proceso de replicación.

2.2. Controladores de Dominio.

Cualquier equipo que ejecute Windows Server 2003 y que guarde una copia de Active Directory es un controlador de dominio.

Si bien existen algunas excepciones, todos los controladores de dominio se crean de la misma forma y mediante el proceso de replicación cada uno contiene una copia actualizada de la base de datos y es capaz de hacer cambios en la base de datos de Active Directory.

Junto a los controladores de dominio hay otros controladores que Active Directory precisa para poder ejecutar ciertas funciones, estos son:

· Los servidores de Catálogo Global
· Los maestros de operaciones

2.3. Servidores de Catálogo Global

El catálogo global es una copia parcial de sólo lectura de todos los contextos de nombres de dominio (NC)

El GC contiene un conjunto de atributos base para cada objeto, pero no es un conjunto completo y se replican para cada Catálogo Global mediante el proceso de replicación y es El esquema quien determina si un atributo se replica o no para el catálogo Global.

El primer controlador de dominio que se instala es automáticamente convertido en un servidor de Catálogo Global y se pueden designar servidores adicionales como Servidores de Catálogo Global mediante la herramienta administrativa de Sitios y Servicios de Active Directory.

El motivo de poder necesitar más de un Servidor de Catálogo Global suele ser para agilizar las búsquedas en Active Directory y para facilitar los inicios de sesión de usuarios

Aunque no contiene todos los atributos de cada objeto, el catálogo global si dispone de una lista completa de los objetos para todo el bosque, cualquiera que busque o quiera iniciar la sesión en un dominio, primero buscará y conectará con el servidor de catálogo global, si éste no existe o falla, la consulta o inicio de sesión no se puede llevar a cabo.

Estas consultas se hacen mediante el protocolo LDAP utilizando el puerto 3268.

Windows 2003 Server posee una característica especial que permite conectarse a un dominio sin tener que contactar con el Catálogo Global, esto se consigue habilitando la pertenencia a grupos universales.

Normalmente los controladores de dominio que no son servidores de catálogo global no contienen información acerca de la pertenencia un grupo universal, los grupos universales sólo están disponibles en niveles funcionales de Windows 2000 nativo y Windows 2003 Server.

Los grupos Universales pueden contener cuentas de usuario y grupo de cualquier dominio de un bosque, la pertenencia a estos grupos universales sólo se puede resolver mediante controladores de dominio que tengan la información de todo el bosque, esto es, los Servidores de Catálogo Global.

Si se habilita la pertenencia a grupos universales en controladores de dominio que no son servidores de catálogo global, éstos podrán autenticar a los usuarios sin necesidad de contactar con el catálogo global. La pertenencia a un grupo universal se almacenará en caché por tiempo indefinido y se actualizará cada ocho horas de tal modo que los inicios de sesión serán más rápidos.

No obstante, si durante el espacio de 7 días no se puede contactar con el servidor de catálogo global, aparecerán otros problemas... ya lo veremos, de hecho, no se podrán iniciar sesiones.

Niveles Funcionales

El nivel funcional de un controlador de dominio es el grado de compatibilidad en sentido descendente para con otros sistemas operativos de Microsoft.

Cuando se configura un nivel funcional para un dominio, dicho nivel sólo se aplica a ese dominio y salvo que se explique lo contrario, se crena en el modo mixto de Windows 2000,

El nivel funcional se aplica por cada bosque y a cada dominios, veamos en una tabla los diferentes niveles funcionales posibles:

Imagen

Imagen

Obviamente estos niveles funcionales se aplican a los controladores de dominio y no a los clientes.

También se puede elevar el nivel funcional, pero antes hay que asegurarse que el resto de controladores de dominio sean compatibles con el nuevo nivel, en otro caso los perderemos.

2.4 Maestros de operaciones

Active Directory mantiene un sistema de replicación multimaestro, esto requiere que todos los controladores de dominio tengan permisos de escritura en la base de datos del directorio.

En algunas ocasiones puede ser necesario contar con un servidor autorizado y único.

Los controladores de dominio que relizan estas funciones se conocen como maestros de operaciones y cada uno tiene una función de maestro único flexible (FSMO)

Las cinco funciones que realizan los maestros de operaciones son:

· Maestro de Esquema
· Maestro de nombres de dominio
· Maestro RID
· Emulador PDC
· Maestro de infraestructura

El maestro de esquema y el maestro de nombres de dominio son funciones por BOSQUE

El maestro RID, emulador PDC y el maestro de infraestructuras con funciones por DOMINIO

Esto significa lo siguiente:

· Por cada bosque sólo hay un maestro de esquema y un maestro de nombres de dominio

· Al instalar Active Directory y crear el primer controlador de dominio, ese equipo tendrá las cinco funciones

· Al agregar nuevos controladores de dominio se transferirán algunas de estas funciones, o bien, se puede transferir manualmente.

El Maestro de Esquemas

· Un único controlador de dominio que tiene permisos de escritura en el esquema

· El administrador ha de conectarse al maestro de esquema para poder hacer cambios en él y debe pertenecer al grupo de Admins. de Esquema

· Una vez hecho el cambio en el esquema se replicarán al resto de controladores del mismo bosque

· Se puede transferir las funciones de maestro de esquema mediante la utilidad ntdsutil o mediante el complemento de Esquema de Active Directory

· El maestro de esquema se identifica mediante el atributo fSMORoleOwner del contendor de esquemas

El Maestro de Nombres de Dominio

· Es el controlador de dominio que puede agregar nuevos dominios al bosque o desde el cual se pueden eliminar dominios existentes, cualquier intento de añadir o eliminar dominios sin estar conectado o disponible el maestro de nombres de dominio fallará

· Para poder agregar nuevos dominios, es necesario que esté disponible el servicio de llamada a procedimiento remoto (RPC) mediante le puerto 135

· Se pueden añadir nuevos dominios mediante dcpromo.exe o mediante ntdsutil desde la línea de comandos, bueno, no exactamente... ntdsutil creará una referencia cruzada en la partición de configuración del directorio, luego, al utilizar dcpromo, podremos añadir el nuevo dominio sin necesidad de contactar con el maestro de nombres de dominio.

El Maestro RID

· Se utiliza para crear los principales de seguridad en el dominio, es decir, para poder crear nuevos usuarios, grupos y equipos.

· Si el maestro RID se encuentra sin conexión o falla, no se podrán agregar nuevas cuentas.

Emulador PDC

· Necesitaremos esta función si nuestro dominio coexiste con controladores de dominio anteriores a Windows 2000, o sea, si existen servidores NT con funciones de controlador de dominio, en este caso, el controlador de dominio Windows 2000 ó Windows 2003 actúa como controlador principal de cara a los dominios de reserva NT (BDC) aunque con menos prestaciones.

· Si el nivel funcional es Windows 2000 nativo o Windows 2003, es decir, no hay controladores NT en el dominio, el emulador PDC sigue desempeñando un papel fundamental, que es el de mantener las contraseñas actualizadas.

· Todos los cambios de contraseñas se envían al emulador PDC, si una autenticación falla en un controlador de dominio que no sea PDC, se le envía a este y se vuelve a intentar antes de dar por fallida la autenticación.

Maestro de infraestructura

· Es el responsable de actualizar las referencias entre dominios de grupo a usuario, dicho en cristiano, asegurar que las operaciones o cambios en los nombres de las cuantas de usuario se realicen.

· Mantiene una lista actualizada de esta información y las replica por el resto de controladores de dominio del mismo bosque.

2.5 Transferencia de funciones del maestro de operaciones.

Los motivos para realizar este tipo de cambios son para optimizar el rendimiento del controlador de dominio o para sustituir un controlador de dominio por otro.

· Para transferir el esquema se utilizará el complemento de Esquema de Active Directory

· Para transferir el maestro de nombres de dominio se usará la consola de Herramietas administrativas Confianzas y dominios de Active Directory

· Para transferir el maestro RID, el emulador PDC y Maestro de Infraestructuras se utiliza la consola de Herramientas administrativas Usuarios y Equipos de Active Directory.

En caso de que el servidor que desempeña estas funciones falle, no se puede transferir, si embargo, se pueden asumir.

Asumir las funciones no es la mejor opción y no se debe hacer a menos que sea indispensable o si el controlador de dominio que desempeñaba esa función no va a estar disponible por mucho tiempo, cuando lleguemos a la parte de recuperación ante desastres lo veremos,

2.6 El Esquema

El esquema define cada tipo de objeto que puede almacenar Active Directory, antes de crear un objeto debe estar definido en el esquema.

Es como la estructura de una tabla de una base de datos, antes de añadir un registro o nueva información, primero han de estar definidos sus campos (nombre, apellidos, teléfono, dirección, etc) y el tipo de los mismos (texto, numérico, decimal, etc..)

En el esquema existen objetos de clase y objetos de atributo, el objeto clase define qué nuevos objetos se pueden crear, por ejemplo el objeto de clase user define los usuarios, y el objeto de atributo don los valores que se han definido para esa clase.

Para ver el esquema, sus objetos, modificarlo, etc.. se puede usar el complemento de esquema de Active Directory u otras herramientas del tipo LDIFDE, ADSI o aplicaciones en Visual Basic u otros lenguajes de programación.

Si deseamos utilizar el complemento de esquema de Active Directory, primero hay que registrarlo:

Código: Seleccionar todo
Inicio-Ejecutar-Regsvr32 Schmmgmt.dll


Hay que ser miembro del grupo global de administradores de esquema para poder realizar cambios.

Agregar un nuevo atributo al esquema no significa que este atributo sea accesible automáticamente desde cualquiera de las herramientas administrativas, para ello hay que modificarla o crearse una nueva y esto nos llevará a la plataforma de servicios de directorios SDK, esto se escapa de este texto, si bien, intentemos mostrar algún ejemplo sencillo.

Si bien extender o modificar el esquema es una operación sencilla, se debe pensar con meticulosidad, una vez modificado el esquema o uno de sus atributos, esta operación no es reversible.

Los objetos del esquema no se pueden eliminar, en su lugar hay que desactivarlos y crear otro nuevo, no obstante, podemos usar un nombre de atributo desactivado para crear el nuevo.

Los objetos y atributos de clase de Categoría 1 no se pueden desactivar, esto es, el esquema base es intocable, sólo podremos desactivar los objetos y atributos de Categaría 2, es decir, los que nosotros mismos hayamos creado.

Una vez desactivado, es como si no existiese, realmente la única operación que se puede hacer sobre un objeto desactivado es volver a activarlo.

================

Hasta aquí la primera parte "teórica" del taller... en breve os pondré un link para que os podáis descargar el pdf... maquetado y esas cosas....

Pero antes de terminar un último post... con "sorpresas"
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Taller de Active Directory ;)

Notapor Vic_Thor » Mar Mar 21, 2006 12:14 am

PRACTICAS

En este Taller tenemos alguna que otra sorpresa... vamos a poner en práctica una “novedad” en lo que se refiere a este tipo de documentación: VÍDEOS!!!!

Siempre que sea posible y si la ocasión lo requiere, utilizaremos vídeos para resolver las prácticas, de momento esto será como un “experimento” a ver cómo sale la cosa... desgraciadamente me tuve que inclinar por el codificador de Windows Media debido a que los codecs DivX, YuV, Avi, o bien eran demasiado pesados en tamaño o entregaban poca calidad..

Así que... lo siento, pero bueno, el Taller es de Active Directory... y eso es Windows, no os quedará otro remedio que usar Windows Media.

Por cierto, el capturador/grabador de escritorios que suelo usar es el River Past Screen Pro, si alguno conoce otro y/o algún codec que grabe en formato avi o divX con suficiente calidad y que los archivos resultantes no sean excesivamente grandes, ya sabe, no hay más que decidlo...

Estos vídeos ilustrarán algunas de las “cositas” que hemos aprendido, espero que os gusten... ahhh!!! y para que se puedan seguir... hay que tener instalado al menos un controlador de dominio con Active Directory... pero eso vendrá en el próximo post....

1.- Instalar Herramientas de Soporte

Instalaremos las herramientas de soporte que vienen incluidas en el CD de Windows Server 2003 dentro del directorio Support/tools del CD de instalación... en vídeo, por supuesto ;)

El primer vídeo se llama soporte01.wmv y consiste en la instalación, como casi en todas las aplicaciones de Windows sólo hay que seguir el asistente de instalación

Ver vídeo: http://www.wadalbertia.org/docs/AD/videos/soporte01.wmv

El segundo vídeo explica dónde y cómo encontrar esas herramientas de soporte

Ver vídeo: www.wadalbertia.org/docs/AD/videos/soporte02.wmv

2.- Ver objetos del esquema con asdiedit.msc y el formato X.500

Pues eso... tal como se estudió al principio veremos “en vivo” cómo es eso de la notación X.500 y las cadenas X.500 a través de la utilidad asdiedit.msc

Ver vídeo: www.wadalbertia.org/docs/AD/videos/asdsiedit1.wmv

3.- Usar ldp.exe para ver la notación y sintaxis de LDAP

Pues como antes... un ejemplito del protocolo LDAP

Ver vídeo: www.wadalbertia.org/docs/AD/videos/ldap01.wmv

4.- Crear una unidad organizativa y un usuario mediante la consola correspondiente.

Usando la herramienta de usuarios y grupos de Active Directory crearemos la unidad organizativa Doctores y añadiremos a la misma al usuario Doctor Wadalberto.

Ver vídeo: www.wadalbertia.org/docs/AD/videos/usuario01.wmv

5.- Agregar el complemento de esquema para su administración

Ya hemos dicho en el documento anterior que la utilidad de esquema hay que registrarla para que nos aparezca y podamos usarla, éste vídeo os enseñará cómo se registra la DLL necesaria para que nos aparezca la consola de administración del Esquema de Active Directory. Después en el vídeo número 6, usaremos el complemento de esquema.

Ver vídeo: www.wadalbertia.org/docs/AD/videos/esquema01.wmv

6.- Crear una consola personalizada para administrar el servidor.

Bien, en esta ocasión nos crearemos una consola administrativa con las herramientas necesarias para la administración básica de Active Directory, esto tiene la ventaja de que podremos encontrar lo que vayamos necesitando para administrar Active Directory en una sola herramienta en lugar de irlas buscando por inicio-programas-etc...

A esta consola la llamaremos admin..Wadalbertia.mmc y la guardaremos en el escritorio para tenerla siempre “a mano”... en los siguientes vídeos la usaremos SIEMPRE!!!!

Ver Vídeo: www.wadalbertia.org/docs/AD/videos/mmc01.wmv

7.- Elevar el Nivel funcional de Bosque y Dominio

Utilizando la consola personalizada que nos creamos en el vídeo anterior, elevaremos el nivel de bosque y dominio a Windows 2003.

Verás que en la primera parte del vídeo NO SE PUEDE elevar a nivel de bosque sin antes haber elevado el nivel de dominio.

Ver vídeo: www.wadalbertia.org/docs/AD/videos/niveles01.wmv

8.- El almacén de Datos

Como estudiamos antes, en el nivel físico de Active Directory residen varios archivos (ntds.dit) y varias carpetas (sysvol) en estos dos vídeos las encontrarás:

Ver Vídeo: www.wadalbertia.org/docs/AD/videos/almacen01.wmv

Ver vídeo: www.wadalbertia.org/docs/AD/videos/almacen02.wmv

9.- Transferencia de maestros de operaciones

El primer vídeo muestra como transferir las funciones de maestro de operaciones de dominio, el maestro RID, el maestro de infraestructura y el maestro de nombres de dominio.

El segundo vídeo muestra como transferir el maestro de esquema.

En ninguno de los dos vídeo se lleva a cabo dicha transferencia de funciones puesto que en este primer contacto con Active Directory sólo existe un controlador de dominio en el dominio, por tanto no se puede transferir a otro... no la hay de momento...

Ver vídeo: www.wadalbertia.org/docs/AD/videos/maestros01.wmv

Ver Vídeo: www.wadalbertia.org/docs/AD/videos/maestros02.wmv

10.- Cambio de pertenencia a grupos universales.

Recuerda la característica especial de Windows Server 2003 y la búsqueda de servidores de catálogo global (por cierto, en ninguno de estos vídeos podemos transferir el catálogo global porque no hay mas que un bosque y un dominio en ese bosque), este vídeo te enseña cómo activar esta función para que los usuarios de sitios remotos no tengan que estar directamente conectados a servidores de catálogo global.

Ver vídeo: www.wadalbertia.org/docs/AD/videos/gruposuniv01.wmv

===============

Por el momento... ya está bien...

Hasta la próxima ;)
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Taller de Active Directory -- Parte II --

Notapor Vic_Thor » Lun Abr 17, 2006 12:54 am

Estructura Lógica de Active Directory

Una vez que hayamos instalado Active Directory y comencemos a implementar el diseño adecuado estaremos trabajando con lo que se denomina Estructura Lógica.

La Estructura lógica es un modelo de servicios de directorio que define cada principio de seguridad, la organización de la empresa, los principales de seguridad, etc,

La base de datos de Active Directory contiene los siguientes objetos:
    Particiones
    Dominios
    Árboles de dominio
    Bosques
    Confianzas
    Sitios
    Unidades Organizativas
Particiones de Active Directory

Ya dijimos en el anterior post que Active Directory se almacena en un archivo por cada Controlador de Dominio. Este archivo o base de datos, se divide en varias particiones y por cada una de ellas se almacenan distintos tipos de información.

Podrás encontrar textos y otra información que a estas particiones les llaman contextos de nombres (NC, naming Context) y son visibles mediante herramientas del tipo ldp.exe, ASDI Edit, etc. Tal y como vimos en los vídeos anteriores.

www.wadalbertia.org/docs/AD/videos/asdsiedit1.wmv

www.wadalbertia.org/docs/AD/videos/ldap01.wmv

Distinguiremos cinco tipos de particiones, que son:

Partición del directorio de dominio
    * Es la partición en la que se realizan la mayoría de las operaciones

    * Contiene toda la información sobre el dominio, grupos, usuarios, equipos
    La Herramienta “Usuarios y Equipos de Active Directory” está almacenada en esta partición

    * Se replica automáticamente en TODOS los controladores de dominio del dominio

    * Contiene la información necesaria para autenticar a los usuarios.
Partición del Directorio de Configuración
    * Contiene información sobre la configuración de todo el Bosque.

    * Toda la información sobre los sitios, vínculos a sitios y las conexiones de replicación.

    * Aplicaciones, como Exchange Server o ISA Server, almacenan toda su información de configuración en esta partición.

    * Se replica por todo el bosque y cada Controlador de Dominio del mismo bosque contiene una copia de la misma en la que puede escribir, esto es, se puede modificar esta partición en cualquier Controlador de Dominio y luego se replicará al resto de ellos.
Partición del directorio de esquema
    * Contiene el esquema para todo el Bosque

    * Se replica en todos los controladores de dominio del bosque pero sólo uno de ellos tiene una copia de esta partición en la que puede escribir, este es el Maestro de esquema.

    * Todas las modificaciones de esta partición hay que hacerlas en el maestro de esquema.
Partición de Catálogo global
    * Es una partición de sólo lectura en todos los controladores que sean de catálogo global, es decir, los administradores no podemos introducir o modificar directamente cualquier dato en esta partición.

    * La replicación de esta partición depende de los valores de los atributos del esquema.

    Cada atributo del esquema tiene un valor lógico llamado isMemeberOfPartialAttributeSet que si está en true se replica en el Catálogo Global y en caso contrario no lo hace.
Partición del Directorio de Aplicaciones
    * Pueden almacenar cualquier tipo de objeto de Active Directory excepto los principales de seguridad.

    * Ninguno de los objetos creados en esta partición se replica en el catálogo global.

    * Esta partición la usan las aplicaciones que instalamos integradas en Active Directory durante el proceso de instalación o mediante la herramienta Ntdsutil.exe

    * De forma predeterminada la única aplicación que se instala en esta partición es el Servidor del sistema de Nombres de Dominio, o sea, el DNS siempre y cuando integremos las zonas DNS en Active Directory, se crean dos particiones:

      - ForestDNSZones para las zonas del bosque

      - DomainDNSZones para las zonas del dominio
    Se puede crear en cualquier partición directorio del dominio o incluso en un árbol diferente del bosque, por tanto hay que asignar los permisos adecuados para usuarios y grupos que queramos que accedan a la partición del directorio de aplicaciones.
Bien, hemos hablado de Dominios, bosques, árboles, etc... pero todavía no sabemos exactamente qué es eso y su relevancia... vamos a ello:

Dominios

Es la unidad más básica en el modelo de Active Directory, al instalar Active Directory en el primer equipo, se crea un dominio.

Un dominio sirve como límite administrativo y dispone de ciertas directivas de seguridad que se aplicarán a los equipos y usuarios que pertenezcan a ese dominio.

Por cada dominio existe al menos un Controlador de Dominio, lo ideal es disponer de un mínimo de dos por aquello de que si falla el controlador tengamos otro “de repuesto”, pero no es obligatorio.

Se organizan de manera jerárquica de tal modo que el primer Controlador de Dominio de la empresa se le llama dominio raíz del bosque, también podéis encontrar por ahí que se llama Dominio raíz o dominio del bosque... cuestión de léxico y terminología....

Este dominio raíz puede ser dedicado o no dedicado:
    * Una raíz dedicada (también llamada raíz vacía) no contiene cuentas de usuario o grupos activos y no se utilizará para acceder a los recursos. Las cuentas existentes en un dominio raíz son las predeterminadas, como por ejemplo la cuenta del Administrador y el grupo global de Administradores del Dominio

    * Una raíz no dedicada es un dominio en el que se crean cuentas de usuario y grupos reales que se asemejan a las funciones de los usuarios de una empresa u organización.
Decidir si implementamos un diseño de raíz dedicada o no dedicada es una de las tareas que tenemos que responder cuando lleguemos a la fase del Diseño e implementación de Estructuras de Active Directory... vamos, que hoy “no toca”.

Una vez que ya tenemos nuestro primer Dominio (vamos a olvidarnos por el momento de si es dedicado o no dedicado) el resto de dominios serán:
    * Principales del dominio Raíz

    * Secundarios
Lo más normal es que los siguientes dominios sean secundarios o subdominios, por ejemplo, si tenemos un dominio creado que se llama wadalbertia.org, un subdominio estaría un nivel por debajo del mismo y podría tener un nombre del tipo:tierras.wadalbertia.org

Incluso pueden existir subdominios de subdominios, por ejemplo:

Código: Seleccionar todo
verdes.tierras.wadalbertia.org
foro.tierras.wadalbertia.org


Y podemos seguir “anidando” dominios, subdominios, etc..

Código: Seleccionar todo
pastos.verdes.tierras.wadalbertia.org
locos.foro.tierras.wadalbertia.org


De ese modo, por ejemplo, el dominio secundario locos.foro.tierras.wadalbertia.org se utilizaría para administrar los principales de seguridad de los habitantes locos que están en el foro de las tierras de wadalbertia, mientras que el dominio pastos.verdes.tierras.wadalbertia.org se usaría para aquellos que poblasen los pastizales verdes de las tierras de wadalbertia, que pueden ser personajes diferentes y con su “singularidad” con respecto a los locos :p

Con unas figuritas se entenderá mejor:

Modelo de Dominio Principal

Dominios principales que se encuentran en el mismo nivel jerárquico que el dominio raíz:

Imagen

Modelo de Dominios Secundarios:

Dominios que comparten el mismo espacio de nombres de Active Directory que el dominio raíz.

Imagen

Árboles de Dominio

Un árbol de dominio existe cuando se crean dominios secundarios al dominio raíz del bosque pero no se desea utilizar el mismo espacio de nombres.

Mejor en un diagrama:

Imagen

Con independencia de si se usan varios espacios de nombres o sólo uno, los dominios adicionales del bosque funcionan igual, la creación de árboles de dominio es una decisión organizativa y de nombres, no es una decisión que afecta a la funcionalidad. Es un caso típico de cuando una empresa se fusiona con otra, en el ejemplo, bien podría ilustrar que wadalbertia adquiere a “La Casera” y desea mantener la misma estructura que ya tiene ésta última, al menos durante un periodo de transformación o para siempre.

Utilizar varios árboles de dominio tiene efectos sobre la configuración DNS... que eso también “tocará” más adelante.

Bosques

El Bosque es el último límite de seguridad para toda la empresa, todos los dominios, árboles de dominio y dominios secundarios existen dentro de uno o más bosques de Active Directory.

Podemos definir un bosque mediante los recursos que comparten todos los controladores de dominio del mismo bosque, esos recursos compartidos son:
    * Un esquema común: Todos los Controladores del bosque tienen el mismo esquema, la única forma de disponer de esquemas diferentes es “plantando” varios bosques... (hay quien planta árboles, nosotros en Wadalbertia, plantamos bosques enteros :p )

    * Una partición de directorio común: Todos los Controladores de dominio del mismo bosque tienen el mismo contenedor de configuración.

    * Catálogo Global común: Esto facilita que un usuario cualquiera pueda conectar con cualquier Controlador de Dominio del bosque usando sus credenciales y su UPN.

    * Conjunto común de administradores del bosque: Esto corresponde a dos grupos que se crean y son:
      - Administradores de esquema: único grupo que puede modificar el esquema

      - Administradores de Organización: que son los únicos con derechos a realizar acciones a nivel de bosque, por ejemplo a crear nuevos dominios, subdominios, etc... Este grupo acoge a cada grupo de administradores local en los controladores de dominio de cada dominio, es decir, los administradores del dominio pertenecen al grupo de administradores de organización.

      - Configuración de Confianza Compartida: Todos los dominios del bosque se configuran automáticamente para que los demás dominios del bosque sean de confianza.
La cosa se va complicando... ahora resulta que nos aparecieron dos términos nuevos y MUY IMPORTANTES... la replicación y las confianzas.

Antes de nada, hablemos de ello

Relaciones de Confianza

Una relación de confianza es un vínculo entre dos dominios en la que el dominio que confía lleva a acabo la autenticación de inicio de sesión del dominio de confianza.

Bien, ahora en Cristiano.... De forma predeterminada el dominio es el límite del acceso a los recursos de una empresa, con los suficientes permisos, cualquier cuenta de usuario o grupo, pueden tener acceso a los recursos compartidos dentro del mismo dominio.

Para que los principales de seguridad (usuarios y grupos) tengan acceso a los recursos compartidos de otros dominios se utilizan las relaciones de confianza.

Las confianzas tienen estas características:
    * Transitividad: Por la que si A confía en B y B en C, el resultante es que A confía en C.

    * Dirección: Las confianzas pueden ser bidireccionales o unidireccionales

    * Método de Creación: Manuales (lo que llama Microsoft: forma explícita) o automáticas, que lo llaman forma implícita, pero no todas las relaciones de confianza se pueden crear de ambas maneras.
Active Directory es compatible con:
    * Confianzas de raíz de árbol: Se establecen implícitamente (de forma automática) al agregar un nuevo dominio en un árbol del mismo bosque, es transitiva y bidireccional. Sólo se pueden crear entre raíces del mismo bosque.

    * Confianza Principal-Secundario: Implícita, transitiva y bidireccional. Se crea cuando se agrega un dominio secundario en un árbol.

    * Confianza de acceso directo: Es explícita, es decir, la debe crear el administrador. Se usa entre dominios de un mismo bosque para mejorar los procesos y tiempos de autenticación. Es transitiva pero puede ser unidireccional o bidireccional.

    * Confianza Externa: Es explícita entre los dominios de Windows Server 2003 que están en diferentes bosques o entre dominios Windows Server 2003 y Windows NT. Se suele usar cuando los usuarios precisan acceder a recursos ubicados en Servidores NT, es una confianza no transitiva y puede ser bidireccional o unidireccional.

    * Confianza en Bosque: Es explícita entre dos dominios raíces de bosques diferentes. Permite que todos los controladores de dominio de un bosque confíen de forma transitiva en todos los dominios del otro bosque, pero no es transitiva entre tres o más bosques diferentes. Puede ser unidireccional o bidireccional y sólo está disponible en Windows Server 2003.

    * Confianza en Territorio: Es explícita y se establece en un “territorio” Kerberos que no sea Windows, es decir, para la integración de redes entre diferentes sistemas operativos, puede ser transitiva, no transitiva, bidireccional o unidireccional.
Como ya estarás intuyendo, las relaciones de Confianza se administran desde la consola Dominios y Confianzas de Active Directory, por el momento nos conformamos con la teoría puesto que para llevar al límite este tipo de prácticas, precisaremos de varios dominios e incluso de varios bosques... y es que todavía ni hemos llegado a instalar Active Directory ....

La Replicación

Este método asegura que los cambios realizados en un Controlador de Dominio se reflejen en el resto de Controladores de dominio.

Un Controlador de Dominio almacena y replica:

· Los datos de la partición de esquema para el bosque
· Los datos de la partición de configuración para todos los dominios del bosque
· Los datos de la partición de dominio para su propio dominio
· Un réplica parcial del Catálogo Global

Un Servidor de Catálogo global, almacena y replica:

· Los datos de la partición de esquema para un bosque
· Los datos de la partición de configuración para todos los dominios del bosque
· Una réplica parcial de los atributos y objetos usados con frecuencia entre los distintos servidores de Catálogo global del bosque
· Una réplica completa del Catálogo Global dentro del dominio en el que está alojado dicho servidor de catálogo Global.

También existen Replicaciones dentro del sitio y replicaciones entre sitios... pero antes, vamos a ver qué es eso de los Sitios.

Sitios de Active Directory.

Hasta ahora, en esta segunda entrega, los componentes lógicos de Active Directory son completamente independientes de la infraestructura física de la red, es decir, hablamos de dominios, cuentas de usuario, etc... pero asumimos que todos esos dominios están situados en la misma sede, en el mismo edificio, en las mismas oficinas... pero ¿qué pasaría si mi empresa tuviese delegaciones por todo el mundo? O sencillamente, un único dominio de un solo árbol y un único bosque pero con usuarios en diferentes puntos geográficos de mi país?

Pues que aunque la estructura lógica sea la de un único dominio, de un árbol y un bosque, deberemos implantar varios sitios... tenemos varias sedes, varios lugares... y eso en esencia es un Sitio, es un lugar físico, y como consecuencia del mismo, probablemente diferentes rangos de red, diferentes subredes conectadas mediante líneas WAN, dedicadas, no dedicadas, bajo demanda o como sean, una adsl, una Frame relay, conexiones telefónicas, etc...

Los sitios proporcionan una conectividad física a los componentes lógicos de Active Directory.

Un sitio podemos definirlo como un lugar o un área de la red donde TODOS los controladores de dominio se conectan mediante conexiones rápidas, una LAN, en la que estaciones de trabajo y controladores de dominio comparten un mismo espacio de direcciones IP’s, que pueden contener a su vez, otras subredes, pero que en definitiva están conectados directamente entre sí mediante dispositivos como Switches, Hubs, etc...

No siempre es así, puesto que diferentes lugares físicos pueden formar un mismo sitio si la conexión de red lo permite, vamos que las sedes de Madrid y Paris pueden ser un mismo sitio si disponemos de un elevado ancho de banda entre ellas, pero lo normal sería que tanto Madrid como Paris fuesen sitios diferentes.

El principal motivo para crear sitios es que seamos capaces de administrar el tráfico de la red que deben usar conexiones lentas.

Por definición, un vínculo lento es el que está por debajo de los 128 kbps, aunque hay quien afirma que los vículos rápidos son aquellos que están por encima de los 512kbps

Pero una cosa importante... disponer de un ancho de banda mayor no quiere decir que el vínculo no pueda ser considerado como lento o rápido, puesto que en esto de las comunicaciones, también influye el ancho de banda real disponible o tasa de transferencia, la estabilidad del enlace, la fiabilidad, la congestión en horas punta, vamos, que depende de cómo se mire un ancho de banda disponible de 4mbps hasta podría ser un vínculo lento si está saturado durante la mayor parte del tiempo o si sufre repetidas caídas...

Los sitios se usan para controlar el tráfico dentro de la red de tres formas:
    * Replicación: Que afecta a los controladores de dominio y servidores de catálogo global. Dentro de un sitio cualquier cambio que se realice se replicará en unos cinco minutos. El programa de replicación entre sitios se puede configurar para que dichas replicaciones se hagan en horarios fuera de las horas de trabajo. Además este tráfico se comprime mientras que la replicación dentro de un mismo sitio no viaja comprimida.

    * Autenticación: Cuando un usuario inicia la sesión, el equipo del cliente intenta conectarse al Controlador de Dominio dentro del mismo sitio en el que reside el cliente., consultará a su/sus Servidores DNS. Si el dominio opera a nivel funcional de Windows 2003 Server o Windows 2000 nativo, además intentará conectar con un servidor de catálogo global. Si el servidor de catálogo global no reside en ese sitio, precisará de usar la conexión WAN y crecerá el tráfico.

    Esto ya lo hablamos en aquello de “El almacenamiento en caché de pertenencia a Grupos Universales”, lo mejor es disponer de un Servidor de Catálogo Global dentro del mismo sitio, pero si no puede ser, es interesante habilitar esta opción para ahorrar ancho de banda en conexiones lentas y para que los usuarios inicien sesión mucho más rápidamente.

    * Servicios de Red preparados para el sitio: Esto es, limitar el uso de conexiones del cliente a aplicaciones preparados para el sitio. Por ejemplo una estructura DFS (Sistema de Archivos Distribuido) puede crear réplicas de carpetas entre los diferentes sitios, de ese modo, los clientes siempre accederán a la réplica almacenada dentro de su sitio en lugar de recurrir a las conexiones WAN.
Cada equipo de una red Windows Server 2003 se asignará a un sitio, cuando instalamos Active Directory, se crea un sitio predeterminado que se llama Nombre-Predeterminado-Primer-Sitio y todos los equipos del bosque se asignará a este sitio, salvo que se creen sitios adicionales, claro...

Cuando se crean sitios, éstos se vinculan a subredes IP, así cuando se promociona un nuevo Controlador de Dominio, según la IP que se le ponga, se asignará a un sitio o a otro, igual ocurre cuando equipos clientes se conectan por primera vez... como no saben a qué dominio pertenecen, cualquier Controlador de Dominio les autentica y luego les informa del sitio a que pertenecen.

Si un cliente o Controlador de Dominio dispone de una dirección IP que no está vinculada a ningún sitio, se le lleva al Sitio predeterminado, al Nombre-Predeterminado-Primer-Sitio.

Entender los sitios “a la primera” no os creáis que es sencillo, aunque parezca simple, la gente sigue confundiendo un dominio con un sitio, una zona DNS con un dominio, etc... pensad en esto:

Un sitio puede contener más de un dominio y un dominio puede atravesar varios sitios, es más, un sitio puede contener muchos dominios y esos dominios o alguno de ellos distribuirse en varios sitios... o de otra forma... un único sitio puede incluir a usuarios y equipos de dominios diferentes... pensad, pensad....

Como ya os imagináis, los Sitios se manejan desde la consola se Sitios y Servicios de Active Directory y desde ella podremos mover servidores de un sitio a otro, designar los rangos IP, etc..

Replicación dentro de un sitio

La replicación dentro del mismo sitio lo proporciona el comprobador de coherencia de réplica (el KCC) que está integrado en TODOS los controladores de Dominio en una estructura lógica de anillo.

El KCC determina qué servidores son los más adecuados para replicarse entre sí y qué servidores son asociados, tomando como parámetros de esta decisión, la conectividad, la velocidad del enlace y el historial de replicaciones correctas.

El KCC analiza la topología de la red cada 15 minutos y si se añaden nuevos controladores de dominio se vuelve a recalcular y configurar la topología.

Si se añaden más de siete (7) controladores de dominio dentro del mismo sitio, el KCC crea objetos adicionales para asegurarse que entre u Controlador de Dominio y otro no hay más de tres (3) saltos, esas “extensiones” se crean de forma aleatoria y no se crean necesariamente en cada Controlador de Dominio.

Replicación entre sitios

Para asegurar la correcta replicación entre sitios, se deben crear vínculos manuales de conexión.

Por cada sitio, el KCC, genera todas las conexiones y se puede proporcionar la información relativa al transporte, las horas de replicación y la frecuencia de actualización.

Instalación y Configuración de Active Directory

Vamos a terminar esta segunda entrega con la instalación de Active Directory usando dcpromo.exe desde la línea de comandos o desde la ventana Inicio-ejecutar-dcpromo.

Haremos una instalación sencilla, sin planear “en serio” la estructura lógica de la red, sólo nos dejaremos guiar por el asistente de instalación y comentaremos aquellos aspectos que merezcan alguna explicación o detalle.

Lo primero ejecutar dcpromo (inicio-ejecutar y escribimos dcpromo.exe)

Imagen

Pulsamos en aceptar.

Imagen

Como es lógico... Siguiente....

Imagen

Nada... leemos esa pantallita que nos dice que Windows 95 y NT con versiones anteriores a SVP4 no podrán unirse al dominio.

Imagen

Aquí nuestra primera duda, que para el caso no es tal porque como es el primer Controlador de Dominio de un nuevo bosque no tenemos que pensar mucho.

Sólo si ya existiese un Controlador de Dominio raíz deberíamos pensar en usar la segunda opción, así dispondríamos de tolerancia a fallos en caso de que el servidor principal no funcionase, no es el caso, pero si lo fuese es imprescindible que además de ese Controlador de Dominio dispongamos de un servidor DNS funcionando y configurado correctamente o tendremos problemas en la instalación... Seleccionamos la primera opción y Siguiente....

Imagen

Si aprendiste bien las explicaciones anteriores no te resultará difícil comprender las tres opciones que nos muestra la pantalla anterior.

En nuestro caso particular ha de ser la primera la opción elegida, las otras dos las podríamos usar para crear subdominios o un árbol independiente del mismo bosque con un espacio de nombres diferente.... repasa los modelos de dominios que expliqué con anterioridad.

Seleccionamos la primera opción y pulsamos en Siguiente, aparecerá la pantalla que se muestra a continuación.

En ella debemos elegir el nombre de dominio, esta es una de las cuestiones fundamentales que hay que plantearse a la hora de implementar Active Directory.

Un nombre de dominio es un nombre asignado a un conjunto de equipos de red que comparten un directorio común, Active Directory utiliza DNS como servicio de ubicación, los nombres de Active Directory son nombres DNS y así los clientes del Dominio cuando inician la sesión consultan al servidor DNS para que les proporcione la dirección IP de sus controladores.

Aunque con Windows Server 2003 es relativamente sencillo cambiar el nombre de/los Controladores de Dominio, cambiar el nombre de dominio no lo es tanto... por ello hay que pensar que ese nombre de dominio será “para toda la vida”, luego ya veremos qué se puede hacer si mi empresa pasa a llamarse gaseosasunidas.com cuando antes se llamaba lacasera.es.

Imagen

Como consejos varios acerca de los nombres de dominio, recuerda lo siguiente:
    * Usar letras de la A-Z ó a-z, números 0 al 9 y el signo menos (-)

    * Diferenciar entre los nombres internos y nombres externos, de ese modo los clientes de Internet no accederán a recursos internos por error de diseño y además los clientes de la red interna pueden diferenciar claramente lo que está “dentro” y lo que está “fuera”

    * No usar el mismo nombre de dominio dos veces, hombre... no en el mismo Dominio... imagina este caso... tenemos un dominio registrado en Internet llamado wadalbertia.org, si a uno de nuestros controladores de dominio internos le proporcionamos ese nombre, el dominio que responde primero es al que está conectado directamente el cliente... vamos que no accederemos a ese dominio de Internet desde las máquinas cliente a menos que de verdad estemos conectados a él.

    * Si optamos por el uso de nombres registrados en internet, usar nombres registrados de segundo nivel, de ese modo no es necesario registrar los subdominios.

    * Usar nombres cortos, descriptivos, no ofensivos ni despectivos...

    * Usar nombres estáticos, es decir, si la central de mi empresa está en Madrid, mejor llamar a ese dominio central.wadalbertia.org que llamarlo Madrid.wadalbertia.org, de ese modo si un día nos mudamos a otra ciudad/provincia, el nombre no tiene por qué cambiar.
Una vez proporcionado el nombre, pulsamos en siguiente.

Imagen

En la pantalla superior, nos pide que le demos el nombre NetBIOS que usará el Controlador de Dominio, es el nombre del equipo, recomendable letras-números-y el signo menos. El resto de caracteres no es aceptable y aunque “se lo trague”, mejor no tentar a la suerte con nombres psicodélicos.

Los nombres NetBios no deben exceder de 16 caracteres, aunque por “misteriosas” razones se recomienda usar como máximo 14. En fin, que le proporcionamos el nombre que nos solicita y pulsamos en Siguiente.

En esta pantalla tenemos que elegir la ubicación de la Base de Datos y archivos de registro.

Esto pertenece a la estructura física de Active Directory explicado en la primera entrega, recordemos que la base de datos de Active Directory se almacena físicamente en el archivo ntds.dit y contiene lógicamente el Catálogo Global, el Esquema y los objetos almacenados en el Controlador de Dominio

Como muestra la pantalla, la ubicación predeterminada es %systemroot%\NTDS y hay que cumplir los siguientes requisitos:
    * Reservar 1GB como mínimo para almacenar Active Directory, aunque con disponer de 200MB libres ya se puede instalar, mejor disponer de espacio suficiente.

    * Reservar al menos 50MB para ubicar el registro de Windows.
Imagen

Pulsamos siguiente... y nos tocará decidir dónde se alojará físicamente la carpeta compartida de volumen.

Active Directory crea una carpeta compartida Sysvol en todos los controladores de dominio, esta carpeta tiene las siguientes características:
    * Almacena archivos públicos, scripts y secuencias de comandos, parte de las directivas de grupo (GPO)

    * Toda esta información se replica a otros controladores de dominio

    * El periodo de replicación es de cinco minutos, pero cuando se crea por primera vez, el periodo de replicación es de 10 minutos.

Imagen

Pulsamos Siguiente....

Imagen

Aunque la pantalla anterior parece un error, tiene sentido... como ya dijimos Active Directory precisa de los servicios y servidores DNS, como es el primer Controlador de Dominio y no tenemos servidores DNS, es normal que falle la consulta a los mismos.

De las tres opciones, lo normal en las primeras instalaciones es elegir la segunda, puesto que se instalará Active Directory junto con DNS.

Si disponemos de un servidor DNS, podemos ponerlo en línea y usar la primera opción, o bien, dejarlo como está y solucionar el problema (configurar el DNS) más adelante, que sería la tercera opción.

Podemos usar otros servidores DNS que no sean Windows 2003, pero no dispondremos de todos los recursos.

En nuestro caso, seleccionamos la segunda opción y siguiente...

Imagen

Esta pantalla tiene mucho que ver con lo explicado en la sección de niveles funcionales que se detalló en la entrega anterior.

En resumen, si hay controladores de dominio NT, hay que seleccionar la primera opción, en caso contrario, mejor la segunda y siguiente....

Nos pide una contraseña del modo de restauración... bueno, esto no lo habíamos visto, y tocará cuando llegue la parte de recuperación ante desastres, por el momento, pon una contraseña cualquiera, que no sea la misma que la que se use para la operativa normal, la anotas y que no se te olvide.

Imagen

Siguiente....

A partir de aquí, no hay más que pulsar el consabido botoncito de Siguiente, esperar, Aceptar, Finalizar, Reiniciar....

Imagen

Imagen

Imagen

Imagen

Imagen

Imagen

Tras el reinicio tendrás instalado Active Directory en tu sistema, ahora podrás empezar a “trastear” con lo visto en estas dos primeras entregas.

Instala las herramientas de soporte como vimos en los temas anteriores, echa un vistazo a la consolas:

· DNS
· Usuarios y Equipos de Active Directory
· Dominios y Confianzas de Active Directory
· Sitios y Servicios de Active Directory
· Registra el componente de esquema Schmmgmt.dll
· Crea las consolas mmc personalizadas
· .....
· .....

Postea las dudas, los errores, en fin todo aquello que te ocurra y que se te ocurra.

Puedes comprobar si la todo fue bien... para ello te sugiero las siguientes prácticas...
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Taller de Active Directory -- Parte II -- Prácticas

Notapor Vic_Thor » Lun Abr 17, 2006 12:55 am

PRÁCTICAS

Como ya se hizo en la otra ocasión, vamos a recurrir a los “espectaculares” :p vídeos... es más cómodo, que capturar pantallitas y creo que mejor para todos.

Comprobación de DNS

Este vídeo probará la existencia de los registros de recursos (RR) en el servidor DNS y los punteros ldap.

La secuencia de comandos (por si no se ve claramente en el vídeo) es:

Código: Seleccionar todo
Inicio-Ejecutar-cmd
nslookup
Server 192.168.1.233 (o la dirección IP de tu servidor)
Set qtype=srv
Wadalbertia1.local (o el nombre DNS que asignaste en la instalación)


Ver_Vídeo

La segunda comprobación de DNS consiste en examinar el archivo netlogon.dns que reside en el directorio %systemroot%\system32\config.

Ver_Vídeo

Comprobación de las direcciones ip de la/las tarjetas de red.

Este vídeo es importante mostrarlo, no ya para saber como se asigna una ip, máscara, puerta de enlace, dns, etc.. es importante en el caso de que tengas más de una tarjeta de red instalada en tu equipo.

Cuando existen varias tarjetas de red y todas ellas están dentro de la misma red/subred, Microsoft le llama host múltiple, es importante que sólo una de ellas disponga de la puerta de enlace. Repito, siempre y cuando las tarjetas de red conecten al host con una única red/subred, como es este caso.

La configuración DNS del Controlador de Dominio debe apuntar a una de las Ip’s de esa/esas tarjetas de red, no hacia servidores públicos de Internet si se trata de un dominio interno.

Si en la configuración DNS del Controlador de Dominio interno pusiéramos una IP de un servidor DNS registrado en internet (por ejemplo uno de terra, 195.235.113.3) se intentaría registrar en dicho dominio y terra (el dns de terra) nos mandará a paseo, a parte de ser del todo estúpido, es un gasto innecesario de ancho de banda.

Nuestros controladores de dominio deben registrarse en nuestros servidores DNS, en este caso, sólo tenemos una máquina que a su vez es el Controlador de Dominio... entoces ¿No podrá navegar? ¿no podremos usar nombres dns públicos? A respuesta es SI, pero hay que esperar a otro vídeo que llegará un poquito más abajo.

Por el momento, asegúrate de que tu configuración IP es similar a la que se muestra a continuación, observarás que una de las tarjetas está desconectada, eso no importa para DNS, las pruebas se efectúan igualmente.

Ver_Vídeo

Comprobación del estado del sistema mediante netdiag.exe

Si instalaste las herramientas de soporte como te dije antes, podrás efectuar esta prueba.

Es muy sencilla, simplemente se ejecuta el comando netdiag /q desde la línea de comandos. La opción /q sólo muestra un resumen y las pruebas fallidas o alertas.

Ver_Vídeo

Si quieres experimentar con otras sintaxis, prueba con:

Netdiag /debug
Netdiag /v
Netdiag /l

Comprobación y diagnóstico del Controlador de Dominio con dcdiag.exe

Parecido al anterior pero para comprobar el correcto funcionamiento del Controlador de Dominio, las particiones de aplicación (ahora verás aquello que hablamos de DomainDNSZones y ForestDNSZones), la partición de esquema, la partición de configuración, etc.

Son dos vídeos:

1º) dcdiag /s:doctor /test:connectivity

Ver_Vídeo

2º) dcdiag

Ver_Vídeo

Las herramientas de soporte técnico más importantes son:

Acldiag.exe
Adsiedit.exe
Dcdiag.exe
Dfsutil.exe
Dsacls.exe
Dsastat.exe
Lififde.exe
Lpd.exe
Movetree.exe
Netdom.exe
Nltest.exe
Ntfrsutl.exe
Repadmin.exe
Replmon.exe
Sdcheck.exe
Search.vbs
Setspn.exe
Sidwalker.exe

Las iremos viendo poco a poco....

Comprobación de Servicios DNS desde la Consola personalizada

Ahora vamos a utilizar esa consola de la entrega anterior, concretamente la que corresponde al DNS, si no la tienes creada puedes hacer lo mismo desde Inicio-Programas-Herramientas Administrativas-DNS

También son dos vídeos:

1º) Comprobación general de DNS, con las siguientes acciones:
    * Comprobación de los registros de recursos (RR) del tipo srv en ldap.

    * Asignación de interfaces y direcciones IP al servidor DNS.

    * Asignación de Reenviadores, los reenviadores son direcciones IP de otros servidores DNS a los que se les enviarán las consultas que el nuestro no puede o no sabe resolver... gracias a esto, podremos navegar y resolver nombres, nosotros y nuestros clientes, claro...

    * Pruebas y supervisión de consultas recursivas y en el propio servidor.

    * Borrar la caché del servidor dns, compactar recursos obsoletos y actualizar.

    * Reiniciar los servicios DNS

    * Utilizar el Visor de sucesos para observar lo ocurrido, errores o informes de las pruebas.

Ver_Vídeo

2º) Comprobación de la existencia de las particiones de aplicación DNS

* DomainDNSZones
* ForestDNSZones

Ver_Vídeo

No te preocupes si no entiendes del todo bien la estructura DNS, en próximas entregas nos ocuparemos de ello...

Simulación del dominio wadalbertia.local en varios sitios físicos

Crearemos tres sitios físicos:

· Wadalbertia-Madrid
· Wadalbertia-Paris
· Wadalbertia-Space

* Moveremos el Controlador de Dominio que disponemos (doctor) del sitio predeterminado al sitio Wadalbertia-Space

* Crearemos las tres subredes, una para cada sitio.

Ver_Vídeo

=== Fin de la parte II ===
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm


Volver a Faq

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron