Arquitectura del Directorio Arquitectura del Directorio Activo de WindowsActivo de Windows

Por:Por:

Isabel C. Yepes O.Isabel C. Yepes O.

20112011

¿Qué hace el Directorio ¿Qué hace el Directorio Activo?Activo?• Almacena información sobre objetos de la Almacena información sobre objetos de la

red, implementa los servicios que permiten red, implementa los servicios que permiten que dicha información esté disponible y que dicha información esté disponible y pueda ser utilizada por los usuarios, pueda ser utilizada por los usuarios, máquinas y aplicaciones. El DNS como máquinas y aplicaciones. El DNS como sistema de nombres jerárquico (integrado sistema de nombres jerárquico (integrado con el AD) y las relaciones de confianza dan con el AD) y las relaciones de confianza dan una estructura lógica y consistente que una estructura lógica y consistente que organiza los dominios y sus recursos de organiza los dominios y sus recursos de forma predecible y útil.forma predecible y útil.

Directorio Activo y la Directorio Activo y la seguridadseguridad• El directorio activo actúa como El directorio activo actúa como

intermediario entre cualquier petición de intermediario entre cualquier petición de usuario, máquina, aplicación o servicio para usuario, máquina, aplicación o servicio para permitirles o no el acceso a los recursos de permitirles o no el acceso a los recursos de la red, incluidos sistemas de archivos NTFS, la red, incluidos sistemas de archivos NTFS, aplicaciones web, el kernel, entre otros. aplicaciones web, el kernel, entre otros.

• Un controlador de dominio pierde todas sus Un controlador de dominio pierde todas sus cuentas locales y depende de que el AD DS cuentas locales y depende de que el AD DS esté arriba para permitir logon local, esté arriba para permitir logon local, exceptuando procedimientos de exceptuando procedimientos de emergencia.emergencia.

Bosques, árboles y dominiosBosques, árboles y dominios

• Un dominio puede tener Un dominio puede tener dominios hijos, formando un dominios hijos, formando un árbol.árbol.

• Varios árboles se relacionan Varios árboles se relacionan entre sí jerárquicamente entre sí jerárquicamente formando un bosqueformando un bosque

• El servicio de DNS se El servicio de DNS se encarga de mantener la encarga de mantener la estructura jerárquica de estructura jerárquica de nombres.nombres.

Flexible Single Master Flexible Single Master OperationsOperations• Funciones cruciales del Directorio Activo.Funciones cruciales del Directorio Activo.• Pueden estar distribuidas en diferentes Pueden estar distribuidas en diferentes

controladores de dominio, pues cada uno es controladores de dominio, pues cada uno es una copia completa de la base de datos del una copia completa de la base de datos del directorio (Active Directory Store), la cual directorio (Active Directory Store), la cual contiene todos los objetos existentes en un contiene todos los objetos existentes en un dominio.dominio.

• Pueden trasladarse inclusive después que un Pueden trasladarse inclusive después que un controlador que posea un rol deje físicamente controlador que posea un rol deje físicamente de funcionar.de funcionar.

• Este artículo relaciona como hacer Este artículo relaciona como hacer transferencia de los roles transferencia de los roles http://support.microsoft.com/kb/324801http://support.microsoft.com/kb/324801

Global CatalogGlobal Catalog

Queda instalado en el primer controlador de Queda instalado en el primer controlador de dominio, se requiere al menos uno por dominio, se requiere al menos uno por dominio, se recomienda que haya al menos dominio, se recomienda que haya al menos uno por sitio. No es un FSMO en sí mismo.uno por sitio. No es un FSMO en sí mismo.

• Función durante el logon: Permite logon en Función durante el logon: Permite logon en red al dar la información de membresía a red al dar la información de membresía a grupos universales. Si no hay catálogo grupos universales. Si no hay catálogo ningún usuario o máquina pueden iniciar ningún usuario o máquina pueden iniciar sesión.sesión.

• Función de consultas: Permite búsquedas Función de consultas: Permite búsquedas rápidas de objetos en bosques de varios rápidas de objetos en bosques de varios dominios.dominios.

Domain Naming MasterDomain Naming Master

Controla la adición o remoción de Controla la adición o remoción de dominios, árboles, y particiones de dominios, árboles, y particiones de aplicación, garantizando su nombre aplicación, garantizando su nombre único. Sólo debe haber uno en todo único. Sólo debe haber uno en todo el bosque.el bosque.

• En caso de su falla se afecta la En caso de su falla se afecta la adición o remoción de dominios adición o remoción de dominios

Schema MasterSchema Master

Hay uno sólo por todo el bosque, mantiene la Hay uno sólo por todo el bosque, mantiene la información de todos los atributos y clases de información de todos los atributos y clases de todos los objetos posibles del Directorio todos los objetos posibles del Directorio Activo.Activo.

• Ejemplos de clases de objetos: user, Ejemplos de clases de objetos: user, computer, computer, organizationalUnitorganizationalUnit

• Ejemplos de atributos del objeto user: Ejemplos de atributos del objeto user: userPrincipalName, sAMAccountName, userPrincipalName, sAMAccountName,

• Algunas aplicaciones como Exchange y la Algunas aplicaciones como Exchange y la integración con Call Manager de Cisco hacen integración con Call Manager de Cisco hacen extensión del esquema, por lo cual deben extensión del esquema, por lo cual deben instalarse con un usuario Schema Admin.instalarse con un usuario Schema Admin.

Infrastructure MasterInfrastructure Master

Actualiza los SID o DN de los objetos en su Actualiza los SID o DN de los objetos en su dominio a objetos en otros dominios con los dominio a objetos en otros dominios con los cuales hay relaciones de confianza, usando cuales hay relaciones de confianza, usando el GUID (Global Unique ID). Hay uno sólo el GUID (Global Unique ID). Hay uno sólo Infrastructure Master por Dominio.Infrastructure Master por Dominio.

• No debe compartirse este rol con el de No debe compartirse este rol con el de Global Catalog en el mismo servidor, a Global Catalog en el mismo servidor, a menos que se trate de un bosque de un menos que se trate de un bosque de un solo dominio o que todos los controladores solo dominio o que todos los controladores del bosque sean Global Catalog.del bosque sean Global Catalog.

Relative ID (RID) MasterRelative ID (RID) Master

Se encarga de mantener la consistencia de Se encarga de mantener la consistencia de IDs únicos de los objetos del dominio. El SID IDs únicos de los objetos del dominio. El SID (Security ID) de un objeto está compuesto por (Security ID) de un objeto está compuesto por el ID del dominio, seguido por un ID dado por el ID del dominio, seguido por un ID dado por el RID Master. Debe haber uno por cada el RID Master. Debe haber uno por cada dominio.dominio.

• Cuando no hay RID Master una vez se Cuando no hay RID Master una vez se terminen los pool de IDs asignados a los terminen los pool de IDs asignados a los controladores de dominio, no será posible controladores de dominio, no será posible crear más objetos en el dominio.crear más objetos en el dominio.

PDC EmulatorPDC Emulator

Debe haber uno sólo por todo el dominio. Para Debe haber uno sólo por todo el dominio. Para los equipos anteriores a Windows XP se hace los equipos anteriores a Windows XP se hace pasar por un controlador Windows NT, de allí su pasar por un controlador Windows NT, de allí su nombre, teniendo el rol de master browser.nombre, teniendo el rol de master browser.

• Para todo el dominio se encarga de administrar Para todo el dominio se encarga de administrar la sincronización de tiempo, la edición de la sincronización de tiempo, la edición de GPOs, la replicación de eventos de cambio de GPOs, la replicación de eventos de cambio de password y bloqueo de cuentas.password y bloqueo de cuentas.

• Su ausencia podría generar fallos en el proceso Su ausencia podría generar fallos en el proceso de autenticación por no replicación de cambios de autenticación por no replicación de cambios o desincronización de las estaciones.o desincronización de las estaciones.

Arquitectura AD Windows Server Arquitectura AD Windows Server 20082008

La siguiente diapositiva muestra la La siguiente diapositiva muestra la arquitectura de un Dominio en nivel de arquitectura de un Dominio en nivel de funcionalidad 2008. Allí podemos ubicar los funcionalidad 2008. Allí podemos ubicar los roles de los cuales hemos venido hablando.roles de los cuales hemos venido hablando.

Llamamos nivel de funcionalidad a los Llamamos nivel de funcionalidad a los sistemas operativos que un dominio soporta sistemas operativos que un dominio soporta en sus controladores de dominio, permite en en sus controladores de dominio, permite en su primera instalación compatibilidad hacia su primera instalación compatibilidad hacia atrás, pero una vez actualizado no permite atrás, pero una vez actualizado no permite revertirlo.revertirlo.

http://technet.microsoft.com/en-us/library/cc753985(WS.10).aspx

Sitios y replicaciónSitios y replicación

• Creamos sitios Creamos sitios cuando la cuando la topología de la topología de la red nos exige red nos exige segmentar segmentar

• La replicaciónLa replicación

puede ser por RPC cuando son canales LAN puede ser por RPC cuando son canales LAN o SMTP cuando se trata de canales WANo SMTP cuando se trata de canales WAN

• Cada sitio debería tener al menos un Cada sitio debería tener al menos un controlador de dominiocontrolador de dominio

Read Only Domain Controllers Read Only Domain Controllers (RODC)(RODC)

• Introducidos en Server 2008, permiten crear Introducidos en Server 2008, permiten crear controladores que sólo reciben replicación entrante, controladores que sólo reciben replicación entrante, la copia del AD que tienen es de sólo lectura y no la copia del AD que tienen es de sólo lectura y no puede ser modificada localmente. Esta puede ser modificada localmente. Esta funcionalidad es útil cuando se requiere desplegar funcionalidad es útil cuando se requiere desplegar controladores de dominio en ubicaciones de baja controladores de dominio en ubicaciones de baja seguridad en el acceso a la consola.seguridad en el acceso a la consola.

• Los RODC no almacenan por defecto las contraseñas Los RODC no almacenan por defecto las contraseñas de los domain admins y enterprise admins. Puede de los domain admins y enterprise admins. Puede configurarse para que otras cuentas no se configurarse para que otras cuentas no se almacenen localmente, por ejemplo para reducir el almacenen localmente, por ejemplo para reducir el riesgo de revelación de passwords si un RODC es riesgo de revelación de passwords si un RODC es robado. robado.

Active Directory Lightweight Active Directory Lightweight Directory Services (AD LDS)Directory Services (AD LDS)

• Previamente llamado ADAM, permite Previamente llamado ADAM, permite despliegues de directorio con una despliegues de directorio con una arquitectura similar pero más liviana.arquitectura similar pero más liviana.

• Trabaja independiente del AD DS, lo cual lo Trabaja independiente del AD DS, lo cual lo hace ideal para aplicaciones web o en DMZ, hace ideal para aplicaciones web o en DMZ, generando una estructura de seguridad generando una estructura de seguridad similar sin abrir puertos hacia el interior de similar sin abrir puertos hacia el interior de la red corporativa.la red corporativa.

• Varias instancias pueden correr en el Varias instancias pueden correr en el mismo servidor, apuntando a mismo servidor, apuntando a implementaciones de aplicaciones implementaciones de aplicaciones diferentes.diferentes.

ReferenciasReferencias

• Arquitectura del AD Windows Server 2008 Arquitectura del AD Windows Server 2008 http://technet.microsoft.com/en-us/library/cc753985(WS.10)http://technet.microsoft.com/en-us/library/cc753985(WS.10).aspx.aspx

• Arquitectura original del AD Arquitectura original del AD http://technet.microsoft.com/en-us/library/bb727030.aspxhttp://technet.microsoft.com/en-us/library/bb727030.aspx

• FSMO http://support.microsoft.com/kb/324801FSMO http://support.microsoft.com/kb/324801• Replicación Replicación

http://technet.microsoft.com/en-us/library/cc775549(WS.10)http://technet.microsoft.com/en-us/library/cc775549(WS.10).aspx#w2k3tr_repto_what_nfjw.aspx#w2k3tr_repto_what_nfjw

• Atributos del objeto usuario http://msdn.microsoft.com/en-Atributos del objeto usuario http://msdn.microsoft.com/en-us/library/ms677979(VS.85).aspxus/library/ms677979(VS.85).aspx

• AD LDS AD LDS http://technet.microsoft.com/en-us/library/cc754361(WS.10)http://technet.microsoft.com/en-us/library/cc754361(WS.10).aspx.aspx

• Windows Server 2008 Active Directory Configuration (Exam Windows Server 2008 Active Directory Configuration (Exam 70-640)70-640)