SlideShare una empresa de Scribd logo

arquitecturadewindows server apsti2024.ppt

Descargar como PPT, PDF
W
WilverHancco2

El documento detalla la arquitectura del Directorio Activo de Windows, explicando su función principal de almacenar información sobre objetos de red y gestionar el acceso a recursos. Se describen componentes clave como bosques, árboles, dominios, y roles de maestro de operación, y se menciona la importancia del servicio DNS en la estructura jerárquica del sistema. Además, se aborda la introducción de controladores de dominio de solo lectura y el Active Directory Lightweight Directory Services para despliegues más específicos.

Educación
1 de 17
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Arquitectura del Directorio Arquitectura del Directorio Activo de Windows Activo de Windows Por: Por: Isabel C. Yepes O. Isabel C. Yepes O. 2011 2011
¿Qué hace el Directorio ¿Qué hace el Directorio Activo? Activo? • Almacena información sobre objetos de la red, Almacena información sobre objetos de la red, implementa los servicios que permiten que implementa los servicios que permiten que dicha información esté disponible y pueda ser dicha información esté disponible y pueda ser utilizada por los usuarios, máquinas y utilizada por los usuarios, máquinas y aplicaciones. El DNS como sistema de nombres aplicaciones. El DNS como sistema de nombres jerárquico (integrado con el AD) y las relaciones jerárquico (integrado con el AD) y las relaciones de confianza dan una estructura lógica y de confianza dan una estructura lógica y consistente que organiza los dominios y sus consistente que organiza los dominios y sus recursos de forma predecible y útil. recursos de forma predecible y útil.
Directorio Activo y la Directorio Activo y la seguridad seguridad • El directorio activo actúa como intermediario El directorio activo actúa como intermediario entre cualquier petición de usuario, máquina, entre cualquier petición de usuario, máquina, aplicación o servicio para permitirles o no el aplicación o servicio para permitirles o no el acceso a los recursos de la red, incluidos acceso a los recursos de la red, incluidos sistemas de archivos NTFS, aplicaciones web, sistemas de archivos NTFS, aplicaciones web, el kernel, entre otros. el kernel, entre otros. • Un controlador de dominio pierde todas sus Un controlador de dominio pierde todas sus cuentas locales y depende de que el AD DS cuentas locales y depende de que el AD DS esté arriba para permitir logon local, esté arriba para permitir logon local, exceptuando procedimientos de emergencia. exceptuando procedimientos de emergencia.
Bosques, árboles y dominios Bosques, árboles y dominios • Un dominio puede tener Un dominio puede tener dominios hijos, formando un dominios hijos, formando un árbol. árbol. • Varios árboles se relacionan Varios árboles se relacionan entre sí jerárquicamente entre sí jerárquicamente formando un bosque formando un bosque • El servicio de DNS se encarga El servicio de DNS se encarga de mantener la estructura de mantener la estructura jerárquica de nombres. jerárquica de nombres.
Flexible Single Master Operations Flexible Single Master Operations • Funciones cruciales del Directorio Activo. Funciones cruciales del Directorio Activo. • Pueden estar distribuidas en diferentes Pueden estar distribuidas en diferentes controladores de dominio, pues cada uno es una controladores de dominio, pues cada uno es una copia completa de la base de datos del directorio copia completa de la base de datos del directorio (Active Directory Store), la cual contiene todos los (Active Directory Store), la cual contiene todos los objetos existentes en un dominio. objetos existentes en un dominio. • Pueden trasladarse inclusive después que un Pueden trasladarse inclusive después que un controlador que posea un rol deje físicamente de controlador que posea un rol deje físicamente de funcionar. funcionar. • Este artículo relaciona como hacer transferencia Este artículo relaciona como hacer transferencia de los roles de los roles http://support.microsoft.com/kb/324801
Global Catalog Global Catalog Queda instalado en el primer controlador de Queda instalado en el primer controlador de dominio, se requiere al menos uno por dominio, se requiere al menos uno por dominio, se recomienda que haya al menos dominio, se recomienda que haya al menos uno por sitio. No es un FSMO en sí mismo. uno por sitio. No es un FSMO en sí mismo. • Función durante el logon: Permite logon en Función durante el logon: Permite logon en red al dar la información de membresía a red al dar la información de membresía a grupos universales. Si no hay catálogo ningún grupos universales. Si no hay catálogo ningún usuario o máquina pueden iniciar sesión. usuario o máquina pueden iniciar sesión. • Función de consultas: Permite búsquedas Función de consultas: Permite búsquedas rápidas de objetos en bosques de varios rápidas de objetos en bosques de varios dominios. dominios.
Domain Naming Master Domain Naming Master Controla la adición o remoción de Controla la adición o remoción de dominios, árboles, y particiones de dominios, árboles, y particiones de aplicación, garantizando su nombre aplicación, garantizando su nombre único. Sólo debe haber uno en todo el único. Sólo debe haber uno en todo el bosque. bosque. • En caso de su falla se afecta la adición o En caso de su falla se afecta la adición o remoción de dominios remoción de dominios
Schema Master Schema Master Hay uno sólo por todo el bosque, mantiene la Hay uno sólo por todo el bosque, mantiene la información de todos los atributos y clases de información de todos los atributos y clases de todos los objetos posibles del Directorio Activo. todos los objetos posibles del Directorio Activo. • Ejemplos de clases de objetos: user, computer, Ejemplos de clases de objetos: user, computer, organizationalUnit organizationalUnit • Ejemplos de atributos del objeto user: Ejemplos de atributos del objeto user: userPrincipalName, sAMAccountName, userPrincipalName, sAMAccountName, • Algunas aplicaciones como Exchange y la Algunas aplicaciones como Exchange y la integración con Call Manager de Cisco hacen integración con Call Manager de Cisco hacen extensión del esquema, por lo cual deben extensión del esquema, por lo cual deben instalarse con un usuario Schema Admin. instalarse con un usuario Schema Admin.
Infrastructure Master Infrastructure Master Actualiza los SID o DN de los objetos en su Actualiza los SID o DN de los objetos en su dominio a objetos en otros dominios con los dominio a objetos en otros dominios con los cuales hay relaciones de confianza, usando el cuales hay relaciones de confianza, usando el GUID (Global Unique ID). Hay uno sólo GUID (Global Unique ID). Hay uno sólo Infrastructure Master por Dominio. Infrastructure Master por Dominio. • No debe compartirse este rol con el de Global No debe compartirse este rol con el de Global Catalog en el mismo servidor, a menos que se Catalog en el mismo servidor, a menos que se trate de un bosque de un solo dominio o que trate de un bosque de un solo dominio o que todos los controladores del bosque sean todos los controladores del bosque sean Global Catalog. Global Catalog.
Relative ID (RID) Master Relative ID (RID) Master Se encarga de mantener la consistencia de IDs Se encarga de mantener la consistencia de IDs únicos de los objetos del dominio. El SID únicos de los objetos del dominio. El SID (Security ID) de un objeto está compuesto por el (Security ID) de un objeto está compuesto por el ID del dominio, seguido por un ID dado por el ID del dominio, seguido por un ID dado por el RID Master. Debe haber uno por cada dominio. RID Master. Debe haber uno por cada dominio. • Cuando no hay RID Master una vez se terminen Cuando no hay RID Master una vez se terminen los pool de IDs asignados a los controladores de los pool de IDs asignados a los controladores de dominio, no será posible crear más objetos en el dominio, no será posible crear más objetos en el dominio. dominio.
PDC Emulator PDC Emulator Debe haber uno sólo por todo el dominio. Para Debe haber uno sólo por todo el dominio. Para los equipos anteriores a Windows XP se hace los equipos anteriores a Windows XP se hace pasar por un controlador Windows NT, de allí pasar por un controlador Windows NT, de allí su nombre, teniendo el rol de master browser. su nombre, teniendo el rol de master browser. • Para todo el dominio se encarga de administrar Para todo el dominio se encarga de administrar la sincronización de tiempo, la edición de la sincronización de tiempo, la edición de GPOs, la replicación de eventos de cambio de GPOs, la replicación de eventos de cambio de password y bloqueo de cuentas. password y bloqueo de cuentas. • Su ausencia podría generar fallos en el proceso Su ausencia podría generar fallos en el proceso de autenticación por no replicación de cambios de autenticación por no replicación de cambios o desincronización de las estaciones. o desincronización de las estaciones.
Arquitectura AD Windows Server Arquitectura AD Windows Server 2008 2008 La siguiente diapositiva muestra la arquitectura La siguiente diapositiva muestra la arquitectura de un Dominio en nivel de funcionalidad 2008. de un Dominio en nivel de funcionalidad 2008. Allí podemos ubicar los roles de los cuales Allí podemos ubicar los roles de los cuales hemos venido hablando. hemos venido hablando. Llamamos nivel de funcionalidad a los sistemas Llamamos nivel de funcionalidad a los sistemas operativos que un dominio soporta en sus operativos que un dominio soporta en sus controladores de dominio, permite en su controladores de dominio, permite en su primera instalación compatibilidad hacia atrás, primera instalación compatibilidad hacia atrás, pero una vez actualizado no permite revertirlo. pero una vez actualizado no permite revertirlo.
arquitecturadewindows server apsti2024.ppt
Sitios y replicación Sitios y replicación • Creamos sitios Creamos sitios cuando la cuando la topología de la topología de la red nos exige red nos exige segmentar segmentar • La replicación La replicación puede ser por RPC cuando son canales LAN puede ser por RPC cuando son canales LAN o SMTP cuando se trata de canales WAN o SMTP cuando se trata de canales WAN • Cada sitio debería tener al menos un Cada sitio debería tener al menos un controlador de dominio controlador de dominio
Read Only Domain Controllers Read Only Domain Controllers (RODC) (RODC) • Introducidos en Server 2008, permiten crear Introducidos en Server 2008, permiten crear controladores que sólo reciben replicación entrante, la controladores que sólo reciben replicación entrante, la copia del AD que tienen es de sólo lectura y no puede copia del AD que tienen es de sólo lectura y no puede ser modificada localmente. Esta funcionalidad es útil ser modificada localmente. Esta funcionalidad es útil cuando se requiere desplegar controladores de cuando se requiere desplegar controladores de dominio en ubicaciones de baja seguridad en el dominio en ubicaciones de baja seguridad en el acceso a la consola. acceso a la consola. • Los RODC no almacenan por defecto las contraseñas Los RODC no almacenan por defecto las contraseñas de los domain admins y enterprise admins. Puede de los domain admins y enterprise admins. Puede configurarse para que otras cuentas no se almacenen configurarse para que otras cuentas no se almacenen localmente, por ejemplo para reducir el riesgo de localmente, por ejemplo para reducir el riesgo de revelación de passwords si un RODC es robado. revelación de passwords si un RODC es robado.
Active Directory Lightweight Active Directory Lightweight Directory Services (AD LDS) Directory Services (AD LDS) • Previamente llamado ADAM, permite Previamente llamado ADAM, permite despliegues de directorio con una despliegues de directorio con una arquitectura similar pero más liviana. arquitectura similar pero más liviana. • Trabaja independiente del AD DS, lo cual lo Trabaja independiente del AD DS, lo cual lo hace ideal para aplicaciones web o en DMZ, hace ideal para aplicaciones web o en DMZ, generando una estructura de seguridad generando una estructura de seguridad similar sin abrir puertos hacia el interior de la similar sin abrir puertos hacia el interior de la red corporativa. red corporativa. • Varias instancias pueden correr en el mismo Varias instancias pueden correr en el mismo servidor, apuntando a implementaciones de servidor, apuntando a implementaciones de aplicaciones diferentes. aplicaciones diferentes.
Referencias Referencias • Arquitectura del AD Windows Server 2008 Arquitectura del AD Windows Server 2008 http://technet.microsoft.com/en-us/library/cc753985(WS.10).aspx http://technet.microsoft.com/en-us/library/cc753985(WS.10).aspx • Arquitectura original del AD Arquitectura original del AD http://technet.microsoft.com/en-us/library/bb727030.aspx http://technet.microsoft.com/en-us/library/bb727030.aspx • FSMO http://support.microsoft.com/kb/324801 FSMO http://support.microsoft.com/kb/324801 • Replicación Replicación http://technet.microsoft.com/en-us/library/cc775549(WS.10).aspx# http://technet.microsoft.com/en-us/library/cc775549(WS.10).aspx# w2k3tr_repto_what_nfjw w2k3tr_repto_what_nfjw • Atributos del objeto usuario Atributos del objeto usuario http://msdn.microsoft.com/en-us/library/ms677979(VS.85).aspx http://msdn.microsoft.com/en-us/library/ms677979(VS.85).aspx • AD LDS AD LDS http://technet.microsoft.com/en-us/library/cc754361(WS.10).aspx http://technet.microsoft.com/en-us/library/cc754361(WS.10).aspx • Windows Server 2008 Active Directory Configuration (Exam 70-640) Windows Server 2008 Active Directory Configuration (Exam 70-640)

Más contenido relacionado

PPT
Arquitectura Directorio Activo
Isabel Yepes
 
PDF
Active d
Jonhny Moreno Murillo
 
PPTX
Active directory
Julio César Siesquén Mairena
 
PPT
trucos_directorio_activo.ppt
JonnyWilliamFloresAn
 
PPTX
Famas active directory preentar
yuliaranda
 
PPTX
Active directory
lalycarolinadiazperez
 
PPTX
Famas active directory preentar
yuliaranda
 
PPTX
Active directory
Julio Raphael Gonzales
 
Arquitectura Directorio Activo
Isabel Yepes
 
Active d
Jonhny Moreno Murillo
 
Active directory
Julio César Siesquén Mairena
 
trucos_directorio_activo.ppt
JonnyWilliamFloresAn
 
Famas active directory preentar
yuliaranda
 
Active directory
lalycarolinadiazperez
 
Famas active directory preentar
yuliaranda
 
Active directory
Julio Raphael Gonzales
 

Similar a arquitecturadewindows server apsti2024.ppt (20)

PPTX
Trucos directorio activo[1]
marcelav02
 
PPTX
Active directory
gruis_1811
 
PPTX
Trabajo de active directory
ydaleuporsiempre_16
 
PPTX
Famas active directory preentar
yuliaranda
 
PPTX
Active directory
Erii Amaya
 
PPTX
Famas active directory preentar
yuliaranda
 
PPTX
Trabajo de active directory
ydaleuporsiempre_16
 
PPTX
Active directory
josejosh56
 
PPTX
Ative Directory By :Jose mendez
jamendez83
 
PPTX
ActIVE
NOEMY
 
PPTX
Active directory
silitariaidelo
 
PPTX
Active directory
darwin789
 
PPTX
Teoriaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.pptx
poyotero
 
PPTX
Active diretory [autoguardado]
judepy
 
PPTX
Active directory
jesus
 
PPTX
Presentacion 3 archivos
ackroes
 
PPTX
Windows server 2008 configuración de red
Omar Alejo
 
PPTX
Windows server 2008 configuración de red
Omar Alejo
 
PDF
Dominios 2003 server
eduenlasiberia
 
PPTX
Active Directory
guidoeddy
 
Trucos directorio activo[1]
marcelav02
 
Active directory
gruis_1811
 
Trabajo de active directory
ydaleuporsiempre_16
 
Famas active directory preentar
yuliaranda
 
Active directory
Erii Amaya
 
Famas active directory preentar
yuliaranda
 
Trabajo de active directory
ydaleuporsiempre_16
 
Active directory
josejosh56
 
Ative Directory By :Jose mendez
jamendez83
 
ActIVE
NOEMY
 
Active directory
silitariaidelo
 
Active directory
darwin789
 
Teoriaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.pptx
poyotero
 
Active diretory [autoguardado]
judepy
 
Active directory
jesus
 
Presentacion 3 archivos
ackroes
 
Windows server 2008 configuración de red
Omar Alejo
 
Windows server 2008 configuración de red
Omar Alejo
 
Dominios 2003 server
eduenlasiberia
 
Active Directory
guidoeddy
 
Publicidad

Más de WilverHancco2 (7)

PDF
EL SIGA Y SU IMPORTANCIA EN LA GESTION PUBLICA.pdf
WilverHancco2
 
PPT
SERVIDORES WEB apache apache appserv.ppt
WilverHancco2
 
PPT
CONTABILIDAD PUBLICA en la gestion 2024.ppt
WilverHancco2
 
PPTX
ROTULAR ARCHIVOS REGISTRO DE INSTITUCIONES 2023.pptx
WilverHancco2
 
PPTX
Registro de Calificativos 2024 en Siagie UGEL CAYLLOMA (1).pptx
WilverHancco2
 
PPTX
CICLO DE VIDA DE SISTEMAS.pptx
WilverHancco2
 
PPT
EXPOSICION REDES.ppt
WilverHancco2
 
EL SIGA Y SU IMPORTANCIA EN LA GESTION PUBLICA.pdf
WilverHancco2
 
SERVIDORES WEB apache apache appserv.ppt
WilverHancco2
 
CONTABILIDAD PUBLICA en la gestion 2024.ppt
WilverHancco2
 
ROTULAR ARCHIVOS REGISTRO DE INSTITUCIONES 2023.pptx
WilverHancco2
 
Registro de Calificativos 2024 en Siagie UGEL CAYLLOMA (1).pptx
WilverHancco2
 
CICLO DE VIDA DE SISTEMAS.pptx
WilverHancco2
 
EXPOSICION REDES.ppt
WilverHancco2
 
Publicidad

Último (20)

PDF
Conecta con la Motivacion - Brian Tracy Ccesa007.pdf
Demetrio Ccesa Rayme
 
PPT
Cosacos y hombres del Este en el Heer.ppt
Torres Saavedra Nelson Alberto
 
PDF
ciencias-1.pdf libro cuarto basico niños
JeannieTrigo1
 
DOCX
V UNIDAD - SEGUNDO GRADO. del mes de agosto
MilberIta
 
PDF
TRAUMA_Y_RECUPERACION consecuencias de la violencia JUDITH HERMAN
arribalosbuscavidas
 
PDF
Habitos de Ricos - Juan Diego Gomez Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
SESION 12 INMUNIZACIONES - CADENA DE FRÍO- SALUD FAMILIAR - PUEBLOS INDIGENAS...
LeslyAntonellaRicseM
 
PDF
COMUNICACION EFECTIVA PARA LA EDUCACION .pdf
HoracioOrtiz16
 
PDF
GUIA DE: CANVA + INTELIGENCIA ARTIFICIAL
AndinaVirtual
 
DOCX
2 GRADO UNIDAD 5 - 2025.docx para primaria
JessicaSusanSilvaPer1
 
PDF
Unidad de Aprendizaje 5 de Matematica 1ro Secundaria Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Crear o Morir - Andres Oppenheimer Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
UNIDAD DE APRENDIZAJE 5 AGOSTO tradiciones
GabrielaCallupeGanoz
 
PDF
Educación Artística y Desarrollo Humano - Howard Gardner Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Escuela Sabática 6. A través del Mar Rojo.pdf
Alejandrino Halire Ccahuana
 
PDF
el - LIBRO-PACTO-EDUCATIVO-GLOBAL-OIEC.pdf
Erny Cuba Arcaya
 
PDF
Escuela de Negocios - Robert kiyosaki Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Unidad de Aprendizaje 5 de Educacion para el Trabajo EPT Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
DI, TEA, TDAH.pdf guía se secuencias didacticas
claudializandro6
 
PDF
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 
Conecta con la Motivacion - Brian Tracy Ccesa007.pdf
Demetrio Ccesa Rayme
 
Cosacos y hombres del Este en el Heer.ppt
Torres Saavedra Nelson Alberto
 
ciencias-1.pdf libro cuarto basico niños
JeannieTrigo1
 
V UNIDAD - SEGUNDO GRADO. del mes de agosto
MilberIta
 
TRAUMA_Y_RECUPERACION consecuencias de la violencia JUDITH HERMAN
arribalosbuscavidas
 
Habitos de Ricos - Juan Diego Gomez Ccesa007.pdf
Demetrio Ccesa Rayme
 
SESION 12 INMUNIZACIONES - CADENA DE FRÍO- SALUD FAMILIAR - PUEBLOS INDIGENAS...
LeslyAntonellaRicseM
 
COMUNICACION EFECTIVA PARA LA EDUCACION .pdf
HoracioOrtiz16
 
GUIA DE: CANVA + INTELIGENCIA ARTIFICIAL
AndinaVirtual
 
2 GRADO UNIDAD 5 - 2025.docx para primaria
JessicaSusanSilvaPer1
 
Unidad de Aprendizaje 5 de Matematica 1ro Secundaria Ccesa007.pdf
Demetrio Ccesa Rayme
 
Crear o Morir - Andres Oppenheimer Ccesa007.pdf
Demetrio Ccesa Rayme
 
UNIDAD DE APRENDIZAJE 5 AGOSTO tradiciones
GabrielaCallupeGanoz
 
Educación Artística y Desarrollo Humano - Howard Gardner Ccesa007.pdf
Demetrio Ccesa Rayme
 
Escuela Sabática 6. A través del Mar Rojo.pdf
Alejandrino Halire Ccahuana
 
el - LIBRO-PACTO-EDUCATIVO-GLOBAL-OIEC.pdf
Erny Cuba Arcaya
 
Escuela de Negocios - Robert kiyosaki Ccesa007.pdf
Demetrio Ccesa Rayme
 
Unidad de Aprendizaje 5 de Educacion para el Trabajo EPT Ccesa007.pdf
Demetrio Ccesa Rayme
 
DI, TEA, TDAH.pdf guía se secuencias didacticas
claudializandro6
 
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 

arquitecturadewindows server apsti2024.ppt

  • 1. Arquitectura del Directorio Arquitectura del Directorio Activo de Windows Activo de Windows Por: Por: Isabel C. Yepes O. Isabel C. Yepes O. 2011 2011
  • 2. ¿Qué hace el Directorio ¿Qué hace el Directorio Activo? Activo? • Almacena información sobre objetos de la red, Almacena información sobre objetos de la red, implementa los servicios que permiten que implementa los servicios que permiten que dicha información esté disponible y pueda ser dicha información esté disponible y pueda ser utilizada por los usuarios, máquinas y utilizada por los usuarios, máquinas y aplicaciones. El DNS como sistema de nombres aplicaciones. El DNS como sistema de nombres jerárquico (integrado con el AD) y las relaciones jerárquico (integrado con el AD) y las relaciones de confianza dan una estructura lógica y de confianza dan una estructura lógica y consistente que organiza los dominios y sus consistente que organiza los dominios y sus recursos de forma predecible y útil. recursos de forma predecible y útil.
  • 3. Directorio Activo y la Directorio Activo y la seguridad seguridad • El directorio activo actúa como intermediario El directorio activo actúa como intermediario entre cualquier petición de usuario, máquina, entre cualquier petición de usuario, máquina, aplicación o servicio para permitirles o no el aplicación o servicio para permitirles o no el acceso a los recursos de la red, incluidos acceso a los recursos de la red, incluidos sistemas de archivos NTFS, aplicaciones web, sistemas de archivos NTFS, aplicaciones web, el kernel, entre otros. el kernel, entre otros. • Un controlador de dominio pierde todas sus Un controlador de dominio pierde todas sus cuentas locales y depende de que el AD DS cuentas locales y depende de que el AD DS esté arriba para permitir logon local, esté arriba para permitir logon local, exceptuando procedimientos de emergencia. exceptuando procedimientos de emergencia.
  • 4. Bosques, árboles y dominios Bosques, árboles y dominios • Un dominio puede tener Un dominio puede tener dominios hijos, formando un dominios hijos, formando un árbol. árbol. • Varios árboles se relacionan Varios árboles se relacionan entre sí jerárquicamente entre sí jerárquicamente formando un bosque formando un bosque • El servicio de DNS se encarga El servicio de DNS se encarga de mantener la estructura de mantener la estructura jerárquica de nombres. jerárquica de nombres.
  • 5. Flexible Single Master Operations Flexible Single Master Operations • Funciones cruciales del Directorio Activo. Funciones cruciales del Directorio Activo. • Pueden estar distribuidas en diferentes Pueden estar distribuidas en diferentes controladores de dominio, pues cada uno es una controladores de dominio, pues cada uno es una copia completa de la base de datos del directorio copia completa de la base de datos del directorio (Active Directory Store), la cual contiene todos los (Active Directory Store), la cual contiene todos los objetos existentes en un dominio. objetos existentes en un dominio. • Pueden trasladarse inclusive después que un Pueden trasladarse inclusive después que un controlador que posea un rol deje físicamente de controlador que posea un rol deje físicamente de funcionar. funcionar. • Este artículo relaciona como hacer transferencia Este artículo relaciona como hacer transferencia de los roles de los roles http://support.microsoft.com/kb/324801
  • 6. Global Catalog Global Catalog Queda instalado en el primer controlador de Queda instalado en el primer controlador de dominio, se requiere al menos uno por dominio, se requiere al menos uno por dominio, se recomienda que haya al menos dominio, se recomienda que haya al menos uno por sitio. No es un FSMO en sí mismo. uno por sitio. No es un FSMO en sí mismo. • Función durante el logon: Permite logon en Función durante el logon: Permite logon en red al dar la información de membresía a red al dar la información de membresía a grupos universales. Si no hay catálogo ningún grupos universales. Si no hay catálogo ningún usuario o máquina pueden iniciar sesión. usuario o máquina pueden iniciar sesión. • Función de consultas: Permite búsquedas Función de consultas: Permite búsquedas rápidas de objetos en bosques de varios rápidas de objetos en bosques de varios dominios. dominios.
  • 7. Domain Naming Master Domain Naming Master Controla la adición o remoción de Controla la adición o remoción de dominios, árboles, y particiones de dominios, árboles, y particiones de aplicación, garantizando su nombre aplicación, garantizando su nombre único. Sólo debe haber uno en todo el único. Sólo debe haber uno en todo el bosque. bosque. • En caso de su falla se afecta la adición o En caso de su falla se afecta la adición o remoción de dominios remoción de dominios
  • 8. Schema Master Schema Master Hay uno sólo por todo el bosque, mantiene la Hay uno sólo por todo el bosque, mantiene la información de todos los atributos y clases de información de todos los atributos y clases de todos los objetos posibles del Directorio Activo. todos los objetos posibles del Directorio Activo. • Ejemplos de clases de objetos: user, computer, Ejemplos de clases de objetos: user, computer, organizationalUnit organizationalUnit • Ejemplos de atributos del objeto user: Ejemplos de atributos del objeto user: userPrincipalName, sAMAccountName, userPrincipalName, sAMAccountName, • Algunas aplicaciones como Exchange y la Algunas aplicaciones como Exchange y la integración con Call Manager de Cisco hacen integración con Call Manager de Cisco hacen extensión del esquema, por lo cual deben extensión del esquema, por lo cual deben instalarse con un usuario Schema Admin. instalarse con un usuario Schema Admin.
  • 9. Infrastructure Master Infrastructure Master Actualiza los SID o DN de los objetos en su Actualiza los SID o DN de los objetos en su dominio a objetos en otros dominios con los dominio a objetos en otros dominios con los cuales hay relaciones de confianza, usando el cuales hay relaciones de confianza, usando el GUID (Global Unique ID). Hay uno sólo GUID (Global Unique ID). Hay uno sólo Infrastructure Master por Dominio. Infrastructure Master por Dominio. • No debe compartirse este rol con el de Global No debe compartirse este rol con el de Global Catalog en el mismo servidor, a menos que se Catalog en el mismo servidor, a menos que se trate de un bosque de un solo dominio o que trate de un bosque de un solo dominio o que todos los controladores del bosque sean todos los controladores del bosque sean Global Catalog. Global Catalog.
  • 10. Relative ID (RID) Master Relative ID (RID) Master Se encarga de mantener la consistencia de IDs Se encarga de mantener la consistencia de IDs únicos de los objetos del dominio. El SID únicos de los objetos del dominio. El SID (Security ID) de un objeto está compuesto por el (Security ID) de un objeto está compuesto por el ID del dominio, seguido por un ID dado por el ID del dominio, seguido por un ID dado por el RID Master. Debe haber uno por cada dominio. RID Master. Debe haber uno por cada dominio. • Cuando no hay RID Master una vez se terminen Cuando no hay RID Master una vez se terminen los pool de IDs asignados a los controladores de los pool de IDs asignados a los controladores de dominio, no será posible crear más objetos en el dominio, no será posible crear más objetos en el dominio. dominio.
  • 11. PDC Emulator PDC Emulator Debe haber uno sólo por todo el dominio. Para Debe haber uno sólo por todo el dominio. Para los equipos anteriores a Windows XP se hace los equipos anteriores a Windows XP se hace pasar por un controlador Windows NT, de allí pasar por un controlador Windows NT, de allí su nombre, teniendo el rol de master browser. su nombre, teniendo el rol de master browser. • Para todo el dominio se encarga de administrar Para todo el dominio se encarga de administrar la sincronización de tiempo, la edición de la sincronización de tiempo, la edición de GPOs, la replicación de eventos de cambio de GPOs, la replicación de eventos de cambio de password y bloqueo de cuentas. password y bloqueo de cuentas. • Su ausencia podría generar fallos en el proceso Su ausencia podría generar fallos en el proceso de autenticación por no replicación de cambios de autenticación por no replicación de cambios o desincronización de las estaciones. o desincronización de las estaciones.
  • 12. Arquitectura AD Windows Server Arquitectura AD Windows Server 2008 2008 La siguiente diapositiva muestra la arquitectura La siguiente diapositiva muestra la arquitectura de un Dominio en nivel de funcionalidad 2008. de un Dominio en nivel de funcionalidad 2008. Allí podemos ubicar los roles de los cuales Allí podemos ubicar los roles de los cuales hemos venido hablando. hemos venido hablando. Llamamos nivel de funcionalidad a los sistemas Llamamos nivel de funcionalidad a los sistemas operativos que un dominio soporta en sus operativos que un dominio soporta en sus controladores de dominio, permite en su controladores de dominio, permite en su primera instalación compatibilidad hacia atrás, primera instalación compatibilidad hacia atrás, pero una vez actualizado no permite revertirlo. pero una vez actualizado no permite revertirlo.
  • 14. Sitios y replicación Sitios y replicación • Creamos sitios Creamos sitios cuando la cuando la topología de la topología de la red nos exige red nos exige segmentar segmentar • La replicación La replicación puede ser por RPC cuando son canales LAN puede ser por RPC cuando son canales LAN o SMTP cuando se trata de canales WAN o SMTP cuando se trata de canales WAN • Cada sitio debería tener al menos un Cada sitio debería tener al menos un controlador de dominio controlador de dominio
  • 15. Read Only Domain Controllers Read Only Domain Controllers (RODC) (RODC) • Introducidos en Server 2008, permiten crear Introducidos en Server 2008, permiten crear controladores que sólo reciben replicación entrante, la controladores que sólo reciben replicación entrante, la copia del AD que tienen es de sólo lectura y no puede copia del AD que tienen es de sólo lectura y no puede ser modificada localmente. Esta funcionalidad es útil ser modificada localmente. Esta funcionalidad es útil cuando se requiere desplegar controladores de cuando se requiere desplegar controladores de dominio en ubicaciones de baja seguridad en el dominio en ubicaciones de baja seguridad en el acceso a la consola. acceso a la consola. • Los RODC no almacenan por defecto las contraseñas Los RODC no almacenan por defecto las contraseñas de los domain admins y enterprise admins. Puede de los domain admins y enterprise admins. Puede configurarse para que otras cuentas no se almacenen configurarse para que otras cuentas no se almacenen localmente, por ejemplo para reducir el riesgo de localmente, por ejemplo para reducir el riesgo de revelación de passwords si un RODC es robado. revelación de passwords si un RODC es robado.
  • 16. Active Directory Lightweight Active Directory Lightweight Directory Services (AD LDS) Directory Services (AD LDS) • Previamente llamado ADAM, permite Previamente llamado ADAM, permite despliegues de directorio con una despliegues de directorio con una arquitectura similar pero más liviana. arquitectura similar pero más liviana. • Trabaja independiente del AD DS, lo cual lo Trabaja independiente del AD DS, lo cual lo hace ideal para aplicaciones web o en DMZ, hace ideal para aplicaciones web o en DMZ, generando una estructura de seguridad generando una estructura de seguridad similar sin abrir puertos hacia el interior de la similar sin abrir puertos hacia el interior de la red corporativa. red corporativa. • Varias instancias pueden correr en el mismo Varias instancias pueden correr en el mismo servidor, apuntando a implementaciones de servidor, apuntando a implementaciones de aplicaciones diferentes. aplicaciones diferentes.
  • 17. Referencias Referencias • Arquitectura del AD Windows Server 2008 Arquitectura del AD Windows Server 2008 http://technet.microsoft.com/en-us/library/cc753985(WS.10).aspx http://technet.microsoft.com/en-us/library/cc753985(WS.10).aspx • Arquitectura original del AD Arquitectura original del AD http://technet.microsoft.com/en-us/library/bb727030.aspx http://technet.microsoft.com/en-us/library/bb727030.aspx • FSMO http://support.microsoft.com/kb/324801 FSMO http://support.microsoft.com/kb/324801 • Replicación Replicación http://technet.microsoft.com/en-us/library/cc775549(WS.10).aspx# http://technet.microsoft.com/en-us/library/cc775549(WS.10).aspx# w2k3tr_repto_what_nfjw w2k3tr_repto_what_nfjw • Atributos del objeto usuario Atributos del objeto usuario http://msdn.microsoft.com/en-us/library/ms677979(VS.85).aspx http://msdn.microsoft.com/en-us/library/ms677979(VS.85).aspx • AD LDS AD LDS http://technet.microsoft.com/en-us/library/cc754361(WS.10).aspx http://technet.microsoft.com/en-us/library/cc754361(WS.10).aspx • Windows Server 2008 Active Directory Configuration (Exam 70-640) Windows Server 2008 Active Directory Configuration (Exam 70-640)