INTRODUCCION A ACTIVE DIRECTORY

Iniciado por soplo, 6 Septiembre 2004, 10:17 AM

0 Miembros y 2 Visitantes están viendo este tema.

soplo

¿qué es active directory?

Es un sistema parejo al arbol de netware que sirve para  compartir recursos en un conjunto de dominios. Para ello utiliza un sistema común de resolución de nombres (dns) y un catálogo común que contiene una réplica completa de todos los objetos de directorio del dominio en que se aloja además de una replica parcial de todos los objetos de directorio de cada dominio del bosque

El objetivo de un catálogo global es proporcionar  autentificación a los inicios de sesión.

Además contiene información sobre todos los objetos de todos los dominios del bosque, la búsqueda de información en el directorio no requiere consultas innecesarias a los dominios.

Una única consulta al catálogo produce la información sobre donde se puede encontrar el objeto.

En definitiva Active Directory es el servicio de directorio incluído con Windows 2000/2003

¿Qué es un servicio de directorio?

Un servicio de directorio es uno de los componentes  más importantes de una red. Los usuarios y administradores con frecuencia no saben el nombre exacto  de los objetos en que están interesados. Quizá conozcan uno o más atributos de los objetos y puedan consultar el directorio para obtener una lista de objetos que concuerden cono los atributos: por ejemplo, "Encontar todas las impresoras duplex en Edificio B". Un servicio de directorio permite que un usuario encuentre cualquier objeto con sólo  uno de sus atributos.

¿Qué es un objeto?

Es cualquier cosa que tenga entidad en el directorio. Puede ser un programa, un usuario, un ordenador, un router, una impresora, un proxy, ...

¿Qué es un dominio?

Es un conjunto de normas que especifican que administran los recursos y los clientes en una red local.

En un dominio hay lo que se llama un servidor principal llamado pdc (primary domain controller) que es quien asigna derechos controla usuarios y recursos.

Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es posible instalar un servidor de réplica llamado bdc  (backup domain controller) que contiene siempre una réplica de la base de datos del pdc y actúa como pdc en cuanto a peticiones de clientes.

Además en caso de fallo del pdc, él se sitúa en el dominio como pdc.

En caso de haber varios bdc, uno de ellos se coloca como pdc y los demás se dedican a respaldar a ese.

¿Que es un arbol?

Es un conjunto de dominios con relaciones de confianza entre sí que comparten recursos, clientes y un sistema de resolución de nombres.

¿Qué es un bosque?

Es un conjunto de árboles de dominio con relaciones de confianza entre sí

¿Por qué es tan importante active directory?

Por que es la respuesta a la crítica que siempre se le hizo a microsoft en windows NT de que sus sistemas de red no son escalables. Con active directory se agilizan las búsquedas de recursos, se asegura la autentificación de usuarios y máquinas, se comparten mejor los recursos de la red, se abandona netbios como protocolo para compartir recursos (se resuelven mediante dns y el catálogo global).

¿Qué hace active directory que no pueda hacer con un dominio?

Active directory no controla ordenadores,  controla dominios y administra los recursos y clientes de esos dominios.
Utiliza DNS como sistema de resolución de nombres (debe haber obligatoriamente uno).

Active directory es accesible desde cualquier servidor de dominio.

¿Es válido un servidor DNS que no sea de windows?
En principio debe ser válido cualquiera que cumpla las siguientes condiciones:
1. soportar el registro de recursos Localización de servicios  (rfc 2052)
2. Actualización dinámica (rfc 2136)
En la práctica yo lo he intentado con varios y no lo he conseguido salvo con el de microsoft.

¿Como se instala?
Al instalar cualquier versión de servidor win2k o windows 2003 se ejecutará el asistente de active directory.

Este asistente lo que hace en realidad es crear un servidor de dominio bien pdc (si no hubiera otro servidor) o bien bdc (si lo hubiera).

Después busca un servidor DNS y si lo encuentra lo anexa al arbol de active directory. Si no lo encuentra instala uno

Este servidor DNS es imprescindible porque en adelante los clientes localizarán un controlador de dominio para la autenticación mediante el envío de una  petición al servidor DNS identificado en sus configuraciones TCP/IP cliente

Además active directory utilizará dns para almacenar información sobre los  controladores de dominio de la red.

Si durante el proceso de instalación no fuera posible encontrar un servidor dns, windows instalará uno en la máquina por lo que esta actuará no solo como servidor de dominio sino también como servidor dns.

En adelante cada vez que queramos cambiar algo respecto a active directory deberemos acceder a la consola desde el panel de control - herramientas administrativas -
configuración del servidor (también se puede ejecutar dcpromo.exe).

¿Hay algo parecido en linux?

No, y no lo habrá por bastante tiempo. SAMBA con LDAP es algo que aún da muchos problemas y probablemente no funcionará hasta que el equipo de desarrollo de Samba solucione esos problemas.

No digo que no se pueda, pero no con el nivel de estabilidad y confiabilidad que en Windows. Al menos yo no he conseguido que funcione y el equipo de desarrollo de Samba desaconseja esta dirección hoy por hoy.

¿Para que me sirve?

Es util en redes grandes que se puedan dividir en dominios mas pequeños, centros de trabajo con varios dominios y redes intranet donde hay sucursales que comparten recursos.

Sobre un dominio miempresa.com podré tener subdominios 'comerciales.miempresa.com' por ejemplo para el acceso al dominio 'comerciales'.

Las consultas a recursos de la red son mucho mas rápidas porque se resuelven mediante el catálogo global en vez de búsquedas netbios.

La autentificación también se resuelve mediante el catálogo lo que resuelve problemas de seguridad variados. Un directorio activo es lo mas seguro que tiene windows hoy por hoy.

Las consultas al servidor o a otros sitios se resuelven por dns y no por netbios.

La administración del directorio activo puede realizarse desde cualquier servidor de dominio de toda la red.

Puede incluir cada objeto individual (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de área amplia. También puede incluir varias redes de área amplia combinadas.


Por cierto ¿Alguien ha conseguido utilizar samba como bdc en un directorio activo?
Callar es asentir ¡No te dejes llevar!

soplo

Instalación

Durante la instalación, el asistente pregunta si crear un controlador para un dominio nuevo (pdc) o bien un controlador nuevo para un dominio existente (bdc). Dado que empezamos desde cero elegiremos dominio nuevo.

Una vez hayamos acabado el proceso de instalar active Directory y haya acabado correctamente es muy aconsejable ejecutar de nuevo el asistente y crear un bdc para tener un sistema tolerante a fallos.

Aunque no es recomendable se puede configurar el proceso de réplica en la opción 'sitios y servicios' del asistente. Recomiendo no tocarlo si no hay razones de peso porque funciona bien.

Si no teníamos instalado active directory debemos elegir la primera opción que instalará además del dominio los archivos necesarios para la administración de active directory y le cree una entrada en el dns. La segunda opción instala el bdc, pero no instala active directory.

En este momento habremos creado un dominio y el ordenador será el pdc de ese dominio.

Crear un nuevo arbol de dominios

Creará el primer arbol que gestionará active directory y alojará en él al dominio recién creado.

Crear un nuevo dominio secundario en un arbol de dominios existente

Inserta este dominio recién creado en un arbol ya existente (si deseamos agregar este dominio a un directorio activo ya existente).

Crear un nuevo bosque de dominios

Si deseamos crear un bosque nuevo que inicialmente tendrá solo un árbol (el anterior)

Situar el arbol de dominios en un bosque existente

pues eso.

Si estamos creando el directorio activo deberemos elegir crear un bosque nuevo que inicialmente tendrá un solo arbol que inicialmente tendrá un solo dominio.

Luego podremos unir los demás árboles (si los hubiera) mediante la opción anterior.

Nombre de dominio
Este nombre puede ser cualquier cosa, no debe estar registrado ni nada, pero como cada día mas se utiliza internet en la empresa, lo normal es poner el nombre registrado en internic de la empresa (empresa.com)

Nombre netbios

Solo es necesario para los clientes que no soporten directorio activo. Este utiliza únicamente dns, pero los clientes win9x y nt utilizan netbios para todos los recursos de red (incluyendo los dominios).

Ubicación de la base de datos

La base de datos se llama ntds y por defecto se instala en %SYSTEMROOT%. Contiene los objetos Directorio Activo y sus propiedades,

Los archivos de registro registran las actividades del servicio de directorio.

El volumen en que esté debe ser obligatoriamente ntfs

SysVol

Es el recurso compartido del active directory. Debe ser volumen ntfs y contiene información del dominio que se replica al resto de controladores de dominio de la red.

Este volumen debe ser obligatoriamente ntfs.

Seguidamente se comprueba que los nombres de dominio y netbios no estén en uso en la red y  luego busca un servidor dns válido. Si lo encuentra se ofrece a utilizarlo y si no lo
encuentra ofrece instalar dns server.

Log de actividad

Las actividades realizadas durante la instalación se guardan en %SYSTEMROOT%\debug\dcpromo.log
y %SYSTEMROOT%\debug\dcpromoui.log

Ubicación del catálogo global

De forma predeterminada el primero dominio del primer arbol contiene el catálogo global. Si se quiere modificar esto hay que ir a Sitios y servicios de active directory (en herramientas administrativas) y allí sites - servers - ntds settings

Seleccionar NTDS Settings en el panel derecho y escoger propiedades en el menú Acción.

En la pestaña General, seleccionar la casilla de verificación Catalogo global.

Si en el directorio activo todos los dominios son win2k y superior no hace falta, pero si no, todos los dominios deberían tener un servidor de catálogo global.
Callar es asentir ¡No te dejes llevar!

soplo

La instalación de un servicio de directorio activo en una empresa no se puede hacer de cualquier forma.

Primero hay que ver la base sobre la que se va a trabajar y como se va a realizar la migración (tocaré este tema mas adelante).

Además hay que planificar el funcionamiento global del sistema.

Una vez planificado se debe instalar mediante el proceso anteriormente descrito.

El paso siguiente será configurar adecuadamente el servidor dns (tocaré este tema próximamente).

Posteriormente llegará el problema de la administración que también tocaré posteriormente).

Por último está el tema de la seguridad (que llegará al final de este tema)
Callar es asentir ¡No te dejes llevar!

soplo

Planificación

Para hacerme entender utilizaré el término sucursal para referirme a otra red de la empresa que puede estar en otro piso del edificio o en otro edificio.

La planificación de un directorio activo es fundamental. No se hará un buen trabajo si no se hace una buena planificación previa y una vez instalado será dificil cambiar.

Inicialmente antes de ponerse a instalar nada hay que hacerse las siguientes preguntas:

¿Qué estructura tiene la empresa?
Para responder a esto es necesario conocer completamente la red corporativa (todas las subredes con sus características).

También es necesario  conocer completamente la jerarquía administrativa de la compañía. Esto en casos grandes es tan complicado que incluso hay software hecho para ello.

Siempre que una determinada sucursal no deba conocer lo que se cuece en otra por motivos organizativos se debe pensar en la necesidad de dividir el bosque.

En cuanto a la organización de dominios se debe pensar en el siguiente ejemplo: si pienso en una organización para 1000 usuarios y en cada sucursal pongo un controlador de dominio  si utilizo un solo dominio los 1000 usuarios se replican por todas las sucursales.

En cambio si creo cinco dominios (200 usuarios cada dominio) solo se replican esos 200 en cada dominio.

Además si creo servidores de catálogo global en cada sucursal el tráfico de red se reduce a 200 usuarios del dominio mas la mitad de los restantes 800 usuarios de los demás dominios con lo que he reducido el tráfico de red por lo menos un cincuenta por ciento.

Una norma fundamental a la hora de planificar la estructura es siempre la siguiente:
La solución mas simple siempre es la correcta.
De donde se deduce que
Si el diseño es complicado, borra y empieza de nuevo

¿Como se replicarán los datos?

En casos muy grandes ahora se debería considerar la replicación pero dado que es un tema complejo lo dejo para otro tema

Diseño del sitio central

Aquí habrá que considerar algunas cuestiones como el servidor DNS por lo que llegado a este punto se deberíla tener una idea clara de los recursos que va a necesitar cada sucursal. Cada administrador de sucursal debería tener ya establecido claramente como va a funcionar cada cosa y que recursos necesita para ello.

Aquí se configura también el dominio raíz y el sistema de copia de seguridad sea cual sea.

Normalmente se pone un servidor y otro que hace de seguridad ante desastres. Ambos tienen instalado un servidor dns de forma que tenemos el dns primario y secundario si por alguna razón uno falla.

No tienen que ser ordenadores grandes (un pentium IV normalito vale). Solo deben tener al menos 512Mb de memoria porque el dns consume mucha memoria y un disco de 20Gb es suficiente.

El primer dominio que se instale será el propietario de las funciones del maestro de operaciones.

En las redes muy grandes se colocan los llamados servidores de puente que se encargan de replicar los datos entrantes y salientes del centro de datos a su sucursal y a la inversa. En estos casos si que se deben considerar ordenadores potentes porque trabajan mucho y si se atascan se reduce el rendimiento de la sucursal entera.

A veces se instala en ellos un dns que tiene las entradas únicamente del dominio que controla.

Diseño de la sucursal

Aquí entra la organización de cada sucursal.

Para el controlador de dominio el ordenador donde se encuenta es recomendable que tenga instalado términal server para administración remota (o bien herramientas de terceros).

Aunque las comprobaciones a realizar son muchas para saber si conecta bien con el sitio central, en general basta con ver si se comparte sysvol y si están las entradas del dns cname del nuevo controlador de dominio, y que están grabados los registros SRV y A.

En resumen

Todo este proceso es casi una ciencia. Lleva mucho trabajo dificil porque se está trabajando con redes que aún no existen y coordinando al equipo de administración de todas las sucursales y del sitio raíz.

Cuando son sitios grandes es realmente complicado. En redes pequeñas (quinientos puestos o menos) todo es mas sencillo porque suelen ser un par de edificios y dos redes físicas con lo que las velocidades de conexión son elevadas. La complejidad aumenta en la medida en que haya mas sucursales externas porque la velocidad de transmisión es pequeña y las réplicas pueden llegar a ser un problema serio si no está bien planificado.

Por eso se recomienda en caso de duda la instalación de servidores puente que agilicen las réplicas a pesar de un mayor coste.

Por último hay que tener especial cuidado con los ordenadores que mas sufren que son los controladores de dominio pues son los que están mas cerca de los clientes y son los que tienen mas facilidad de recibir ataques, virus, errores y demás.
Callar es asentir ¡No te dejes llevar!

zaire

Diculpen estoy tratando de confgurar el active directory en windows 2003 pero me pide la configuracion de ip alguien me podria axiliar porfavor agradecere su ayuda. thanks

soplo

Hola
Sé mas específico please, no se a que te refieres. Especifica en que punto te encuentras y que quieres conseguir ¿has montado el arbol? ¿el dominio? ¿el servidor dns? ...

Un saludo
Callar es asentir ¡No te dejes llevar!

rmarina

Parece que sabéis de este tema... Tengo un problema, a ver si podéis ayudarme.
En una red W2003 con 2 servidores en Active Directory, por razones varias, tuve que reinstalar el servidor configurado como mastro de operaciones, pero sin poder antes cambiar la función al otro servidor. Desde entonces, no puedo reasignar la función porque parece ser que debe estar operativo el maestro actual para poder cambiar la función. ¿Algúien sabe cómo hacer este cambio?

Saludos...

cesaraaq

HOLA, YA TENGO LISTO EL ACTIVE DIRECTORY, PERO SOLO ME FALTA AGREGAR COMO 5000 USUARIOS, TENGO UNA LISTA EN EXCEL DE TODOS ELLOS, MI PREGUNTA ES: EXISTE ALGUNA FORMA DE AGREGARLOS DESDE ESTA LISTA, PORQUE ME LLEVARIA MUCHO TIEMPO IR CAPTURANDO DE UNO POR UNO EN EL ACTIVE DIRECTORY?, LES AGRADECERIA MUCHO SI TIENEN ALGUNA IDEA:)

soplo

Hola
rmarina, debiste haber cambiado al otro servidor. La base de datos está bloqueada y no puedes cambiarla así como así por razones de seguridad.

cesaraq
Me extraña que debas agregar 5000 usuarios. Mira a ver si no tienes confundido algún concepto. Una cosa es ser usuario de un dominio y otra del directorio activo.

De todas formas empieza por exportarlo a texto (desde excel no podrás) y luego mira hacer un fichero bat (la verdad ahora no sé como, pero seguramente se puede) que lea y cree mediante un perfil. Alguna vez he hecho algo parecido pero no tengo a mano la información de como lo hice (y de eso hace dos años).

Un saludo
Callar es asentir ¡No te dejes llevar!

pelux

Buenas a todos... mi consulta es la siguiente.., debo cambiar el nombre de red de mi controlador de dominio... lei que la forma de hacerlo es degradar el servidor de su estado de controlador de dominio ejecutando dcpromo.exe una vez que es degradado teoricamente puedo realizar los cambios y volver a promover el servidor a controlador de dominio nuevamente con dcpromo.exe...
Mi duda es: puedo conservar los datos de cuentas de usuario y demas objetos del catalogo de active directory de mi dominio?... de ser hasi.. cual es la metodologia a usar?...
Es factible esto haciendo una copia de las carpetas NTDS y SYSVOL antes de degradar el dominio.. para luego copiarlas pisando las nevas cuando promueva el dominio muevamente....
Gracias por todo....