INTRODUCCION A INFRAESTRUCTURAS DE ACTIVE DIRECTORY


Buenas tardes entramos en terrenos muy interesantes ACTIVE DIRECTORY....Me he tenido que leer varios documentos y apuntes apoyados por material audiovisual para entender el verdadero funcionamiento y las ventajas que con lleva. Pero hoy hago una aproximación a la que en la siguiente entrada al blog será la práctica. Quiero dejar claro que me he apoyado en material donde al final reflejo las direcciones  a parte del que yo tengo que no es poco, sugiero ver los videos . Espero que os guste y no se indigesten de entrada aunque después son una gozada.





¿Qué es active directory?

Es un sistema parejo al arbol de netware que sirve para  compartir recursos en un conjunto de dominios. Para ello utiliza un sistema común de resolución de nombres (dns) y un catálogo común que contiene una réplica completa de todos los objetos de directorio del dominio en que se aloja además de una replica parcial de todos los objetos de directorio de cada dominio del bosque

El objetivo de un catálogo global es proporcionar  autentificación a los inicios de sesión. 

Además contiene información sobre todos los objetos de todos los dominios del bosque, la búsqueda de información en el directorio no requiere consultas innecesarias a los dominios.

Una única consulta al catálogo produce la información sobre donde se puede encontrar el objeto.

En definitiva Active Directory es el servicio de directorio incluído con Windows 2000/2003

¿Qué es un servicio de directorio?

Un servicio de directorio es uno de los componentes  más importantes de una red. Los usuarios y administradores con frecuencia no saben el nombre exacto  de los objetos en que están interesados. Quizá conozcan uno o más atributos de los objetos y puedan consultar el directorio para obtener una lista de objetos que concuerden cono los atributos: por ejemplo, "Encontar todas las impresoras duplex en Edificio B". Un servicio de directorio permite que un usuario encuentre cualquier objeto con sólo  uno de sus atributos.

¿Qué es un objeto?

Es cualquier cosa que tenga entidad en el directorio. Puede ser un programa, un usuario, un ordenador, un router, una impresora, un proxy, ...

¿Qué es un dominio?

Es un conjunto de normas que especifican que administran los recursos y los clientes en una red local.

En un dominio hay lo que se llama un servidor principal llamado pdc (primary domain controller) que es quien asigna derechos controla usuarios y recursos.

Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es posible instalar un servidor de réplica llamado bdc  (backup domain controller) que contiene siempre una réplica de la base de datos del pdc y actúa como pdc en cuanto a peticiones de clientes.

Además en caso de fallo del pdc, él se sitúa en el dominio como pdc.

En caso de haber varios bdc, uno de ellos se coloca como pdc y los demás se dedican a respaldar a ese.

¿Que es un arbol?

Es un conjunto de dominios con relaciones de confianza entre sí que comparten recursos, clientes y un sistema de resolución de nombres.

¿Qué es un bosque?

Es un conjunto de árboles de dominio con relaciones de confianza entre sí

¿Por qué es tan importante active directory?

Por que es la respuesta a la crítica que siempre se le hizo a microsoft en windows NT de que sus sistemas de red no son escalables. Con active directory se agilizan las búsquedas de recursos, se asegura la autentificación de usuarios y máquinas, se comparten mejor los recursos de la red, se abandona netbios como protocolo para compartir recursos (se resuelven mediante dns y el catálogo global).

¿Qué hace active directory que no pueda hacer con un dominio?

Active directory no controla ordenadores,  controla dominios y administra los recursos y clientes de esos dominios.
Utiliza DNS como sistema de resolución de nombres (debe haber obligatoriamente uno).

Active directory es accesible desde cualquier servidor de dominio.

¿Es válido un servidor DNS que no sea de windows?

En principio debe ser válido cualquiera que cumpla las siguientes condiciones:
1. soportar el registro de recursos Localización de servicios  (rfc 2052)
2. Actualización dinámica (rfc 2136)
En la práctica yo lo he intentado con varios y no lo he conseguido salvo con el de microsoft.



        ESTRUCTURA LOGICA



       ESTRUCTURA FISICA





Detallamos tranquilos:
  1. - Maestro de Esquema: es el DC que dirige todas las operaciones de cambio en el esquema del AD (la definición de clases de objeto, con sus atributos). Cuando se hace una modificación al esquema, siempre se realiza sobre el maestro de esquema (aunque la consola la lancemos desde otro DC), y a continuación se replica a todos los DCs del bosque. Esto permite asegurar que el esquema sea único para todo el AD.
  2. - Maestro de Nombres de Dominio: El DC que ostenta este rol es el que controla que los nombres propuestos para nuevos dominios en el bosque no estén en uso, y además que la topología de nombres sea la correcta (por ejemplo, si tenemos un árbol con un dominio de nombre "españa.es", no podremos crear otro árbol de nombre "sevilla.españa.es", sino que tendrá que ser un subdominio del anterior.
  3. - Emulador de PDC: Entre otras, realiza todas aquellas tareas que los equipos anteriores a Windows 2000 esperaban que se realizasen en un PDC de NT4. Entre otras cosas, cuando un DC recibe una modificación de la contraseña de un usuario, al primero que se lo replica es al PDC, quien además ejerce de árbitro cuando se produce una autenticación incorrecta de la contraseña de un usuario (antes de generar el mensaje de error, el DC en que se valida la contraseña errónea le pregunta al PDC por si éste ya hubiera recibido un cambio de la contraseña).
  4.  PDC de un dominio es la cabeza jerárquica en el mismo para la sincronización de tiempo (los clientes sincronizan con el DC con que se validan, y éstos con el PDC de su dominio). A su vez, el PDC del dominio raíz del bosque es la cabeza jerárquica de sincronización de tiempo para todos los PDCs de los dominios del bosque. Normalmente, éste PDC y no otro es el que configuraremos para sincronizar con una fuente externa de tiempo fiable
  5. - RID Master (Relative Identifier Master): Como he comentado antes, al ser todos iguales, en cualquier DC del dominio se pueden crear objetos del AD.  Al crear un objeto de tipo usuario, grupo o equipo se le asigna un identificador único de seguridad en el dominio (SID). Este identificador consta de una parte única para todo el dominio y de otra variable dentro del mismo, que le asigna el DC en que se crea el objeto. Para evitar que dos DCs distintos generen el mismo SID para un objeto, el DC que hace de RID master asigna al resto de DCs del dominio un número de IDs (un RID Pool), de tal forma que son distintos en cada DC. 
  6. - Maestro de Infraestructura: Es el DC responsable de actualizar en otros dominios de su mismo bosque aquellos objetos del dominio propio que son referenciados por objetos de otros dominios. Por poner un ejemplo claro que lo explique, podemos tener un grupo de usuarios en un dominio, al que pertenecen cuentas de usuario de otros dominios. Si en un momendo dado cambiamos el nombre al grupo, el Maestro de Infraestructura es el encargado de notificar a los de otros dominios de este cambio.
  7. El maestro de RID asigna secuencias de Id. relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento sólo puede haber un controlador de dominio que actúe como maestro de RID en cada dominio del bosque.



 videos explicativos: Recomiendo cortos y claros





SIGA POR FAVOR.......


    QUE ES UN ESQUEMA EN ACTIVE DIRECTORY


Definiciones de esquema

El esquema contiene definiciones formales de cada clase de objeto que se puede crear en un bosque de Active Directory. El esquema contiene también definiciones formales de cada atributo que puede o debe existir en un objeto de Active Directory.

Contenedores de esquema

El complemento Esquema de Active Directory incluye dos contenedores: el contenedor Clases y el contenedorAtributos. Estos contenedores almacenan las definiciones de clase y atributo. Estas definiciones adoptan la forma de objetos classSchema, que se pueden ver en el contenedor Clases, y objetos attributeSchema, que se pueden ver en el contenedor Atributos.

          QUE ES UN CATALOGO GLOBAL


El catálogo global es el almacén central de información sobre objetos en un árbol del bosque. De manera predeterminada, un catálogo global se crea automáticamente en el controlador de dominio inicial del bosque, conocido como servidor de catálogo global. Almacena una copia completa de todos los atributos de los objetos del directorio para su host de dominio y una copia parcial de todos los atributos de objetos que contiene el directorio de cada dominio en el bosque. La copia parcial almacena los atributos usados con más frecuencia en las operaciones de búsqueda (nombre y apellidos de usuario, nombre de inicio de sesión, etc.). Los atributos de los objetos que se copian en el catálogo global heredan los mismos permisos que tienen en los dominios origen, garantizando la seguridad de los datos almacenados en el catálogo global.
El catálogo global realiza dos funciones clave en el directorio:
  • Permite el inicio de sesión en red proporcionando información universal sobre pertenencia al grupo de un controlador de dominio cuando se realiza un proceso de inicio de sesión.
  • Permite encontrar información de directorio con independencia de qué dominio del bosque contenga los datos en ese momento.(http://fmc.axarnet.es/win2000srv/tema-02/tema-02-2a.htm)



ADENTRO VIDEOS¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡





       NOMBRES COMPLETOS Y NOMBRES RELATIVOS


Nombre completo
Cada objeto en Active Directory tiene un nombre completo (DN - Distinguished Name) que lo identifica de manera única y contiene suficiente información para que un cliente sea capaz de coger un objeto del directorio. El DN incluye el nombre del dominio que contiene al objeto, al igual que la ruta completa a través de la jerarquía del contenedor del objeto.
Por ejemplo, el siguiente DN identifica el objeto de usuario Nombre Apellido en el dominio microsoft.com (donde Nombre y Apellido representan el nombre y apellidos de una cuenta de usuario):
/DC=COM/DC=microsoft/OU=dev/CN=Usuario/CN=Nombre Apellido
  • DC: Nombre del componente del dominio.
  • OU: Nombre de la unidad organizativa.
  • CN: Nombre común
Los DN deben ser únicos. Active Directory no permite DN duplicados.

Nombre completo relativo
Active Directory soporta preguntas por atributos, de forma que se pueda localizar un objeto incluso en el caso de que el DN sea desconocido o haya cambiado. El hombre completo relativo (RDN - Relative Distinguished Name) de un objeto es la parte del hombre que es atributo del propio objeto. En el ejemplo anterior, el RDN del objeto de usuario Nombre Apellido es Nombre Apellido. El RDN del objeto principal es Usuarios.
Se pueden tener RDN duplicados en los objetos de Active Directory, pero no se pueden tener dos objetos con el mismo RDN dentro de la misma OU. Por ejemplo, si una cuenta de usuario se denomina Jane Doe, no se puede tener otra cuenta de usuario denominada Jane Doe en la misma OU. Sin embargo, pueden existir objetos con hombres RDN duplicados en OU diferentes porque tienen diferentes DN.


                      ADMINISTRACION CENTRALIZADA


             ADMINISTRACION CENTRALIZADA




                            RESUMIENDO


              IMPLEMENTACIONES DE ACTIVE DIRECTORY



ADENTRO VIDEO¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡






                   TAREAS DE DISEÑO ACTIVE DIRECTORY 





      PLANEAMIENTO DE ACTIVE DIRECTORY











El porque es tan importante active directory los foros hablan...

  1. Por que es la respuesta a la crítica que siempre se le hizo a microsoft en windows NT de que sus sistemas de red no son escalables. Con active directory se agilizan las búsquedas de recursos, se asegura la autentificación de usuarios y máquinas, se comparten mejor los recursos de la red, se abandona netbios como protocolo para compartir recursos (se resuelven mediante dns y el catálogo global).



¿Hay algo parecido en linux?

No, y no lo habrá por bastante tiempo. SAMBA con LDAP es algo que aún da muchos problemas y probablemente no funcionará hasta que el equipo de desarrollo de Samba solucione esos problemas.

No digo que no se pueda, pero no con el nivel de estabilidad y confiabilidad que en Windows. 

¿Para que me sirve?

Es util en redes grandes que se puedan dividir en dominios mas pequeños, centros de trabajo con varios dominios y redes intranet donde hay sucursales que comparten recursos.

Sobre un dominio miempresa.com podré tener subdominios 'comerciales.miempresa.com' por ejemplo para el acceso al dominio 'comerciales'.

Las consultas a recursos de la red son mucho mas rápidas porque se resuelven mediante el catálogo global en vez de búsquedas netbios.

La autentificación también se resuelve mediante el catálogo lo que resuelve problemas de seguridad variados. Un directorio activo es lo mas seguro que tiene windows hoy por hoy.

Las consultas al servidor o a otros sitios se resuelven por dns y no por netbios.

La administración del directorio activo puede realizarse desde cualquier servidor de dominio de toda la red.

Puede incluir cada objeto individual (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de área amplia. También puede incluir varias redes de área amplia combinadas.


          El próximo capitulo las practicassssssssssssssssssssssss¡¡¡¡¡¡¡¡¡¡

            FUENTES INFORMACION:






Enviar entrada por correo electrónico

Comentarios

Publicar un comentario

bueno opina y compara estás en tu blog .

Entradas populares