Arquitectura AD

ARQUITECTURA DEL DIRECTORIO ACTIVO DE WINDOWS ¿Qué hace el Directorio Activo?  Almacena información sobre objetos de

Views 188 Downloads 5 File size 458KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Ad Dad 02 Documento Arquitectura
Ad Dad 02 Documento Arquitectura

13 0 194KB Read more

Ad
Ad

15 0 155KB Read more

ad
ad

UNIVERSIDAD FRANCISCO GAVIDIA FACULTAD DE CIENCIAS ECONOMICAS CONTABILIDAD DE COSTOS CATEDRATICA: LIC. CLAUDIA LISSETTE

118 9 423KB Read more

AD
AD

100 1 158KB Read more

AD 03FormularioDeSolicitudDeAdecuacion
AD 03FormularioDeSolicitudDeAdecuacion

24 0 178KB Read more

Ad Claritatem
Ad Claritatem

72 1 2MB Read more

ad recurso
ad recurso

22 0 703KB Read more

Conversor AD
Conversor AD

36 4 580KB Read more

Ad Solemnitatem
Ad Solemnitatem

27 0 268KB Read more

ad General
ad General

62 0 6MB Read more

Citation preview

ARQUITECTURA DEL DIRECTORIO ACTIVO DE WINDOWS

¿Qué hace el Directorio Activo?  Almacena información sobre objetos de la red, implementa los servicios que permiten que dicha

información esté disponible y pueda ser utilizada por los usuarios, máquinas y aplicaciones. El DNS como sistema de nombres jerárquico (integrado con el AD) y las relaciones de confianza dan una estructura lógica y consistente que organiza los dominios y sus recursos de forma predecible y útil.

Directorio Activo y la seguridad  El directorio activo actúa como intermediario entre cualquier petición de usuario, máquina, aplicación o

servicio para permitirles o no el acceso a los recursos de la red, incluidos sistemas de archivos NTFS, aplicaciones web, el kernel, entre otros.  Un controlador de dominio pierde todas sus cuentas locales y depende de que el AD DS esté arriba para permitir logon local, exceptuando procedimientos de emergencia.

Bosques, árboles y dominios  Un dominio puede tener dominios hijos, formando un

árbol.  Varios árboles se relacionan entre sí jerárquicamente formando un bosque  El servicio de DNS se encarga de mantener la estructura jerárquica de nombres.

Flexible Single Master Operations

 Funciones cruciales del Directorio Activo.  Pueden estar distribuidas en diferentes controladores de dominio, pues cada uno es una copia completa de la base de datos del directorio

(Active Directory Store), la cual contiene todos los objetos existentes en un dominio.  Pueden trasladarse inclusive después que un controlador que posea un rol deje físicamente de funcionar.  Este artículo relaciona como hacer transferencia de los roles http://support.microsoft.com/kb/324801

Global Catalog Queda instalado en el primer controlador de dominio, se requiere al menos uno por dominio, se recomienda que haya al menos uno por sitio. No es un FSMO en sí mismo.  Función durante el logon: Permite logon en red al

dar la información de membresía a grupos universales. Si no hay catálogo ningún usuario o máquina pueden iniciar sesión.  Función de consultas: Permite búsquedas rápidas de objetos en bosques de varios dominios.

Domain Naming Master Controla la adición o remoción de dominios, árboles, y particiones de aplicación, garantizando su nombre único. Sólo debe haber uno en todo el bosque.  En caso de su falla se afecta la adición o

remoción de dominios

Schema Master Hay uno sólo por todo el bosque, mantiene la información de todos los atributos y clases de todos los objetos posibles del Directorio Activo.  Ejemplos de clases de objetos: user, computer, organizationalUnit  Ejemplos de atributos del objeto user: userPrincipalName, sAMAccountName,  Algunas aplicaciones como Exchange y la

integración con Call Manager de Cisco hacen extensión del esquema, por lo cual deben instalarse con un usuario Schema Admin.

Infrastructure Master Actualiza los SID o DN de los objetos en su dominio a objetos en otros dominios con los cuales hay relaciones de confianza, usando el GUID (Global Unique ID). Hay uno sólo Infrastructure Master por Dominio.  No debe compartirse este rol con el de Global Catalog en el mismo servidor, a menos que se trate de un bosque de un solo dominio o que todos los controladores del bosque sean Global Catalog.

Relative ID (RID) Master Se encarga de mantener la consistencia de IDs únicos de los objetos del dominio. El SID (Security ID) de un objeto está compuesto por el ID del dominio, seguido por un ID dado por el RID Master. Debe haber uno por cada dominio.  Cuando no hay RID Master una vez se terminen los pool de IDs asignados a los controladores de

dominio, no será posible crear más objetos en el dominio.

PDC Emulator Debe haber uno sólo por todo el dominio. Para los equipos anteriores a Windows XP se hace pasar por un controlador Windows NT, de allí su nombre, teniendo el rol de master browser.  Para todo el dominio se encarga de administrar la

sincronización de tiempo, la edición de GPOs, la replicación de eventos de cambio de password y bloqueo de cuentas.  Su ausencia podría generar fallos en el proceso de autenticación por no replicación de cambios o desincronización de las estaciones.

Arquitectura AD Windows Server 2008 La siguiente diapositiva muestra la arquitectura de un Dominio en nivel de funcionalidad 2008. Allí podemos ubicar los roles de los cuales hemos venido hablando.

Llamamos nivel de funcionalidad a los sistemas operativos que un dominio soporta en sus controladores de dominio, permite en su primera instalación compatibilidad hacia atrás, pero una vez actualizado no permite revertirlo.

Sitios y replicación  Creamos sitios cuando la

topología de la red nos exige segmentar  La replicación puede ser por RPC cuando son canales LAN o SMTP cuando se trata de canales WAN • Cada sitio debería tener al menos un controlador de dominio

Read Only Domain Controllers (RODC)  Introducidos en Server 2008, permiten crear

controladores que sólo reciben replicación entrante, la copia del AD que tienen es de sólo lectura y no puede ser modificada localmente. Esta funcionalidad es útil cuando se requiere desplegar controladores de dominio en ubicaciones de baja seguridad en el acceso a la consola.  Los RODC no almacenan por defecto las contraseñas de los domain admins y enterprise admins. Puede configurarse para que otras cuentas no se almacenen localmente, por ejemplo para reducir el riesgo de revelación de passwords si un RODC es robado.

Active Directory Lightweight Directory Services (AD LDS)  Previamente llamado ADAM, permite despliegues de directorio con una arquitectura similar pero más liviana.  Trabaja independiente del AD DS, lo cual lo hace ideal para aplicaciones web o en DMZ, generando una estructura de seguridad similar sin abrir puertos hacia el interior de la red corporativa.  Varias instancias pueden correr en el mismo servidor, apuntando a implementaciones de aplicaciones diferentes.

Referencias  Arquitectura del AD Windows Server 2008      

http://technet.microsoft.com/en-us/library/cc753985(WS.10).aspx Arquitectura original del AD http://technet.microsoft.com/enus/library/bb727030.aspx FSMO http://support.microsoft.com/kb/324801 Replicación http://technet.microsoft.com/enus/library/cc775549(WS.10).aspx#w2k3tr_repto_what_nfjw Atributos del objeto usuario http://msdn.microsoft.com/enus/library/ms677979(VS.85).aspx AD LDS http://technet.microsoft.com/enus/library/cc754361(WS.10).aspx Windows Server 2008 Active Directory Configuration (Exam 70-640)