Contenido Introducción a los servicios de directorio Active Directory Capítulo 1 A. Introducción . . . . . . . . . .
Views 250 Downloads 0 File size 23MB
Contenido
Introducción a los servicios de directorio Active Directory
Capítulo 1
A.
Introducción . . . . . . . . . . . . . . . . . . . . . . . . .
16
B.
Función del servicio de directorio en la empresa. . . . . . . . . .
16
C.
Posicionamiento e innovaciones de Windows Server 2008 . . . . .
17
1. 2. 3. 4. 5. 6.
. . . . . . . . . . . .
17 17 18 18 18 20 20 21 21 21 21 22
Windows Server 2008: estrategia de Microsoft . . . . . . . . . .
23
1. Integración de la innovación en Windows Server 2. El nuevo ciclo de productos Windows Server . . a. Versiones principales . . . . . . . . . . b. Versiones de actualización . . . . . . . . c. Service Packs . . . . . . . . . . . . . d. Feature Packs . . . . . . . . . . . . . 3. Windows Server 2008 "R2" . . . . . . . . . 4. Acerca de Windows Server 2003 . . . . . . .
. . . . . . . .
23 24 24 24 24 25 25 25
Servicios fundamentales y protocolos estándar . . . . . . . . . .
27
D.
E.
Versión principal de Windows Server . . . . . . . . . . . . . Evoluciones en materia de seguridad . . . . . . . . . . . . . Acceso a las aplicaciones y movilidad . . . . . . . . . . . . . Virtualización de servidores . . . . . . . . . . . . . . . . . Novedades aportadas por Windows Server 2008... . . . . . . . Innovaciones aportadas a Active Directory . . . . . . . . . . . a. AD DS: Auditoría . . . . . . . . . . . . . . . . . . . . b. AD DS: Gestión granular de las políticas de contraseña . . . . c. AD DS: Controladores de dominio de sólo lectura . . . . . . d. AD DS: Rearranque de los servicios de dominio Active Directory e. AD DS: Ayuda en la recuperación de datos . . . . . . . . . f. AD DS: Mejoras de la interfaz Active Directory. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . . . . . .
. . . . . . . .
. . . . . . . . . . . .
. . . . . . . .
DNS: conceptos, arquitectura y administración Capítulo 2 A.
Introducción al servicio DNS . . . . . . . . . . . . . . . . . .
32
1. Un poco de historia . . . . . . . . . . . . . . . . . . . . . . .
32
Windows Server 2008
1
Contenido 2. ¿Qué son los servicios DNS? . . . . . . . . . . . 3. Terminología del sistema DNS . . . . . . . . . . a. El espacio de nombre DNS (Domain Namespace) b. Jerarquía DNS y espacio de nombres Internet . . 4. El DNS: base de datos distribuida . . . . . . . .
. . . . .
34 35 35 39 40
Estructura del espacio DNS y jerarquía de dominios . . . . . . . .
42
1. El dominio raíz . . . . . . . . . . . . . . . . . . . . . . . . . 2. Los dominios de primer y segundo nivel . . . . . . . . . . . . . . .
42 42
Los registros de recursos . . . . . . . . . . . . . . . . . . . .
44
Dominios, zonas y servidores DNS. . . . . . . . . . . . . . . .
45
1. 2. 3. 4.
. . . . . . . . . . . . . . . . .
46 47 55 56 56 59 63 65 66 69 72 74 74 75 75 76 77
E.
Gestión de los nombres multihost . . . . . . . . . . . . . . . .
79
F.
Caducidad y borrado de los registros DNS . . . . . . . . . . . .
79
G.
Opciones de inicio del servidor DNS . . . . . . . . . . . . . . .
82
Recursividad de los servidores DNS y protección de los servidores . .
85
1. Bloqueo de los ataques de tipo Spoofing DNS . . . . . . . . . . . .
85
B.
C. D.
5. 6. 7. 8.
9.
H.
2
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
Dominios DNS y zonas DNS . . . . . . . . . . . . . . . . . . Zonas y ficheros de zonas . . . . . . . . . . . . . . . . . . . Nombres de dominio DNS y nombres de dominio Active Directory . . Tipos de zonas y servidores de nombres DNS . . . . . . . . . . . a. Servidores de nombres y zonas primarias . . . . . . . . . . . b. Servidores de nombres y zonas secundarias . . . . . . . . . . c. Tipos de transferencia de zonas DNS. . . . . . . . . . . . . d. Servidores de caché y servidores DNS . . . . . . . . . . . . Establecimiento de las zonas estándar: buenas prácticas . . . . . . Delegación de las zonas . . . . . . . . . . . . . . . . . . . . Uso de los reenviadores . . . . . . . . . . . . . . . . . . . . Zonas de código auxiliar. . . . . . . . . . . . . . . . . . . . a. Contenido de una zona de código auxiliar . . . . . . . . . . . b. Ventajas de las zonas de código auxiliar . . . . . . . . . . . c. Actualización de las zonas de código auxiliar . . . . . . . . . d. Operaciones en las zonas de código auxiliar . . . . . . . . . . Reenviadores, zona de código auxiliar y delegación: buenas prácticas .
. . . . .
. . . . . . . . . . . . . . . . .
Servicios de dominio Active Directory
Contenido
I. J.
K.
2. Bloqueo de los ataques de tipo Spoofing DNS en servidores de tipo Internet
86
Síntesis de las funciones de los servidores DNS . . . . . . . . . .
86
Comandos de gestión del servicio DNS . . . . . . . . . . . . . .
87
1. El a. b. c. 2. El 3. El 4. El 5. El
88 88 89 91 92 93 95 96
comando ipconfig . . . . . . . . . . . . Administración de la caché del cliente DNS y Renovación de la inscripción del cliente DNS Nuevas opciones del comando ipconfig . . . comando NSLookup . . . . . . . . . . . comando DNSCmd . . . . . . . . . . . . comando DNSLint . . . . . . . . . . . . comando Netdiag . . . . . . . . . . . .
. . . de los . . . . . . . . . . . . . . . . . .
. . . . . . . . registros dinámicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisión del servicio DNS . . . . . . . . . . . . . . . . . . 1. 2. 3. 4.
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
98 102 103 105
Restauración de los parámetros predeterminados . . . . . . . . .
106
M. Interfaz NetBIOS y Configuración DNS del cliente Windows XP Professional . . . . . . . . . . . . . . . . . . . . . . . . .
108
1. A propósito de la interfaz NetBIOS . . . . . . . . . . . . . . a. Interfaz NetBIOS y configuración DNS del cliente Windows XP Professional . . . . . . . . . . . . . . . . . . . . . . b. Tipos de nombres tolerados . . . . . . . . . . . . . . . c. Posicionamiento de la interfaz NetBIOS en relación con TCP/IP. 2. Plataforma Windows e interfaz Windows . . . . . . . . . . . . a. Servicios NetBIOS y códigos de servicios Microsoft . . . . . . b. Resolución de nombre NetBIOS . . . . . . . . . . . . . . c. Orden de las resoluciones NetBIOS . . . . . . . . . . . . d. Orden de resolución de una estación de trabajo de tipo H-nodo e. Interfaz y nombres NetBIOS, resoluciones WINS y dominios Active Directory. . . . . . . . . . . . . . . . . . . . . 3. Configuración de un puesto cliente Active Directory . . . . . . . a. A propósito de los clientes Active Directory . . . . . . . . .
Windows Server 2008
. . . .
. . . .
98
. . . .
L.
Definición de una base de referencia . . . . Uso de la consola Administración del servidor Uso de los visores de sucesos . . . . . . . Uso de los registros de depuración DNS . . .
. . .
108
. . . . . . . .
. . . . . . . .
108 108 109 109 109 112 113 113
. . . . . . . . .
117 117 117
. . . . . . . .
3
Contenido
N.
b. Estaciones de trabajo Windows XP y configuración DNS necesaria para los entornos de dominios Active Directory . . . . . . . . . . 4. Peticiones de resolución DNS y NetBIOS: Proceso de selección del método 5. Prueba de integración del equipo en el dominio Active Directory . . . . .
123 133 133
Novedades del servicio DNS de Windows Server 2008 . . . . . . . .
134
1. 2. 3. 4. 5. 6.
. . . . .
134 134 135 135 136
. . . . . .
138
. . . . . .
138
Introducción . . . . . . . . . . . . . . . . . . . . . Carga de zonas en segundo plano. . . . . . . . . . . . Soporte de direcciones IPv6 . . . . . . . . . . . . . . Soporte DNS de los controladores de dominio de sólo lectura Soporte de zonas de tipo GlobalNames . . . . . . . . . Evoluciones de la parte cliente DNS de Windows Vista y Windows Server 2008 . . . . . . . . . . . . . . . . 7. Selección de controladores de dominio con Windows Vista y Windows Server 2008 . . . . . . . . . . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
Integración de las zonas DNS en Active Directory A. B.
4
. . . . .
Capítulo 3
Introducción a la integración de las zonas DNS en Active Directory .
142
Almacenamiento de las zonas DNS y replicación de Active Directory .
142
1. Objetos ordenadores Active Directory y denominaciones . . . . . . 2. Ventajas de la integración de las zonas DNS en Active Directory . . . a. Actualización en modo multimaestro . . . . . . . . . . . . . b. Seguridad avanzada de los controles de acceso en la zona y en los registros . . . . . . . . . . . . . . . . . . . . . . 3. Particiones predeterminadas disponibles con Windows 2000 . . . . 4. Integración de las zonas DNS en Active Directory con Windows 2000 5. Integración de las zonas DNS en Active Directory con Windows Server y Windows Server 2008. . . . . . . . . . . . . . . . . . . . a. ForestDnsZones.NombreBosqueDns . . . . . . . . . . . . . b. DomainDnsZones.NombredeDominioDns . . . . . . . . . . . c. Utilización de otras particiones del directorio de aplicaciones. . . d. Creación de una partición en el directorio de aplicaciones Active Directory. . . . . . . . . . . . . . . . . . . . . . e. Replicación de las particiones del directorio de aplicaciones y caso de los catálogos globales . . . . . . . . . . . . . . .
. . . . . .
143 145 145
. . . . . . 2003 . . . . . . . .
146 149 151
. .
157
. .
158
153 155 156 156
Servicios de dominio Active Directory
Contenido f.
Almacenamiento de las zonas, particiones de aplicaciones y replicaciones . . . . . . . . . . . . . . . . . . . . . . . . . g. Zonas DNS integradas en Active Directory y particiones de directorio ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . h. Condiciones necesarias para realizar un cambio de almacenamiento. . i. Sugerencias de raíz . . . . . . . . . . . . . . . . . . . . . . j. Almacenamiento de las zonas en Active Directory y registros dinámicos de los controladores de dominio Windows 2000, Windows Server 2003 y Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 6. Proteger las actualizaciones dinámicas. . . . . . . . . . . . . . . . a. Configurar las actualizaciones dinámicas seguras . . . . . . . . . . 7. Actualizaciones seguras y registros DNS realizados a través de DHCP. . . a. Uso del grupo especial DNSUpdateProxy para realizar las actualizaciones dinámicas de las zonas DNS seguras . . . . . . b. Protección de los registros al usar el grupo DnsUpdateProxy . . . . . c. Protección de las zonas DNS y poder del servicio servidor DHCP sobre los controladores de dominio Active Directory . . . . . . . . d. Comando Netsh y declaración de la autenticación del servidor DHCP . 8. Conflictos de gestión de las confianzas en las zonas DNS . . . . . . . .
C.
Integración de los servidores DNS Windows con el servidor existente . 1. A propósito de los RFC soportados por el servicio DNS de Windows Server 2003 y Windows Server 2008 . . . . . . . . . 2. A propósito de los RFC 1034 y 1035 . . . . . . . . . . . . . . . 3. Consulta de los RFC en la Web. . . . . . . . . . . . . . . . . . 4. Interoperabilidad de los servicios DNS de Windows Server 2003 y 2008 . 5. Problemas de compatibilidad y búsquedas directa e indirecta WINS . . 6. Especificidad del DNS de Windows 2000 Server, Windows Server 2003 y Windows Server 2008 e integración dinámica en los servidores DHCP . . 7. Autorizaciones de las transferencias de zona . . . . . . . . . . . .
Localización de servicios Active Directory y servicios DNS
159 159 162 162
163 164 164 167 170 170 171 173 173
174
. . . . .
174 175 176 176 176
. .
177 177
Capítulo 4
A.
Introducción . . . . . . . . . . . . . . . . . . . . . . . . .
180
B.
Servicio de Localización DNS y selección de los controladores de dominio. . . . . . . . . . . . . . . . . . . . . . . . . .
180
Windows Server 2008
5
Contenido C.
Estructura DNS e integración en el directorio Active Directory . . . .
D.
Registros DNS "Ubicación de servicio" de los controladores de dominio 187 1. Estructura de acogida de la zona DNS para los registros de recursos de tipo SRV . . . . . . . . . . . . . . . . . . . . . . . . a. A propósito del registro de recursos DNS de tipo SRV. . . . . b. Registros SRV inscritos en el servicio "Inicio de sesión de red" . c. A propósito del registro DsaGuid._msdcs.NombredeBosque . . d. Registros de recursos para los clientes no compatibles con los registros SRV . . . . . . . . . . . . . . . . . . 2. Servidores DNS no dinámicos y registros dinámicos de los controladores de dominio . . . . . . . . . . . . . . . 3. A propósito de la zona DNS del dominio raíz del bosque . . . . .
E. F. G.
. . . .
188 189 191 194
. . .
194
. . . . . .
194 195
Restricciones y problemas potenciales . . . . . . . . . . . . . .
196
. . . .
Control rápido de los registros de recursos . . . . . . . . . . . .
197
1. Pruebas de registros DNS . . . . . . . . . . . . . . . . . . . . .
197
Gestión del problema de la transición de los controladores de dominio NT a Active Directory . . . . . . . . . . . . . . . .
200
Componentes de la estructura lógica A.
. . . .
185
Capítulo 5
Introducción a los componentes de la estructura lógica . . . . . . .
206
Los dominios . . . . . . . . . . . . . . . . . . . . . . . . .
206
1. 2. 3. 4.
. . . . . . . . . . . . . . . . . .
208 209 213
. . . . . . . . . . . . . . . . . .
214 216 217
C.
Controladores de dominio y estructura lógica . . . . . . . . . . .
220
D.
Las unidades organizativas (OU) . . . . . . . . . . . . . . . .
223
E.
Los árboles . . . . . . . . . . . . . . . . . . . . . . . . .
229
B.
Contenedor (container) dentro del bosque . . . . . . . . Niveles funcionales de los dominios . . . . . . . . . . . Gestión de las directivas en los dominios. . . . . . . . . Delegación de la administración de dominios y control de los parámetros específicos de dominio . . . . . . . . 5. Uso del dominio como unidad de replicación elemental. . . 6. Límites del dominio Active Directory y delegación obligatoria
6
Servicios de dominio Active Directory
Contenido F.
Los bosques . . . . . . . . . . . . . . . . . . . . . . . . .
237
1. Criterios, función y buen uso de los bosques . . . . . . . . . . . . . 239 2. Configuración del bosque y del dominio raíz . . . . . . . . . . . . . 239 3. Activación de las nuevas funcionalidades de bosque de Windows Server 2003 y de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 241 4. Unidades de replicación y función de los bosques . . . . . . . . . . . 246 5. Maestros de operaciones FSMO de bosques . . . . . . . . . . . . . 249 6. El bosque y la infraestructura física Active Directory . . . . . . . . . . 249 7. Fronteras de seguridad y función de los bosques . . . . . . . . . . . 251 8. Confianzas dentro de los bosques Active Directory . . . . . . . . . . . 253 a. Beneficios de la transitividad en las confianzas . . . . . . . . . . 253 b. Estructura del bosque y confianzas . . . . . . . . . . . . . . . 254 c. Confianzas y objetos TDO en los bosques Active Directory . . . . . . 255 d. Tipos de confianza soportadas . . . . . . . . . . . . . . . . . 259 e. Bosques Windows Server (2003 o 2008) y confianzas de bosques . . 261 f. Enrutamiento de los sufijos de nombres y confianzas en el bosque . . 262 g. Uso del comando Netdom para crear y administrar confianzas . . . . 265
G.
Éxito del proceso de actualización de Active Directory a los servicios de dominio Active Directory de Windows Server 2008 . . . . . . . 1. Comprobaciones y gestión de los riesgos . . . . . . . . . . . . . 2. Preparación de la infraestructura Active Directory para Windows Server 2008 . . . . . . . . . . . . . . . . . . 3. Implementación de un nuevo controlador Windows Server 2008 AD DS 4. Reasignación de funciones FSMO . . . . . . . . . . . . . . . . 5. Operaciones de finalización Post Migración . . . . . . . . . . . . a. Modificación de las directivas de seguridad de los controladores de dominio . . . . . . . . . . . . . . . . . . . . . . . b. Actualización de las autorizaciones de objetos GPO para los dominios migrados a partir de Windows 2000 . . . . .
Grupos, OUs y delegación A. B.
266
. .
267
. . . .
. . . .
267 269 269 270
. .
270
. .
271
Capítulo 6
Introducción a los grupos, OUs y delegación . . . . . . . . . . .
274
Uso de los grupos en el entorno Active Directory . . . . . . . . .
274
1. Los diferentes tipos de grupos Windows . . . . . . . . . . . . . . .
274
Windows Server 2008
7
Contenido a. Los grupos de seguridad . . . . . . . . b. Los grupos de distribución . . . . . . . 2. Ámbito de los grupos . . . . . . . . . . . a. Los grupos globales . . . . . . . . . . b. Los grupos locales de dominio . . . . . c. Los grupos universales . . . . . . . . . 3. Reglas generales relativas a los objetos grupos a. Uso correcto de las cuentas de grupo . . b. Uso correcto de los grupos universales . .
C.
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
275 276 276 276 277 277 278 278 279
Definición de una estructura de unidades organizativas . . . . . . . .
279
1. Función de los objetos unidades organizativas . . . . . . . . . 2. Uso de las unidades organizativas y relación con la organización de la empresa . . . . . . . . . . . . . . . . . . . . . . . 3. Delegación de la autoridad de administración y uso de las unidades organizativas . . . . . . . . . . . . . . . . . . . . . . . a. Estructura basada en la naturaleza de los objetos administrados b. Estructura basada en las tareas de administración . . . . . . c. Factores a integrar en la definición de una jerarquía de unidades organizativas . . . . . . . . . . . . . . . . . . . . . . 1. Uso de las unidades organizativas para las directivas de grupo . . 2. Reglas generales y buenas prácticas. . . . . . . . . . . . . .
. . .
279
. . .
280
. . . . . . . . .
282 282 283
. . . . . . . . .
283 288 288
Principios fundamentales de las directivas de grupo A.
8
. . . . . . . . .
Capítulo 7
Tecnología IntelliMirror . . . . . . . . . . . . . . . . . . . .
292
1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . 2. Aportación para la empresa . . . . . . . . . . . . . . . . . 3. Modificaciones realizadas a las GPO por los clientes Windows Vista a. Mejora de la detección de red (Network Location Awareness) . b. Directivas locales múltiples (LGPO) . . . . . . . . . . . . c. Mejor gestión de los mensajes de eventos. . . . . . . . . . d. Antiguos ADM y nuevos ADMX . . . . . . . . . . . . . . e. Windows Vista soporta numerosas nuevas categorías . . . . .
292 292 294 295 295 296 296 298
. . . . . . . .
. . . . . . . .
. . . . . . . .
Servicios de dominio Active Directory
Contenido 4. Novedades aportadas en las estaciones cliente gracias a los cambios en las directivas de grupo de Windows Server 2008 . . . . . . . . . . a. La administración centralizada de los parámetros de gestión de energía b. Mejoras aportadas a los parámetros de seguridad . . . . . . . . . c. Mejora de la gestión de los parámetros vinculados a Internet Explorer . d. Asignación de impresoras en función del sitio Active Directory . . . . e. Delegación de la instalación de controladores de impresora a través de las GPO. . . . . . . . . . . . . . . . . . . . . . . . . . f. Nuevos objetos "GPO Starter" . . . . . . . . . . . . . . . . . . g. Parámetros del protocolo NAP - Network Access Protection . . . . . 5. Nuevas preferencias de directivas de grupo de Windows Server 2008 . . a. ¿Preferencias o directivas de grupo? . . . . . . . . . . . . . . . b. Despliegue e implementación de Preferencias de directivas de grupo . c. Familias de parámetros soportadas por las Preferencias de directivas de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . d. Operaciones y Acciones en los Elementos de las Preferencias . . . . e. Parar el tratamiento de los elementos de esta extensión si se produce un error . . . . . . . . . . . . . . . . . . . . . . . . . . . f. Ejecutar en el contexto de seguridad del usuario conectado (opción de directiva de usuario) . . . . . . . . . . . . . . . . . g. Eliminar el elemento cuando no se aplica . . . . . . . . . . . . . h. Aplicar una vez y no volver a aplicar . . . . . . . . . . . . . . . i. Selección a nivel del elemento de Preferencias. . . . . . . . . . . j. Utilización de variables en el editor de selección . . . . . . . . . . k. Seguimiento de la ejecución de las Preferencias de directivas de grupo
B.
298 298 300 300 301 301 302 303 304 305 307 309 312 313 313 314 314 314 315 316
Creación y configuración de objetos de directiva de grupo. . . . . .
318
1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . 2. Directivas de grupo y relación con las tecnologías . . . . . . . . . 3. ¿Qué contiene una directiva de grupo? . . . . . . . . . . . . . . a. Plantillas administrativas . . . . . . . . . . . . . . . . . . b. Reglas de seguridad para los ordenadores y plantillas de seguridad c. Administración de las aplicaciones . . . . . . . . . . . . . . d. Administración de la ejecución de archivos de comandos . . . . e. Administración de los servicios de instalación remota RIS . . . .
318 318 319 319 321 327 331 331
Windows Server 2008
. . . . . . . .
. . . . . . . .
9
Contenido f.
4.
5.
6.
7.
8.
10
Administración de los parámetros de configuración y seguridad de Internet Explorer . . . . . . . . . . . . . . . . . . . . . . g. Redireccionamiento de las carpetas de usuario (carpetas especiales) . h. ¿Qué es una directiva de grupo?. . . . . . . . . . . . . . . . . i. ¿Qué es una directiva local? . . . . . . . . . . . . . . . . . . Estructura física de una directiva de grupo . . . . . . . . . . . . . . a. Objeto contenedor de directiva de grupo . . . . . . . . . . . . . b. Plantilla de la directiva de grupo . . . . . . . . . . . . . . . . c. Componentes de una directiva de grupo . . . . . . . . . . . . . d. Plantillas de directivas de grupo ADMX para Windows Vista . . . . . e. Creación de "Central Store" en SYSVOL . . . . . . . . . . . . . . f. Recomendaciones sobre la administración de las GPO en Windows Vista. . . . . . . . . . . . . . . . . . . . . . . Aplicación de las directivas de grupo en el entorno Active Directory . . . a. Aplicación con la plantilla S,D,OU y orden de procesamiento. . . . . b. Dominios Active Directory y dominios NT: L, S, D, OU y 4, L, S, D, OU c. Vínculos de las directivas de grupo a los objetos Sitios, Dominio y Unidades Organizativas y herencia . . . . . . . . . . . . . . . . d. Vínculos y atributo gPLink . . . . . . . . . . . . . . . . . . . e. Selección del controlador de dominio preferido. . . . . . . . . . . Creación de una directiva de grupo con las herramientas de Active Directory a. Uso de la consola de administración MMC Usuarios y equipos Active Directory . . . . . . . . . . . . . . . . . . . . . . . . b. Utilización de la consola de administración MMC “Sitios y servicios Active Directory” . . . . . . . . . . . . . . . . . . . . . . . Creación de una directiva de grupo con la GPMC . . . . . . . . . . . a. Creación de una directiva de grupo no vinculada . . . . . . . . . . b. Creación de una directiva de grupo vinculada . . . . . . . . . . . c. Administración de los vínculos de directiva de grupo . . . . . . . . d. Eliminación de una directiva de grupo . . . . . . . . . . . . . . e. Desactivación de una directiva de grupo . . . . . . . . . . . . . Administración del despliegue . . . . . . . . . . . . . . . . . . . a. Administración de los conflictos de procesamiento de las directivas de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . b. Administración del filtrado del despliegue de directivas de grupo . . . c. Puntos importantes . . . . . . . . . . . . . . . . . . . . . .
333 334 338 338 340 340 343 344 345 350 351 352 352 355 356 357 357 360 361 362 363 363 363 363 364 365 365 365 367 369
Servicios de dominio Active Directory
Contenido
C.
d. Definición de los filtros WMI . . . . . . . . . . . . . . . . . .
370
Configuración de los parámetros de actualización de las directivas de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . .
374
1. Restauración de las directivas de grupo . . . . . . . . . . . . . . a. Restauración de directivas en segundo plano . . . . . . . . . . b. Ciclo de restauración . . . . . . . . . . . . . . . . . . . . c. Restauración a petición . . . . . . . . . . . . . . . . . . . 2. Configuración de la frecuencia de restauración de las directivas de grupo 3. Restauración con Gpupdate.exe. . . . . . . . . . . . . . . . . . 4. Procesamiento de los componentes de las directivas de grupo en los vínculos de baja velocidad . . . . . . . . . . . . . . . . . a. Procesamiento de la configuración de directivas de grupo no modificadas . . . . . . . . . . . . . . . . . . . . . . . b. Activación de la detección de vínculos lentos . . . . . . . . . . c. Forzado de la aplicación de la configuración de la directiva incluso cuando ésta no ha cambiado . . . . . . . . . . . . . . . . . 5. Prohibición de la restauración para usuarios . . . . . . . . . . . . 6. Procesamiento por bucle invertido (Loopback). . . . . . . . . . . .
D.
. . . . . .
374 374 374 374 375 376
.
377
. .
378 378
. . .
379 381 381
Administración de las directivas de grupo con la consola GPMC . . .
383
1. Operación de copia de seguridad y restauración de las directivas de grupo . . . . . . . . . . . . . . . . . . . . . . . . 2. Operación de copia de directivas de grupo . . . . . . . . . . 3. Operación de importación de la configuración . . . . . . . . . a. ¿Por qué usar la funcionalidad de importación de la GPMC? . b. Uso de una tabla de correspondencias entre los objetos de diferentes dominios o bosques . . . . . . . . . . . .
E. F.
. . . .
383 385 386 386
. . . .
386
Comprobación y resolución de problemas relativos a las directivas de grupo con RsoP . . . . . . . . . . . . . . . . . . . . . .
387
Delegación del control administrativo de directivas de grupo . . . .
387
1. Conceder una delegación a través del grupo “Propietarios del creador de directivas de grupo” . . . . . . . . . . . . . . . . . . . . . . 2. Conceder una delegación con ayuda de la consola de administración GPMC a. Conceder la delegación de los vínculos de las directivas de grupo . . . b. Conceder un permiso de modelación de directivas de grupo . . . . .
389 390 390 391
Windows Server 2008
. . . .
. . . .
. . . .
11
Contenido
G.
c. Conceder una delegación de creación de filtros WMI . . . . . . . .
392
Recomendaciones para la definición de una directiva de grupo para la empresa . . . . . . . . . . . . . . . . . . . . . . .
393
Despliegue y administración del software A.
B.
C.
D.
12
Capítulo 8
Introducción a la administración del software . . . . . . . . . . .
396
1. IntelliMirror y la administración del software . . . . . . . . . . . . . 2. El ciclo de vida del software . . . . . . . . . . . . . . . . . . . .
396 397
Despliegue de software . . . . . . . . . . . . . . . . . . . .
401
1. Las diferentes etapas . . . . . . . . . . . . . . . . . . . . a. Disponer de un paquete MSI . . . . . . . . . . . . . . . b. Desplegar el software: Distribución y selección de objetivos . . c. Asegurar el mantenimiento del software . . . . . . . . . . d. Eliminar el software . . . . . . . . . . . . . . . . . . . 2. Tecnología Windows Installer y tipos de paquetes . . . . . . . . a. Programas con formato Microsoft Windows Installer . . . . . b. Aplicaciones reempaquetadas en formato MSI . . . . . . . . c. Archivos .Zap . . . . . . . . . . . . . . . . . . . . . d. Observaciones generales sobre los diferentes tipos de formatos de instalación . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . .
401 401 402 405 405 406 406 408 409
. . .
411
Configuración del despliegue del software . . . . . . . . . . . .
411
1. Creación de un nuevo despliegue de aplicaciones . . . a. Creación o modificación de una directiva de grupo . b. Configuración de las opciones de despliegue . . . c. Asociación de las extensiones de archivos. . . . . d. Creación de categorías de las aplicaciones públicas.
. . . . .
411 411 414 417 417
Mantenimiento de los programas desplegados . . . . . . . . . . .
418
1. Actualización de las aplicaciones . . . . . . . . . . . . . . . . . . 2. Despliegue de los Services Packs y actualizaciones . . . . . . . . . . 3. Eliminación del software. . . . . . . . . . . . . . . . . . . . . .
418 420 422
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . . . . . .
. . . . .
. . . . . . . . .
. . . . .
Servicios de dominio Active Directory
Contenido
Configuración de las funciones de servidores con los servicios AD A.
B.
Capítulo 9
Introducción . . . . . . . . . . . . . . . . . . . . . . . . .
426
1. 2. 3. 4.
. . . .
426 427 429 431
Active Directory Certificate Services (AD CS) . . . . . . . . . . .
431
1. Introducción a las infraestructuras de claves públicas (PKI) . . . . . 2. Los diferentes tipos de certificados . . . . . . . . . . . . . . . a. Introducción . . . . . . . . . . . . . . . . . . . . . . . b. Naturaleza y contenido de un certificado digital . . . . . . . . c. Certificados X.509 versión 1 . . . . . . . . . . . . . . . . d. Certificados X.509 versión 2 . . . . . . . . . . . . . . . . e. Certificados X.509 versión 3 . . . . . . . . . . . . . . . . 3. Los certificados y la empresa. . . . . . . . . . . . . . . . . . a. Relación entre los certificados y las autenticaciones . . . . . . b. Ámbito de utilización de los certificados . . . . . . . . . . . c. Utilización de los certificados digitales en la empresa . . . . . . d. Certificados de Usuarios . . . . . . . . . . . . . . . . . . e. Certificados de equipos . . . . . . . . . . . . . . . . . . f. Certificados de aplicaciones. . . . . . . . . . . . . . . . . 4. Almacenamiento de los certificados . . . . . . . . . . . . . . . a. Introducción . . . . . . . . . . . . . . . . . . . . . . . b. Almacenamiento de certificados e interfaz CryptoAPI . . . . . . c. Visualización de los certificados: Almacén lógico y almacén físico . d. Archivado local de los certificados expirados. . . . . . . . . . e. Estructura de almacenamiento del almacén de certificados lógico . f. Origen de los certificados almacenados en los almacenes . . . . g. Protección y almacenamiento de claves privadas . . . . . . . . 5. Consola de administración MMC de certificados . . . . . . . . . . 6. Nuevas interfaces criptográficas de Windows Vista y Windows Server 2008 . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
431 432 432 437 440 441 442 452 452 454 459 461 461 463 464 464 464 466 466 467 469 470 471
. .
472
Servicios de directorio de Windows 2000 Server y servicios asociados Servicios de directorio de Windows Server 2003 y servicios asociados Servicios de directorio de Windows Server 2003 R2 y servicios asociados Servicios de directorio de Windows Server 2008 y servicios asociados
Windows Server 2008
. . . .
. . . . . . . . . . . . . . . . . . . . . . .
13
Contenido a. Interfaz CNG (Cryptographic API Next Generation) . . . . . . . . . 7. Servicios de certificados de Windows Server 2008. . . . . . . . . . . a. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . b. ¿Por qué utilizar una PKI Microsoft Windows Server en lugar de otra? . c. Importancia de la Arquitectura de una infraestructura de clave pública 8. Novedades aportadas por las Autoridades Windows Server 2008 . . . . a. Nuevo componente MMC PKI de empresa . . . . . . . . . . . . b. Inscripción de los dispositivos de red con el protocolo MSCEP . . . . c. Evolución de los métodos de inscripción Web con AD CS . . . . . . d. OCSP y parámetros de validación de la ruta de acceso . . . . . . .
472 473 473 475 476 477 478 479 486 490
Active Directory Federation Services (AD FS) . . . . . . . . . . .
502
1. 2. 3. 4.
. . . .
502 505 505 508
Active Directory Lightweight Directory Services (AD LDS) . . . . . . . .
509
1. 2. 3. 4.
. . . .
509 510 511 523
Active Directory Rights Management Services (AD RMS) . . . . . .
524
1. 2. 3. 4. 5. 6.
. . . . . .
524 525 525 527 534 542
Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
545
C.
D.
E.
14
Conceptos fundamentales . . . . . . . . . . . . . AD FS: Novedades aportadas por Windows Server 2008 Instalación de la función AD FS . . . . . . . . . . Referencias para AD FS con Windows Server 2008 . .
. . . .
Conceptos fundamentales . . . . . . . . . . . . . . AD LDS: Novedades aportadas por Windows Server 2008 Instalación de la función AD LDS . . . . . . . . . . . Referencias para AD LDS con Windows Server 2008 . .
. . . .
. . . .
Introducción . . . . . . . . . . . . . . . . . . . . . Conceptos fundamentales . . . . . . . . . . . . . . . AD RMS: Novedades aportadas por Windows Server 2008 . Instalación de la función AD RMS de Windows Server 2008 Validación del buen funcionamiento de la plataforma RMS . Referencias para AD RMS con Windows Server 2008 . . .
. . . .
. . . .
. . . . . .
. . . .
. . . .
. . . . . .
. . . .
. . . .
. . . . . .
. . . .
. . . .
. . . . . .
. . . .
. . . .
. . . . . .
Servicios de dominio Active Directory
Windows Server 2008 los servicios de dominio Active Directory
JeanFrançois APRÉA
Resumen Este libro sobre Active Directory se dirige a arquitectos y administradores de redes interesados en diseñar y administrar una infraestructura de servicios de dominio Active Directory con Windows Server 2008. El enfoque “arquitectura” del libro permite al lector comprender correctamente los conceptos esenciales y tomar conciencia de las buenas prácticas. Los primeros capítulos describen la implementación y la administración de los servicios DNS con los servicios Active Directory. Los capítulos siguientes tratan sobre los elementos de estructura como los dominios, las OU, los árboles, los bosques y la creación y la configuración de los objetos directiva de grupo (nueva GPMC, análisis y modelización RSoP, delegación…). Se presentan las nuevas posibilidades de las Preferencias de directivas de grupo y el ciclo de vida del software se trata a través de la gestión del software en las infraestructuras Active Directory. El último capítulo aborda la configuración de las funciones de servidores con los servicios Active Directory de Windows Server 2008. Tras recordar las bases propias de las infraestructuras PKI, se presentan los servicios de certificados AD CS. A continuación se tratan las novedades de Windows Server 2008, como las nuevas interfaces criptográficas, el registro de dispositivos de red a través del protocolo SCEP y el control de las revocaciones a través del protocolo OCSP. Finalmente, los principios fundamentales, las novedades y la instalación de los servicios de federación AD FS, los servicios LDAP AD LDS y los servicios de administración de derechos digitales AD RMS le permitirán ver la importancia de las novedades aportadas por Windows Server 2008.
El autor Jean-François APRÉA es Consultor Senior - Arquitecto de Infraestructuras Microsoft. Además de participar en programas beta y seminarios técnicos de Microsoft, ha dirigido muchos proyectos de infraestructura mundial para clientes de prestigio. Es MVP (Microsoft Most Valuable Professionnal) Windows Server System - Directory Services. En 2007 participó en el estudio y la implementación de una de las primeras plataformas AD RMS de administración de derechos digitales. Su pasión es grande y su compromiso como formador certificado Microsoft desde 1992 permite responder a las expectativas de los especialistas Windows Server.
Este libro ha sido concebido y se difunde respetando los derechos de autor. Todas las marcas citadas han sido registradas por su editor respectivo. Reservados todos los derechos. El contenido de esta obra está protegido por la Ley, que establece penas de prisión y/o multas, adamás de las correspondientes indemnizaciones por daños y perjuicios, para quienes reprodujeren, plagiaren, distribuyeren o comunicaren públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la preceptiva autorización. Este libro digital integra varias medidas de protección, entre las que hay un marcado con su identificador en las imágenes principales
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Introducción Esta introducción presenta los conceptos fundamentales de Active Directory, sus elementos de estructura y sus grandes funcionalidades. El directorio Active Directory es más que una simple funcionalidad ofrecida por Windows 2000, Windows Server 2003 y ahora por Windows Server 2008. Juega un papel central en el seno de la estrategia “Sistemas Distribuidos” de Microsoft. Esta introducción indispensable le permitirá comprender los fundamentos de esta estrategia.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Función del servicio de directorio en la empresa El servicio de directorio es uno de los componentes más importantes de un sistema de información, cualquiera que sea su tamaño. Ofrece servicios centrales capaces de unir los múltiples elementos que componen el sistema de información. Por ejemplo, imagine que un usuario busca un elemento de la red sin conocer el nombre o el lugar donde encontrarlo. A primera vista, el problema parece irresoluble aunque al final no lo es tanto. De hecho, el usuario podrá resolver él mismo el problema iniciando una búsqueda en el sistema de directorio sobre la base de uno o más atributos que conozca. De esta manera, a nuestro usuario le es posible localizar una impresora a color que soporte la impresión a dos caras y que grape, y esto en un emplazamiento geográfico en concreto. A través de este primer ejemplo, podemos introducir los fundamentos del directorio Active Directory. El directorio Active Directory debe ofrecer los medios para almacenar toda la información que caracteriza el conjunto de objetos que puedan existir en la red de la empresa así como disponer de los servicios capaces de dar esta información globalmente utilizable por los usuarios, y esto, en función de sus derechos y privilegios. En consecuencia, los servicios de dominio Active Directory de Windows Server ofrecen los siguientes servicios: ●
●
●
●
●
La posibilidad de publicar a escala de la empresa los servicios indispensables para el buen funcionamiento de ésta. Los servicios de carácter global podrán encontrar su lugar en el seno de un servicio de directorio que ofrezca tales posibilidades de publicación y de selección. Por ejemplo, podría ser, para una aplicación que se ejecuta en una estación de trabajo, localizar el servidor de mensajería instantánea más cercano y disponible. Para retomar el ejemplo anterior, se podría tratar de una estación de trabajo que deba seleccionar una autoridad de certificación capaz de dar un certificado que permita acceder a un sitio o a una aplicación particularmente segura. Pueden, si es necesario, jugar el papel de columna vertebral para el conjunto de servicios de seguridad de la red de la empresa. De esta manera, los administradores pueden apoyarse sobre un modelo de gestión global de la seguridad, que les permitirá garantizar fácilmente un alto nivel de seguridad de los accesos y una mejor confidencialidad de los datos sensibles. Por ejemplo, éste podría ser el caso de la distribución automática de certificados digitales para firmar un correo electrónico, o bien ocuparse de la autentificación de usuarios con una tarjeta inteligente, o mediante la verificación de la huella digital o, por qué no, también del iris. También se puede tratar de la distribución de las listas de control de acceso a un firewall en función de la autentificación de un usuario con una conexión VPN. De esta manera, los servicios de dominio Active Directory permiten, o no, a un usuario remoto acceder a ciertos recursos de la red privada controlando dinámicamente las reglas contenidas en el firewall. El directorio está distribuido globalmente. Esta funcionalidad permite al conjunto de los usuarios de la red contar con el conjunto de los servicios de seguridad, de los servicios de aplicativos y de los servicios de búsqueda de Active Directory. Evidentemente, los servicios globales deben ser accesibles globalmente. No puede ser de otra manera, sobretodo si se trata de controles de acceso y del buen funcionamiento de aplicaciones críticas como la mensajería y los servicios de colaboración. Está claro que estas exigencias necesitarán una adopción generalizada de tecnologías indispensables para la implementación de éstas. El directorio debe disponer de funciones naturales que le permitan resistir los fallos. La replicación del directorio Active Directory en cada localización geográfica importante permitirá al directorio jugar su papel central. Por ejemplo, la desaparición de un controlador de dominio en una localización geográfica dada, puede ser solucionada sin necesitar la intervención humana. Los servicios de dominio Active Directory aportan la tecnología de particionado que permite contar con un espacio de almacenaje distribuido en toda la empresa. De esta manera, el directorio Active Directory es capaz de administrar millones de objetos y permite a los usuarios acceder independientemente de su ubicación o de la de los recursos. Este rol central dará al servicio de directorio Active Directory un carácter particularmente estratégico y crítico que convendrá considerar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Posicionamiento e innovaciones de Windows Server 2008 1. Versión principal de Windows Server Windows Server 2008 ha sido concebido como una versión principal para proporcionar a las empresas una plataforma más productiva para virtualizar cargas de trabajo, alimentar las aplicaciones y proteger redes. Las mayores evoluciones y avances permiten proporcionar una plataforma segura fácil de gestionar, desde el simple servidor de grupo de trabajo al centro de datos de la empresa.
2. Evoluciones en materia de seguridad La seguridad ha sido igualmente mejorada gracias a la protección de los accesos a redes (NAP, Network Access Protection), los nuevos controladores de dominio de sólo lectura (RODC, Read Only Domain Controller) y a la nueva versión de los servicios e infraestructura de clave pública (AD CS, Active Directory Certificate Services). Los servicios de gestión de derechos digitales RMS (AD RMS, Active Directory Rights Management Services) permiten también la gestión de información crítica y datos confidenciales tanto dentro como fuera de la empresa. La presencia de funciones de refuerzo de los servicios Windows, del nuevo firewall de Windows bidireccional y de funciones criptográficas CNG (Crypto Next Generation) son también puntos esenciales.
3. Acceso a las aplicaciones y movilidad Los usuarios móviles no se quedan atrás puesto que ahora es posible ejecutar programas desde cualquier emplazamiento remoto gracias a RemoteApp y las funciones de Terminal Services Gateway. Windows Server 2008 permite también a los equipos de despliegue progresar gracias a los Servicios de despliegue Windows (Windows Deployment Services).
4. Virtualización de servidores Por último, los progresos realizados en la integración de tecnologías virtuales en el hardware permite a HyperV virtualizar cargas de trabajo mucho más exigentes que las versiones precedentes y con una flexibilidad mayor. La arquitectura está basada en un hipervisor de 64 bits con una baja sobrecarga especializado para los procesadores de 64 bits de Intel (Intel VT) y AMD (Pacifica). Windows Server 2008 e HyperV se hacen cargo de las configuraciones multinúcleo. Cada máquina virtual (VM) puede recibir un máximo de ocho procesadores lógicos para virtualizar las cargas de trabajo intensivas que aprovechan el tratamiento en paralelo de los núcleos de las máquinas virtuales multiprocesador. El sistema huésped de 64 bits se hace cargo de los sistemas de explotación hospedados en modo 64 bits para asegurar un acceso rápido a las grandes zonas de memoria de las máquinas virtuales hospedadas. HyperV soporta el acceso directo a los discos. Los sistemas de explotación hospedados pueden ser configurados para acceder directamente al almacenamiento local o a la red SAN (Storage Area Network), garantizando rendimientos superiores en las aplicaciones de E/S (entrada/salida) masivas como SQL Server o Microsoft Exchange Server. En la salida al mercado de Windows Server 2008, HyperV no estaba todavía disponible. Sin embargo, hay que remarcar que Windows Server 2008 Standard o Enterprise en su versión x64 US se entrega con una ”Preview” de la tecnología HyperV. La versión final esta disponible desde el mes de agosto de 2008.
5. Novedades aportadas por Windows Server 2008... Después de pasar de Windows NT a Windows 2000, Windows Server 2008 es realmente el punto de partida de una nueva generación de Windows Server. La siguiente lista de funcionalidades ilustra el conjunto de las evoluciones: ●
Windows Firewall with Advanced Security
●
Server Manager
●
Server Core Installation Option
●
Active Directory Certificate Services Role
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
- 2-
●
AD CS: Enterprise PKI (PKIView)
●
AD CS: Network Device Enrollment Service
●
AD CS: Online Certificate Status Protocol Support
●
AD CS: Policy Settings
●
AD CS: Web Enrollment
●
Cryptography Next Generation
●
Active Directory Domain Services Role
●
AD DS: Auditing
●
AD DS: FineGrained Password Policies
●
AD DS: ReadOnly Domain Controllers
●
AD DS: Restartable Active Directory Domain Services
●
AD DS: Snapshot Viewer
●
AD DS: User Interface Improvements
●
Active Directory Federation Services Role
●
Active Directory Lightweight Directory Services Role
●
Active Directory Rights Management Services Role
●
Application Server
●
DNS Server Role
●
File Services Role
●
Windows Server Backup
●
Services for Network File System
●
Transactional NTFS
●
SelfHealing NTFS
●
Symbolic Linking
●
Network Policy and Access Services Role
●
Network Policy and Access Services
●
Network Access Protection
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
Streaming Media Services Role
●
Terminal Services Role
●
Terminal Services Core Functionality
●
Terminal Services Printing
●
TS RemoteApp
●
TS Web Access
●
TS Licensing
●
TS Gateway
●
TS Session Broker
●
Terminal Services and Windows System Resource Manager
●
Web Server (IIS) Role
●
Windows Deployment Services Role
●
Windows SharePoint Services Role
●
BitLocker Drive Encryption
●
Failover Clustering
●
Network Load Balancing Improvements
●
Next Generation TCP/IP Protocols and Networking Components
●
Windows Reliability and Performance Monitoring
6. Innovaciones aportadas a Active Directory Como fue en el caso de Windows Server 2003, los servicios de directorio Active Directory tienen como principal función gestionar usuarios, recursos como ordenadores, impresoras y también aplicaciones como Microsoft Exchange Server o Microsoft Office Communication Server. Los servicios Active Directory de Windows Server 2008 incluyen nuevas funcionalidades la mayoría de las cuales no estaban presentes en anteriores versiones de Windows Server. De hecho los servicios de directorio de Active Directory son rebautizados como Servicios de dominio Active Directory (AD DS, Active Directory Domain Services). En esta introducción se presentan estas novedades.
a. AD DS: Auditoría Los controladores de dominio Windows Server 2008 soportan nuevas subcategorías (Directory Service Changes) para registrar en las modificaciones de atributos de objetos Active Directory, tanto el antiguo como el nuevo valor de atributo. Un nuevo parámetro, a definir en la política de controladores de dominio Audit directory service access, permite activar o desactivar esta nueva funcionalidad. Naturalmente, esta funcionalidad es muy interesante para aquéllos que quieren vigilar las operaciones realizadas a los objetos. Observe que la administración de los atributos de los objetos a auditar siempre está definida a nivel de objeto, permitiendo así una configuración muy precisa. Los nuevos servicios de auditoría permiten así registrar los valores de los atributos durante las modificaciones.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Windows Server 2003 tenía la posibilidad de registrar los eventos de modificación de los atributos, pero no permitía registrar ni los antiguos, ni los nuevos valores. Observe también que las nuevas funcionalidades de auditoría de los servicios de dominio Active Directory se aplican del mismo modo en los servicios AD LDS (Active Directory Lightweight Directory Services).
b. AD DS: Gestión granular de las políticas de contraseña Con los dominios Windows 2000 y Windows Server 2003, sólo se podía aplicar una estrategia de contraseñas y bloqueo de cuentas en el conjunto de usuarios de un dominio. A partir de ahora, los servicios de dominio Active Directory de Windows Server 2008 permiten definir diferentes políticas de contraseña así como diferentes políticas de bloqueo de cuentas. Esta nueva funcionalidad interesará a los numerosos administradores que buscaban esta posibilidad. Ahora será posible crear múltiples políticas de contraseña en el mismo dominio y aplicarlas a diferentes grupos de usuarios. Estas nuevas estrategias de cuentas no se aplican únicamente a objetos usuarios de la clase inetOrgPerson, sino que también se aplican a los grupos globales de seguridad.
c. AD DS: Controladores de dominio de sólo lectura Los controladores de dominio que funcionan en Windows 2000 Server o Windows Server 2003 son por definición de lecturaescritura. Cuando las limitaciones de la arquitectura de red lo exigen, es necesario poner en un sitio remoto un controlador de dominio a fin de autentificar a los usuarios y de ofrecer los servicios de infraestructura habituales. El problema es que, a menudo, los sitios remotos, no disponen del nivel de seguridad necesario para los servidores de infraestructura, como los controladores de dominio en los que es posible la escritura. Windows Server 2008 permite instalar un nuevo tipo de controlador de dominio llamado controlador de dominio de sólo lectura o RODC (ReadOnly Domain Controller). Esta nueva solución permite implementar controladores de dominio en los lugares en los que no sea posible garantizar un buen nivel de seguridad. Además de forzar a la base de datos Active Directory a modo sólo lectura, los RODC introducen también otras mejoras como la replicación unidireccional, el almacenamiento en cache de los datos de identificación, la separación de funciones y la gestión de la problemática de inscripciones dinámicas DNS en las zonas DNS integradas en bases de datos Active Directory disponibles en sólo lectura.
d. AD DS: Rearranque de los servicios de dominio Active Directory Los servidores Windows Server 2008 permiten a los administradores parar y arrancar los servicios AD DS con la ayuda de las herramientas habituales de Windows Server 2008. Esta nueva funcionalidad es muy interesante durante la actualización o durante una operación de desfragmentación de la base de datos Active Directory, sabiendo que los servicios que no dependan de Active Directory pueden seguir funcionando normalmente.
e. AD DS: Ayuda en la recuperación de datos Antes de la utilización de controladores de dominio Windows Server 2008, cuando los objetos eran eliminados accidentalmente, la única forma de determinar qué objetos habían sido suprimidos era restaurar la base de datos Active Directory. Aunque la funcionalidad de ayuda en la recuperación de los datos de Active Directory, no permite restaurar directamente los datos eventualmente suprimidos, ayudará en el proceso de recuperación de los datos. Gracias a la herramienta de montaje de base de datos Active Directory, se muestran los datos Active Directory almacenados en imágenes. De este modo, el administrador puede comparar los datos en diferentes momentos sin ninguna parada del sistema. Durante la fase Beta de Windows Server 2008, esta funcionalidad se llamó Snapshot Viewer.
f. AD DS: Mejoras de la interfaz Active Directory Windows Server 2008 introduce un nuevo asistente instalación de los servicios Active Directory. Permite instalar los nuevos controladores de tipo RODC, así como definir las opciones de replicación de las contraseñas de estos controladores. La nueva consola de gestión de Usuarios y ordenadores Active Directory permite también precrear y delegar la instalación de un controlador de dominio en modo de sólo lectura. Además de estas mejoras, el asistente de instalación de Active Directory soporta una nueva opción que permite utilizar un modo más avanzado. Este nuevo modo permite:
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
●
●
Durante la instalación de un nuevo controlador de dominio en un dominio secundario, detectar cuando la IM (Infraestructura Master), está posicionada sobre un GC (Catálogo Global). En este caso, el asistente propone realizar la operación de transferencia de rol de maestro de infraestructura al nuevo controlador que se está instalando, naturalmente en el caso de que éste no tenga el papel de catálogo global. Esta nueva opción es muy interesante porque permite conservar una configuración de Active Directory válida durante la instalación o eliminación de los controladores. Durante la ejecución del asistente de instalación Active Directory, a partir de ahora es posible exportar el conjunto de los parámetros para utilizarlos en un fichero de respuestas. Esta nueva opción es muy interesante para la instalación de un controlador de dominio en modo "Server Core". Finalmente, una nueva opción muy importante permite forzar la supresión de los servicios Active Directory cuando el controlador de dominio que falle es arrancado en modo Directory Services Restore Mode.
Todas estas nuevas funcionalidades están detalladas posteriormente en el libro.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Windows Server 2008: estrategia de Microsoft Esta sección presenta la estrategia de Microsoft relativa a la familia Windows Server teniendo en cuenta las evoluciones que serán perceptibles vía Services Packs, Features Packs, actualizaciones y la próxima versión principal. La política del sistema presentada por Microsoft le facilita la recepción de las sucesivas evoluciones del producto y cuestiones adjuntas a la misma: ●
Integración de la innovación en Windows Server;
●
El nuevo ciclo de productos para Windows Server;
●
Windows Server 2008 "R2";
●
Planificación de los avances de Windows Server.
1. Integración de la innovación en Windows Server Windows Server integra un número importante de tecnologías, funcionalidades y servicios concebidos para formar una solución perenne y adaptada a las necesidades de los clientes. Una de las grandes ventajas de la integración de esta plataforma es la integración de estos servicios en el centro del sistema, de la plataforma en su conjunto y la facilidad de aplicación de los mismos. Windows Server ha sido diseñado sobre la base de unos escenarios que son reflejo de la experiencia de las empresas. El objetivo de este enfoque es el de permitir un despliegue rápido de soluciones, en principio complejo, estando lo más cerca posible de las expectativas y necesidades expresadas por los clientes. La estrategia consiste en innovar alrededor de la plataforma Windows Server. Esta plataforma tiene vocación de explorar diversas vías. Este punto afecta particularmente a los proveedores de aplicaciones, a los proveedores de servicios, a los integradores de sistemas, a los centros de formación y naturalmente, a los desarrolladores de hardware que puedan, con la base de las tecnologías presentadas, crear soluciones interesantes. Tanto los servicios de base integrados en el sistema, como las funcionalidades que Windows Server proporciona, permiten a los constructores y a sus socios concentrarse en el suministro de soluciones para extender los servicios fundamentales de Windows y aportar una plusvalía sustancial a los clientes. Los clientes y analistas externos han constatado que el enfoque de Microsoft con respecto a la innovación tiene por efecto acentuar el desarrollo de aplicaciones de alta calidad, para favorecer la bajada del coste total de propiedad (TCO) permitiendo una mejor productividad y eficiencia en comparación con soluciones de la competencia. Una innovación permanente es indispensable para permitir que las iniciativas tecnológicas principales llevadas a cabo por Microsoft, como DSI Dynamic Systems Initiative y la tecnología Microsoft .NET, puedan llegar a buen término.
2. El nuevo ciclo de productos Windows Server Hoy en día, Windows Server 2003 y Windows Server 2008 proporcionan los servicios de infraestructura fundamentales así como los servicios globales de Windows Server. Desde la fecha de salida en abril de 2003, Microsoft ha añadido nuevas funcionalidades a Windows Server 2003 gracias al suministro de "Feature Packs". Con Windows Server 2008, Microsoft ha continuado con su esfuerzo de innovación proporcionando una versión principal de su sistema de explotación servidor. Microsoft intenta proporcionar un ciclo de evolución de las próximas versiones de Windows Server de tal manera que los clientes puedan planificar y presupuestar sus evoluciones. La norma es proporcionar una versión principal de Windows Server a ser posible cada cuatro años, y una actualización de versión dos años después de cada versión principal.
a. Versiones principales Las versiones principales de Windows Server incluyen un nuevo núcleo y son también capaces de soportar el nuevo hardware, nuevos modelos de programación y evoluciones fundamentales en temas de seguridad y estabilidad. Estos cambios "mayores" pueden generar incompatibilidades del nuevo sistema con el hardware y el software existente.
b. Versiones de actualización Las versiones de actualización incluyen la versión anterior incluyendo el último Service Pack, algunos Feature Packs, y nuevas funcionalidades adicionales. Como una versión de actualización está basada en la anterior versión © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
principal, los clientes pueden incorporar estas versiones en su entorno de producción sin más pruebas suplementarias que aquéllas que pueda necesitar un simple Service Pack. Todas las funcionalidades adicionales proporcionadas por una actualización son opcionales y de hecho, no afectan a la compatibilidad de las aplicaciones existentes. Por ello, los clientes no deben volver a certificar o probar sus aplicaciones.
c. Service Packs Los Service Packs incorporan todos los correctivos críticos, no críticos, así como las últimas peticiones de los clientes en un mismo paquete. Microsoft, los clientes y los socios participantes en programas de Beta test prueban de manera intensiva los Service Packs. Los Service Packs pueden también incluir mejoras importantes de seguridad como la "Security Configuration Wizard" que está incluida en el Service Pack 1 de Windows Server 2003. Puede ser necesario realizar cambios a ciertos programas para soportar los nuevos estándares de la industria o funcionalidades pedidas por los clientes. Estos cambios son cuidadosamente evaluados y probados antes de ser finalmente incluidos en el Service Pack. A fin de permitir al máximo las extensiones y evoluciones de arquitectura, Microsoft se impone el mantenimiento del nivel de compatibilidad entre los Services Packs realizando pruebas masivas con las aplicaciones y estos diferentes Service Packs. En general, los problemas de compatibilidad son de aplicaciones que utilizan de manera inapropiada llamadas al sistema, interfaces internas o funciones específicas de la aplicación.
d. Feature Packs Cuando sea necesario, Microsoft proporcionará extensiones funcionales llamadas Feature Packs. Estos servicios adicionales son generalmente componentes importantes de Windows Server y, como tales, estos módulos son soportados oficialmente. Es por esto que todos estos componentes son descargables desde la web de Microsoft en una categoría que ha sido especialmente diseñada para ello (sitio Microsoft/Windows Server 2003/Downloads/Feature Packs). Sin embargo, a fin de simplificar los procesos de actualización de los administradores de sistemas, Microsoft limita el número y la frecuencia de los Feature Packs. La mayoría de los Feature Packs se incorporarán a través de actualizaciones o se actualizarán en una nueva versión principal.
3. Windows Server 2008 "R2" A día de hoy, Windows Server 2008 está disponible en versión 32 bits y 64 bits, teniendo en cuenta que las ediciones con HyperV sólo existen en 64 bits. La versión R2 de Windows Server 2008 salió al mercado en el 2009 y está disponible sólo en versión 64 bits.
4. Acerca de Windows Server 2003 Como recordatorio, a continuación encontrará las diferentes evoluciones de la versión anterior de Windows Server: Primer semestre de 2005: versiones de producto y actualizaciones ●
Windows Server 2003 SP1:
●
Mejora de la estabilidad en función de las impresiones de los clientes.
●
Mejoras relativas a los servicios de seguridad y a la seguridad general del sistema y sus componentes.
●
Mejora del rendimiento del orden del diez por ciento para los entornos con sobrecargas críticas.
●
Base para "Windows Server 2003 for 64Bit Extended Systems".
Windows Server 2003 for 64Bit Extended Systems release
- 2-
●
Acceso a tecnologías de 64 bits para lograr una mejor relación precio/rendimiento.
●
Código unificado para los procesadores AMD Opteron e Intel Xeon EM64T.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Feature Packs próximamente disponibles ●
Windows Update Services: esta versión sustituirá a la versión SUS 1.0 SP1 que ahora permite la descarga de actualizaciones de seguridad en las plataformas Windows 2000, Windows XP y Windows Server 2003. La versión WUS es una versión principal de este componente, ya que permite la descarga rápida de los parches para todas las aplicaciones Microsoft, de estadísticas e informes avanzados, una integración completa en Active Directory y una API (Application Programming Interface) de desarrollo abierta para que proveedores terceros puedan utilizar la plataforma para, ellos también, corregir y actualizar sus aplicaciones. Desgraciadamente pocos proveedores están interesados en la posibilidades que ofrece WUS, dejando de lado la problemática de la descarga de actualizaciones de aplicaciones no Microsoft.
Segundo semestre 2005: Windows Server 2003 "R2" ●
●
Gestión de acceso a la información para los usuarios que trabajan remotamente, los socios de confianza y los usuarios de oficinas descentralizadas. La versión "R2" está disponible para todos los clientes que dispongan de un contrato de tipo Software Assurance (SA) en la fecha de salida de Windows Server 2003 "R2".
Windows Server 2003 SP2 ●
Mejora de la estabilidad en función de las impresiones de los clientes.
Feature Packs disponibles de Windows Server 2003 Las siguientes funcionalidades adicionales ya están disponibles para descargar en el sitio de Microsoft: ●
●
●
●
●
●
●
●
●
Automated Deployment Services (ADS). Descarga disponible para Windows Server 2003 Edition Entreprise, este módulo incluye un conjunto de utilidades de clonaje que permite automatizar el despliegue de sistemas de explotación Microsoft. Active Directory Application Mode (ADAM). Para organizaciones que necesitan una gran flexibilidad en aplicaciones integradas en un sistema de directorio, ADAM es un servidor de directorio con estándar LDAP v2 y v3. File Replication Services (FRS) Monitoring Tools. Se trata de un conjunto de utilidades para asegurar las grandes operaciones de gestión del sistema de replicación de ficheros FRS. FRS se utiliza en el contexto del acceso al volumen de sistema SYSVOL y también para sincronizar el sistema de ficheros compartidos DFS Distributed File Systems. Este paquete contiene herramientas capaces de monitorizar el servicio DFS tales como Ultrasound y Sonar, así como herramientas de lujo como FRSDiag. Group Policy Management Console (GPMC). La nueva consola GPMC simplifica la administración de las políticas de grupo permitiendo una mejor comprensión, despliegue y administración de la implementación de las GPO (Group Policy Objects). Identity Integration. Identity Integration Feature Pack for Microsoft Windows Server Active Directory permite la gestión de las identidades y coordina las propiedades de los objetos usuario entre el directorio Active Directory y las diferentes implementaciones de ADAM, de Microsoft Exchange 2000 Server y de Exchange Server 2003. Permite también la fusión de un usuario dado o de un recurso dado en una única vista lógica. iSCSI support. Este módulo permite el soporte de la interfaz Internet Small Computer System Interface (iSCSI) proporcionando una solución económica para la aplicación de redes de almacenamiento IP (SANs Storage Area Network). Windows SharePoint Services. Los servicios WSS permiten considerar una nueva visión del sistema de almacenamiento. Además del almacenamiento, WSS permite la configuración de una solución de colaboración para que los grupos de usuarios y los equipos puedan trabajar conjuntamente con los documentos, tareas, contactos, eventos y todo tipo de información relevante. Services for UNIX 3.5. Los servicios para UNIX 3.5 permiten alcanzar un alto nivel de interoperabilidad con los entornos Unix. Este paquete comprende un servidor NFS (Network File System) y NIS (Network Information Services) así como numerosas utilidades para ayudar a los clientes a migrar sus aplicaciones de Unix a Windows. Windows Rights Management Services (RMS). RMS es un elemento clave de la política de seguridad. De © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
hecho, permite aplicar un elevado nivel de protección para las aplicaciones RMSaware. El objetivo es proteger los documentos y datos críticos de la empresa de accesos no autorizados. Para saber más sobre la visión a largo plazo de Microsoft con respecto a los servicios de la familia de productos Windows Server System, consulte la "Common Engineering Roadmap" disponible en el sitio Web de Microsoft. Este planning provisional de las evoluciones de los sistemas Microsoft es de libre acceso y le permitirá descubrir las próximas funcionalidades que estarán integradas en las versiones posteriores de Windows. Esta política está disponible en la dirección: http://www.microsoft.com/windowsserversystem/overview/engineeringroadmap.mspx
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Servicios fundamentales y protocolos estándar Los servicios de directorio permiten la aplicación de un espacio lógico organizado de manera jerárquica donde se hace fácil para todo usuario habilitado de la red localizar y utilizar todo tipo de información. Todos los perfiles pueden obtener utilidades ya que los usuarios pueden, por ejemplo, utilizar los servicios de búsqueda y localizar los recursos que necesiten, mientras que los administradores pueden, a su vez, mejorar la gestión de cuentas de usuario y sus privilegios, así como los recursos y sus derechos asociados. La centralización de la información en los servicios de directorio permitirá también evitar las innumerables pérdidas de tiempo ocasionadas por largos "paseos" en los servidores en búsqueda de la hipotética presencia del elemento buscado. Cualquiera que sea el sistema de directorio y el uso para el que esté concebido al principio, está claro que, al final, permite estructurar la información organizándola sobre la base de objetos más o menos complejos y de sus atributos respectivos, más o menos numerosos y específicos. Lógicamente si el directorio está situado en el centro del sistema de información, será un elemento de elección para servir de componente central para el conjunto de los servicios de seguridad y de control de acceso a los objetos soportados. Esta elección está en el centro de la política de Microsoft. Entre los puntos más importantes, podemos destacar que la implementación de Kerberos V5 como método de autentificación principal, y la integración de los servicios de gestión de certificados digitales X509 v3, son elementos que aseguran el éxito de Active Directory. El directorio puede, de este modo, ofrecer de manera genérica y segura todo tipo de datos a todo tipo de clientes. Los servicios del sistema operativo, las aplicaciones y, en general, toda entidad de seguridad habilitada que disponga de suficientes derechos, podrán acceder. Otro punto positivo inducido por los servicios de seguridad integrados en el sistema de directorio es el de permitir la implementación de una autentificación única disponible para toda la estructura de la empresa. Esta funcionalidad no existía con Windows 2000 ni con Windows Server 2003. Desde Windows NT (e incluso antes, en menor medida con LAN Manager), el inicio de sesión de dominio mediante el protocolo NTLM v1 o v2 ha sido ampliamente utilizada por aplicaciones Windows de terceros. Desde Windows 2000 Server, Windows Server 2003, y Windows Server 2008, se amplían estos conceptos apoyándose en las tecnologías de más éxito y experiencia de la industria. La siguiente tabla resume los puntos clave que caracterizan Active Directory. Funcionalidades Active Directory
Ventajas para la empresa
Sistema de almacenamiento distribuido.
Almacenamiento de los datos de directorio unificado siendo necesarias pocas tareas administrativas.
Escalabilidad del directorio.
Integración de aplicaciones terceras con extensión del esquema de Active Directory.
Administración centralizada y delegación.
Control de privilegios de administración y de parámetros de seguridad de modo jerárquico en el esquema de la empresa.
Disponibilidad de información del directorio, tolerancia El directorio puede ser actualizado a partir de a fallos, alto rendimiento. cualquier controlador de dominio, incluso sin que el controlador de dominio esté disponible. La disponibilidad de los flujos de replicación se controla gracias al ajuste dinámico de la topología de replicación y al modo de replicación multimatriz. La estructura de bosque de Active Directory los árboles, los dominios y los controladores de dominio es compatible con estructuras que contienen miles de sitios geográficos y millones de objetos. Gestión de configuraciones y cambios de configuración utilizando la tecnología IntelliMirror.
Coherencia de los parámetros aplicados y operaciones realizadas gracias a las políticas de grupo.
Servicios de seguridad en la estructura de las empresas de cualquier tamaño a través del soporte de Kerberos v5, SSL (Secure Socket Layer) 3.0, TLS (Transport Layer Security) y los servicios de claves públicas (PKI Public Key Infrastructure y certificados X509 V3).
Los servicios de autentificación y de control de accesos aseguran soporte en la red privada y también en Internet.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Gestión de la seguridad y delegación de la gestión de La granularidad baja hasta el atributo y el ámbito de administración. gestión se ejerce en los objetos Sitio, Dominio y UO. Soporte de estándares de Internet: un dominio Windows es un dominio DNS (Domain Name System), un dominio de autentificación es un dominio Kerberos, los certificados son utilizables de manera natural para la autentificación (inicio de sesión con tarjeta inteligente (Smart Logon) y la securización de la información (firmas electrónicas y cifrado de datos locales y que circulen por la red).
- 2-
La empresa se asegura la continuidad de su elección por la participación activa de Microsoft en los estándares de la industria. TCP/IP v4 y v6, DNS, DDNS (Dynamic DNS), IPSec, DHCP (Dynamic Host Configuration Protocol), Kerb5, Radius (Remote Authentication Dialin User Service), EAP (Extensible Authentication Protocol), PEAP (Protected EAP), LDAP (Lightweight Directory Access Protocol), LT2P (Layer 2 Tunneling Protocol), PPTP (Point to Point Tunneling Protocol), SSL3, TLS, Infraestructura de claves publicas (PKI), certificados X509 V3 y autentificación con tarjetas inteligentes.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Introducción al servicio DNS Este capítulo introduce los mecanismos de resolución y de gestión de nombres con el sistema DNS, Domain Name System. Los objetivos son importantes ya que nos permitirán: ●
comprender los principios de resolución de los nombres DNS;
●
comprender y configurar las zonas DNS;
●
comprender la replicación y la transferencia de las zonas DNS;
●
comprender la problemática de integración de los servidores DNS Windows en una infraestructura DNS existente y gestionar los problemas de interoperabilidad.
El siguiente paso consistirá en estudiar las funcionalidades propias del servicio DNS de Windows 2000 y Windows Server 2003 cuando la integración Active Directory se utiliza al tiempo que un dominio DNS ofrece sus servicios para asegurar el normal funcionamiento del directorio Active Directory.
1. Un poco de historia Cualquier máquina que esté en una red TCP/IP debe tener una dirección IP (Internet Protocol) que será utilizada en el ámbito de las comunicaciones con el resto de máquinas. Los servicios TCP/IP, además de las funciones inherentes a los protocolos de transporte y de enrutamiento entre redes, han sido diseñados para soportar aplicaciones distribuidas a través de redes cuyo tamaño puede llegar al de Internet. Actualmente, sabemos hasta qué punto TCP/IP es importante. Prueba de ello es el entusiasmo de la gente con Internet y la comercialización masiva de ordenadores con Windows, tanto en las empresas como también, gradualmente, en nuestras universidades, escuelas y hogares. Por supuesto, todas estas máquinas son capaces de manipular fácilmente las direcciones IP. En cambio, es evidente que no pueden hacer lo mismo con los usuarios. En los inicios, y mucho antes de que existiera el Internet que conocemos actualmente, la manipulación de direcciones IP era ya fuente de numerosos problemas en la red ARPANET (Advanced Research Project Agency Network). En esa época, el NIC (Network Information Center) no confundir con InterNic tenía la responsabilidad de tener actualizado el fichero HOSTS.TXT. Los usuarios de la red ARPANET debían entonces, para ser capaces de resolver los nombres de máquinas en direcciones IP, disponer de la lista lo más actualizada posible descargándola a través del protocolo FTP (File Transfer Protocol). InterNic, mencionado anteriormente, tiene como objetivo proporcionar al público información sobre los proveedores de servicios de registro de nombres de dominio DNS en el ámbito de Internet. A través del sitio http://www.internic.net se puede acceder a la lista de organismos autorizados a nivel mundial a registrar los nombres de dominios DNS, transmitirles cualquier observación sobre eventuales problemas de registro de nombres de dominio y acceder a información sobre operaciones DNS importantes que tengan lugar en el ámbito de Internet. Las tareas de coordinación necesarias para el buen funcionamiento de Internet son principalmente la gestión de direcciones IP y de los nombres de dominio DNS. Hasta 1998, era el gobierno norteamericano y algunos de sus organismos (Investigación y Departamento de Defensa DoD) quienes realizaban las tareas de coordinación de Internet. La asignación de bloques de direcciones IP estaba bajo la responsabilidad global de IANA (Internet Assignement Numbers Authority), que estaba contratada por el gobierno norteamericano. En cuanto a la gestión de nombres de dominio de primer nivel como .net, .gov, o .com (se habla de gTLDs por "generic Top Level Domains"), era la sociedad Network Solutions Inc. quien tenía el monopolio. En 1998, la ICANN (Internet Corporation for Assigned Names and Numbers) fue creada con el fin de coordinar la asignación de recursos a nivel mundial, la gestión efectiva de los dominios DNS fue delegada a órganos regionales situados en cada continente. Para la gestión de los nombres de dominios, puede consultar en la siguiente dirección la lista de los organismos responsables de la gestión de los nombres de dominio en cada país, http://www.iana.org/domains/root/db Por ejemplo, la zona DNS .es está gestionada por Red.es, http://www.nic.es).
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Para más detalles, puede visitar los sitios de ICANN en la siguiente dirección: http://www.icann.org
La solución: ¡Gracias Dr Mockapetris! Después de esta primera implementación de un sistema de nomenclatura y de resolución de nombres de máquina en direcciones IP, era evidente que se debía encontrar una solución más "moderna". En 1983 el Dr Paul V. Mockapetris graduado del reputado MIT (Massachusetts Institute of Technology) propuso los fundamentos de los servicios DNS a través de los RFC 882 y 883. Los RFC 882 y 883 son obsoletos y han sido sustituidos por los RFC 1034 y 1035, que también han sido diseñados por el Dr Paul Mockapetris. El RFC 1034 sigue siendo válido, pero es objeto de modificaciones que figuran en los RFC 1101, 1183, 1348, 1876, 1982, 2065, 2181, 2308 y 253. El RFC 1035 también sigue siendo válido, con actualizaciones que figuran en los RFC 1101, 1183, 1348, 1876, 1982, 1995, 1996, 2065, 2136, 2181, 2137, 2308, 2535, 2845, 3425 y 3658. Puede buscar y consultar estos RFC en el sitio: http://www.rfceditor.org
2. ¿Qué son los servicios DNS? Como se explicó más arriba, DNS es el protocolo estándar de resolución de nombres definido por la IETF (Internet Engineering Task Force). Permite a las máquinas clientes registrarse y resolver nombres de máquinas pertenecientes a dominios DNS. Una vez el nombre de la máquina destino está resuelto, es posible acceder a la máquina y a sus recursos. EL DNS consta, por definición, de tres componentes principales: ●
●
●
El espacio de nombres de dominio (Domain Namespace), que incluye registros de recursos asociados a este espacio. Los registros de recursos son llamados RR por Resources Records y clarifican el tipo de cada registro. Los servidores de nombres DNS (DNS Name Servers). Se trata de máquinas sobre las que se ejecuta el proceso ofreciendo el servicio "Servidor DNS". Estos servidores acogen todo o parte del espacio de nombres gestionado así como los registros de recursos. También proporcionan ¡sobretodo! el buen funcionamiento de la resolución de nombres iniciada por los clientes DNS. Los clientes DNS (DNS Resolvers o DNR). Se trata de máquinas que tienen que invocar a uno o varios servidores DNS. Estas máquinas deben disponer de un cliente que les permita comunicarse con uno o varios servidores DNS.
Los conceptos de resolución de los nombres DNS nos van a llevar a tratar los siguientes puntos: ●
la resolución de nombres;
●
las consultas de resolución directas e inversas;
●
los mecanismos de caché del lado del servidor DNS y del lado del cliente DNS.
Lo que vamos a descubrir: ●
El servicio DNS está basado en la petición de resoluciones (en inglés "Lookup Queries").
●
Los servidores de nombres DNS resuelven las peticiones de resolución directas e inversas.
●
Las peticiones de resolución directas permiten mapear un nombre DNS en una dirección IP.
●
Las peticiones de resolución inversas permiten mapear una dirección IP sobre un nombre DNS.
●
Un servidor de nombres DNS puede resolver una petición para una zona para la que haya sido autorizado.
●
- 2-
Si un servidor de nombres DNS no puede resolver la petición, puede solicitar a otro servidor DNS que le ayude a resolver la consulta.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Los servidores de nombres DNS saben ocultar los resultados de las resoluciones correctas e incorrectas para reducir el flujo de información en la red.
●
El servicio DNS utiliza un modelo cliente/servidor.
●
3. Terminología del sistema DNS El protocolo DNS ha sido diseñado para gestionar una problemática propia de las redes que funcionan bajo TCP/IP. Los siguientes puntos recuerdan algunos principios básicos: ●
La resolución de los nombres DNS es el proceso que permite transformar un nombre DNS en dirección IP.
●
Una dirección IP identifica cada nodo antes de comunicarse a través del protocolo TCP/IP. Una dirección IP es un valor de 32 bits, segmentado en 4 palabras de 8 bits cada una (4 octetos) y compuesta por dos partes:
●
●
●
●
La parte de la izquierda hace referencia a la red y se la llama Net ID o dirección de red. Permite identificar de manera única un segmento de red en una red TCP/IP mucho más grande. La parte de la derecha hace referencia a la máquina cliente en la red y se la llama Host ID o dirección del cliente. Permite identificar de manera única un nodo TCP/IP en una red dada. Las direcciones IP, que técnicamente son valores binarios, están expresadas en notación decimal y separadas por puntos.
a. El espacio de nombre DNS (Domain Namespace) El espacio de nombres del sistema DNS se implementa como una jerarquía de nombres implementada por un árbol estructurado. El nombre de este árbol no está definido por convención pero se llama espacio raíz y toma la forma de un punto. Por ejemplo, el dominio microsoft.com es real y técnicamente llamado "microsoft.com.", puesto que termina con el carácter (.). Puntos claves: ●
El espacio puede estar compuesto por una o más ramas.
●
Cada rama puede estar compuesta por N nombres.
●
Cada nombre de cliente está limitado a 63 caracteres.
●
El nombre completo de un nodo situado en el espacio de nombres DNS se llama FQDN (Fully Qualified Domain Name) que significa "nombre de dominio totalmente calificado".
Se recomienda respetar el RFC 1123, que define las reglas de nomenclatura siguientes: ●
Utilizar los caracteres AZ, az,0 9 y el carácter ""
●
El FQDN no puede superar los 255 caracteres.
Otros puntos a recordar: ●
En Windows 2000, Windows XP y Windows Vista, el nombre del ordenador está basado en el FQDN y permite deducir el nombre NetBIOS. Se forma añadiendo al Computer Name, el sufijo DNS principal (Primary DNS Suffix), que es por defecto el nombre del dominio Active Directory al que pertenece la máquina.
Aunque esta posibilidad no sea una buena práctica, observe que el sufijo DNS principal del ordenador puede ser diferente que el nombre del dominio Active Directory.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
●
Por el contrario, en Windows NT, el nombre NetBIOS es el que se utiliza para formar el nombre del cliente (Hostname).
Identificación del ordenador y FQDN
El nombre NetBIOS ya no es controlable Estas pantallas muestran cómo Windows se basa en el espacio de nombres DNS. El nombre del ordenador se escribe en minúsculas, al revés que el nombre NetBIOS donde sólo están permitidos los caracteres en mayúsculas. El nombre completo del ordenador está claramente visible en la interfaz gráfica (xpclient.Corp2003.Corporate.net). Observe también que la interfaz no muestra directamente el nombre NetBIOS. Para poder acceder haga clic en el botón Más. Los sistemas como Windows 9x y Windows NT son primero máquinas NetBIOS, que pueden contar con el sistema de resolución DNS. Preste atención al hecho de que aunque con Windows 2000, Windows XP, Windows Vista y Windows Server 2008, el nombre de ordenador (hostname) controla que el nombre NetBIOS no rebase el límite de 15 caracteres en mayúsculas permitido en el ámbito de la interfaz NetBIOS, no ocurre lo mismo con Windows NT. ¡Atención! El hecho de que un controlador de dominio Windows NT disponga de un nombre NetBIOS y de un nombre DNS (hostname) diferentes podrá ser causa de múltiples problemas de replicación del directorio una vez se haya
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
migrado a Active Directory. Acerca de minúsculas y mayúsculas: RFC 1034 Los nombres de dominio pueden ser registrados en minúsculas, en mayúsculas o combinando ambas. Sin embargo, el RFC 1034 indica que, cualquiera que sea la manera en que el nombre se haya registrado, ninguna operaciones será sensible a minúsculas y mayúsculas. Acerca de NetBIOS Espacio de nombres e interfaz de programación
El término NetBIOS (Network Basic Input/Output System) puede tomar múltiples significados. Es más, se trata de servicios de registro de nombres en la red NetBIOS, de métodos de resolución disponibles en este espacio de nombres pero también de la interfaz de programación necesaria para el buen funcionamiento de las aplicaciones NetBIOS. Acerca de la desactivación de NetBIOS, observe que no es posible considerar la desactivación de la interfaz NetBIOS ya que la red opera todavía con aplicaciones basadas tanto en los servicios de resolución como en la interfaz de programación NetBIOS. Además, es posible: ●
●
que una aplicación NetBIOS se registre en una red NetBIOS a través del protocolo de transporte TCP/IP. Los clientes se basarán en los servicios de resolución de nombres NetBIOS como WINS (Windows Internet Naming Service) para localizar el servicio solicitado en la máquina destino. Posteriormente, esta misma aplicación hará llamadas a los servicios de gestión de sesiones NetBIOS utilizando las API NetBIOS ofrecidas por el sistema operativo. Podrá también invocar otra interfaz de red como MSRPC (Remote Procedure Call) o incluso la interfaz Windows Sockets. que una aplicación NetBIOS se base en los servicios de resolución de nombres DNS. En este caso, no será posible utilizar los códigos de servicios asociados a las aplicaciones NetBIOS.
El comando nbtstat muestra los nombres registrados en la red NetBIOS En pocas palabras, recuerde que en relación con el modelo OSI (Open System Interconnection), los servicios NetBIOS se sitúan: ●
●
En el nivel 4, en cuanto a servicio de transporte de datos. No vamos a hablar de nivel 3 en la medida en que NetBIOS no es un protocolo de enrutamiento, si no sólo un "objeto enrutable" en las redes TokenRing IBM. Estos servicios se aplican gracias al protocolo NetBEUI (NetBIOS Extended User Interface) desarrollado por IBM y Microsoft en 1985. Este protocolo de bajo nivel ofrece servicios básicos en línea y fuera de línea. En el nivel 5, en cuanto al servicio de nombres y de sesiones. Estos servicios genéricos son indispensables para toda aplicación distribuida en una red. En este nivel se encuentra la interfaz NetBT (NetBIOS over
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
TCP/IP) que tiene como objetivo permitir la correspondencia entre los nombres y servicios NetBIOS y las direcciones IP. ●
En el nivel 7 del modelo en cuanto a las aplicaciones que se basan por ejemplo en tuberías nominales (named pipes). En este caso se trata de la interfaz de programación NetBIOS.
Un poco de historia...
En la era de Internet, NetBIOS es una tecnología obsoleta. Recuerde que sus servicios elementales pero fundamentales han permitido el desarrollo de miles de aplicaciones, con una gran independencia de los protocolos de transporte. En su momento, Windows NT se basó en esta interfaz para entrar en redes de cualquier tipo, gracias a los numerosos protocolos de transporte que soportó desde la primera versión, Windows NT 3.1 en 1993. Así pues, el tándem "Windows NT/NetBIOS" permitió la implementación de servidores de aplicaciones competitivos fácilmente integrables en redes, utilizando protocolos de transporte como DECnet, OSI TP4, IPX/SPX y por supuesto, TCP/IP. Y después...
El desarrollo de Windows NT 5.0 que se llamará poco tiempo antes de su salida, Windows 2000, comenzó en 1997 fecha de las primeras versiones Alfa, es decir, a penas un año después de la salida de Windows NT 4.0. El camino fue largo, pero los miles de desarrolladores del equipo NT lo consiguieron. Mirando en perspectiva, es interesante observar que la política "todo Internet" de Microsoft estaba entonces muy avanzada: el sucesor de NT 4.0 se basará en IP, DNS, LDAP y Kerberos. Hoy en día, el esfuerzo de Microsoft se centra en los servicios Web, la gestión de documentos, los servicios de colaboración y la seguridad de los sistemas, las aplicaciones y el sistema de información en su conjunto.
b. Jerarquía DNS y espacio de nombres Internet Cada nodo en el espacio DNS dispone de un nombre que le es propio. Este nombre debe respetar siempre el RFC 1035, que define el conjunto de normas y buenas prácticas del DNS. Como hemos explicado anteriormente, el nombre, también llamado etiqueta, no puede superar los 63 caracteres para un FQDN que no supere los 255 caracteres.
4. El DNS: base de datos distribuida Hemos visto que el sistema de nombres DNS nos permite desplegar un espacio sobre la base de una jerarquía de nombres de dominio. Entonces, podemos imaginar que con ese sistema y desde el momento en el que el espacio está dividido en varios árboles y subárboles, resulta fácil técnicamente distribuir el espacio DNS como una base de datos distribuida. De hecho, utilizar una base de datos distribuida significa que la información de todo el espacio DNS está almacenada en N máquinas, que pueden estar situadas en cualquier lugar de la red. Esta observación es particularmente cierta en el caso de Internet. En el caso de una red que se base en una nomenclatura privada (no Internet), la información del espacio DNS estará a la escala de esta red. Además, siguiendo los mismos principios que en Internet, y si la red privada está compuesta por múltiples sitios, será necesario prever una disponibilidad del espacio DNS en cada uno de los sitios. Volveremos sobre este punto cuando hablemos de la relación DNS/Active Directory. Por último, cada servidor DNS mantiene solamente una parte de la base de datos del espacio DNS. La base de datos "total" está dividida en diferentes partes llamadas zonas y cada zona corresponde a una parte del espacio DNS, por tanto, a un dominio o subdominio. Volveremos a este punto más adelante. Los ficheros de zona pueden entonces ser replicados en múltiples servidores utilizando lo que se llama zonas de transferencia. De este modo, podemos representar el espacio DNS de Internet de la siguiente manera: ●
●
●
El domino raíz (.) es solicitado a través de los trece servidores DNS de la raíz. Estos servidores tienen la información que permite localizar los servidores DNS de primer nivel como .com, .org, .net o .es. Tenga en cuenta que los servidores raíz no contienen toda la información sobre dominios de primer nivel. Conocen solamente los servidores encargados de estos dominios. Del mismo modo, para ser capaz de resolver el nombre de un cliente situado en el dominio microsoft.com, se tendrá que enviar una petición de resolución al domino de primer nivel .com (Nota: TLD Top Level Domain), que no es directamente capaz de responder a la petición pero podrá devolver las direcciones de los servidores de nombres DNS que tienen autoridad sobre el dominio de segundo nivel microsoft.com.
El siguiente esquema muestra el proceso de resolución de nombre en el espacio jerárquico de nombres de Internet.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Proceso relacionado con la petición de resolución de nombre directa Recuerde los siguientes puntos: ●
●
●
Por definición, el sistema de resolución DNS ofrece un espacio de nombres jerárquico y distribuido. El sistema DNS dispone de diversas técnicas para poner en práctica un espacio distribuido. Por tanto, es posible determinar qué servidor del espacio tiene la información solicitada. Los mecanismos son simples pero muy potentes. El sistema DNS, por su diseño, es capaz de manejar espacios de cualquier tamaño, como por ejemplo Internet. De hecho, se utiliza en muchas redes privadas empresariales. Los medios de que dispone el DNS para lograr un espacio de nombres distribuido son: ●
La delegación de dominios.
●
Las redirecciones condicionales o incondicionales.
●
Las sugerencias de raíz
Estos puntos se abordan más tarde.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Estructura del espacio DNS y jerarquía de dominios
1. El dominio raíz Este es el punto más alto del árbol, que representa un nivel que no tiene ningún nombre en concreto. Se puede decir que la raíz no tiene nombre o es de tipo "innominado". A veces se muestra como dos comillas vacías (""), que indica un valor nulo. Sin embargo, cuando se utiliza en un nombre de dominio DNS, se indica con un punto a la derecha (.) para indicar que el nombre está en la raíz o nivel superior de la jerarquía del dominio. El nombre de dominio DNS se considera como completo y designa un lugar exacto en el árbol de nombres. Un servidor DNS puede gestionar el dominio raíz o no, mientras que otros servidores DNS se ayudarán de un servidor DNS que gestione el dominio raíz para poder resolver todo o parte del espacio de nombres DNS. Con los servicios DNS de Windows Server 2003 y Windows Server 2008, la zona raíz representada por el (.) en las zonas de búsquedas directas no se añade automáticamente. En Windows 2000, la zona raíz (.) se añadía automáticamente en la primera inicialización del servidor DNS, si el servidor no era capaz de conectar con los servidores de la raíz (Root Hints). El hecho de disponer de esta zona tuvo como efecto negativo no poder utilizar redireccionadores así como los servidores de la raíz Internet. El administrador deberá crear manualmente, si fuera necesario, la zona raíz (.).
2. Los dominios de primer y segundo nivel Los dominios de primer nivel son también llamados TLDs Top Level Domains. Este primer nivel en la jerarquía DNS situado bajo la raíz permite estructurar el espacio de salida en función del tipo de organización utilizando un nombre o también en función de una región o un país. En la siguiente lista se describen estos dominios y su función. aero El uso de este dominio de primer nivel está reservado a la industria aeronáutica. biz El uso de este dominio de primer nivel está reservado a las grandes y pequeñas empresas a nivel mundial. com El uso de este dominio de primer nivel está reservado a empresas de carácter comercial como Microsoft, con el dominio microsoft.com. Casi todas las empresas tienen como primer objetivo vender sus productos. De hecho, podrá constatar más tarde en este capítulo hasta qué punto la zona .com es mucho más voluminosa que las otras. coop
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Este dominio de primer nivel está reservado al uso de escuelas y universidades. gov El uso de este dominio de primer nivel está reservado a las agencias gubernamentales norteamericanas. Encontrará por ejemplo el sitio del FBI (U.S. Federal Bureau of Investigation http://www.fbi.gov/) y el sitio de la NASA (National Aeronautics and Space Administration http://www.nasa.gov/). info Este dominio no tiene ninguna restricción particular. Está especialmente destinado a proveer información sobre el consumo mundial. int Este dominio se dedica a autoridades y otros organismos vinculados por tratados internacionales. Alberga por ejemplo el sitio de la OTAN (North Atlantic Treaty Organisation http://www.nato.int). mil Este dominio se dedica al ejército norteamericano. Encontrará por ejemplo el sitio de U.S. Air Force http://www.af.mil/. museum Este dominio está reservado a los museos, organizaciones y personas afiliadas a los mismos. name Dominio global para el uso de particulares. net Este dominio está dedicado a las máquinas de los proveedores de redes (ISPs). Se encuentra el conocido http://www.internic.net/ antiguo Internet Network Information Center (InterNIC). org Dominio de primer nivel dedicado a grupos y organizaciones no gubernamentales sin ánimo de lucro. pro Un dominio de primer nivel para profesionales como médicos, abogados y contables. La gestión de las zonas de primer nivel es muy grande. Como prueba, basta con consultar algunas estadísticas de Internet. Los dominios de primer nivel Los dominios de primer nivel se gestionan por organismos como "Network Solutions" en los Estados Unidos o Red.es en España. Por definición, el conjunto de estas autoridades llamadas Registrars están bajo el control de ICANN. Internet Corporation for Assigned Names and Numbers (ICANN) es una organización privada sin ánimo de lucro. Su personal y sus miembros son de todo el mundo. La función de ICANN es fundamental puesto que se encarga de asignar el espacio de las direcciones del protocolo Internet (IP), asignar identificadores de protocolo, gestionar el sistema de nombres de dominio de primer nivel (Top Level Domains) para los códigos genéricos (gTLD) y los códigos nacionales (ccTLD), y también asegurar las funciones de administración del sistema de servidores raíz (DNS Root Servers). Para más información sobre la gestión de los Registrars realizada por ICANN, puede consultar en la dirección http://www.icann.org/.
Los dominios de segundo nivel y sus subdominios Los dominios de segundo nivel son nombres de longitud variable asignados a un particular o a una organización, para
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
ser utilizado en Internet. Estos nombres están siempre asociados a un dominio de primer nivel adecuado, según el tipo de organización o la localización geográfica en la que el nombre se utiliza. Por ejemplo, el dominio de Microsoft Corporation es "microsoft.com".
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Los registros de recursos Una base de datos DNS se compone de uno o varios ficheros de zonas, que son utilizados por el servidor DNS. Cada zona representada por un fichero distinto contiene un conjunto de registros. Estos registros, que están almacenados en las zonas DNS, se llaman registros de recursos o también RRs (Resources Records). Por último, un fichero de base de datos de zona contiene todos los registros de recursos que describen el dominio y su contenido. El servidor DNS de Windows Server 2003 le permite aceptar los veintidós tipos diferentes de registros de recursos. La siguiente tabla muestra las características de los registros de recursos más comunes. Tipos de registros de recursos (RRs)
Descripción Función
Start of Authority (SOA)
Identifica el servidor primario de la zona. Este registro permite gestionar los parámetros de la zona, como transferencias de zona, los tiempos de expiración de la zona y el TTL (Time to Live) por defecto de los registros. Los tipos y funciones de los diferentes registros de recursos del sistema DNS.
Name Server (NS)
Identifica todos los servidores designados por el dominio.
Host (A)
Identifica la dirección IP de un nombre de cliente específico. Este registro de dirección IP del cliente mapea un nombre de dominio DNS completo a una dirección IP versión 4 de 32 bits.
Pointer (PTR)
Identifica los nombres de cliente de una dirección IP específica. Estos registros están almacenados en la zona de búsqueda inversa.
Canonical Name (CNAME)
Identifica un alias para un cliente del dominio.
Mail Exchanger (MX)
Identifica los servidores de correo Internet. Este registro es empleado por otros servicios de correo para localizar los servidores de correo de un dominio en concreto. Por último, este registro permite el enrutamiento de los mensajes en Internet.
Service Locator (SRV)
Identifica un servicio ofrecido a nivel del dominio Active Directory. El directorio Active Directory hace un uso avanzado de este registro. Permite a los controladores Active Directory replicar el directorio y a los clientes Windows 2000 y XP localizar a los controladores de dominio.
Los registros mostrados en esta tabla están colocados en un orden lógico que no desvela el lado crucial incluso crítico de los registros vitales necesarios para el buen funcionamiento de Active Directory. La fuerte relación que existe entre Active Directory y DNS se verá más adelante.
Para más información sobre formatos y sintaxis de registros de recursos soportados por los servicios DNS de Windows Server 2008, consulte la ayuda en línea de Windows Server 2003 buscando "Referencia de registros de recursos".
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Dominios, zonas y servidores DNS Para entender bien como debe ser implementada técnicamente una infraestructura DNS, es importante identificar los elementos que la componen y la manera de utilizarlos. Una vez vistos estos puntos, ¡todo se ve más claro!
1. Dominios DNS y zonas DNS Como todas las tecnologías, el sistema DNS introduce sus propios conceptos acompañados de su propia terminología. Es más, la naturaleza y las diferencias que pueden existir entre los dominios DNS y las zonas DNS se deben asimilar correctamente. De este modo, evitará fallos, errores de diseño y problemas de funcionamiento de las resoluciones en su espacio DNS. Un dominio DNS es una parte del espacio de nombres en el sentido lógico del término, mientras que una zona es realmente la información almacenada en la totalidad o en parte del espacio de nombres. En el primer caso, se trata de un elemento de estructuración lógica, mientras que en el segundo caso, es un espacio de almacenaje físico compuesto por una parte del espacio de nombres. Por ejemplo, una sociedad posee un dominio DNS llamado Corp2003.Corporate.net. Para implementar este dominio "lógico", será necesario crear "físicamente" el domino, a través de un fichero de base de datos de zona, en inglés a database zone file.
Dominios DNS y zonas La figura anterior ilustra los siguientes elementos: ●
●
●
●
●
El dominio corporate.com se implementa con la ayuda del fichero de base de datos de zona corporate.com.dns. El dominio europe.corporate.com se implementa con la ayuda del fichero de base de datos de zona europe.corporate.com.dns. El dominio europe.corporate.com contiene los subdominios be, de y nl (Bélgica, Alemania y Holanda). El dominio es.europe.corporate.com se implementa con la ayuda del fichero de base de datos de zona es.europe.corporate.com.dns El dominio es.europe.corporate.com contiene los subdominios apps, research y madrid.
De hecho, los dominios DNS y zonas DNS permiten y respetan los siguientes puntos: ●
●
La organización del espacio de nombres DNS: tal como se muestra en la figura anterior, las zonas alojan la información propia de un espacio contiguo de dominios. Dos dominios que están separados necesitan forzosamente dos zonas.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
●
●
●
Los servidores DNS no replican dominios pero sí zonas, que contienen uno o varios dominios y subdominios. La división de un espacio de dominios voluminoso en varias zonas le permitirá evitar mucho tráfico relacionado con la replicación ya que sólo se replican las zonas DNS. La división de un espacio lógico en varios trozos (es decir, zonas) permite, conservando el espacio lógico, dividir una zona en varias y así distribuir la replicación.
Esta división también hace posible la delegación de gestión de las zonas a diferentes entidades de administración y de responsabilidades. El hecho de que un espacio contiguo se implemente a través de diversas zonas implica la declaración de las delegaciones que permiten disminuir la resolución de peticiones de arriba a abajo en el espacio. Este punto fundamental se tratará más tarde.
2. Zonas y ficheros de zonas Acabamos de ver que el sistema DNS permite dividir un espacio de nombres dado en zonas. Estas zonas almacenan la información relativa a uno o varios dominios DNS. Para cada nombre de dominio DNS de una zona, la zona es la fuente de referencia (o de autoridad) de la información de ese dominio. Inicialmente, una zona es un fichero de base de datos para un solo nombre de dominio DNS. Por defecto, un fichero de base de datos de zona está situado en el directorio %system root%\System32\dns\. Para las zonas estándar (no integradas en Active Directory), la nomenclatura por defecto de los ficheros es muy práctica, ya que el nombre generado será simplemente "nombre de dominio gestionado.dns". En el caso en que se añadieran otros dominios por debajo del dominio gestionado por la zona, será posible "almacenar" el nuevo subdominio en la misma zona o bien crear una nueva. Por lo tanto deberá decidir si un nuevo subdominio añadido a una zona se incluirá en la zona original, o fuera de ella. En este caso, veremos más tarde que la gestión de ese subdominio se dice que es delegada en otra zona. El siguiente esquema muestra la implementación de varias zonas para el dominio de segundo nivel, corporate.com. Inicialmente, el dominio corporate.com existe gracias a la zona corporate.com. El conjunto del espacio de nombres necesita la implementación de varios subdominios. Estos subdominios pueden a continuación ser incluidos en la zona o delegados en otra zona.
La configuración ilustrada muestra: ●
- 2-
La zona dedicada a la raíz. Cuando esta zona se crea en un servidor DNS Windows 2000 Server, Windows Server 2003 o Windows Server 2008, el fichero Root.dns se crea en el directorio %Systemroot%\system32 \dns\. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
●
●
●
La zona dedicada al dominio Internet de primer nivel, .com. La zona dedicada al dominio Internet de segundo nivel, corporate.com. Esta zona contiene únicamente este dominio así como la información de delegación indicando los servidores DNS que tienen autoridad sobre el subdominio delegado europe.corporate.com. La zona dedicada al dominio Internet europe.corporate.com. Esta zona contiene la información de este dominio así como la información de los subdominios be, de y nl.europe.corporate.com. El dominio europe.corporate.com contiene también una delegación indicando los servidores DNS que tienen autoridad sobre el subdominio es.europe.corporate.com. La zona dedicada al dominio Internet es.europe.corporate.com. Esta zona contiene la información de este dominio así como la información de los subdominios apps, research y madrid.es.europe.corporate.com.
Recuerde los siguientes puntos: ●
●
●
●
Cuando un servidor DNS actúa como servidor raíz, es decir que gestiona la zona (.) a través del fichero de base de datos de zona Root.dns, el servidor no puede basarse en los redirectores, ni hacer llamadas a los servidores raíz. La implementación de un nuevo dominio de segundo nivel necesita la creación de un nuevo fichero de base de datos de zona. Si un subdominio de la zona europe.corporate.com no se delega, todos los datos del subdominio se conservan en la zona europe.corporate.com. En el sistema DNS, se llama dominio a todo árbol o subárbol que se encuentra en el espacio de nombres de dominio.
Existen dos tipos de zonas: Las zonas de búsquedas directas Una zona de búsquedas directas se emplea principalmente para resolver nombres de cliente en direcciones IP. Este será el caso que se produzca cuando un cliente DNS pregunte al servidor DNS por una dirección IP de un cliente de la red. En las zonas, los registros de recursos de tipo A proporcionan dicha funcionalidad. La zona de búsquedas directas incluye los registros de recursos de tipo SOA y NS imprescindibles para el buen funcionamiento de la zona. Opcionalmente, encontraremos también los registros necesarios para el funcionamiento de ciertos servicios CNAME para los alias, MX para las conectores SMTP de los servidores de correo, SRV para los registros de servicios de Active Directory o cualquier otra aplicación. Las zonas de búsquedas inversas Este tipo de zona permite resolver, no un host en IP, pero sí una dirección IP en cliente. La petición de resolución es inversa. Este tipo de petición de resolución sólo se puede ejecutar si se conoce la IP pero no el nombre. Como todas las zonas, esta zona dispone de los registros SOA y NS necesarios. Por el contrario, no tiene los registros de tipo A, pero sí los equivalentes inversos. Estos registros llamados registros de tipo PTR (puntero), permiten apuntar de cierta dirección IP a cierto nombre DNS totalmente cualificado. Las zonas de búsquedas inversas se denominan de una manera especial. De hecho, el nombre de la zona tiene que relacionarse con las direcciones IP solicitadas. Así que, de hecho, en el nombre de la zona deberá aparecer el número de red o subred IP. Desde un punto de vista de su implementación en Internet pero también en las redes privadas, el nombre del dominio deberá empezar obligatoriamente por inaddr.arpa. Se trata de un nombre especialmente reservado en el espacio DNS para especificar que la petición lleva a una zona de búsquedas inversas y no a una zona de búsquedas directas. A continuación, el nombre de la zona se completa con la dirección de red pero a la inversa. Así, para las direcciones IP que tienen que ver con la red 192.168.1.0, será necesario declarar una zona de búsquedas inversas con el nombre 1.168.192.inaddr.arpa La consola de administración MMC (Microsoft Management Console) del servicio DNS es muy intuitiva. En ella encontrará todas las funciones esenciales de un servicio DNS.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Zonas de búsqueda directa, inversa, sugerencias de raíz y reenviadores
Ficheros de configuración de un servidor DNS Los siguientes ficheros dan soporte a la configuración de los servidores DNS. El fichero de arranque Este fichero se denomina Fichero de configuración de arranque BIND y por defecto no se crea en la consola de administración del servicio DNS. Sin embargo, como una opción de configuración del servicio Servidor DNS, se puede copiar a partir de otro servidor ejecutando una aplicación DNS de tipo BIND (Berkeley Internet Name Domain).
Con Windows, el mantenimiento de este fichero no tiene ninguna utilidad para el funcionamiento normal del servicio Servidor DNS. Sólo tendrá utilidad durante la fase de migración de una configuración DNS que provenga de un sistema DNS BIND. El fichero cache.dns Este fichero se llama fichero caché. Permite, al arrancar el servicio Servidor DNS, la carga de registros de recursos en la caché del servidor DNS. Los servidores DNS utilizan este fichero para encontrar los servidores raíz de su red o directamente en Internet. Observe que, por defecto, este fichero contiene los registros de recursos DNS que proporcionan la caché local del servidor con las direcciones de los servidores raíz en Internet. Para los servidores DNS que funcionan exclusivamente en su red interna, la consola DNS puede transferir y reemplazar el contenido de este fichero por los servidores raíz internos de su red. Esta operación será posible con la condición de que sean accesibles a través de la red cuando instale y configure nuevos servidores DNS. Su actualización es posible gracias a la consola DNS, desde la pestaña Sugerencias Raíz situada en las propiedades del servidor.
Acceso al dominio raíz (.) a través del fichero cache.dns y resoluciones: si se considera el caso de Internet, se sabe que el número de resoluciones en los servidores raíz es grande. Sin embargo, esto es relativo ya que los nombres de clientes no se resuelven generalmente en este nivel. La función principal del fichero de sugerencias de servidores raíz cache.dns es simplemente la de permitir la redirección de resoluciones de nombres a otros servidores de referencia para los dominios y subdominios situados bajo la raíz. El fichero de la zona raíz Root.dns Este fichero es visible en un servidor DNS cuando está configurado como raíz de su red. Se trata de un fichero de zona clásico. Su única particularidad es que administra la zona (.), que está situada en el lugar más alto del espacio de nombres DNS. Los ficheros de zonas nombre_zona.dns Cada zona estándar creada necesitará su propio fichero de zona sea cual sea el tipo de zona (principal o secundaria). Estos ficheros se encuentran en la carpeta \System32\dns del servidor. Por supuesto, este tipo de ficheros no se crean ni utilizan para las zonas principales integradas en Active Directory, que se almacenan en la base de datos.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
El hecho que el fichero de zona exista en el directorio \System32\dns significa que no se trata de una zona integrada en Active Directory. Por contra, una zona integrada en el directorio Active Directory no tendrá ningún fichero de base de datos en el directorio \System32\dns. La consola MMC de administración de DNS ofrece la posibilidad de cambiar a placer el tipo de zona. De este modo, cuando una zona DNS integrada en Active Directory se convierte en una zona primaria estándar, la información necesaria se extrae del directorio y se integra en el nuevo fichero de zona. La operación inversa tendrá como efecto integrar en Active Directory todos los registros de recursos que están en el fichero de zona y la supresión de este último del directorio \System32\dns. Estructura de un fichero de zona A continuación se puede ver el detalle del fichero de base de datos de zona para la zona corpnet.corporate.net.
A continuación se explica la estructura de un fichero de zona con los diferentes tipos de registros necesarios. La línea @ IN SOA booster2003.corp2003.corporate.net hostmaster.corp2003.corporate.net seguida de diferentes frecuencias, permite fijar el comportamiento de la zona en términos de replicación. El carácter @ permite apuntar al "dominio actual" sabiendo que el dominio o la zona en cuestión está también especificado en un comentario en el inicio del fichero. El registro de recurso SOA (Start of Authority) es siempre el primer registro que se declara en una zona estándar. Permite especificar el servidor DNS original o el que juega actualmente el papel de servidor principal de la zona. Este registro de recurso se utiliza igualmente para almacenar propiedades importantes como la información de versión (en inglés, el Serial Number) y los plazos que afectan a la renovación o expiración de los registros de la zona y de la zona misma. Estas propiedades afectan a la frecuencia de las transferencias entre servidores que actúan como servidores de nombres de la zona. Los servidores de nombres de una zona se denominan también servidores de referencia de la zona. El registro de recurso SOA contiene la siguiente información: Servidor principal (propietario) Campo que designa el nombre de cliente del servidor DNS principal de la zona. Responsable Campo que designa la dirección de correo del responsable de administración de la zona. Observe que en esta dirección de correo se utiliza un punto (.) en lugar del símbolo (@). El número de serie
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Campo que designa el número de versión o de revisión del fichero de zona. Este valor aumenta 1 automáticamente cada vez que un registro de recurso de la zona se modifica. Es indispensable que este valor cambie para que la replicación de las modificaciones parciales o totales de la zona se puedan producir. Intervalo de actualización Campo que designa el plazo (en segundos) que un servidor DNS secundario debe respetar antes de preguntar a su fuente de la zona para intentar renovar la zona. Cuando expira el plazo de actualización, el servidor DNS secundario solicita a su fuente una copia del registro SOA actual de la zona. El servidor DNS secundario compara a continuación el número de serie del registro SOA actual del servidor fuente (como se indica en la respuesta) con su propio registro SOA local. Si los dos valores son diferentes, el servidor DNS secundario solicita una transferencia de zona para el servidor DNS principal. Observe que el valor predeterminado es de 900 segundos, es decir, 15 minutos. Intervalo antes de un nuevo intento Campo que designa el plazo (en segundos) que un servidor secundario debe respetar antes de intentar nuevamente una transferencia de zona tras un intento fallido. El valor es en general más corto que el intervalo de actualización. Observe que el valor predeterminado es de 600 segundos, es decir, 10 minutos. Intervalo de expiración Este campo es especialmente importante ya que designa el plazo (en segundos) que precede a la expiración de la zona de un servidor secundario y que sigue a un intervalo de actualización durante el cual la zona no ha sido actualizada. El paso de la zona al estado "expirado" se produce porque los datos pasan a considerarse no fiables. Entonces el servidor DNS no responde por la zona. El valor predeterminado es de 86.400 segundos, es decir, 24 horas. Duración de vida (TTL, TimeToLive) mínima por defecto Campo que designa la duración de vida por defecto de la zona y el valor del intervalo de puesta en caché de las respuestas DNS. El valor predeterminado es de 3.600 segundos (1 hora).
Si un valor TTL individual se atribuye y aplica a un registro de recurso específico utilizado en la zona, éste anula y remplaza el TTL mínimo definido por defecto en el registro SOA. El registro de recurso NS contiene la siguiente información: El registro de recurso de tipo servidor de nombres (NS) puede utilizarse de dos maneras para designar servidores de referencia para un nombre de dominio DNS: ●
●
Permite designar los servidores de referencia para el dominio de forma que éstos sean comunicados a aquéllos que solicitan informaciones acerca del dominio. Permite también designar los servidores DNS de referencia para los subdominios "delegados al exterior de la zona". En estos casos, el registro de NS desempeña el papel de puntero hacia los servidores DNS que dan soporte a la gestión de subdominios cuya gestión se delega más abajo.
El registro de NS se utiliza por tanto para mapear un nombre de dominio DNS hacia nombre de los host que ejecutan servidores DNS. El registro de NS se utiliza de forma muy sencilla, como precisamos en el ejemplo siguiente. Por ejemplo, la línea dom1.company.com. IN NS srvdns1.dom1.company.com indica que el servidor DNS srv dns1.dom1.company.com actuará como servidor DNS de referencia para el dominio dom1.company.com. Uso del carácter @ con los registros de tipo NS: ●
- 6-
La línea @ NS booster2003.corp2003.corporate.net significa que el servidor DNS booster2003.corp2003.corporate.net actúa como servidor DNS de referencia para el dominio en cuestión. En ese caso, el valor del dominio es el fijado mediante un comentario en la parte superior del archivo, que es el declarado en el archivo de inicio en un servidor DNS de tipo BIND o en el registro de un servidor DNS Windows 2000 o Windows Server 2003.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
El archivo BOOT se describe más adelante en la sección Opciones de inicio del servidor DNS.
A propósito de los nombres de los servidores DNS El hecho de que el nombre "muestre" que el propio servidor DNS forma parte del mismo dominio no tiene consecuencia alguna. Efectivamente, un servidor DNS determinado puede gestionar múltiples zonas DNS. El nombre del servidor DNS se verá influido principalmente por la posición de dicho servidor dentro de la red Intranet o Internet. En el caso de un proveedor de servicios Internet, está claro que no puede haber ninguna dependencia con respecto a las zonas hospedadas, que pertenecen a terceros. Por el contrario, cuando el servidor DNS está ubicado dentro de la empresa, es probable que su nombre completo se derive del espacio o espacios de nombre existentes en la empresa. Sea como fuere, un servidor DNS debe declararse dentro de una zona DNS con ayuda de un nombre de dominio completamente cualificado (FQDN) para actuar en tanto que host designado como servidor de nombres para dicha zona. Seguidamente, el nombre debe corresponder a un registro de recurso de host (A) válido en el espacio de nombres de dominio DNS. Observe que la consola MMC DNS crea automáticamente por defecto un registro de recurso NS único para el servidor DNS local en el que se ha creado inicialmente la zona.
3. Nombres de dominio DNS y nombres de dominio Active Directory El espacio ofrecido a Active Directory puede derivarse del espacio Internet o estar completamente disociado. Por ejemplo, la empresa corporate.com puede disponer de un dominio Active Directory con el mismo nombre, o bien crear la ruptura de diferentes maneras. Los puntos detallados más arriba trazan las grandes directivas referidas a los nombres, pero veremos esos puntos de forma detallada más adelante. A continuación, presentamos brevemente las diferentes rupturas de espacio: ●
●
●
privnet.corporate.com, para implementar un subdominio del espacio existente oficialmente declarado. privnet.corp.com, para implementar un nuevo dominio derivado del nombre oficial Internet (corp) y un subdominio dedicado a la raíz Active Directory (privnet). privnet.corporate.local, para implementar un nuevo dominio derivado del nombre oficial Internet (corp o corporate), un subdominio dedicado a la raíz Active Directory (privnet) y un espacio de resolución privado utilizando el dominio local como dominio de primer nivel.
A propósito de los nombres de dominio DNS y Active Directory: aunque no sea recomendable, Active Directory no impone el uso de un dominio de nivel superior válido como .com ou .net. Observe sin embargo que la práctica recomendada es respetar los TLDs (Top Level Domains) que ya conocemos. Los nombres de dominios DNS utilizados para nombrar los dominios Active Directory no coinciden forzosamente con la integridad del espacio DNS. De hecho, aunque se parezcan, no deben confundirse. La siguiente tabla muestra dicha configuración. Nombre de dominio DNS
Dominio Active Directory
Dominio (.)
No recomendado.
company.com
SÍ. Este dominio puede desempeñar el papel de raíz Active Directory.
emea.company.com
SÍ. (Europe Middle East and Africa).
asia.company.com
SÍ.
us.partners.com
SÍ. Este dominio está reservado a los asociados US.
eu.partners.com
SÍ. Este dominio está reservado a los asociados de la Unión Europea.
El dominio partners.com existe en el ámbito DNS, pero no como dominio Active Directory.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
El DNS ofrece sus servicios a Active Directory para otorgar los nombres de dominio y los nombres de host. Por consiguiente, cualquier dominio Active Directory es forzosamente un dominio DNS, pero cualquier dominio DNS no es forzosamente un dominio Active Directory.
4. Tipos de zonas y servidores de nombres DNS La configuración de un servidor DNS dependerá del papel que desee asignar al servidor en función de múltiples parámetros como pueden ser la topología de la red y la estructura y el tamaño del espacio DNS al que desea dar soporte. Sean cuales fueren los requisitos, los componentes básicos de cualquier infraestructura DNS se basarán en los tres tipos de zona presentados a continuación: ●
las zonas primarias;
●
las zonas secundarias;
●
las zonas de código auxiliar (o zonas de rutas internas).
En función de los casos, el hecho de utilizar varias zonas facilitará la implantación de una solución que al principio parecía muy compleja. ¡A modo de comparación, podemos imaginar los gigantescos problemas derivados de la gestión de los servicios DNS de Internet! Afortunadamente, los millones de zonas que componen el espacio DNS de Internet y los conceptos de delegación hacen que esta gigantesca red sea administrable y plenamente operacional... ¡a escala planetaria!
a. Servidores de nombres y zonas primarias Un servidor primario (llamado en ocasiones principal) de una zona determinada es el único servidor que cuenta con una copia de la zona disponible en escritura. Esto significa que cualquier modificación de la zona precisará de un acceso al único servidor primario de la misma. Una vez efectuadas las operaciones de modificación, los datos se replicarán automáticamente al servidor o servidores DNS que actúan como servidores de nombres DNS secundarios de la zona. Ni que decir tiene que estas operaciones de replicación de zonas son fundamentales para garantizar la disponibilidad de una zona en múltiples servidores DNS locales y también remotos. Las zonas principales pueden ser de dos tipos: Zonas principales estándar En las zonas principales estándar un solo servidor podrá alojar y cargar la copia principal de la zona. Ningún otro servidor principal estará autorizado en esa zona. Además sólo el servidor DNS de la zona está autorizado a aceptar actualizaciones dinámicas y a tratar modificaciones relativas a la zona. Sin embargo, este modelo presenta un punto débil, ya que la falta de disponibilidad del servidor encargado de la gestión de la zona principal hará que no se
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
permitan actualizaciones de la zona, tanto a través de las funciones de administración como a través del protocolo de actualización dinámica de los registros DNS (DDNS, Dynamic DNS). No obstante, los demás servidores DNS secundarios de la zona podrán continuar respondiendo a las demandas de los clientes hasta la expiración de la misma. Más adelante abordaremos la expiración de las zonas secundarias. Zonas principales integradas en Active Directory Es posible crear una zona principal cuyos datos y demás parámetros se almacenarán en el directorio Active Directory. En el mismo orden de ideas, podrá también integrar una zona primaria existente en Active Directory modificando el tipo de la zona en el servidor principal de origen.
La pantalla anterior muestra cómo cambiar el tipo de una zona DNS. Las zonas de tipo zona principal y zona código auxiliar pueden crearse normalmente o dentro de Active Directory. Como es lógico, no ocurre lo mismo con las zonas secundarias, ya que éstas no tienen ninguna significación con respecto a los mecanismos soportados por Active Directory. Ventaja más importante de la integración Active Directory Más adelante veremos que los mecanismos soportados por el directorio Active Directory permiten a los servidores DNS Windows 2000 Server, Windows Server 2003 y Windows Server 2008 resolver la práctica totalidad de los problemas propios del DNS. Sin embargo, desde ahora podemos destacar que la integración Active Directory nos permite disponer de varios servidores principales para la misma zona. Esta configuración es posible porque, por definición, los controladores Active Directory son iguales y están disponibles en modo lectura y también en modo escritura. Lo mismo ocurre con todos los servidores DNS que se benefician de ese mecanismo y que por tanto pueden dar soporte al modo de actualización dinámica DNS para una zona determinada. De esta forma, el punto débil constituido por el servidor DNS primario para una zona se suprime gracias a que todos los controladores de dominio actúan como múltiples servidores primarios. La interfaz gráfica de la consola de administración del DNS le permite consultar y modificar las zonas gestionadas.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
Ejemplo de propiedades de una zona: estado, tipo, naturaleza de la replicación de la zona y soporte de las actualizaciones dinámicas Podrá añadir a cualquier servidor DNS una nueva zona principal cada vez que se requieran dominios o subdominios adicionales en su espacio de nombres DNS. Podrá efectuar otras tareas de configuración de las zonas en función de las necesidades. Recuerde los siguientes puntos: ●
●
●
El servidor DNS principal de una zona desempeña el papel de punto de actualización para la zona. Cualquier nueva zona creada es una zona principal. Al utilizar zonas principales estándar no se recomienda que otro servidor DNS esté configurado para actuar como servidor principal de una zona ya existente. Aunque pareciera que puede funcionar, dicho funcionamiento no será tolerado y podría generar errores o incoherencias entre los servidores que cargan versiones diferentes de la misma zona. Existen dos tipos de zonas principales: las zonas principales estándar y las zonas principales integradas en Active Directory. Trataremos la integración de las zonas en Active Directory en el capítulo Integración de las zonas DNS en Active Directory.
b. Servidores de nombres y zonas secundarias Un servidor secundario de una zona determinada posee una copia no modificable del archivo de base de datos de la zona. La única manera de actualizar los datos e informaciones de zona es realizar una transferencia de zona a partir de uno de los servidores que actúan como fuente para la zona. El servidor de nombre secundario de una zona determinada conoce la fuente de su contenido por la declaración de la dirección IP del servidor DNS que desempeña el papel de servidor DNS principal. Los puntos abajo descritos resumen las posibilidades que permiten a los servidores DNS intercambiar información: ●
El servidor principal puede ser el servidor primario.
●
El servidor principal puede también ser cualquier servidor DNS secundario de la zona.
●
●
- 10 -
El servidor principal puede también ser cualquier servidor DNS con autoridad para una zona integrada en Active Directory. Un servidor secundario puede apoyarse en varios servidores centrales.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
La topología es totalmente libre. Así, el servidor A puede ser principal para el servidor B, que a su vez puede ser principal para el servidor C y así sucesivamente.
Todas las operaciones de creación, eliminación, modificación y replicación de zonas pueden realizarse mediante el comando dnscmd.exe o a través de la consola MMC del DNS. Una vez creada la zona secundaria, la última etapa consiste en declarar las direcciones IP de los servidores principales, que pueden conectarse para obtener información de registro actualizada referida a la zona. La zona de lista sólo se muestra si el tipo de zona se define como secundario o de código auxiliar. Cuando una zona del servidor debe replicarse, el servidor DNS utiliza la lista para contactar con un servidor principal y obtener una actualización de la zona. Si la zona ha sido modificada y se requiere una actualización, se efectúa una transferencia parcial o total de la zona. Observe que esta lista también permite controlar el orden en el que se solicitarán los servidores centrales. Las primeras versiones de los servidores DNS realizaban transferencias de zona completas. El RFC 1995, publicado en 1996, implementa un mecanismo más eficaz de transferencia de zona. Se trata de la transferencia de zona incremental mediante la cual sólo las modificaciones se replican al servidor o servidores secundarios de la zona.
Autorización de transferencias de zona sólo a los servicios referidos en la pestaña Servidores de nombres de la zona _msdcs.booster.corpnet.corporate.net Al contrario que en las zonas estándar, donde las referencias de zona se activan en los servidores referidos en la pestaña Servidores de nombres por defecto, en las zonas integradas en Active Directory no están autorizadas las transferencias de zona. De hecho, este punto es normal en la medida en que las zonas integradas en Active Directory se replican gracias a la replicación Active Directory. Si una zona Active Directory tuviese que estar disponible como zona secundaria en un servidor que no fuera controlador de dominio, será necesario autorizar a esos servidores a replicar la zona con controladores de dominio Windows 2000 Server, Windows Server 2003 o Windows Server 2008. El RFC 1996, publicado en 1996, implementa otra mejora del proceso de transferencia de zona. Describe un mecanismo de notificaciones que permite al servidor primario avisar a los servidores secundarios cuando se han realizado cambios en la zona.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
La pantalla que presentamos a continuación muestra que ese método permite dar aviso a uno o a varios servidores DNS especificados a través de una dirección IP o, simplemente, a todos los servidores DNS especificados como servidores de nombres de la zona.
Al igual que con las transferencias de zona, la función de notificación se activa en todos los servidores referidos en la pestaña Servidores de nombres cuando se trata de zonas primarias o secundarias. Recuerde que no ocurre lo mismo cuando se trata de zonas integradas en Active Directory. Refiriéndonos nuevamente a las zonas estándar, puede optimizar las comunicaciones en los enlaces de red sobrecargados declarando sólo los servidores que desea notificar. En caso de sobrecarga en las redes, la solución más optimizada consiste en utilizar la replicación Active Directory. En caso de que decida no utilizar la función de notificación presentada más arriba, el servidor secundario sólo podrá contar con las propiedades del registro SOA.
Parámetros de replicación de una zona gracias al registro de SOA Como se especifica en la pantalla precedente, el servidor secundario entrará en contacto con el servidor de nombre primario de la zona: ●
- 12 -
La primera vez basándose en el intervalo de actualización, es decir, a los 15 minutos.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
Después, basándose en el intervalo antes de un nuevo intento, es decir, cada 10 minutos durante un máximo de un día, valor del periodo de expiración de la zona. Observe que estos parámetros de replicación se definen en el registro SOA a nivel de cada zona.
La dirección de correo electrónico de la persona responsable no debe contener el habitual símbolo @. DNS considera este carácter como un símbolo genérico que representa la propia zona.
La duración de vida del registro de SOA (valor predeterminado de 01H00) se transmite automáticamente a todos los registros de recursos de la zona a menos que se asigne especialmente un valor específico a un registro determinado. No olvide que cuando un servidor Windows 2000 Server, Windows Server 2003 o Windows Server 2008 gestiona zonas DNS integradas en Active Directory, el motor de replicación de Active Directory se ocupa de las transferencias de zona. El componente en que se basan las operaciones de replicación entre controladores de dominio se llama DRA (Directory Replication Agent). Este componente es especialemente importante y puede requerir supervisión. En la pestaña DirectoryServices del analizador de rendimiento, se pueden ver diferentes contadores de rendimiento. Por lo tanto, los parámetros de SOA son sólo útiles para los servidores secundarios de la zona. En efecto, una zona integrada en Active Directory deberá ser replicada al mismo tiempo hacia servidores que soporten la integración Active Directory y también hacia servidores DNS estándar que únicamente soporten los mecanismos de replicación tradicionales (es decir, completos e incrementales).
c. Tipos de transferencia de zonas DNS Acabamos de ver que las zonas DNS se mantienen en un estado actualizado coherente gracias al registro de SOA definido en la zona principal. Los servidores DNS que disponen de una zona secundaria respetan los parámetros de regeneración del SOA. Además, también pueden ser notificados con ayuda del protocolo DNS NOTIFY definido en el RFC 1996 "A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY)". Más adelante veremos que las transferencias de zona pueden realizarse de diferentes maneras. Transferencia de zona inicial Cuando se declara un nuevo servidor DNS para que desempeñe un papel de servidor secundario para una zona determinada, éste negocia una transferencia de zona completa (AXFR) para obtener una copia completa de los registros de recursos de la zona. Las antiguas versiones de servidores DNS, como la implementación con NT 4.0, daban soporte sólo a las transferencias de zonas completas. Transferencias de zona incrementales y servidores BIND Unix En relación con las transferencias de zona incrementales en la plataforma Unix, observe que las primeras versiones realmente operativas necesitan de una versión de tipo BIND (Berkeley Internet Name Domain) 8.2.3. Las versiones BIND 9.x y también las antiguas versiones BIND 8.2.3 funcionan correctamente con servidores Windows 2000, Windows Server 2003, Windows Server 2008. En las plataformas Unix que utilizan un servidor DNS de tipo BIND, se recomienda que las modificaciones realizadas en la zona se realicen en modo actualización dinámica. En estos casos es el cliente DNS dinámico quién efectúa la operación de creación o de actualización del registro de recurso. A continuación, el servidor DNS asumirá la gestión del número de versión de dicho registro para las replicaciones y actualizaciones posteriores. Esto significa que para aprovechar al máximo las transferencias de zonas incrementales (IXFR Incremental Transfer), habrá que evitar editar directamente los archivos de zonas. Esta observación concierne sólo a las implementaciones a las implementaciones BIND. Los servidores DNS Windows 2000, Windows Server 2003 y Windows Server 2008 se basan en transferencias de zonas incrementales cuando las operaciones se realizan a partir de la consola de administración MMC del DNS o bien aprovechando la replicación Active Directory que, por definición, replica objetos, atributos y valores. Abordamos detalladamente el almacenamiento de las zonas DNS en el directorio Active Directory en el capítulo Integración de las zonas DNS en Active Directory.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
Verificación de la transferencia de la zona incremental Sea cual fuere el método de transferencia de la zona utilizada (AXFR o IXFR), la primera cosa que realizará el servidor DNS será verificar la necesidad de efectuar o no una transferencia de zona. Este control se realiza en función del valor del intervalo de actualización en el registro de recurso de tipo SOA (Start of Authority), cuyo valor predeterminado está fijado en 15 minutos. Para determinar si es o no necesario iniciar una transferencia de zona, el servidor DNS secundario de la zona considerada verifica el valor del número de serie a partir del registro de recurso SOA. En el caso de que las dos versiones sean idénticas no se efectuará ninguna transferencia. Si, por el contrario, el número de serie de la zona es más elevado en el servidor principal que en el servidor secundario, entonces se realizará la transferencia. Si el servidor principal dispone de un historial de cambios incrementales, entonces se negocia el protocolo IXFR. Evidentemente, el proceso de transferencia incremental definido en el RFC 1995 genera un tráfico de red mucho menos abundante. Otra ventaja corresponde a la rapidez de la operación de replicación, ya que entre los dos servidores únicamente transitan las modificaciones. ¿Cuándo puede producirse una transferencia de zona? ●
●
●
●
Cuando el intervalo de actualización de la zona llega a su fin (es decir, cada 15 minutos de forma predeterminada). Cuando un servidor principal advierte al servidor secundario de que la zona ha cambiado. El RFC 1996 implementa las modificaciones. Cuando se inicia el Servidor DNS desde un servidor secundario de la zona. Cuando se utiliza la consola DNS en un servidor secundario de la zona para lanzar manualmente una transferencia de zona a partir de su servidor principal.
Transferencia de zonas: puntos generales y puertos TCP/IP y tramas Recuerde los puntos siguientes: ●
●
●
No es posible configurar listas de notificación para una zona de código auxiliar. Hablaremos de las zonas de código auxiliar más adelante en este capítulo, véase punto Zonas de código auxiliar. La notificación DNS debería usarse sólo para advertir a los servidores que funcionan como servidores secundarios de la zona. Efectivamente, las zonas integradas en Active Directory son replicadas por Active Directory, que dispone de sus propios mecanismos de notificación. La utilización de las notificaciones con zonas DNS integradas en Active Directory puede degradar el rendimiento del sistema al crear peticiones de transferencia adicionales para la zona actualizada cuando no es necesario.
Observe que el tráfico vinculado a las resoluciones y replicaciones DNS es bajo en comparación con el tráfico generado por los usuarios. El protocolo DNS utilizado por el puerto 53 en TCP y UDP. Detallamos a continuación las operaciones realizadas en cada transporte (TCP o UDP): Puerto fuente UDP 53 hacia el destino en el mismo puerto El protocolo "User Datagram Protocol" (protocolo de tipo no conectado) se utiliza principalmente para las peticiones de resolución entre un cliente DNS y el servidor DNS solicitado. Sin embargo, si la respuesta sobrepasa cierto plazo, el cliente DNS (la parte DNR) repetirá su petición de resolución vía TCP, siempre en el puerto 53. Por definición, el protocolo de transporte UDP es efectivamente rápido, pero no garantiza que los datos enviados se reciban correctamente. El protocolo "Transport Control Protocol" (protocolo de tipo conectado) se utiliza para peticiones más largas como las transferencias de zonas. Al contrario que el protocolo UDP, el protocolo TCP garantiza que los datos enviados se reciban correctamente. Recuerde autorizar los tráficos UDP y TCP 53 al configurar el firewall. El hecho de declarar únicamente uno de los dos protocolos de transporte provocará una disfunción aleatoria de los servicios DNS.
d. Servidores de caché y servidores DNS
- 14 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Por definición, un servidor de caché no controla ni administra ninguna zona. Se contenta con ocultar todas las resoluciones de nombres que efectúa. Un servidor de caché podrá ser utilizado, por ejemplo, cuando el ancho de banda que une un sitio con otro es insuficiente como para plantearse la replicación de una o varias zonas. Dado que el servidor de caché no dispone de ninguna zona, está claro que no existe tráfico de transferencia de zona DNS. Por defecto, el servidor de caché memoriza durante una hora todas las resoluciones logradas. Finalmente, un servidor DNS que administra zonas (primarias, secundarias, Active Directory) también es, por naturaleza, un servidor de caché. De hecho, la única diferencia es que los servidores de caché no disponen de información de zona. La visualización detallada permite ver el contenido de la caché del servidor DNS. Se activa haciendo clic con el botón derecho del ratón sobre el objetivo servidor DNS y a continuación sobre Ver/Vista detallada. En caso de que una información oculta se convierta en no válida, pero continuara estando activa en caché, será posible eliminar el registro. Observe que no se puede modificar una información oculta. La única operación autorizada es la eliminación.
5. Establecimiento de las zonas estándar: buenas prácticas Sea cual sea la tecnología utilizada (Apple, IBM, Novell, Microsoft, sistemas Unix) el establecimiento de dominios DNS ¡y con más razón de dominios DNS en el marco de una infraestructura Active Directory! requiere que se respeten cierto número de buenas prácticas. A continuación encontrará los puntos indispensables y buenas prácticas que es conveniente respetar. Consideraciones propias de los servidores y zonas DNS Utilice como mínimo dos servidores DNS para cada zona del espacio. Cada zona DNS dispondrá por lo tanto de una zona principal estándar y de un servidor secundario para la zona como mínimo. Para las zonas principales integradas en el directorio Active Directory, podrá apoyarse exclusivamente en servidores Windows que desempeñen el papel de controladores de dominio Active Directory. Esta solución se considera "la" buena práctica ya que el servicio DNS, tan necesario para la infraestructura de dominios, se beneficia entonces de las funciones de redundancia y de tolerancia a los fallos inherentes a los controladores de dominio Active Directory. Los servidores secundarios permitirán repartir el tráfico de demandas DNS en algunas partes de la red donde la zona se utilice especialmente. Los servidores secundarios garantizan la disponibilidad total de la zona, aparte de la posibilidad de modificar su contenido. En el caso de que el servidor primario de la zona no estuviera disponible de forma prolongada usted podría, a pesar de todo, "ascender la zona" de un servidor secundario, que actuaría como primario a la espera de que el servidor principal original estuviera nuevamente disponible.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
Estado de la zona _msdcs.booster.corpnet.corporate.net (estado pausado) y modificación del tipo de zona
Modificación del tipo de zona de secundario a principal
Una zona cuyo estado es Pausado hace que no responda. El cambio de tipo de zona secundaria a principal, permite hacer autónoma a la zona. De hecho, la zona pasará al estado Ejecutándose y será de nuevo operativa.
Posicionamiento de los servidores DNS Para optimizar los flujos generados por las resoluciones DNS, los servidores secundarios deben estar instalados lo más cerca posible de los clientes. En el caso de que un elemento de la red (enrutador, firewall, elementos activos) constituyera un punto de fallo para contactar con el servidor DNS predeterminado, declare otro servidor DNS. De esta forma, el elemento de fallo no perturbará las resoluciones. En el caso de Active Directory, es frecuente considerar los servicios de infraestructura como un elemento constituyente de un todo. Así, cada sitio debería disponer de "sus propios servicios de infraestructura", es decir, de un controlador de dominio, un servidor DNS, un catálogo global y, por qué no, un servidor que hiciera las veces de DFS (Distributed File System) raíz, si en el sitio se utiliza el DFS. Por supuesto, esta lista de servicios no es exhaustiva, pero a partir de ahora puede considerar que los servicios son por definición servicios de infraestructura y, de hecho, pueden fácilmente acumularse en el mismo servidor. El servidor se llamará entonces servidor de infraestructura.
Influencia de los emplazamientos en relación con las transferencias de zona Los flujos podrán variar considerablemente entre configuraciones que establezcan transferencias de zonas completas (AXFR All Transfer) e incrementales (IXFR). Observe que las transferencias IXFR pueden salir mal. Replicación de las zonas de búsqueda inversa y número de servidores DNS La cuestión planteada se refiere al número de zonas y de registros por zona que habrá que replicar en los N servidores DNS. Sea como fuere, podrá ver que hay tantos nombres inscritos como direcciones IP asociadas. Además, las buenas prácticas del DNS nos inducen a establecer zonas de búsqueda inversa. Por tanto, los problemas se pueden minimizar y la cuestión se puede reducir a lo siguiente: ¿es razonable replicar las zonas de búsqueda inversa en todos los servidores que disponen de zonas de búsqueda directa? El balance es que los servidores secundarios se usan principalmente para zonas de búsqueda directa. Parece ser que, en general, los servidores secundarios de una zona de búsqueda inversa no se utilizan fuera de la red y la subred relativas a la zona indirecta. Esto se debe sobre todo a que la parte más importante del tráfico entre máquinas clientes y servidores tiene lugar en la misma red o subred IP. La buena práctica, por tanto, podría ser limitar el número de servidores secundarios en las zonas de búsqueda inversa o bien limitar el tráfico utilizando zonas integradas Active Directory para aprovechar las replicaciones comprimidas, incrementales, protegidas y controladas por la topología de replicación Active Directory. Trataremos detalladamente el almacenamiento de zonas DNS en el directorio Active Directory en el capítulo - 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Integración de las zonas DNS en Active Directory.
6. Delegación de las zonas Este potente mecanismo permite establecer espacios de dominio casi infinitos. El mejor ejemplo que podemos citar que utiliza la delegación es la red Internet. Cada dominio comprado es una zona cuya gestión se delega a un tercer responsable. Así, la delegación de zonas DNS implica necesariamente una división del espacio de nombres en una o varias partes que pueden almacenarse, distribuirse y replicarse después en otros servidores DNS. A modo de recordatorio, antes hemos visto que el uso de zonas adicionales permitía responder a las siguientes necesidades: ●
●
●
Desviar la gestión de una parte del espacio de nombres a otra ubicación geográfica o a otra autoridad de administración. Dividir una zona especialmente voluminosa en varias zonas más pequeñas para repartir el tráfico entre las diferentes regiones geográficas de la red. Dividir un espacio compuesto de n dominios DNS en varias zonas para implementar una mejor tolerancia a fallos en caso de fallo de la zona.
El punto más importante para llevar a cabo la delegación de una zona consiste en declarar los registros de delegación. Estos registros desempeñarán un papel de "puntero" hacia los servidores DNS autorizados para resolver los nombres pertenecientes a los subdominios delegados. Para ilustrar esta técnica, podemos basarnos en el ejemplo presentado a continuación.
Registros de delegación en el archivo de zona corporate.net.dns En un principio, la empresa establece un dominio llamado corporate.net. Como ocurre siempre, el dominio se implementa en forma de una zona alojada por uno o varios servidores DNS. Estos servidores pueden estar ubicados tanto en Internet como en la intranet de la empresa, sabiendo que el concepto de delegación es rigurosamente idéntico en esas dos partes de la red. Generalmente se creará una zona de tipo primario y, de hecho, el archivo de base de datos de la zona llamado corporate.net.dns se colocará en el directorio %Systemroot\system32\dns. A continuación, es conveniente disponer los registros que permitirán localizar el subdominio en cuestión. En nuestro ejemplo debe ser posible hacer referencia a los servidores con autoridad para el dominio DNS corpnet.corporate.net. Podrá declarar los registros agregando los registros necesarios en el archivo de zona de la zona corporate.net tal y como se especifica a continuación o utilizar los asistentes de la consola de administración del servicio DNS.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 17 -
Localización de los servidores de referencia para la zona corpnet.corporate.net con ayuda de los registros de recursos de tipo NS y A Las declaraciones presentes en el archivo muestran que el subdominio corpnet.corporate.net es gestionado por cuatro servidores DNS, situados en cuatro subredes diferentes. De esta forma es posible resolver el contenido del subdominio corpnet.corporate.net en los cuatro puntos geográficos. Finalmente, sólo queda asegurarse de que es posible resolver los nombres de los servidores DNS. Resolución de los nombres de servidores DNS Al atribuir servidores con nombres de host en la misma zona, usamos de forma ideal los registros de recursos A (dirección IP) correspondientes. En los servidores especificados usando un registro de recurso como parte de una delegación de zona a otro subdominio o si, simplemente, el nombre completo fuera diferente, entonces los nombres de esas máquinas serán llamados nombres fuera de zona. Resolución de los nombres de los servidores DNS fuera de zona Para la resolución de los nombres fuera de zona serán obligatorios los registros de recursos A para los servidores fuera de zona especificados. Observe que cuando los registros de tipo NS y A fuera de zona son necesarios para realizar una delegación, éstos son llamados registros por peticiones sucesivas. Este caso es relativamente clásico y por tanto no tiene nada de atípico.
- 18 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Propiedades de subdominio corp2003.corporate.net La pantalla precedente muestra que el dominio corpnet.corporate.net está gestionado por cuatro servidores DNS situados en dominios o subdominios diferentes al dominio que contiene los registros de delegación. A propósito del FQDN del registro de NS y de los registros A, la interfaz gráfica puede poner en evidencia las direcciones IP recuperadas a través de una petición DNS. En esos casos aparecerá una estrella al lado de la dirección IP. Acabamos de ver que la delegación de zonas permite establecer un espacio lógico físicamente distribuido en múltiples puntos de red. Las delegaciones permiten resolver dominios directamente inferiores y, por tanto, hacer descender las peticiones de resolución. Por el contrario, para cambiar o ascender las peticiones de resolución será necesario ascender a lo más alto de la jerarquía, es decir, hasta el dominio raíz (.) usando las sugerencias de raíz.
7. Uso de los reenviadores Generalmente, un reenviador es un servidor DNS configurado para redirigir las consultas DNS relativas a los nombres DNS externos hacia servidores DNS situados fuera de la red de la empresa. Sin embargo, observe que también es posible redirigir las consultas de un dominio no soportado, pero situado en la red privada de la empresa. Para que un servidor DNS desempeñe el papel de reenviador, es preciso que el resto de servidores DNS de la red redirijan las consultas que no pueden resolver localmente hacia ese servidor en concreto. De esta forma, el reenviador permitirá gestionar la resolución de los nombres situados fuera de la red, es decir, principalmente en Internet. La siguiente figura muestra cómo se seleccionan los reenviadores y cómo éstos transmiten las consultas de nombres externos hacia Internet.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 19 -
Utilización de reenviadores entre las redes intranet e Internet Como puede ver, el servidor DNS es especialmente importante, ya que desempeña un papel tanto en el ámbito de las resoluciones internas como de las externas. Los puntos siguientes tratan sobre la conectividad de Internet, el buen uso de los reenviadores así como de la eventual desactivación de las consultas recursivas. Exposición de la red privada en Internet Cuando no existe un servidor DNS especialmente designado como reenviador, todos los servidores DNS pueden enviar consultas al exterior de la red usando sus sugerencias de servidores raíz. Si bien es verdad que las sugerencias permiten resolver la totalidad del espacio gestionado, el inconveniente de este método de resolución será generar un volumen de tráfico adicional. En el caso de conexiones a Internet lentas o saturadas, la configuración se revelará ineficaz al tiempo que costosa en términos de ancho de banda consumido. Atención: la consecuencia de las demandas de resolución no satisfechas en caso de un fallo en un servidor DNS interno, por ejemplo podrían ser la exposición en Internet de informaciones DNS internas confidenciales.
Uso correcto de los reenviadores para optimizar las resoluciones DNS Si implanta un servidor DNS como reenviador, convertirá dicho servidor en responsable de la gestión de las resoluciones externas y podrá beneficiarse de las ventajas siguientes: ●
●
●
La exposición de la red se elimina ya que sólo se dirigirán hacia el reenviador y después a Internet las resoluciones no resueltas internamente. El reenviador desempeñará el papel de servidor de caché en la medida en que todas las consultas DNS externas de la red se resolverán a través de él. En poco tiempo el reenviador será capaz de resolver la mayor parte de las consultas DNS externas aprovechando directamente su caché, lo que reducirá el tráfico de resolución hacia Internet. En caso de conexiones a Internet sobrecargadas, el uso de la caché del reenviador permitirá también mejorar el tiempo de respuesta para los clientes DNS.
Comportamiento de los servidores DNS con el uso de un reenviador o sin él Un servidor DNS no se comporta de la misma manera si está configurado para usar un reenviador o no. Cuando un servidor DNS está configurado para usar un reenviador se comporta como sigue:
- 20 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Cuando recibe una consulta, el servidor intenta resolverla con ayuda de las zonas principales y secundarias que aloja y también basándose en las resoluciones ya presentes en su caché.
●
Si no consigue resolver la consulta con estos datos, la envía al servidor DNS designado como reenviador. Para contar siempre con los reenviadores disponibles, puede declarar varios reenviadores y fijar el orden de selección en una lista y el plazo de espera que provocará el uso de otro reenviador.
●
El servidor DNS espera un momento la respuesta del reenviador antes de contactar con los servidores DNS indicados en sus sugerencias de raíz.
●
Como puede constatar en la etapa 3, las resoluciones que no han tenido éxito se desvían al reenviador antes de ser reenviadas a las sugerencias de raíz. Normalmente, las sugerencias de raíz deberían ser servidores internos. Reenviadores y tipos de consultas DNS Habitualmente, cuando un servidor DNS transmite una demanda de resolución a otro servidor DNS, hablamos de consulta iterativa. Por el contrario, cuando un servidor DNS transmite una consulta a un reenviador, se comporta como un simple cliente y transmite a este último una consulta recursiva. De hecho, el servidor que desempeña el papel de simple cliente DNS espera a que se resuelva la consulta. Cuando se configuran delegaciones de zonas, la referencia normal a una zona puede salir mal aleatoriamente si el servidor DNS también está configurado para utilizar reenviadores.
8. Zonas de código auxiliar Una zona de código auxiliar es una copia de una zona que contiene sólo los registros de recursos necesarios para identificar servidores DNS autorizados para dicha zona. Este tipo de zona se utiliza para verificar que los servidores DNS que alojan dichas zonas padre saben qué servidores están autorizados en sus zonas hijo. Así se mantiene la eficacia de las resoluciones. Observe que sólo los servidores DNS Windows Server 2003, Windows Server 2008 y los servidores DNS BIND modernos dan soporte a las zonas de código auxiliar. Los servidores DNS que funcionan con Windows NT 4.0 y Windows 2000 no dan soporte a las zonas de código auxiliar.
a. Contenido de una zona de código auxiliar Como hemos explicado antes, una zona de código auxiliar contiene un subconjunto de datos de zona compuesto únicamente por el registro de SOA (Start of Authority) y los registros NS (Name Server) y de A. Estos últimos registros, llamados Glue records, permiten determinar directamente dentro de la zona las direcciones IP de los servidores de nombres (NS). De hecho, una zona de código auxiliar desempeña un papel de tabla de punteros que permite localizar directamente el servidor o servidores de nombres autorizados para una determinada zona. La creación de una zona de código auxiliar requiere que se declaren las direcciones TCP/IP de uno o varios servidores principales. Estas declaraciones se usarán como ocurre con las zonas secundarias para actualizar la zona de código auxiliar. Los servidores principales asociados a una zona de código auxiliar son uno o varios servidores DNS autorizados para la zona hijo. En general, se trata del servidor DNS que alberga la zona principal del dominio delegado.
b. Ventajas de las zonas de código auxiliar Las zonas de código auxiliar ofrecen numerosas ventajas, sobre todo en lo que respecta a las delegaciones de zona tradicionales. Los puntos presentados a continuación le animarán sin duda a utilizar las zonas de código auxiliar: ●
La información relativa a las zonas delegadas se mantienen dinámicamente dentro de la zona de código auxiliar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 21 -
La declaración de los registros necesarios para delegar un subdominio es una información susceptible de evolucionar en función de la política de administración definida en la zona delegada. Por tanto, está claro que resulta razonable planificar la modificación de las delegaciones como zonas de código auxiliar.
●
Las resoluciones de nombres se mejoran netamente.
●
La administración de las zonas DNS se simplifica.
Atención: las zonas de código auxiliar no tienen el mismo objetivo que las zonas secundarias. En efecto, una zona secundaria contiene todos los registros mientras que una zona de código auxiliar sólo contiene los registros SOA, NS y A de tipo Glue records.
Las zonas de código auxiliar no deben utilizarse para reemplazar zonas secundarias, que permiten una verdadera redundancia así como una repartición de la carga de las resoluciones.
Eliminación de la delegación y creación de una zona de código auxiliar El problema expuesto se resuelve creando en el servidor DNS con autoridad en la zona padre company.com, una zona de código auxiliar que corresponda al subdominio delegado, europe.company.com. De esta manera, los administradores de la zona padre podrán apoyarse en los servidores principales declarados para ser informados de los eventuales cambios de configuración relativos a los servidores DNS con autoridad en la zona hijo delegada o sin ella.
c. Actualización de las zonas de código auxiliar Las actualizaciones de las zonas de código auxiliar funcionan según el mismo principio que las actualizaciones de las zonas DNS secundarias. Al actualizar la zona de código auxiliar El servidor DNS interroga al servidor principal para pedir registros de los mismos tipos que los solicitados en la etapa anterior. Al igual que en el caso de zonas DNS secundarias, el plazo de actualización del registro de recurso SOA condiciona (o no) el inicio de la transferencia de zona que provocará la actualización. Expiración de las zonas de código auxiliar El fracaso continuado de nuevos intentos de actualización a partir del servidor principal puede alcanzar el valor del parámetro de expiración especificado en el registro SOA. Cuando se alcance este plazo, el estatuto de la zona de código auxiliar pasará al estado caducado y el servidor DNS dejará de responder a las peticiones de resolución de la zona.
d. Operaciones en las zonas de código auxiliar Las operaciones relativas a las zonas de código auxiliar son análogas a las operaciones relativas a las zonas secundarias. La gran diferencia radica en el almacenamiento. Por definición, una zona secundaria no puede almacenarse dentro del directorio Active Directory mientras que una zona de código auxiliar sí puede. Las operaciones disponibles en una zona de código auxiliar se realizan con ayuda de la consola de administración MMC del DNS:
- 22 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Volver a cargar La zona de código auxiliar se recargará a partir del almacenaje local del servidor DNS con una copia de la zona de código auxiliar. Transferir a partir del maestro Esta operación permite forzar al servidor DNS que aloja a la zona de código auxiliar a que compruebe si el número de serie (o número de versión) del registro de SOA de la zona ha cambiado y después, en caso necesario, a efectuar una transferencia de zona a partir del servidor principal de la zona de código auxiliar. Volver a cargar a partir del maestro La zona de código auxiliar se recargará con ayuda de una transferencia de zona a partir del servidor principal sea cual sea el valor del número de serie indicado en el registro de SOA. Por supuesto, esta operación resulta muy útil si una zona de código auxiliar está en situación de fallo y no se sincroniza normalmente. Utilización del comando DNSCMD para recargar una zona defectuosa El comando dnscmd dispone de todos los parámetros para realizar las operaciones disponibles en la consola de administración MMC del DNS. Más abajo encontrará dos operaciones importantes realizadas con ayuda de dicho comando. La primera operación purga la caché de las resoluciones realizadas por el servidor DNS mientras que la segunda recarga la zona defectuosa:
El comando DNSCMD es un comando de sistema de Windows Server 2008. La instalación de esta herramienta se realiza instalando las herramientas de soporte a partir del directorio \Support Tools del CDRom de Windows Server 2003. Para obtener ayuda sobre el uso de esta herramienta, teclee dnscmd /? en el símbolo del sistema o utilice la ayuda de las herramientas de soporte de Windows. Para obtener más información acerca del comando dnscmd, busque "Administración del servidor con ayuda de Dnscmd" en la ayuda en línea de Windows Server 2008. Encontrará numerosos ejemplos que le permitirán escribir scripts para automatizar la administración y la actualización de la configuración de sus servidores DNS.
9. Reenviadores, zona de código auxiliar y delegación: buenas prácticas
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 23 -
A pesar de que diferentes sistemas y métodos parecen ofrecer los mismos resultados, existen sutiles diferencias entre ellos. El uso de un método en vez de otro dependerá de las circunstancias. Por este motivo es muy importante observar bien las diferencias que los caracterizan para usarlos de forma apropiada. Todos estos mecanismos son objeto de RFCs estándares. Por consiguiente, encontrará los límites, ventajas e inconvenientes de los diferentes métodos en los servidores DNS de Windows Server 2003 o Windows Server 2008, y en las demás plataformas estándar del mercado. Antes de hacer su elección, puede consultar la tabla presentada a continuación. Ésta le permitirá comprender mejor las buenas prácticas que se ocultan tras el uso de los reenviadores condicionales, las zonas de código auxiliar y las zonas de delegación. Características de los mecanismos de resolución DNS entre espacios de nombres diferentes: Reenviadores condicionales
Zonas de código auxiliar
Delegaciones
Espacio de resolución
Cualquier nombre situado en el mismo nivel o en un nivel superior a las zonas locales.
Cualquier nombre situado Limitado a los en el mismo nivel, en un subdominios de las zonas nivel inferior o superior a locales. las zonas locales.
Consultas DNS utilizadas
El servidor prueba las consultas iterativas y después recursivas.
El servidor resuelve la consulta o pasa una referencia al cliente para realizar una consulta iterativa (en función de la demanda).
Seguridad y Firewall
Da soporte a los firewall.
Puede estar afectado por los firewall que impiden a los clientes contactar con ciertos servidores DNS.
Nivel de configuración
A declarar en todos los servidores DNS.
Replicación automática cuando se utiliza la integración Active Directory.
Siempre replicada en las zonas NS de la zona padre.
Actualización automática cuando se agregan NS a la zona de destino.
Debe reconfigurarse cuando se agregan NS a la zona de destino.
Reconfiguración necesaria Debe reconfigurarse cuando se agregan servidores de nombres a los dominios de destino. Soporte a la tolerancia a los fallos
Puede ser tolerante a los fallos
Para obtener más información sobre la elección a realizar, busque "Administración de los servidores" en la ayuda en línea de Windows Server 2008. Encontrará enlaces hacia las reglas que deben respetarse relativas a temas como el uso de servidores primarios y secundarios, la protección del servicio Servidor DNS, el uso de servidores de caché, la modificación de los parámetros predeterminados del servidor, el uso de los reenviadores, el envío de consultas con ayuda de reenviadores, la actualización de las sugerencias de raíz y la administración del servidor con el comando Dnscmd de las herramientas de soporte.
- 24 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Gestión de los nombres multihost La gestión de los nombres multihost se implementa gracias a la activación de la función Round Robin integrada en el DNS. Puede controlar la activación de la función Round Robin con ayuda de la consola de administración del DNS o con el comando dnscmd.
Desactivación/activación de la función Round Robin
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Caducidad y borrado de los registros DNS Los servidores DNS que funcionan con Windows Server 2003 y Windows Server 2008 dan soporte a las funciones de caducidad y borrado. Estas funciones permiten eliminar registros de recursos anticuados que con el tiempo se pueden acumular en las zonas DNS. Con estas actualizaciones dinámicas, los registros de recursos se agregan automáticamente a las zonas al iniciar los ordenadores en la red. Sin embargo, no siempre se suprimen automáticamente cuando los ordenadores salen de la red. Si un ordenador que ha inscrito su propio registro de recurso de tipo A se desconecta posteriormente de la red de forma incorrecta, el registro de recurso no siempre se suprime. Además, si la red está formada por ordenadores portátiles esta situación puede producirse regularmente y crear una corrupción nada desdeñable de las zonas. Podemos constatar los siguientes puntos negativos: ●
●
●
La presencia de registros recursos antiguos en las zonas puede acarrear problemas de falta de espacio en disco y sobrecargar las replicaciones y otras transferencias de zonas. Los servidores DNS que cargan zonas con registros anticuados introducen el riesgo de utilizar informaciones obsoletas, lo que podría provocar problemas de resolución de nombres en la red. La acumulación de registros inútiles puede tener un impacto negativo en las prestaciones del servidor DNS.
Importante: por defecto, el mecanismo de caducidad y borrado del servidor DNS está desactivado. Observe que a partir del momento en que se active esta función es probable que se destruyan algunos registros. La función sólo debería activarse en los servidores DNS que alojen zonas con cientos de miles registros para proceder a una depuración de los registros anticuados. Si un registro se suprime accidentalmente, no sólo los usuarios no conseguirán resolver consultas relativas al mismo, sino que además la liberación del registro hará que cualquier usuario pueda volverlo a crear y declararse propietario suyo. El servidor utiliza un valor de datado para cada registro de recurso. Cuando un servidor DNS inicia una operación de limpieza, determina los registros de recursos caducos y los elimina de los datos de zona. Los servidores pueden funcionar para efectuar automáticamente las operaciones, pero también usted podrá iniciar la operación actuando sobre las propiedades del servidor Para activar la limpieza de las zonas DNS, utilice la consola de administración MMC del DNS. Marque la opción Habilitar la limpieza automática de los registros obsoletos en la pestaña Avanzadas del objeto servidor DNS, y a continuación haga lo mismo en la zona o zonas DNS en las que desee activar la función.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Esta operación especifica si la limpieza puede o no tener lugar en el servidor seleccionado. Cuando la operación está desactivada, la limpieza no puede efectuarse y los registros no se suprimen de la base de datos DNS. Este parámetro se aplica a la limpieza automática y también a la manual. Todas las zonas DNS disponen de la posibilidad de usar las funciones de limpieza cuando los registros han caducado. El botón Propiedades de caducidad permite acceder a los diferentes ajustes.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Una vez más, la función no está activada de forma predeterminada. A título informativo, la zona utilizada en nuestros ejemplos es la zona _msdcs.corp2003.corporate.net, que administra los controladores del dominio raíz del bosque. Está claro que la zona no debe usar las funciones de limpieza de los registros DNS. La eliminación por error de un registro de recurso usado por un controlador de dominio podrá tener efectos negativos en las autenticaciones de clientes Active Directory o también, lo cual es mucho más grave, en las replicaciones Active Directory. Para aprovechar las operaciones de caducidad y borrado, los registros deben estar agregados a las zonas DNS de forma dinámica. La pantalla presentada a continuación ilustra las diferentes acciones que se pueden iniciar en un servidor DNS de Windows 2000 Server, Windows Server 2003 o Windows Server 2008. Observe la acción Establecer caducidad/borrado para todas las zonas... y la acción Borrar registro de recursos obsoletos:
Propiedades del servidor DNS y borrado de registros También tiene la posibilidad de iniciar la operación de borrado a través de la interfaz de la consola de administración del DNS o con el comando dnscmd/StartScavengin.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Opciones de inicio del servidor DNS Un servidor DNS Windows 2000 Server, Windows Server 2003 o Windows Server 2008 permite especificar de qué manera el servicio servidor DNS debe cargar los datos de zonas al iniciarse. La siguiente pantalla muestra cómo seleccionar las opciones.
Opción de carga: Desde el registro Al elegir esta opción, el servidor DNS se basa en los parámetros de carga de las diferentes zonas almacenadas en el registro como se muestra a continuación. Opción de carga: Desde el archivo Al elegir esta opción el servidor DNS se basa en los parámetros de carga de las diferentes zonas almacenadas en el registro, pero utiliza también el archivo BOOT, al igual que en las implementaciones de servidores DNS de tipo BIND. La siguiente figura muestra un archivo BOOT.
El archivo contiene las declaraciones de las zonas DNS con su tipo, así como ciertos parámetros globales del servidor DNS. Explicamos a continuación las palabras clave más importantes. forwarders © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Parámetro que designa la dirección o direcciones IP de los servidores DNS que deben usarse como reenviadores. cache Parámetro que designa el nombre del archivo que declara los servidores del dominio raíz. primary Parámetro que designa el nombre de una zona de tipo primario así como el archivo de zona asociado a ella. secondary Parámetro que designa el nombre de una zona de tipo secundario así como el archivo de zona asociado a ella. Observe que para utilizar el modo de inicio Desde el archivo, ninguna zona debe estar integrada en el directorio Active Directory. Si fuera imperativo usar el archivo BOOT y tuviera que enfrentarse a ese problema, deberá marcar la casilla Almacenar la zona en Active Directory en las propiedades de cada una de las zonas afectadas. Esta opción está disponible a través de las propiedades de la zona, pestaña General y a continuación el botón que permite modificar el tipo de zona.
Las propiedades de una zona permiten gestionar sus numerosas características Opción de carga: Desde Active Directory y el registro Al elegir esta opción, el servidor DNS se basa en los parámetros de carga situados en el registro sabiendo que el contenido real de las zonas estará almacenado en el directorio Active Directory. Esta opción se selecciona automáticamente cuando el servidor DNS es también un controlador de dominio. Como hemos explicado anteriormente, los parámetros de las zonas se almacenan siempre en el registro, pero esta vez, el archivo BOOT ya no es necesario. De hecho, si éste existiera anteriormente sería desplazado al directorio de archivado \dns\backup. Un nuevo fichero de información llamado boot.txt lo remplazará en el directorio \dns.
El fichero de información boot.txt situado en el directorio \system32\dns especifica que ya no se utiliza el archivo BOOT El registro continúa desempeñando su papel de base de datos de configuración de los servicios y otros módulos de Windows. En nuestro caso podrá constatar que la integración Active Directory debe realizarse para la zona DNS corporate.net. La siguiente figura muestra dicha opción.
El parametraje DsIntegrated especifica la integración en Active Directory
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Recursividad de los servidores DNS y protección de los servidores Por defecto, un servidor DNS Windows 2000 Server, Windows Server 2003 o Windows Server 2008 soporta la recursividad. La recursividad es fundamental en la medida en que permite a un servidor DNS resolver nombres para los que no dispone de archivos de zona. La pestaña Reenviadores de las propiedades del servidor DNS le permitirá no tener que utilizar la recursividad en cada uno de los dominios declarados como objeto de un redireccionamiento. En ocasiones podrá rechazar por completo el uso de la recursividad. La pestaña Avanzadas de las propiedades del servidor le permitirá hacerlo a través de la opción del servidor Deshabilitar recursividad (deshabilitar también los reenviadores).
1. Bloqueo de los ataques de tipo Spoofing DNS Los servidores DNS que dan soporte a la resolución de consultas recursivas pueden ser víctimas de ataques de ese tipo. El objetivo de este tipo de ataques es el de contaminar la caché del servidor DNS. El ataque se basa en la posibilidad de predecir el número de secuencia de la consulta DNS. Así, el atacante puede someter una petición de resolución para la máquina www.microsoft.com y mientras el servidor determina la respuesta a la consulta, el atacante engaña a su servidor con una "respuesta falsa". Esta "respuesta falsa" contendrá, claro está, una "dirección IP falsa" y, por qué no, una duración de vida (Time To Live) muy elevada. Una vez detectado el ataque, la solución consistirá en purgar el registro o registros ilícitos de la caché del servidor DNS. Claro que desactivar las consultas recursivas le protegerá de ese tipo de ataques. Sin embargo, no podrá prescindir de las consultas recursivas si los usuarios del servidor deben resolver dominios no gestionados. En efecto, cuando la recursividad está totalmente desactivada, el servidor DNS no es capaz de resolver los nombres relacionados con las zonas DNS alojadas.
2. Bloqueo de los ataques de tipo Spoofing DNS en servidores de tipo Internet Se recomienda desactivar la recursividad en los servidores DNS disponibles en Internet. De esta forma, el servidor podrá responder a las consultas de otros servidores DNS, pero impedirá que los clientes de Internet utilicen el servidor DNS para resolver otros nombres de dominio en Internet. A modo de recordatorio, también hemos visto antes que un servidor DNS cuya recursividad estuviera totalmente desactivada en el servidor no podía utilizar los reenviadores.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Síntesis de las funciones de los servidores DNS Acabamos de ver que el servidor DNS puede configurarse para funcionar de diferentes maneras y ser utilizado así en diferentes situaciones. Resumimos a continuación las diferentes funciones: Servidor de caché El efecto de un servidor de caché será únicamente reducir el tráfico en una red extendida. El servidor da soporte a las resoluciones de los clientes y las resuelve sin poseer ninguna zona, por tanto, sin que se produzcan sobrecargas de replicación. Servidor que sólo tiene la función de reenviador Un servidor configurado para usar reenviadores intenta resolver el nombre solicitado basándose en su caché local, en las zonas alejadas localmente y luego con ayuda de los reenviadores especificados. Si ninguno de esos medios permite la resolución, entonces se usará la recursividad estándar. Existe la posibilidad de desactivar las resoluciones recursivas para evitar las búsquedas una vez que los reenviadores han fracasado. En esos casos, el servidor DNS sólo podrá contar con su caché, sus zonas y el uso de sus reenviadores.
El buen uso de los reenviadores consiste en permitir a los servidores DNS del espacio privado resolver el espacio DNS de Internet. Elija uno de los servidores DNS para usar los reenviadores. Configure a continuación el firewall para que sólo ese servidor esté autorizado a transmitir y recibir el tráfico DNS de Internet (puertos TCP y UDP 53). Servidor reenviador condicional Mientras que un servidor configurado para usar los reenviadores podrá referirse a uno o varios reenviadores para resolver el nombre solicitado, el reenviador condicional redirigirá las peticiones de resolución en función del nombre de dominio DNS de la consulta. Como hemos visto anteriormente, la configuración es muy sencilla, ya que basta con declarar la dirección TCP/IP de los servidores DNS que darán soporte al dominio especificado para cada dominio de resolución redirigido.
Declaración de reenviadores específicos en función de los dominios © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Comandos de gestión del servicio DNS La estimación de los costes de administración y mantenimiento de los servidores DNS indispensables para el buen funcionamiento del directorio Active Directory es difícil de cuantificar teóricamente. Sin embargo, la experiencia muestra que el uso del servicio DNS no precisa de recursos humanos y materiales adicionales. No obstante, esto no quiere decir que no sea indispensable disponer de los recursos, competencias y herramientas necesarios para una correcta administración y supervisión de este importante servicio. Así, podrá utilizar comandos y herramientas como NSLookup, DNSCmd, DNSLint y Netdiag. A continuación presentamos estas herramientas, así como su forma correcta de uso.
1. El comando ipconfig a. Administración de la caché del cliente DNS y de los registros dinámicos En comparación con las versiones precedentes del comando (versiones Windows 9x y NT), esta utilidad incluye ahora opciones de línea de comando adicionales destinadas a facilitar la resolución de problemas y el soporte de clientes DNS. Así, además de las funciones de Windows NT, de sobras conocidas, dispondrá de la posibilidad de consultar y reiniciar la caché de resolución del módulo cliente DNS y de renovar la inscripción del cliente DNS. Presentamos a continuación una lista con las opciones del comando ipconfig de Windows XP Professional y Windows Server 2003: ipconfig /displaydns El comando ipconfig /displaydns permite ver la caché de las resoluciones, implementado dentro del servicio Cliente DNS. El contenido de la caché del cliente DNS incluye las entradas precargadas a partir del archivo %Systemroot% \System32\Drivers\etc\Hosts de la máquina local, así como cualquier registro de recurso recientemente obtenido a traves de las consultas de nombre ya resueltas. A continuación, el servicio cliente DNS usa esa información para resolver directamente los nombres buscados frecuentemente antes de interrogar realmente a los servidores DNS configurados. Si más adelante fuera necesario añadir entradas dentro del archivo Hosts local, éstas se agregarán instantáneamente a la caché DNS. Visualización de la caché y registros de resoluciones negativas No olvide tampoco que la caché de resolución DNS da soporte a la puesta en caché negativa de los nombres DNS no resueltos. Las entradas negativas se ponen en caché durante un periodo corto de tiempo para que el servidor DNS no sea interrogado de nuevo. El objeto de esta función es garantizar que los servidores DNS no reciban miles de consultas por segundo por parte de una aplicación simplemente mal escrita o malintencionada. De esta forma, las resoluciones negativas puestas en caché garantizan al máximo la disponibilidad de todo el servicio de resolución. La siguiente clave de registro permitirá configurar el tiempo (en segundos) durante el cual las entradas permanecerán almacenadas en la caché DNS: HKLM\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters\NegativeCacheTime. Valor de tipo REG_DWORD comprendido entre 0x0 0xFFFFFFFF. El valor predeterminado en producción en el sistema se define en 0x12C, es decir, 300 segundos o 5 minutos. Una vez expira la duración especificada, el servicio cliente DNS elimina el registro de la caché. A propósito de la duración de vida de las resoluciones negativas, el valor predeterminado de la duración de vida de los registros negativos no necesita ser modificado posteriormente. Además, observe que ese parámetro no se aplica a los registros tipo SOA. El valor del periodo de tiempo para los registros SOA negativos es determinado por el parámetro específico NegativeSOACacheTime. Por defecto, el valor NegativecacheTime se define en 0x78, es decir 120 segundos o 2 minutos.
No es necesario disponer del estatus de administrador para efectuar esta operación. Por consiguiente, por razones de seguridad, se recomienda ejecutar la tarea como simple usuario.
ipconfig /flushdns El comando ipconfig /flushdns permite vaciar y reiniciar la caché de resolución del cliente DNS. Cuando sea necesario, las investigaciones relativas a la resolución de problemas DNS podrán llevarle a usar este
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
comando para excluir las entradas de caché negativas y molestas. ¡Atención! Esta operación vacía la totalidad de la caché. De esta forma, todas las demás entradas agregadas dinámicamente también serán suprimidas. Por el contrario, el reinicio de la caché no elimina las entradas precargadas a partir del archivo Hosts. Para eliminar estas entradas deberá suprimirlas directamente del archivo Hosts.
En el comando ipconfig existe en las anteriores versiones de Windows, las opciones /displaydns y /flushdns sólo están disponibles para los ordenadores que ejecuten los sistemas operativos Windows 2000, Windows XP, Windows Server 2003 así como Windows Vista y Windows Server 2008.
b. Renovación de la inscripción del cliente DNS ipconfig /registerdns Este comando resultará muy útil para renovar la inscripción del cliente DNS tras un cambio de configuración o para resolver el problema de una inscripción errónea o una actualización dinámica entre un cliente y un servidor DNS sin reiniciar el equipo. Esta última observación afecta sobre todo a los servidores. En la medida en que un ordenador puede estar equipado de múltiples tarjetas de red, el hecho de no especificar nada provocará el registro de las direcciones IP presentes en todas las tarjetas en el nombre declarado como nombre completo principal del equipo. Si desea registrar sólo una tarjeta en concreto, podrá introducir el comando ipconfig /registerdns [tarjeta] donde tarjeta es el nombre de la tarjeta de red específica instalada en el equipo cuyas inscripciones desea renovar o actualizar. Los nombres de todas las tarjetas que pueden utilizarse en un equipo determinado aparecen al teclear directamente el comando ipconfig.
El comando ipconfig /registerdns y los contratos DHCP Acabamos de ver que el comando ipconfig /registerdns permite lanzar manualmente la inscripción dinámica de nombres DNS y direcciones IP. No obstante, sepa que este comando restaura también todos los contratos DHCP. En los equipos con sistemas operativos Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008, el servicio cliente usado para efectuar inscripciones y actualizaciones dinámicas es el DHCP y ello si el equipo utiliza un servidor DHCP o bien una configuración TCP/IP estática. En caso de tener que resolver un problema de inscripción dinámica DNS incorrecta para un ordenador y sus nombres DNS, deberá comprobar que la causa del problema no es una de las siguientes: ●
●
●
●
La zona para la que se solicita la actualización o la inscripción del cliente no acepta actualizaciones dinámicas. Los servidores DNS configurados en el cliente no toleran el protocolo de actualización dinámica DNS. El servidor DNS primario o con integración Active Directory de la zona rechaza la petición. Generalmente, los derechos del cliente son insuficientes y no permiten actualizar su propio nombre. El servidor o la zona alojada por el servidor no están disponibles. Ello podrá deberse a diversos problemas como por ejemplo la falta de disponibilidad del sistema o de la red.
Acerca de los registros dinámicos DNS, actualizaciones de la caché y servicios cliente DHCP y cliente DNS integrados en el sistema El servicio Cliente DHCP es el responsable de la inscripción y las actualizaciones de las direcciones IP y de los registros DNS del equipo. Por este motivo, incluso si un equipo está dotado de una configuración TCP/IP estática, no tome la iniciativa de detener el servicio. Si el servicio fuera interrumpido el equipo sufriría dos tipos de problemas. Por un lado, si espera recibir una configuración IP dinámica, no la recibirá y por otro, ya no será capaz de llevar a cabo las actualizaciones DNS dinámicas necesarias. El comando tasklist muestra que los dos módulos están muy relacionados.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Proceso que contiene los servicios Cliente DHCP y Cliente DNS En efecto, los servicios Cliente DHCP y Cliente DNS están contenidos en el mismo proceso. La siguiente pantalla muestra el problema: al estar interrumpido el servicio Cliente DHCP, el equipo no consigue realizar la operación de registro dinámico en el DNS.
El no funcionamiento del servicio Cliente DHCP impide las actualizaciones dinámicas DNS
c. Nuevas opciones del comando ipconfig Windows Vista y Windows Server 2008 conllevan nuevas funcionalidades IP que han necesitado modernizar el conjunto de comandos de sistema como ipconfig o Netsh. A continuación se muestran los parámetros relativos al comando Ipconfig y su función: ●
ipconfig /allcompartments: visualiza información de todos los compartimentos.
●
ipconfig /release: libera la dirección IPv4 para la tarjeta especificada.
●
ipconfig /release6: libera la dirección IPv6 para la tarjeta especificada.
●
ipconfig /renew: renueva la dirección IPv4 para la tarjeta especificada.
●
ipconfig /renew6: renueva la dirección IPv6 para la tarjeta especificada.
Acerca de Compartimentos de enrutamiento (Routing compartments) Windows Server 2008 y Windows Vista disponen de una nueva implementación del protocolo TCP/IP (Next Generation TCP/IP). La pila de protocolos TCP/IP que equipó anteriormente a Windows XP y Windows Server 2003 fue desarrollada al principio de los años 90 y ha sufrido numerosas modificaciones para seguir las evoluciones del protocolo. El protocolo TCP/IP NextGen es una nueva arquitectura y un nuevo desarrollo completo del conjunto de la pila IPv4 y IPv6. Una de las numerosas funcionalidades implementadas se llama « compartimentos de enrutamiento ».
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Un compartimento de enrutamiento es una combinación de un conjunto de interfaces asociadas a una sesión de usuario dada que dispone de su propia tabla de enrutamiento privada. De este modo, un ordenador puede tener múltiples compartimentos de enrutamiento, aislados unos de otros, sabiendo que una interfaz no puede pertenecer más que a un compartimento. Esta funcionalidad es muy potente, ya que permite aislar tráficos no deseados entre interfaces virtuales como las VPN, las sesiones de tipo Terminal Server, etc. Para más información, busque « Next Generation TCP/IP Stack » en el sitio Microsoft Technet o el siguiente enlace: http://technet.microsoft.com/enus/network/bb545475.aspx
2. El comando NSLookup Uso del comando NSlookup para verificar los registros de los controladores de dominio Active Directory El comando NSLookup es un comando usado a menudo para diagnosticar posibles problemas de resolución de nombres dentro de la infraestructura DNS. Es especialmente potente para enviar a un servidor DNS u otro demandas de resolución y presentar respuestas detalladas relativas a dichas demandas. El comando NSLookup presenta la particularidad de funcionar en modo interactivo o en modo no interactivo. En modo interactivo Al usar este modo recibirá directamente los resultados relativos a sus comandos. Por supuesto, este es el modo más práctico cuando se deben teclear múltiples comandos para realizar una serie de operaciones. En modo no interactivo Al usar este modo podrá pasar múltiples parámetros en la línea de comandos y analizar así las operaciones que podrían insertarse a continuación en un script de administración. Es esos casos, el retorno relacionado con el comando pasado podrá redirigirse a un archivo. Por ejemplo, podrá usar el procedimiento que mostramos a continuación para controlar los registros de controladores de dominios: ■
Teclee el comando NSLookup en el símbolo del sistema.
■
Teclee set q=srv.
■
Teclee _ldap._tcp.dc._msdcs.Nombre_Dominio_Active_Directory.
El retorno de este comando debe mostrar todos los registros de tipo SRV para el nombre solicitado "_ldap._tcp.dc._msdcs.corp2003.corporate.net", es decir, todos los controladores del dominio contemplado. En función del resultado, usted mismo determinará si se requiere alguna acción adicional.
Filtrado en los registros de tipo SRV Si ese fuera el caso, la solución consistirá en corregir los registros erróneos o ausentes. Para agregar los registros de recursos de tipo SRV necesarios para un controlador de dominio determinado, abra el archivo Netlogon.dns. El
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
asistente para la instalación de Active Directory crea automáticamente este archivo en el momento en que el servidor adopta el papel de controlador de dominio. Está situado en la ubicación: \%SystemRoot%\System32\ Config\Netlogon.dns Las operaciones realizadas simplemente han comprobado la disponibilidad o no de los registros buscados. De hecho se trata de una operación normal que no precisa que disponga de un perfil administrador. La buena práctica consiste, por lo tanto, en no tomar prestada esa identidad.
En algunos casos el procedimiento anterior devuelve varios plazos de caducidad sucesivos. Esto se producirá cuando las búsquedas indirectas no estén configuradas correctamente.
3. El comando DNSCmd Al igual que la mayoría de herramientas utilizadas por el personal de asistencia técnica, el comando DNSCmd se incluye en las herramientas de soporte de Windows Server 2003. Este comando da soporte, directamente en la línea de comando, a la mayoría de tareas de administración incluidas en la consola de administración MMC del DNS. Ahora, este importante comando se integra en Windows Server 2008. Se usa para realizar operaciones especiales en varios servidores DNS. El método es, por tanto, especialmente eficaz para hacer scripts de tareas de administración repetitivas en uno o varios servidores DNS. Ese podría ser el caso, por supuesto, de un proveedor de servicios de Internet. El comando DNSCmd puede usarse de dos maneras: bien en administración local o remota, o bien dentro de los archivos batch genéricos transferidos y ejecutados a distancia. De hecho, todos los escenarios de ejecución son posibles y éstos permitirán administrar la mayoría de casos que se presenten. El comando DNSCmd se usa de la siguiente forma: dnscmd Nombre_de_servidor Comando [Parámetros del comando] Por ejemplo, el comando dnscmd booster2003.corp2003.corporate.net /info devolverá una página completa de parámetros como pueden ser los parámetros relativos a la información general del servidor, la configuración de los mecanismos DNS, la configuración de las opciones de limpieza de los registros de recursos, el uso de reenviadores, de la recursividad, etc. Otro comando útil es el dnscmd Nombre_de_Servidor /clearcache.
Vaciado de la caché DNS en caso de corrupción El parámetro /clearcache permite purgar íntegramente el contenido de la caché del servidor DNS y suprimir así todos los registros no válidos. No confunda la caché del servidor DNS con la caché del "Cliente DNS". La caché del servidor puede se purgar © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
con el comando dnscmd /clearcache mientras que la caché del cliente se purgará con el comando ipconfig /flushdns. En el mismo orden de ideas, los privilegios necesarios para ambas operaciones no son idénticos. Para llevar a cabo el borrado de la caché del servidor DNS deberá ser miembro del grupo de Administradores en el ordenador local o haber recibido, por delegación, las confianzas necesarias. Observe que si el equipo es miembro de un dominio, los miembros del grupo Administradores del dominio podrán efectuar ese proceso. Para llevar a cabo el borrado de la caché DNS del cliente DNS no es preciso que disponga de privilegios de administración. La siguiente lista presenta los parámetros del comando DNSCmd usados con mayor frecuencia: /primary /secondary /stub /cache /autocreated Filtrado del tipo de zona que sea desea visualizar. /primary Muestra todas las zonas de tipo principal o Active Directory. /secondary Muestra todas las zonas de tipo secundario. /stub Muestra todas la zonas de código auxiliar. /cache Muestra todas las zonas presentes en la caché del servidor DNS. /autocreated Ofrece un listado de las zonas creadas automáticamente durante la fase de instalación del servidor DNS. /forward /reverse Permite filtrar la vista de zonas de un tipo determinado Para mostrar los numerosos comandos y parámetros de DNSCmd, teclee en la línea de comandos DNSCmd /?.
4. El comando DNSLint El comando DNSLint es un comando incluido en las herramientas de soporte de Windows Server 2003. DNSLint es una herramienta que permite diagnosticar problemas relacionados con la resolución de nombres de host, dominios y delegaciones de subdominios y también aspectos relativos al directorio Active Directory. En efecto, el comando dispone de argumentos que le permitirán verificar los registros de recursos usados específicamente para la replicación de controladores de dominio Active Directory. Otra ventaja con respecto a los demás comandos es que permite producir directamente informes en formato HTML. De esta forma, podrá presentar un checkup completo de la implementación del sistema de resolución DNS dentro de un bosque Active Directory. Todavía más, DNSLint le ayudará en la resolución de problemas de autenticación de clientes dentro de un dominio Active Directory verificando los registros de tipo SRV para los protocolos LDAP, Kerberos, así como para los catálogos globales. Por ejemplo, el comando que deberá usar para crear un /s
informe
es:
dnslint
/ad
El parámetro /ad especifica que los registros del directorio Active Directory deben ser probados, el parámetro /s permite solicitar el servidor DNS especificado. Observe que el parámetro /s es obligatorio para hacer un test Active Directory con el parámetro /ad. Además, el servidor DNS especificado a través del parámetro /s deberá estar autorizado para el subdominio _msdcs.. Si desea probar los registros de recursos DNS necesarios para el directorio Active Directory en el servidor local, puede unir el parámetro /ad con el parámetro específico /localhost. - 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Este test comprueba que el servidor local es capaz de resolver los registros necesarios para las replicaciones Active Directory. Además de las funciones de test Active Directory, DNSLint también es capaz de verificar el funcionamiento correcto de las delegaciones de dominio y de controlar un conjunto de registros de recursos DNS. Para realizar estas dos operaciones podrá usar los parámetros /d y /ql respectivamente. Para obtener más información acerca de los diferentes parámetros disponibles para el comando DNSLint, teclee DNSLint /?. Para descargar DNSLint u obtener más información acerca de este comando, puede consultar el artículo técnico en la siguiente dirección: http://support.microsoft.com/kb/321045/enus. En un servidor Windows Server 2008, puede también instalar Herramientas de Soporte de Windows Server 2003 y, de este modo, disponer de todas las herramientas de soporte habituales.
5. El comando Netdiag El comando Netdiag, disponible con las Herramientas de Soporte de Windows Server 2003, le ayudará a aislar los problemas de red y de conectividad. Netdiag es capaz de realizar pruebas para determinar el estado preciso de las comunicaciones en todos los tipos de ordenadores clientes de la red. El comando Netdiag apareció con las herramientas de soporte de Windows Server 2000. Con Windows Server 2008, la mayor parte de estas herramientas se han integrado, suprimiendo la necesidad de entregar un conjunto de utilidades anexas. Observe sin embargo, que el comando Netdiag no ha sido integrado en estos términos ya que el comando Dcdiag incorpora las opciones de test de red equivalentes. Atención: la instalación de herramientas de soporte de Windows Server 2003 SP2 o Windows Server 2003 R2 en un servidor Windows Server 2008 provoca un mensaje de advertencia del módulo "Asistente de compatibilidad de programas". Esto significa que este programa presenta problemas de compatibilidad conocidos. Incluso si este mensaje de advertencia se puede ignorar y la instalación de las Herramientas de soporte de Windows Server 2003 se realiza con éxito, será necesario asegurarse de que las diferentes herramientas funcionan correctamente (como ocurre en la mayoría de los casos, incluido el comando Netdiag). La sintaxis completa del comando Netdiag adopta la siguiente forma: netdiag [/q] [/v] [/l] [/debug] [/d: Nombre_de_dominio] [/fix] [/dcaccountenum][/test: nombre_del_test] [/skip: nombre_del_test] A continuación presentamos una lista de los parámetros detallados: El parámetro /q Puede usarse para especificar una salida de mensajes simplificados o mostrar sólo los mensajes de error. El parámetro /v Puede usarse para ejecutar Netdiag en modo detallado (verbose mode) y mostrar todos los detalles relativos a las acciones realizadas. El parámetro /l Puede usarse para redirigir la salida del comando Netdiag a un archivo. Dicho archivo recibe el nombre de Netdiag.log y se creará en el mismo directorio que aquel en el que se ejecuta el comando Netdiag. El parámetro /debug Puede usarse para ejecutar el comando Netdiag en modo debug. Este parámetro permite disponer de un modo detallado superior al modo obtenido gracias al parámetro /v. El parámetro /d: domain_name Puede usarse para localizar un controlador de dominio en el dominio especificado. El parámetro /fix Puede usarse para que Netdiag solucione directamente problemas menores. El parámetro /dcaccountenum © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Puede usarse para enumerar las cuentas de equipo de tipo Controlador de Dominio. A continuación encontrará ejemplos de uso del potente comando de diagnóstico: ●
●
●
Para usar Netdiag en modo detallado, teclee netdiag /v. Para utilizar Netdiag con el fin de mostrar la información relativa a un controlador de dominio de su dominio, y escribirla en el diario Netdiag.log, teclee el comando netdiag /v /l /test:dsgetdc. Para usar Netdiag con el fin de mostrar la actividad avanzada del protocolo DNS, teclee el comando netdiag /test:dns /debug.
Para obtener más información sobre el comando Netdiag y su uso en diferentes escenarios puede remitirse a los artículos de la Base de conocimientos de Microsoft cuyos números se mencionan a continuación: ●
Q265706: DCDiag and NetDiag in Windows 2000 Facilitate Domain Join and DC Creation.
●
Q257225: Basic IPSec Troubleshooting in Windows 2000.
●
Q216899: Best Practice Methods for Windows 2000 Domain Controller Setup.
●
Q250842: Troubleshooting Group Policy Application Problems.
●
Q219289: Description of the Netdiag /fix Switch.
Netdiag /fix: al usar el parámetro /fix, las rutinas de test incluidas en el comando Netdiag comprueban que todas las entradas contenidas en el archivo Netlogon.dns estén presentes en la zona DNS. Si alguna entrada es incorrecta, Netdiag corrige los errores. Cuando Netdiag ejecuta un test de controlador de dominio, el parámetro /fix verifica el GUID del dominio oculto localmente en el ordenador, comparándolo con el GUID del dominio disponible en un controlador de dominio. Este aspecto es muy interesante, ya que esos registros son esenciales para el buen funcionamiento de las replicaciones Active Directory. No olvide que, por definición, Active Directory asigna a todos los elementos (objetos) que contiene y que lo componen un DN, un RON y también un GUID. El GUID (Globally Unique IDentifier), del dominio referencia al objeto dominio mismo en el DIT (Directory Information Tree) garantizando así su unicidad.
Para obtener más información sobre el comando Netdiag, puede buscar en la ayuda en línea de Microsoft o instalar directamente las Herramientas de Soporte de Windows Server 2003 y así disponer de los todos las herramientas de soporte habituales.
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Supervisión del servicio DNS El servicio DNS, al igual que los demás servicios importantes, debe ser vigilado. La supervisión se basa en la utilización de la consola de administración del rendimiento. Esta consola permite llamar a un conjunto de contadores de rendimiento especializados en la supervisión del servicio servidor DNS. Dado que los servidores DNS desempeñan un papel capital en la mayoría de infraestructuras, su supervisión permitirá reaccionar de forma proactiva con ayuda de los siguientes elementos: ●
●
Disponer de una base de rendimiento de referencia. A continuación podrá utilizar esa información para identificar caídas en el rendimiento y estimar así posibles actualizaciones de hardware o de software con el fin de mantener o mejorar el nivel de rendimiento. Disponer de registros especializados para ayudar a la reparación y optimización del servicio servidor DNS.
Seguidamente trataremos estos dos importantes puntos:
1. Definición de una base de referencia El siguiente cuadro muestra los contadores que puede o debe seleccionar para poder supervisar correctamente el servicio servidor DNS. Contadores de rendimiento
Tipos de datos recolectados
Evaluación
Directiva de control
Actualizaciones dinámicas Número total de rechazadas actualizaciones dinámicas rechazadas por el servidor DNS.
Un número alto de rechazos en un servidor DNS seguro puede querer decir que algún equipo no autorizado intenta llevar a cabo actualizaciones dinámicas.
Todo aumento debe provocar un análisis detallado de esta dudosa actividad.
Consultas recursivas por segundos
Este contador permite controlar la actividad del servidor DNS en términos de carga de resoluciones de nombres.
Cualquier variación importante deberá ser objeto de un control de la actividad.
El servidor secundario que aloja una zona secundaria solicita transferencias de zona. Cuando la cifra es elevada se efectúa en la zona primaria un número elevado de cambios.
Si el contador evoluciona de manera importante en relación con la base, quizá sea necesario revisar el número de modificaciones autorizadas así como el método utilizado.
Número medio de consultas recursivas recibidas por el servidor DNS en un segundo.
Peticiones AXFR enviadas Número total de peticiones de transferencias de zona completas enviadas por el servidor DNS secundario.
Contadores de control del DNS y cuadro de utilización Estos contadores pueden usarse con los componentes de control y registro habituales de Windows 2000, Windows Server 2003 y Windows Server 2008.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Visor de logging para el control del servicio DNS Habrá constatado que la consola MMC mostrada arriba tiene dos componentes. El componente System Monitor Control corresponde al tradicional "monitor de rendimiento" mientras que el componente Administración del equipo permite administrar los registros y alertas de rendimiento. En este ejemplo, el comportamiento de la máquina se controla con ayuda del registro predeterminado Información general del sistema así como de un registro dedicado al control del servicio servidor DNS. Habitualmente, la consola preformateada Rendimiento es directamente accesible a través del menú Inicio Todos los programas Herramientas administrativas. Sin embargo, si desea insertar este programa conectable en una consola personalizada se sorprenderá de no encontrarlo en la lista de componentes seleccionables. Ahora bien, el componente está disponible si pasa por la opción Control ActiveX. Este componente es especialmente interesante para tener una vista instantánea de la actividad pero sobretodo para analizar los registros en un periodo de tiempo que se puede especificar:
Selección del periodo de análisis en el registro
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Podrán añadirse otros interesantes contadores en función del uso del servidor DNS. De esta forma, por ejemplo, podrá insertar en su registro de control los contadores de rendimiento detallados a continuación: ●
Nº total de peticiones recibidas y Nº total de peticiones recibidas/s;
●
Nº total de repuestas enviadas y Nº total de respuestas enviadas/s;
●
Peticiones recursivas y Peticiones recursivas/s;
●
Plazos expirados de envíos recursivos y Plazos expirados de envíos recursivos/s;
●
Rechazos de peticiones recursivas y Rechazos de peticiones recursivas/s;
●
Notificaciones enviadas Peticiones de transferencias de zona recibidas;
●
Rechazos de transferencias de zona;
●
Peticiones AXFR recibidas AXFR correctos enviados;
●
Peticiones IXFR recibidas IXFR correctos enviados Notificaciones recibidas;
●
Peticiones de transferencia de zona SOA;
●
Actualizaciones dinámicas recibidas y Actualizaciones dinámicas recibidas/s;
●
Actualizaciones dinámicas rechazadas;
●
Actualizaciones dinámicas en espera;
●
Actualizaciones dinámicas seguras recibidas y Actualizaciones dinámicas seguras recibidas/s;
●
Rechazos de actualizaciones seguras.
2. Uso de la consola Administración del servidor Windows Server 2008 introduce la nueva consola de gestión de servidor MMC Administración del servidor. Esta consola facilita el conjunto de tareas de gestión y de seguridad de las funciones de servidor proporcionando un punto central para acceder a la información del sistema y a los diferentes estados de funcionamiento del servidor. A continuación se muestran sus grandes funcionalidades: ●
Visualización y modificación de funcionalidades instaladas en el servidor.
●
Gestión de servicios operacionales.
●
Gestión de funciones.
●
Resumen de estados, eventos críticos y ayuda en el análisis y resolución de problemas con acceso a diferentes fuentes de información (buenas prácticas, recomendaciones, artículos Microsoft Technet).
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Seguimiento de la función « servidor DNS » con la ayuda de Administración del servidor La siguiente figura ilustra la consola Administración del servidor para utilizar de la mejor manera posible los servicios DNS de Windows Server 2008. Encontrará los mejores enlaces para aplicar las configuraciones recomendadas, las diferentes tareas de administración o de mantenimiento así como mejoras prácticas a observar.
Mantenimiento de la función « servidor DNS » con la ayuda de Administración del servidor
3. Uso de los visores de sucesos Por defecto, los ordenadores que funcionan con Windows 2000 o Windows Server 2003 guardan los eventos en tres tipos de visores: ●
●
●
Aplicación: contiene los sucesos guardados por las aplicaciones o programas. Seguridad: registra sucesos tales como intentos válidos y no válidos de inicio de sesión, así como sucesos vinculados al uso de un recurso. Sistema: contiene los sucesos guardados por los componentes del sistema Windows. Los rechazos en la carga de un piloto u otro componente del sistema durante el inicio se consignan en el visor.
Sin embargo, cuando el equipo está configurado para alojar ciertos servicios adicionales, se dispone de visores - 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
adicionales. Así, si el equipo está configurado como controlador de dominio se crean dos visores adicionales: ●
●
Servicio de directorio: contiene los sucesos guardados por el servicio Active Directory de Windows 2000, Windows Server 2003 o Windows Server 2008. Servicio de replicación de archivos: contiene los sucesos guardados por el servicio de replicación de archivos FRS o NTFRS de Windows.
Cuando el equipo también está configurado para acoger la función de servidor DNS, los sucesos del servicio se consignan en un visor adicional. El visor del servidor DNS contiene únicamente los sucesos registrados por el servicio DNS de Windows. La figura que presentamos más adelante muestra dicho visor, accesible a través de las herramientas de gestión de los visores de sucesos de Windows, pero también directamente mediante la consola de administración MMC del DNS. El visor Sucesos DNS está situado, al igual que el resto de visores, en el directorio %Systemroot%\system32 \config\ y se llama dnsevent.evt. La siguiente figura ilustra el nivel de detalle de los mensajes del visor. En efecto, en este ejemplo, un registro de recuso no válido se encuentra en la zona DNS corporate.net. Este problema genera un número de suceso 4011, pero sobretodo una explicación muy precisa del problema.
Detección de un registro de recurso DNS no válido en la zona Efectivamente, constatamos que el problema está en la línea 31 del fichero de zona cuyo nombre es corporate.net.dns. Generalmente, los mensajes de Windows y de los componentes integrados en el sistema son relativamente explícitos. Por desgracia, no siempre los mensajes son tan claros como en el ejemplo anterior. A veces será necesario buscar más detalles referentes a las circunstancias en que los mensajes se han producido. Se puede acceder a la descripción de los mensajes Windows con los recursos especificados a continuación: ●
Conéctese al sitio Microsoft Events and Errors Message Center en la dirección: http://www.microsoft.com/technet/support/eventserrors.mspx
●
Instale el kit de Recursos Técnicos de Windows 2000 o Windows Server 2003.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
●
Conéctese al sitio http://www.EventID.net.
4. Uso de los registros de depuración DNS Windows Server 2003 y Windows Server 2008 dan soporte a un nuevo modo de registro avanzado que permite seleccionar los tipos de mensajes y operaciones específicos del servicio DNS. Al igual que ocurre con muchos productos, estos registros no se encuentran activados por defecto para evitar posibles sobrecargas del equipo. Se activarán sólo en caso de necesidad, por ejemplo, cuando lo solicite el soporte Microsoft. La activación de los visores de depuración en un servidor DNS determinado, por ejemplo, tendrá como efecto consignar en el registro DNS.log los tipos de actividad que usted haya seleccionado previamente. Puede activar el registro de depuración a partir de la ficha Depurar registro en las propiedades del objeto Servidor. Por defecto, el registro DNS.log está almacenado en la partición sistema dentro de la carpeta %Systemroot% \system32\dns. Este archivo, ciertamente muy útil para ayudar en el diagnóstico de los incidentes DNS, puede consumir espacio en disco, por lo que el tamaño máximo fijado por defecto es 500 Mb. Para esquivar posibles problemas de espacio en disco también se puede cambiar el emplazamiento físico del archivo de registro colocándolo en otro disco físico o en otra partición. Observe que el tamaño predeterminado permite consignar bastante información en un periodo de tiempo conveniente para poder ayudar en el diagnóstico y en la resolución del problema. No olvide que la depuración del registro sólo se detendrá si usted lo especifica o si el espacio de disco se hiciera insuficiente. Mientras la función esté activada, el registro de depuración continúa operativo y las entradas más antiguas se sobrescribirán sólo cuando se alcance el tamaño límite.
Lectura del registro de depuración DNS.log
El registro de depuración no está activado por defecto. Esta funcionalidad sólo debería estar activa para diagnosticar problemas complejos. No olvide que este modo de depuración consume abundantes recursos y acaba afectando al comportamiento general del equipo. Por consiguiente, utilícelo cuando resulte necesario disponer de información más detallada. Para obtener más información sobre el control del servicio DNS, busque "Supervisión y optimización de los servidores DNS" en la ayuda en línea de Windows Server 2008.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Restauración de los parámetros predeterminados Es posible que tras configurar los numerosos parámetros del servidor DNS de Windows Server 2003 o Windows Server 2008, algunos parámetros no se hayan definido convenientemente. Para restablecer un comportamiento más racional, podrá verse obligado a restaurar los parámetros predeterminados de su servidor DNS. Para realizar esta operación con la consola de administración MMC del DNS, haga clic con el botón derecho del ratón sobre el servidor DNS apropiado, haga clic en Propiedades y seleccione la pestaña Avanzadas. Haga clic en Restablecer valores predeterminados, y después en Aceptar.
Restablecimiento de los valores predeterminados del servidor DNS Los valores restablecidos respetarán los valores correspondientes a la instalación predeterminada del servicio servidor DNS en el equipo. Estos valores son los siguientes: Desactivar recursividad No seleccionado. Enlazar secundarios Seleccionado. Error en carga ... No seleccionado. Habilitar la función Round Robin Seleccionado. Habilitar orden de máscara de red Seleccionado.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Asegurar caché contra corrupción Seleccionado. Comprobación de nombre Multibyte (UTF8). Cargar datos de la zona... Desde Active Directory y el registro. Habilitar la limpieza automática... No seleccionado.
Esta operación requiere que usted sea miembro del grupo Administradores en el equipo local o que haya recibido por delegación las confianzas necesarias. Si el equipo está vinculado a un dominio, los miembros del grupo Administradores del dominio pueden efectuar este procedimiento.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Interfaz NetBIOS y Configuración DNS del cliente Windows XP Professional 1. A propósito de la interfaz NetBIOS a. Interfaz NetBIOS y configuración DNS del cliente Windows XP Professional Los sistemas operativos Microsoft dan soporte a TCP/IP desde hace más de quince años. Con las primeras versiones de PC/LAN, posteriormente con Microsoft OS/2 Lan Manager y, finalmente, con Windows NT 3.1 en 1993, y en la actualidad con todas las tecnologías que gravitan en torno al directorio Active Directory, los servicios TCP/IP han adquirido cada vez más importancia dentro de los sistemas y aplicaciones Windows. La presente sección presenta los conceptos y buenas prácticas relativos a la configuración TCP/IP de la estación de trabajo Windows XP Professional, sabiendo que usted podrá aplicar esos principios a máquinas con Windows 2000, Windows Server 2003 o Windows Server 2008.
b. Tipos de nombres tolerados Para empezar, conviene recordar que, por defecto, los sistemas operativos Windows 2000, Windows XP, Windows Server 2003 y Windows Server 2008 utilizan un espacio de nombres y un sistema de resolución de nombres para asociar nombres de equipos, servicios y dominios a las direcciones IP. Es evidente que esos nombres serán más fáciles de utilizar que las direcciones reales de esos elementos. Aunque no sean los únicos para sistemas en red, existen dos grandes tipos de nombres: ●
●
Los nombres de host: los nombres de host son usados por programas que utilizan la interfaz de programación Windows Sockets. En la actualidad, la mayoría de aplicaciones se apoyan en esta interfaz. Por ejemplo, las aplicaciones como Microsoft Internet Explorer o las herramientas de gestión TCP/IP como el comando tracert utilizan esa interfaz de programación en red. Los nombres NetBIOS: los nombres NetBIOS son utilizados por programas o servicios en red que utilizan la interfaz de programación NetBIOS. Por ejemplo, aplicaciones como "Cliente para redes Microsoft" y "Compartir impresoras y archivos para redes Microsoft" son también programas que usan la interfaz NetBIOS. Por supuesto, la lista es larga, también podemos citar el servicio "Ver mensajes" utilizado mediante el comando net send. Antes de que TCP/IP se impusiera gracias a la eclosión de Internet y la adhesión de líderes como IBM, Microsoft y Novell, las redes usaban protocolos de transporte como IPX/SPX, Decnet, SNA, AppleTalk, cada uno de ellos con sus propias API de desarrollo de aplicaciones de red. Fue entonces cuando se definió NetBIOS Network Basic Input and Output System, la interfaz llamada a desempeñar el papel de interfaz de programación genérica para el desarrollo de aplicaciones de red.
c. Posicionamiento de la interfaz NetBIOS en relación con TCP/IP El protocolo NetBIOS existe en tanto que interfaz de tipo sesión, es decir, en el nivel 5 del modelo OSI. No obstante, el protocolo existe también como transporte real en el nivel 4 del mismo modelo. La implementación de Microsoft, conocida con el nombre "NetBEUI NetBIOS Extended User Interface", es la más eficaz. Durante muchos años rivalizó con Novell Netware e IBM OS/2 Warp Server con NetBIOS 3.0. Al no disponer de servicios de red en el nivel 3 del modelo OSI, está claro que el protocolo NetBEUI no es enrutable. Sin embargo, dicho protocolo de transporte es enrutable en Token Ring y puede atravesar los puentes de nivel 2. Relación entre el modelo TCP/IP y las aplicaciones Finalmente, la capa Aplicación es la más importante, ya que permitirá usar o no los servicios de toda la pila de protocolos TCP/IP. TCP/IP propone dos interfaces que permiten a las aplicaciones en red usar esos servicios. ●
●
La interfaz Windows Sockets: esta interfaz también llamada Winsock, desempeña el papel de interfaz estándar entre aplicaciones basadas en los Sockets y los protocolos de TCP/IP. El concepto es el siguiente: la aplicación especifica el protocolo, la dirección IP y el puerto a utilizar en la aplicación remota. Los servicios de la interfaz Windows Sockets permiten realizar esta función así como la apertura y cierre de las conexiones y el envío y recepción de datos. La interfaz NetBIOS over TCP/IP: esta interfaz, también llamada NetBT, desempeña el papel de interfaz estándar entre las aplicaciones NetBIOS. Ofrece servicios de nombres completos, servicios de suministro de datos en modo conectado y desconectado (es decir en TCP y UDP) y servicios de gestión de sesiones. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
2. Plataforma Windows e interfaz Windows a. Servicios NetBIOS y códigos de servicios Microsoft En la medida en que muchas plataformas continúan utilizando la interfaz NetBIOS, resulta importante conocer los códigos de servicios usados por los componentes de la red Microsoft. Estos códigos se registran en la red local en forma de mensajes de tipo "limited broadcasts", es decir, mensajes de difusión cuya dirección de destino se limita a la red o a la subred TCP/IP fuente. Por ejemplo, en la red 10.1.0.0 con un prefijo de 16 bits, es decir, una máscara de subred de clase B, la dirección de destino de los mensajes de petición de registro será 10.1.255.255. Claro, como los routers IP sólo enrutan mensajes dirigidos (unicasts), los mensajes se limitan a la subred IP local. Todas las máquinas de la red serán informadas así y podrán eventualmente contestar a la petición de registro. Eso ocurrirá si, inesperadamente, se inician en la misma red dos ordenadores con el mismo nombre NetBIOS. El ordenador iniciado en último lugar será excluido de la red NetBIOS hasta que se resuelva el problema de conflicto. Además del registro de nombres NetBIOS a través de los mensajes de difusión, la implementación de NetBIOS en TCP/IP prevé el uso de servidores NBNS (NetBIOS Name Servers) como WINS Windows Internet Naming Service. Estos servidores permiten centralizar todos los registros NetBIOS. Evidentemente, los servidores de registro de nombres NetBIOS funcionan de forma dinámica y permiten disminuir de forma sustancial el número de mensajes de difusión. La siguiente figura muestra el uso del comando nbtstat, que muestra los códigos de servicios de una máquina determinada.
Vista de los nombres NetBIOS registrados por la máquina 192.168.0.47. El código [1B] muestra que la máquina desempeña el papel de controlador de dominio principal de exploración para el dominio NetBIOS CORP2003 El comando nbtstat es un antiguo comando NetBIOS. Existe desde las primeras implementaciones de Microsoft OS/2 LAN Manager. Además de controlar individualmente cada máquina, podrá acceder al conjunto de registros del espacio de nombre NetBIOS consultando las bases de datos de los servidores WINS. Los tipos de nombres NetBIOS presentados a continuación son los usados con mayor frecuencia en las redes Microsoft. nombre_equipo[00h] Nombre registrado por el servicio Estación de trabajo en el cliente WINS. nombre_equipo[03h] Nombre registrado por el servicio Vista de los mensajes en el cliente WINS. nombre_equipo[06h] Nombre registrado en el cliente WINS por el servicio de enrutamiento y acceso remoto al iniciar dicho servicio. nombre_dominio[1Bh] Nombre registrado por cada controlador de dominio Windows NT Server 4.0 con la función de explorador principal de dominio (Domain Master Browser). Este registro de nombre se usa para permitir la exploración remota de los dominios.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
nombre_equipo[1Fh] Nombre registrado por los servicios NetDDE (Network Dynamic Data Exchange). Sólo se registra si se han iniciado los servicios NetDDE. nombre_equipo[20h] Nombre registrado por el servicio Servidor en el cliente WINS. nombre_equipo[21h] Nombre registrado en el cliente WINS por el servicio Cliente RAS al iniciar dicho servicio. nombre_equipo[BEh] Nombre registrado por el agente de supervisión de la red (Agent Netmon), sólo aparecerá si se ha iniciado el servicio cliente WINS. nombre_equipo[BFh] Nombre registrado por la utilidad de control de la red (Analizador de tramas suministrado con Microsoft Systems Management Server 2.0 o 2003). nombre_usuario[03h] Nombre registrado por cada uno de los usuarios conectados. Tenga cuidado: si varios usuarios se conectan con el mismo nombre, sólo el primer equipo registrado en la red podrá registrar el nombre. nombre_dominio[00h] Se trata de un nombre de grupo NetBIOS registrado por el servicio Estación de trabajo para poder recibir las difusiones de exploración procedentes de equipos LAN Manager. nombre_dominio[1Ch] Se trata de un nombre de grupo NetBIOS usado por los controladores de dominio Windows NT en el ámbito del dominio. Puede contener hasta 25 direcciones IP. Observe que este registro no es usado por Active Directory. nombre_dominio[1Dh] Se trata de un nombre de grupo NetBIOS usado por los exploradores principales de cada subred, sabiendo que sólo puede haber un explorador principal por subred. Los exploradores de seguridad (Backup Browsers) usan ese nombre para comunicarse con el explorador principal (Master Browser), extrayendo la lista de servidores disponibles del explorador principal. nombre_grupo[1Eh] Se trata de un nombre de grupo NetBIOS corriente. Cualquier equipo configurado como explorador de red puede difundir a ese nombre y escuchar las difusiones hacia ese nombre para escoger un explorador principal. Un nombre de grupo mapeado estáticamente utiliza ese nombre para registrarse en la red. Cuando un servidor WINS recibe una demanda de nombre terminada por [1E], reenvía siempre la dirección de difusión de la red local del cliente que ha emitido la demanda. nombre_grupo[20h] Se trata de un nombre de grupo NetBIOS especial llamado grupo Internet. Se registra en los servidores WINS para identificar los grupos de ordenadores para necesidades administrativas. __MSBROWSE__[01h] Se trata de un nombre de grupo NetBIOS registrado por el explorador principal para cada subred. Cuando un servidor WINS recibe una petición relativa a ese nombre, devuelve siempre la dirección de difusión de la red local del cliente que ha emitido la petición.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Los códigos de los servicios presentados anteriormente son códigos relativos a los componentes de red de Microsoft. Muchas aplicaciones que no son de Microsoft siguen usando códigos que precisan de la interfaz de programación NetBIOS. De hecho, sigue siendo necesario dar soporte a dicha interfaz y a los servidores WINS. Para obtener más información acerca de la configuración de los servidores WINS, consulte el Kit de recursos técnicos de Windows Server 2003.
b. Resolución de nombre NetBIOS La resolución de nombres NetBIOS quiere decir que se puede poner en correspondencia un nombre NetBIOS con la dirección IP que le está asociada. A modo de recordatorio diremos que un nombre NetBIOS es una dirección de 16 bytes usada para identificar el recurso NetBIOS dentro de la red. De hecho, los 15 primeros bytes están disponibles para el nombre mientras que el último, el número 16, se reserva al código de servicio. Por definición, el nombre NetBIOS es un nombre único dentro de la red NetBIOS, o bien un nombre de grupo utilizado por todos los miembros de dicho grupo. En este último caso el nombre NetBIOS recibe el nombre de "NetBIOS no exclusivo". Finalmente, cuando un proceso NetBIOS se comunica con otro proceso NetBIOS situado en un equipo de la red, entonces se utiliza el nombre único. Por el contrario, en las comunicaciones de una aplicación con varios procesos situados en varios equipos, se usará un nombre de grupo NetBIOS. Registro de equipos y servicios en la red NetBIOS El servicio "Compartir impresoras y archivos para redes Microsoft" es un ejemplo de proceso en un equipo con Windows XP Professional. Al iniciarse el equipo, el servicio registra un nombre NetBIOS único basado en el nombre del equipo. El nombre exacto usado por el servicio es el nombre limitado a 15 caracteres. El carácter número 16 del nombre (en hexadecimal, valor de 00 a FF) indicará siempre el tipo de recurso. En nuestro ejemplo, el servicio servidor declara el código 0x20. Este mecanismo de registro se producirá en todas las aplicaciones pertenecientes al espacio de nombres NetBIOS.
c. Orden de las resoluciones NetBIOS El mecanismo exacto según el cual los nombres NetBIOS se resuelven en direcciones IP depende del tipo de nodo NetBIOS configurado en la máquina. El RFC 1001, "Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Concepts and Methods" define cuatro tipo de nodos NetBIOS: Nodo de tipo Bnodo (difusión) El modo Bnodo (Broadcast node) usa las consultas de nombres NetBIOS de difusión para inscribir y resolver nombres. El Bnodo presenta dos problemas principales: ●
●
las difusiones perturban los nodos de la red local, los routers no transmiten, por defecto, los mensajes de difusión. Por consiguiente, los únicos nombres que pueden resolverse son los nombres NetBIOS de la red local.
Nodo de tipo Pnodo (punto a punto) El Pnodo (Point to Point node) usa un servidor de nombre NetBIOS (NBNS) como un servidor WINS para resolver los nombres NetBIOS. El Pnodo no usa en absoluto las difusiones. Todas las resoluciones se dirigen en unicast hacia el servidor de nombres WINS. Este tipo de nodo se utiliza en contadas ocasiones. Nodo de tipo Mnodo (mixto) El Mnodo (Mixed node) es una combinación de Bnodo y Pnodo. Por defecto, un Mnodo funciona primero como un Bnodo. Si un Mnodo no puede usarse para resolver un nombre por difusión, éste pide un NBNS a través de Pnodo. Este tipo de nodo se utiliza en contadas ocasiones. Nodo de tipo Hnodo (híbrido) El Hnodo (Hybrid node) es una combinación de Pnodo y Bnodo. Por defecto, un Hnodo funciona como un Pnodo. Si un Hnodo no puede usarse para resolver un nombre a través del NBNS, utiliza una difusión para resolver el nombre. Al ser el tipo de nodo recomendado por Microsoft es el usado con mayor frecuencia. El hecho de declarar el uso de uno o varios servidores WINS para disponer de buenas resoluciones NetBIOS configura automáticamente el tipo Hnode. Se puede determinar el tipo de nodo mediante el comando ipconfig /all.
d. Orden de resolución de una estación de trabajo de tipo Hnodo
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
La resolución de nombres NetBIOS para los clientes WINS depende directamente del módulo NetBT, que implementa la interfaz NetBIOS en TCP/IP. Afortunadamente, el método de resolución de nombres para aplicaciones y usuarios es transparente. En Windows 2000 y Windows XP Professional, los clientes WINS utilizan la secuencia siguiente para resolver nombres: ●
●
Si el nombre solicitado comporta más de 15 caracteres o si tiene la forma de un nombre plenamente cualificado (FQDN con puntos "."), entonces la consulta se transmite directamente al sistema de resolución DNS. De no ser así, el equipo controla si el nombre se encuentra en la caché de nombres distantes del cliente. Se puede consultar mediante el comando nbtstat c.
●
De no ser así, se envía una petición de resolución de nombre NetBIOS a los servidores WINS configurados.
●
De no ser así, se envía un mensaje de difusión a la dirección IP de la subred.
●
●
●
De no ser así, se verifica el archivo LMHOSTS a condición de que la opción Habilitar la búsqueda de LMHOSTS esté activada en las propiedades Protocolo Internet (TCP/IP) de la conexión, pestaña WINS. Por defecto, esta opción está activada. De no ser así se verifica el archivo HOSTS. Por último, se llama a las resoluciones DNS. En un primer momento se consultará la caché de los nombres DNS. Después, en último lugar, se interrogará a uno o varios servidores DNS.
Para obtener más información acerca de las resoluciones de nombres así como un organigrama preciso del proceso cuando el ordenador está equipado con varias tarjetas de red configuradas con parámetros TCP/IP específicos, consulte el Kit de recursos técnicos de Microsoft Windows Server 2003. Declaración de las direcciones de los servidores WINS, selección del tipo de nodo NetBIOS y número de servidores WINS declarados Con las anteriores versiones de Windows (Windows NT y Windows 9x), era posible configurar manualmente los clientes para que usaran un servidor WINS principal como mínimo y, en el mejor de los casos, un servidor secundario adicional. Este último se utilizaba en caso de que el primero fallara. La figura siguiente muestra la pestaña WINS, que reúne los parámetros relativos a la interfaz y al soporte de NetBIOS.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Parámetros de servidores WINS y uso de la búsqueda LMHOSTS Una vez declaradas, las direcciones de los servidores WINS serán solicitadas en el orden en que aparecen en la lista. Observe que se puede reorganizar la lista con las flechas situadas a la derecha de la misma. En Windows 9x y Windows NT, los servidores WINS declarados eran dos (el servidor WINS principal y el servidor WINS secundario) y figuraban en la ventana principal de la configuración TCP/IP. En los sistemas Windows 2000 y Windows XP, la interfaz NetBIOS se hace menos obligatoria. De hecho, los parámetros WINS han sido desplazados hacia un nuevo emplazamiento.
Incluso si los sistemas operativos Windows 2000, Windows XP Professional, Windows Server 2003, Windows Vista y Windows Server 2008 ya no requieren la interfaz NetBIOS para su funcionamiento interno, esta interfaz debería estar siempre presente para garantizar la interoperabilidad con los sistemas y aplicaciones anteriores. Por este motivo, no se recomienda desactivar la interfaz NetBIOS. Con Windows Server 2003 y Windows Server 2008 puede configurar los clientes WINS para que usen hasta 12 servidores WINS. Es posible administrar la lista de dos maneras: ●
De manera estática a través de las propiedades del protocolo TCP/IP.
Declaración de la lista de servidores WINS a través de la configuración TCP/IP y de la pestaña WINS
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
De forma dinámica a través del protocolo DHCP configurando la opción DHCP 44.
Declaración de la lista de servidores WINS con la opción 44 del protocolo DHCP La declaración de dos servidores WINS es necesaria y suficiente en la mayoría de casos. Sin embargo, algunos clientes han puesto de relieve esta limitación en varias ocasiones. En efecto, no es infrecuente tener que disponer de dos servidores WINS por sitio. En caso de producirse un fallo en los dos servidores WINS debido, por ejemplo, a la corrupción en los servidores WINS locales o a la falta de disponibilidad de esa parte de la red, sería deseable ser socorrido por un servidor WINS situado en un sitio remoto. Este tipo de limitación no existe en la configuración de los servidores DNS. Por lo tanto, Microsoft ha procedido a efectuar la modificación. Finalmente, una lista más consecuente de servidores WINS ofrece a los clientes una mejor tolerancia a los fallos cuando sus servidores WINS principal y secundario no están disponibles. Windows 2000, Windows XP Professional, Windows Server 2003 y Windows Server 2008 dan soporte hasta a doce servidores WINS declarados. Sin embargo, observe que sólo los dos primeros servidores declarados podrán ser usados para registrar dinámicamente los clientes. Los dos servidores situados en la parte más alta de la lista son por lo tanto equivalentes al servidor WINS principal y al servidor WINS secundario que conocemos en las máquinas que funcionan con Windows 9x y Windows NT. También podrá usar el comando ipconfig /all. Dicho comando muestra correctamente los parámetros WINS principal y secundario así como los posibles servidores adicionales.
e. Interfaz y nombres NetBIOS, resoluciones WINS y dominios Active Directory Aconsejamos encarecidamente que configure sus ordenadores Windows con la dirección IP de al menos dos servidores WINS para que sea posible resolver nombres NetBIOS remotos. En términos absolutos, los ordenadores Windows 2000 o posteriores, miembros de un dominio Active Directory no necesitan recurrir a los servicios de resolución NetBIOS para interoperar con el directorio Active Directory. Sin embargo, podría resultar necesario si las aplicaciones NetBIOS manipularan los nombres NetBIOS que los clientes deban resolver. Con mayor motivo, será indispensable configurar los ordenadores clientes Active Directory que funcionan con Windows 2000 o Windows XP Professional con la dirección IP de uno o varios servidores WINS en caso de que deban comunicarse con otros ordenadores de cualquier otra versión de Windows que no fuera en un entorno Active Directory.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
3. Configuración de un puesto cliente Active Directory a. A propósito de los clientes Active Directory Los únicos clientes reales Active Directory son los sistemas que funcionan con Windows 2000, Windows XP Professional, Windows Server 2003, Windows Vista y Windows Server 2008. Evidentemente, también lo serán las próximas versiones de Windows. Los módulos cliente que dan soporte a los protocolos y mecanismos fundamentales están directamente integrados en el sistema operativo. A modo de recordatorio diremos que esos componentes fundamentales son el sistema de localización principal basado en el DNS, los protocolos LDAP, NTP y Kerberos y los servicios de gestión de las configuraciones ofrecidos por la tecnología Microsoft IntelliMirror. Así, no podrá realizarse ninguna acción adicional en los ordenadores cliente "inteligentes" cuando un dominio Windows NT 4.0 se actualiza en el directorio Active Directory. Durante el siguiente reinicio, las estaciones de trabajo activarán los módulos necesarios para funcionar con el dominio Active Directory. Como siempre, la condición sine qua non, es que las estaciones de trabajo puedan "descubrir" el dominio Active Directory con ayuda de los servidores DNS de la empresa. Pero no por ello Microsoft ha dejado totalmente de lado los antiguos sistemas. Por ese motivo se ha desarrollado el cliente Active Directory. El cliente Active Directory es, por lo tanto, un módulo adicional que puede encontrarse en el CDRom de Windows Server 2003 o descargándolo del sitio de Microsoft. Así, muchas funcionalidades de Active Directory reservadas a Windows 2000 o Windows XP Professional están disponibles en ordenadores con antiguas tecnologías como aquellos que funcionan con Windows 9x o Windows NT 4.0. El cliente Active Directory no se entrega en el CDRom de Windows Server 2008. Para descargar este componente adicional u obtener más información técnica consulte el artículo 288358 de la base de conocimientos Microsoft How to install the Active Directory Client Extension. El módulo Cliente Active Directory da soporte a las funcionalidades siguientes: Soporte del reconocimiento de los sitios Active Directory El módulo Cliente Active Directory permite abrir una sesión a partir del controlador de dominio más cercano al cliente. Trataremos la selección de controladores de dominio se describe en el siguiente capítulo. Soporte de la interfaz ADSI (Active Directory Service Interfaces) El módulo Cliente Active Directory permite el uso de scripts en interacción con el dominio Active Directory. El objetivo de la interfaz ADSI es el de ofrecer a los desarrolladores una interfaz de programación común para manipular todos los servicios de directorio.
La interfaz ADSI permite realizar operaciones en sistemas de directorio como Windows NT, la NDS (Netware Directory Services) de Novell, Exchange Server 5.5 y, por supuesto, el directorio Active Directory. Soporte del Sistema de ficheros distribuidos DFS (Distributed File System) El módulo Cliente Active Directory permite a los usuarios acceder a los recursos alojados dentro de una raíz DFS autónoma o integrada en el directorio Active Directory y soportada por los servidores Windows 2000 o Windows Server 2003. A propósito del servicio "Sistema de archivos distribuidos" Los servidores Windows 2000 y Windows Server 2003 Standard Edition sólo toleran una raíz DFS por servidor. Este requisito se ha suprimido en los servidores DFS que funcionan con Windows Server 2003 Enterprise Edition y Windows Server 2008. Soporte de las autenticaciones de tipo NTLM versión 2 El módulo Cliente Active Directory permite elevar el nivel de las autenticaciones al dominio Windows. De esta forma, las autenticaciones NTLM versión 2 hasta entonces reservadas a Windows NT están también disponibles para ordenadores clientes con Windows 9x. Modernizar una estructura antigua y pasarla al directorio Active Directory puede justificarse por la previsión de nuevas necesidades o de nuevos requisitos a corto o medio plazo. Entre esos nuevos requisitos encontramos nuevas exigencias en materia de seguridad y autenticaciones. Observe que:
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
Las estaciones Windows 2000 y posteriores dan soporte al nivel más alto de autenticación mediante el uso del protocolo Kerberos versión 5 y los certificados X.509v3 para las autenticaciones basadas en certificados o a través de una tarjeta inteligente (Smart Logon).
●
Las estaciones NT soportan mejor las autenticaciones NTLM versión 1 y versión 2.
●
Las estaciones Windows 9x soportan mejor las autenticaciones LM (LAN Manager).
A diferencia de Windows 9x (es decir, Windows 95 y Windows 98), las estaciones Windows ME (Millennium Edition) soportan la autenticación NTLM versión 2. En los controladores de dominio Windows Server 2003 y Windows Server 2008, las autenticaciones de tipo Lan Manager están desactivadas por defecto. Por consiguiente, en caso de que un controlador de dominio Windows Server 2003 diera soporte a una petición de inicio de sesión de dominio, los clientes Windows 9x podrían ser rechazados al iniciarse la sesión. Para solucionar este problema causado por la nueva configuración de seguridad reforzada es posible optar por una de las siguientes soluciones: ●
●
Actualizar los equipos Windows 9x a Windows XP Professional. Se trata sin duda de la mejor alternativa. Instalar el módulo "Client Active Directory" en las estaciones Windows 9x. Esta opción permite planificar la renovación del hardware posteriormente, a la vez que se avanza en términos de control de acceso al dominio.
El hecho de instalar el módulo "Client Active Directory" no refuerza la seguridad de la estación Windows 9x o Windows NT. Sin embargo, el uso del protocolo NTLM versión 2 en lugar de las autenticaciones Lan Manager, reforzará el nivel de seguridad de la operaciones de red entre el equipo cliente y el dominio Windows Active Directory en su totalidad. Para obtener más información acerca de la activación de las autenticaciones, consulte el artículo de la base de datos de conocimiento Microsoft Q239869. Reactivar el soporte del protocolo de autenticación LAN Manager No se recomienda efectuar esta operación. Sin embargo, si el número de estaciones Windows 9x todavía es elevado puede optar por esperar a la renovación de las máquinas y, por tanto, no instalar el módulo "Client Active Directory". Puede configurar ese parámetro de seguridad abriendo la directiva de seguridad del controlador de dominio que encontrará en el grupo de programas Herramientas administrativas del controlador de dominio:
Modificación de la configuración de seguridad de un controlador de dominio Una vez cargada la directiva de seguridad, desarrolle el árbol de la consola y colóquese en la ubicación Configuración de seguridad\Directivas locales\Opciones de seguridad\. El tiempo de carga de la configuración de las directivas viene determinado por la potencia de la máquina y de la información que se desea cargar. Por lo tanto, el tiempo varía mucho y puede oscilar entre algunos segundos y un minuto.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
Configuración predeterminada del nivel de autenticación Lan Manager La pantalla anterior muestra que el controlador de dominio sólo administra respuestas de tipo NTLM. De hecho, la documentación especifica que, en ese caso, los clientes usarán sólo la autenticación NTLM y la seguridad de sesión NTLMv2, si el servidor la soporta. Para obtener más información sobre la configuración de la directiva de seguridad, consulte "Descripción de la configuración de seguridad" en la ayuda en línea de Windows Server 2003. ¡Atención con la manipulación de las directivas de seguridad de los controladores de dominio Windows Server 2003 y Windows Server 2008! Antes de hacer cualquier modificación, se recomienda consultar el artículo 823659 titulado « Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments » disponible en la siguiente dirección: http://support.microsoft.com/kb/823659/enus Propiedades de la Libreta de direcciones Windows (WAB, Windows Address Book) de Active Directory El módulo Client Active Directory permite a los usuarios autenticados en el dominio Active Directory acceder a su información personal. El botón Propiedades permite al usuario consultar y eventualmente modificar la información presentada. De esta forma, cualquier usuario puede acceder y modificar las propiedades que "domina" bien, como, por ejemplo, su número de teléfono o su dirección personal.
- 10 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Propiedades del usuario Miguel López Soriano en el dominio Active Directory Si desea que un usuario determinado tenga la posibilidad de modificar un atributo de otro objeto usuario, bastará con asignar los permisos necesarios al objeto y al atributo en cuestión. Este principio, llamado "Principio de delegación de derechos", es un aspecto muy importante relacionado con el uso "general" que las empresas hacen de su directorio o directorios. Más adelante, presentaremos el concepto de delegación y la adopción de una directiva de delegación. Búsqueda en Active Directory El módulo Client Active Directory extiende las opciones de búsqueda disponibles a través del menú Inicio. Los usuarios pueden así buscar impresoras, personas, equipos en un dominio Active Directory. A propósito de las búsquedas de objetos de tipo "impresora", para que las impresoras puedan localizarse deben estar publicadas. Si desea obtener más información sobre la publicación de impresoras en Active Directory, consulte el artículo Q234619, "Publishing a Printer in Windows 2000 Active Directory", de la Base de conocimientos Microsoft.
Funciones no soportadas por el módulo Cliente Active Directory Los sistemas operativos Windows 2000 y Windows XP Professional disponen de funcionalidades de las que está desprovisto el cliente Active Directory de Windows 9x y Windows NT 4.0. El Cliente Active Directory no da soporte al protocolo de autenticación Kerberos v5 (sólo a NTLM versión 2), ni a las directivas de grupo y la tecnología IntelliMirror, ni a los sufijos UPN (User Principal Names) y SPN (Service Principal Names), ni a la autenticación mutua. La única manera de beneficiarse de esas importantes funcionalidades es haciendo una actualización a Windows 2000, Windows XP Professional o Windows Vista.
b. Estaciones de trabajo Windows XP y configuración DNS necesaria para los entornos de dominios Active Directory Los clientes Active Directory como Windows 2000, Windows XP Professional o Windows Server 2003 o 2008, utilizan los servicios DNS como servicio de localización principal y exclusivo. Las detecciones realizadas gracias a las resoluciones DNS permitirán resolver así elementos importantes como pueden ser los nombres de dominios, sitios y servicios Active Directory. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
Durante la instalación del directorio Active Directory, la zona DNS relativa al dominio Active Directory y la zona del dominio raíz del bosque se actualizan dinámicamente con los registros de recursos (SRV, A y CNAME) de los nuevos controladores de dominio. El proceso detallado de búsqueda y selección de controladores de dominio se detalla en el capítulo Localización de servicios Active Directory y servicios DNS. Los parámetros relativos a la configuración DNS implican, por lo tanto, una validación técnica por parte de los equipos de red y Active Directory. Una vez validados, esos parámetros deberán aplicarse con rigor para garantizar un funcionamiento normal de los ordenadores miembros del dominio dentro de éste. A continuación, especificamos la lista de puntos relativos a la configuración de las propiedades TCP/IP para cada equipo miembro de un dominio Active Directory. Definición de un nombre de equipo y host DNS para cada equipo Por ejemplo, en el dominio DNS, cuyo nombre completo (FQDN) es eu.company.com, el nombre de equipo DNS completo podrá ser pcmarketing1.eu.company.com. La consecuencia de este nombre de host será que el nombre NetBIOS del equipo, llamado desde hace muchos años "computer name", será PCMARKETING1. Este nombre de 14 caracteres es correcto porque no alcanza el límite de 15 caracteres autorizados por la interfaz NetBIOS.
Herencia de un nombre de host TCP/IP en el nombre NetBIOS del equipo Sin embargo, esta denominación impediría usar un nombre como pcmarketing100. Éste sería automáticamente truncado e indexado en caso de conflicto. Por consiguiente, en este ejemplo sería razonable poner a los equipos del departamento un nombre más corto como pcmarketxxx. Microsoft recomienda que el nombre de host y el nombre NetBIOS sean idénticos.
Definición de un sufijo DNS principal para el equipo Deberá definir y aprobar el nombre de dominio DNS situado después del nombre de equipo o de host, que formará el nombre completo del equipo (FQDN). En el ejemplo anterior, el sufijo DNS principal es eu.company.com. La casilla Cambiar el sufijo principal DNS cuando cambie la pertenencia al dominio permite actualizar automáticamente el sufijo DNS principal en función de la pertenencia al dominio Active Directory. Aunque este valor no produzca ningún efecto sobre la pertenencia real del equipo al dominio, la modificación del sufijo DNS podría generar los siguientes problemas: ●
●
Los demás usuarios de la red podrían tener dificultades para encontrar el equipo y realizar un control de acceso referido a él. El equipo sólo podrá funcionar realmente en el dominio Active Directory si el dominio autoriza a los ordenadores miembros del dominio a usar un sufijo DNS principal diferente de los nombres de dominios DNS Active Directory.
Por defecto, el sufijo DNS principal del equipo debe corresponder obligatoriamente al nombre del dominio Active Directory al que pertenece el equipo. Para autorizar uno o varios sufijos DNS principales diferentes, el administrador del dominio debe declarar manualmente una lista de sufijos autorizados creando el atributo msDS AllowedDNSSuffixes en el contenedor de objeto del dominio.
- 12 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Uso de ADSIEdit para modificar el atributo msDsAllowedDNSSuffixes en el objeto de clase domainDNS cuyo DN es DC=Corp2003, DC=Corporate, DC=net Un nombre de equipo completo se compone del nombre del equipo y del sufijo DNS principal, cuya longitud puede alcanzar los 255 caracteres como máximo. Este límite comprende los puntos necesarios para delimitar los diferentes dominios así como el nombre de host. Observe que la longitud del nombre de host no puede exceder de 63 caracteres. Microsoft recomienda que se use el sufijo DNS principal predeterminado. Definición de una lista de servidores DNS Al resolver los nombres DNS tales como el servidor DNS preferido y los servidores DNS secundarios que se utilizan cuando el servidor principal no está disponible, deberá definir cuáles son los servidores para los clientes en cada sitio geográfico.
Servidor DNS preferido y alternativo de un equipo Windows 2000, Windows XP, Windows Server 2003 o Windows Server 2008 La figura anterior muestra el caso particular de configuración de un controlador de dominio Active Directory. En la medida en que se recomienda que cada sitio disponga de un controlador de dominio y de un servidor DNS, está claro que esas dos funciones mayores quedarán aseguradas por la misma máquina. Por consiguiente, el controlador de dominio es muchas veces el propio cliente DNS. También será cliente de un servidor DNS auxiliar situado preferentemente en el mismo sitio. En caso de que sólo hubiera un servidor DNS en el sitio, se podrá seleccionar un servidor DNS adicional situado en un sitio remoto. Generar peticiones de resolución DNS es una parte importante del trabajo a realizar por el cliente. Por este motivo, la configuración avanzada que permite determinar de qué manera la parte "cliente DNS" tratará los nombres no plenamente cualificados, se encuentra en la pestaña DNS. Presentamos a continuación la configuración DNS que deberá definirse.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
Configuración avanzada del cliente DNS (DNR, Domain Name Resolver)
Declaración de múltiples servidores DNS y orden de selección Si se introducen varios servidores DNS y el cliente DNS no llega a recibir respuesta por parte del servidor DNS actual se selecciona el siguiente servidor DNS. Sin embargo, ¿qué ocurre con las configuraciones que tienen varias tarjetas de red y varios servidores DNS por tarjeta? El esquema siguiente explica la manera en que el DNS selecciona y distribuye las peticiones de resolución DNS cuando éstas no se resuelven con éxito.
Distribución de las consultas DNS en un equipo multitarjetas y multiservidores DNS
- 14 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
La secuencia de peticiones de resolución se compone de las siguientes etapas: 1 La consulta DNS se envía al servidor DNS preferido de la primera tarjeta de red. Si la respuesta a la petición es negativa se pasa a la etapa 2. 2 La consulta DNS se envía al servidor DNS preferido de cada una de las tarjetas. En nuestro ejemplo, los primeros servidores DNS de cada una de las tarjetas se solicitan de forma simultánea. Si la respuesta a la petición vuelve a ser negativa, se pasa a la etapa 3. 3 La petición DNS se envía a todos los servidores DNS de todas las tarjetas. Resolución de nombres no cualificados La resolución de nombres no cualificados es la resolución hecha sobre la base de un nombre que no tiene forma FQDN. Para responder a esta problemática es posible configurar los parámetros DNS para que el cliente DNS asuma la clarificación de la consulta. Se proponen las siguientes opciones: ●
agregar los sufijos DNS principales y específicos de la conexión al nombre no cualificado para las consultas DNS;
●
agregar una serie de sufijos DNS configurados al nombre no cualificado para consultas DNS;
●
sufijos DNS específicos de la conexión.
Cada conexión de red puede configurarse para que tenga su propio sufijo DNS además del sufijo DNS principal especificado en las propiedades del equipo. Comportamiento de las actualizaciones dinámicas DNS Por defecto, todas las conexiones de red cuentan con una gestión completamente autónoma. De esta forma, es posible conservar un gran control sobre el comportamiento de la máquina en entornos complejos compuestos de múltiples interfaces de red. Si configura un sufijo DNS específico para la conexión, también podrá activar la actualización dinámica DNS del nombre de dominio y las direcciones IP de la conexión.
Control de los registros y del sufijo DNS de cada conexión La primera opción Registrar estas direcciones de conexiones en DNS significa que la dirección o direcciones IP de la conexión están registradas en relación con el nombre completo del equipo, tal y como se especifica en las propiedades de identificación del equipo. En nuestro ejemplo, esto quiere decir que el registro referente al nombre de host xpclientx se registrará en el dominio corp2003.corporate.net con las direcciones IP de la conexión en cuestión. Esta opción está activada por defecto y permite registrar el nombre del equipo considerando el sufijo principal del equipo, es decir, el nombre más significativo. La segunda opción Utilizar este sufijo DNS de conexión para registro DNS significa que el registro correspondiente al nombre de host xpclientx se registrará en el dominio eni.es. Observe que esta opción no está activa de forma predeterminada. Si no desea usar las funcionalidades de registro dinámico DNS, puede desactivar por completo las actualizaciones. Para ello, desactive las casillas Registrar estas direcciones de conexiones en DNS y Utilizar este sufijo DNS de conexión para registro DNS de todas las conexiones de red del equipo. Para llevar a cabo el procedimiento deberá ser miembro del grupo Administradores o del grupo Operadores de configuración de red en el equipo local.
Definición de un método de gestión de los sufijos DNS Acabamos de ver que los sufijos DNS ayudan a obtener una mejor resolución de nombres DNS cuando éstos no están plenamente cualificados. También hemos constatado que el orden de las declaraciones podía tener una incidencia notable en la pertinencia de las resoluciones. Finalmente, está claro que resulta razonable garantizar la uniformidad de la configuración en toda la empresa o en los diferentes servicios que la componen. La mejor solución consiste en implementar la configuración definida mediante una directiva de grupo adecuada.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
Es poco frecuente que una estación de trabajo disponga de más de una interfaz de red, pero con la generalización de los ordenadores portátiles cada vez es más usual disponer de una conexión integrada WiFi o, por qué no, de una interfaz iEEE 1394 (Firewire). En los ordenadores de tipo servidor, las configuraciones multitarjetas son más habituales y deberán configurarse específicamente. Cuando una máquina está equipada con más de una tarjeta de red hablamos de máquina de tipo "multihomed". Este término significa que la máquina existe varias veces en la misma red o en diferentes redes. Por el contrario, si las tarjetas de red están conectadas en la misma red local, entonces hablaremos de conexiones de tipo "multinet". La siguiente figura ilustra la configuración general específica del servicio DNS, que presentamos brevemente a continuación: ●
●
Las direcciones de los servidores DNS se organizan en función de su orden. En el ejemplo, la dirección 192.168.0.1 corresponde al servidor DNS preferido, mientras que la dirección 192.168.0.2 es la del servidor auxiliar. Tal y como se especifica en la interfaz, los tres parámetros siguientes con comunes a las conexiones de red del equipo para las que el protocolo TCP/IP está activado. Dichos parámetros son Anexar sufijos DNS principales y específicos para conexiones, que permiten especificar si los sufijos padre del sufijo DNS principal se utilizan o no; la última opción se refiere a la posibilidad de especificar los sufijos propios gracias a la opción Anexar estos sufijos DNS (en este orden).
Los tres parámetros se refieren a todas las tarjetas vinculadas al protocolo TCP/IP.
●
●
La declaración del parámetro Sufijo DNS para esta conexión permite especificar otro nombre de dominio DNS que podrá ser registrado en caso necesario. La casilla Registrar en DNS las direcciones de esta conexión permite que las direcciones IP de esta conexión estén registradas para el nombre DNS correspondiente al nombre principal del equipo. A modo de recordatorio diremos que el nombre principal del equipo puede verse usando el comando ipconfig /all y depende directamente de la pertenencia al dominio Active Directory a través del icono Estación de trabajo/Propiedades/Nombre del equipo.
El último parámetro Utilizar este sufijo DNS de conexión para el registro en DNS permitirá registrar en modo dinámico el nombre plenamente cualificado del equipo sobre la base del sufijo de conexión. En ese caso, la máquina existe dos veces. Una primera vez en la zona que corresponde al nombre de dominio de pertenencia del equipo y una segunda vez en la zona especificada como sufijo para dicha conexión. Por supuesto, es preciso que la zona exista y también que autorice las actualizaciones dinámicas.
- 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Gestión manual de los sufijos DNS
Configuración de los parámetros de sufijos DNS mediante directivas de grupo La administración de la configuración TCP/IP puede resultar larga y fastidiosa y provocar inevitables errores humanos. Esta circunstancia tuvo sin duda algo que ver en el fulminante desarrollo del protocolo DHCP (Dynamic Host Configuration Protocol) para ayudar a la configuración correcta de equipos de red. Si bien es verdad que el protocolo DHCP soporta los parámetros indispensables para el protocolo IP y también la parte cliente del servicio de resolución DNS, las directivas de grupo permiten controlar más estrechamente y distribuir los "mejores" parámetros en el conjunto de la red. Encontrará los parámetros más interesantes en la ubicación siguiente: Configuración del equipo\Plantillas administrativas\Red\Cliente DNS A continuación ofrecemos una lista de los parámetros más importantes: Sufijo DNS principal Este parámetro especifica el sufijo DNS principal de todos los ordenadores a los que afecta la directiva. El sufijo DNS principal se usa para inscribir el nombre DNS y resolver el nombre DNS. Estos parámetros permiten especificar un sufijo DNS principal para un grupo de ordenadores e impide a los usuarios, incluidos los administradores, los modifiquen. Si desactiva el parámetro o no lo configura, cada ordenador usará el sufijo DNS principal local, que es habitualmente el nombre DNS del dominio Active Directory al cual está vinculado. Sin embargo, los administradores pueden usar el Panel de configuración del sistema para modificar el sufijo DNS principal de un equipo.
Este parámetro no desactiva el cuadro de diálogo Sufijo DNS y nombre NetBIOS del equipo que los administradores utilizan para modificar el sufijo DNS principal de un equipo. Sin embargo, si los administradores introducen un sufijo, éste se pasará por alto mientras el parámetro esté activado. Para que las modificaciones realizadas en la configuración sean efectivas deberá reiniciar el sistema. Actualización dinámica Este parámetro determina si la actualización automática está activada. Los ordenadores configurados para permitir © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 17 -
la actualización automática inscriben y actualizan sus registros de recursos DNS con un servidor DNS. Si activa el parámetro, los ordenadores a los que éste se aplique podrán usar el registro DNS dinámico en cada una de las conexiones de red, de acuerdo con la configuración de cada conexión de red individual. Para activar el registro DNS dinámico en una conexión de red específica, es preciso que las conexiones específicas de la conexión y del equipo autoricen el registro DNS dinámico. El parámetro controla la propiedad específica del equipo supervisando el registro DNS dinámico. Si activa el parámetro permitirá que la actualización automática se defina individualmente en cada una de las conexiones de red. Si desactiva el parámetro, los ordenadores a los que éste se aplica no podrán usar el registro DNS dinámico en todas las conexiones de la red, sea cual sea la configuración de las conexiones de red individuales. Lista de búsqueda de sufijos DNS Este parámetro determina los sufijos DNS que deben vincularse a un nombre simple no cualificado antes de someter una petición DNS para dicho nombre. El nombre simple no cualificado no contiene puntos, se trata pues de un nombre corto y por lo tanto diferente a un nombre de dominio plenamente cualificado como "europe.corporate.com". Si activa el parámetro, podrá especificar los sufijos DNS que deben vincularse antes de someter la petición de un nombre simple no cualificado. Los valores de los sufijos DNS en el parámetro pueden definirse usando cadenas separadas por comas, tales como microsoft.com, office.microsoft.com. A cada petición realizada se vincula un sufijo DNS. Si una petición no tiene éxito se agrega un nuevo sufijo DNS en lugar del sufijo erróneo y se somete la nueva petición. Los valores se usan en el orden en el que aparecen en la cadena, empezando por el valor situado más a la izquierda y continuando hacia la derecha. Nivel de seguridad de las actualizaciones Este parámetro especifica si los ordenadores a los que se aplica utilizan la actualización dinámica segura o la actualización dinámica estándar para inscribir registros DNS. Para activar el parámetro, haga clic en Activar y escoja uno de los valores siguientes: ●
Sin seguridad y con seguridad: si elije esta opción, los ordenadores envían actualizaciones dinámicas seguras sólo cuando se rechazan las actualizaciones no seguras.
●
Sólo sin seguridad: si elije esta opción los ordenadores envían sólo actualizaciones dinámicas no seguras.
●
Sólo con seguridad: si elije esta opción los ordenadores envían sólo actualizaciones dinámicas seguras.
●
Intervalo de actualización del registro: este parámetro especifica el intervalo de actualización de registro de los registros de recursos A y PTR pertenecientes los equipos a los que el parámetro se aplica. El parámetro puede aplicarse sólo a equipos que utilizan actualizaciones dinámicas.
Los equipos Windows 2000 Professional, Windows XP Professional y Windows Vista configurados para efectuar registros DNS dinámicos de registros de recursos A y PTR, registran periódicamente los registros con servidores DNS, incluso aunque los datos de registro no hayan cambiado. Este nuevo registro es necesario para indicar a los servidores DNS configurados para eliminar automáticamente los registros obsoletos, que los registros son actuales y deben conservarse en la base de datos. Si los registros de recursos DNS se registran en zonas en las que se ha activado la limpieza, el valor del parámetro no debería ser más largo que el intervalo de actualización configurado en las zonas. Configurar el intervalo de actualización de registro para que sea más largo que el intervalo de actualización de las zonas DNS podría acarrear la supresión no deseada de los registros de recursos A y PTR. Observe que el valor predeterminado es 1.800 segundos, o sea, 30 minutos.
4. Peticiones de resolución DNS y NetBIOS: Proceso de selección del método Cuando un equipo Windows XP Professional intenta resolver un nombre a dirección IP, el módulo de resolución transmite prioritariamente la demanda de resolución al sistema de resolución DNS. Este aspecto es particularmente importante ya que se trata de un cambio radical en los sistemas Windows 2000, Windows XP Professional y Windows Vista con respecto a Windows NT y Windows 9x. En caso de que se rechace la petición de resolución DNS, el módulo de resolución controlará la longitud del nombre solicitado. Si la longitud es superior a 15 bytes, es decir, 15 caracteres, ésta no podrá ser transmitida a la interfaz NetBIOS y la resolución no tendrá éxito. Si por el contrario, el nombre solicitado es de longitud inferior a 15 caracteres, el módulo de resolución verificará que la interfaz de resolución NetBIOS esté activa. Si se verifica este extremo, el módulo de resolución transmitirá la petición a la interfaz NetBIOS. Windows XP Professional y Windows Vista da soporte a múltiples métodos de resolución de nombre tales como DNS, WINS, archivos Hosts y Lmhosts y mensajes de difusión (broadcasts). En general, un equipo Windows XP llama a una combinación de estos diferentes métodos de resolución.
- 18 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
5. Prueba de integración del equipo en el dominio Active Directory Puede usar DCdiag.exe y Netdiag.exe para resolver problemas de los equipos clientes que no pueden localizar un controlador de dominio. Estas herramientas ayudan a determinar las configuraciones DNS defectuosas, tanto en el lado cliente como en el lado servidor. Ya presentamos detalladamente el comando Netdiag en el ámbito de los comandos de gestión y de supervisión de los servicios DNS. En lo que respecta a los entornos Active Directory, el comando DCdiag permite avanzar a grandes pasos a la hora de diagnosticar eventuales problemas de funcionamiento de ordenadores específicos como los controladores de dominio Active Directory. El comando DCdiag comprueba el funcionamiento de funciones vitales de Active Directory proponiéndole que manipule una serie de tests adecuados para cada situación crítica. De esta forma, por ejemplo, tendrá la posibilidad de seleccionar los controladores de dominio que deben probarse y los diferentes tipos de pruebas. Las pruebas se clasifican en las tres categorías enumeradas y detalladas a continuación: ●
pruebas obligatorias de controladores de dominio que no pueden ser desactivados.
●
pruebas no obligatorias de controladores de dominio que puede seleccionar según le convenga.
●
pruebas de equipos que no son controladores de dominio.
Las pruebas obligatorias del comando DCdiag abarcan el control de los registros DNS de los controladores, la posibilidad de contactar con ellos y la verificación del funcionamiento correcto de la conectividad LDAP y RPC. Las pruebas especificadas más arriba sólo pueden realizarse en controladores de dominio Windows 2000, Windows Server 2003 o Windows Server 2008, exceptuando las pruebas DcPromo y RegisterInDNS, que sólo pueden ejecutarse en máquinas que no sean controladores de dominio. Para obtener más información acerca de la integración de los equipos en los dominios Active Directory y la creación de controladores de dominio, consulte el artículo F265706 "DCDiag y NetDiag para facilitar la unión de dominios y la creación de controladores de dominio" en la Base de conocimientos Microsoft.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 19 -
Novedades del servicio DNS de Windows Server 2008 1. Introducción Windows Server 2008 implementa ahora los servicios de resolución y de gestión de dominios DNS bajo la forma de una nueva funcionalidad de servidor. A continuación mostramos las nuevas funcionalidades de los servicios DNS de Windows Server 2008: ●
●
●
●
Carga de zonas en segundo plano: se mejora la disponibilidad de los servidores DNS desde el arranque del servicio DNS cargando datos de zonas directamente en segundo plano. Soporte del protocolo IPv6: los servicios DNS soportan totalmente las especificaciones IPv6 y las direcciones de 128 bits. Soporte de los RODC: los servicios DNS dan soporte a un nuevo concepto que permite soportar los servicios DNS dinámicos de los RODC. Estas zonas se denominan zonas primarias de sólo lectura RODC Readonly zones. Zonas de tipo GNZ: este nuevo tipo de zona DNS GNZ, Global Naming Zone, asegura el soporte de nombres globales Global single names. Las zonas GNZ permiten la resolución de nombres de tipo simples singlelabel name resolution, para las empresas que no deseen desplegar los servicios WINS Windows Internet Name Service o cuando no es práctico especificar nombres DNS completos.
A continuación detallamos estas nuevas funcionalidades.
2. Carga de zonas en segundo plano Las grandes empresas deben gestionar zonas DNS extremadamente voluminosas. Cuando estas zonas se almacenan en Active Directory el controlador de dominio se debe reiniciar, el tiempo de arranque de los servicios Active Directory después de la carga de datos de las zonas puede dejar no disponibles los servicios DNS para los clientes de la red durante un tiempo de entre treinta y sesenta minutos. Los servidores DNS Windows Server 2008 pueden ahora cargar los datos DNS en segundo plano en el siguiente orden: ●
Se determina el conjunto de zonas a cargar.
●
Las sugerencias de raíz se cargan a partir del fichero Cache.dns o de Active Directory.
●
Carga de datos de zonas almacenadas en los ficheros de zonas.
●
Inicio de funciones de respuestas DNS y de soporte RPC.
●
Puesta en marcha de las funciones de carga de zonas almacenadas en las particiones Active Directory.
En este momento las zonas DNS Active Directory se cargan en paralelo gracias a múltiples threads de tal manera que el servicio DNS puede responder a las peticiones de resoluciones durante la carga. Cuando las peticiones de resoluciones no se pueden resolver porque no están presentes en memoria, el servicio DNS busca directamente los datos en la base de datos Active Directory, mientras que la carga prosigue. Esta funcionalidad acelera todavía más la carga.
3. Soporte de direcciones IPv6 Las direcciones IPv6, a diferencia de las direcciones IPv4 cuyo formato es de 32 bits, son de 128 bits. Ahora, los servicios DNS de Windows Server 2008 soportan totalmente la especificación final IPv6 y las direcciones de 128 bits. Es igual para el comando dnscmd que acepta direcciones IP en los dos formatos. El servidor DNS puede utilizar © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
reenviadores cuyas direcciones estén en cualquiera de los dos formatos. Las zonas de búsqueda inversa con direcciones IPv6 se soportan a través de la zona inversa ip6.arpa. El soporte del protocolo IPv6 por los servicios DNS de Windows Server 2008 no es, hoy día, de gran importancia. Pero está claro que será necesario en años próximos en función del desarrollo de Internet. A propósito del soporte IPv6: Como los servidores DNS pueden responder a las peticiones de clientes utilizando direcciones IPv4 (A) pero también direcciones IPv6 (AAAA), hay que asegurar que la parte cliente DNS de las estaciones de trabajo soporte estas respuestas.
4. Soporte DNS de los controladores de dominio de sólo lectura El objetivo principal de los controladores de dominio de sólo lectura es reforzar la seguridad de estos controladores de dominio permitiéndoles recibir datos únicamente de otro controlador de dominio, nunca de forma directa. De esta manera, se conocen y controlan las fuentes de escritura, y el controlador es mucho menos vulnerable a ataques. Para asegurar un buen funcionamiento de los servicios DNS es estos servidores, disponibles sólo en lectura, Windows Server 2008 introduce un nuevo tipo de zonas denominadas Zonas primarias de sólo lectura. Estas zonas se denominan a veces « Branch Office Zones ». Cuando se instala un controlador de dominio de sólo lectura, el nuevo controlador recibe una replicación completa de sólo lectura (RO) de la partición de dominio, de la partición de esquema, de la partición de configuración, y de todas las particiones ForestDNSZones/DomainDNSZones utilizadas por los servicios DNS. Entonces, los registros y otras actualizaciones dinámicas se soportan de la siguiente manera: ●
El servidor DNS no acepta la actualización de los clientes directamente.
●
Las peticiones de escritura DNS de los clientes se reenvían a un servidor DNS con autorización.
●
Los datos actualizados se reciben a través de la replicación desde un DNS con autorización.
El soporte « desviado » de los registros y actualizaciones dinámicas en los controladores de tipo RODC es una funcionalidad importante, ya que permite implementar este tipo de controladores sin debilitar la seguridad, ni introducir limitaciones funcionales en la infraestructura DNS dinámica.
5. Soporte de zonas de tipo GlobalNames La mayoría de las redes Windows utilizan los sistemas de nomenclatura DNS pero también los mecanismos de resolución WINS Windows Internet Naming Service. Actualmente, está comprobado que los nombres IPDNS están ampliamente utilizados incluso en aplicaciones que todavía utilizan la interfaz NetBIOS y los mecanismos de resolución DNS y/o WINS. ¡Atención! No hay que confundir la interfaz NetBIOS, en el sentido de programación del término, con un sistema de registro y resolución de nombres NetBIOS como el servicio WINS. Por razones históricas y también por razones inherentes a las plataformas Windows NT que todavía están funcionando, es frecuente que las empresas continúen implementando WINS en sus redes. En estos casos, WINS se considera como segundo sistema de resolución, después de los servicios DNS. Además del hecho de que la interfaz NetBIOS, los nombres NetBIOS y los mecanismos propios del sistema de resolución WINS estén próximos a la obsolescencia, el hecho es que ciertos principios siguen siendo muy populares entre los administradores de Windows, como la declaración de nombres estáticos simples y hacerlos ampliamente disponibles en la empresa. Para responder a estos problemas, los servicios DNS de Windows Server 2008 permiten a las empresas considerar una transición total del entorno WINS a un entorno completamente DNS continuando con el soporte de nombres tipo "singlelabel" en la nueva zona DNS GlobalNames. Un nombre de tipo simple label contrasta con nombres compuestos de múltiples etiquetas. Por ejemplo, - 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
wssportalaccess es un nombre de etiqueta simple, mientras que wss2008portal1.corpx.xnet es un nombre multilabels.
Contenido de la zona GlobalNames En general, los nombres simples de una zona de tipo GlobalNames deberían estar contenidos en una zona Active Directory replicada en la estructura del bosque. De esta manera, se puede ofrecer un ámbito único de resolución. Observe que también es posible publicar un registro DNS de tipo SRV para declarar la existencia de más zonas GlobalNames contenidas en otros bosques Active Directory. A diferencia de los servicios WINS, las zonas DNS GlobalNames deberían utilizarse únicamente para permitir al DNS resolver un conjunto limitado de nombres de tipo simple label. Puede tratarse de ciertos servidores cuyos nombres son gestionados de manera centralizada o también de servidores Web Intranet. ¡Atención! Microsoft recomienda no utilizar la zona GlobalNames en lugar de las resoluciones habituales. Observe también que en la zona GlobalName no se soportan las actualizaciones dinámicas. En comparación con operaciones de administración WINS, la zona GlobalNames debería contener el equivalente de los registros estáticos WINS. Cuando se despliega una zona de tipo GlobalNames, una resolución de tipo simple label se realiza de la siguiente manera: ●
Se inicia una petición de resolución basada en un nombre corto, es decir de tipo simple label.
●
Se añade el sufijo principal de la estación de trabajo y la petición se transmite al servidor DNS.
●
Si la consulta basada en un FQDN falla, el cliente genera otras consultas basadas en los sufijos DNS adicionales, declarados localmente o a través de las GPO.
●
Si estas consultas fallan, el cliente realiza una consulta basada en el nombre corto.
●
Si el nombre corto pedido aparece en la zona GlobalNames, el nombre está resuelto.
●
Si el nombre corto pedido no aparece en la zona GlobalNames, la petición de resolución se transmite a WINS.
Para que las estaciones cliente puedan resolver los nombres de la zona GlobalName, no se requiere ninguna actualización particular. El sufijo DNS principal, los sufijos DNS específicos de las conexiones y la lista de búsqueda de sufijos DNS continúan funcionando normalmente. La zona GlobalNames no soporta las actualizaciones dinámicas. No obstante, cabe señalar que las actualizaciones dinámicas enviadas a un servidor DNS se comparan primero con los datos de la zona GlobalNames antes de ser comparados con los datos de la zona local. Este control permite garantizar la unicidad de nombres presentes en la zona GlobalNames.
6. Evoluciones de la parte cliente DNS de Windows Vista y Windows Server 2008 Acabamos de ver que los servicios DNS de Windows Server 2008 soportan nuevas funcionalidades para responder a nuevas problemáticas. Aunque esto no tiene consecuencias directas en términos de infraestructura, conviene remarcar que Windows Vista y Windows Server 2008 incorporan también algunos cambios a nivel de la parte cliente DNS.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Windows Vista y Windows Server 2008 soportan LLMNR LinkLocal Multicast Name Resolution: en esta evolución del cliente DNS, es posible resolver nombres DNS utilizando un mensaje de red de tipo petición de resolución en multicast local. Este método, denominado también mDNS, multicast DNS, permite a los clientes que soportan esta funcionalidad, resolver nombres DNS de una red local cuando el o los servidores DNS habituales no están disponibles. Una vez los servicios DNS están nuevamente disponibles, los mecanismos de resolución habituales vuelven a funcionar con normalidad. El soporte del protocolo LLMNR ofrece un nuevo método para minimizar los efectos secundarios de los errores de los servicios DNS. Observe que se puede tratar de un método de resolución para redes ad hoc como las de los locutorios, zonas de libre acceso, etc.
7. Selección de controladores de dominio con Windows Vista y Windows Server 2008 Windows Vista y Windows Server 2008 incorporan modificaciones respecto a la selección de los controladores de dominio de manera que el impacto en el rendimiento de la red sea menor. En un sistema que funcione con Windows XP o Windows Server 2003, el sistema conserva el controlador de dominio seleccionado hasta que un evento le fuerce a descubrir un nuevo controlador de dominio. Los sistemas Windows Vista o Windows Server 2008 refrescan regularmente la información relativa a los controladores de dominio del dominio al que pertenecen. Este nuevo método permite hacer frente a problemas que pueden producirse cuando una estación de trabajo intente localizar su controlador de dominio y la red o ciertas circunstancias no se lo permitan. El hecho de renovar periódicamente la asociación permite a la estación de trabajo minimizar la probabilidad de estar asociada a un controlador de dominio inadecuado disponiendo del controlador mejor adaptado a la situación. La siguiente figura ilustra la aplicación de esta función con el parámetro Forzar intervalo de nueva detección disponible para los sistemas Windows Vista y Windows Server 2008.
Nuevo parámetro « Forzar el intervalo de nueva detección » Para adaptarse a los cambios de condiciones de la red, el localizador de controladores de dominio ejecuta por defecto una búsqueda forzada en función de un intervalo especificado. Esto asegura también el equilibrio de la carga de los clientes en el conjunto de los controladores disponibles en los dominios o bosques. El intervalo por defecto de la búsqueda forzada por el localizador es de doce horas. La búsqueda forzada se puede lanzar igualmente si una llamada al localizador de controladores de dominio utiliza el indicador DS_FORCE_REDISCOVERY. Si este parámetro de política se activa, el localizador de controladores de dominio ejecuta una búsqueda forzada regularmente en función del intervalo configurado. El intervalo mínimo es de 3.600 segundos (1 hora) para evitar el tráfico de red excesivo debido a la búsqueda. El intervalo máximo permitido es de 4.294.967.200 segundos, y todo valor superior a 4.294.967 segundos (~49 días) se trata como un número infinito. Si este parámetro de directiva se desactiva, la opción Forzar intervalo de nueva detección se utiliza por defecto por el ordenador cada 12 horas. Si el parámetro de directiva no se configura, la opción Forzar la búsqueda se utiliza por defecto por el ordenador cada doce horas, salvo si el valor del parámetro del ordenador local en el Registro es diferente.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Introducción a la integración de las zonas DNS en Active Directory El directorio Active Directory depende estrechamente de los servicios de resolución de nombres DNS (Domain Name System) para localizar sus propios servicios. Tampoco debemos olvidar los componentes o aplicaciones que se apoyan en los mismos principios. A modo de ejemplo, y si nos referimos a productos Microsoft, éste será el caso de productos como Exchange Server o Systems Management Server 2003, por no citar más que dos grandes aplicaciones. La mayoría de principios utilizados por los servicios de directorio Active Directory poseen un carácter genérico. La integración de las aplicaciones en Active Directory le llevará a constatar que estos mismos principios también son utilizados de forma genérica por muchas otras aplicaciones. La idea es que los principales servicios de Active Directory estén disponibles y utilizables de forma estándar y completa. En lo referente al servicio DNS y a su papel básico para el conjunto de servicios de red Windows y para el propio Active Directory, se hace evidente la necesidad de que el servicio esté siempre disponible. El presente capítulo introduce los principios, funcionalidades y buenas prácticas que garantizan un buen funcionamiento de los servicios DNS en el ámbito de la integración de las zonas DNS dentro del directorio Active Directory.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Almacenamiento de las zonas DNS y replicación de Active Directory Acabamos de ver que las zonas DNS estándar existen en forma de archivos, habitualmente almacenados en \System32 \dns. La idea es sustituir este almacenamiento por el sistema de almacenamiento de Active Directory. Conviene subrayar que Active Directory y el DNS manipulan nombres, que pueden ser idénticos, pero que no obstante pertenecen a espacios diferentes. El siguiente cuadro muestra el paralelismo existente entre los elementos que pertenecen al DNS y los que pertenecen a Active Directory. Elementos del DNS
Elementos y objetos de directorio Active Directory
Almacenamiento de tipo archivo
Almacenamiento de tipo base de datos
Archivos de zonas en \System32\dns
Objetos contenedores de tipo dnsZone
Registros de recursos
Objeto de tipo dnsNode
Podemos decir que el espacio DNS se compone de zonas y de registros de recursos en las zonas, mientras que el espacio Active Directory se compone de dominios y de objetos dentro de esos dominios. Enumeramos a continuación los objetos y atributos Active Directory utilizados en el ámbito del servicio DNS: DnsZone Objeto contenedor creado en el momento en que se crea una zona en Active Directory. DnsNode Objeto usado para mapear un nombre hacia un registro que contiene múltiples datos. DnsRecord Atributo de tipo multivalor asociado a la clase de objeto dsnNode. Se usa para almacenar los registros de recursos en el objeto dsnNode. DnsProperty Atributo de tipo multivalor asociado a la clase de objeto dnsNode. Se usa para almacenar la información de configuración de la zona. Finalmente, las zonas integradas en el directorio se almacenarán en un objeto contenedor de tipo dnsZone que se identifica mediante el nombre atribuido a la zona en el momento de su creación.
1. Objetos ordenadores Active Directory y denominaciones Todos los ordenadores miembros de un dominio Windows Active Directory existen en forma de objeto tipo Computer. La siguiente figura muestra un ordenador perteneciente al dominio a través de la herramienta ADSI Edit. El componente ADSI Edit se integra de base en Windows Server 2008. Puede acceder ejecutando Adsiedit.msc. Observe que esta herramienta formaba parte de las herramientas de soporte del CDRom de Windows Server 2003 y Windows 2000 Server.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
El ordenador XP1 en el contenedor Computers del dominio Corp2008.Corporate.net En tanto que el objeto existente dentro del directorio Active Directory, las propiedades existen en forma de atributos. De esta forma, los atributos serán manipulados por el propio directorio o bien por cualquier otra entidad habilitada para hacerlo. La siguiente figura muestra la ventana que permite ver o modificar los atributos del objeto con ADSI Edit.
Propiedades del objeto XP1 y valor del atributo dNSHostName La tabla presenta los diferentes atributos de un objeto perteneciente a la clase computer y relacionado con los problemas de denominación. Atributos del objeto computer XP1
- 2-
Designación y valor del atributo
canonicalName
Representa el nombre canónico Active Directory del objeto Corp2003.Corporate.net/Computers/XP1.
cn
Representa el nombre común LDAP del objeto XP1.
displayName
Representa el nombre de visualización LDAP del objeto XP1$.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
distinguishedName
Representa el nombre diferenciado completo CN=XP1,CN=Computers, DC=Corp2003,DC=Corporate,DC=net.
dNSHostName
Representa el nombre DNS en forma de un FQDN xp1.Corp2003.Corporate.net.
name
Representa el nombre XP1.
sAMAccountName
Representa el nombre SAM (Security Account Manager) del ordenador XP1$.
servicePrincipalName
Representa los nombres de las identidades (SPN, Security Principal Names) HOST/XP1 HOST/xp1.Corp2003.Corporate.net.
Como hemos dicho antes, la tabla muestra que un ordenador dentro del dominio Windows existe en varios espacios de nombre diferenciados. Los atributos más importantes en términos de seguridad son el sAMAccountName y el servicePrincipalName, que puede controlarse además a través del comando SetSPN.exe. Por supuesto, otros muchos atributos enriquecen el directorio con información cuyo uso será más perceptible. Presentamos a continuación algunos ejemplos de atributos: Atributos del objeto computer XP1 objectCategory
Designación y valor del atributo CN=Computer,CN=Schema,CN=Configuration, DC=Corp2003,DC=Corporate,DC=net.
operatingSystem
Windows XP Professional.
operatingSystemServicePack
Service Pack 2, v.2120.
operatingSystemVersion 5.1
(2600).
2. Ventajas de la integración de las zonas DNS en Active Directory Los controladores de dominio Windows 2000, Windows Server 2003 y Windows Server 2008 permiten al servicio DNS aprovechar los numerosos avances tecnológicos aportados por Active Directory. Veamos cuales son esas ventajas:
a. Actualización en modo multimaestro En el modelo habitual de almacenamiento de las zonas DNS, las actualizaciones sólo son posibles hacia el servidor primario de la zona. De hecho, un único servidor DNS de referencia para la zona está disponible en modo lectura y escritura. Esto constituye una enorme limitación si se desea emplear las actualizaciones DNS en módo dinámico. Otro inconveniente importante del modelo DNS es que la disponibilidad en modo escritura de la zona reposa en el único servidor principal. Si dicho servidor no está disponible, las peticiones de actualización formuladas por clientes DNS no se tratarán para toda la zona. Además, cuando la zona alcanza su periodo de expiración en función del valor establecido en el registro de SOA, ésta pasa al estatus de caducada y no se trata ninguna otra petición de resolución DNS. Por el contrario, cuando una zona DNS se integra en Active Directory y se configura para dar soporte a las actualizaciones dinámicas, dichas actualizaciones pueden también ser soportadas en modo multimaestro. De hecho, cualquier servidor DNS de tipo NS y controlador de dominio se convierte en una fuente principal de la zona. Por consiguiente, la zona puede ser actualizada por los servidores DNS que funcionan con cualquier controlador de dominio del dominio. Este concepto permite ofrecer una disponibilidad total, siempre que se disponga de varios controladores de dominio que funcionen como servidores DNS.
b. Seguridad avanzada de los controles de acceso en la zona y en los registros Todos los registros de recurso DNS son objetos Active Directory de tipo dnsNode. En ese sentido existen y se benefician, al igual que todos los objetos del directorio, de los servicios de seguridad Active Directory. En nuestro caso se tratará de las autenticaciones mutuas Kerberos v5 y del uso de los SPN. El soporte de las listas de controles de acceso permitirá controlar quién puede hacer qué en cada objeto, es decir, en cada registro DNS.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Por ejemplo, es posible acceder a las funciones de las ACL (Access Control List) para proteger un contenedor dnsZone en el árbol Active Directory. El granulado de administración es muy fino porque en caso necesario usted podrá administrar cada zona y cada registro dentro de una zona. El grupo integrado Usuarios autentificados dispone de un derecho de tipo Crear todos los objetos hijo. El ACL permite autentificar todos los ordenadores Windows 2000 Professional, Windows XP Professional, Windows Vista, Windows Server 2003 o 2008. El grupo de seguridad Usuarios autentificados considera todas las entidades susceptibles de ser controladas, ya se trate de objetos usuario o bien de grupos u objetos de tipo ordenador. Una lista de control de acceso predeterminada protege cada nuevo registro. La figura de abajo muestra los derechos sobre el registro referente al ordenador XP1, miembro del dominio Corp2003.Corporate.net.
El grupo Administradores de empresas dispone de derechos de escritura sobre el objeto xp1 Constatará por lo tanto que, al principio, todas las máquinas autenticadas a través del protocolo Kerberos podrán crear dinámicamente su propio registro. Una vez creado el objeto, los controladores de dominio de la empresa podrán modificar el registro, siempre por cuenta del cliente. En el caso de entornos de red especialmente protegidos, será posible especificar los propios derechos de forma que las actualizaciones dinámicas no se autoricen más que para un ordenador cliente específico. Esto podría ocurrir también con un grupo de seguridad particular que contuviese usuarios y ordenadores. Observe también que las listas de control de acceso que usted especifica en los objetos Active Directory mediante la consola de administración MMC del DNS sólo afectan al servicio cliente de DNS. Las funcionalidades de control de acceso no están disponibles para las zonas principales estándar, sino únicamente para zonas DNS integradas en Active Directory.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Selección de actualizaciones dinámicas seguras para la zona Corp2008.Corporate.net Cuando una zona se integra en el directorio, el parámetro predeterminado de actualización de la zona se modifica para que se autoricen sólo las actualizaciones seguras. La tolerancia a fallos es máxima. Las zonas se replican automáticamente y se sincronizan con los nuevos controladores de dominio en cuanto éstos se agregan a un dominio Active Directory. Las zonas integradas en el directorio se almacenan por defecto en cada controlador de dominio. El almacenamiento y la gestión de la zona no constituyen por lo tanto recursos adicionales. Además, los métodos usados para sincronizar la información almacenada en el directorio ofrecen mejores prestaciones en comparación con los métodos estándar de actualización de las zonas, que exigen una configuración manual y en ocasiones la transferencia completa de la zona. Las prestaciones de las replicaciones de las zonas integradas en Active Directory están directamente relacionadas con el hecho de que el motor de replicación del directorio replica con un granulado muy fino. En efecto, las replicaciones se realizan de forma independiente para cada objeto, para cada atributo de objeto y para cada valor de atributo de objeto. Las replicaciones se comprimen en los vínculos intersitios. Por lo tanto, integrando el almacenamiento de las bases de datos de zonas DNS en Active Directory, podrá simplificar la replicación de las zonas DNS en toda la red de la empresa. La supresión del servicio DNS de un controlador de dominio no suprime los datos contenidos en la base de datos Active Directory. Si utiliza zonas DNS en modo estándar y también en modo integrado en Active Directory, estos dos tipos de zonas se almacenarán y replicarán obligatoriamente de forma separada. En esos casos, claro está, deberá administrarlas por separado. Será necesario entonces implementar y gestionar dos tipologías de replicación distintas. Se necesitará una topología de replicación para los datos almacenados en el directorio y otro para replicar los archivos de zonas entre los servidores DNS estándar. Aunque no presente dificultades técnicas especiales, esta configuración será más compleja de mantener y hasta de hacer evolucionar. Con la integración de las zonas DNS en el directorio, todos los problemas de replicación y de gestión del almacenamiento que se plantean para DNS y para Active Directory se fusionan en una única entidad administrativa. La replicación de directorio es más rápida y eficaz que la replicación DNS estándar y beneficia a las zonas DNS especialmente voluminosas. En la medida en que la replicación Active Directory sólo afecta a los elementos agregados, suprimidos modificados (objetos, atributos o valores de atributo) sólo se propagan las modificaciones esenciales. Estas optimizaciones permiten minimizar las operaciones LDAP y los flujos de replicación entre los controladores de dominio. Las zonas secundarias no pueden almacenarse en el directorio, sólo pueden serlo las zonas principales Active Directory. Desde el momento en que los servidores DNS son servidores Windows que se benefician del modelo de replicación multimaestro Active Directory, ya no hay interés en conservar zonas secundarias.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
3. Particiones predeterminadas disponibles con Windows 2000 Los controladores de dominio Windows 2000 disponen de varios espacios llamados particiones. Una partición, también llamada contexto de denominación (naming context en inglés), es una estructura de almacenamiento de datos situada dentro del directorio Active Directory. Ésta permite al directorio distinguir varias topologías de replicación. Dicho de forma más simple, imagine que el directorio Active Directory existe en forma de base de datos única que está compuesta por varias partes que pertenecen a topologías de replicación distintas. En el entorno Windows 2000, la base de datos Active Directory contiene únicamente las tres particiones presentadas a continuación para nuestro dominio de prueba Corp2003.Corporate.net: ●
La partición del Dominio, cuyo nombre completo es: DC=Corp2003,DC=Corporate,DC=net. Esta partición contiene todos los objetos tipo usuario, grupos de usuarios, ordenadores, directivas de grupo, etc.
●
La partición de la Configuración de la Empresa, cuyo nombre completo es: CN=Configuration,DC=Corp2003,DC=Corporate,DC=net. Esta partición contiene todos los objetos de configuración del directorio Active Directory y también algunas aplicaciones integradas en Active Directory.
●
La partición del Esquema de la Empresa, cuyo nombre completo es: CN=Schema,CN=Configuration,DC=Corp2003,DC=Corporate,DC=net. Esta partición contiene todas las clases y atributos que formalizan los objetos que el directorio puede gestionar.
La configuración de Active Directory muestra las tres particiones La figura de arriba muestra claramente las tres particiones predeterminadas creadas automáticamente durante la instalación de Active Directory con ayuda del Asistente para instalación DCPromo. El árbol presentado por ADSI Edit muestra los contextos de denominación del dominio, de la configuración y del esquema. Puede asimismo constatar que la partición de configuración, cuyo nombre LDAP es CN=Configuration,DC=Corp2008,DC=Corporate,DC=net contiene en el objeto CN=Partitions, la declaración de las tres particiones presentadas. Más adelante veremos que cuando un controlador de dominio hace las veces de catálogo global y la infraestructura de bosque de Active Directory contiene más de un dominio, el controlador de dominio catálogo global alojará también las particiones de dominio de los demás dominios del bosque. También podrá manipular las particiones Active Directory a través del comando NTDSutil. Esta herramienta se suministra con el sistema Windows 2000 o Windows Server 2003. El comando NTDSutil es la herramienta Active Directory que le permitirá realizar la mayor parte de tareas de mantenimiento y configuración de Active Directory.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
4. Integración de las zonas DNS en Active Directory con Windows 2000 En lo que respecta a los controladores de dominio Windows 2000, la integración de las zonas dentro del directorio Active Directory consiste en acoger dichas zonas dentro de la partición del dominio. Observe que sólo puede utilizarse esta partición. La figura siguiente muestra que esta opción se propone en un controlador Windows Server 2003 cuando el dominio comporta a la vez controladores Windows 2000 y Windows Server 2003.
Configuración de Tipo y de Replicación para la zona en curso En funcion de sus necesidades, usted disfrutará de total libertad a la hora de escoger el tipo de las zonas y los detalles relativos al almacenamiento de las zonas replicadas en el directorio Active Directory. La figura presentada a continuación muestra que en nuestro ejemplo la zona se almacenará y replicará en Todos los controladores de dominio del dominio Active Directory. Como se especifica, esta opción se escogerá si la zona debe ser cargada por servidores DNS Windows 2000 que se ejecuten en controladores de dominio dentro del mismo dominio.
Los cuatro modos de replicación propuestos por Windows Server 2003 El siguiente esquema ilustra el caso descrito. El dominio está compuesto por controladores Windows 2000 y, eventualmente, por controladores de dominio Windows Server 2003 y/o Windows Server 2008. Estos controladores © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
de dominio ejecutan también el servicio servidor DNS de Windows que aloja la zona DNS del dominio Active Directory corp2003.corporate.net o cualquier otra zona necesaria para el entorno de producción.
Integración de tipo Windows 2000 de las zonas DNS en Active Directory La integración de las zonas DNS representadas en el esquema pone de manifiesto los puntos siguientes: ●
●
Los tres controladores de dominio Windows son también servidores DNS. Todos están disponibles en modo lectura y escritura para cualquier zona con actualizaciones dinámicas. Los registros de recursos DNS existen como objetos Active Directory y, por lo tanto, se protegen y replican como tales.
A propósito de la seguridad de los registros en las zonas DNS Active Directory, Microsoft recomienda encarecidamente que las actualizaciones dinámicas funcionen en modo "sólo seguras". De esa forma sólo las máquinas Windows miembros del dominio Active Directory y autenticadas con el protocolo Kerberos Versión 5.0 podrán realizar actualizaciones dinámicas.
●
●
Los clientes DNS dinámicos como Windows 2000, Windows XP o Windows Vista tienen la posibilidad de registrarse en cualquiera de los servidores DNS dinámicos. Los antiguos servidores anteriores a la implantación de los nuevos servidores de Windows Server 2003 o Windows 2008 pueden seguir participando como servidores DNS que alojan zonas secundarias durante todo el periodo de transición. Como las zonas secundarias están disponibles únicamente en modo sólo lectura, los servidores no soportarán las actualizaciones dinámicas.
La implantación de una red Windows Active Directory se realiza muchas veces de forma progresiva. En esos casos es importante casar lo mejor posible las estaciones de trabajo modernas con los nuevos servidores, que desempeñan el papel de controladores de dominio y de servidores DNS. El objetivo consiste en que las estaciones de trabajo más modernas puedan sacar provecho lo más rápidamente posible de los servicios de Active Directory (localización de controladores, autenticaciones de Kerberos, directivas de grupo, servicios de certificados, etc.).
5. Integración de las zonas DNS en Active Directory con Windows Server 2003 y Windows Server 2008 Para desempeñar su papel de controlador de dominio, los controladores de dominio Windows Server 2003 y Windows Server 2008 disponen de las mismas particiones de directorio que los servicios que funcionan con Windows 2000. A modo de recordatorio, nos referimos a la partición de esquema, la partición de configuración, la partición del dominio en curso y las particiones del resto de dominios del bosque cuando el controlador desempeña también el papel de catálogo global. Una de las novedades importantes de Windows Server 2003 y de Windows Server 2008 afecta a las particiones del
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
directorio de aplicaciones. Una partición del directorio de aplicaciones es una partición Active Directory de un tipo nuevo. Esta partición se replicará sólo a uno o a varios controladores de Windows Server 2003 o Windows Server 2008. De este modo, un controlador que participe en la replicación de una partición alojará una réplica de esa misma partición. Las aplicaciones y los servicios podrán usar entonces el nuevo tipo de particiones como zona de almacenamiento de datos específicos de las aplicaciones. Para ilustrar este principio, los servicios TAPI de Windows Server 2003 (Telephony Application Programming Interface) se pueden configurar para almacenar datos específicos de las aplicaciones TAPI 3.1 en una partición del directorio de aplicaciones. A propósito de las particiones MSTAPI del directorio de aplicaciones: el asistente Configurar su servidor proporciona una ubicación central a partir de la cual usted podrá instalar los numerosos servicios incluidos en Windows Server 2003. Si instala el directorio Active Directory con la ayuda de dicho asistente, éste aprovechará para crear automáticamente una partición por defecto llamada MsTapi.nomdedominio. En caso de que el controlador de dominio se instalase sin pasar por el asistente, es decir, usando directamente el comando dcpromo.exe, se podrá instalar la partición del directorio de aplicaciones MSTAPI con el comando tapicfg.exe. Este comando permite realizar las operaciones de gestión específicas de los servicios TAPI. Los siguientes comandos permiten respectivamente ver la configuración TAPI y crear la partición del directorio de aplicaciones mencionado: tapicfg show y tapicfg install /directory:mstapi31.Corp2003.Corporate.net.
La herramienta de línea de comandos Ntdsutil permite asimismo manipular las particiones gestionadas por Active Directory. No obstante, a diferencia de herramientas como el comando tapicfg, específicamente creado para realizar una serie de operaciones de configuración específicas de TAPI, el comando ntdsutil sólo permitirá dar soporte a las operaciones específicas del directorio Active Directory. Observe sin embargo, que una partición del directorio de aplicaciones puede contener todo tipo de objetos, exceptuando objetos con identificadores de seguridad (SID). La idea es que la seguridad esté siempre almacenada en las particiones "habituales" de Active Directory y no fuera de ellas. Por lo tanto, no es posible crear en ellas ninguno de los principios de seguridad tales como objetos de tipo usuario, grupos de seguridad u ordenadores. Desde el punto de vista de la gestión de las particiones, conviene especificar que, sea cual sea el tipo de la partición, sólo los miembros del grupo Administradores de empresa pueden crear o administrar manualmente las particiones del directorio de aplicaciones. Desde el punto de vista del almacenamiento, la ventaja de almacenar datos de aplicaciones como los relativos al DNS en una partición del directorio de aplicaciones en lugar de en una partición del directorio de dominio es que usted se beneficiará de un mayor control del tránsito de replicación. Efectivamente, los datos en cuestión se replicarán únicamente a los controladores de dominio escogidos. La siguiente tabla describe los alcances de replicación de zona disponibles para los datos de zona DNS integrados en Active Directory. Alcance de replicación
Implementación Windows
Todos los servidores DNS en el bosque Replica los datos de la zona a todos los servidores DNS Active Directory: en el bosque se creará ejecutados en los controladores de dominio en el bosque Active una partición del directorio de aplicaciones. Directory. Generalmente es la extensión de replicación más importante. Todos los servidores DNS en el dominio Replica los datos de la zona a todos los servidores DNS Active Directory: en el dominio se creará ejecutados en los controladores de dominio del dominio Active una partición del directorio de aplicaciones. Directory. Esta opción constituye el parámetro por defecto de la replicación de zona DNS integrada en Active Directory dentro de la familia Windows Server 2003 y Windows Server 2008. Todos los servidores DNS en el dominio Active Directory: no es preciso crear una partición del directorio de aplicaciones. La zona se creará dentro de la partición existente en el dominio.
Replica los datos de la zona a todos los controladores de dominio del dominio Active Directory. Esta opción es necesaria para que los servidores DNS Windows 2000 soporten la carga de zonas Active Directory.
Todos los controladores de dominio en una partición de directorio de aplicaciones especificada: una partición del directorio de aplicaciones deberá crearse específicamente y replicarse a los servidores específicamente designados.
Replica los datos de la zona en función de la extensión de replicación de la partición de directorio de aplicaciones especificada. Para que una zona se almacene en la partición de directorio de aplicaciones especificada es preciso que el servidor DNS que aloja la zona esté inscrito en la partición de directorio de aplicaciones especificada.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
De esta forma, cuando se implanta un nuevo dominio Active Directory basándose en un controlador de dominio de Windows Server 2003 o Windows Server 2008, el asistente de instalación de Active Directory toma la iniciativa de crear las zonas relativas al dominio Active Directory en las ubicaciones especificadas a continuación.
a. ForestDnsZones.NombreBosqueDns Esta partición se crea por defecto y permite el almacenamiento en todo el bosque. Está disponible en todos los servidores DNS que funcionan en los controladores de dominio del bosque. Por consiguiente, cualquier zona DNS almacenada en esta partición del directorio de aplicaciones se replicará a todos los servidores DNS ejecutados en los controladores de dominio del bosque. Por supuesto, esta opción es especialmente importante para garantizar una gran disponibilidad de los registros críticos relativos a la propia infraestructura del bosque. Por defecto, el Asistente para la instalación de Active Directory almacenará en ella la zona que contiene los controladores de dominio del bosque. Esta zona, muy importante para todo _msdcs.NombredeDominioDnsRaizdelBosque. _msdcs.Corp2003.Corporate.net.
el bosque, se almacena en En nuestro ejemplo
la siguiente será el
ubicación: dominio
b. DomainDnsZones.NombredeDominioDns Esta partición del directorio de aplicaciones se crea por defecto para alojar los dominios del bosque. Las zonas DNS almacenadas en esta partición del directorio de aplicaciones se replican a todos los servidores DNS que funcionan con los controladores de dominio del dominio mencionado. Esta opción es similar a lo que se realiza de forma predeterminada en los controladores de dominio Windows 2000. Sin embargo, existe un matiz importante. En los controladores de dominio Windows 2000, las zonas almacenadas en el dominio Active Directory utilizan la propia partición del dominio. En un servidor DNS controlador de dominio Windows Server 2003 o Windows Server 2008, una zona almacenada en el dominio podrá disponer de su propia partición independiente. Además de la creación de zonas, si selecciona el Asistente para la instalación de Active Directory para instalar y configurar automáticamente un servidor DNS en el controlador de dominio local, el servidor DNS se instalará en el ordenador en el que se ejecute el asistente. Además el parámetro del servidor DNS preferido del ordenador está configurado para usar el nuevo servidor DNS local basándose en la dirección de bucle TCP/IP 127.0.0.1. De esta forma, el primer controlador de dominio es cliente de su propio servidor DNS. El segundo controlador instalado en el dominio deberá entonces usar al primero como servidor DNS preferido. Al final, varios servidores DNS controladores de dominio alojarán las zonas del dominio Active Directory y los demás ordenadores (clientes y servidores) que se unan al dominio deberán usar al menos dos de esos servidore DNS. El hecho de que un cliente DNS pueda disponer de dos servidores DNS ofrecerá una buena tolerancia a los fallos en caso de funcionamiento defectuoso de un servidor DNS.
c. Utilización de otras particiones del directorio de aplicaciones También es posible usar las particiones propias del directorio de aplicaciones Active Directory. La siguiente figura muestra la consola de administración MMC del DNS, que ofrece la posibilidad de seleccionar la partición que se desea utilizar. Así, la partición emeadns.Corp2008.net podrá usarse como espacio de almacenamiento para la zona EMEA (Europe Middle East and Africa).
- 10 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Elección de la extensión de la partición del directorio de aplicaciones Al escoger una opción de replicación, no olvide que cuanto mayor sea el alcance de replicación, mayor será la densidad del tránsito en la red causado por la replicación. Por ejemplo, si opta por replicar los datos de una zona DNS a todos los servidores DNS del bosque, el tránsito de red producido será más denso que si replica los datos de la zona DNS a todos los servidores DNS de un solo dominio Active Directory del bosque. Sean cuales fueran las opciones iniciales, siempre será posible modificar a posteriori la manera en que deberán replicarse las zonas. Sin embargo, el cambio de ubicación requerirá de una replicación completa del contenido a los nuevos emplazamientos.
d. Creación de una partición en el directorio de aplicaciones Active Directory Para crear una partición capaz de acoger una zona DNS, deberá utilizar el comando ntdsutil de la siguiente manera: 1. Introduzca ntdsutil en la línea de comandos. Aparecerá ntdsutil en el símbolo del sistema. 2. Teclee: domain management 3. Teclee: connections 4. Teclee: connect to server FQDNdesucontrolador 5. Teclee: quit 6. Para crear una partición del directorio de aplicaciones, teclee el comando siguiente: create nc DN ParticionDirectorioApp FQDNControladorDominio. Así, para nuestro dominio de prueba, habrá que introducir el siguiente comando: create nc dc=emeadns,dc=corp2003,dc=corporate,dc=net booster2003. El comando ntdsutil dispone de una ayuda rudimentaria pero bastante clara. Como ocurre a menudo, los nombres de objetos Active Directory deberán formularse especificando el DN LDAP mientras que los nombres de servidores usarán el FQDN o el hostname. Una vez creada la partición del directorio de aplicaciones es preciso declarar los diferentes controladores de dominio como réplica de la nueva partición con ayuda del comando: add nc replica DNParticionDirectorioApp FQDN del controlador de dominio al cual afecta la operación. Automatización de los comandos Ntdsutil A pesar que las funciones ofrecidas por Ntdsutil son en su mayoría operaciones críticas, puede que desee automatizar algunas tareas creando scripts que contengan una serie de comandos Ntdsutil. Muchas funciones Ntdsutil que ejecutan modificaciones abren mensajes en los que se pregunta al usuario si de verdad desea ejecutar la operación. Evidentemente, cuando aparecen esos mensajes, Ntdsutil espera a que el usuario teclee una respuesta. Los comandos popups off y popups on permiten respectivamente desactivar y activar los mensajes al ejecutar Ntdsutil a partir de un archivo de comandos o de un script. Las operaciones a las que da soporte ntdsutil pueden resultar peligrosas para el buen funcionamiento del directorio Active Directory. Se recomienda, por lo tanto, desactivar los mensajes de confirmación sólo en el momento en que se están realizando determinados tipos de scripts. Una vez realizada la operación con la ayuda de un script en modo popups off no olvide reactivar las confirmaciones utilizando el comando popups on.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
Eliminar una partición de directorio de aplicaciones resulta tan sencillo como crearla. Otra vez con la ayuda de ntdsutil, use la misma lógica especificando el comando: delete nc DNParticionDirectorioApp FQDN del controlador de dominio al que se refiere la operación. La eliminación de la última réplica de una partición del directorio de aplicaciones conlleva la pérdida definitiva de todos los datos almacenados en la partición.
Para efectuar estas operaciones deberá ser miembro del grupo Admins. del dominio, del grupo Administradores de organización en Active Directory, o haber recibido por delegación los permisos necesarios.
e. Replicación de las particiones del directorio de aplicaciones y caso de los catálogos globales Los datos de una zona DNS integrada en Active Directory almacenados en una partición de directorio de aplicaciones no se replican en los catálogos globales del bosque. Si bien es verdad que un controlador de dominio que contiene el catálogo global puede asimismo alojar particiones de directorio de aplicaciones, observe que éste no replicará esos datos en el catálogo global. Sin embargo, cuando los datos de una zona DNS integrada en Active Directory se almacenan en una partición de dominio, una parte de ellos se almacena en el catálogo global. Esas informaciones mínimas son necesarias para garantizar la tolerancia de los servidores DNS que funcionan con Windows 2000.
f. Almacenamiento de las zonas, particiones de aplicaciones y replicaciones El alcance de replicación de una partición de directorio de aplicaciones respeta la infraestructura de sitios Active Directory. Así, al igual que ocurre con Windows 2000, los parámetros de replicación se aplican a todas las particiones conocidas. Por consiguiente, la replicación de esas particiones se producirá con el mismo calendario de replicación intersitios ya definido en la infraestructura de sitios.
g. Zonas DNS integradas en Active Directory y particiones de directorio ADAM Los servidores Windows Server 2003 pueden desempeñar la función de servidores de directorio LDAP v2 y v3 estándar sin por ello requerir que se instale la función de controlador de dominio Active Directory. Este componente adicional, llamado ADAM (Active Directory/Application Mode) puede descargarse de la web de Microsoft, en la categoría "Features Packs" de Windows Server 2003. Observe que en la literatura informática ADAM también recibe a veces el nombre de AD/AM. Este componente permite la implantación de múltiples particiones de directorio y soporta varias instancias ADAM en el mismo servidor. Esta función permite alojar varios esquemas en el mismo servidor, ya que cada instancia debe disponer de su propio esquema. ADAM es especialmente interesante para las aplicaciones que deben apoyarse en LDAP, pero que no precisan una relación directa con el directorio Active Directory. La figura que presentamos a continuación muestra que los servicios y datos generales se almacenan en Active Directory, mientras que los datos locales específicos de las aplicaciones lo hacen en particiones soportadas por ADAM, es decir, en máquinas que no son controladores de dominio. En los servidores que funcionan con Windows Server 2008, los servicios AD LDS (Active Directory Lightweight Directory Services) reemplazan a los servicios a los servicios ADAM de Windows Server 2003. Observe que se trata de una evolución menor necesaria para asegurar el buen funcionamiento de estos servicios en las plataformas Windows Server 2008.
- 12 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Directorio Active Directory y particiones de directorio de tipo ADAM Presentamos aquí las características principales de ADAM: ●
●
●
●
Las particiones soportadas por ADAM son similares a las particiones del directorio de aplicaciones de Windows Server 2003. No obstante, esas particiones no necesitan soportar la función de controlador de dominio. ADAM funciona con Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition y Windows Server 2003 Datacenter Edition. ADAM no puede instalarse en Windows Server 2003 Web Edition. ADAM funciona también con Windows XP Professional. Esta configuración concierne en principio a los desarrolladores, sabiendo que Microsoft recomienda desarrollar en una plataforma próxima al sistema de producción. La recomendación es pues llevar a cabo los desarrollos en una plataforma de tipo Windows Server 2003.
●
Una instancia ADAM puede albergar más de una partición.
●
ADAM soporta los espacios de nombres X500 y DNS.
●
●
●
●
●
●
La replicación de las particiones ADAM respeta el mismo modelo que el utilizado por Active Directory. Todas las instancias ADAM disponen de su propia estrategia de replicación. Las instancias ADAM pueden funcionar en servidores Windows Server 2003 miembros de un dominio Active Directory pero también en servidores autónomos. Cada instancia dispone de sus propios ejecutables y de sus propios parámetros TCP/IP (direcciones, puertos). Por lo tanto, es posible que un servidor aloje varias instancias ADAM de diferentes versiones. Al igual que ocurre con los controladores de dominio Active Directory, la copia de seguridad y la restauración de las instancias ADAM corren directamente a cargo de las herramientas integradas en el sistema Windows Server 2003. Se puede administrar y dar soporte a las instancias ADAM con ayuda de las mismas herramientas que las utilizadas con el directorio Active Directory. Se puede continuar usando LDP, ADSIEdit, Replmon, NTDSUtil y el analizador de rendimiento para la monitorización de cada instancia. ADAM utiliza los servicios de seguridad ofrecidos por la infraestructura Windows disponible. De esta forma, puede implementar controles de acceso basados en los principios de seguridad procedentes del directorio Active Directory, de los dominios Windows NT 4.0 y de las cuentas del ordenador local. También tiene la posibilidad de crear usuarios directamente en ADAM. En ese caso sólo se soportarán las autenticaciones LDAP de tipo "Simple Bind".
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
●
●
●
La cuentas creadas dentro del directorio ADAM no son principios de seguridad Windows. Por tanto, no poseen SID. El servidor ADAM no es un servidor de autenticación Windows que soporta el protocolo Kerberos v5. No obstante, ADAM puede usar cuentas situadas en un dominio Active Directory y, en este caso, utilizar autenticaciones basadas en el protocolo Kerberos v5. ADAM no se puede usar directamente con Exchange Server. Microsoft Exchange Server necesita obligatoriamente los controles de seguridad basados en SID, así como del soporte del protocolo MAPI (Messaging API).
Microsoft especifica que los conceptos usados por ADAM, en especial los referentes a aislamiento y virtualización, son interesantes en diferentes aspectos. Por ejemplo, la función "Server EDGE" disponible con Microsoft Exchange Server 2007 utiliza una instancia ADAM que desempeña el papel de servidor LDAP para los servicios Exchange en una máquina que no forma parte del Dominio Active Directory. El servidor "aislado" dispone de un nivel de seguridad más alto.
●
El componente principal ADAM se implementa a través de DSAMain.exe. En los controladores de dominio Active Directory, el servidor LDAP, el motor de replicación DRS (Directory Replication System), el centro de distribución de claves Kerberos y el soporte de la SAM están integrados en el módulo LSASS (Local Security Authority SubSystem).
●
Las instancias virtuales ADAM se implementan en forma de servicios Windows.
●
El motor LDAP ADAM reutiliza la totalidad del código Active Directory.
●
●
●
●
ADAM no precisa forzosamente del uso del DNS para localizar los servidores ADAM. Las aplicaciones pueden estar configuradas para atacar específicamente a cualquier servidor. ADAM no da soporte a las antiguas interfaces de Microsoft como la SAM. ADAM no da soporte a ninguna integración con el servicio de replicación de archivos FRS (File Replication Service). ADAM puede ser útil cuando se necesita disponer de un servidor LDAP estándar. Esta solución será asimismo interesante si se desea implementar una aplicación LDAP "al lado de un directorio ya presente".
Una partición ADAM no puede almacenar ningún principio de seguridad. De hecho, el uso del directorio ADAM en un entorno Microsoft significa que el directorio Active Directory continúa siendo el unificador de todo lo referente a las autenticaciones Kerberos y otros servicios globales relativos a la infraestructura. Las instancias ADAM utilizan la seguridad de Active Directory.
Observe también que las particiones gestionadas por ADAM no permiten almacenar zonas DNS de tipo Active Directory. Como veremos más adelante, sólo los controladores de dominio Windows 2000 o Windows Server 2003 pueden alojar particiones capaces de contener zonas DNS integradas en el directorio Active Directory. En resumen, ADAM es una solución complementaria del directorio Active Directory que responderá a las necesidades de numerosos desarrolladores Windows y no Windows. No obstante, observe que el directorio ADAM no reducirá la necesidad de las empresas de disponer de una "Infraestructura de servicios de directorio Active Directory". Para obtener más información acerca de ADAM, consulte las direcciones de la Web de Microsoft: http://www.microsoft.com/adam y http://www.microsoft.com/ad En los sistemas que funcionan con Windows Server 2008, los servicios AD LDS sustituyen a los servicios ADAM de Windows Server 2003. Las principales funcionalidades, posibilidades, límites y recomendaciones relativas a los servicios AD LDS se presentan en el capítulo Configuración de las funciones de servidores con los servicios AD.
- 14 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
h. Condiciones necesarias para realizar un cambio de almacenamiento Para poder cambiar el almacenamiento de una zona de la partición de dominio hacia una partición del directorio de aplicaciones, el controlador de dominio que detenta la función de maestro de atribución de nombres de dominio (Domain Naming Master FSMO en inglés) debe funcionar con Windows Server 2003 o Windows Server 2008. De no ser así no podrá crear particiones del directorio de aplicaciones para alojar la zona DNS. Transferencia de la función de "Maestro de atribución de nombres de dominio". Para solucionar este problema, bastará con transferir la función de maestro de atribución de nombres de dominio a un controlador de dominio que ejecute Windows Server 2003 o Windows Server 2008 y después repetir la operación. Este problema puede deberse a la actualización de un controlador de dominio Windows 2000 existente.
i. Sugerencias de raíz Cuando el nivel funcional de dominio es "Windows Server 2003" o "Windows Server 2008", las sugerencias de raíz que permiten al servidor DNS hacer referencia a los servidores DNS del dominio raíz del espacio DNS se almacenan en la partición de directorio de aplicaciones de dominio. Por el contrario, si el nivel funcional de dominio es de tipo "Windows 2000 modo mixto" o "Windows 2000 modo nativo", las sugerencias de raíz se almacenan en la partición del dominio. Observe que esto ya ocurría con los controladores de dominio que funcionaban con Windows 2000. La siguiente figura muestra las sugerencias de raíz predeterminadas dentro de la partición de dominio del dominio Corp2003.Corporate.net.
Sugerencias de raíz almacenadas en el contenedor System de la partición del dominio con Windows 2000 El contenedor CN=MicrosoftDNS,CN=System,DC=Corp2003,DC=Corporate,DC=net contiene los diferentes contenedores que alojan, cada uno, el contenido de una zona determinada. Los registros de A de los servidores raíz existen a continuación en forma de objetos de tipo dnsNode en el contenedor RootDNSServers.
j. Almacenamiento de las zonas en Active Directory y registros dinámicos de los controladores de dominio Windows 2000, Windows Server 2003 y Windows Server 2008 Por defecto, el servicio "Inicio de sesión de red" en inglés "Net Logon", registra los registros de recursos DNS del localizador de controlador de dominio para la participación de directorio de aplicaciones alojada en un controlador de dominio, de la misma manera que registra los registros de recursos de un controlador de dominio para el dominio alojado en un controlador de dominio. En la medida en que esos registros de recursos resultan críticos para las replicaciones Active Directory así como para la localización de los controladores de dominio por parte de los controladores clientes, el servicio "Inicio de sesión de red" de un controlador de dominio inscribe cada 24 horas, los registros DNS necesarios. En caso de ausencia de los registros o de incoherencias en ellos, también se puede forzar la reinscripción de los registros reiniciando el servicio "Inicio de sesión de red". Esta operación puede realizarse con ayuda de los siguientes comandos: ●
net stop "net logon"
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
●
net start "net logon"
6. Proteger las actualizaciones dinámicas La protección de las zonas DNS es un aspecto especialmente importante para garantizar la integridad de los registros. Esta observación es válida, claro está, para todo tipo de registros, sabiendo que prestaremos especial atención a los datos DNS necesarios para garantizar el funcionamiento correcto del directorio Active Directory. Los servidores DNS que funcionan con Windows 2000, Windows Server 2003 y Windows Server 2008 permiten declarar la manera de administrar la seguridad de las zonas, independientemente de ellas. De hecho, estos parámetros tendrán forzosamente implicaciones en la seguridad de las zonas DNS estándar o directamente integradas en Active Directory.
a. Configurar las actualizaciones dinámicas seguras Por defecto, el parámetro Actualizaciones dinámicas no está configurado de forma predeterminada para actualizar las actualizaciones dinámicas. Es el parámetro más seguro ya que hace imposible la actualización de las zonas DNS.
Datos registrados en Active Directory y actualizaciones dinámicas seguras El problema es que esta opción le impedirá beneficiarse de las numerosas ventajas que ofrecen las actualizaciones dinámicas. Entre esas ventajas podemos citar la posibilidad de disponer de registros DNS actualizados en cualquier circunstancia y una carga vinculada a la administración de registros prácticamente inexistente. Para beneficiarse de la inscripción automática con total seguridad, conviene hacer que los ordenadores actualicen los datos DNS de manera segura. Esto podrá conseguirse almacenando las zonas DNS en el directorio Active Directory y usando la funcionalidad de actualización dinámica protegida. Esta opción permite llevar a cabo actualizaciones dinámicas en la zona sólo a los ordenadores autenticados y pertenecientes al mismo dominio Active Directory que el servidor DNS. También es posible gestionar específicamente la lista de controles de acceso en las zonas DNS almacenadas en Active Directory. Estos permisos permiten controlar qué usuarios y grupos de Active Directory están habilitados para manipular las zonas DNS.
- 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Grupos especiales y permisos predeterminados de una zona protegida integrada en Active Directory Por defecto, sólo las entidades autenticadas pueden crear registros y actualizarlos posteriormente en caso de cambio. La siguiente tabla enumera las confianzas definidas por defecto para las zonas DNS protegidas, almacenadas en el directorio Active Directory. Derechos sobre las Zonas
Implementación Windows
Administradores
Autorizas: Leer, Escribir, Crear todos los objetos hijo, permisos especiales
Usuarios autentificados
Autorizar: Crear todos los objetos secundarios
Propietario creador
Permisos especiales
DNSAdmins
Autorizar: Escritura completa, Leer, Escribir, Crear todos los objetos secundarios, Suprimir los objetos secundarios, Permisos especiales
Admin. del dominio
Autorizar: Escritura completa, Leer, Escribir, Crear todos los objetos secundarios, Suprimir los objetos secundarios, Permisos especiales
Administradores de empresas
Autorizar: Escritura completa, Leer, Escribir, Crear todos los objetos secundarios, Suprimir los objetos secundarios, Permisos especiales
ENTERPRISE DOMAIN CONTROLLERS
Autorizar: Escritura completa, Leer, Escribir, Crear todos los objetos secundarios, Suprimir los objetos secundarios, Permisos especiales
Todos
Autorizar: Leer, Permisos especiales
Acceso compatible preWindows 2000
Autorizar: Permisos especiales
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 17 -
SYSTEM
Autorizar: Escritura completa, Leer, Escribir, Crear todos los objetos secundarios, Suprimir los objetos secundarios, Permisos especiales
Algunos grupos disponen de permisos especiales directamente heredados del propio objeto servidor DNS. Estos permisos son necesarios para garantizar un funcionamiento correcto y en las mejores condiciones de seguridad de la zona. En resumen, los derechos sobre las zonas protegidas de DNS pueden clasificarse del siguiente modo: ●
●
●
El grupo Todos dispone sólo de derecho de lectura. Este derecho permite obtener sólo acceso en modo lectura al contenido de la zona. Los grupos de carácter administrativo permiten administrar las diferentes funciones disponibles en un objeto de tipo zona DNS. El grupo Usuarios autentificados permite realizar controles de acceso que permitirán o no la actualización dinámica de los registros de recursos DNS.
Estas listas de controles de acceso permiten disfrutar de un alto nivel de seguridad. De hecho, Microsoft recomienda manipular los permisos con precaución.
7. Actualizaciones seguras y registros DNS realizados a través de DHCP Los servidores DHCP que ejecutan Windows 2000, Windows Server 2003 o Windows Server 2008, pueden participar en las actualizaciones dinámicas dentro del espacio de nombres DNS de cada uno de los clientes encargados de las operaciones de actualizaciones dinámicas. De hecho, se plantean cuestiones tales como los controles de acceso a las zonas DNS y la propiedad de los registros de esas zonas. A continuación describimos el funcionamiento del proceso de actualización de las zonas DNS por parte del servicio servidor DHCP. El primer problema que se plantea es que, evidentemente, es preciso que el servidor DHCP conozca el nombre completo del ordenador cliente DHCP. Por lo tanto, para que sea capaz de inscribir y de actualizar los registros de recursos puntero (PTR) y host (A) para la cuenta de sus clientes DHCP, será necesario conducir la información de los clientes hasta el servidor DHCP. La opción de nombre de dominio completo del cliente, llamada opción 81, permite al cliente suministrar al servidor DHCP su nombre de dominio completo (FQDN, Fully Qualified Domain Name). Opcionalmente, el cliente podrá especificar al servidor DHCP la forma en que desea que el servidor trate la operación. Así, cuando un cliente DHCP de tipo Windows 2000, Windows XP o Windows Vista emite la opción 81, el servidor DHCP reacciona y determina la operación que deberá realizar o no procediendo como sigue: ●
El servidor DHCP actualiza los registros A y PTR DNS si los clientes lo solicitan con ayuda de la opción 81.
Parámetros DNS dinámicos de un cliente Windows 2000 o Windows XP La figura de arriba muestra que la estación de trabajo efectuará su registro de recurso de tipo A en el DNS usando su sufijo principal. A modo de recordatorio diremos que el sufijo principal deriva directamente de la pertenencia al dominio y puede completarse también con un sufijo DNS adicional en cada conexión de red: ●
El servidor DHCP actualiza los registros A y PTR DNS, lo solicite o no el cliente.
En este caso, el servidor DNS tomará la iniciativa de proceder a los registros por cuenta de los clientes sabiendo que las operaciones necesarias estarán en función de la naturaleza de los clientes DHCP. El primer ejemplo se refiere al principio de las actualizaciones DHCP/DNS para los clientes DHCP modernos que funcionan con Windows 2000, Windows XP o Windows Vista. En estos casos se llevan a cabo las siguientes operaciones: ●
- 18 -
El cliente envía una petición DHCP (DHCPREQUEST) al servidor, incluyendo en ella la opción DHCP 81. Por defecto, el cliente pide que el servidor DHCP inscriba el registro DNS de tipo PTR, mientras que el cliente © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
inscribe él mismo su propio registro DNS de tipo A. ●
El servidor envía al cliente un acuse de recibo DHCP (DHCPACK) atribuyendo un contrato de dirección IP e incluyendo la opción DHCP 81. Los parámetros predeterminados del servidor DHCP (Actualizar dinámicamente registros DNS A y PTR sólo si los clientes DHCP lo solicitan), utilizan la opción 81 que indica al cliente que el servidor DHCP asumirá la operación relativa al registro DNS de tipo PTR y que el cliente inscribirá el registro DNS de tipo A.
Las operaciones de inscripción realizadas por el cliente por un lado, y por el servidor DHCP por otro, se llevan a cabo de forma completamente asíncrona. Así, el cliente inscribe su registro de tipo A de forma separada del servidor DHCP, que se ocupa del registro de tipo PTR. El segundo ejemplo atañe al principio de las actualizaciones DHCP/DNS para los clientes DHCP antiguos que funcionan con Windows NT 4.0 y versiones anteriores. Estas versiones de clientes DHCP/DNS no se ocupan directamente del proceso de actualización dinámica DNS. De hecho, no es posible imaginar ningún tipo de comunicación entre los clientes y el servidor DNS. Para esos clientes se realizan las operaciones detalladas a continuación: ●
●
●
El cliente DHCP envía una petición DHCP (DHCPREQUEST) al servidor. La petición no incluye la opción 81 DHCP, ya que los clientes antiguos no la soportan. El servidor DHCP envía al cliente un acuse de recibo DHCP (DHCPACK), asignando un contrato de dirección IP, sin la opción DHCP 81. El servidor DHCP envía al servidor DNS las actualizaciones dinámicas del registro de recursos de host tipo A. El servidor envía también actualizaciones de registros de recurso de tipo puntero (PTR).
Valores predeterminados de la configuración de las actualizaciones automáticas de registros de tipo A y PTR a zonas DNS dinámicas para un ámbito DHCP Los parámetros de la figura de arriba están disponibles globalmente en el propio objeto servidor DHCP y también de forma independiente, en cada extensión DHCP. El comportamiento de los registros dinámicos puede configurarse por tanto de forma muy precisa. Ahora que sabemos cuáles son las operaciones realizadas por los clientes DNS y los servidores DHCP para actualizar los registros de recursos DNS, debemos considerar los problemas de las actualizaciones realizadas por poderes a través de los servidores DHCP Windows 2000, Windows Server 2003 o Windows Server 2008. De hecho, si un servidor DHCP realiza la primera operación de actualización dinámica para un registro de recursos determinado, el servidor DHCP se convierte en el propietario del registro. De hecho es el único que puede mantener el registro. Evidentemente, esto puede plantear problemas en algunos casos. El caso más tradicional se refiere a la posibilidad que tendría un servidor DHCP de reserva de poder mantener los registros en caso de fallo del servidor DHCP predeterminado. Como acabamos de ver, si el primer servidor DHCP es el único propietario de los registros, está claro que es el único que puede modificarlos. Otro efecto secundario se refiere a la puesta al día de clientes antiguos a Windows 2000, Windows XP o Windows Vista. Sabemos que para garantizar que se da soporte a las estaciones Windows NT, será necesario que el servidor
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 19 -
DHCP realice la actualización en modo dinámico a un servidor DNS. Por consiguiente, también será el único en disponer de los derechos necesarios sobre los registros y hará imposible cualquier actualización posterior, sobre todo después de que los ordenadores Windows NT hayan sido actualizados a Windows XP o Windows Vista.
a. Uso del grupo especial DNSUpdateProxy para realizar las actualizaciones dinámicas de las zonas DNS seguras Para que uno o varios servidores DHCP sean autorizados a actualizar registros DNS contenidos en una zona protegida para la que no disponen de los derechos necesarios, es posible agregar los servidores que sí disponen de dichos derechos al grupo DNSUpdateProxy. En ese caso, el objeto siguiente que inscriba el mismo registro de nombres en la zona DNS se convertirá en el nuevo propietario del registro. Observe que los objetos creados por los miembros del grupo DnsUpdate Proxy no están protegidos por defecto. Así, el primer usuario no miembro del grupo DnsUpdateProxy que realice una operación de modificación en uno de esos registros se convertirá en su nuevo propietario. Así, cuando los clientes Windows NT o Windows 9x se actualicen a una versión posterior, podrán apropiarse de su propio registro en el servidor DNS. El grupo DNSUpdateProxy permite pues resolver los problemas anteriormente presentados.
b. Protección de los registros al usar el grupo DnsUpdateProxy El hecho de que los registros DNS creados por los miembros del grupo DnsUpdateProxy no estén protegidos los expone a todo tipo de ataques. Además, este grupo es difícilmente utilizable de forma eficaz cuando las operaciones de registro se refieren a zonas integradas en Active Directory que funcionan en modo "Solo actualizaciones dinámicas". De hecho, habrá que agregar obligatoriamente los permisos adecuados para autorizar la protección de los registros creados por los miembros del grupo. Para proteger los registros no seguros o autorizar a los miembros del grupo DnsUpdateProxy a inscribir registros en zonas que sólo autorizan actualizaciones dinámicas seguras, puede crear una cuenta de usuario especial y configurar los servidores DHCP para que efectúen las actualizaciones dinámicas DNS basándose en esa identificación. En función de los requisitos de seguridad establecidos también podrá usar una o varias cuentas de usuario para controlar los accesos a uno o varios servidores DHCP. La cuenta de usuario específica es una cuenta cuyo único objetivo es proporcionar a los servidores DHCP la información de autenticación mínima necesaria para realizar con éxito actualizaciones DNS en modo dinámico. Al crear una cuenta de usuario reservada a este uso y configurar los servidores DHCP con ella, los servidores DHCP proporcionarán esa información al registrar nombres por cuenta de los clientes DHCP. Una vez realizada la operación, el elemento siguiente que inscriba el mismo registro de nombre en la zona DNS se convertirá, como hemos explicado más arriba, en el propietario del registro. A propósito de la ubicación de la cuenta de identificación DHCP: la cuenta de usuario usada para la autenticación del servidor DHCP debe crearse en el bosque en el que reside el servidor DNS principal de la zona que se desea actualizar. La cuenta puede ubicarse también en otro bosque, a condición de que posea una confianza de bosque establecida con el bosque que contiene el servidor DNS principal de la zona que se desea actualizar. Observe que no puede tratarse de un dominio autorizado situado en otro bosque, sino únicamente de un dominio de un bosque autorizado. Para ello es preciso que los dos bosques funcionen en modo "Bosque Windows Server 2003" o posterior.
c. Protección de las zonas DNS y poder del servicio servidor DHCP sobre los controladores de dominio Active Directory Cuando el servicio Servidor DHCP se instala en un controlador de dominio, el servicio servidor DHCP posee y utiliza la autoridad del controlador de dominio para actualizar o eliminar cualquier registro DNS inscrito en una zona integrada en Active Directory. Para impedir que el servidor DHCP haga un uso incorrecto o ilícito de los poderes del controlador de dominio, puede configurar el servidor DHCP para que éste se autentique de forma específica.
- 20 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Credenciales del servidor DHCP Windows Server 2003 Observe que esta opción sólo está disponible en los servidores DHCP que funcionan con Windows Server 2003 o Windows Server 2008 a nivel del objeto servidor DHCP. Por consiguiente, puede ser una buena razón para justificar la actualización de servidores DHCP Windows 2000 a Windows Server 2003 o Windows Server 2008 esperando que todas las máquinas Windows NT y Windows 9x se actualicen a Windows XP o Windows Vista. Este importante problema afecta a todos los registros, incluidos los registros inscritos de forma segura por ordenadores controladores de dominio que funcionan con Windows 2000, Windows Server 2003 o Windows Server 2008. La posibilidad de los servidores DHCP de manipular aquéllo que no deberían tener derecho a manipular es un tema especialmente preocupante que puede solucionarse de dos maneras: ●
La recomendación más evidente es evitar instalar el servicio servidor DHCP en un controlador de dominio Windows 2000, Windows Server 2003 o Windows Server 2008.
El artículo Q255134 de la base de datos de conocimiento Microsoft Technet titulado "Installing Dynamic Host Configuration Protocol (DHCP) and Domain Name System (DNS) on a Domain Controller" tiene en cuenta este problema.
●
En caso de que no fuera posible aplicar esta primera recomendación, siempre se podrá implementar la autenticación del servidor DHCP disponible con los servidores Windows Server 2003 y los servidores Windows Server 2008.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 21 -
Declaración de las credenciales en el servidor DHCP Windows Server Por supuesto, la solución ideal consiste en acelerar el proceso de migración de los antiguos ordenadores a Windows 2000, Windows XP o Windows Vista. Este última alternativa es la mejor recomendación que podemos hacer. Efectivamente, en esos casos, cada ordenador se autentica con ayuda del protocolo Kerberos V5 para poder crear y mantener su propio registro en lo sucesivo. Los servidores DHCP no se implican pues, por cuenta del cliente.
d. Comando Netsh y declaración de la autenticación del servidor DHCP Es posible configurar los servidores DHCP con la información de la cuenta de identificación que desea utilizar gracias a la consola MMC de gestión del servicio DHCP. En caso de que desee automatizar la operación puede usar el comando de contexto Netsh. Este comando puede manipularse en modo shell, tal y como especificamos a continuación: ●
Para entrar en el shell de red, teclee: netsh
●
Para entrar en contexto DHCP, teclee: dhcp
●
Para acceder a su servidor local, teclee: server
●
Para declarar los parámetros de autenticación del servidor DHCP, teclee el comando: set dnscredentials NombreUsuario NombreDominio Contraseña
En caso de que fuera necesario modificar la declaración en muchos servidores, también es posible usarla pasando todos los parámetros necesarios en la misma línea de instrucciones o a través de un archivo de script.
Declaración con netsh de la cuenta DHCPAccess del dominio Corp2003 para el servidor DHCP en curso El carácter * permite declarar la contraseña al ejecutar el comando. Si el script contuviese la contraseña, compruebe que el script esté contenido en un directorio encriptado. Para obtener más información sobre la configuración de la información de identificación con la consola DHCP, consulte el Kit de recursos Técnicos de Windows Server 2003.
- 22 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
8. Conflictos de gestión de las confianzas en las zonas DNS El servicio servidor DNS ejecutado en un controlador de dominio con zonas almacenadas en Active Directory almacena sus datos de zona basándose en los objetos suministrados por el propio directorio, es decir, los objetos y atributos Active Directory. Configurar la lista de confianzas de acceso sobre los objetos Active Directory de tipo DNS viene a ser, por lo tanto, configurar la lista de derechos sobre las zonas DNS usando la consola de administración del DNS. En la medida en que estos datos específicos del DNS finalmente no son más que datos Active Directory, sería prudente hacer que los administradores de la seguridad de los objetos Active Directory y los administradores de la seguridad de los objetos de tipo DNS estén en contacto, con el fin de evitar cualquier error de configuración o de aplicación de parámetros de seguridad contradictorios. A continuación describimos los objetos y atributos Active Directory usados por los datos de las zonas DNS: ●
●
●
●
El elemento DnsZone es un objeto de tipo contenedor creado cuando una zona se almacena en Active Directory. El elemento DnsNode es un objeto de tipo nodo usado para mapear y asociar un nombre dentro de la zona a datos de recursos. El elemento DnsRecord es un atributo de valores múltiples de un objeto de tipo dnsNode. Se utiliza para almacenar registros de recursos asociados al objeto de nodo con nombre. El elemento DnsProperty es un atributo de valores múltiples de un objeto dnsZone usado para almacenar la información de configuración de la zona.
Para obtener más información sobre las clases y atributos de objetos de Active Directory, consulte el sitio de Microsoft MSDN en la dirección http://msdn.microsoft.com y busque la información que describe el contenido del esquema del directorio Active Directory.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 23 -
Integración de los servidores DNS Windows con el servidor existente Como consecuencia, las familias de sistemas operativos de red Windows 2000, Windows Server 2003 y Windows Server 2008 disponen de un servicio servidor DNS que interopera totalmente con los demás servidores DNS de tipo BIND. Los servidores DNS que ejecutan Windows Server 2003 son compatibles con la mayoría de especificaciones RFC (Request for Comments) usadas para definir la implementación y el buen funcionamiento de los servicios DNS. Esto ofrece importantes ventajas para usar servidores DNS en entornos mixtos o heterogéneos.
1. A propósito de los RFC soportados por el servicio DNS de Windows Server 2003 y Windows Server 2008 Los documentos RFC (Request for Comments) son una serie de informes, proposiciones y normas de protocolos en proceso de evolución usados por la comunidad de Internet. Las especificaciones de los servicios DNS (Domain Name System) se basan en RFC aprobados y publicados por el IETF (Internet Engineering Task Force) en los que participan también otros grupos de trabajo. Los RFC que mostramos a continuación contienen las especificaciones usadas para concebir e implementar los servicios Servidor y Cliente DNS en un entorno Windows Server 2003. RFC
Título
1034
Domain Names Concepts and Facilities
1035
Domain Names Implementation and Specification
1123
Requirements for Internet Hosts Application and Support
1886
DNS Extensions to Support IP Version 6
1995
Incremental Zone Transfer in DNS
1996
A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY)
2136
Dynamic Updates in the Domain Name System (DNS UPDATE)
2181
Clarifications to the DNS specification
2308
Negative Caching of DNS Queries (DNS NCACHE)
2535
Domain Name System Security Extensions (DNSSEC)
2671
Extension Mechanisms for DNS (EDNS0)
2782
A DNS RR for specifying the location of services (DNS SRV)
2. A propósito de los RFC 1034 y 1035 Estos dos RFC describen el protocolo estándar original DNS para dar soporte a los servicios de nombres de dominio en un entorno TCP/IP. Esta información explica los protocolos de manera detallada, poniendo de relieve las ideas técnicas subyacentes usadas en la mayoría de implementaciones DNS. También podrá buscar en la Web los documentos especificados a continuación. Esos documentos contienen las especificaciones usadas para concebir e implementar los servicios Servidor y Cliente DNS: Nombre del fichero (en inglés)
Título
Draftskwanutf8dns02.txt Using the UTF8 Character Set in the Domain Name System
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Draftietfdhcdhcpdns 08.txt
Interaction between DHCP and DNS
Draftietfdnsindtsig11.txt
Secret Key Transaction Signatures for DNS (TSIG)
Draftietfdnsindtkey00.txt Secret Key Establishment for DNS (TKEY RR) Draftskwangsstsig04.txt
GSS Algorithm for TSIG (GSSTSIG)
afsaa0069.000.doc
ATM Name System Specification version 1.0
3. Consulta de los RFC en la Web Podrá obtener el conjunto de los RFC a partir del sitio Web RFC Editor (en inglés). Los RFC están ordenados en función de los siguientes criterios: normas de Internet aprobadas, normas de Internet propuestas (proposiciones en curso de examen), métodos aconsejados para Internet o documentos de tipo FYI (For Your Information). También encontrará otros documentos de asistencia "online". Esos documentos proponen nuevas especificaciones aún en el estadio de proposiciones. De hecho, los documentos no poseen número RFC. http://www.rfceditor.org/
4. Interoperabilidad de los servicios DNS de Windows Server 2003 y 2008 En la medida en que Internet descansa íntegramente en el sistema de denominación y de resolución de nombres DNS y que el directorio Active Directory lo usa también de forma natural y sofisticada, está claro que no pueden existir grandes incompatibilidades entre el espacio privado de dominios Active Directory y el espacio público Internet para una empresa determinada. Las principales ventajas de esta interoperabilidad son las siguientes: ●
●
Interoperabilidad completa con otros servidores DNS que respetan los RFC en materia de servicios de nombre DNS y viceversa. Uso de servidores DNS Windows 2000, Windows Server 2003 o Windows Server 2008 en Internet.
Para probar la interoperabilidad de los diferentes servidores DNS entre sí, Microsoft ha sometido a prueba el servicio Servidor y Cliente DNS de Windows Server 2003 (y Windows 2000) con las implementaciones siguientes de BIND (Berkeley Internet Name Domain): ●
BIND 4.9.7;
●
BIND 8.1.2 y BIND 8.2;
●
BIND 9.1.0.
Presentamos seguidamente los posibles problemas de compatibilidad y configuración vinculados al uso del servicio DNS de Windows Server 2003 en entornos particulares, o con servidores DNS en Internet.
5. Problemas de compatibilidad y búsquedas directa e indirecta WINS Desde NT 4.0, el servicio servidor DNS permite transmitir peticiones de resolución no satisfechas hacia un servidor WINS. Esta operación de búsqueda complementaria, llamada "WINS Forwarding", es asumida por las zonas de búsqueda directa e indirecta y puede activarse o no en cada zona. Es importante apuntar que la activación de las búsquedas WINS en una zona DNS creará un registro de recurso de tipo WINS en la zona DNS. De hecho, esta opción no deberá usarse si la zona debe ser replicada en servidores dotados de otras implementaciones DNS que no reconozcan los registros de recursos WINS.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
6. Especificidad del DNS de Windows 2000 Server, Windows Server 2003 y Windows Server 2008 e integración dinámica en los servidores DHCP En el DNS Windows Server 2003 y Windows Server 2008, el servicio DHCP ofrece el soporte predeterminado del registro y actualización de la información para los clientes DHCP heredados en las zonas DNS. Los clientes heredados incluyen generalmente otros ordenadores cliente Microsoft TCP/IP anteriores a Windows 2000. La integración entre DNS y DHCP proporcionada por Windows Server 2003 y Windows Server 2008 permite al cliente DHCP, incapaz de actualizar de forma dinámica los registros de recursos DNS, disponer de informaciones actualizadas en las zonas de búsqueda directa e indirecta DNS a través del servidor DHCP. La integración dinámica en el servicio DHCP sólo está disponible en los servidores DNS que ejecutan Windows 2000 Server, Windows Server 2003 y Windows Server 2008 y no en los servidores DHCP NT 4.0 o en versiones anteriores.
7. Autorizaciones de las transferencias de zona Por defecto, los accesos a las zonas están protegidos. Así, un servidor DNS Windows Server 2003 o Windows Server 2008 sólo autoriza las transferencias de zona a los servidores DNS especificados como servidores de nombres (registros de tipo NS) en la pestaña Servidores de nombres. A continuación las transferencias deberán autorizarse en la pestaña Transferencias de zona.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Introducción Los principales elementos implicados en una infraestructura de servicios distribuidos y de servicios de seguridad Active Directory necesitan una configuración de servicios DNS apropiada. Con una configuración efectuada de acuerdo con las buenas prácticas, los ordenadores con Windows 2000, Windows XP, Windows Vista o una versión posterior serán capaces de interrogar al sistema de resolución DNS para localizar a los ordenadores que desempeñan el papel de controladores de dominio dentro de la infraestructura de servicios distribuidos Active Directory. Esta circunstancia significa también que, por el contrario, el directorio Active Directory no podrá funcionar normalmente ni ofrecerá convenientemente sus servicios si no dispone de una configuración DNS adecuada. Los métodos cambian por completo. Efectivamente, en los entornos de dominio Windows NT, basados en la interfaz de programación y los nombres NetBIOS, el dominio registra su nombre en el código de servicio NetBIOS [1C]. Este registro de grupo es usado por los clientes Windows 9x, Windows ME y Windows NT para localizar los controladores de dominio Windows NT. La entrada puede contener veinticinco controladores de dominios NT a través de sus direcciones IP respectivas y se refiere también a los controladores de dominio Active Directory porque éstos son compatibles con NT con respecto a los antiguos sistemas operativos. Por consiguiente, el registro de grupo [1C] podrá contener controladores de dominio que funcionen tanto con Windows NT como con Windows 2000 Server, Windows Server 2003 o Windows Server 2008. Observe que puede visualizar este registro NetBIOS en un servidor Windows Server 2003 con la ayuda del comando nbtstat n.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Servicio de Localización DNS y selección de los controladores de dominio El proceso de inicio de sesión integrado en los ordenadores con Windows 2000, Windows XP o Windows Vista se utiliza para localizar el controlador de dominio más cercano al ordenador. Este servicio de sistema llamado Inicio de sesión de red, "Net Logon" en inglés, funciona de idéntica forma en ordenadores Windows 9x y Windows NT equipados con el cliente Active Directory. Observe que en caso de que los ordenadores Windows 9x o Windows NT no dispusieran del programa "Client Active Directory" no usarían los mecanismos de localización basados en DNS, sino el antiguo sistema de selección basado en la interfaz NetBIOS, el código de servicio [1C] y el servicio de resolución WINS Windows Internet Naming System. NetBIOS y los registros de dominio [1C] y [1D]: conviene no confundir el registro de nombre de dominio NetBIOS [1C] con el registro de nombre de dominio [1D]. En efecto, el código [1D] está dirigido al buen funcionamiento de las funciones de explotación de red. Se registra para los exploradores principales. A modo de recordatorio diremos que existe un explorador principal, Master Browser, por subred TCP/IP. Los exploradores de reserva, Backup Browsers, usan este nombre para comunicarse con el explorador principal recuperando la lista de los servidores disponibles de este explorador principal. Además, observe que los servidores WINS han sido concebidos para devolver una respuesta de registro positiva para el nombre nombre_dominio[1D] aunque el servidor WINS no registre dicho nombre en su base de datos. La consecuencia de esto es que se fuerza una petición de tipo difusión por parte del cliente. Como el nombre D no se ha registrado en la base WINS, si se pide al servidor WINS el nombre_dominio[1D], éste último devuelve una respuesta negativa. De hecho, esa respuesta negativa forzará al cliente a enviar un mensaje de difusión a la subred local. A propósito del servicio Explorador de ordenadores en los servidores Windows Server 2008: el registro NetBIOS es un registro que utilizan las estaciones de trabajo para acceder al Master Browser, sabiendo que no existe más que un Master Browser por subred IP. El registro NetBIOS es un registro de tipo Normal Group que los exploradores de ordenadores pueden resolver a través de difusión o sobre el que pueden estar a la escucha para participar en la elección de la máquina Master Browser. En los servidores Windows Server 2008, el servicio Explorador de ordenadores está desactivado. Este servicio no es necesario en la medida en que Windows Server 2009 puede utilizar para la detección otro método más moderno no NetBios llamado WSD (Web Service Discovery protocol). Para desactivar el servicio Explorador de ordenadores no se necesita la declaración de los registros NetBIOS y .
A propósito de los métodos de detección : Windows Vista y Windows Server 2008 disponen de una pila de red totalmente reescrita. Integra numerosas mejoras en el ámbito de la detección de red y de la detección de las ubicaciones de red. La detección de red se ha mejorado en Windows Vista y Windows Server 2008 a través de los protocolos LLTD (Link Layer Topology Discovery), FD (Function Discovery) y WSD (Web Services for Devices). No es preciso declarar un controlador de dominio preferido para que un ordenador Windows 2000 o Windows XP Professional sea capaz de escoger "bien" un controlador de dominio. Si dispone de una red extendida y desea que los ordenadores cliente seleccionen un controlador de dominio cercano a ellos, deberá estructurar su infraestructura física Active Directory basándose en varias zonas geográficas, conocidas como "sitios Active Directory". El concepto de sitio Active Directory permite a los clientes Active Directory localizar la ubicación de los servicios buscador, y a los controladores dominio replicar mejor la información que les atañe. En general, los sitios se establecen cuando ello resulta necesario, es decir, principalmente cuando varias zonas geográficas están unidas por vínculos lentos de comunicación de red. Observe que si, a pesar de tener una conexión rápida, desea disponer de una buena selección de controladores de dominio, deberá crear sitios Active Directory. De la misma forma que un controlador de dominio Windows NT registra su función con ayuda de códigos de servicios NetBIOS, los controladores de dominio Windows 2000 Server, Windows Server 2003 y Windows Server 2008 registran también servicios de tipo SRV basándose en la infraestructura física Active Directory y su respectivo sitio de pertenencia. Los servicios DNS, disponibles en los controladores de dominio, juegan un papel importante retornando a los clientes referencias que les permitirán seleccionar un controlador de dominio local que se utilizará para las autenticaciones Kerberos y las búsquedas LDAP. Dado que todos los sitios Active Directory están asociados a una o varias redes o subredes IP, los controladores de dominio pueden usar fácilmente la dirección IP fuente de los ordenadores clientes para determinar cuál es el mejor sitio para dirigir sus búsquedas DNS. El escenario presentado a continuación toma como ejemplo el caso de un ordenador portátil usado en un sitio que no es su sitio habitual: 1. El cliente obtiene una configuración TCP/IP válida a partir de un servidor DHCP. En ese momento el ordenador cliente utiliza su antiguo sitio de pertenencia y, de hecho, envía peticiones DNS para buscar un controlador de dominio del sitio antiguo. El hecho de que el ordenador utilice el protocolo DHCP para obtener su configuración IP no es una condición necesaria. Simplemente, el protocolo DHCP se usa hoy en más del 80% de los casos y, naturalmente, resultará
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
especialmente interesante en el caso de ordenadores portátiles. 2. El servidor DNS responde con los registros de recursos de tipo SRV. El ordenador cliente utiliza entonces estas respuestas para dirigir una serie de "ping LDP" a los controladores de dominio de su antiguo sitio de pertenencia. 3. El primer controlador de dominio situado en el antiguo sitio de pertenencia del cliente compara la dirección IP fuente del cliente con la suya y constata que el cliente se encuentra en un sitio Active Directory diferente. Esta operación es muy fácil de realizar para el controlador solicitado, ya que todos los sitios gestionados son conocidos y todas las redes y subredes IP están declaradas y asociadas respectivamente al sitio Active Directory adecuado. 4. El controlador informa entonces al cliente de que ya no se encuentra en el sitio antiguo y le transmite una referencia que le permite saber que, a partir de ese momento, se encuentra en otro sitio. 5. El cliente dirige entonces sus peticiones DNS a registros de tipo SRV para buscar un controlador de dominio perteneciente al nuevo sitio conocido. 6. Se selecciona un controlador de dominio del nuevo sitio de pertenencia y responde al cliente. A partir de entonces, el cliente ajusta su información de localización y considera el nuevo sitio como su sitio de pertenencia. Cuando el usuario vuelva a su sitio de origen o, por qué no, a otro sitio, se desarrollará nuevamente el proceso con el fin de actualizar la información de localización del ordenador cliente. Los clientes Active Directory Windows 2000, Windows XP Professional, y los sistemas operativos de la familia Windows Server 2003 y Windows Server 2008 ocultan su información de sitio en el registro dotado de la siguiente clave: HKLM \ System \ CurrentControlSet \ Services \ Netlogon \ Parameters, Valor: DynamicSiteName, Dato: Declare el nombre corto del controlador de dominio, por ejemplo, boosterparis, que ha autenticado el cliente en el sitio. El método de búsqueda de controladores de dominio por parte de los ordenadores clientes parte del principio de que se conocen tanto los sitios geográficos como sus redes IP asociadas. A continuación, se supone que el sitio deberá alojar a uno o varios controladores de dominio. Uso de los registros SRV y proceso de selección relacionado con la búsqueda de servidores de directorio LDAP Cuando un usuario inicia una acción que precisa de una búsqueda Active Directory, el cliente Active Directory envía una petición DNS sobre un registro de tipo SRV correspondiente a los servidores activos en el puerto LDAP TCP 389. La primera petición se dirige siempre al sitio Active Directory local del cliente en la medida en que el cliente haya conseguido determinar su sitio de pertenencia con el método explicado anteriormente. Está claro que la principal ventaja de este principio es evitar el tránsito a través de la red extendida. En cambio, si en el sitio del cliente no se encuentra ningún controlador disponible, entonces el cliente inicia, con independencia del sitio de pertenencia, una solicitud de resolución en todos los registros SRV. Cobertura de los sitios Active Directory que no tienen controlador de dominio Active Directory Los sitios sin controlador o con un controlador que no responde serán automáticamente socorridos por la infraestructura Active Directory a través del KCC Knowledge Consistency Checker, y el ISTG Inter Site Topology Generator. De hecho, el primer controlador de dominio instalado en un sitio desempeña el papel de ISTG y toma a su cargo la creación de los objetos conexiones en otros sitios. El ISTG también se vigila debido a su importante papel en la construcción de la topología de replicación y, por tanto, de las comunicaciones entre sitios. Cada 30 minutos, el ISTG demostrará su existencia actualizando el atributo InterSiteTopologyGenerator del objeto "NTDS Settings". Luego el atributo y su valor se replicarán y los controladores podrán verificar cada 60 minutos la presencia correcta del ISTG de cada uno de los sitios. La operación consistirá en ayudar al sitio huérfano actualizando las zonas DNS del sitio con los registros de recursos de controladores del sitio más "cercano". De esta forma, los controladores del sitio A pueden ocuparse de las peticiones de autenticación del sitio B cuando el sitio B no dispone de al menos un controlador de dominio operativo. Explicaremos detalladamente este comportamiento más adelante.
Compatibilidad entre ordenadores Cliente y dominios Windows 2000, Windows Server 2003 y Windows Server 2008 Los dominios Active Directory que utilizan controladores de dominio Windows Server 2003 o Windows 2000 Server son compatibles al 100% con todos los tipos de clientes Windows. Esta compatibilidad se da también con los sistemas que usan la versión 3.0 (o superior) de Samba. Samba es un conjunto de servicios y utilidades que permite a los ordenadores que funcionan con Linux, Unix, Apple u otros sistemas, conectarse y compartir recursos tales como archivos e impresoras. Las versiones recientes de Samba pueden desempeñar asimismo el papel de controlador de dominio principal NT4, pero suelen
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
estar más bien integradas dentro de un dominio como servidores miembro. Existen muchas configuraciones que permiten dar soporte a las configuraciones descritas a continuación: los usuarios Windows pueden disponer con toda transparencia de archivos compartidos por ordenadores que funcionan con sistemas diferentes de Windows, como puede ser Linux. Lo contrario puede darse también. Los usuarios de Windows pueden acceder con toda transparencia a las impresoras compartidas por ordenadores que funcionan con sistemas diferentes de Windows, como puede ser Linux. Lo contrario puede darse también.
La última versión de Samba publicada en junio de 2010 es la versión 3.5.4. Las novedades de esta nueva versión se presentan brevemente a continuación : la implementación de los protocolos necesarios para Active Directory (Kerberos y DNS), la eliminación de nmbd que ahora se integra en smbd, la introducción de una base de datos tipo LDAP para el almacenamiento de datos permanentes, la integración del centro de distribución de claves Kerberos (KDC) para soportar las conexiones Active Directory, la gestión básica de los Objetos directivas de grupo, la gestión de la consola MMC Usuarios y ordenadores Active Directory y la implementación de Winbind (autenticación Unix en Active Directory).
Samba Team Receives Microsoft Protocol Docs: El 20 de diciembre de 2007, el organismo PFIF (Protocol Freedom Information Foundation), una organización sin ánimo de lucro creada por la Software Freedom Law Center, firmó un acuerdo con Microsoft Corp. con el fin de recibir la documentación técnica de los protocolos necesarios para una total interoperabilidad entre los servidores Microsoft Windows Server y el software libre como Samba. Esta noticia es estratégica para asegurar en el futuro una perfecta interoperabilidad entre los sistemas Windows y los sistemas no Windows. Se puede consultar en el sitio de Samba en la siguiente dirección: http://samba.org/samba/PFIF/
Los derechos de acceso se especifican en función de la pertenencia a los grupos alojados en la máquina Linux y viceversa. La compatibilidad inversa es asimismo real. Así, los ordenadores Windows Server 2003 o Windows XP Professional pueden funcionar en todos los esquemas de infraestructura que conocemos desde hace años. Por ejemplo los sistemas pueden funcionar en dominios Windows NT, Windows 2000 o Windows 2003 y también en grupos de trabajo. Sólo las versiones Microsoft Windows XP Family Edition, Windows XP MediaCenter Edition o las ediciones Familiares de Windows Vista, no pueden ser miembro de ningún dominio.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Estructura DNS e integración en el directorio Active Directory La localización de los servicios Active Directory por parte de los clientes inteligentes depende de la disponibilidad de la zona. Por ese motivo Windows Server 2003 y Windows Server 2008 dispone de medios más sofisticados para garantizar una gran disponibilidad de todos los tipos de zonas y, en particular, de la zona DNS correspondiente a la raíz del bosque Active Directory. Sabemos que el directorio Active Directory puede integrar zonas y registros de recursos (RR) como objetos del directorio (objetos dnsZone y dnsNode). En efecto, la información DNS que debe protegerse no puede contentarse con un simple almacenamiento de tipo archivo de texto. Este punto es especialmente importante en lo referente a la protección de las zonas DNS dinámicas y, de hecho, se recomienda llegar a una integración de las zonas dentro del directorio Active Directory. Las zonas DNS almacenadas en el directorio Active Directory se replican en los controladores de dominio Active Directory en función de diferentes ámbitos. Los servidores DNS que funcionan con Windows 2000 Server replican sus zonas usando la replicación Active Directory dentro del mismo dominio. Esto significa que la zona se crea dentro del contexto de denominación (NC, Naming Context) del dominio, en el contenedor System del dominio actual. El uso de Windows Server 2003 o Windows Server 2008 permite utilizar las particiones del directorio de aplicaciones y así, poder almacenar cualquier zona DNS en ámbitos de replicación diferentes. A continuación presentamos los diferentes ámbitos de replicación:
Ámbitos de replicación de una zona con Windows Server 2003 Para todos los servidores DNS en este bosque: Esta opción permite almacenar la zona DNS en una partición del directorio de aplicaciones. La zona será replicada en todos los servidores DNS que funcionan con controladores de dominio Windows Server 2003 o Windows Server 2008 en todo el bosque.
La partición del directorio de aplicaciones se crea al instalar el servicio servidor DNS en el primer controlador de dominio Windows Server 2003 del bosque. Para todos los servicios DNS en este dominio: Esta opción permite almacenar las zonas DNS en los servidores DNS que funcionan con controladores de dominio Windows Server 2003 o Windows Server 2008 en todo el dominio.
En el caso del dominio raíz del bosque, la partición del directorio de aplicaciones se crea al instalar el servicio servidor DNS en el primer controlador de dominio Windows Server 2003 o Windows Server 2008 del bosque. Luego se crea una nueva partición del directorio de aplicaciones para cada nuevo dominio establecido en el bosque al instalar el servicio servidor DNS en un controlador de dominio Windows Server 2003 o Windows Server 2008. Para todos los controladores de dominio en este dominio (para compatibilidad con Windows 2000) Este opción permite almacenar las zonas DNS en la partición del dominio para cada dominio del bosque. En este caso las zonas DNS se replican en todos los controladores de dominio del dominio.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Observe que es la única opción de almacenamiento posible cuando se dispone de controladores de dominio que funcionan con Windows 2000 Server. Para todos los controladores de dominio especificados en el ámbito de esta partición de directorio Esta opción permite almacenar las zonas DNS en una partición del directorio de aplicaciones creada previamente. Las zonas DNS almacenadas en una partición del directorio de aplicaciones se replican en todos los servidores DNS que funcionan con los controladores de dominio correspondientes a la partición. Antes vimos que los registros de recursos usados por el servicio de localización principal para un dominio Active Directory determinado se almacenan en el subdominio _msdcs.NombredeDominioDns. Con Windows Server 2003, al crear el dominio raíz del bosque, se implanta automáticamente una zona DNS para el dominio _msdcs. NombredeBosque en la partición del directorio de aplicaciones dedicada a las zonas DNS de tipo bosque. Estas particiones disponen de un almacenamiento que se aplica a todo el alcance del bosque y se replican en todos los controladores de dominio Windows Server 2003 o Windows Server 2008 del bosque que ejecuta el servicio DNS de Windows Server. Los controladores Windows 2000 Server no pueden acceder a las zonas DNS almacenadas en las particiones del directorio de aplicaciones. Esto es lógico ya que los controladores Windows 2000 Server sólo reconocen las particiones de esquema, de configuración y de dominio. Dado que las particiones del directorio de aplicaciones sólo son reconocidas por Windows Server 2003 y Windows Server 2008, un controlador Windows 2000 Server no puede aceptar replicar este contexto de denominación.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Registros DNS "Ubicación de servicio" de los controladores de dominio Los clientes Active Directory usan exclusivamente el sistema de resolución DNS para localizar a los controladores de dominio Active Directory. El cliente inicia esta importante operación a través de las peticiones de resolución de registro de recursos de tipo SRV (Service Locator Resource Record) definidos en el RFC 2782, sucesor del RFC 2052. Estos registros se usan para localizar la ubicación de los servicios correspondiente a los ordenadores, puertos y protocolos buscados por el cliente. Entre los servicios localizados ni que decir tiene que encontraremos los servicios de directorio LDAP, los servicios de autenticación Kerberos y los servicios de catálogo ofrecidos por los controladores de dominio de tipo catálogo global. La idea es que los controladores de dominio organicen los registros de recursos de tipo SRV de manera estructurada para que los clientes Active Directory puedan localizar el controlador que suministra el servicio buscado dentro de un dominio o en un sitio Active Directory determinado.
1. Estructura de acogida de la zona DNS para los registros de recursos de tipo SRV La estructura DNS utilizada para alojar los registros necesarios para el servicio de localización de controladores de dominio está basada en una jerarquía de carpetas (deberíamos llamarlos subdominios).
La figura muestra la estructura de los cuatro subdominios técnicos DNS en relación con un dominio Active Directory Tal y como presentamos a continuación, los diferentes subdominios reagrupan los registros en función de la naturaleza de las búsquedas que se desean realizar: _MSDCS Subdominio que contiene un conjunto de registros de tipo SRV. Estos registros son funciones de estatuto de controladores de dominio, del tipo de solicitudes y también de las funciones de catálogo global y controlador de dominio primario. Los controladores de dominio y catálogos globales se reparten a continuación por sitios. De esta forma, los clientes Active Directory son capaces de localizar casi de forma instantánea los servicios "próximos" a ellos. _SITES Subdominio que contiene los sitios Active Directory declarados en la infraestructura física basándose en las subredes IP asociadas. El hecho de enumerar los controladores de dominio en función de su pertenencia a los sitios permite a los clientes Active Directory localizar fácilmente los controladores de dominio en función de los servicios de los que se ocupan y de su ubicación. Este método permite evitar múltiples búsquedas LDAP a través de enlaces lentos. Observe que los controladores dispuestos en los sitios usan el puerto TCP 389 para las peticiones estándar LDAP, mientras que las máquinas de tipo catálogo global usan el puerto TCP 3268. _TCP Subdominio que contiene todos los controladores de dominio de la zona DNS. El hecho de reagrupar todos los controladores de dominio por protocolo resultará útil a los clientes que no consigan localizar un controlador disponible en su sitio local. En esos casos, los clientes Active Directory seleccionarán un controlador de dominio en cualquier ubicación de la red.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
_UDP Subdominio que enumera los servicios Kerberos v5 disponibles en modo no conectado a través del protocolo de transporte UDP. Las operaciones se realizan de la misma manera que con el transporte TCP. Así, las operaciones de petición tickets utilizan el puerto UDP 88, mientras que las operaciones de cambio de contraseña usan el puerto UDP 464.
a. A propósito del registro de recursos DNS de tipo SRV El registro de recursos de tipo SRV (Service Locator Resource Record) se define tal y como se describe en el RFC 2782 y contiene la información especial que aparece en la siguiente figura:
Registro de SRV para especificar que el servidor booster2008.Corp2008.Corporate.net desempeña la función de servidor Kerberos (V5) en el puerto TCP 88 En la siguiente tabla presentamos los diferentes parámetros de un registro de recursos de tipo SRV. Componentes del registro SRV Servicio
Ejemplos de valores
_gc _kerberos
Comentarios
Identifica el servicio que se desea localizar dentro del espacio de nombre DNS.
_ldap Protocolo
_tcp
Declaración del protocolo de transporte a utilizar.
_udp
- 2-
Nombre
Corporate.net
Representa el nombre del dominio DNS que contiene el registro.
TTL
10 minutos
Representa la duración de vida del registro en segundos (600 segundos)
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Clase
IN
Declara el tipo de registro como registro estándar de tipo DNS Internet.
Registro de recurso
SRV
Declara el tipo de registro como registro de recurso de tipo localización de servicios "SRV".
Prioridad
0
Identifica la prioridad del registro. Cuando existen varios registros para el mismo servicio, el cliente selecciona el registro con el valor de prioridad más bajo.
Peso
100
Permite gestionar las funciones de repartición de carga. Si existen varios registros de SRV de prioridad similar para el mismo servicio, los clientes seleccionan el registro o registros de mayor peso.
Puerto
3268 para _gc
Identifica el número de puerto en el que está disponible el servicio solicitado.
88 para _kerberos 389 para _ldap Target
Booster2003.Corporate.net
Representa el nombre completo de la máquina que suministra el servicio identificado por el registro.
Utilización de caracteres "underscore" Constatará que el formato de los registros de recursos SRV recurre a menudo al carácter underscore (_). Efectivamente, el RFC 2782 considera el uso del carácter (_) para resolver problemas ocasionados por eventuales colisiones con nombres similares. En 1996, RFC 2052, en 2000, RFC 2782: las primeras implementaciones del servicio DNS para localizar los servicios Active Directory se realizaron inmediatamente después de los primeros builds Beta de NT 5.0, en el año 1997. Microsoft se apoyó en las primeras recomendaciones publicadas en el RFC 2052 que datan de 1996. Fue bastante más tarde, en febrero de 2000, fecha de la salida oficial de Windows 2000, cuando el RFC pasó del estatus de "Draft" al estatus de "Proposed Standard". Entonces fue objeto de un nuevo registro por parte del IETF, con el número 2782, y pasó a remplazar al RFC 2052. El Sr. Levon ESIBOV, Program Manager en Microsoft Corp, participó en este RFC, esencial para la búsqueda y localización de servicios Active Directory.
Para saber más acerca del contenido de estos RFC, consulte la página http://www.rfceditor.org. En Internet, muchos sitios contienen los RFC, pero pocos de ellos están actualizados. Este es un sitio oficial de Internet Society. Su objetivo es mantener los documentos RFC para la comunidad de Internet. Más adelante describimos los registros de recursos registrados por los controladores de dominio. Antes de pasar a detallarlos, recuerde que los registros de SRV y de A son vitales. El comando DNSLint resultará una ayuda valiosa para verificarlos. Observe también que un controlador de dominio registra al menos quince registros de recursos, y veinte cuando hace las funciones de Catálogo Global. En caso de necesidad, consulte el archivo %SystemRoot%\system32\config\Netlogon.dns. Este fichero está mantenido por cada controlador de dominio y se actualiza automáticamente para reflejar la estructura física del bosque. Microsoft recomienda que los servidores DNS con autoridad en las zonas técnicas necesarias para el buen funcionamiento del directorio Active Directory funcionen con Windows Server 2003 o Windows Server 2008. De esta forma, Active Directory mantendrá dinámicamente las zonas con el máximo de seguridad y suprimiendo por completo los posibles errores de administración.
b. Registros SRV inscritos en el servicio "Inicio de sesión de red" Para responder a los problemas de localización de un servicio dentro de una infraestructura Active Directory, serán necesarios múltiples registros de tipo SRV. Enumeramos a continuación los registros DNS de tipo SRV correspondientes a los diferentes servicios Active Directory y su ámbito de uso: © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
_ldap._tcp.NombredeDominio. Permite a un cliente localizar un servidor LDAP en el dominio NombredeDominio. Observe que el servidor no es necesariamente un controlador de dominio. De hecho, el elemento importante es que soporta las API LDAP. Todos los controladores de dominio registran este registro. _ldap._tcp.NombredeSitio. y _sitios.NombredeDominio. Permite a un cliente localizar un servidor LDAP en el dominio NombredeDominio y en el sitio NombredeSitio. NombredeSitio corresponde al RDN (Relative Distinguished Name) del objeto sitio almacenado en la configuración Active Directory. Todos los controladores de dominio registran este registro. _ldap._tcp.dc._msdcs.NombredeDominio. Permite a un cliente localizar un controlador de dominio (dc) del dominio NombredeDominio. Todos los controladores de dominio registran este registro. _ldap._tcp.NombredeSitio. y _sitios.dc._msdcs.NombredeDominio. Permite a un cliente localizar un controlador de dominio en el dominio NombredeDominio y en el sitio NombredeSitio. Todos los controladores de dominio registran este registro. _ldap._tcp.pdc._msdcs.NombredeDominio. Permite a un cliente localizar el servidor PDC Emulator en el dominio Nombrededominio que funciona en modo mixto. Sólo el PDCE FSMO (Flexible Single Master Operations) registra este registro. _ldap._tcp.gc._msdcs.NombredeBosque. Permite a un cliente localizar un catálogo global (gc) para el bosque. Sólo los controladores de dominio que actúan como GC registran este registro. _ldap._tcp.NombredeSitio. y _sitios.gc._msdcs.NombredeBosque. Permite a un cliente localizar un catálogo global (gc) dentro del bosque. Sólo los controladores de dominio que actúan como GC registran este registro. _gc._tcp.NombredeBosque. Permite a un cliente localizar un catálogo global (gc) en el dominio raíz del bosque. Este servidor no es necesariamente un controlador de dominio. Basta con que el protocolo LDAP esté operativo y que el servidor esté operativo en tanto que GC. Otras implementaciones de servicios de directorio pueden registrar también servidores de registro en tanto que GC. _gc._tcp.NombredeSitio. y _sitios.NombredeBosque. Permite a un cliente localizar un catálogo global (gc) para el bosque en el sitio NombredeSitio. El servidor no tiene por qué ser un controlador de dominio. Sólo los servidores que actúan como servidores LDAP y GC registran este registro. _ldap._tcp.DomainGuid. y domains._msdcs.NombredeBosque. Permite a un cliente localizar un controlador de dominio en un dominio con ayuda del GUID (Globally Unique IDentifier) de este último. El GUID es un valor de 128 bits generado automáticamente durante la creación del dominio y raramente utilizado. De hecho, esta información sólo se usa cuando el nombre de dominio cambia pero el dominio raíz sigue siendo conocido. Todos los controladores de dominio registran este registro. _kerberos._tcp.NombredeDominio. Permite a un cliente localizar un KDC Kerberos en el dominio NombredeDominio. El servidor no tiene por qué ser un controlador de dominio. Todos los servidores que funcionan con Windows Server (2000, 2003 o 2008) y que desempeñan el papel de KDC Kerberos que respeta el RFC 1510 registran este registro de recurso. _kerberos._udp.NombredeDominio.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Este registro permite el mismo tratamiento que _kerberos._tcp.NombredeDominio, pero basándose en el protocolo UDP. _kerberos._tcp.NombredeSitio. y _sitios.NombredeDominio. Permite a un cliente localizar un KDC Kerberos para el dominio NombredeDominio dentro del sitio NombredeSitio. El servidor no tiene por qué ser un controlador de dominio. Todos los servidores que funcionan con Windows Server (2000, 2003 o 2008) y que desempeñan el papel de KDC Kerberos que respeta el RFC 1510 registran este registro de recurso. _kerberos._tcp.dc._msdcs.NombredeDominio. Permite a un cliente localizar un controlador de dominio con la implementación Windows Server 2003 del servicio KDC Kerberos en el dominio NombredeDominio. Todos los controladores de dominio Windows Server (2000, 2003 o 2008) que ejecutan el servicio KDC registran este registro de recurso SRV. Esos servidores implementan una extensión de tipo "clave pública" con el protocolo Kerberos v5, llamado subprotocolo "Authentication Service Exchange" (subprotocol), y registran este registro de SRV. _kerberos.tcp.NombredeSitio. y _sitios.dc._msdcs.NombredeDominio. Permite a un cliente localizar un controlador de dominio con la implementación Windows Server (2000, 2003 o 2008) del servicio KDC Kerberos en el dominio NombredeDominio y en el sitio NombredeSitio. Todos los controladores de dominio Windows Server (2000, 2003 o 2008) que ejecutan el servicio KDC registran este registro de recurso SRV. Estos servidores implementan una extensión de tipo "clave pública" con el protocolo Kerberos v5, llamado subprotocolo "Authentication Service Exchange" (subprotocol) y registran este registro de SRV. _kpasswd._tcp.NombredeDominio. Permite a un cliente localizar un servidor de cambio de contraseña Kerberos para el dominio especificado. Todos los controladores de dominio Windows registran este registro. El servidor debe dar soporte al protocolo de cambio de contraseña Kerberos. El servidor no tiene por qué ser un controlador de dominio. Todos los controladores de dominio Windows Server (2000, 2003 o 2008) que ejecutan el servicio KDC Kerberos que respeta el RFC 1510 registran este registro de recurso. _kpasswd._udp.NombredeDominio. Este registro permite el mismo tratamiento que _kpasswd._tcp.NombredeDominio, pero basado en el protocolo de transporte UDP. DsaGuid._msdcs.NombredeBosque El servicio de acceso red (Net Logon) registra también un alias (CNAME) usado para la replicación Active Directory. El sistema de localización de controladores no usa directamente este registro esencial para la infraestructura. Todos los controladores de dominio de todos los dominios del bosque se registran directamente en el dominio raíz del bosque en _msdcs.NombredeBosque.
c. A propósito del registro DsaGuid._msdcs.NombredeBosque El registro de recursos DsaGuid._msdcs.NombredeBosque permite localizar cualquier controlador de dominio miembro del bosque. Corresponde al valor del GUID del controlador de dominio, que es finalmente el valor del objeto DSA (Directory System Agent). Se utiliza en el marco de la replicación de controladores de dominio basándose en la configuración de la topología de replicación. Microsoft especifica que este registro se usa también para las operaciones de nueva denominación de los ordenadores controladores de dominio en dominios nativos en modo Windows Server 2003 o Windows Server 2008. El valor de DSAGuid es igual al valor del atributo objectDSA del contenedor NTDS Settings del objeto servidor correspondiente al controlador de dominio.
d. Registros de recursos para los clientes no compatibles con los registros SRV El servicio "Net Logon Servicio de inicio de sesión de red" registra registros de tipo A para los clientes LDAP que no dan soporte a los registros SRV conformes al RFC 2782. Por consiguiente, estos registros no afectan al método de selección presentado anteriormente. El registro A correspondiente al NombredeDominio permite a un cliente no compatible con los registros SRV localizar un controlador de dominio en el dominio basándose en dicho registro. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
El registro A correspondiente a gc._msdcs.NombredeBosque permite a un cliente no compatible con los registros SRV localizar un controlador de dominio catálogo global en el bosque.
2. Servidores DNS no dinámicos y registros dinámicos de los controladores de dominio Habitualmente, las zonas DNS usadas dentro del directorio Active Directory son soportadas por servidores DNS de Windows 2000 Server, Windows Server 2003 o Windows Server 2008 con la ayuda de zonas DNS que funcionan en modo dinámico seguro. No obstante, si fuera necesario usar servidores DNS no Windows y decidiera utilizar zonas DNS no dinámicas, será posible prohibir el registro de todos o parte de los registros de tipo SRV registrados por los controladores de dominio. Esta configuración puede realizarse directamente con ayuda de una directiva de grupo en la ubicación especificada a continuación: Configuración del equipo/Plantillas administrativas/Sistema/Inicio de sesión de red/Registros DNS del servicio de ubicación de controladores de dominio/Registros DNS del servicio de ubicación de controladores de dominio no inscrito por los controladores de dominio. Para activar el parámetro, seleccione la opción y especifique una lista de instrucciones delimitadas por espacios para los registros DNS del servicio de ubicación de controladores de dominio que no serán registrados por los controladores de dominio al que se aplica el parámetro. Detallamos a continuación la lista de palabras clave que puede usar siguiendo el formato Palabra Clave / Tipo de registro / Nombre
Este parámetro está desactivado por defecto. De hecho, los controladores de dominio, configurados para efectuar una inscripción dinámica de los registros DNS del servicio de ubicación de controladores de dominio, registran todos los registros de recursos DNS del servicio de ubicación de controlador de dominio en una zona DNS dinámica.
3. A propósito de la zona DNS del dominio raíz del bosque En un bosque compuesto por varios dominios, es importante prestar especial atención al dominio raíz del bosque. Los puntos siguientes podrán servir de guía para ilustrar esa necesidad: ●
●
Entre los errores a evitar, no confunda el dominio raíz del bosque con el dominio raíz de un árbol del bosque. Recuerde que el dominio raíz del bosque es siempre el primer dominio creado. El dominio raíz del bosque "enlaza" los demás dominios DNS con el dominio raíz. Por supuesto, sólo el primer dominio de un bosque podrá desempeñar ese papel. En caso de que dentro del bosque existiera un dominio adicional, los equipos que hicieran de Catálogo Global continuarán registrando sus registros de recursos SRV en la zona _msdcs.root.dns.
Todos los registros necesarios para la localización de los controladores de dominio con el papel de Catálogo Global se registran en el dominio raíz del bosque. Esto es muy lógico porque, si bien es verdad que un controlador de dominio de un dominio determinado ofrece los servicios a ese dominio, aún lo es más que la función de un Catálogo Global consiste en ofrecer sus servicios a todo el bosque. - 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Restricciones y problemas potenciales La necesidad de disponer de servicios DNS correctamente configurados es tal que, ya ahora, podemos señalar dos tipos de restricciones y problemas potenciales: ●
●
El primer tipo de restricciones se refiere al directorio Active Directory, los controladores de dominio y otros componentes o aplicaciones vinculadas al uso del directorio, tal y como especificamos a continuación. Si los servicios DNS no permiten ayudar a resolver las búsquedas necesarias para los controladores de dominio, podrá producirse una disfunción grave e incluso completa de las replicaciones Active Directory entre controladores de dominio. En la misma línea podemos citar aplicaciones de empresa como Microsoft Exchange o Microsoft Systems Management Server 2003. Dado que estas aplicaciones disponen de un nivel importante de integración en el directorio Active Directory, podrían verse también más o menos afectadas en caso de fallo de los servidores DNS. El segundo tipo de restricciones DNS se refiere a las estaciones de trabajo y a los servidores miembros de dominio. En el caso de los ordenadores "clientes Active Directory" de un dominio Active Directory, los posibles fallos de los servicios DNS podrán ser menos dramáticos. Efectivamente, el efecto principal de la ausencia de servicios DNS será el aumento del tiempo de búsqueda de un controlador Windows Server (2000, 2003 o 2008) para, finalmente, escoger un antiguo controlador de dominio Windows NT 4.0, en caso de que todavía existiera uno dentro del dominio.
Observe que sólo los ordenadores Windows 2000, Windows XP Professional, Windows Vista o las estaciones Windows 9x que disponen del cliente Active Directory utilizan el sistema de resoluciones DNS para localizar los controladores de dominio de un dominio Active Directory. En caso de que se produjera una situación de repliegue hacia un controlador Windows NT se usarían los "antiguos mecanismos de tipo resoluciones WINS/interfaz NetBIOS et autenticaciones NTLM" en detrimento de los nuevos mecanismos ofrecidos por el directorio Active Directory. Infraestructura Windows Active Directory y fallos DNS: el sistema DNS es hoy el sistema de resolución y localización preferido, tanto por la propia infraestructura Windows como por las aplicaciones alojadas en ella. Por consiguiente, sea consciente de que un fallo o un error de configuración en los servicios DNS tendrá consecuencias sobre toda la infraestructura Windows y también sobre las aplicaciones alojadas en ella.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Control rápido de los registros de recursos La detección de un problema de localización de uno o varios controladores de dominio será en general bastante rápido. En efecto, la falta de disponibilidad de un controlador de dominio en un sitio determinado es a menudo sinónimo de ralentizaciones en la velocidad de las conexiones a la red e incluso de falta de disponibilidad de una aplicación importante. Por consiguiente, si el incidente genera un problema rápidamente es indispensable que reaccione todavía más rápido para solucionarlo.
1. Pruebas de registros DNS Para probar la configuración de los registros pueden usarse las herramientas siguientes: NSLookup Es posible, por ejemplo, comprobar el registro correcto de los registros de Catálogo Global. El primer comando set type=SRV permite solicitar detalles relativos a registros de recursos de tipo SRV RR. C:\Documents and Settings\Administrador.CORP2003>nslookup Servidor por defecto: booster2003.corp2003.corporate.net Dirección: 192.168.0.222 > set type=SRV > _gc._tcp.corp2003.corporate.net Servidor: booster2003.corp2003.corporate.net Dirección: 192.168.0.222 _gc._tcp.corp2003.corporate.net SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = booster2003.corp2003.corporate.net booster2003.corp2003.corporate.net internet address = 192.168.0.222 > DCDiag El comando DCDiag (Domain Controller Diagnostics) puede usarse para controlar los registros DNS de las parejas de replicación. NetDiag El comando NetDiag puede usarse para comprobar los registros DNS relativos a un controlador de dominio específico. Para ello, en el controlador de dominio que se desea probar, se puede utilizar el comando: Netdiag /test:DNS /v NLTests El comando NLTest (Net Logon Test) puede usarse para probar las funciones asumidas por el servicio "Inicio de sesión de red/Net Logon". Este comando es muy completo, ya que integra la verificación de los canales seguros (Secure Channel), la selección de los controladores, de los servidores de tiempo, de los sitios Active Directory y la verificación y el reset de las relaciones de confianza entre dominios. También puede usarse para probar los registros DNS con ayuda del comando NLTest /DSQUERYDNS.
NLTest es un comando de las herramientas de soporte de Windows Server 2003. Como ya hemos precisado es importante que todo servidor Windows 2000 Server o Windows Server 2003 disponga de las herramientas de soporte. Observe que en los servidores Windows Server 2008, este comando está disponible por defecto.
Observe que este comando prueba las zonas implicadas en el funcionamiento de Active Directory, pero no las relativas a las particiones del directorio de aplicaciones.
Nuevos registros de los registros de tipo SRV de los controladores de dominio
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Es posible usar los comandos siguientes para forzar la reinscripción de los registros DNS necesarios para el buen funcionamiento de los ordenadores controladores de dominio. IPConfig Use el comando IPConfig/registerdns. Observe que este comando no da soporte a las particiones del directorio de aplicaciones: NetDiag Utilice el comando NetDiag /fix. Servicio "Inicio de sesión de red" Reinicie el servicio "Inicio de sesión de red" en el controlador de dominio donde deben reinscribirse los registros DNS. NLTest Use el comando NLTest /dsregdns para forzar el nuevo registro de todos los registros de recursos necesarios para el controlador de dominio. Este comando funciona también a través de la red. Así para forzar la reinscripción de los registros de un servidor remoto, es posible introducir el comando NLTest/server:nombre_del_servidor /DSREGDNS.
Observe que el comando NL Test, muy completo, permite también reiniciar un servidor remoto y anular un procedimiento de parada remota en curso de tratamiento. Para ello es posible usar los siguientes comandos: NLTest /server :nombre_del_servidor /SHUTDOWN: [] y NLTest /server :nombre_del_servidor /SHUTDOWN_ABORT
Eliminación de los registros de tipo SRV de los controladores de dominio Es posible que desee eliminar los registros de recurso de tipo SRV relativos a antiguos controladores de dominio. Esta operación es loable ya que evitará infructuosos intentos de conexión a un controlador de dominio inexistente. Para realizar esta operación puede usar una vez más el comando NLTest con los parámetros especificados a continuación: NLTest /DSDEREGDNS:FQDN_del_servidor También puede especificar el tipo o tipos de registros Active Directory que desea eliminar especificando los parámetros /DOM:, /DOMGUID:, /DSAGUID:. /DOM El parámetro /DOM:nombre_del_dominio_DNS especifica el nombre DNS del dominio a utilizar para buscar el registro. Si no se especifica el parámetro, se usará el sufijo utilizado con el parámetro /DSDEREGDNS. /DOMGUID Este parámetro permite eliminar los registros DNS basados en GUID. /DSAGUID Este parámetro permite eliminar los registros DNS de tipo DSA basados en GUID. Limpieza de las cachés del sistema de resolución DNS Las diferentes herramientas que acabamos de ver le permitirán identificar rápidamente y resolver los problemas relativos a los registros de recursos necesarios para los controladores de dominio de un bosque Active Directory. Observe sin embargo que estas herramientas respetan los mecanismos de resoluciones y métodos configurados. Esto significa que deberá asegurarse de que: ●
●
- 2-
La caché del servidor o servidores DNS implicados no contenga antiguos registros inadecuados. Para ello deberá utilizar, por ejemplo, el comando DNSCmd nombre_del_servidor /clearcache. La caché de la parte cliente DNS (es decir, el módulo DNR Domain Name Resolver) no contenga registros © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
puestos en caché negativamente. Para ello deberá usar, por ejemplo, el comando IPConfig /flushdns. ●
Las zonas DNS a actualizar autorizan las actualizaciones dinámicas de los registros.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Gestión del problema de la transición de los controladores de dominio NT a Active Directory El periodo de transición de un dominio Windows NT al directorio Active Directory es una fase que puede variar con el tiempo en función del entorno técnico y de las restricciones de tiempo y presupuesto. En general las migraciones se desarrollan rápidamente. Sin embargo, en algunos casos, el periodo de transición puede hacer que surjan algunos problemas, como el mencionado a continuación. Cuando los ordenadores funcionan con Windows 2000 o versiones posteriores se autentican en un dominio Windows NT, usan autenticaciones Windows NT de tipo NTLM Challenge Response (v1 o v2) porque, evidentemente, no es posible usar la autenticación Kerberos v5 disponible gracias a los controladores de dominio Active Directory. Esto significa, claro está, que las estaciones de trabajo pueden conectarse a la red solicitando los controladores de dominio secundario que funcionan con Windows NT 4.0. Sin embargo, cuando un dominio es objeto de una actualización al directorio Active Directory, un cliente Kerberos como Windows 2000, Windows XP o Windows Vista desactiva automáticamente la autenticación NTLM para dejar de ser capaz de llevar a cabo autenticaciones Kerberos. Desde un punto de vista de la calidad de la seguridad ofrecida esto resulta claramente positivo. No obstante, ¿qué ocurriría si el dominio Windows NT contuviera varios cientos de miles de ordenadores que funcionaran con Windows 2000, justo después de la migración del PDC NT a Windows Server 2003 o Windows 2000 Server? La respuesta es clara: todos esos ordenadores dependerán de un único controlador de dominio Active Directory. Además, incluso en caso de ausencia del controlador o controladores de dominio Active Directory, los ordenadores no seleccionarán controladores Windows NT. En lugar de eso usarán la información de cuenta puesta en caché. Es posible configurar el valor del número de informaciones de puesta en caché modificando el parámetro de seguridad en la directiva de seguridad correspondiente. Puede tratarse de una directiva local o bien de una directiva de grupo en Active Directory. Una vez abierto, despliegue el menú desplegable de la consola tal y como indicamos: vaya a Configuración del ordenador\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\ y modifique el valor del parámetro Información de puesta en caché. Por defecto, el valor es igual a 10. Un valor de 0 desactiva la puesta en caché del inicio de sesión, sabiendo que el número máximo de informaciones de sesiones abiertas puestas en caché no puede exceder de 50. Aparte de posibles problemas con los controles de acceso a los recursos de la red, también podrán producirse problemas de rendimiento si el controlador o controladores Active Directory sólo funcionan con conexiones lentas. Forzado de los controladores Active Directory a pseudocontroladores NT La solución del problema se integra a partir de Windows 2000 SP2 y viene ya incluida en Windows Server 2003 y Windows Server 2008. El concepto es el siguiente. Para resolver el problema hay que engañar a los ordenadores "inteligentes" que funcionan con Windows 2000 o versiones posteriores haciéndoles creer que el controlador Windows NT 4.0 migrado a Windows Server (2000, 2003 o 2008) es de hecho un controlador NT4. Cuando un número suficiente de controladores NT 4.0 hayan sido actualizados a Windows Server 2003 o Windows 2000 Server para poder dar soporte a las peticiones de inicio de sesiones, será posible retirar el parámetro. Los "ordenadores inteligentes" que funcionan con Windows 2000 o Windows XP Professional escogerán entonces el mejor controlador Active Directory y usarán las autenticaciones Kerberos. La idea es que un controlador Active Directory actualizado recientemente se comporte como un simple controlador NT, al menos en términos de autenticaciones. Usted podrá controlar la disposición de este excepcional comportamiento con ayuda de la siguiente clave de registro: HKLM \ System \ CurrentControlSet \ Services \ Netlogon \ Parameters, Nombre de la clave: NT4Emulator y Valor de tipo REG_DWORD igual a 1 Es primordial que la clave sea introducida en el controlador o controladores de dominio NT antes de proceder a la actualización de los ordenadores a Windows Server (2000, 2003, 2008). Si la clave se declara antes de la actualización, al reiniciar, los controladores de dominio se verán forzados a responder con el protocolo NTLM en lugar de con el protocolo Kerberos.
Observe que el parámetro no interfiere en modo alguno con las demás funcionalidades Active Directory, que se siguen encontrando activas y operativas.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Ámbito de utilización del parámetro NT4Emulator y restricciones El parámetro es particularmente útil en caso de que el número de estaciones de trabajo Windows 2000, Windows XP o Windows Vista sea elevado y cuando se prevea que el periodo de actualización de los controladores NT a Active Directory va a ser relativamente largo. En el periodo de transición durante el cual el parámetro NT4Emulator esté operativo, los ordenadores no usarán el protocolo Kerberos v5. Se deberán considerar por tanto las limitaciones siguientes: ●
●
●
Los clientes Windows 2000, Windows XP o Windows Vista no podrán acceder a los parámetros almacenados en las directivas de grupo ni implementarlos. Este punto es especialmente importante y pone de manifiesto la recomendación de disponer bastante rápido de un mínimo de controladores Active Directory, para acortar al máximo la fase de uso del parámetro NT4Emulator. No será posible usar las herramientas de administración Active Directory en esos ordenadores. En efecto, para poder acceder a los datos almacenados en el directorio Active Directory, es preciso que las herramientas como "Usuarios y ordenadores Active Directory" establezcan una conexión LDAP segura, la cual exige el protocolo Kerberos. Por el mismo motivo, tampoco podrá ascender un servidor miembro a controlador de dominio, ni crear un nuevo dominio en el bosque. Esta última limitación sólo será cierta si se ha activado el parámetro NT4Emulator en los controladores de dominio del dominio raíz del bosque.
Limitación del alcance del parámetro NT4Emulator Verá que el hecho de que el parámetro NT4Emulator resida en los controladores de dominio hace de él un parámetro global. De hecho, afecta a todos los ordenadores clientes del dominio en cuestión. En caso de que fuera necesario que algunos ordenadores no respetasen la consigna fijada con el parámetro NT4Emulator, se podría forzar a las estaciones correspondientes a utilizar el protocolo Kerberos a pesar de todo. Esta vez deberá declarar el parámetro en el ordenador u ordenadores cliente con la siguiente clave de registro: HKLM \ System \ CurrentControlSet \ Services \ Netlogon \ Parameters, Nombre de la clave: NeutralizeNT4Emulator y Valor de tipo REG_DWORD igual a 1 NeutralizeNT4Emulator es un parámetro soportado dinámicamente durante el inicio de sesión. Para estar seguro que la autenticación Kerberos se ha usado correctamente, puede consultar los visores de sucesos y verificar si las directivas de grupo se han aplicado bien durante el inicio de sesión. Se podrá usar el comando gpupdate /force para forzar dinámicamente la restauración y la aplicación de los parámetros del ordenador y del usuario. También puede usarse la herramienta Kerberos Kerbtray disponible en el kit de Recursos Técnicos de Windows Server 2003 puede ser utilizado en los servidores Windows 2000 Server, Windows Server 2003 o Windows Server 2008. Esta herramienta permite visualizar los tickets Kerberos actualmente disponibles. De esa forma estará seguro de que el ordenador utiliza el protocolo Kerberos a pesar de la presencia del parámetro NT4Emulator, fijado en el controlador dominio. Regreso al funcionamiento normal de los controladores Active Directory Una vez que haya desplegado un número suficiente de controladores de dominio Active Directory para dar soporte al volumen de autenticación deseado y a la disposición de directivas de grupo, podrá anular la activación del parámetro NT4Emulator fijando su valor en 0. Una vez fijado el valor, proceda a reiniciar los controladores de dominio correspondientes. A partir de ese instante, el controlador usará preferentemente el protocolo Kerberos y NTLM v2, en caso necesario. Para estar seguro de que todas las estaciones se benefician de la autenticación segura Kerberos v5 y de la aplicación de las directivas de grupo, asegúrese de que el parámetro se ha eliminado de todos los controladores Active Directory.
Para más detalles sobre estos parámetros, consulte el artículo 298713 « How to prevent overloading on the first domain controller during domain upgrade » en la dirección: http://support.microsoft.com/kb/298713/enus.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Introducción a los componentes de la estructura lógica El directorio Active Directory depende directamente de elementos técnicos que permiten disponer de una estructura global y, por supuesto, de tecnologías de almacenamiento. La estructura lógica de Active Directory se compone de dominios y bosques que representan de forma lógica el espacio del directorio. Este espacio lógico, estamos hablando de la infraestructura lógica Active Directory, permite a los administradores hacer abstracción con respecto a la estructura técnica, y entonces hablamos de infraestructura física de Active Directory. Esta diferenciación permite mejorar considerablemente la organización de los elementos que componen la red en función de la naturaleza de los objetos que forman parte de ella o, por qué no, en función de la organización de la empresa. El presente capítulo le permitirá estudiar el uso de los dominios y bosques para que los servicios de directorio Active Directory desempeñen el papel central de consolidación. De esta forma, la información y los servicios ofrecidos a través del directorio Active Directory podrán ser localizados en cualquier punto de la red por los usuarios y aplicaciones de la empresa.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Los dominios El dominio es un componente fundamental de la estructura lógica Active Directory. Por definición, se trata de un conjunto de ordenadores que comparten una base de datos de directorio común. Los ordenadores interactúan con el dominio en función de sus respectivos papeles como, por ejemplo, controladores de dominio o, simplemente, ordenadores miembros de dicho dominio. El dominio puede establecerse para implementar dentro de la empresa una zona de administración. De esta forma, es posible establecer una delegación eficaz de la administración o lograr un mejor control de los flujos de replicación. Con respecto a las infraestructuras Active Directory, podemos decir que el criterio de elección utilizado con mayor frecuencia a la hora de crear o no un nuevo dominio, se referirá a la separación de los flujos de replicación entre varios dominios y, por lo tanto, a un mejor control de los tráficos dentro de un bosque. Aunque en cierta medida las jerarquías de dominios sean aptas para ello, las unidades organizativas (OU Organizational Units) son particularmente adecuadas para crear estructuras jerárquicas en las que es posible delegar todas o parte de las operaciones de administración a personas habilitadas para esa tarea específica. Además de esas consideraciones de elección, el objeto dominio permite dividir el bosque Active Directory en tantas particiones como dominios haya. Por ese motivo se dice que un dominio es una partición dentro de un bosque determinado. Imaginemos, por ejemplo, una empresa que posee un bosque compuesto por tres dominios que dan soporte a usuarios y ordenadores situados en Canadá, Estados Unidos y Europa. Esa arquitectura permite que el bosque evolucione fácilmente a medida que los tres "grandes" dominios se hacen más voluminosos. Por todo ello, los dominios Active Directory constituyen elementos que conviene crear de forma plenamente consciente y, por consiguiente, será necesario en todo momento justificar dicha creación remitiéndose a los temas o funciones siguientes: ●
Un dominio es un contenedor dentro del bosque.
●
Un dominio es una unidad de replicación.
●
Un dominio es una unidad que contiene directivas de seguridad.
●
Un dominio es una zona de autenticación y de confianza.
●
Un dominio es miembro de un bosque y, por ello, mantiene relaciones con los demás dominios del bosque.
Cada dominio posee su propia autonomía de administración y, debido a ello, los miembros del grupo Administradores del dominio de un dominio determinado no tienen ningún derecho sobre los demás dominios del bosque a menos, claro está, que se haya establecido lo contrario. La figura de abajo muestra que el dominio es miembro de un bosque y ofrece sus servicios de autenticación y control de acceso a los clientes y servidores miembros del dominio.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Relaciones entre los miembros del dominio Active Directory El dominio puede contener cualquier equipo dotado de las tecnologías Windows NT, Windows 2000 Server, Windows Server 2003 o Windows Server 2008. Por ejemplo, una torre de lectores de CDRom accesible a través de un enlace UNC (Universal Naming Convention) o un servidor LAN Manager for Unix (LMU) o un servidor Samba con Linux pueden formar parte de un dominio Active Directory. El dominio existe a través de cada uno de los controladores de dominio del dominio. Así cada controlador de dominio posee su propia copia y versión de la base de datos del directorio. En caso de que un controlador no estuviera disponible, los usuarios, equipos y servicios siempre podrán continuar accediendo a Active Directory solicitando otro controlador. Por lo tanto, los controladores de dominio participan activamente en la disponibilidad del directorio y de sus servicios. Por supuesto, el directorio Active Directory está instalado únicamente en equipos llamados controladores de dominio que funcionan con Windows 2000 Server, Windows Server 2003 o Windows Server 2008. En la medida en que el dominio esté compuesto por más de un controlador de dominio, las operaciones de creación y modificación de objetos y otros atributos de objetos deberán replicarse de manera uniforme en todos los controladores de dominio. Los mecanismos de replicación, indispensables para la coherencia de la información ofrecida por el directorio, son también fundamentales para que el propio directorio funcione correctamente.
1. Contenedor (container) dentro del bosque El bosque desempeña el papel de contenedor para albergar los dominios que a su vez desempeñan el papel de contenedor para múltiples clases de objetos. En otros términos, el bosque es el elemento que federa o une entre sí a varios dominios. Esto significa que los objetos dominio se otorgan mutuamente confianza. Así, todo nuevo dominio creado en el bosque generará automáticamente una relación de confianza bidireccional transitiva entre el nuevo dominio creado y el dominio situado en el nivel inmediatamente superior. Las relaciones de confianza entre dominios les permiten dar soporte a las peticiones de autenticación de los dominios de confianza. Antes hemos visto que cada dominio disponía de una relación de confianza con su dominio padre. Dado que por naturaleza las relaciones entre dominios son transitivas y bidireccionales, está claro que los objetos contenidos en un dominio x del bosque pueden beneficiarse de las ACL (Access Control List) que contienen usuarios de cualquier dominio del bosque.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Bosque, dominios, OU y confianzas Tomemos ahora un ejemplo relativo al almacenamiento propiamente dicho de los objetos del directorio. Las zonas DNS pueden considerarse como objetos (objetos procedentes de la clase dnsZone) y por ello, resulta posible almacenarlos en Active Directory. En función de las necesidades, algunas zonas residirán en un dominio particular mientras que otras se encontrarán en todo el bosque. Este ejemplo muestra hasta qué punto los objetos dominio (clase domainDNS) y bosque pueden contener objetos diversos y variados tales como los objetos unidad organizativa (OU clase organizationalUnit) o los objetos usuario (clase user o inetOrgPerson). Bosque y RootDSE: a propósito del punto de entrada... El protocolo LDAP versión 3.0 permite acceder a las propiedades de un objeto particular llamado RootDSE. El RootDSE se define como raíz del árbol del directorio almacenado en un servidor de directorio determinado. De hecho, este punto de acceso no pertenece a ningún espacio de denominación (NC o dominio Windows) en particular. Permite simplemente obtener información relativa al servidor de directorio propiamente dicho y, por lo tanto, no debe confundirse con un punto cualquiera de entrada al bosque.
Para obtener más información sobre el objeto RootDSE, consulte la ayuda en línea del SDK Active Directory, disponible en la siguiente dirección: http://msdn.microsoft.com/library/default.asp?url= /library/en us/adschema/adschema/rootdse.asp
2. Niveles funcionales de los dominios Vamos a descubrir que un dominio Active Directory puede funcionar en diferentes modos o niveles funcionales. La noción de nivel funcional, específica de un dominio Active Directory, se definirá con ayuda del atributo domainFunctionality. Este atributo indica el nivel funcional de un dominio Active Directory determinado: "0" Dominio Windows 2000 en modo mixto. "1" Dominio Windows 2000 en modo nativo. "2" Dominio Windows Server 2003. "3" Dominio Windows Server 2008. El nivel funcional de dominio permite activar ciertas funcionalidades específicas del dominio Active Directory. Como ha podido observarse con el atributo domainFunctionality mencionado más arriba, existen cuatro niveles de funcionamiento diferentes. Dominio Windows 2000 mixto Modo de funcionamiento que permite una interoperabilidad total, ya que el dominio podrá contener de manere indiferente controladores de dominio Windows Server 2003, Windows 2000 Server y/o Windows NT Server 4.0.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Dominio Windows 2000 nativo Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podrá contener sólo controladores de dominio Windows Server 2003 y/o Windows 2000 Server. Dominio Windows Server 2003 versión preliminar (modo específico) Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podrá contener sólo controladores de dominio Windows Server 2003 y/o Windows NT Server 4.0. Dominio Windows Server 2003 Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podrá contener sólo controladores de dominio Windows Server 2003 y versiones posteriores, pero no anteriores.
En Windows 2000, los niveles funcionales de dominio se conocen como "dominio en modo mixto" o "dominio en modo nativo". Dominio Windows Server 2008 Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podrá contener sólo controladores de dominio Windows Server 2008, pero no anteriores. Elevación de los niveles funcionales de los dominios Cuando un servidor Windows Server 2008 se instala como controlador de dominio, se activa por defecto un conjunto de funcionalidades Active Directory. Antes de pasar a detallarlas, podemos precisar que la mayor parte de las novedades introducidas por los servicios de directorio de Active Directory está disponible independientemente del nivel funcional del dominio. No obstante, además de las funcionalidades Active Directory básicas, en caso necesario podrá beneficiarse de nuevas funcionalidades Active Directory actualizando los antiguos controladores NT a Windows Server 2003 o mejor aún a Windows Server 2008. Por supuesto, los trámites que deberán adoptarse son "implacables". ●
●
●
- 4-
Para alcanzar el nivel funcional Windows 2000 mixto, tendrá que actualizar el dominio NT a Active Directory. Para alcanzar el nivel funcional Windows 2000 nativo, tendrá que actualizar los antiguos controladores NT a Windows 2000 Server, Windows Server 2003, Windows Server 2008 o eliminarlos. Para alcanzar el nivel funcional Windows Server 2003, tendrá que actualizar todos los controladores a Windows Server 2003, o eliminar los controladores de niveles inferiores.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Vista de la opción Elevar el nivel funcional del dominio Cuando todos los controladores de dominio funcionen en la versión requerida de Windows, podrá optar, en función de sus necesidades, por elevar el nivel funcional al nivel inmediatamente superior, o más arriba aún si la tecnología lo permite. A propósito de la elevación del nivel funcional: observará que no se trata de un parámetro que afecte a un controlador de dominio en particular sino al propio dominio en su totalidad. Es muy importante subrayar que esta operación es irreversible y no podrá por lo tanto anularse de ninguna manera, a menos que se restaure el directorio Active Directory.
El modo que caracteriza al dominio sólo tiene incidencia en los controladores de dicho dominio. Los servidores miembros y estaciones de trabajo del dominio continúan funcionando, pero pasan a tener en cuenta las nuevas características del dominio cuando son capaces de ello. Esto quiere decir que un dominio que funcione en nivel funcional Windows Server 2008, Windows Server 2003 o Windows 2000 mixto o nativo también es visto como un simple dominio NT 4.0 por los controladores miembros del dominio que funciona con Windows 9x o Windows NT. En nuestro ejemplo, para activar las nuevas funcionalidades disponibles en el nivel Windows Server 2003 en todo el dominio, todos los controladores de dominio del dominio deben ejecutar Windows Server 2003. La siguiente pantalla muestra que al principio el dominio corp2003.corporate.net está operativo en el nivel funcional Windows Server 2003.
Selección del nivel deseado cuando se reúnen las condiciones requeridas Como todos los controladores de dominio son controladores Windows Server 2003, la consola de gestión MMC Usuarios y ordenadores Active Directory autoriza a los miembros del grupo Admins del dominio o del grupo Administradores de organización a que eleven el nivel funcional Windows 2000 nativo al nivel Windows Server 2003. Si dispone o cuenta con disponer de controladores de dominio en Windows NT 4.0 y versiones anteriores, no aumente el nivel funcional de dominio a Windows 2000 nativo, Windows Server 2003 o Windows Server 2008. Una vez que se ha elevado el nivel funcional del dominio, no puede modificarse para volver al nivel anterior.
Sólo podrá conseguir un nivel funcional determinado si todos los controladores de dominio de dicho dominio funcionan con la versión de Windows requerida.
Para obtener más información sobre la elevación del nivel funcional de un dominio, busque Para elevar el nivel funcional del dominio, en la ayuda en línea de Windows Server 2008.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
3. Gestión de las directivas en los dominios En tanto que contenedor, un dominio puede albergar numerosos objetos y ofrecer sus servicios fundamentales (autenticación, catálogo y búsqueda de servicios globales) a los usuarios, equipos y aplicaciones de la empresa. Como ya ocurría con Windows NT, los dominios poseen directivas de seguridad, sabiendo que el dominio delimita el ámbito de administración de las mismas. Así, algunos parámetros sólo se aplican sobre un objeto de tipo dominio. Por ejemplo, la directiva de cuentas del dominio existe a nivel de dominio y de esa manera se aplica uniformemente a todos los usuarios del dominio. A pesar de no ser el contenedor más pequeño dentro del directorio Active Directory (como recordatorio, disponemos de una jerarquía de contenedores de tipo Bosque/Dominios/Unidades organizativas), el dominio se usa con frecuencia para aplicar directivas de seguridad globales. Esto se justifica sobre todo en organizaciones con ubicaciones geográficas o zonas de administración diferentes. En tanto que zona de seguridad particular, un dominio Active Directory que funciona en el nivel funcional Windows 2000 mixto o nativo, o en el nivel funcional Windows Server 2003, permite establecer políticas de administración de cuentas distintas dentro del mismo bosque. Aunque es posible especificar directivas de cuentas en las OU, observará que dichas directivas son inoperantes, a no ser localmente en el ordenador u ordenadores afectados, pero no en el dominio. De hecho, esto es completamente normal. ¡Atención! Veremos más adelante que los dominios que funcionan en el nivel funcional Windows Server 2008 soportan ahora múltiples directivas de cuentas en el mismo dominio. Esta nueva funcionalidad, disponible sólo en este modo, se da gracias a los objetos PSO Password Settings Object. En efecto, conviene recordar que un usuario no se autentifica en una OU, sino en un dominio. La entidad de dominio Windows se utiliza y es utilizable por el protocolo Kerberos versión 5 en un dominio Kerberos versión 5 mapeado sobre un dominio Windows, mientras que las OU pertenecen al espacio LDAP y a las convenciones de nombres X.500. Si desea disponer de configuraciones diferentes en función de ciertas regiones de la red o de departamentos que requieran reglas específicas, y en la medida en que dichas configuraciones afecten a todo dominio Active Directory, podrá entonces decidirse a crear un dominio nuevo.
4. Delegación de la administración de dominios y control de los parámetros específicos de dominio Los servicios de seguridad integrados en el directorio Active Directory permiten que los administradores elaboren planes de delegación de la administración. Tras esta explicación resultará más sencillo administrar entornos que comprendan un gran número de objetos al disponer de varias entidades distintas. El concepto de delegación permite a los poseedores de objetos transferir todo el control o una parte del mismo a otros usuarios o grupos de usuarios cuidadosamente escogidos. El principio de delegación es un principio muy importante ya que permite distribuir la administración de los objetos a terceros con confianza dentro de una entidad más amplia. A modo de recordatorio : en Windows NT el único nivel de delegación era el dominio. Luego, el administrador del dominio podía apoyarse en grupos predeterminados como los Administradores del dominio o los diferentes grupos de tipo operadores. Hoy, el concepto de delegación del directorio Active Directory permite trabajar en el bosque, en los dominios, en las unidades organizativas, en los objetos y también puede descender hasta el atributo concreto de un objeto entre millones. Los puntos presentados a continuación permitirán comprender bien aquello que caracteriza de forma especial a un objeto de tipo dominio dentro de un bosque: El dominio y las directivas de cuentas Por definición, las directivas de cuentas y las directivas de clave pública y de inscripción automática se administran y aplican globalmente sobre el objeto dominio con ayuda de una directiva de grupo (GPO Group Policy Object). El dominio y las directivas de contraseña Las directivas de contraseña permiten determinar de qué manera se administran las contraseñas en términos de extensión, historización y duración de vida. El dominio y las directivas de bloqueo de cuentas Las directivas de bloqueo de cuentas permiten determinar de qué manera se asumen los errores de inicio de sesión en el dominio al utilizar una contraseña incorrecta. El objetivo es detectar posibles intrusiones y poder bloquear la cuenta de usuario durante un periodo de tiempo determinado.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
El dominio y las directivas de tickets Kerberos Las directivas de administración de los tickets Kerberos permiten determinar la duración de vida de las estructuras de seguridad importantes. Para un servidor o servicio determinado, un ticket Kerberos se entrega al solicitante después de que éste se haya identificado en el AS Authentication Service. Este componente del sistema de seguridad forma parte integrante del servidor que desempeña la función de Centro de distribución de claves Kerberos. Dicha función siempre es ejercida por una máquina de tipo "controlador de dominio Active Directory".
Componentes Active Directory y conceptos de delegación La anterior figura muestra una infraestructura compuesta de varios dominios. Cada uno de ellos dispone de sus propios objetos y existe en tanto que zona de seguridad distinta. Por consiguiente, por su naturaleza, cada dominio dispone de una directiva de cuentas y de seguridad que habrá que adaptar en función de la política de seguridad general de la empresa, en caso de que dicha directiva exista, claro está. Es altamente aconsejable definir con precisión los detalles de la directiva de administración de cuentas de los dominios de la empresa. De esta forma, podrá imponer globalmente una política uniforme capaz de reforzar eficazmente el nivel de seguridad general de toda la red. ¡Recordemos que una caja fuerte no puede desempeñar plenamente su función de espacio protegido si las llaves que la abren no están a buen recaudo! Luego, en función de la política de gestión de cada dominio, se podrá establecer o no un plan de delegación. El principal objetivo de dicho plan será definir quien será el encargado de controlar o de modificar los objetos determinados. Más adelante descubriremos que los mecanismos de seguridad, de delegación y de aplicación de los objetos de directiva de grupo se aplican a los componentes principales de la infraestructura Active Directory, es decir, a los sitios, los dominios y las unidades organizativas. Creación de consolas MMC personalizadas Para que la delegación de la administración quede completamente garantizada, es posible crear consolas MMC personalizadas que podrán distribuirse a los usuarios o grupos de usuarios escogidos para efectuar las tareas de delegación. La consola MMC permite crear versiones limitadas de un componente de software particular. Evidentemente hablamos del componente Usuarios y ordenadores Active Directory, que es la herramienta que contiene más funcionalidades de administración. De esta manera, los administradores pueden controlar las opciones propuestas a las personas responsables de tal o cual tarea. Uso de las directivas de grupo para publicar o atribuir consolas personalizadas Puede usar los objetos Directivas de grupo para distribuir consolas de administración personalizadas a determinados usuarios o grupos de dos maneras distintas. Por publicación Método que permite publicar el elemento en la lista de programas disponibles en la herramienta Agregar o quitar programas. A continuación, los usuarios habilitados podrán instalar la nueva consola. El usuario, por lo tanto, inicia la instalación cuando estima que necesita la aplicación. Por atribución Contrariamente a la publicación, la atribución de una aplicación con ayuda de una directiva de grupo automatiza la instalación de la aplicación en todas las cuentas especificadas. En esos casos, la instalación se realiza © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
automáticamente sin que el usuario se implique en ella.
Para obtener más información sobre los conceptos de delegación, busque Para delegar el control y Vista de conjunto de la seguridad en la ayuda en línea de Windows Server 2003. Estudiaremos los objetos directivas de grupo (GPO) en el capítulo Grupos, OUs y delegación.
5. Uso del dominio como unidad de replicación elemental Sabemos que el objeto dominio es un elemento de la estructura lógica del directorio Active Directory. En efecto, cualquier dominio de Active Directory existe en el bosque con ayuda de un nombre DNS y, por ello, la estructura lógica del directorio se verá ampliamente modificada. Sin embargo, en algunos aspectos debemos considerar el dominio como un elemento físico debido a su enorme grado de implicación en los mecanismos de replicación del directorio. En efecto, desde MS OS/2 LAN Manager, con los dominios Windows NT y hoy con los dominios Active Directory, el dominio sigue siendo la unidad básica de replicación. De hecho, el dominio es la unidad más pequeña de replicación controlable dentro del bosque. No se trata de una crítica o de una limitación técnica cualquiera, sino simplemente de una constatación. Por definición, los objetos de un dominio se almacenan en el dominio y, de hecho, deberán replicarse en el controlador o los controladores de dominio del dominio. Observará que el grupo Controladores de dominio posee el derecho de replicación Replicación de todos los cambios del directorio. Puede utilizar la consola de gestión MMC Usuarios y ordenadores Active Directory para consultar la pestaña Seguridad de un objeto controlador de dominio. Esta información puede parecer elemental pero, de hecho, reviste una importancia capital para comprender los elementos que componen el directorio Active Directory. Ciertamente, un dominio existe a través de sus controladores, pero mucho antes de eso el bosque, con su función de autoridad de más alto nivel, existe gracias al primer controlador del primer dominio del bosque. De hecho, los controladores, antes de serlo de cualquier dominio del bosque, lo son de alguna manera del bosque. La unidad de replicación menor no es el propio dominio a través de la partición de dominio, sino las particiones del directorio de aplicaciones.
Hemos visto esas particiones en el apartado de almacenamiento de las zonas DNS en Active Directory. Los miembros del grupo Administradores de organización tienen así la posibilidad de crear una partición cuyas réplicas pueden situarse en aquellos controladores que elijan. El hecho de que no consideremos las particiones del directorio de aplicaciones se debe a que esas particiones no pueden almacenar SID, necesarios para crear los objetos usuarios y equipos.
6. Límites del dominio Active Directory y delegación obligatoria Microsoft especifica que los dominios no son "realmente" fronteras de seguridad a escala de Active Directory. Efectivamente, las instancias Active Directory se representan mediante el bosque, que es a su vez representado por el dominio raíz del bosque, es decir, por el primer dominio del bosque. En la medida en que la entidad más elevada es el bosque, Microsoft especifica que el dominio no proporciona un aislamiento total a pesar de que exista en su propia partición y detente sus propios SID y sus propias cuentas integradas (Administradores, Operadores, etc.). Sería potencialmente posible obtener acceso pleno a cualquier dominio o a cualquier equipo de cualquier dominio del bosque frente a ataques por parte de servicios malintencionados que lograran usurpar la identidad del administración del dominio raíz. Definir una política de seguridad a escala del Sistema de Información: este problema, aunque exista realmente, debería irse diluyendo con el tiempo, permitiendo así una disminución de los riesgos. El protocolo Kerberos versión 5 es un método de autenticación de red muy potente y los sistemas pueden asimismo alcanzar niveles de resistencia elevados contra los ataques. Para ello es preciso definir reglas de uso, efectuar el mantenimiento de los sistemas y aplicaciones de forma regular, disponer de una directiva de seguridad autorizada por todos y evaluada con regularidad. La transmisibilidad o posible transmisión de privilegios es un aspecto fundamental de la seguridad de los sistemas. Observe, sin embargo, que el bosque no toma ninguna iniciativa en términos de herencia o de transmisión de
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
privilegios. Los privilegios de administración no se transmiten en absoluto en la jerarquía de dominios Active Directory o incluso entre dominios externos de confianza. Por consiguiente, para que un usuario de un dominio obtenga derechos o privilegios en otro dominio será necesario que una autoridad habilitada se los otorgue. Este concepto existe desde siempre en Windows NT con las relaciones de confianza entre dominios. La relación de confianza propiamente dicha no es más que un tubo que crea confianza de forma unidireccional entre dos contextos de seguridad diferentes: a uno de los dominios se le otorga la confianza (the trusting domain), mientras que el otro es quien otorga la confianza (the trusting domain). Después compete al administrador del dominio que otorga la confianza dar el visto bueno para que un usuario o un grupo global del dominio autorizado realice una operación basándose en los permisos y privilegios acordados. Delegación Windows 2000 Server, Windows Server 2003 y Windows Server 2008 Sin embargo, los equipos dotados de Windows 2000 Server y Windows Server 2003 pueden sacar partido de funcionalidades de seguridad mejoradas. Esto pone de relieve el hecho de que el bosque, los dominios, los servidores y las aplicaciones forman un todo que requiere funcionalidades muy avanzadas para ofrecer una mínima interoperabilidad, una administración centralizada y un marco de delegación controlado. La delegación restringida es una nueva opción que sólo puede usarse en servidores que funcionan por lo menos con Windows Server 2003. Gracias a ella, el administrador puede especificar los nombres principales de los servicios (SPN, Service Principal Names) a los que se puede delegar la cuenta. Procediendo de esta forma, un servicio puede recibir confianza para la delegación sabiendo que dicha confianza puede limitarse a un grupo de servicios seleccionado. Esta operación de delegación, claro está, es declarada explícitamente por un administrador de dominio. Para confiar en un equipo o servicio específico para la delegación, opte por una de las tres opciones presentadas a continuación: No confiar en este equipo para la delegación Esta opción, disponible con Windows 2000 Server, Windows Server 2003 y Windows Server 2008, es la configuración predeterminada. Con ella no es posible que se produzca ninguna usurpación de identidad mediante proceso alguno. Confiar en este equipo para la delegación a cualquier servicio (sólo Kerberos) La seguridad de esta opción, ya disponible con Windows 2000, es una función del servicio y de las acciones de todos sus administradores. Al seleccionarla en un equipo, todos los servicios que usan el contexto de seguridad de la cuenta "sistema local" del ordenador serán autorizados para la delegación. Por consiguiente, en lo sucesivo el equipo autorizado podrá acceder a cualquier recurso de red realizando una usurpación de identidad que represente, por ejemplo, a un usuario. De hecho, los servicios de un ordenador actúan por cuenta del solicitante. Confiar en este equipo para la delegación sólo a los servicios especificados Esta nueva funcionalidad sólo está disponible en servidores que funcionan con Windows Server 2003 y Windows Server 2008, y recibe el nombre de delegación restringida. Permite alcanzar un mayor granulado de la delegación ya que no se otorga confianza al equipo general, sino sólo a los servicios especificados. Así, gracias a la delegación restringida, el administrador puede especificar los nombres principales de los servicios (SPN, Service Principal Names) a los que la cuenta puede delegar. Evidentemente, se trata de la opción más segura. La delegación para servicios específicados permite a un administrador seleccionar los servicios en la red a la que se delega escogiendo un servicio específico o una cuenta de equipo. Autorizando la delegación sólo a servicios específicos, el administrador controla los recursos de red que pueden ser usados por el servicio o el equipo. La siguiente pantalla muestra la activación de la delegación en un equipo concreto.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
Activación de la delegación para todos los servicios que funcionan con la autoridad "sistema local"
Para obtener más información acerca de la delegación restringida, consulte la ayuda en línea de Windows Server 2003 o Windows Server 2008.
Los dominios Active Directory son unidades de confianza Como contenedor del directorio Active Directory, el objeto dominio es el elemento más pequeño utilizable en el marco de una relación de confianza. Por definición, todos los dominios pertenecientes al mismo bosque están vinculados por relaciones de confianza Kerberos versión 5. Las relaciones de confianza que unen dentro del bosque a los dominios entre sí son por definición bidireccionales y transitivas y se mantienen automáticamente gracias a los controladores de dominio. De esta forma, es posible que cualquier dominio del bosque autentique a cualquier usuario o equipo del mismo. Basándose en los nombres DNS que rigen los dominios Active Directory y el espacio de nombres del bosque, el primer dominio situado en la parte más alta del espacio, desempeñará el papel de raíz del bosque y servirá de punto de paso obligado para dar soporte a las autenticaciones entre dominios situados en los demás árboles. En la sección Los bosques del presente capítulo detallamos la estructura del bosque.
- 10 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Controladores de dominio y estructura lógica Los controladores de dominio de un dominio Active Directory son, por definición, iguales entre sí. De esta forma, los objetos y servicios que el dominio pone a disposición están disponibles a través de todos los controladores de dominio. Así, los controladores de dominio Windows 2000 Server, Windows Server 2003 y Windows Server 2008 usan un modelo de replicación en el que todos los controladores están disponibles en modo lectura y escritura. Este modelo, llamado modelo de replicación multimaestro (Multi Master Replication), permite no depender de un único controlador en particular como antes ocurría en el entorno Windows NT con el controlador de dominio principal. De esta forma, cualquier objeto del dominio Active Directory puede ser creado en cualquier controlador de dominio de dicho dominio y cualquier propiedad de un objeto puede también ser modificada en cualquier controlador de dominio que posea el objeto. El directorio Active Directory permite, por lo tanto, una disponibilidad total de directorio en cualquier punto de la red. Efectivamente, la idea es hacer que sea posible modificar el objeto lo más cerca posible de la administración o, mejor aún, lo más cerca posible de los usuarios, equipos o aplicaciones que precisan de un valor lo más actualizado posible. A modo de recordatorio diremos que en los dominios Windows NT, todas las modificaciones deben realizarse y se realizan en el controlador de dominio primario porque dicho controlador es el único disponible en modo lectura y escritura. A este respecto hemos visto que uno de los niveles funcionales disponibles es el nivel Windows 2000 mixto. Este modo es el modo predeterminado de cualquier dominio Active Directory, ya esté compuesto por controladores que ejecutan Windows 2000 Server, Windows Server 2003, Windows Server 2008 o un combinado de los tres. Permite una gran compatibilidad de los elementos existentes ya que mantiene sincronizados los posibles controladores Windows NT 4.0. Los controladores de dominio se ocupan también de la replicación de datos relativos al bosque o las particiones del directorio de aplicaciones usadas por el servicio DNS. Así, los controladores de dominio replican las particiones especificadas a continuación: ●
la partición del dominio del propio controlador;
●
la partición de esquema del bosque Active Directory;
●
la partición de configuración del bosque Active Directory;
●
la partición o particiones de los demás dominios del bosque, si el controlador también hace las veces de catálogo global.
Sabemos que todos los controladores de dominio Active Directory están disponibles en modo lectura y escritura. Observe, sin embargo, que esto no afecta en ningún caso a las particiones usadas por los servidores de catálogos globales. Los datos contenidos en las particiones sólo son utilizables con fines de búsqueda y no en el ámbito de las modificaciones que un administrador del dominio tuviera hipotéticamente que efectuar. Por consiguiente, las particiones réplicas contenidas en los controladores de dominio que ejercen de catálogos globales sólo están disponibles en modo lectura y únicamente pueden ser modificadas en el dominio de origen. La partición del directorio de aplicaciones que contiene la zona DNS integrada en Active Directory del dominio en curso y la partición del directorio de aplicaciones que contiene la zona DNS integrada Active Directory del dominio _msdcs.NombredeDominioDnsRaizdelBosque son dos espacios de almacenamiento críticos. Estos últimos puntos muestran claramente que el controlador de dominio de un dominio no sólo debe mantener actualizados los datos de su dominio, sino también los datos que no le afectan directamente, pero que afectan a las aplicaciones o a la estructura misma del bosque. Así, a diferencia de las particiones de esquema y de configuración, las particiones del directorio de aplicaciones no se almacenan en todos los controladores de dominio del bosque, sino sólo en los controladores seleccionados por un administrador en tanto que réplicas. El hecho de particionar técnicamente el directorio Active Directory en varias particiones albergadas por un controlador de dominio permite controlar mejor la replicación en un controlador o compañero de replicación. De esta forma, el directorio Active Directory puede desplegarse globalmente en entornos con un ancho de banda limitado. Para obtener más información sobre la replicación Active Directory, busque Funcionamiento de la replicación en la ayuda en línea de Windows Server 2003 o visite el sitio Web de Microsoft y acceda a la página Active Directory Replication Topology Technical Reference que se encuentra en la siguiente dirección: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/enus/Default.asp? url=/Resources/Documentation/windowsserv/2003/all/techref/enus/W2K3TR_ad_rep_over.asp
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Maestros de operaciones de dominio Active Directory Sin duda, la replicación multimaestro a la que da soporte Active Directory resulta indispensable para establecer infraestructuras de directorio capaces de asumir empresas con millones de objetos. Sin embargo, algunas operaciones de modificación no pueden realizarse de esa forma y, de hecho, esas operaciones de carácter conflictivo o peligroso se dirigen a un controlador específico llamado maestro de operaciones. Todo dominio Active Directory deberá disponer de las siguientes funciones: ●
el maestro de ID relativos (RID, Relative ID Master);
●
el maestro de emulador de controlador principal de dominio (PDC Emulator);
●
el maestro de infraestructura (Infrastructure Master).
Estas funciones deben ser únicas dentro de cada dominio. En otros términos, sólo puede existir un maestro RID, un maestro de emulador PDC y un maestro de infraestructura en cada dominio del bosque. La siguiente figura se obtiene accediendo a las propiedades del dominio Active Directory con ayuda de la consola de administración MMC Usuarios y equipos Active Directory.
Los tres maestros de operaciones de un dominio Active Directory Los maestros de operaciones desempeñan un papel importante en las operaciones de actualización relacionadas con ciertas tareas de administración y de cambio de configuración del directorio Active Directory. El hecho de asignar ciertas operaciones específicas a ciertos controladores de dominio entre un número n de ellos protege a Active Directory de algunos conflictos y garantiza la disponibilidad operativa del directorio. Resumimos a continuación las operaciones a las que da soporte el maestro de operaciones (en inglés, FSMO Flexible Single Master Operations): ●
●
●
- 2-
El maestro de ID relativos (RID, Relative ID Master) asegura la gestión del rellenado del pool de RID para cada controlador de dominio del dominio. El maestro emulador del controlador principal de dominio (PDC Emulator) asegura el papel de PDC para garantizar la compatibilidad de los controladores de dominio Windows NT, la gestión de las contraseñas incorrectas y los mecanismos de sincronización horaria necesarios para los relojes incorporados en los paquetes de autenticación Kerberos versión 5. El maestro de infraestructura (Infrastructure Master) asegura la actualización de las referencias relativas a
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
objetos situados en otros dominios. Veremos que existen dos maestros de operaciones adicionales a nivel de bosque. Las operaciones soportadas por los maestros de operaciones de bosque se refieren a la protección de operaciones que modifican el esquema y a las operaciones que modifican el DIT (Directory Information Tree). El objetivo principal de este último maestro de operaciones es verificar el carácter único de las operaciones de añadir y quitar objetos de tipo dominio dentro del bosque. Los maestros de operaciones aseguran también la interoperabilidad necesaria entre controladores de dominio que funcionan con Windows Server 2008, Windows Server 2003, Windows 2000 Server y Windows NT Server 4.0 así como el control de las referencias de los grupos y usuarios entre múltiples dominios.
Observe también que el directorio Active Directory ofrece la posibilidad de transferir o de retomar el control de los diferentes maestros de operaciones.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Las unidades organizativas (OU) Las unidades organizativas (OU Organizational Unit) son los objetos contenedores usados con mayor frecuencia dentro de un dominio Active Directory. Cuanto más rígida y compleja es la estructura de dominios y bosques (DIT Directory Information Tree), más fáciles de crear, modificar, desplazar y eliminar son las OU. Este contenedor puede albergar múltiples objetos como pueden ser usuarios, contactos, equipos, impresoras, archivos compartidos y, por supuesto, otras unidades organizativas. El hecho de que el contenedor de clase OU nos ayude a organizar el espacio de almacenamiento de objetos de un dominio concreto del bosque es interesante en más de un sentido. Los puntos enumerados a continuación caracterizan un uso correcto de las unidades organizativas: ●
●
●
●
Desde el punto de vista del contenido, la unidad organizativa puede acoger los objetos usados con mayor frecuencia (objetos usuarios, grupos, equipos, carpetas compartidas, impresoras). Desde el punto de vista de las funcionalidades de gestión de los cambios de configuración, la unidad organizativa es el contenedor más pequeño que puede ser objeto de la aplicación de directivas de grupo. Desde el punto de vista del establecimiento de privilegios de administración, la unidad organizativa puede ser objeto de múltiples delegaciones. Desde el punto de vista de la modelización de un espacio organizado, las unidades organizativas pueden combinarse cómodamente para reflejar el modelo de administración o de organización, sea cual sea el tamaño y el número de objetos contenidos.
Es posible usar las OU individualmente o dentro de una jerarquía de OU anidadas. En ese último caso podrá decidir si aprovecha o no los mecanismos de herencia. De hecho, el comportamiento de una OU se parece como una gota de agua al de un directorio NTFS. La diferencia más notable radica en la naturaleza de los objetos soportados. Evidentemente, un directorio NTFS sólo puede contener archivos y otros directorios con los derechos que ya conocemos. En lo que respecta a las posibles analogías entre la OU y un simple directorio, el hecho es que la naturaleza de los objetos contenidos en una OU es mucho más rica que lo que conocemos en los archivos. La siguiente pantalla ilustra la posibilidad que tiene el administrador de jugar con las autorizaciones de las unidades de organización Consultants. Observe que esta ventana se parece mucho a una ventana de autorizaciones NTFS.
Autorizaciones de una unidad organizativa
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
La ventana de selección de permisos permite declarar los derechos más conocidos y genéricos. Sin embargo, teniendo en cuenta la variada naturaleza de los objetos que podemos encontrar en ella, la mayor parte de las veces el administrador utilizará el botón Opciones avanzadas.
Puede consultar la ventana de selección de los tipos de objetos sobre los que se aplican autorizaciones en una OU. Esta ventana puede sugerir que es posible manejar los objetos en una unidad organizativa de los objetos instanciados a partir de todas las clases declaradas en el esquema del directorio Active Directory. De hecho, no es así, ya que es una ventana de selección genérica.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Asignación de permisos en función de la clase del objeto La pantalla anterior muestra que las autorizaciones de los tipos de objeto dependen de la naturaleza de los objetos. Modelado de una jerarquía de OU En entornos compuestos de varios dominios Active Directory, será conveniente determinar si el modelo de jerarquía de OU definido es idéntico o, por el contrario, es objeto de especificidades para cada uno de los dominos. En términos absolutos, si la naturaleza de la estructura jerárquica de las OU en varios dominios afecta a algunos usuarios, sería razonable hacer que los dos o tres primeros niveles de OU fueran comunes para todos los dominios en cuestión. De esta forma, los usuarios encontrarían una jerarquía de OU estandarizada en los diferentes dominios. Sea como fuere, no olvide que una jerarquía de OU en un dominio concreto no tiene ninguna relación con una jerarquía de OU definida en otro dominio. El único punto común que podría existir entre OU situadas en dominios diferentes o dentro del mismo dominio sería su RDN (Relative Distinguished Name), ya que puede ser el mismo. De esta manera, es posible tener varias OU con el mismo nombre. En nuestro ejemplo, otras OU que tienen el RDN "OU=Consultants" pueden existir en el dominio o en otros dominios del bosque. Este tipo de operación es posible ya que todos los objetos son únicos gracias al uso de GUID (Globally Universal Identifier Descriptor). La siguiente figura muestra un primer esbozo de una estructura de OU. En términos absolutos, la definición de la estructura tiene una relación directa con las operaciones de administración de los elementos contenidos en las OU, así como con la posibilidad de hacer o no uso de los servicios de delegación en función de la directiva de la empresa.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Delegación y poseedores de unidades organizativas En un principio el administrador tiene el poder de delegar en algunas OU o jerarquías de OU todas o parte de las operaciones de administración a simples usuarios del dominio o de cualquier dominio autorizado. De acuerdo con las buenas prácticas podemos definir tres tipos de administradores: Los poseedores de servicios Son las cuentas de administración habituales que, por definición, poseen todos los derechos, incluido el de apropiarse de objetos que no les pertenecen. Los poseedores de cuentas Son cuentas que son objeto de una o varias delegaciones. Pueden administrar todas o parte de las cuentas de un departamento o una unidad concreta de la empresa. En función de las delegaciones que se desea realizar quizá sea necesario tener varios poseedores de cuentas, cuyas confianzas se adaptarán en función de las necesidades. Los poseedores de recursos Son cuentas que son objeto de una o varias delegaciones. Pueden administrar todas o parte de las cuentas de un departamento o de una unidad concreta de la empresa. En función de las delegaciones a realizar quizá sea necesario tener varios poseedores de recursos, cuyas confianzas se adaptarán en función de los recursos a controlar.
En este ejemplo, las cuentas de recursos son objeto de la delegación de la gestión de algunos recursos por parte de los poseedores de servicios y de los poseedores de cuentas. La estrategia de delegación deberá determinar y después formalizar el plan más adecuado para las prácticas y la política de la empresa. Si se usan las tecnologías y métodos propuestos, los equipos informáticos se centrarán en su verdadero cometido, es decir, los servicios de infraestructura y gestión de la información en el sentido estratégico del término. En el marco del Plan de delegación, cada departamento de la empresa se ocupará de administrar sus propios objetos dentro de su propia zona de autoridad. Para saber más acerca del establecimiento de una arquitectura de unidades organizativas, consulte Windows Server 2003 Technical Reference disponible en el sitio Web de Microsoft en la dirección http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/enus/default.asp. Puede también consultar Microsoft Windows Server 2003 Deployment Kit Designing and Deploying Directory and Security Services y remitirse al capítulo titulado Designing the Active Directory Logical Structure.
Unidades organizativas y unicidad de las cuentas de usuario Al crear una cuenta de usuario, Active Directory genera un SID (Security Identifier Descriptor) y un GUID. Este último se usa para identificar la entidad de seguridad. Active Directory crea asimismo un nombre LDAP (RDN Relative Distinguished Name) único relativo basado en el nombre de la entidad de seguridad. Este nombre único y también un nombre canónico Active Directory se generan en función del nombre único relativo LDAP, de los nombres de los contextos del dominio y de los contenedores donde se ha creado el objeto entidad de seguridad. Si la empresa se compone de varios dominios es posible usar el mismo nombre de usuario (o nombre de equipo) en - 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
dominios diferentes. El ID de seguridad, el identificador universal único (GUID), el nombre único LDAP y el nombre canónico generados por Active Directory identificarán de forma única a cada usuario, equipo o grupo dentro del bosque. Si se da un nuevo nombre al objeto entidad de seguridad o se le desplaza a otro dominio, el ID de seguridad, el nombre único relativo LDAP, el nombre único LDAP y el nombre canónico se modificarán automáticamente. Por el contrario, el identificador universal único generado por Active Directory continuará siendo el mismo ya que se trata del mismo objeto. En caso de que intente crear una segunda cuenta de usuario con el mismo nombre en la misma OU, recibirá un mensaje de error en el que se indica que el nombre ya existe. Para disponer de dos objetos usuario con el mismo "nombre detallado" en el mismo dominio deberá hacer que se almacenen en unidades organizativas diferentes. Una unidad organizativa sólo puede contener objetos procedentes de su propio dominio, sea cual sea el tipo de objetos. Por tanto, no resulta posible insertar objetos procedentes del dominio B en una OU del dominio A.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Los árboles Un árbol de dominio(s) es un conjunto de dominios agrupados para formar una estructura jerárquica. Por definición, cuando se añade un dominio dentro de un bosque, pueden presentarse dos situaciones: ●
El dominio se inserta como nuevo dominio hijo en un árbol de dominio ya existente.
●
El dominio crea un nuevo árbol en un bosque ya existente.
A propósito del primer dominio del bosque: la opción que permite crear un nuevo dominio en un nuevo bosque corresponde a la creación inicial del bosque. Ese dominio particular recibe el nombre de dominio raíz del bosque y también desempeña el papel de dominio raíz del primer árbol. Más adelante trataremos la importancia de la función de dominio raíz. A partir del momento en que usted agrega un nuevo dominio a un árbol existente, éste se convierte en un dominio hijo del dominio raíz del árbol. En este ejemplo el dominio raíz del árbol es el dominio padre. Sin embargo, un dominio hijo puede también tener uno o varios dominios hijo. Esta estructura compuesta de múltiples dominios formará una jerarquía de dominio cuyo nombre estará basado en el dominio raíz del árbol. Así, el nombre de un dominio hijo en un árbol es simplemente su nombre DNS. Este nombre es una combinación del nombre de cada uno de los dominios hasta el dominio raíz del árbol como, por ejemplo, el dominio Active Directory responsable de la zona EMEA (Europe, Middle East and Africa) cuyo nombre DNS sería, por ejemplo, emea.corpnet.corporate.net. Por definición, un árbol Active Directory es un espacio de nombres DNS perfectamente contiguo y, por tanto, cualquier nuevo espacio de nombres DNS será objeto de la creación de una nueva arborescencia dentro del bosque Active Directory. A pesar de que el dominio sea la unidad de administración, seguridad y replicación básica, es probable que, en función del modelo de administración o de organización de la empresa, sea necesario crear uno o varios dominios adicionales. Por ejemplo, se podría tener que agregar dominios dentro de un bosque existente en los siguientes casos: ●
Permitir el establecimiento de un modelo de administración descentralizado.
●
Usar directivas y parámetros de seguridad diferentes para cada dominio.
●
Aumentar el rendimiento de las replicaciones y obtener así un mejor control sobre ellas.
●
Eliminar ciertos límites técnicos como el número de objetos soportados o el número de controladores de dominio por dominio.
La creación de una arborescencia puede estar justificada cuando una empresa posee varias oficinas en diferentes países. Si la red de la empresa se compone sólo de un dominio, será preciso disponer, como mínimo, de un controlador de dominio por sitio para poder garantizar los servicios generales. Se tratará principalmente de servicios de autenticación de los usuarios y quizá también de la gestión y configuración de los equipos con ayuda de la tecnología IntelliMirror y las directivas de grupo. La tecnología IntelliMirror permite combinar las ventajas de la informática centralizada con las prestaciones y la flexibilidad de la informática distribuida. Esta tecnología garantiza la disponibilidad de los datos de usuario, la disponibilidad de los programas y de los parámetros personales así como su permanencia cuando los usuarios abren una sesión en un dominio Active Directory y, todo ello, desde cualquier equipo del dominio o de un dominio autorizado. Imaginemos una empresa compuesta por un único dominio Active Directory que gestiona diez sitios geográficos en 5 países. Unos meses más tarde la empresa está en plena expansión y pasa a contar con cuarenta sitios en ocho países. Esta notable evolución de la topología física de la empresa deberá traducirse en una evolución del modelo original compuesto por un único dominio hacia una arquitectura multidominio. La siguiente figura ilustra dicha evolución.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Evolución del DIT (Directory Information Tree) La evolución deberá estar técnica y económicamente justificada. Es posible que se desee un cierto nivel de autonomía o bien que los flujos de replicación demanden un cierto nivel de aislamiento. Dividir la red en varias partes permitiría al equipo informático disponer de un dominio Active Directory por país en lugar de un único dominio. Incluso si la solución perfecta, en términos de sencillez de implementación, mantenimiento y evolución, es la disponer de un bosque compuesto por un dominio que comprendiera a su vez un solo contador, no hay que exagerar la complejidad de las infraestructuras compuestas por múltiples dominios. El hecho de poseer varios dominios no significa de ninguna manera que su administración resulte más pesada o compleja. Los dominios de un bosque comparten los elementos esenciales, es decir, el esquema, la configuración, los catálogos globales y los espacios de nombres DNS ofrecidos por las diferentes arborescencias del bosque Active Directory. Finalmente, especificamos a continuación los puntos más importantes que caracterizan una arborescencia de dominios: ●
●
●
Una arborescencia es un nuevo espacio de denominación distinto a todos los demás. Por ejemplo, se podría crear un nuevo espacio de nombres DNS (partners.net o partners.corporate.com, etc.) y un nuevo dominio Active Directory para alojar a los socios de confianza dentro del bosque Active Directory corpnet.corporate.com. Esta configuración necesita de una nueva arborescencia ya que el espacio de nombre inicial, corpnet.corporate.com está fraccionado. Los nombres creados por debajo de un dominio raíz de árbol son siempre contiguos o forman un espacio continuo. Los nombres DNS usados pueden reflejar una entidad particular, la organización de la empresa de forma geográfica, de forma organizacional o una combinación de ambas.
La implementación de una nueva arborescencia de dominio permite a la empresa disponer de varios espacios de nombres. Este aspecto es especialmente importante cuando la empresa es objeto de una compra y su nombre debe preservarse imperativamente. Pese a todo, preste atención al hecho de que la creación de una nueva arborescencia vacía no permite la integración natural de un bosque A en un bosque B. Para poder recuperar realmente los objetos del bosque B en el bosque A deberá efectuar una operación de importación/exportación o, mejor aún, un clonado de objetos. El destino de la operación será un dominio existente o un dominio nuevo que funcione en modo nativo Windows 2000 o Windows Server 2003 dentro del bosque y, en tanto que dominio fuente, el dominio que contiene los objetos que desea recuperar. La operación de recuperación consistirá en clonar los objetos con ayuda de la herramienta ADMT 2.0. Los nuevos objetos de seguridad creados en el dominio destino usarán el atributo sIDHistory disponible sólo en modo nativo. Más adelante en esta sección presentaremos brevemente el principio del atributo sIDHistory.
Herramienta de migración para Active Directory ADMT Versión 3.0
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
La herramienta de migración para Active Directory (ADMT, Active Directory Migration Tool) puede ayudarle a migrar las cuentas de usuario, los grupos y las cuentas de equipo de dominios Windows NT 4.0 a dominios Active Directory (dominios cuyos controladores de dominio ejecutan Windows 2000 Server, Windows Server 2003 o Windows Server 2008). La herramienta ADMT Versión 2.0 se suministró en el CDRom de Windows Server 2003 en el directorio \I386 \ADMT. ADMT versión 3.0 aporta las siguientes mejoras: la ejecución simultánea de diferentes operaciones ADMT, el soporte de Microsoft SQL Server para el almacenamiento de datos de migración, la posibilidad de modificar directamente el nombre de las cuentas, los nombres relativos (RDN), los nombres de cuentas SAM y nombres principales universales (UPN). Estas opciones son posibles a través de la nueva página llamada Opción de selección de objetos, añadida en los Asistentes de Migración de cuentas de usuario, de ordenadores y cuentas de grupos. ADMT versión 3.0 mejora igualmente el servidor de exportación de contraseñas (Password Exportation Service) que se ejecuta ahora como un servicio. De este modo, es posible lanzar lo a través de la información de autenticación de un usuario autenticado en un dominio migrado. Por último, el conjunto de los ficheros de registro se almacena ahora en la base de datos SQL de ADMT para una consulta posterior. Para descargar ADMT Versión 3.0, busque Active Directory Migration Tool v3.0 en el sitio de Microsoft.
Para obtener más información, consulte Herramientas de soporte Active Directory y Diseño y despliegue de los servicios de directorios y de seguridad en la página Web de Kits de recursos técnicos de Microsoft Windows en la dirección: http://www.microsoft.com/reskit. La versión ADMT 1.0 suministrada en el CD de Windows 2000 Server, no permitía migrar las contraseñas. Las versiones 2.0 y 3.0 permiten ahora la migración de contraseñas. Para ello es necesario instalar un servidor de exportación de contraseñas. Esta operación puede realizarse fácilmente instalando el componente de exportación en un BDC (Backup Domain Controller) NT 4.0 o en un controlador de dominio Windows 2000 Server o Windows Server 2003. Si su servidor de exportación de contraseña ejecuta Windows NT Server 4.0, deberá disponer de cifrado de 128 bits. Además, para maximizar el nivel de seguridad de las operaciones de recuperación de las contraseñas, Microsoft recomienda que el servidor de exportación de contraseña del dominio fuente sea un controlador secundario de dominio "dedicado" a esta tarea y ubicado en un lugar especialmente seguro. La herramienta ADMT "clona" los objetos de seguridad entre los dominios fuente y destino situados en bosques diferentes. Observe que, sin embargo, también puede usarse en la reorganización de un bosque para desplazar los objetos entre los dominios Active Directory del bosque. A propósito de sIDHistory datos de histórico del SID Un objeto de seguridad "clonado" es una cuenta situada en un dominio Active Directory que funciona en modo nativo Windows 2000, en modo Windows Server 2003 o en modo Windows Server 2008, de la que se han copiado las propiedades de origen NT 4.0 a partir de la cuenta fuente. A pesar de tratarse de un nuevo objeto en el dominio Active Directory y de disponer obligatoriamente por ello de un nuevo SID, el antiguo SID de la cuenta fuente se copiará en el atributo Active Directory sIDHistory del nuevo objeto. El hecho de cargar el antiguo SID permite al objeto clonado poder continuar accediendo a los recursos de red sobre los que la cuenta fuente disponía de derechos. Técnicamente, los accesos a los recursos de red se reservan a través del sIDHistory ya que, en modo nativo, el inicio de sesión crea un ticket de acceso Access Token que contendrá el SID principal del usuario y también el sIDHistory del usuario y los sIDHistory de los grupos a los que pertenece el usuario en el antiguo dominio fuente. Estas breves líneas permiten comprender que un nuevo árbol dentro de un bosque existente permite disponer de un nuevo espacio de nombres DNS distinto y de un nuevo dominio Active Directory virgen. Por lo tanto, no es posible "conectar" un árbol de un bosque X como nuevo árbol de un bosque diferente. Ubicación de la nueva arborescencia Este punto permite ahora plantearnos establecer una nueva arborescencia de dominios en el bosque o quizá en un bosque diferente. Es importante plantearse esta cuestión para optar por la mejor opción de cara a futuras evoluciones a corto y medio plazo. Antes de crear una nueva arborescencia para establecer un nuevo espacio de denominación sería razonable evaluar la posibilidad de crear una nueva arborescencia en un nuevo bosque. Esta opción permitiría a la empresa beneficiarse de una autonomía total con respecto a la entidad de administración, de un esquema y de una configuración diferentes así como de una separación total entre las infraestructuras técnicas. De esta forma, se podría plantear una separación o cesión de la actividad de una filial de la empresa. La siguiente figura muestra las diferentes posibilidades.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Arborescencia en el mismo bosque y en bosques distintos Una empresa implementa una infraestructura compuesta por tres arborescencias. Los dos primeros se implementan en el primer bosque, permitiendo a la empresa utilizar dos espacios de nombres diferentes en el mismo espacio de seguridad y la misma infraestructura técnica Active Directory. La tercera arborescencia se implementa, esta vez, en un bosque diferente. Esta posibilidad es una muy buena solución si se tiene que considerar una zona de seguridad distinta o la posibilidad de una cesión de esa entidad de la empresa. La sección consagrada a la función del bosque presenta los conceptos de bosque y la noción de confianza de bosques. DCPromo, el Asistente para la instalación de Active Directory, se ocupa de las operaciones de construcción de las arborescencias. Dicho asistente se encargará de crear una relación de confianza Kerberos versión 5 bidireccional transitiva entre el dominio raíz del nuevo árbol y con el mismo tipo de confianza al dominio raíz del bosque. Del mismo modo, las otras arborescencias de dominios del bosque se “conectarán” al dominio raíz del bosque, con el mismo tipo de confianza. La pantalla siguiente muestra que los dominios corp2003.corporate.net y Partners.corporate.net poseen confianzas bidireccionales transitivas de tipo Raíz del árbol.
El dominio booster2008.Corp2008.Corporate.net y Partners.Corporate.net se autorizan mutuamente
Disponibilidad del dominio raíz del bosque
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Como hemos precisado más arriba, estas complejas operaciones son realizadas automáticamente por DCPromo. Sin embargo, Microsoft sugiere que se haga todo lo preciso para garantizar la disponibilidad del dominio raíz del bosque con respecto a los dominios raíz de las arborescencias. Deben considerarse dos aspectos fundamentales: 1. Las confianzas son transitivas: la transitividad de las relaciones de confianza Kerberos versión 5 requiere contactar con el dominio raíz del bosque. Por consiguiente, se deberá asegurar la posibilidad de contactar con al menos un controlador de dominio de ese dominio. 2. Los paquetes de autenticación Kerberos están marcados con un reloj: Conocemos bien la potencia del protocolo Kerberos versión 5. Las funcionalidades de antireplay integradas en el protocolo Kerberos precisan del marcado de la hora de los paquetes de autenticación. De hecho, el sistema de sincronización horaria debe funcionar a nivel de bosque. La referencia global se define en el dominio raíz del bosque y después se transmite a los demás dominios del bosque atravesando las diferentes arborescencias. El sistema de sincronización horaria se implementa en los controladores de dominio con la función de maestros de operaciones PDC Emulator. Esos equipos son, por lo tanto, especialmente importantes en lo que se refiere al funcionamiento del protocolo de autenticación Kerberos versión 5, y ello aparte del resto de funciones que pudieran desempeñar dentro del bosque. El controlador en cuestión dispone de las funciones de maestro de operaciones FSMO PDC Emulator, catálogo global, controlador de dominio Active Directory en el sentido LDAP del término, centro de distribución de claves Kerberos y servidor de tiempo a través del servicio Reloj Windows o W32 Time. A propósito de los nombres de dominio hijo Una vez creado el dominio o dominios raíz de la arborescencia, en función del nombre de la empresa o de una división particular, será conveniente definir la política de denominación de los dominios hijo dentro de una arborescencia de dominio concreto. Las modificaciones que deberán aplicarse en la infraestructura de dominios de un bosque Active Directory son sinónimos de complejidad, riesgo potencial de falta de disponibilidad y, en muchos casos, de imposibilidad. Desde los primeros modelos de arquitectura definidos por Microsoft con algunos grandes clientes, Microsoft siempre ha prevenido de las limitaciones que siguen existiendo incluso cinco años después. Los dominios hijo de un dominio raíz de arborescencia pueden representar fácilmente a entidades conocidas por los usuarios y, por tanto, autorizadas globalmente. Ese sería el caso de los siguientes tipos de entidades: ●
regiones geográficas, países, sitios departamentales;
●
entidades administrativas, departamentos de empresa;
●
entidades específicas de una actividad particular.
Una buena práctica que nos permitirá aprovechar plenamente de la arquitectura de dominios Active Directory, relativa a la denominación de nombres de dominio hijo de un dominio raíz de arborescencia, consiste en apoyarse en los sitios geográficos. La definición de un espacio de nombre para el directorio Active Directory debe considerar la probabilidad de que se produzca una reorganización imprevista con el impacto más limitado posible sobre la jerarquía o jerarquías de dominio.
Creación de una arborescencia y controles realizados por DCPromo Cuando se implementa un nuevo dominio para crear una arborescencia de dominio, el asistente para la instalación del directorio Active Directory efectúa una serie de operaciones de control: ●
Comprobación del nombre DNS declarado. El nombre declarado debe crear una ruptura del espacio DNS existente en el bosque y el nombre NetBIOS del dominio debe ser único.
●
Búsqueda de un controlador de dominio operativo para el dominio raíz del bosque.
●
Replicación de las particiones de esquema y de configuración.
●
Creación de la nueva partición necesaria para el nuevo dominio y de los nuevos objetos predeterminados de la misma.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
●
●
●
Generación del SID del nuevo dominio y de la directiva de seguridad. Creación de un objeto TDO (Trusted Domain Object) en el dominio raíz para el nuevo dominio de la nueva arborescencia. Creación de un objeto TDO (Trusted Domain Object) en el dominio de la nueva arborescencia para el dominio raíz del bosque.
●
Creación de una relación de confianza bidireccional entre los dos dominios.
●
Creación de la directiva de grupo del dominio.
●
Definición de la seguridad en el controlador de dominio, de los archivos Active Directory y de las claves del registro.
Aunque la interfaz gráfica y los manuales técnicos nos expliquen que las confianzas creadas por dcpromo son relaciones bidireccionales, observe que, en realidad, se trata técnicamente de dos relaciones unidireccionales. Para obtener más detalles sobre las operaciones realizadas por DCPromo, consulte los registros de instalación del directorio Active Directory en \%Systemroot%\debug. Los ficheros DCPromo.log y DCpromoUI.log consignan todas las operaciones del proceso de instalación del directorio Active Directory en el equipo, mientras que los archivos NtFrsApi.log y NtFrs_000x.log consignan las operaciones de instalación del volumen de sistema compartido Sysvol. Los servidores Windows Server 2003 y Windows Server 2008 que utilizan la carpeta %Systemroot%\debug para almacenar los ficheros de seguimiento de instalación y desinstalación. En lo que respecta a Windows Server 2008, se encontrará nuevos registros con las operaciones relativas a las nuevas funciones soportadas por el Administrador del servidor.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Los bosques Un bosque es una instancia completa del directorio Active Directory. En primer lugar parece que Active Directory existe sólo a partir del momento en que se crea un nuevo dominio. Sin embargo, la creación de ese primer dominio sólo podrá hacerse habiendo especificado previamente que el dominio está incorporado a un nuevo bosque. Dicho de forma más simple, para que el bosque exista, es necesario una arborescencia que contenga un dominio Active Directory y, por lo tanto, como mínimo un dominio. Cada bosque existe gracias al conjunto de los controladores de todos los dominios del bosque. Esto significa también que, finalmente, un controlador de un dominio concreto es "antes que nada" un controlador del bosque. Evidentemente, el bosque sólo es operativo a través del primer dominio instalado. Luego, en función de las necesidades o de las restricciones de cada organización, será posible agregarle otros dominios. Esos dominios podrán formar parte del espacio de nombres inicial o de un nuevo espacio de nombres a través de una nueva arborescencia. Por definición, todos los dominios de un bosque comparten: ●
un esquema común;
●
una configuración común;
●
un alcance de búsqueda global a través de los controladores de dominio con la función de catálogo global;
●
relaciones de confianza bidireccionales transitivas que representan la estructura lógica del bosque.
El siguiente esquema muestra una instancia Active Directory.
Estructura de un bosque Active Directory Como puede constatar en esta figura, el bosque posee un dominio particular situado en la parte más alta del espacio: el dominio raíz del bosque. El dominio raíz del bosque es el primer dominio instalado. De hecho, el establecimiento del bosque requiere del establecimiento de una arborescencia que, a su vez, requiere del establecimiento de un dominio que, a su vez, requiere de la instalación de un equipo con el estatus de controlador de dominio y de catálogo global Active Directory. Hemos visto antes cuáles eran las operaciones de construcción de una nueva arborescencia realizadas por DCPromo. Uno de los puntos importantes es la creación de los objetos TDO Trusted Domain Object y de las confianzas de dominio. Ahora, si miramos la parte correspondiente al bosque, el punto más importante será, por supuesto, el dominio raíz. Este dominio desempeña la función de punto de control y de paso obligado para numerosas operaciones de carácter global. Entre esas operaciones podemos citar todas las referentes a la gestión de derechos y a la configuración a nivel del bosque y también la transitividad de las autenticaciones entre los dominios del bosque mediante el protocolo Kerberos versión 5.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
1. Criterios, función y buen uso de los bosques La finalidad de la presente sección es ayudarle a optar por las mejores opciones en función de los diferentes contextos o escenarios con los que se puede encontrar. La pregunta es "¿Cuándo es realmente necesario crear un nuevo bosque?". Aunque sea cierto que un bosque es una instancia completa del directorio Active Directory, y a pesar de que hace varios años Microsoft proclama que un bosque representa a una empresa "entera" o a una organización en el sentido Exchange del término, Microsoft siempre ha dado a entender que, en el futuro, sería posible imaginar una mayor interoperabilidad en los entornos compuestos de más de un bosque. Lógicamente, e incluso si lo que se recomienda es construir infraestructuras fáciles de mantener, el hecho de crear varios bosques permite a las empresas disponer de varias zonas de autoridades francas. Después será posible conectarlas creando confianzas externas o confianzas de bosques. Esta evolución en la estrategia permite construir soluciones en las que los bosques de la empresa se conectan con los demás bosques de esa empresa o incluso con bosques pertenecientes a socios externos. Este planteamiento permite concebir todas las posibilidades asociadas a los bosques de Active Directory, que se enumeran a continuación: ●
●
●
El bosque Active Directory es un conjunto de dominios Active Directory. A título informativo diremos que los objetos de tipo "dominio" son técnicamente contenedores basados en las clases dominio, dominioDNS y samDominio. El bosque Active Directory es un conjunto de unidades de replicación. Dichas unidades de replicación proceden directamente de las particiones soportadas por cada uno de los dominios del bosque. El bosque Active Directory es una frontera de seguridad y también puede ser una opción de contenedor para plantear una delegación de autoridad en el ámbito del bosque.
2. Configuración del bosque y del dominio raíz En entornos Windows 2000 Active Directory, no se pueden efectuar operaciones de cambio importantes como la eliminación, la modificación o el cambio de nombre del dominio de la raíz del bosque. Esas limitaciones eran conocidas desde la Beta 3 de Windows 2000 y Microsoft ya preveía entonces que estas operaciones podrían realizarse con la versión principal siguiente de Active Directory. Análogamente a Windows 2000 Server, Windows Server 2003 está disponible como una versión "menor 5.2" y, por consiguiente, sólo están disponibles algunas funcionalidades. Los servicios de directorio Active Directory de Windows Server 2003 soportan que el dominio raíz se renombre o reestructure, pero no podrá ser eliminado. A propósito del renombrado de dominios Active Directory: la herramienta de renombrado de dominios Windows Server 2003 Active Directory Domain Rename Tool, proporciona una metodología para cambiar el nombre DNS y el nombre NetBIOS de un dominio Active Directory. Tenga cuidado con las numerosas limitaciones que existen. Por ejemplo, esta herramienta no se debe utilizar en bosques que tienen servidores Exchange Server que no utilizan como mínimo Exchange Server 2003 SP1. Para obtener información relativa a estas delicadas operaciones, puede consultar el Webcast Microsoft titulado "Microsoft Windows Server 2003: Implementing an Active Directory Domain Rename Operation" consultando el artículo 819145.
Los dominios que funcionan en el nivel Windows Server 2008 están sometidos a las mismas limitaciones. Por ejemplo, la instalación de servicios AD CS Active Directory Certificate Services, impide las operaciones de renombrado en los servidores Windows Server 2008. Particiones del bosque El dominio raíz del bosque es muy importante ya que se usa para dar nombre y localizar la partición de configuración y la partición de esquema del bosque. Así, para el dominio raíz corpnet.corporate.com, Active Directory muestra los "DN" de las dos particiones de la manera siguiente: Para la partición de configuración: cn=configuration,dc=corpnet,dc=corporate,dc=com Para la partición de esquema: cn=schema,cn=configuration,dc=corpnet,dc=corporate,dc=com
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
De hecho, esos objetos no existen realmente en tanto que hijos del dominio raíz del bosque, De igual modo, podría parecer que la partición de esquema está contenida en la partición de configuración, ¡pero no es así en absoluto! De hecho, la idea es hacer que, sea cual sea el dominio del bosque, estas importantes particiones estén referenciadas con los mismos nombres. Así, todos los controladores de dominio de cualquiera de los dominios del bosque "detentan" las particiones: ●
cn=configuration, DN del dominio Raíz del Bosque;
●
cn=schema,cn=configuration, DN del dominio Raíz del Bosque.
Los nombres comunes (DN Distinguished Names) de las particiones de configuración y de esquema suministran sólo una visión lógica de esos contenedores y no una representación física de su "ubicación" Active Directory.
Creación del dominio raíz del bosque La implementación del dominio raíz del bosque permite crear el DIT (Directory Information Tree) inicial que servirá de "esqueleto" para la infraestructura de los servicios de directorio Active Directory. Así, es Asistente para la instalación de Active Directory Dcpromo, realiza las siguientes operaciones: ●
●
●
Se crean los contenedores de las particiones de esquema y configuración. Se asignan las funciones de maestro de operaciones PDC Emulator, RID, Domain Naming, Schema e Infrastructure. Al tratarse del primer dominio instalado, el primer controlador del primer dominio del bosque posee todos los maestros de operaciones. Se crean en ese dominio los grupos Administradores de organización y Administradores de esquema. Esta operación es muy importante porque estos dos grupos gestionan toda la infraestructura Active Directory, que debe considerarse como una zona de seguridad únicamente vinculada a esa instancia de Active Directory.
3. Activación de las nuevas funcionalidades de bosque de Windows Server 2003 y de Windows Server 2008 Para activar las nuevas funcionalidades disponibles en el bosque, todos los controladores de dominio del bosque deben funcionar con Windows Server 2003 y después se deberá elevar el nivel funcional del bosque hasta el nivel Windows Server 2003. Para poder elevar el nivel funcional del bosque al nivel Windows Server 2003, todos los dominios del bosque deberán funcionar previamente en el nivel funcional de dominio Windows Server 2003 o Windows Server 2008. Después, una vez que todos los dominios del bosque funcionan en ese modo, tendrá la posibilidad de alcanzar el nivel funcional de bosque Windows Server 2003. Es posible aumentar el nivel funcional del bosque al nivel Windows Server 2003 aunque algunos dominios Active Directory funcionen en modo Windows 2000 nativo. En estos casos, los dominios que funcionen en modo Windows 2000 nativo serán automáticamente elevados al nivel Windows Server 2003 sin que usted se de cuenta de ello. La iniciativa se tomará "espontáneamente" si no existen controladores de dominio Windows 2000 Server en ningún dominio del bosque.
El paso de un dominio del modo nativo Windows 2000 al modo Windows Server 2003 sólo puede efectuarse si todos los controladores de dominio funcionan con Windows Server 2003. El paso de un dominio que funciona en modo Windows Server 2003 al nivel funcional Windows Server 2008 no se puede realizar si todos los controladores de dominio no funcionan con Windows Server 2008. Al igual que ocurre con Windows 2000 para pasar del modo mixto al modo nativo, la operación en curso es imposible de detener y, por consiguiente, el aumento de los niveles funcionales de los dominios y de los bosques es irreversible.
Modos de los bosques y funcionalidades soportadas por Windows Server 2008 Los bosques que funcionan con Windows Server 2008 soportan todas las funcionalidades del nivel funcional de bosque Windows Server 2003, además de funcionalidades suplementarias. Sin embargo, todos los dominios que se añaden posteriormente al bosque funcionarán por defecto en el nivel funcional de dominio Windows Server 2008.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Para simplificar la administración, y si tiene previsto incluir controladores de dominio que ejecuten Windows Server 2008 en todo el bosque, puede elegir el nivel funcional del bosque. Procediendo de esta manera, no será necesario aumentar el nivel funcional de los dominios que cree en el bosque.
Modo de los bosques y funcionalidades soportadas por Windows Server 2003 Las funcionalidades reservadas a los bosques Windows Server 2003 son las siguientes: Mejoras en la replicación del catálogo global
Función desactivada en modo Windows 2000, excepto cuando los catálogos globales, directamente asociados a las replicaciones, funcionan con Windows Server 2003. Función disponible en modo Windows Server 2003. Objetos de esquema inactivos
Función desactivada en modo Windows 2000. Función disponible en modo Windows Server 2003. Si el nivel funcional del bosque se ha elevado a Windows Server 2003, será posible redefinir una clase o un atributo después de haberlos desactivado. A modo de recordatorio diremos que, con Windows 2000, las clases y los atributos agregados al esquema básico pueden desactivarse sin aumentar el nivel funcional del bosque, sin embargo, sólo es posible modificarlos si el nivel funcional del bosque es Windows Server 2003 (o superior). Confianzas de bosques
Función desactivada en modo Windows 2000. Función disponible en modo Windows Server 2003. Si el nivel funcional del bosque se ha elevado a Windows Server 2003, podrá conectar o vincular dos bosques Windows Server 2003 diferentes con ayuda de una relación de confianza transitiva unidireccional o bidireccional. En caso de que la confianza creada sea bidireccional, es posible que los dominios de cada uno de los dos bosques se autoricen. Las confianzas de bosque son interesantes ya que aportan las ventajas siguientes: ●
Gestión simplificada reduciendo el número de confianzas externas necesarias.
●
Relaciones bidireccionales completas entre todos los dominios de cada bosque.
●
Soporte del inicio de sesión a través del UPN (User Principal Name) entre dos bosques.
●
Soporte de los protocolos Kerberos versión 5 y NTLM.
●
Flexibilidad de administración ya que cada bosque es una zona de poder.
Replicación de los valores vinculados
Función desactivada en modo Windows 2000. Función disponible en modo Windows Server 2003. La replicación de los valores vinculados (LVR Listed Values Replication) permite replicar de forma separada los diferentes valores de un atributo compuesto por múltiples valores. Por ejemplo, en los controladores de dominio Windows 2000, cuando se efectúa una modificación de un miembro de un grupo debe replicarse el atributo correspondiente. La replicación LVR permite replicar de manera independiente los valores modificados y no el contenido del grupo entero. Al igual que para las funcionalidades descritas más arriba, se deberá elevar el nivel funcional del bosque hasta Windows Server 2003. Cambio de nombre de un dominio
Función desactivada en modo Windows 2000. Función disponible en modo Windows Server 2003. Mientras que siempre había sido posible cambiar el nombre de los dominios Windows NT, y que Windows 2000 y el directorio Active Directory aportaban multitud de nuevas funcionalidades, la asignación de nombres DNS a los dominios Windows 2000 debía planificarse correctamente debido a la imposibilidad de cambiar el nombre de toda o parte de la estructura de dominios. Los servidores Windows Server 2003 soportan en la actualidad esta funcionalidad siempre y
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
cuando todos los controladores de dominio del bosque funcionen con Windows Server 2003, que todos los dominios funcionen en modo Windows Server 2003 y que el bosque funcione también en el nivel funcional de bosque Windows Server 2003. La funcionalidad de cambio de nombre de un dominio será especialmente útil si la empresa realiza la compra de otra, o por qué no, cambia de razón social. De hecho, el cambio de nombres de dominio permite efectuar las operaciones siguientes: ●
●
●
cambiar los nombres DNS y los nombres NetBIOS de cualquier dominio de un bosque, incluido el dominio raíz del mismo; reestructurar la posición de cualquier dominio de un bosque, excepto del dominio raíz del bosque, que permanece obligatoriamente en la parte más alta del mismo; reestructurar la jerarquía de dominios para que un dominio situado en una arborescencia X pueda ser desplazado a una arborescencia Y.
La herramienta de cambio de nombres de dominio Rendom.exe, permite las operaciones de cambio de nombre de un dominio cuando el dominio funciona en modo Windows Server 2003. Encontrará esta herramienta en el CDRom de Windows Server 2003 en la carpeta Valueadd \Msft\Mgmt\Domren.
Atención al hecho de que el cambio de nombre de un dominio tiene importantes efectos en todos los controladores de dicho dominio. Antes de usar esta herramienta es indispensable que consulte la documentación relativa a Microsoft Domain Rename Tool en el sitio web de Microsoft en la siguiente dirección: http://www.microsoft.com/windowsserver2003/downloads/domainrename.mspx
Algoritmos de replicación Active Directory mejorados
Función desactivada en modo Windows 2000. Función disponible en modo Windows Server 2003. Los controladores de dominio que funcionan con Windows Server 2003 mejoran de manera significativa las numerosas funcionalidades de Windows 2000. Así, Windows Server 2003 mejora la utilización de la memoria y dispone de un nuevo algoritmo de administración de los sitios Active Directory. Estas mejoras permiten especialmente a las grandes empresas dar soporte a infraestructuras compuestas de un número de dominios y sitios más importante. Más adelante veremos que todos los sitios Active Directory disponen de un controlador de dominio que desempeña el papel de generador de la topología intersitios (ISTG Inter Sites Topology Generator). La actualización de los controladores de ese tipo a Windows Server 2003 mejorará las replicaciones incluso si los sitios y los dominios contienen aún controladores de dominio Windows 2000. Microsoft recomienda posicionar en cada sitio un controlador de dominio que funcione con Windows Server 2003 y que desempeñe la función de catálogo global y ISTG. Está claro que los clientes que disponen de un único controlador de dominio por sitio tendrían que actualizar todos los controladores.
Como la mayoría de nuevas funcionalidades aportadas por Windows Server 2003 apuntan a mejorar y a optimizar el funcionamiento, podría acordarse hacer las actualizaciones sólo en los sitios que se beneficiarán de las mejoras. Atención, algunas funcionalidades sólo podrán activarse si el bosque se declara para funcionar en el nivel funcional Windows Server 2003. Eso ocurrirá con el nuevo algoritmo de gestión de conexiones intersitios. En los bosques Windows 2000, el ISTG está limitado a una topología de unas centenas de sitios como máximo, 300 sitios Active Directory. Los controladores Windows Server 2003 que funcionan en bosques Windows Server 2003 generan una topología de replicación que puede alcanzar los 3000 sitios. Además de esta nueva capacidad, el ISTG de cada sitio debería ser capaz de realizar una selección aleatoria del servidor o servidores cabeza de puente del sitio para repartir más equitativamente la carga de replicación intersitios con ayuda de la herramienta Active Directory Load Balancing adlb.exe, suministrada con el Kit de recursos técnicos de Microsoft Windows Server 2003. Evidentemente, esta posibilidad es especialmente interesante cuando un sitio se comunica con muchos otros en forma de estrella. A propósito del ISTG, del KCC, de los BHS y de ADLB (Active Directory Load Balancing): el KCC Knowledge Consistency Checker, es un componente disponible en Windows 2000 Server y Windows Server 2003. Su papel consiste en mantener la topología de replicación intra e intersitios. Creando objetos de tipo conexión se puede ajustar la topología física en función de la disponibilidad de los controladores de dominio, de los costes de © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
replicación y de las horas de apertura de los enlaces de sitio. El KCC realiza un control de la topología de replicación cada 15 minutos y aplica automáticamente los cambios necesarios. Por definición, cada sitio Active Directory posee (al menos) un controlador de dominio con la función de ISTG, KCC y también de servidor de cabeza de puente o BHS para Bridge Head Server. Con Windows 2000, el KCC sólo puede disponer de un único BHS por sitio y por partición. Con Windows Server 2003, el KCC puede distribuir las replicaciones entre varios servidores BHS creando o modificando los objetos de conexión existentes. Luego puede utilizar la herramienta ADLB (Active Directory Load Balancing Tool) para reequilibrar la carga entre los diferentes BHS. Observe que en caso de que uno de los servidores BHS no estuviera disponible, el KCC podrá modificar los objetos de conexión modificados por ADLB, excepto si los objetos de conexión disponen de calendarios para que la carga de replicación saliente de cada servidor se distribuya regularmente en el tiempo.
Para obtener más información acerca de la replicación Active Directory y sus mejoras con Windows Server 2003, vaya a la Web del Kit de recursos técnicos de Microsoft en la dirección http://www.microsoft.com/reskits o consulte la página sobre replicación Active Directory en la dirección http://go.microsoft.com/fwlink/?LinkId=1646
Clases auxiliares dinámicas
Función desactivada en modo Windows 2000. Función disponible en modo Windows Server 2003. El soporte de las clases auxiliares dinámicas quiere decir que esas clases se pueden vincular a objetos concretos y no a clases enteras de objetos. Observe que también pueden suprimirse después de la instancia. Modificación de la clase de objetos inetOrgPerson
Función desactivada en modo Windows 2000. Función disponible en modo Windows Server 2003. El directorio Active Directory soporta la clase de objetos inetOrgPerson y sus atributos, tal y como se especifica en el RFC 2798. Microsoft ha implementado esa clase, que no estaba en el esquema de Windows 2000 para ofrecer una mejor interoperabilidad del directorio Active Directory con otros servicios de directorio LDAP y X.500 no Microsoft, sobre todo en lo que se refiere a la migración de los objetos de esos directorios a Active Directory. De hecho la clase inetOrgPerson se deriva de la clase user y se puede usar también como entidad de seguridad. Cuando el dominio funciona en el nivel funcional Windows Server 2003, el atributo userPassword puede usarse con la clase inetOrgPerson y también con la clase de objetos user. Observe que hasta ahora la contraseña de un objeto de la clase user se gestionaba con la ayuda del atributo unicodePwd. Las clases user y inetOrgPerson disponen de los atributos userPassword y unicodePwd. El atributo userPassword se hereda directamente de la clase Person mientras que el atributo unicodePwd se hereda de la clase user.
Conjunto de dominios con confianzas mutuas En el entorno Windows 2000, Microsoft "idealiza" a las empresas con un solo bosque Active Directory, explicando que los entornos multibosque presentan restricciones y una menor "plusvalía" en comparación con los entornos compuestos de un único bosque. Por este motivo, en las organizaciones compuestas por varias zonas de poder, puede resultar razonable crear un bosque por zona de administración. Actualmente, las nuevas posibilidades de Windows Server 2003 permiten proponer soluciones más sutiles. Efectivamente, aparte de las tradicionales confianzas existentes, hoy es posible crear confianzas de bosque que permitirán construir una solución más abierta a las empresas que necesiten varios bosques. Posibilidad de despliegue de un controlador de dominio de sólo lectura ejecutando Windows Server 2008 Un controlador de dominio de sólo lectura es un nuevo tipo de controlador de dominio Windows Server 2008. Acoge dos particiones Active Directory de sólo lectura. Los RODC, Read Only Domain Controllers, permiten desplegar un controlador de dominio cuando la seguridad física no se puede garantizar y es necesario un alto nivel de seguridad. Antes de poder instalar un controlador de dominio de sólo lectura, el nivel funcional del bosque se tiene que definir como Windows Server 2003 o Windows Server 2008. Cuando se trate de un bosque Windows Server 2003, el esquema del bosque se tiene que actualizar.
4. Unidades de replicación y función de los bosques Un bosque es la unidad de replicación más extensa que puede existir dentro de una instancia del directorio Active
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Directory. Los datos sincronizados en los diferentes controladores de dominio del bosque se replicarán y sincronizarán basándose en las particiones del directorio Active Directory. En el capítulo donde tratábamos la integración de las zonas DNS en Active Directory, vimos que existían varias particiones. La finalidad de estas particiones es organizar el directorio en varias regiones y poder controlar mejor de qué manera tienen lugar las replicaciones dentro del bosque. El directorio Active Directory se compone de cuatro grandes tipos de datos. De hecho, existen cuatro grandes tipos de particiones que se usarán para albergar en ellas los siguientes datos: ●
●
Los datos relativos al propio dominio se almacenan en la partición del dominio. Los datos relativos a todo el bosque se almacenan en la partición de configuración y la partición de esquema. En los controladores de dominio que funcionan con Windows Server 2003, el bosque también podrá alojar un nuevo tipo de particiones dedicadas a las aplicaciones: las particiones del directorio de aplicaciones.
Claro está, los objetos de un dominio Active Directory se almacenarán y replicarán en la partición del dominio a todos los controladores de dominio del dominio, mientras que los datos relativos a objetos de la configuración o del esquema se replicarán en las particiones de configuración o de esquema a todos los controladores de dominio del bosque. Describimos a continuación las diferentes particiones y el impacto vinculado a la replicación a nivel de bosque: Partición del esquema Cada instancia Active Directory es un único bosque Active Directory, que contiene una sola versión del esquema del directorio de manera que sólo puede existir una única definición a escala del bosque. El esquema contiene las definiciones de cada clase de objeto sabiendo que éste podrá extenderse en función de las necesidades de la empresa. Al igual que todos los objetos de los sistemas NT que están protegidos por ACL, lo mismo ocurre con las clases de objeto declaradas en el esquema. Partición de configuración Cada instancia Active Directory contiene una sola configuración del directorio a escala del bosque. La configuración describe la topología y otros parámetros del bosque como pueden ser la lista de dominios, árboles, bosques, así como la ubicación de los controladores de dominio y los catálogos globales en relación con los sitios Active Directory. Al igual que ocurre con la partición de esquema, la partición de configuración se replica en todos los controladores de dominio del bosque. Particiones del directorio de aplicaciones Los datos especificados de las aplicaciones pueden almacenarse en particiones del directorio de aplicaciones de Active Directory. Al contrario de las aplicaciones de empresa como Microsoft Exchange Server o Microsoft Systems Management Server que modifican el esquema y luego se integran en las particiones de configuración y/o dominio, algunas aplicaciones almacenarán en esas nuevas aplicaciones de datos de carácter "menos global". De esta forma, es posible crear particiones específicas que sólo repliquen en los controladores que usted elija, sea cual sea su ubicación dentro del bosque. Una de las principales ventajas de este nuevo tipo de partición es que ofrece a las aplicaciones un espacio de almacenamiento altamente tolerante y globalmente disponible en la estructura de la empresa. Funcionalmente hablando, el motor de replicación del directorio Active Directory es multimaestro. Esto significa que cualquier objeto puede ser creado y también modificado en cualquier controlador de dominio del bosque. Se trata, por supuesto, de un concepto general, pero fundamental porque permite que el directorio Active Directory sea globalmente extensible, administrable y que esté disponible en cualquier punto de la red sin depender de un único maestro como hasta ahora ocurría con LAN Manager y Windows NT. El granulado de replicación se aplica a los objetos, atributos de objeto y también a los valores "múltiples" propios de ciertos atributos. Este último aspecto afecta a la replicación de una lista de valores, llamada LVR Listed Values Replication. A modo de ejemplo, diremos que cuando se efectúa una modificación en un grupo por ejemplo, el agregado o eliminación de un miembro todo el grupo debe replicarse en los controladores de dominio que funcionan con Windows 2000. Cuando el dominio se eleva al nivel Windows Server 2003, la replicación LVR se activa y sólo se replica el miembro modificado. De esta forma ya no es necesario replicar ese atributo particularmente pesado en los diferentes controladores de dominio. Preste atención, sin embargo, al hecho de que las operaciones de carácter único controladas por los maestros de operaciones a nivel del bosque hacen que no sea posible realizar ciertas operaciones sobre cualquiera de los controladores de dominio del bosque sino únicamente sobre los controladores de dominio con la función concreta FSMO. Cuidado: la replicación Active Directory respeta las excepciones vinculadas a las cinco funciones FSMO, que son los tres FSMO de cada dominio al que será conveniente agregar los dos FSMO dedicados a las operaciones de bosque.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Por consiguiente, para que la replicación sea plenamente operativa a escala del bosque, deberá considerar que finalmente es preciso que los controladores de dominio, los cinco maestros de operaciones simples (FSMO, Flexible Single Master Operations), la topología intersitios y los equipos con función de catálogos globales estén correctamente configurados y, si es posible, operativos. En caso de que uno de esos múltiples elementos sufriera un fallo, los servicios ofrecidos por el elemento en cuestión ya no estarán disponibles y podrán producirse los siguientes casos: ●
●
●
●
Si está ausente un controlador de dominio del sitio, se solicitará otro controlador del sitio. Si está ausente el único controlador del sitio, se recurrirá a otro controlador de otro sitio del dominio para que "socorra" al sitio. Luego será seleccionado por los clientes del sitio. Si no están disponibles los maestros de operaciones de bosque, no estarán disponibles las funciones de esquema y de creación y eliminación de dominio dentro del bosque, sin que por ello el funcionamiento de los dominios del bosque quede perjudicado. Si no está disponible el catálogo global de un sitio, se escogerá y seleccionará otro catálogo situado en otro sitio. Si no hubiera ningún catálogo disponible, los inicios de sesión de los usuarios seguirán teniendo lugar, excepto para los usuarios que no hayan iniciado nunca una sesión de dominio a partir del controlador de dominio escogido, a menos que se haya desactivado el uso de los GC para las autenticaciones cuando el dominio funciona en modo Windows 2000 nativo, en modo Windows Server 2003 o en modo Windows Server 2008.
Cuidado: los miembros del grupo Administradores del dominio siguen teniendo la posibilidad de autenticarse en el dominio cuando los controladores GC no estén disponibles. Esta posibilidad permite que los administradores del dominio se conecten a él, incluso en modo funcionalidad reducida, para poder investigar el problema.
5. Maestros de operaciones FSMO de bosques Antes hemos visto que cada dominio Active Directory disponía de tres maestros de operaciones a través de los PDC Emulator, RID Master y la Infrastructure Master para administrar las operaciones de carácter único. El mismo problema se plantea en el bosque, que posee dos funciones de maestro de operaciones simple. Al igual que las funciones FSMO de dominio son únicas en cada dominio, las funciones FSMO de bosque lo son dentro del bosque. En otros términos, sólo puede existir un único controlador de esquema y un único maestro de atribución de nombres de dominio en todo el bosque. El maestro de operaciones Controlador de esquema El controlador de dominio con la función de controlador de esquema controla todas las operaciones de actualización y modificación del esquema del directorio Active Directory. Por consiguiente, para actualizar el esquema de un bosque es obligatorio contactar con el equipo controlador de esquema. Como hemos explicado anteriormente, sólo puede existir un controlador de esquema para un bosque concreto. El maestro de operaciones Maestro de atribución de nombres de dominio El controlador de dominio con la función de maestro de atribución de nombres de dominio controla todas las operaciones de agregado o eliminación de dominios dentro del bosque. Al igual que ocurre con el controlador de esquema, no puede existir más que un maestro de atribución de nombres de dominio para un bosque determinado.
6. El bosque y la infraestructura física Active Directory Acabamos de ver que el bosque Active Directory desempeña un papel fundamental en tanto que el elemento de la estructura técnica de la instancia Active Directory. Para implementar el aspecto físico de la infraestructura técnica del bosque Active Directory, nos quedan por descubrir dos elementos fundamentales: Los objetos sitios Active Directory Por definición, los sitios representan la estructura física de la red física. En el ámbito del bosque, los objetos sitios permiten representar la topología real de la red en términos de zonas de conectividad. Así, los controladores de dominio, servidores y equipos clientes miembros del mismo sitio Active Directory se comunicarán más rápido y con más frecuencia que si los asociados están situados en diferentes sitios. Los sitios son muy importantes para optimizar el uso del ancho de banda entre controladores situados en sitios geográficamente distantes y conectados por enlaces con un ancho de banda bajo. Los controladores de dominio catálogo global
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Por definición, los controladores de dominio con la función de catálogo global (o GC, de Global Catalog) poseen una copia de todos los objetos de todos los dominios del bosque. Sin embargo, cuando un controlador de dominio determinado ejerce la función de catálogo global del bosque, "conoce" naturalmente todos los objetos de su propio dominio, pero sólo posee una copia parcial de los objetos procedentes de otros dominios del bosque. Esto significa que todos los objetos procedentes de otros dominios del bosque. Esto significa que se conocen todos los objetos sin excepción, pero no lo son todos los atributos de dichos objetos.
Las particiones presentadas en los GC procedentes de otros dominios del bosque reciben el nombre de conjuntos de atributos parciales PAS (Partial Attributes Set). Ni los usuarios, ni las aplicaciones tienen necesidad de conocer los "detalles" de la estructura de dominios y de los árboles del bosque. Les basta con llamar a uno de los catálogos globales del bosque para encontrar y localizar el objeto buscado basándose en los atributos más interesantes incluidos en los catálogos globales. Por defecto, el primer controlador de dominio del primer dominio del bosque es el primer catálogo global. La ventana siguiente, por ejemplo, dirige una petición LDAP a los catálogos globales para que busque en Todo Active Directory una impresora que soporte la impresión en colores y en un formato de papel A4.
La definición de las zonas DNS de Active Directory permite localizar los diferentes servicios ofrecidos dentro del bosque como, por ejemplo, un controlador de dominio GC para un sitio determinado a través del registro de recurso de servicio DNS _gc._tcp.NombredeSitio._sitios.NombredeBosque. Evidentemente, "NombredeBosque" corresponde al nombre del dominio raíz del bosque y el protocolo de transporte declarado en el registro de servicio DNS declara el uso del servicio _gc en TCP en el puerto 3268, puerto usado por los controladores de dominio con la función de catálogo global. Por lo tanto, los catálogos globales responden por su dominio en el puerto TCP 389 y por el bosque en general en el puerto TCP 3268. Sin duda podrá y tendrá que declarar otros catálogos globales para ofrecer los servicios de búsqueda globales a todos los usuarios y aplicaciones que se encuentren en los diferentes sitios geográficos de la empresa. De esta forma, éstos podrán: ●
●
●
●
Buscar "localmente" objetos en todo el directorio Active Directory. Resolver los sufijos de nombres principales cuando un controlador de dominio debe autenticar a un usuario basándose en su UPN User Principal Name, como por ejemplo [email protected]. Resolver los miembros de los grupos universales. A modo de recordatorio, diremos que los grupos de distribución y de seguridad de tipo universal se almacenen únicamente en los controladores de dominio con la función de catálogo global. Resolver las referencias en objetos situados en otros dominios del bosque.
7. Fronteras de seguridad y función de los bosques Sabemos que en un entorno compuesto por varios dominios Windows NT, la autoridad de gestión, administración y control más alta es el dominio. Efectivamente, el administrador de un dominio determinado puede, por naturaleza © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
misma, optar por tomar posesión de todo objeto controlado en el marco de dicho dominio. En referencia al directorio Active Directory, la pregunta que debemos formularnos es: "¿Existe en el bosque una autoridad superior que pueda apropiarse de los objetos situados en otros dominios del bosque?". La respuesta es "¡Sí!" la persona encarnada por un usuario miembro del grupo Administradores de organización. Atención: los miembros del grupo Administradores de organización pueden controlar todos los objetos de todos los dominios del bosque. La protección de los miembros de este grupo es muy importante y depende esencialmente de la administración del dominio raíz del bosque. Observe también que el grupo Administradores de organización y el grupo Administradores del esquema sólo existen en la raíz del bosque. Dado que el contenedor situado en el nivel más elevado del espacio controlado es el bosque, parece claro que los administradores de un bosque X no puedan tomar el control de un objeto situado en un dominio de otro bosque, excepto, claro está, cuando así lo desee un administrador del bosque que posea el objeto. El esquema presentado a continuación muestra la separación de poderes en el bosque. Cada bosque dispone de su grupo Administradores de organización y cada bosque es por definición una frontera de seguridad. Haya o no una confianza de dominio o de bosque entre los dominios raíz de los dos bosques, los miembros del grupo Administradores de organización de un bosque no podrán tomar posesión de los objetos situados en el otro bosque.
Aislamiento de la seguridad de los controles de acceso en la entidad de bosque
Delegación en los bosques Debido a que el bosque es una verdadera unidad aislada y autónoma, los arquitectos de Active Directory pueden proponer el bosque como un elemento capaz de desempeñar el papel de frontera de seguridad y de zona de administración y de poderes. Acabamos de ver que los miembros del grupo Administradores de organización no pueden tomar el control de los objetos situados en cualquier dominio del bosque. Por el contrario, los Administradores de organización tienen todos los poderes sobre todos los dominios miembros del bosque incluso en el caso de que se les hayan retirado ciertos poderes. Atención: debido a su estatus, los Administradores de organización tendrán siempre, por definición, la oportunidad de otorgarse de nuevo los ficheros que les faltan. Si realmente resulta necesario crear otra zona de seguridad para disponer de un aislamiento real, la única solución será crear un nuevo bosque y declarar manualmente las confianzas necesarias en función de las necesidades y restricciones deseadas. En caso de que deban establecerse dos zonas de poderes distintos, cree dos bosques. En caso de que cada dominio precise de un aislamiento total, entonces cree un bosque para cada uno de los dominios que precisen un aislamiento de la seguridad. Por supuesto, este proceder no dejará de recordarnos lo que se hacía en el pasado en los entornos Windows NT, pero a situaciones excepcionales, soluciones excepcionales. Más adelante veremos, sin embargo, que las confianzas de bosque son mucho más ricas y eficaces que las antiguas relaciones de confianza NT. La implementación del aislamiento se justificará en los siguientes casos:
- 10 -
●
Debe hacer seguro el acceso a los datos para los usuarios de un bosque determinado de forma exclusiva.
●
Debe disponer de un aislamiento del esquema del directorio.
●
Debe escindir la partición de configuración en varias entidades para aislar las evoluciones en la configuración. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
De esta forma, los impactos vinculados a los cambios de configuración de Active Directory se controlan mejor.
8. Confianzas dentro de los bosques Active Directory Por definición, los cambios relativos a las autenticaciones y a la seguridad de los controles de acceso dentro de un bosque son asumidos por las confianzas internas del bosque. Esas confianzas creadas por DCPromo durante la fase de promoción, son confianzas transitivas bidireccionales capaces de dar soporte a las relaciones de tipo "Padrehijo" y también "Raíz de arborescencia" en modo bidireccional y que soportan la transitividad: ●
●
El modo bidireccional permite al dominio X autorizar el dominio Y y viceversa. La transitividad implica que cuando los dominios X e Y y los dominios Y y Z se autorizan, entonces también los dominios X y Z lo hacen.
Una confianza (o relación de confianza) es una relación establecida entre dominios. Permite una autenticación directa durante la cual un dominio autorizado para otorgar confianzas se ocupa de las autenticaciones de inicio de sesión de un dominio autorizado. Las cuentas de usuario y los grupos globales definidos en un dominio autorizado pueden recibir derechos y confianzas de acceso a un dominio autorizador, incluso si esas cuentas no existen más que en el dominio autorizado a otorgar confianzas.
a. Beneficios de la transitividad en las confianzas La transitividad de las confianzas dentro de los bosques Active Directory permite un acceso interdominios simplificado. Este principio permite a los usuarios del bosque un inicio de sesión único. El principio de inicio de sesión única apareció en 1993 con Windows NT 3.1. Esta funcionalidad esencial, que permite a contextos de seguridad diferentes confiar los unos en los otros, simplifica la gestión de las cuentas de usuario y los grupos que sólo precisan ser creados una vez. Este es uno de los conceptos fundamentales que permiten una centralización de las gestión de las identidades. El modo bidireccional da servicio a la infraestructura técnica y representa una facilidad para los administradores. Estos dos grandes principios permiten que todos los dominios del bosque se autoricen mutuamente. En esos casos, las autenticaciones validadas en un dominio determinado se convierten en potencialmente aceptables en todos los demás dominios del bosque, siempre gracias a la transitividad y al aspecto bidireccional de las confianzas internas. En la medida en que cualquier nuevo dominio del bosque es objeto de una confianza, el número de confianzas necesarias para "conectar" n dominios de un bosque es igual a n1. Un bosque Active Directory es comparable a un entorno de dominios NT construido sobre un modelo de tipo Modelo de confianza total. En comparación, observará que con Windows NT, un modelo compuesto de diez dominios precisa crear y mantener n x n1 dominios, es decir, 90 relaciones de confianza unidireccionales no transitivas. En un entorno Active Directory, el mismo modelo necesita sólo 9 relaciones de confianza bidireccionales transitivas creadas automáticamente, es decir, ¡10 veces menos! Las confianzas disponibles dentro de un bosque Active Directory tienen la misma finalidad que en el entorno Windows NT. Crean una relación entre dos dominios que permite a los usuarios de un dominio acceder a recursos situados en el otro dominio y a los administradores de un dominio controlar los recursos de otro dominio y viceversa, en caso necesario. Las confianzas no dan ningún derecho ni ningún permiso. Sólo permiten que dos contextos de seguridad distintos participen "de igual a igual" en una negociación de seguridad. Es únicamente en un segundo tiempo cuando el administrador de un dominio determinado autorizará a un usuario o a un grupo de otro dominio a manipular de tal o cual manera un recurso determinado.
b. Estructura del bosque y confianzas Desde el punto de vista de la estructura del bosque, cada vez que se agrega un nuevo dominio, DCPromo crea automáticamente una nueva confianza interna bidireccional transitiva entre el dominio padre y el dominio hijo. Lo mismo ocurrirá al crear una nueva arborescencia gracias al establecimiento de una nueva confianza de tipo Raíz de árbol. La pantalla siguiente muestra las propiedades del dominio booster2008.Corp2008.Corporate.net. Este dominio dispone de una confianza de tipo Raíz de árbol y muestra claramente su naturaleza transitiva.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
Confianza interna de tipo Raíz de árbol transitiva y bidireccional
c. Confianzas y objetos TDO en los bosques Active Directory Es interesante constatar que siendo el bosque la entidad de seguridad autónoma más "alta", continuamos pudiendo apoyarnos en las relaciones de confianza para "crear e implementar la confianza" entre espacios de seguridad distintos. Las confianzas le permitirán realizar todas las "conexiones reales y tecnológicas" que se viera obligado a realizar. El concepto mismo de bosque reposa en las confianzas. Aparte de su uso dentro del bosque Windows 2000, Windows Server 2003 o Windows Server 2008, las confianzas permitirán la conexión de los dominios Windows NT, Windows 2000 Server, Windows Server 2003 y Windows Server 2008, de los bosques Active Directory y también de los dominios Kerberos V5 noWindows, es decir, que funcionan principalmente con Unix. Tecnologías, Protocolos de confianza y objetos TDO: ●
●
●
- 12 -
Los controladores de dominio que funcionan con Windows Server 2008, Windows Server 2003 y Windows 2000 Server usan los protocolos Kerberos v5 y NTLM para autenticar a los usuarios y aplicaciones. Por defecto, los ordenadores Windows 2000, Windows XP Professional y Windows Vista miembros de un dominio Windows 2000, Windows Server 2003 o Windows Server 2008 utilizan el protocolo Kerberos v5. En caso de que un ordenador no fuera capaz de negociar el protocolo de autenticación Kerberos v5, se usará el protocolo Windows NT NTLM. El protocolo Kerberos v5 es un protocolo moderno en la medida en que la autenticación inicial permite a los clientes solicitar un ticket de demanda de tickets. Los tickets obtenidos de esta forma serán válidos para servicios determinados alojados por servidores concretos. La autenticación Kerberos v5 es asumida por el controlador de dominio Active Directory por el módulo AS (Authentication Service) mientras que la expedición de los tickets de servicio está asegurada por el módulo TGS (Ticket Granting Services). De hecho, el controlador de dominio desempeña la función de autoridad autorizada entre el cliente y el servidor. Finalmente, el cliente presenta el ticket de servicio aprobado al servidor en el dominio de confianza para su autenticación. A la inversa, el protocolo Windows NT NTLM necesita que el servidor que contiene los recursos contacte con un controlador de dominio de cuenta del cliente para comparar la información de identificación de la cuenta con aquellas contenidas en el vale de acceso del cliente.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
Objetos del dominio de confianza: las relaciones de confianza de cada dominio se representan dentro de Active Directory mediante objetos de tipo dominio de confianza (TDO, Trusted Domain Objects). Cada vez que se establece una relación de confianza, se crea y almacena en el contenedor de sistema de su dominio un objeto TDO único.
Los objetos TDO son objetos especialmente importantes en la medida en que sus atributos describen todas las características de la confianza existente entre dos dominios. Como antes hemos explicado, los objetos TDO de un dominio residen en el contenedor System de dicho dominio.
Objeto de la clase trustedDomain para el dominio corp2003.corporate.net del bosque corp2003.corporate.net En función de las circunstancias en que se crearon las confianzas, los objetos TDO procedentes de la clase trustedDomain serán creados por DCpromo, por la consola de gestión MMC Dominios y confianzas Active Directory o manualmente a través del comando Netdom, incluido en las herramientas de soporte de Windows Server 2003. Los atributos de cada objeto TDO contienen la información sobre el tipo de confianza, su naturaleza, la transitividad de la confianza así como los nombres de los dominios recíprocos. En las confianzas de bosque, los objetos TDO almacenan también atributos adicionales para identificar todos los espacios de nombres que cuentan con la confianza del bosque de su asociado. A continuación encontrará los detalles relativos a los atributos más importantes de una confianza a través de un objeto TDO: flatName Designa el nombre NetBIOS del dominio asociado a la confianza. trustDirection Designa el sentido de la relación de confianza. 0 La confianza está desactivada. 1 La confianza es "entrante". Esto significa que el dominio está autorizado para confiar. 2 La confianza es "saliente". Esto significa que el dominio cuenta con la confianza. 3 La confianza es entrante y saliente a la vez. Esto quiere decir que el dominio cuenta con la confianza y también está autorizado para confiar. trustPartner Este atributo representa el nombre de formato DNS asociado al dominio si se trata de un dominio Active Directory o el nombre NetBIOS del dominio, si se trata de una confianza de nivel bajo, es decir, Windows NT o compatible NT. trustType © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
Este atributo declara el tipo de relación de confianza establecida con el dominio. 1 Confianza de bajo nivel NT o compatible. 2 Confianza Windows 2000. 3 MIT. 4 DCE.
Los tipos de confianzas MIT (Massachusetts Institute of Technology) y DCE (Distributed Computing Environment) permiten dar soporte a diferentes implementaciones Kerberos disponibles en entornos Unix. Las implementaciones MIT y DCE del protocolo Kerberos son ampliamente distribuidas en sistemas Unix como AIX, Solaris, HPUX y muchos otros.
El atributo securityIdentifier de un objeto TDO declara el SID del objeto Con ayuda de ADSI Edit, la pantalla precedente muestra los atributos de un objeto TDO que representa una confianza de árbol. Estos atributos comprenden los nombres de diferentes árboles, los sufijos de nombres de usuarios principales (UPN, User Principal Name), los sufijos de nombre principal de servicio (SPN, Service Principal Name) y los espacios de nombres ID de seguridad (SID, Security ID).
d. Tipos de confianza soportadas Acabamos de recordar que las confianzas permiten la comunicación entre dominios. Así, las confianzas desempeñan el papel de canales de autenticación necesarios para los usuarios de un dominio X para acceder a los recursos de un dominio Y. Cuando se añade un nuevo dominio a un bosque existente, el Asistente para la instalación de Active Directory crea dos confianzas. Describimos a continuación los diferentes tipos de confianza que pueden crearse con el Asistente para nueva confianza o la herramienta de línea de comando Netdom. Confianzas internas creadas por DCPromo Cuando se añade un nuevo dominio al dominio raíz del bosque o como nueva arborescencia a través del Asistente para la instalación de Active Directory, se crean automáticamente confianzas transitivas bidireccionales. Esas - 14 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
confianzas pueden ser de dos tipos diferentes: Confianzas de tipo PadreHijo Cuando se agrega un nuevo dominio hijo a un árbol de dominio existente, se establece una nueva relación de confianza padrehijo transitiva bidireccional. Las peticiones de autenticación efectuadas a partir de dominios que gozan de confianza escalan a la parte superior de la jerarquía de dominios, pasando por su padre, hasta llegar al dominio con autoridad para otorgar la confianza. Confianzas de tipo Raíz de árbol Cuando se crea un árbol de dominio en un bosque existente, se establece por defecto una nueva confianza de raíz de arborescencia transitiva bidireccional.
Las confianzas creadas por DCPromo son indestructibles. Por tanto no se destruyen durante un error de administración.
Los demás tipos de confianzas de Active Directory Active Directory soporta otros cuatro tipos de confianza. Podrá crearlas con ayuda del Asistente para nueva confianza o a través del comando Netdom. Estas confianzas son las confianzas externas, las confianzas de dominio Kerberos, las confianzas de bosque y las confianzas abreviadas.
Declaración de una confianza a través de la consola Dominios y confianzas Active Directory Las confianzas externas son por definición no transitivas y pueden ser unidireccionales o bidireccionales. Una confianza externa se usa para acceder a los recursos situados en un dominio Windows NT 4.0 o en un dominio que se encuentre en otro bosque (no vinculado por una confianza de bosque). Las confianzas de dominio Kerberos v5 son por definición transitivas o no transitivas y pueden ser unidireccionales o bidireccionales. Una confianza de dominio Kerberos v5 permite interoperar a un dominio Windows Active Directory y un dominio Kerberos noWindows. Las confianzas abreviadas son transitivas y pueden ser unidireccionales o bidireccionales. Las confianzas de ese tipo permiten acortar el camino de las autenticaciones Kerberos dentro de un bosque. Este aspecto será especialmente interesante para mejorar los inicios de sesión entre dos dominios cuando ambos están situados en arborescencias diferentes. Las confianzas de bosque son por definición transitivas y pueden ser unidireccionales o bidireccionales. Una autorización de bosque permite "casar" dos bosques. De esta manera, resulta posible compartir los recursos entre ambos bosques, es decir, entre todos los dominios de cada bosque.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
e. Bosques Windows Server (2003 o 2008) y confianzas de bosques Las confianzas de bosque son una nueva funcionalidad de los servicios de directorio de Windows Server 2003 que siguen pudiendo ser utilizadas en los bosque Windows Server 2008. El principio fundamental se basa en el uso de la transitividad de las confianzas Kerberos v5. Efectivamente, los dominios Windows NT y los dominios Active Directory que funcionan con Windows 2000 no permiten a los usuarios de un bosque acceder a los recursos situados en otro bosque. Este punto se explica por el hecho de que, en un bosque que funciona en modo Windows 2000, la transitividad de las confianzas Kerberos sólo está disponible en el caso de las confianzas internas del bosque. Así, debido a que las confianzas externas son por definición unidireccionales y no transitivas, no será posible que el camino de la confianza se extienda a los demás dominios del bosque de destino. En la actualidad, cuando el entorno se compone de dos bosques que funcionan en el nivel funcional Windows Server 2003 y/o Windows Server 2008 y existe una confianza entre los dos dominios raíz de los respectivos bosques, las autenticaciones pueden enrutarse entre todos los dominios de los dos bosques. La confianza de bosque permite entonces que los usuarios del bosque que goza de la confianza accedan a todos los recursos de la red del bosque que otorga la confianza, con la condición, claro está, de que los usuarios dispongan de los permisos adecuados. Las empresas que disponen de más de un bloque podrán entonces beneficiarse de las ventajas siguientes: Un nuevo elemento de estructura El bosque puede convertirse en un controlador utilizable en el ámbito de la política de delegación de la empresa. De esta forma, podrá plantearse la escisión de la administración en varias partes. Una administración más sencilla La transitividad de las confianzas de bosque permite limitar el número de confianzas externas necesarias para compartir los recursos entre los dominios de los dos bosques. Los usuarios de los dos bosques pueden usar las autenticaciones basadas en los UPN, tales como [email protected]. El protocolo Kerberos y también NTLM pueden usarse dentro de cada bosque pero también entre ambos bosques. Confianzas de bosque y nivel funcional de los bosques Las confianzas de bosque necesitan obligatoriamente que los dos bosques asociados funcionen en el nivel funcional Windows Server 2003 y/o Windows Server 2008. Por lo tanto, todos los dominios deben usar el nivel funcional de dominio Windows Server 2003 o posterior, que necesita que todos los controladores de dominio funcionen con Windows Server 2003 o posterior. Aunque el protocolo Kerberos sea el único protocolo capaz de soportar la transitividad dentro del bosque y también entre dos bosques, los servidores Windows NT Server 4.0 miembros de dominios Windows Server 2003 o Windows Server 2008 podrán dar soporte a los controles de acceso procedente de otro bosque. Los controladores de dominio Windows Server (2003 o 2008) con la función de pasarelas de autenticación entre los protocolos Kerberos y NTLM llevan a cabo esta posibilidad. Observe que esta funcionalidad ya estaba presente en los controladores de dominio Windows 2000. Así, un usuario autenticado con el protocolo Kerberos puede, sin ningún problema, ser controlado en NTLM para acceder a un recurso controlado por un servidor Windows NT Server 4.0.
Posibilidades, límites y marco de uso de las confianzas de bosque - 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
f. Enrutamiento de los sufijos de nombres y confianzas en el bosque El enrutamiento de los sufijos de nombres permite administrar la forma en que se transmiten y distribuyen las peticiones de autenticación entre bosques Windows Server 2003 con confianzas de bosque. En la medida en que la primera necesidad consiste en aprovechar la transitividad de las confianzas de bosque, todos los sufijos de nombre únicos se enrutan por defecto. De esta forma, la administración de los dos bosques asociados puede simplificarse enormemente y todos los usuarios de un bosque determinado pueden quizá acceder a los recursos situados en cualquiera de los dominios del otro bosque. Esta configuración inicial podrá sin embargo personalizarse para permitir controlar "mejor" las peticiones de autenticación autorizadas por uno de los dos bosques. Efectivamente, dos bosques pueden estar asociados gracias a una confianza de bosque excluyendo ciertos dominios. Por definición, un bosque es un espacio de nombres únicos materializado por sufijos de nombres únicos. Un sufijo de nombre único es un nombre dentro de un bosque como puede ser un UPN (User Principal Name) un SPN (Service Principal Name), o el nombre DNS del dominio raíz del bosque o de un árbol de dominio. Los nombes presentados a continuación son ejemplos de sufijos de nombre únicos: ●
Rootcorp.corporate.com;
●
Emea.rootcorp.corporate.com;
●
Partners.net;
●
[email protected];
●
[email protected].
Desde el punto de vista del funcionamiento de la confianza del bosque, todos los hijos de todos los sufijos conocidos del bosque se enrutan de forma natural hacia el otro bosque. Por ese motivo la interfaz gráfica de la consola de administración MMC Dominios y confianzas Active Directory muestra todos los sufijos de nombres conocidos con el carácter asterisco (*). Por ejemplo, si el bosque utiliza como sufijo de nombre *.rootcorp.corporate.com, todas las peticiones de autenticación relativas a los dominios hijo de rootcorp.corporate.com como *.emea.rootcorp.corporate.com, se enrutarán a través de la confianza de bosque. Atención: lógicamente, cualquier sufijo de nombre hijo hereda la configuración de enrutamiento del sufijo de nombre único al que pertenece. Sin embargo, el enrutamiento de los nuevos sufijos aparecidos después de la creación de la confianza de bosque estará desactivado por defecto. Esta es la forma de proceder más segura de todas. Efectivamente, no sería normal que un nuevo dominio de un bosque fuera automáticamente autorizado sin que hubiese tenido lugar ninguna validación. Por lo tanto, en un segundo término se podrán visualizar los nuevos sufijos de nombre procedentes de los nuevos dominios integrados tras el establecimiento de la confianza de bosque y sólo entonces optar por activar o no el enrutamiento de las autenticaciones. Para visualizar o modificar el enrutamiento de los nombres de sufijo se puede usar el cuadro de diálogo Propiedades de la confianza del bosque. Seleccionar sufijos de nombre específicos permitirá activar o desactivar el enrutamiento de las autenticaciones hacia el bosque asociado. Detección de sufijos duplicados, administración de conflictos y desactivación automática No es imposible que existan nombres de dominios idénticos en dos bosques diferentes. Esto podría ocurrir, por ejemplo, en dominios que usan nombres genéricos como partners.net o extranet.privnet.net. Es preciso por tanto que la confianza de bosque pueda administrar esta excepción. En caso de que se detectara este problema, el enrutamiento del sufijo de nombre más reciente sería automáticamente desactivado. Microsoft recomienda no agregar el carácter @ al sufijo UPN declarado, ni tampoco nombres de usuario. En efecto, el tratamiento de las peticiones de autenticación enrutadas hacia un bosque con confianza considera que los caracteres situados a la izquierda del carácter @ son el nombre DNS del dominio. La autoridad de seguridad local LSASS, desactiva el enrutamiento de todo sufijo UPN que no respete el formato DSN, lo que ocurriría si incluyéramos el carácter @ en el nombre.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 17 -
Observe que sólo deben declararse los nombres que respeten la denominación DNS. Por consiguiente, cualquier nombre incompatible será desactivado automáticamente. Las operaciones de conflictos propiamente dichas se conocen como colisiones. Las colisiones pueden producirse cuando el mismo nombre DNS, el mismo nombre NetBIOS o el SID de un dominio está en conflicto con otro SID de sufijo de nombre. Estos puntos parecen evidentes, por supuesto. Sin embargo, conviene prestar especial atención a los problemas de nombres de dominio DNS. En efecto, como cualquier conflicto provocará la desactivación del nombre en el ámbito de la confianza del bosque, conviene anticipar lo antes posible las consecuencias de los errores de denominación. Ejemplo de conflicto: sabemos que los dominios corpnet.corporate.com y corporate.com son dominios DNS diferentes. Estos dos dominios DNS forman una arborescencia de dominios dentro del bosque cuyo dominio raíz es corporate.com. Si consideramos que los dos dominios pertenecen a dos bosques distintos, no habrá ningún problema mientras que no haya confianza o no confianza de bosque. Esta observación significa que es perfectamente posible crear una confianza externa entre los dos dominios. Por el contrario, se producirá un conflicto si el bosque llamado corporate.com y el bosque llamado corpnet.corporate.com se reúnen mediante una confianza de bosque. En efecto, como los dos dominios pertenecen al mismo espacio DNS, el enrutamiento entre los dos sufijos de nombre se desactivará. Observe sin embargo que el enrutamiento continuará funcionando en los demás sufijos de nombres únicos que no estén en conflicto. La siguiente pantalla muestra los sufijos de nombre UPN declarados en el bosque corp2003.corporate.net.
La detección de conflictos de las confianzas de bosque afecta también a los sufijos UPN Cuando se detecta un conflicto de la naturaleza que sea los controles de acceso a ese dominio se rechazarán desde el exterior del bosque. No obstante, se preservará el funcionamiento normal dentro del bosques, cosa que es completamente normal ya que el conflicto sólo se produce entre los dos bosques y no entre los dominios del bosque de pertenencia. La pestaña Enrutamiento de los sufijos de nombre, disponible en la consola de administración MMC Dominios y confianzas Active Directory dentro de las propiedades de las confianzas de bosque, permitirá registrar un archivo visor de conflictos de los sufijos de nombres. Dicho archivo podrá crearse durante o después de la creación de la confianza de bosque. Para obtener más información sobre las confianzas y el funcionamiento de los bosques y dominios Active Directory, consulte la página: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/enus/default.asp o la documentación Active Directory Technical Reference disponible en el sitio del Kit de recursos técnicos en la dirección http://www.microsoft.com/reskits.
g. Uso del comando Netdom para crear y administrar confianzas Generalmente, las confianzas internas, externas y de bosque se declaran directamente mediante la interfaz gráfica. Sin embargo, también es posible usar el comando Netdom.exe disponible con las herramientas de soporte de Windows Server 2003 para crear, comprobar, reinicializar y eliminar objetos de confianza. Operaciones soportadas por Netdom relativas a las confianzas: ●
●
- 18 -
Implementación de confianzas unidireccionales o bidireccionales entre dominios Windows NT 4.0, Windows 2000 y Windows Server 2003. Implementación de confianzas unidireccionales o bidireccionales entre dominios Windows 2000 Server, © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Windows Server 2003 o Windows Server 2008, situados en organizaciones diferentes. ●
Implementación de confianzas abreviadas entre dominios Windows 2000 Server, Windows Server 2003 o Windows Server 2008 situados en la misma organización.
●
Implementación de una confianza a un dominio Kerberos noWindows.
●
Enumeración de las confianzas directas e indirectas.
●
Vista de los parámetros y cambios de parámetros de las confianzas.
Por ejemplo, podrá usar el comando Netdom: ●
●
Para comprobar una confianza unidireccional entre el dominio DomA y el dominio DomB: netdom trust /d:DomA DomB /verify Para comprobar una confianza bidireccional: netdom trust /d:DomA DomB /verify /twoway
El objetivo de la operación de comprobación es controlar el funcionamiento correcto de la confianza y las contraseñas declaradas entre los dos dominios al establecer la confianza. ●
Para comprobar que el protocolo Kerberos v5 está plenamente operativo entre un ordenador y su dominio de pertenencia dom1.corporate.com: netdom trust /d:dom1. corporate.com /verify /KERBEROS. El uso de los parámetros /verify et /kerberos necesita la obtención de un ticket de sesión para contactar con el servicio de administración Kerberos del controlador de dominio (servicio KDC) en el dominio destino. En cuanto la operación tenga éxito podrá considerar que todas las operaciones Kerberos entre el ordenador cliente y el dominio de destino funcionan correctamente.
Esta operación de comprobación de las funciones Kerberos sólo puede realizarse localmente en el ordenador que se desea comprobar. En estos casos podrá usar las funciones de Oficina remota. El comando Netdom permite administrar las autorizaciones, pero permite también administrar las siguientes operaciones: ●
●
Introducir un ordenador Windows XP Professional en un dominio de cualquier tipo con la posibilidad de especificar la unidad organizativa y generar la contraseña de la cuenta del equipo aleatoriamente. Gestionar las operaciones de administración de las cuentas de equipos como pueden ser añadir, eliminar, interrogar o desplazar cuentas de equipo de un dominio a otro preservando el SID del equipo.
●
Comprobar los SC (Secure Channel) entre las estaciones de trabajo, los servidores y los BDC NT 4.0.
●
Renombrar y desplazar los BDC NT4.0 a otros dominios.
Por supuesto, todas estas funciones son muy útiles para el mantenimiento de las cuentas de equipo, ya sean simples equipos de oficina o servidores de dominio.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 19 -
Éxito del proceso de actualización de Active Directory a los servicios de dominio Active Directory de Windows Server 2008 Windows Server 2008 es un lanzamiento importante en más de un sentido y, de hecho, se podría pensar que la instalación de nuevos controladores de dominio Active Directory o la actualización de servidores Windows Server 2003 a Windows Server 2008 son tareas complejas que necesitan de una gran preparación. Verá que con un mínimo de preparación, el despliegue de nuevos controladores de dominio Active Directory será simple y con poco riesgo. El objetivo principal de la actualización a Windows Server 2008 es permitir una transición suave del entorno actualmente en producción a un destino compuesto de al menos dos controladores de dominio (o más) en función de la arquitectura, que funcionen con Windows Server 2008. El proceso de migración a los servicios de dominio Active Directory de Windows Server 2008 debe tener como objetivo final la posibilidad de mejorar el nivel funcional de dominio o dominios al nivel funcional Windows Server 2008, sin olvidar naturalmente de hacer lo mismo respecto al nivel funcional del bosque.
1. Comprobaciones y gestión de los riesgos Antes de empezar las diferentes operaciones propias de la integración de controladores de dominio con Windows Server 2008 en una red Windows Server 2003, se recomienda realizar las siguientes operaciones: ●
Hacer una inventariado preciso de los controladores de dominio importantes, el posicionamiento de las cinco funciones FSMO, de los catálogos globales así como de los SP (Services Packs) instalados en cada uno de ellos.
●
Hacer una copia de seguridad de tipo System State de uno o más controladores de dominio operacionales.
●
Determinar el mejor escenario de vuelta atrás, en previsión de una eventual catástrofe.
2. Preparación de la infraestructura Active Directory para Windows Server 2008 Como fue en el caso de las migraciones de dominio Windows NT 4.0 a los servicios de directorio Active Directory de Windows 2000 Server y luego a los servicios de directorio Active Directory de Windows Server 2003, la infraestructura Active Directory debe preparase para acoger los nuevos servidores Windows Server 2008 que albergan los nuevos servicios AD DS. Se recomienda realizar las siguientes operaciones: ●
●
●
●
Asegúrese que dispone de una cuenta de administración de dominio que forme parte de los grupos Administradores del dominio, Administradores de empresa y Administración de esquema. Todas las operaciones que tienen lugar en un servidor que se va a promover necesitarán disponer de privilegios de Administrador de la máquina local. Realice la operación de actualización del esquema Active Directory a través del comando adprep /foresprep. Para lograrlo, copie el contenido de la carpeta \Sources\adprep del CDRom de instalación de Windows Server 2008 en una carpeta con el nombre \adprep en el servidor. A partir de esta carpeta, en el controlador de dominio que tiene la función de maestro de operación de Esquema, invoque el comando adprep /forestprep. Para que la actualización funcione correctamente ejecutando este comando, el administrador deberá formar parte de los grupos Administrador del esquema, Administradores de empresa y Administradores del dominio. Realice la operación de preparación del dominio Active Directory a través del comando adprep /domainprep /gpprep. Para lograrlo, copie el contenido de la carpeta \Sources\adprep del CDRom de instalación de Windows Server 2008 en una carpeta con el nombre \adprep en el servidor. A partir de esta carpeta, en el controlador de dominio que tiene la función de maestro de infraestructura, invoque el comando adprep /domainprep /gpprep. Para ejecutar este comando, el administrador deberá formar parte del grupo Administrador del dominio en aquel en que se ejecute la operación. ¡Atención! Después de haber realizado esta operación, evite la instalación en la raíz del primer controlador de dominio. Se recomienda esperar a que se replique la nueva información del dominio. Por supuesto, puede
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
forzar la replicación con la ayuda de las herramientas habituales Replmon o a través del comando Repadmin. ●
¡Atención a los problemas de coherencia al actualizar el esquema con Microsoft Exchange 2000 Server! No debería tener ningún problema importante para realizar las etapas preparatorias como son la actualización del esquema así como la actualización de los objetos del dominio, para la integración de los controladores que funcionan con Windows Server 2008. El problema más común, es un problema ya conocido por los ingenieros de sistemas que han llevado a cabo el mismo tipo de migración hace unos años, cuando la problemática consistía en introducir los primeros controladores de dominio Windows Server 2003, en bosques Windows 2000 Server que contenían Exchange 2000 Server. En efecto, la fase de preparación del bosque realizada a través de Adprep, puede fallar cuando el esquema fue previamente actualizado por Exchange 2000. El problema relativo a los atributos de la clase inetOrgPerson attributes Secretary, labeledURI, y houseIdentifier, que son conflictivos con los de Exchange más antiguos y que no respetan los RFC de esta nueva clase inetOrgPerson. Para resolver este problema, que puede estar resuelto si el esquema se ha actualizado con Windows Server 2003, puede corregir manualmente el esquema utilizando el fichero Inetorgpersonfix.ldf localizado en el fichero Support.cab de la carpeta Support\Tools del CDRom de Windows Server 2003. A continuación, a partir de la consola del maestro de operaciones de esquema, puede importar el fichero LDF que contiene las correcciones con la ayuda del comando LDIFDE. Para más información sobre este procedimineto, puede consultar el artículo Technet con la ayuda del siguiente enlace: http://support.microsoft.com/kb/314649
¡Atención a los problemas de coherencia en la actualización del esquema cuando el esquema del bosque soporte los servicios para Unix 2.0! Puede producirse un conflicto de replicación del atributo CN= uid respetando el RFC 2307, cuando el esquema soporta los servicios SFU 2.0. Para resolver este problema, puede actualizar SFU 2.0 a Windows Services for UNIX 3.0 o bien instalar el parche Q293783. Para obtener más información sobre este proceso, puede consultar el artículo Technet con la ayuda del siguiente enlace: http://go.microsoft.com/fwlink/?LinkId=106317
3. Implementación de un nuevo controlador Windows Server 2008 AD DS El entorno de producción que funciona con Windows 2000 Server y/o Windows Server 2003 puede actualizarse a Windows Server 2008 utilizando uno de estos dos escenarios: ●
●
La inserción de un nuevo servidor Windows Server 2008 en el dominio Active Directory de producción. Proceda a la promoción del nuevo servidor para que sea un nuevo controlador de dominio en el dominio existente. Suprima los antiguos controladores de dominio que funcionan con Windows 2000 Server o Windows Server 2003 o bien, proceda a su actualización a Windows Server 2008. La operación de promoción podrá realizarse con la ayuda de la interfaz gráfica o a través de un fichero de respuesta creado anteriormente. La interfaz de Windows Server 2008 propone dos asistentes. El primero es directamente accesible a través del nuevo Administrador del servidor Funciones Agregar funciones. El segundo es el tradicional asistente de instalación de servicios de dominio Active Directory, disponible desde Windows 2000 Server, y también con Windows Server 2008, Dcpromo.exe. La actualización de todos los controladores existentes a Windows Server 2008, comenzando por el que sea el mejor candidato para iniciar el proceso de migración.
4. Reasignación de funciones FSMO Una vez terminado el proceso de actualización del primer controlador, será necesario actualizar los siguientes elementos de infraestructura Active Directory: ●
●
- 2-
Reasignación de la función de maestro de operaciones de nombres de dominio a nivel de dominio raíz del bosque: esta operación no es obligatoria, pero es necesaria para garantizar la creación de particiones del directorio de aplicaciones utilizado por las zonas DNS Active Directory. Si no desea actualizar el controlador de dominio que tiene esta función, es suficiente con transferir la función a un controlador de dominio ya actualizado a Windows Server 2008. Esta operación puede ser necesaria ya que durante el primer reinicio, el servicio servidor DNS intenta localizar las particiones necesarias para la actualización de las zonas. Además, si no las encuentra, las creará. Para garantizar la correcta creación de estas particiones, es obligatorio que el maestro nombres de dominio esté en un controlador de domino Windows Server 2008. Reasignación de la función de maestro de operaciones Emulador de controlador de dominio principal a nivel de dominio raíz del bosque: esta operación garantiza que la creación de nuevas cuentas adicionales necesarias en los dominios Windows Server 2008 se crearán correctamente a nivel del dominio raíz del bosque.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
●
●
Reasignación de la función de maestro de operaciones Emulador de controlador de dominio principal en otros dominios del bosque: esta operación asegura que los nuevos grupos que aporta Windows Server 2008 así como su contenido se crearán correctamente en todos los dominios del bosque. ¡Atención! No se puede actualizar Windows 2000 Server a Windows Server 2008. Si debe realizar esta operación, primero debe realizar una actualización intermedia de Windows 2000 Server a Windows Server 2003. A partir del momento en que el esquema Active Directory se actualiza a través del comando adprep /foresprep y en que el dominio destino se ha preparado a través del comando adprep /domainprep, puede realizarse la inserción del primer controlador de dominio nuevo en el bosque Active Directory existente. Aunque es posible instalar ese primer controlador de dominio nuevo Windows Server 2008 en cualquier dominio del bosque, se recomienda posicionar este primer controlador de dominio Windows Server 2008 en el dominio raíz del bosque. Por supuesto, esta problemática no se presenta en los entornos de bosque de un solo dominio.
5. Operaciones de finalización Post Migración a. Modificación de las directivas de seguridad de los controladores de dominio Con el fin de aumentar el nivel de seguridad más crítico de las plataformas de empresas, los controladores de dominio Windows Server 2008 exigen que, por defecto, las autenticaciones de clientes utilicen la firma de paquetes SMB (Server Message Block), así como la firma del canal de autenticación segura (Secure Channel). En el caso en que la red de la empresa contenga sistemas que funcionan con Windows NT 4.0 SP2 (no soporta la firma de paquetes SMB) o incluso SP3 (no soporta la firma del canal de autenticación segura), deberá modificar la directiva de seguridad de los controladores de dominio.
Parámetros de seguridad a modificar en caso de extrema necesidad. Una buena práctica sería actualizar los antiguos sistemas, como mínimo a SP6a de Windows NT 4.0.
En caso de que fuera necesario modificar la directiva de seguridad de los controladores de dominio, antes de hacer cualquier modificación realice una copia de seguridad de la directiva utilizando la función de copia de seguridad disponible en la consola de directivas de grupo, GPMC.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Las ventanas de configuración de Windows Server 2008 muestran los efectos de los parámetros y el enlace al artículo técnico Microsoft
Para obtener más información sobre la firma de paquetes SMB y la firma del canal de autenticación segura, puede buscar en la página del sitio Microsoft Technet « Background Information for Upgrading Active Directory Domains to Windows Server 2008 AD DS Domains ».
b. Actualización de las autorizaciones de objetos GPO para los dominios migrados a partir de Windows 2000 Cuando un dominio Windows 2000 ha sido objeto de una migración a Windows Server 2008, el grupo ENTERPRISE DOMAIN CONTROLLERS no dispone de autorizaciones de lectura de los objetos directivas de grupo disponibles en todos los dominios de la red. Esto es así para todos los objetos GPO que se hayan creado antes de la actualización a Windows Server 2008. En este fuera el caso, la función de «modelización» incluida en la consola de administración de directivas de grupo (GPMC), estará inoperativa. En efecto, cuando se invoca esta opción, se solicita un componente del controlador de dominio para leer y abrir los objetos GPO implicados en la simulación en que se puedan encontrar dentro del bosque.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Comprobación de permisos de lectura de un objeto GPO Para corregir este problema realizando la actualización de las autorizaciones de todos los objetos directiva de grupo, puede utilizar el script GrantPermissionOnAllGPOs.wsf. Este script forma parte de los scripts anteriormente incluidos con la consola de administración de directivas de grupo que se puede descargar para Windows XP SP2 y Windows Server 2003. En efecto, en Windows Server 2008, estos scripts, considerados demasiado peligrosos, se retiraron del sistema operativo, y ahora están disponibles a través de una descarga del sitio de Microsoft. En el sitio de Microsoft está disponible un paquete que contiene todos los scripts de automatización de las operaciones de mantenimiento de objetos GPO. Busque Group Policy Management Console Sample Scripts o vaya al siguiente enlace: http://go.microsoft.com/fwlink/?LinkId=106342. Una vez instalados, los scripts se ubicarán en la carpeta %programfiles%\Microsoft Group Policy\GPMC Sample Scripts, igual que ocurría en Windows Server 2003. Observe que la modificación de las autorizaciones de objetos de directivas de grupo que son almacenadas en la partición de dominio y en la carpeta SYSVOL, necesita de la pertenencia al grupo de Admins del dominio.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Introducción a los grupos, OUs y delegación El objetivo del presente capítulo es estudiar el uso correcto de los diferentes grupos dentro de una infraestructura Active Directory. Una vez tratados los grupos, abordaremos el caso de las unidades organizativas y también su correcto uso. Esto nos permitirá utilizar de la mejor manera posible las funcionalidades de delegación integradas en el directorio Active Directory cuando sea necesario. Los conceptos y métodos que vamos a presentar le permitirán ver la coherencia existente entre la administración de grupos de seguridad, la definición de estructuras de unidades organizativas usadas con la tecnología IntelliMirror (es decir, las directivas de grupo) y los servicios de delegación. Descubriremos los aspectos de los diferentes modelos de OU haciendo hincapié en modelos simples que podrá mezclar según le convenga en función de sus necesidades.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Uso de los grupos en el entorno Active Directory 1. Los diferentes tipos de grupos Windows La casi totalidad de sistemas operativos implementa la noción de grupo con el fin de simplificar la administración de sistemas y la administración de los accesos a los recursos compartidos por esos sistemas. Reuniendo en grupos las diferentes categorías de usuarios resulta más sencillo asignar permisos y asegurar el posterior seguimiento de los mismos. La administración de los permisos concedidos de forma específica a ciertos usuarios debe ser una operación de carácter puntual y debería ser objeto más bien de una operación basada en un grupo. Desde OS/2 LAN Manager y las primerísimas versiones de Windows NT, la noción de grupo se ha usado mucho para administrar privilegios de administración y accesos a los recursos compartidos. Sin embargo, además del ámbito del dominio, conviene recordar que los grupos también están disponibles en todos los equipos que funcionan con Windows NT, Windows 2000, Windows XP, Windows Server 2003 y por supuesto, Windows Vista y Windows Server 2008. En la actualidad, los servicios de directorio Active Directory ofrecen múltiples grupos predefinidos y diferentes tipos de grupos que se destinan a usos diversos. La siguiente pantalla ilustra este último aspecto y muestra las dos grandes categorías de grupos que propone Active Directory: los grupos de seguridad y los grupos de distribución.
a. Los grupos de seguridad Como su nombre indica, los grupos de seguridad han sido ideados para ser utilizados en operaciones que precisan de un control de acceso. Para que dichas operaciones o peticiones de acceso puedan controlarse, es evidente que los grupos de seguridad deberán disponer de un SID único (Security Identifier Descriptor), al igual que ocurre con los objetos de las clases user, inetOrgPerson o computer. Por supuesto, cuando los usuarios son miembros de uno o más grupos, éstos heredan los permisos asignados a cada uno de los grupos a los que pertenecen. Puede comprobar muy fácilmente este extremo procediendo como sigue: ■
Abra una sesión con una cuenta de usuario del dominio.
■
Abra el símbolo del sistema y escriba el comando whoami /all.
■
Analice la información que aparece. Descubrirá su nombre de inicio de sesión, las pertenencias a los grupos, los SID respectivos y la lista de privilegios.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
En la medida en que la función principal del grupo es la de agrupar usuarios y grupos anidados, los grupos de seguridad también pueden usarse para aplicaciones como lista de distribución, función que trataremos posteriormente.
b. Los grupos de distribución Las aplicaciones pueden requerir el uso de los servicios que ofrece la infraestructura Active Directory. Por ejemplo, ya hemos estudiado los mecanismos de localización de servicios del directorio Active Directory, disponibles para cualquier aplicación. Los grupos de distribución también pueden actuar en este sentido. El correcto uso de los grupos de distribución está directamente relacionado con las experiencias de las aplicaciones, que pueden usarlos para fines diferentes a los de administración de la seguridad y control de acceso de Windows. Finalmente, como su nombre indica, los grupos de distribución sirven únicamente para reunir a usuarios o grupos y no pueden usarse nunca para los controles de acceso. Ventajas de los grupos de distribución ●
●
Al no disponer de SID, los grupos de distribución no se incluyen en el ticket de acceso del usuario que ha iniciado una sesión. Esto puede considerarse una ventaja, ya que permite minimizar el tamaño de los tickets y, como consecuencia, el tamaño de algunos flujos de red. Por otro lado, la seguridad se refuerza porque, al no haberse emitido ningún SID para el grupo, no se pueden producir controles de acceso.
Inconvenientes de los grupos de distribución ●
Al no tener SID, los grupos de distribución no se pueden usar para realizar controles de acceso, a no ser de forma empírica en aplicaciones que no utilicen los servicios de seguridad de Active Directory.
Más adelante veremos que los grupos pueden cambiarse de grupo de seguridad a grupo de distribución y viceversa cuando el dominio funciona en el nivel funcional Windows 2000 nativo o Windows Server 2003.
2. Ámbito de los grupos Los grupos disponibles en entornos de dominios Windows NT, Windows 2000 Server y Windows Server 2003 pueden adoptar diferentes formas. Estos grupos permiten controlar el ámbito de los grupos y la naturaleza de los objetos que pueden alojarse en ellos.
a. Los grupos globales Los grupos globales son, por definición, de uso global. Esto quiere decir que pueden usarse directamente en cualquier equipo del dominio local, pero también en cualquier dominio del bosque. En un sentido más amplio, los grupos globales pueden usarse en todos los dominios con confianza, ya sean dominios Active Directory de un bosque determinado, dominios Windows NT externos o dominios Active Directory situados en otro bosque. Los grupos globales sólo pueden contener cuentas del dominio local, ya sean cuentas de usuario o cuentas de equipo. Efectivamente, en la medida en que los grupos globales pueden usarse en todos los dominios con confianza, si fuera posible alojar en ellos cuentas de otro dominio, esto introduciría una transitividad inducida no deseable. Cuando el dominio Active Directory funciona en modo Windows 2000 nativo o en el nivel funcional Windows Server 2003, los grupos globales pueden contener también grupos globales de dominio local.
b. Los grupos locales de dominio Por definición, los grupos locales sólo pueden usarse en el dominio local en el que residen. Cuando el nivel funcional del dominio es Windows 2000 en modo nativo, Windows Server 2003 o Windows Server 2008, los miembros de los grupos de dominio local pueden contener cuentas y grupos globales de cualquier dominio, grupos universales de cualquier dominio y grupos de dominio local del mismo dominio. También existe la posibilidad de agregar grupos locales a otros grupos locales y asignarles autorizaciones
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
únicamente para ese dominio. A diferencia de los grupos locales de los dominios Windows NT, los de dominio Active Directory pueden usarse en cualquier equipo miembro del dominio. En entornos Windows NT, los grupos locales creados en el dominio NT sólo podían usarse en los controladores de dominio Windows NT, limitando su uso a los únicos controladores de dominio.
c. Los grupos universales Por definición, los grupos universales pueden contener miembros de cualquiera de los dominios del bosque. Como ya ocurría con los grupos globales, también pueden usarse en cualquier dominio del bosque. Los grupos universales se almacenan físicamente en los controladores de dominio catálogo global. Por consiguiente, esa particularidad sólo puede ser autorizada cuando el dominio Active Directory funciona en modo nativo Windows 2000 o en el nivel funcional Windows Server 2003. Observe que esto sólo afecta a los grupos universales de seguridad y no a los grupos universales de distribución. En efecto, sólo los grupos de seguridad, y no los de distribución tienen un “significado NT”. Por consiguiente, existe la posibilidad de crear grupos universales de distribución en un dominio Active Directory que funcione en modo mixto Windows 2000. Este dominio podrá contener controladores Windows Server 2008, Windows Server 2003, controladores Windows 2000 Server y también controladores secundarios que funcionen con Windows NT. Se escribe a menudo que los grupos universales sólo están disponibles en modo nativo. De hecho, en esos casos se considera que se trata de grupos de seguridad. Como antes hemos explicado, un dominio Active Directory que opere en modo mixto y contenga controladores Windows NT puede albergar grupos universales de tipo distribución.
3. Reglas generales relativas a los objetos grupos Al igual que ocurre con muchos objetos del directorio Active Directory, se pueden realizar con ellos numerosas operaciones. Los siguientes puntos precisan las operaciones y recomendaciones de uso destinadas a los administradores de Active Directory.
a. Uso correcto de las cuentas de grupo Evite asignar permisos directamente a cuentas de usuario o de equipo. El uso de los grupos de seguridad es mucho más flexible y sencillo de administrar. Para lograr esa simplificación y racionalización tendrá que haber estudiado previamente la mejor manera de usar los grupos dentro de su empresa, en función de los propios problemas de administración y delegación de la administración. Cree una convención de denominación para los grupos de seguridad y distribución de forma que los gestores de la cuentas de seguridad puedan identificar fácilmente su función y ámbito de uso. Observe que los grupos de entornos Active Directory pueden contener más que simples usuarios. En efecto, pueden contener cuentas de tipo usuario, grupo, contacto, inetOrgPerson y equipo. En redes "antiguas", no era habitual crear grupos de equipos. Los sistemas que funcionan con Windows 2000, Windows XP Professional, Windows Vista y Windows Server 2008 en dominios Active Directory utilizan el protocolo Kerberos y mecanismos de delegación potentes y tiene la posibilidad de autorizar los servicios basándose en SPN. Por consiguiente, es posible que se vea la necesidad de crear grupos que contengan únicamente cuentas de equipo. Esos grupos necesitarán de su propia convención de denominación. Puede crear grupos locales de dominio para controlar los accesos a los recursos u operaciones que desee controlar. En los servidores miembros y en otras estaciones de red miembros de dominios Active Directory, es posible usar grupos locales de equipo o bien grupos locales de dominio. La regla dice que en los equipos locales que deben controlar los accesos a sus propios recursos, la práctica correcta es usar una cuenta de grupo local, local a la máquina. No obstante, este método crea una dependencia de los ACL con respecto al sistema operativo local. Esto quiere decir que la posterior consolidación de los datos en otro servidor provocará la pérdida de todos los permisos locales. De hecho, cuando varias máquinas son susceptibles de controlar los mismos discos o recursos, se recomienda que, sobre todo, no se usen grupos locales de equipo. Ese caso típico podría ser el de máquinas que funcionan como cluster y que pueden controlar por turnos los discos o recursos. La formula mágica En resumen, desde hace muchos años, es decir, desde Windows NT 3.1, conocemos la regla AGLP Accounts/Global groups/Local groups/Permissions. Esta fórmula ha sido adaptada a Active Directory bajo la forma AGUDLP, es decir, Accounts/ Global groups/Universal groups/Domain Local groups/Permissions. Por lo tanto, resulta conveniente respetar el siguiente método:
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
●
Coloque las cuentas de usuario en grupos globales.
●
Coloque los grupos globales en grupos universales.
●
Coloque los grupos universales en grupos locales de dominio.
●
Conceda los permisos a los grupos locales de dominio.
b. Uso correcto de los grupos universales Los grupos universales sólo deberían usarse para consolidar grupos que se extienden a varios dominios. El método clásico consiste en agregar las cuentas a grupos globales y después anidar esos grupos dentro de grupos universales. De esta forma, las modificaciones de los miembros de un grupo global no tendrán ningún efecto sobre los grupos universales que los contienen. La pertenencia a un grupo universal debe modificarse con prudencia. Cualquier modificación en un grupo universal provoca la replicación de la pertenencia del grupo en todos los catálogos globales del bosque. En la medida en que los grupos universales pueden contener un número importante de miembros, una sola modificación puede generar replicaciones bastante más consecuentes. Por este motivo se recomienda que se evite colocar cuentas de usuario en grupos universales y que se haga más bien en grupos de tipo global. De esta forma los flujos de replicación hacia y entre los catálogos globales serán limitados. Cuando el bosque Active Directory está operativo en el nivel funcional Windows Server 2003, la replicación LVR (Listed Value Replication) se activa automáticamente y no se tienen en cuenta las observaciones hechas más abajo. Efectivamente, la replicación de las listas de valores permite no tener que replicar todo el atributo con todos sus valores, sino sólo independientemente cada valor del atributo modificado.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Definición de una estructura de unidades organizativas 1. Función de los objetos unidades organizativas Una unidad organizativa es un objeto del directorio Active Directory. Dicho objeto, de tipo contenedor, es fundamental para todos los sistemas de directorios. De hecho, muy a menudo se usa como contenedor de la estructura lógica. Se puede colocar en él un número casi ilimitado de objetos de las clases usuario, inetOrgPerson, grupos, equipos, y también otras unidades organizativas. Observe que las unidades organizativas, por definición, sólo pueden contener objetos de su propio dominio y en modo alguno objetos procedentes de otros dominios Active Directory. Además, en tanto que contenedor privilegiado, la unidad organizativa podrá usarse fácilmente para dar soporte a las operaciones enumeradas a continuación: ●
●
●
Las unidades organizativas permiten establecer un modelo organizado. Las unidades organizativas pueden contener objetos que se someterán a la política de delegación aplicada a la unidad organizativa, pero también de forma específica gracias a las diferentes autorizaciones aplicables directamente a los objetos. Las unidades organizativas permiten el uso de la tecnología IntelliMirror gracias a la aplicación de directivas de grupo.
En la medida en que los servicios de delegación y el enlace de los objetos de directiva de grupo pueden usarse en un ámbito de tipo sitio, dominio y unidades organizativas, vemos que estas unidades son los "contenedores más pequeños" utilizables. Los contenedores Builtin, Computers, ForeignSecurityPrincipals, LostAndFound, NTDS Quotas, Program Data, Systems y Users no son contenedores de tipo unidad organizativa, sino objetos contenedor pertenecientes a otras clases específicas. Por consiguiente, no es posible vincular una directiva de grupo a este tipo de objetos. Como dijimos anteriormente, los objetos directiva de grupo sólo se aplican a objetos equipo y usuario situados en sitios, dominios y unidades organizativas. Podrá descubrir la naturaleza de las clases representadas anteriormente, activando el modo Funciones avanzadas y consultando la pestaña Objeto de cada uno de los contenedores. En resumen, puede considerar la función de las unidades organizativas de la siguiente manera: ●
●
●
Las OU representan unidades de administración separadas, ya que es posible delegar los permisos en la OU y los objetos que contiene. Las OU representan configuraciones de usuario y equipo particulares, ya que es posible vincular a ellas objetos de directiva de grupo. Además de estos dos aspectos fundamentales, las OU son un buen medio para establecer un modelo de organización ya que es posible usarlas para elaborar consultas LDAP.
2. Uso de las unidades organizativas y relación con la organización de la empresa El “posicionamiento” de las tecnologías de directorio dentro de las empresas es un tema sensible. Efectivamente, la función central de esas tecnologías tiende a complicar su implementación "real" dentro del sistema de información. Sin embargo, la necesidad de gestionar y encontrar mejor la información impone poco a poco su uso. Además, algunas aplicaciones y servicios de empresa como pueden ser la mensajería electrónica o los servicios de certificados precisan de un directorio como Active Directory. Por este motivo los servicios de directorio Active Directory y el uso de las unidades organizativas pueden tener un lugar dentro de las empresas de dos grandes maneras: ●
Para empezar, el directorio puede desempeñar un papel técnico. Esto significa que los ordenadores,
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
servidores, usuarios y otras aplicaciones de Windows pertenecientes a la infraestructura de Active Directory puedan usar los servicios del mismo. ●
Por último, el directorio puede desempeñar un papel más cercano a la organización. Ese planteamiento lo hará completamente dependiente de las eventuales evoluciones de la estructura de la empresa, con el peligro de hacer más frágil su explotación y limitar su uso.
Así, si intenta establecer una estructura de unidades organizativas que represente la estructura organizacional de la empresa, es muy probable que el modelo no permita usar de la mejor manera posible la delegación y el despliegue de directivas de grupo. En un principio, es decir en 1998/1999, las recomendaciones del programa Beta de Windows 2000 tendían a respetar el modelo organizacional. Los primeros grandes estudios realizados por MCS (Microsoft Consulting Services) empezaron a mostrar que el principal inconveniente de ese método era que ralentizaba el proceso de definición de la organización del directorio y, por lo tanto, el despliegue de Active Directory. En efecto, un modelo basado en la organización de la empresa precisa de muchas reuniones y de interminables discusiones. Además, la organización general de la empresa no muestra necesariamente las disparidades existentes dentro de la misma y, por consiguiente, las zonas de sombra podrían perdurar. Desde entonces el planteamiento de Microsoft ha evolucionado y ya no se tiene en cuenta el modelo de funcionamiento interno de la empresa, a menos que sea para determinar el número de bosques y dominios dentro de cada unidad organizativa. Recuerde que las unidades organizativas de Active Directory deben simplificar las operaciones realizadas por los administradores y no deberían usarse para simplificar el acceso usuario o organizar "mejor" la empresa. Un aspecto importante que corrobora este planteamiento se ve directamente en la interfaz gráfica de Windows XP Professional y Windows Server 2003. Sólo Windows 2000 es capaz de recorrer directamente el directorio pasando por Explorador de Windows Mis sitios de red Toda la red Active Directory. Los sistemas que funcionan con Windows XP Professional y Windows Server 2003 no tienen esta posibilidad. Por consiguiente, en estos sistemas no es posible "ver" ninguna unidad organizativa.
Para obtener más información acerca de la delegación de la administración, consulte Active Directory Planning and Deployment, en la Web de Microsoft (http://www.microsoft.com/).
3. Delegación de la autoridad de administración y uso de las unidades organizativas La delegación de la administración permitirá atribuir cierto número de tareas administrativas a usuarios y grupos seleccionados de forma apropiada. De esta manera, algunas operaciones básicas o simples podrán ser realizadas por usuarios o grupos sin privilegios de tipo administrador. Al proceder de esta forma, los verdaderos administradores pueden realmente dedicarse a administrar servicios de empresa incluidos en Active Directory o en la periferia de la infraestructura. Otro aspecto importante se refiere a la "gestión correcta" de los recursos. En efecto, ¿quién conoce mejor los permisos que deben acordarse a los recursos que aquél que los ha creado directamente? El propio usuario, ¡por supuesto! Los servicios de delegación, por lo tanto, permiten liberar a los administradores de ciertas tareas y que las personas directamente responsables de ciertos recursos administren mejor los accesos a los mismos. Finalmente, la delegación de la administración puede ser vista como una especie de "descentralización" del poder y por lo tanto beneficiar a todo el mundo. Entre las grandes operaciones relativas a la delegación de la autoridad de administración de objetos del directorio Active Directory, deberá: ●
●
●
- 2-
Delegar el control administrativo dentro de un dominio del bosque creando una jerarquía de unidades organizativas dentro de dicho bosque y delegando el control administrativo de ciertas unidades organizativas a usuarios o grupos de usuarios aptos para desempeñar las tareas. Tener en cuenta la estructura de la organización para decidir bien qué unidades organizativas deben o pueden delegarse. Personalizar las consolas de administración MMC para crear una versión personalizada y limitada de un componente de software enchufable como Usuarios y equipos de Active Directory o Administración de equipos. La personalización de las consolas MMC pasa por el asistente Nueva lista de la lista de tareas...
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
que permite controlar las opciones propuestas a las personas en las que se ha delegado la administración. Documentar las delegaciones realizadas y asegurarse de que los usuarios a los que se ha atribuido el control de los objetos disponen del mínimo de conocimientos para llevar a cabo las operaciones.
●
a. Estructura basada en la naturaleza de los objetos administrados Una estructura basada en las diferentes naturalezas de los objetos se adapta especialmente bien para delegar tareas administrativas en función de los tipos de objeto. Usted podrá, por ejemplo, proceder de la manera siguiente: ●
Cree uno o varios grupos de seguridad para albergar a los usuarios o grupos objeto de la delegación.
●
Cree una jerarquía de unidades organizativas adecuada a la jerarquía de administración.
●
En cada unidad organizativa inserte los diferentes tipos de objetos que desea delegar.
●
Delegue las tareas de administración sobre las unidades organizativas a los grupos que deben disponer de los permisos.
b. Estructura basada en las tareas de administración Una estructura basada en las tareas delegadas que deben llevarse a cabo se define en función de las diferentes tareas de administración. En modelos así, podrá proceder de la manera siguiente: ●
●
●
●
■
■
■
Cree uno o varios grupos de seguridad para albergar a los usuarios o grupos que serán delegados. Cree una jerarquía de unidades organizativas adecuada para la jerarquía de administración. En este modelo, la jerarquía de unidades organizativas sólo se verá influida por las tareas de administración. Sin embargo, esto no es obligatorio y la estructura puede considerar otros criterios (organización de los objetos, ubicaciones geográficas, organización de la empresa, tipos de objeto, tipos de tareas de administración). En cada unidad organizativa inserte los diferentes tipos de objeto que desea delegar. Delegue las tareas de administración sobre las unidades organizativas a los grupos que deben disponer de delegaciones, en función de la naturaleza de los objetos y de las tareas asociadas a esos tipos de objeto. Para llevar a cabo ese tipo de delegación puede proceder de la siguiente manera:
En el Asistente para delegación de control, en la etapa Tareas que se delegarán, seleccione la opción Crear una tarea personalizada para delegar. En la pantalla Tipo de objeto de Active Directory, seleccione la opción Sólo los siguientes objetos en la carpeta, y a continuación seleccione la clase o clases deseadas. Finalmente, en la pantalla Permisos, seleccione los permisos que desee.
c. Factores a integrar en la definición de una jerarquía de unidades organizativas Antes de definir de forma precisa la estructura de una jerarquía de unidades organizativas, resulta interesante analizar la situación de los contenedores predeterminados. A continuación, identificaremos los factores de estructura más convenientes que nos permitirán estudiar una estructura de unidades organizativas basada en diferentes modelos. A propósito de los contenedores predeterminados Todo dominio Active Directory contiene un conjunto genérico de objetos unidades organizativas y otros contenedores. Así, en cada dominio Active Directory, encontrará los siguientes elementos: Builtin
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Contenedor que alberga los objetos que definen los grupos de administración predefinidos por defecto. Encontrará, por ejemplo, los grupos Administradores, Operadores de cuenta, Operadores de impresión o el grupo Acceso compatible con versiones anteriores a Windows 2000. Computers Contenedor que alberga los objetos equipos Windows NT, Windows 2000, Windows XP, Windows Vista, Windows Server 2003 y 2008, incluyendo cuentas de equipo creadas en un principio por las antiguas API NT que no conocían Active Directory. Este contenedor se usa también cuando los dominios Windows NT se actualizan a Windows 2000, Windows Server 2003 o Windows Server 2008. Tras la migración de un dominio NT a Active Directory, todos los equipos miembros del dominio se ordenan en este contenedor. Este contenedor no puede recibir un nuevo nombre. Domain Controllers Esta unidad organizativa contiene objetos equipo destinados a los controladores de dominio que funcionan con Windows 2000 Server, Windows Server 2003 o Windows Server 2008. Las cuentas de equipo de los antiguos controladores de dominio secundarios NT aparecerán también en esa ubicación. Users Este contenedor alberga cuentas de usuarios y grupos creados en un principio por antiguas API NT que no conocen Active Directory. Este contenedor se usa también cuando los dominios Windows NT se actualizan a Windows 2000 Server, Windows Server 2003 o Windows Server 2008. Tras la migración de un dominio NT a Active Directory, todos los usuarios miembros del dominio se ordenan en este contenedor. Este contenedor no puede recibir un nuevo nombre. LostAndFound Este objeto de la clase LostAndFound contiene objetos cuyos contenedores han sido eliminados al crear el objeto. Cuando un objeto se ha creado en una ubicación determinada o se ha desplazado hasta ella y tras la replicación se observa su ausencia, el objeto perdido se agrega al contenedor LostAndFound. El contenedor LostAndFoundConfig situado en la partición de directorio de configuración desempeña el mismo papel para los objetos del bosque. System La carpeta System es un contenedor que alberga información crítica para todo el dominio Active Directory. Por ejemplo, contiene la información relativa a la directiva local de seguridad, los parámetros de File Link Tracking, los objetos TDO que representan las confianzas interdominios así como los puntos de conexión TCP y Windows Sockets. En él encontrará los subcontenedores siguientes: AdminSDHolder, Default Domain Policy, Dfs Configuration, File Replication Service, FileLinks, IP Security, Meetings, MicrosoftDNS, Policies, RpcServices, WinsockServices. La próxima parte de este capítulo nos permitirá elaborar una reflexión destinada a definir una estructura de unidades organizativas adecuada. Criterios de las ubicaciones, operaciones y tipos de objetos Anteriormente hemos visto que el planteamiento correcto para definir una buena jerarquía de unidades organizativas dependía estrechamente de la relación existente entre el modelo a definir y la organización de la empresa, precisando que era altamente recomendable desprenderse de ese tipo de restricción para poder aprovechar totalmente los servicios de seguridad, delegación y gestión IntelliMirror. Una jerarquía de unidades organizativas bien construida, por lo tanto, debe permitir que los administradores construyan un plan de delegación de la autoridad lo más simple posible. Para lograrlo deberán tener, ya en un principio, una buena percepción de las operaciones que desean delegar y también a quién y para qué tipos de objetos. Por regla general, deberán garantizar un buen nivel de estabilidad de los primeros niveles de la jerarquía de unidades organizativas. Para lograrlo, defina los niveles basándose en criterios fiables, estáticos y, si es posible, independientes de los parámetros de empresa. Respetando en lo posible estas restricciones se protegerá de posibles efectos negativos ocasionados por reorganizaciones internas de la empresa. Puede considerar los criterios descritos más abajo como criterios estables, utilizables para construir los primeros niveles de la jerarquía de unidades organizativas: ●
- 4-
Considere los sitios geográficos, edificios, plantas o zonas particulares de la red respetando los planes de denominación ya definidos y, por lo tanto, por todos conocidos. El hecho de construir la jerarquía de unidades organizativas en función de las diferentes ubicaciones significa usar el modelo basado en las tareas de administración en función de las ubicaciones.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
●
Considere la naturaleza de las operaciones que desea delegar como, por ejemplo, la creación, eliminación o modificación de las cuentas de usuario, el control de los miembros de los grupos o las cuentas de equipos. También se trata de tareas como la creación de objetos directiva de grupo, filtros WMI, o únicamente vínculos de directivas de grupo. Este tipo de modelo es muy atrayente porque es independiente de la organización de la empresa y porque las tareas genéricas siempre serán las mismas. Considere la naturaleza de los objetos. Este planteamiento es parecido al modelo precedente, basado en los tipos de operaciones delegadas.
Las tres grandes familias de criterios permitirán definir los primeros niveles de una jerarquía de unidades organizativas. Además de esos criterios de estructura, puede seguir los siguientes consejos: ■
■
■
Si la empresa está compuesta por varios dominios Active Directory, haga que los primeros niveles definidos sean lo más reutilizables posible. De esta forma garantizará una buena coherencia administrativa de los objetos. Por debajo de los primeros niveles, que deben ser lo más genéricos posible, las unidades organizativas de los niveles inferiores deben representar niveles precisos relacionados con las operaciones delegadas. Esas unidades organizativas podrán usarse también para ocultar objetos o para aplicarles directivas de grupo. Para beneficiarse más eficazmente de los servicios de delegación no complique en exceso la estructura. Podrá aprovechar y controlar mejor los mecanismos de herencia en una jerarquía simple que no comporte más de una decena de niveles.
Para poner en práctica estos principios vamos a imaginar la estructura de unidades organizativas de la empresa corporate.net, tal y como se especifica a continuación: @Corporate Unidad organizativa que contiene una jerarquía adaptada a las necesidades de la casa madre. @Extranet Network Unidad organizativa que contiene una jerarquía adaptada a las necesidades de la red Extranet. En caso de externalización de los servicios, la gestión de la Extranet de la empresa puede delegarse a un proveedor de servicio "con confianza" que se beneficie de una delegación de la administración. @Groups Unidad organizativa que contiene todos los grupos clásicos. El hecho de ordenar todos los grupos clásicos en este contenedor permite localizarlos con suma facilidad y tener una visibilidad total de los objetos sensibles usados para asignar permisos. Además, como no es posible aplicar directivas de grupo a grupos, este método no tiene ningún efecto negativo. Managers & External Services Unidad organizativa que contiene sólo las cuentas de servicio usadas por las aplicaciones y las cuentas temporales que disponen de delegaciones. Este planteamiento permite localizar con suma facilidad las cuentas usadas por las aplicaciones y las cuentas externas que disponen temporalmente de permisos obtenidos a través de una delegación de la administración. Subsidiary Unidad organizativa que contiene los puntos de partida de la jerarquía dedicados a las diferentes filiales de la empresa. Explicamos este planteamiento más adelante. A propósito de “The Boston Company” Unidad organizativa que contiene una jerarquía adaptada a las necesidades de la filial de Boston. Esta parte del dominio Active Directory usa un modelo basado en la naturaleza de las tareas de administración delegadas. De hecho, los modelos que reagrupan los objetos por su naturaleza se adaptan especialmente bien. A propósito de “The London Company” Unidad organizativa que contiene una jerarquía adaptada a las necesidades de la filial de Londres. Esta parte del dominio Active Directory usa un modelo basado en la organización de la empresa y en los tipos de objetos. Los modelos de este tipo permiten remitirse a los diferentes departamentos de la empresa usando los servicios de © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
delegación en función de los diferentes tipos de objetos. A propósito de “The Monaco Company” Unidad organizativa que contiene una jerarquía adaptada a las necesidades de la filial de Mónaco. Esta parte del dominio Active Directory usa un modelo basado en las ubicaciones y en los tipos de objetos. Los modelos de este tipo permiten mostrar claramente los diferentes sitios geográficos y las categorías de objetos en los que se usa la delegación y quizá también las directivas de grupo. La siguiente pantalla muestra una estructura de unidades organizativas que respeta esos principios fundamentales.
Jerarquía de unidades organizativas basada en diferentes criterios y modelos A propósito de “Dispatch In Progress” Esta unidad organizativa desempeña la función de zona temporal cuando hay que crear objetos de forma urgente, pero su unidad organizativa de acogida no está aún definida. Posteriormente podrá desplazar el equipo, usuario o grupo deseado a la unidad organizativa apropiada.
4. Uso de las unidades organizativas para las directivas de grupo Más adelante estudiaremos detalladamente el funcionamiento de las directivas de grupo. Sin embargo, la relación existente entre los contenedores de tipo unidad organizativa y los objetos directiva de grupo es tal que no podemos dejar de mencionar las buenas prácticas que deben respetarse para definir una jerarquía de unidades organizativas y usar correctamente las directivas de grupo dentro de la misma. Los objetos directiva de grupo son objetos del directorio Active Directory que permiten establecer y usar la tecnología IntelliMirror. Gracias a estos objetos será posible dar soporte a los siguientes servicios a través de Active Directory: todos los parámetros de registro, parámetros de seguridad, scripts de inicio y cierre de sesión, la instalación y gestión de aplicaciones, el redireccionamiento de las carpetas, la gestión de las cuotas de disco, la gestión de los parámetros WiFi, las directivas de restricción de software, los parámetros de clave pública, los parámetros de directiva IPSec, los parámetros de Internet Explorer, los parámetros de los servicios RIS (Remote Installation Services) y, finalmente, los parámetros de QoS (Quality of Services). Sabemos que, por concepto, las directivas de grupo se aplican de acuerdo con el esquema L,S,D,OUs. Este esquema significa que en un primer momento se aplican los parámetros locales del equipo seguidos de los parámetros de las directivas de grupo del sitio, seguidos de los parámetros de las directivas de grupo de dominio, seguidos, finalmente, de los parámetros de las directivas de grupo de la jerarquía de unidades de organización. Este principio de funcionamiento súper potente muestra hasta qué punto es importante la estructura de unidades organizativas. Las directivas de grupo se aplican de arriba a abajo descendiendo en la jerarquía gracias a las - 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
posibilidades de herencia de los servicios de directorio Active Directory. Para obtener más detalles acerca del funcionamiento y la delegación de directivas de grupo o de las operaciones relativas a ellas, remítase al capítulo que trata sobre directivas de grupo.
5. Reglas generales y buenas prácticas Aproveche las funcionalidades de herencia del directorio Active Directory y bloquee la herencia de los contenedores sólo cuando sea necesario. Use un modelo basado en la organización cuando desee que los primeros niveles representen a las diferentes entidades, direcciones o centros de beneficio de la empresa. Cuando la empresa está muy estructurada, este modelo permite construir con suma facilidad un plan de delegación de la administración que reflejará la organización de la empresa de forma muy precisa. Sin embargo, este modelo puede presentar el siguiente inconveniente: ●
●
Esta técnica depende de la organización y se verá afectada cuando la empresa se someta a reorganizaciones internas. Por el contrario, el hecho de que la estructura sea ya conocida al estar basada en la organización de la empresa, cuenta generalmente con la confianza de todos. Este aspecto puede considerarse como una notable ventaja.
Use un modelo basado en las diferentes actividades de la empresa cuando las actividades se bastan a ellas mismas y, por tanto, poseen una gran autonomía. Si la empresa parece estar compuesta por varias entidades muy autónomas, es decir independientes, los modelos de este tipo resistirán en general las reorganizaciones. Procure que los primeros niveles de estructura de la jerarquía no se vean sometidos a cambios frecuentes. La idea será que en un bosque compuesto por varios dominios, los dos o tres primeros niveles respetan las mismas reglas de estructura, sean cuales sean los dominios. Use los objetos unidades organizativas con prudencia. Es razonable crear una unidad organizativa al presentarse alguno de los tres casos siguientes: ●
Es preciso establecer una delegación de la autoridad de administración.
●
Desea ocultar la visibilidad de ciertos objetos.
●
Desea controlar la aplicación de las directivas de grupo con ayuda de la fórmula L,S,D,OUs.
Para obtener más información acerca de la delegación de la administración, remítase al documento Active Directory Planning and Deployment, que puede descargarse en la Web de Microsoft (http://www.microsoft.com/).
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Tecnología IntelliMirror 1. Introducción La tecnología de administración IntelliMirror en un conjunto de potentes funciones desarrolladas para incrementar la disponibilidad de los sistemas Windows y reducir el coste total de posesión de los equipos que funcionan con Windows 2000, Windows XP Professional, Windows Vista y las familias de sistemas Windows Server 2003 y 2008. IntelliMirror recurre a “directivas” para implementar los mecanismos de administración de las modificaciones y cambios de configuración. De esta forma, la tecnología permite que los usuarios interactúen con una red cada vez más dinámica. Los usuarios pueden encontrar fácilmente sus datos, programas y configuraciones dentro de un entorno informático distribuido, estén conectados o no. La tecnología IntelliMirror se integra directamente en Windows 2000 y versiones posteriores. Para aprovechar las nuevas funcionalidades de esta tecnología, es obligatorio disponer de un entorno de dominio Active Directory y de estaciones de trabajo que funcionen con Windows 2000, Windows XP Professional o Windows Vista. Las estaciones de trabajo de versiones anteriores a Windows 2000, es decir, Windows 9x y Windows NT, no pueden usar la tecnología IntelliMirror aunque dispongan del cliente Active Directory. IntelliMirror se articula en torno a tres funciones principales: ●
administración de los datos de los usuarios;
●
administración de las configuraciones de los usuarios y los equipos;
●
instalación y mantenimiento de los programas para los usuarios y también para los equipos.
Por supuesto, podrá usar todos esos servicios, o parte de ellos, en función de las necesidades del personal de la empresa.
2. Aportación para la empresa Como las funciones IntelliMirror se implementan a través de los componentes integrados en el sistema operativo Windows y dentro de los servicios de directorio Active Directory, la tecnología puede usarse en todas las redes, de la menor a la mayor. De esta forma, si los métodos de gestión y administración de los cambios de configuración evolucionan, será posible disponer de un entorno seguro al tiempo que controlado. En efecto, desde el momento en que los parámetros de administración y configuración no están ubicados directamente en los equipos clientes de la red, sino en las “directivas” que el directorio Active Directory, pone a nuestra disposición, la estación de trabajo “pesada” pasa a ser una estación “controlada”, ya que es inteligente. La tecnología IntelliMirror es una solución distribuida en la que los clientes inteligentes de la red interactúan con los servicios de infraestructura de Active Directory puestos a su disposición. Aunque sea posible integrar en Active Directory terminales de tipo Windows XP Embedded, estos clientes sólo disponen de funcionalidades IntelliMirror limitadas.
En el mismo orden de ideas, Windows XP Edition Family y Windows Vista Edition Family no soporta las directivas de grupo por la simple razón de que ese tipo de clientes no puede integrarse dentro del dominio. IntelliMirror permite administrar las modificaciones y cambios de configuración apoyándose en dos grandes tipos de directivas: ●
Las directivas locales: todos los equipos que funcionan con Windows 2000, Windows XP Professional, Windows Server 2003, Windows Vista o incluso Windows Server 2008 poseen una directiva local, ya sean máquinas miembros de un dominio o máquinas autónomas. Más adelante veremos que cuando el equipo es miembro de un dominio Active Directory, la directiva o directivas del dominio se imponen sobre la directiva local.
En los sistemas Windows Server 2003 y Windows Server 2008, la directiva local se almacena localmente en el directorio %Systemroot%\System32\ GroupPolicy.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
●
Las estrategias de grupo: permiten aplicar de forma centralizada y uniforme las restricciones de administración y las normas en vigor dentro de la empresa a grupos de usuarios y equipos. Un grupo corresponde a un conjunto de objetos almacenados en el directorio Active Directory. La administración centralizada de varios usuarios y equipos reduce considerablemente el tiempo y el esfuerzo de gestión de un administrador. Una vez establecida la directiva de grupo, el sistema puede aplicarse de forma cíclica y casi completamente dinámica sin necesidad de intervenciones posteriores.
¿Directivas locales o directivas de grupo? El objetivo de la tecnología de administración y cambio de las configuraciones es gestionar el ciclo de vida de los equipos y los usuarios. En función de las necesidades, la administración usará unas veces directivas locales y otras directivas de grupo. También es posible utilizar un híbrido de ambos tipos de directiva y definir los parámetros y posibilidades que se asignarán a los usuarios o a los equipos. Las directivas locales se definen en equipos locales, mientras que las directivas de grupo se configuran y aplican a grupos de usuarios o equipos a través de Active Directory. Las directivas de grupo permiten que IntelliMirror centralice y simplifique la administración de las modificaciones y la configuración.
Las directivas de grupo se conocen en inglés como “GPO Group Policy Object”, término utilizado regularmente en los textos sobre Active Directory. Los equipos pueden usarse en modo conectado o en modo no conectado. Este es un caso clásico de uso de los ordenadores portátiles. A lo largo del día, los usuarios pueden pasar de un modo al otro en función de sus actividades. Ventajas para la empresa Uno de los principales beneficios para la empresa es una productividad de los usuarios claramente mayor. La idea es que el equipo debe estar lo más disponible posible y ser lo más eficaz y autónomo posible con respecto a la infraestructura de la que forma parte. Con la iniciativa ZAW (Zero Administration for Windows) presentada por Microsoft en 1996 con NT 4.0 y el ZAK (Zero Administration Kit), que era un conjunto de herramientas de administración y procedimientos, hoy en día IntelliMirror permite mejorar sobremanera la calidad de los servicios a los que da soporte la infraestructura Windows. Ventajas para los usuarios El usuario puede sacar mejor partido de su equipo. El equipo está disponible porque es fiable, tanto desde el punto de vista del hardware como del software incorporado. La configuración del ordenador y los datos del usuario le acompañan siempre, trabaje en modo conectado o desconectado. Estos pequeños avances prestan grandes servicios ya que mejoran la disponibilidad de los datos y del entorno de trabajo. Por si fuera poco, como las funciones son fáciles de utilizar, resultan transparentes para los usuarios. Los usuarios pueden iniciar una sesión en cualquier ordenador y acceder a sus propios datos y aplicaciones sin saber realmente dónde se encuentran en la práctica uso del servicio DFS, acceso a las carpetas desconectadas, uso de los perfiles de usuario, instalación y mantenimiento de los programas a través de los servicios de gestión de programas, instalación de las actualizaciones y parches Windows a través de los servicios WSUS Windows Server Update Services).
3. Modificaciones realizadas a las GPO por los clientes Windows Vista Windows Vista incorpora novedades funcionales que hacen progresar los mecanismos vinculados a la infraestructura de directivas de grupo, mejorando la detección de la red y permitiendo una mejor gestión por parte de los administradores. Visto desde fuera, los grandes principios aportados por Windows 2000 Server siguen siendo válidos pero Windows Vista ofrece una importante evolución de la infraestructura de directivas de grupo. Con Windows 2000 Server, Windows XP Professional y Windows Server 2003, el tratamiento de las directivas de grupo se desarrolla a través del proceso Winlogon. En estas plataformas, Winlogon es un componente responsable de numerosas funciones como el inicio de sesión local y las operaciones relativas a las directivas de grupo. En Windows Vista, las directivas de grupo disponen de un servicio de tratamiento específico. Además el tratamiento y aplicación de las directivas de grupo se fortalece de manera que es imposible pararlas o que un administrador pueda tomar posesión de las autorizaciones definidas en la directiva de grupo para desactivarlas. Estas modificaciones mejoran la fiabilidad global del motor de las directivas de grupo.
a. Mejora de la detección de red (Network Location Awareness) En Windows 2000, Windows XP Professional y Windows Server 2003, los mecanismos de tratamiento de las
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
directivas de grupo intentan determinar la naturaleza de la conexión de red (conexión lenta o rápida). En función de la conexión, se seleccionan los parámetros de directiva a aplicar. Este método sigue siendo válido con Windows Vista, sin embargo el método de cálculo permite determinar si el ancho de banda se ha modificado radicalmente. En las antiguas plataformas, la determinación de la velocidad utilizando el envío de paquetes ICMP (Internet Control Message Protocol) a los controladores de dominio. Si inicialmente, la idea es buena, en la práctica aparecieron más problemas ya que fue muy frecuente que se desactivara el soporte de los mensajes ICMP para parar las respuestas de ping. Cuando la conexión se establecía a través de conexiones de latencia alta, como las conexiones vía satélite, los cálculos podían estar equivocados. En estas situaciones, no era posible garantizar que la conexión fuera lo suficientemente rápida. Otro problema de los sistemas Windows XP Professional afecta al no reconocimiento del modo suspensión e hibernación. Evidentemente, era necesario actualizar las directivas de grupo después de suspender, hibernar, o simplemente cuando el ordenador se conecta después de una ausencia prolongada. Los sistemas que funcionan con Windows Vista actualizan los parámetros de conexión de red en tiempo real. La principal modificación afecta al motor de directivas de grupo, que utiliza ahora el administrador NLA 2.0 (Network Location Awareness 2.0). Los componentes del servicio NLA avisan al motor de directivas cuando un controlador de dominio está disponible e inician, si es necesario, una actualización de las directivas de grupo.
b. Directivas locales múltiples (LGPO) A menudo, las directivas locales se utilizan para permitir a los administradores de máquinas Windows 2000, Windows XP, Windows Server 2003 o Windows Vista configurar los parámetros de seguridad o de registro de los equipos, cuando no hay disponible ninguna infraestructura GPO. En general, esto se produce en equipos de tipo "Kiosco" (equipos de libre utilización), de las máquinas situadas en entornos públicos o incluso equipos de prueba o de demostración. Los límites de directivas locales residen en el hecho de que las plataformas Windows 2000, Windows XP y Windows Server 2003 no soportan una sola directiva local, esto es particularmente problemático cuando es necesario administrar parámetros diferentes para diferentes usuarios. Windows Vista corrige esta limitación permitiendo la creación de múltiples directivas de grupo locales LGPO, Local Group Policies Objects, aplicables en las siguientes entidades: ●
Cualquier usuario local de la máquina, especificado por su nombre.
●
Los usuarios miembros del grupo Administrador de la máquina local.
●
Los usuarios no miembros del grupo Administrador de la máquina local.
¡Atención! Un usuario determinado sólo está afectado por una única directiva de las mencionadas a continuación, en función de cómo se hayan declarado. Además, conviene recordar que cuando el ordenador Windows Vista forma parte de un dominio Active Directory, las directivas de grupo se aplican, como de costumbre, respetando el orden Sitio / Dominio / OUs, siendo prioritarias sobre las declaradas localmente. Tenga en cuenta que en el caso de que no quiera utilizar esta nueva funcionalidad, los administradores tienen la posibilidad de desactivar las LGPO en los equipos Windows Vista.
Desactivación del tratamiento de objetos de directivas de grupo locales. La figura anterior muestra la posibilidad de desactivar esta nueva funcionalidad cuando no desee utilizarla. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
c. Mejor gestión de los mensajes de eventos Windows Vista está equipado de un nuevo sistema de registro de eventos. El motor de directivas de grupo opera con el nuevo sistema de registro, Windows Eventing 6.0 dividiendo los eventos en dos partes. La parte que utiliza el registro de sistema registra los problemas de directivas de grupo, mientras que la parte que utiliza el registro de aplicaciones es específica de las diferentes directivas de de grupo, y almacena los eventos de operaciones. Este nuevo sistema reemplaza el voluminoso fichero de errores userenv.log.
d. Antiguos ADM y nuevos ADMX En las versiones de Windows anteriores a Windows Vista, la creación de un nuevo objeto GPO genera un conjunto de ficheros ADM que representa más o menos 5 MB. De hecho, un número importante de objetos GPO conlleva la creación de un gran número de ficheros idénticos en el SYSVOL serán necesariamente replicados en los diferentes controladores de dominio del dominio. Las nuevas directivas de grupo de Windows Vista aportan una respuesta a esta problemática introduciendo un nuevo formato basado en XML para los ficheros de definición de directiva: los ficheros ADMX. Además, los ficheros ADMX (nuevo formato de ficheros para las plantillas administrativas de Windows Vista y Windows Server 2008 basado en XML) no dependen del idioma y se acompañan de un fichero ADML (nuevo formato de ficheros que contiene los datos específicos de los idiomas utilizados por la nueva consola de administración de directivas de grupo de Windows Vista SP1 (via RSAT Remote Server Administration Tools) o Windows Server 2008 que se puede descargar de la web de Microsoft) específica de cada idioma. Puede añadir fácilmente idiomas simplemente añadiendo los ficheros DML que van con el fichero ADMX. Además del cambio de estructura de ficheros, el nuevo formato ADMX soporta el almacén central. Este nuevo espacio de almacenamiento evita la replicación de información duplicada y facilita la actualización de un fichero ADMX en un punto único. Los administradores que definen las directivas de grupo a partir de una estación de administración Windows Vista tienen acceso automático a los nuevos ficheros ADMX actualizados en el almacén central. Windows Vista ofrece más de 130 ficheros ADMX Windows Server 2008 ofrece más de 140 para reemplazar a los 6 u 8 ficheros ADM proporcionados en las anteriores versiones de Windows. Estos ficheros se almacenan en el directorio C:\Windows\PolicyDefinitions, mientras que los ficheros de idioma ADML se almacenan en un subdirectorio específico para cada idioma (por ejemplo esES para España y enUS para el idioma inglés/americano). Es importante tener en cuenta que los sistemas que funcionan con Windows Vista y Windows Server 2008 almacenan los parámetros de directivas de grupo de forma diferente. Los nuevos ficheros ADMX sustituyen a los antiguos ficheros ADM ofreciendo numerosas posibilidades, como la carga dinámica, el soporte de múltiples idioma así como la posibilidad de centralizar los modelos en los controladores de dominio. ¡Importante! Las plataformas Windows Vista y Windows Server 2008 continúan dando soporte a los antiguos formatos de modelos basados en ficheros ADM. Sin embargo, Microsoft recomienda la conversión de los ficheros ADM al nuevo formato ADMX utilizando la herramienta ADMX Migrator disponible en la Web de Microsoft. Esta herramienta gratuita funciona en Windows Server 2008, Windows Vista, Windows XP SP2, Windows Server 2003 SP1 o superior y necesita la consola MMC 3.0 y la instalación previa de Microsoft .NET version 2.0.
e. Windows Vista soporta numerosas nuevas categorías En comparación con Windows XP Professional SP2, Windows Vista añade en torno a 800 nuevos parámetros de directivas. Pero lo más destacable es que estas nuevas categorías o no existían o tenían una actuación por defecto. Entre estos nuevos desarrollos, los más interesantes conciernen a los parámetros de red a través de cable o WiFi, los parámetros del cortafuegos de Windows en modo avanzado, los parámetros IPSec, los parámetros de administración de impresión, así como los de Desktop Shell, la Asistencia remota y otras funciones TabletPC. Tenga en cuenta también, la administración de las unidades de almacenamiento extraíbles, la administración de energía, el control de las cuentas de usuario, la gestión de informes de errores Windows, la protección del acceso de redes y los parámetros de Windows Defender. ¡Atención! Para crear o modificar las GPO que utilizan los parámetros de Windows Vista, debe utilizar obligatoriamente un ordenador con Windows Vista, o un servidor Windows Server 2008. Observe que la administración de ciertas novedades funcionales necesitará el SP1 de Windows Vista así como el módulo adicional RSAT (Remote Server Administration Tool). Esto es particularmente cierto para las nuevas Preferencias de directivas de grupo.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Como puede constatar, Windows Vista moderniza de forma importante los objetos GPO y la manera de administrarlas. Integran un gran número de parámetros configurables para aumentar el control y la seguridad de los sistemas.
4. Novedades aportadas en las estaciones cliente gracias a los cambios en las directivas de grupo de Windows Server 2008 Windows Server 2008 permite un soporte mejorado en relación a la gestión y la configuración de sistemas que funcionan con Windows Vista. Así, las nuevas categorías aparecen para permitir a la empresa aprovechar estos avances y progresos realizados en los sistemas operativos clientes. Entre ellas, podemos destacar:
a. La administración centralizada de los parámetros de gestión de energía Esta funcionalidad permitirá, sin duda, lograr ahorros sustanciales en las redes de cualquier tamaño.
Los parámetros de gestión de energía se soportan a través de las directivas de grupo de Windows Server 2008. Decenas de parámetros permiten una administración totalmente centralizada, gracias a las directivas de grupo. Estos parámetros se sitúan en la siguiente ubicación: Configuración del equipo Directivas Plantillas administrativas Sistema Administración de energía. ¡Atención! Estos parámetros sólo afectan a las estaciones de trabajo que funcionan con Windows Vista y no a las que funcionan con Windows XP Professional.
●
La posibilidad de gestionar la instalación de periféricos USB no autorizados así como la delegación de la instalación de controladores de impresora a ciertos usuarios.
Configuración de restricciones de instalación de dispositivos
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
La gestión centralizada de restricciones de funcionamiento de periféricos USB permite crear políticas adaptadas para los diferentes tipos de periféricos como los discos y llaves USB, los lectores y grabadores de CD y DVDRW. Estos parámetros están ubicados en el siguiente emplazamiento: Configuración del equipo Directivas Plantillas administrativas Sistema Instalación de dispositivos Restricción de instalación de dispositivos.
¡Atención! Estos parámetros sólo afectan a las estaciones de trabajo que funcionan con Windows Vista y no a las que funcionan con Windows XP Professional.
b. Mejoras aportadas a los parámetros de seguridad Las directivas de seguridad de Windows Server 2008 reúnen ahora el conjunto de parámetros IPSec y de cortafuegos. Esta racionalización de la interfaz es más coherente con la mayor parte de escenarios de despliegue.
El cortafuegos de Windows con funciones avanzadas integra la reglas de cortafuegos entrantes y salientes así como las reglas de seguridad IPSec en un sólo punto. Además, los nuevos asistentes permiten una implementación más rápida de las configuraciones de tipo aislamiento en un dominio Active Directory.
c. Mejora de la gestión de los parámetros vinculados a Internet Explorer En las plataformas que funcionan con Windows XP Professional o Windows Server 2003, podría ocurrir que los parámetros utilizados en la máquina local tengan prioridad sobre los parámetros contenidos en un objeto GPO. Este tipo de problema podría producirse al modificar los parámetros de configuración de Internet Explorer contenidos en un objeto GPO. Ahora, Windows Server 2008 no permite este tipo de modificación de los parámetros.
d. Asignación de impresoras en función del sitio Active Directory Las directivas de grupo de Windows Server 2008 permiten ahora soportar la problemática de las conexiones a impresoras en los entornos en los que los usuarios se desplazan. Ponga atención al hecho de que una nueva ubicación no se conoce hasta que no se produce el ciclo de actualización del objeto directiva de grupo. Estos parámetros están disponibles como parámetros de equipo y usuario. Se sitúan en la siguiente ubicación: … Directivas Plantillas administrativas Impresoras.
e. Delegación de la instalación de controladores de impresora a través de las GPO Los administradores tienen ahora la posibilidad de delegar a los usuarios la posibilidad de instalar los controladores de impresora. Esta funcionalidad reduce la necesidad de dar a los usuarios privilegios de tipo "administrador". Conviene sin embargo observar que esta funcionalidad sólo es soportada a partir de Windows Vista.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Delegación de la instalación de dispositivos con controladores
¡Atención! Esta directiva necesita que los controladores de periféricos en cuestión sean controladores firmados. Los controladores no firmados no están incluidos en este parámetro y deberían instalarse, como se acostumbra, por los administradores. Estos parámetros están situados en la siguiente ubicación: Configuración del equipo Directivas Plantillas administrativas Sistema Instalación de controladores.
f. Nuevos objetos "GPO de inicio" Windows Server 2008 mejora la gestión de los objetos directivas de grupo permitiendo la creación de modelos de directivas de grupo llamadas objetos "GPO de inicio". Así, es posible crear una biblioteca de GPO, que servirán como punto de partida.
Creación del almacén en el dominio la primera vez Una vez creado el almacén, es posible crear los nuevos objetos "GPO de inicio", sabiendo que su único cometido es © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
servir de modelo de directivas de grupo.
Creación de nuevos objetos "GPO Starter". Una vez su colección de modelos creada en función de sus necesidades, no queda más que crear los objetos directivas de grupo sobre la base de estos modelos con la ayuda de la opción Nuevo GPO a partir de GPO de inicio. Por último, observe que es posible utilizar la opción Guardar como archivo .CAB para llevar un objeto "GPO de inicio" a otro entorno Active Directory. La importación/exportación se facilita al incluir en un solo fichero CAB el conjunto de ficheros que constituyen el objeto directiva de grupo.
Exportación de un objeto "GPO Starter".
g. Parámetros del protocolo NAP Network Access Protection El protocolo NAP es una tecnología que permite a los administradores definir determinadas condiciones en que se garantizará o no el acceso a la red interna de la empresa. Puede, por ejemplo, tratarse del caso de un ordenador portátil en que el antivirus, el antispyware o el cortafuegos tengan errores de configuración considerados peligrosos. El cliente NAP, habiendo detectado defectos de configuración, podrá tomar la iniciativa permitiendo al ordenador conectar con un servidor de "reparación" para corregir los problemas detectados. Las directivas de grupo de Windows Server 2008 integran el conjunto de parámetros de configuración NAP de la estación de trabajo Windows Vista permitiendo especificar los diferentes parámetros de encriptación a los servidores de tipo "Health Registration Authority".
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Interfaz de gestión de las funciones NAP
5. Nuevas preferencias de directivas de grupo de Windows Server 2008 Los servidores Windows Server 2008 aportan un nuevo espacio de gestión en las directivas de grupo. Este nuevo espacio llamado "Preferencias" permite a los administradores configurar, desplegar, administrar y gestionar todos los parámetros de sistema y aplicaciones que no eran capaces de gestionar utilizando las directivas de grupo. Era necesario entonces, crear scripts de arranque o inicio de sesión. Gracias a las nuevas "Preferencias de directivas de grupo", no es necesario crear scripts complejos para realizar funciones simples y elementales como las conexiones de red o impresoras, la planificación de tareas de mantenimiento o incluso configurar los detalles o el contenido del menú Inicio o cualquier otro parámetro del entorno. En lugar de incorporar los parámetros directamente en la imagen de referencia o de crearlas a través de un script, no siempre fácil de mantener, Microsoft recomienda utilizar las nuevas "Preferencias". Los scripts se utilizarán como último recurso, cuando no sea posible, ni por las directivas de grupo, ni por las nuevas opciones de Preferencias, realizar una operación de configuración concreta.
a. ¿Preferencias o directivas de grupo? Las preferencias de directivas de grupo son complementarias a las directivas de grupo. La comprensión del concepto de complementariedad es crucial para aprovechar las preferencias de directivas de grupo. La siguiente tabla coloca frente a frente las dos tecnologías. Preferencias de directivas de grupo Aplicación
No se vuelven a aplicar. No desactivan la interfaz
Objetos directivas de grupo
Se aplican. Desactivan la interfaz. A través de la actualización.
Aplicadas un vez o a través de la actualización. Flexibilidad
Creación simple de items El añadido de un parámetro necesita que la aplicación para el registro, los ficheros, utilice el registro, además de la creación de plantillas … administrativas. Importación de parámetros de registro en local o a distancia
No pueden administrar el contenido de los ficheros, de las carpetas, ...
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
Directiva local
No tiene preferencia sobre las directivas locales.
Dependencias
Soporta las aplicaciones que Necesita aplicaciones que soporten las GPO. no están preparadas para utilizar las GPO.
Almacenamiento
Sobreescritura de parámetros originales. No se restaura la configuración en caso de eliminación de las preferencias.
Selección y filtrado
Soportados a través de una directiva local (local GPO).
No se modifican los parámetros originales. Los parámetros están subordinados a la clave/directiva. La eliminación de una directiva de grupo restaura la configuración original.
La selección es muy precisa El filtrado está basado en consultas WMI que hay que en función de criterios escribir, y después asociar al objeto GPO. seleccionables a través de El filtrado se aplica a nivel de cada GPO. una interfaz gráfica. La selección es posible a nivel de cada ítem administrado por las preferencias.
Interfaz de usuario
La interfaz permite definir todos los parámetros de manera muy intuitiva.
La interfaz permite controlar los parámetros más importantes.
A la pregunta "¿Cómo elegir entre desplegar un parámetro de configuración a través de un objeto GPO o a través de las Preferencias de las GPO?", la reflexión que se pueda tener deberá apoyarse en la siguiente lógica: ●
●
¿Quiere forzar el parámetro? Si es así, utilice un objeto GPO. Si no, utilice las Preferencias. ¿Los parámetros de la aplicación o del componente a configurar soportan una gestión de tipo GPO y quiere forzarla en la aplicación? Si es así, utilice una objeto GPO. Si no, utilice las Preferencias y desactive la opción Aplicar una vez y no volver a aplicar.
¡Atención! Cuando un parámetro determinado se declara en un objeto GPO y también como un elemento de tipo Preferencia de directiva de grupo, el parámetro declarado en el objeto GPO se aplicará siempre. Los objetos GPO se tratan de manera prioritaria al contrario que las Preferencias de directivas de grupo.
- 10 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Configuración de la opción Aplicar una vez y no volver a aplicar Los parámetros de los elementos contenidos en las preferencias se aplican durante la actualización de los objetos directivas de grupo. Por defecto, las preferencias se vuelven a aplicar, es decir, a reescribirse, al arrancar el ordenador o al inicio de sesión. Este modo de funcionar asegura que los elementos soportados a través de las Preferencias están en un estado conocido, de la misma manera que ocurre con los parámetros declarados habitualmente en los objetos directivas de grupo. ¡Atención! Si se selecciona la opción Aplicar una vez y no volver a aplicar, las Preferencias se aplican en el ordenador o el usuario únicamente la primera vez. Este modo de funcionar interesa a los administradores que desean ofrecer a ciertos usuarios un entorno de inicio que los mismos usuarios pueden modificar si fuera necesario. Este modo de funcionamiento puede también ayudar a personalizar el entorno por defecto puesto a disposición de los usuarios, sin por ello, modificar el perfil utilizado por defecto para crear el perfil del usuario en su primer inicio de sesión.
b. Despliegue e implementación de Preferencias de directivas de grupo La implementación de las Preferencias de directivas de grupo es el resultado de la adquisición del producto PolicyMaker Standard Edition de la empresa Desktop Standard. Microsoft también ha adquirido el producto GPOVault que ha sido adaptado para convertirse en Advanced Group Policy Management (AGPM), y distribuido como elemento de Microsoft Desktop Optimization Pack for Software Assurance. Así, actualmente, las Preferencias de las GPO están disponibles de dos maneras: ●
●
Uso de las nuevas herramientas de administración integradas en Windows Server 2008. Uso de RSAT (Remote Server Administration Tools for Windows Vista), que estará disponible para descargarse algunas semanas después de que esté disponible Windows Server 2008 así como SP1 de Windows Vista. Esta segunda solución permite a los entornos de dominio basados en Windows Server 2003 soportar las nuevas Preferencias de directivas de grupo.
Desde el punto de vista de las estaciones de trabajo, la implementación de las opciones y parámetros definidos en las preferencias, se asegura en los siguientes sistemas:
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
●
Windows Vista RTM o posterior.
●
Windows Server 2003 SP1 o posterior.
●
Windows XP SP2 o posterior.
¡Atención! El soporte de las Preferencias de las GPO necesita la instalación de las CSE (ClientSide Extensions) necesarias. Este componente estará disponible para la descarga en la web de Microsoft, sabiendo que estará incluido en la versión final de Windows Server 2008. Observe que el uso de las nuevas funcionalidades ofrecidas por las Preferencias no necesitan ninguna licencia adicional. La siguiente figura ilustra la aplicación de esta actualización en el caso de Windows Vista.
Instalación del paquete de actualización "Windows6.0KB943729x86" para un equipo Windows Vista US 32 bits.
Instalación del módulo "PreferencesCSE" a partir del paquete KB943729 (versión RC) La instalación del componente asegura la implementación de las diferentes operaciones soportadas por las preferencias en la forma de diferentes DDL (Dynamic Link Library) integradas como componentes de tipo GPE (Group Policy Extensions).
- 12 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
La DLL Gpprefcl.dll soporta las funciones de "Group Policy Drive Maps" en la clave GPExtensions.
c. Familias de parámetros soportadas por las Preferencias de directivas de grupo Gracias a la utilización de las Preferencias de directivas de grupo, podrá soportar las siguientes familias de parámetros: Configuración de Windows: ●
●
●
●
●
●
●
●
●
Aplicaciones: este nodo de configuración permite a los desarrolladores de aplicaciones insertar conjuntos de parámetros adaptados a sus aplicaciones. Asignaciones de unidades: este nodo de configuración permite a los administradores crear, modificar o eliminar las conexiones de red. También es posible administrar la visibilidad de cada unidad. Este nueva extensión permite administrar todas las conexiones de red sin implementar scripts. Es posible declarar múltiples elementos de tipo "Asignaciones de unidades" en funciones múltiples como las pertenencias a los grupos, consultas LDAP puras a cualquier atributo disponible en los servicios de dominio Active Directory o incluso la información relacionada con el equipo. Entorno: este nodo de configuración permite a los administradores crear, modificar o eliminar las variables de entorno usuario o sistema. Este nueva extensión es muy interesante para administrar de manera centralizada el conjunto de las variables de entorno a utilizar. Archivos: este nodo de configuración permite a los administradores crear, modificar o eliminar archivos. También es posible administrar el conjunto de los atributos. Esta nueva extensión es muy interesante para copiar archivos de configuración en las carpetas de perfil de los usuarios. Este puede ser el caso de los archivos necesarios para la personalización de algunas aplicaciones a través de la carpeta AppData. Carpetas: este nodo de configuración permite a los administradores crear, modificar o eliminar carpetas. También es posible administrar algunos atributos de carpetas. Este nueva extensión es muy interesante en el ámbito del mantenimiento de carpetas temporales. Puede también decidir la supresión de algunas carpetas como las creadas en la raíz del disco de sistema o eliminar el contenido de la carpeta temporal de Windows de manera regular. Archivos.Ini: este nodo de configuración permite a los administradores crear, modificar o eliminar secciones o propiedades en los archivos de configuración de tipo archivo .Ini. Registro: este nodo de configuración permite a los administradores crear, modificar o eliminar los parámetros del registro. Recursos compartidos de red disponible en las Preferencias de equipo: este nodo de configuración permite a los administradores crear, modificar o eliminar los recursos compartidos de red. Observe que esta extensión permite activar o no la utilización del modo ABE (Access Based Enumeration). Accesos directos: este nodo de configuración permite a los administradores crear, modificar o eliminar objetos Accesos directos. Esta nueva extensión permite manipular los objetos de tipo FSO (File System
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
Object), las URL así como la casi totalidad de los objetos de entorno Windows (Shell Objects) como las extensiones del panel de control, la papelera, el explorador, etc. Configuración del panel de control: ●
●
●
●
●
●
●
●
●
●
●
●
- 14 -
Orígenes de datos: este nodo de configuración permite a los administradores crear, modificar o eliminar los DSN (Data Source Names) ODBC (Open DataBase Connectivity). Dispositivos: este nodo de configuración permite a los administradores forzar la activación o la desactivación del funcionamiento de algunos controladores de dispositivos o de algunas clases de controladores. Opciones de carpeta: este nodo de configuración permite a los administradores controlar las diferentes opciones propias de las carpetas de Windows. También es posible administrar las asociaciones de archivos. Configuración de Internet: este nodo de configuración permite a los administradores controlar el conjunto de parámetros de Internet Explorer para Internet Explorer 5 y 6 y también Internet Explorer 7. En general, estos parámetros se soportan con un objeto de directiva de grupo, con el fin de prohibir la modificación de estos parámetros. La utilización de las Preferencias permite definir una configuración de Internet Explorer por defecto que los usuarios pueden cambiar, si lo consideran necesario. Observe que algunos parámetros se pueden controlar completamente a través de un objeto GPO, mientras que otros se pueden proponer a través de un elemento declarado como Preferencia. Usuario y grupos locales: este nodo de configuración permite a los administradores crear, modificar o eliminar usuarios y/o grupos de usuarios localmente en los ordenadores. Esta funcionalidad es muy interesante para garantizar un buen nivel de coherencia de las cuentas locales de los equipos. Así es muy fácil gestionar el contenido de los grupos importantes como los grupos Usuarios y Administradores locales de los equipos. Opciones de red: este nodo de configuración permite a los administradores crear, modificar o eliminar elementos de conexiones de tipo VPN (Virtual Private Network) o DialUp. Esta nueva extensión es muy interesante para configurar los elementos de conexiones de los usuarios remotos en su ordenador portátil de manera regular. De este modo, puede fácilmente mantener el conjunto de los parámetros de manera centralizada, y esto, en función de múltiples criterios. Opciones de energía: este nodo de configuración permite a los administradores crear, modificar y eliminar los perfiles de gestión de la energía. Impresoras: este nodo de configuración permite a los administradores crear, modificar y eliminar impresoras locales, de red o conectadas en TCP/IP. La directivas de grupo de Windows Vista soportan en modo nativo el despliegue de impresoras. Sin embargo, esto no afecta a las impresoras compartidas y necesita una extensión de esquema Active Directory. La utilización de las Preferencias le permitirá desplegar impresoras locales, compartidas o conectadas en TCP/IP en los equipos que funcionan con Windows Vista y también con Windows XP SP2. Esta extensión permite también declarar la impresora por defecto. Configuración regional: este nodo de configuración permite a los administradores controlar los parámetros regionales. Tareas programadas: este nodo de configuración permite a los administradores crear, modificar o eliminar tareas programadas. También es posible crear tareas inmediatas, pero sólo para los ordenadores que funcionan con Windows XP. Esta nueva extensión es muy interesante para, por ejemplo, declarar tareas de mantenimiento periódicas. Servicios: este nodo de configuración permite a los administradores controlar las diferentes opciones de los servicios Windows. Es posible administrar las opciones de inicio, de desencadenar acciones de tipo "Start/Stop/Restart", de configurar la cuenta asociada a la ejecución de un servicio así como las propiedades de recuperación en caso de error. Menú Inicio: este nodo de configuración permite a los administradores controlar las opciones del menú Inicio para los equipos Windows XP y Windows Vista.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Las diferentes familias de parámetros soportados por las Preferencias de objetos directivas de grupo de Windows Server 2008.
d. Operaciones y Acciones en los Elementos de las Preferencias La mayoría de las extensiones incluidas en las nuevas Preferencias de Windows Server 2008 soportan las acciones de control de tipo "Creación, Eliminación, Reemplazar o Actualizar". Finalmente, en cada elemento, la pestaña Comunes permite personalizar el comportamiento en el tratamiento de las Preferencias. La siguiente figura ilustra estas numerosas opciones.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
Configuración del comportamiento de un elemento de tipo Preferencias.
e. Parar el tratamiento de los elementos de esta extensión si se produce un error Por defecto, cualquier error de interpretación o de ejecución se ignora. De esta manera, puede continuar el tratamiento de los elementos de Preferencias de la misma extensión. Puede decidir parar el tratamiento de elementos suplementarios de esta extensión activando esta opción. Observe que este parámetro se gestiona de manera independiente para cada objeto directiva de grupo. El resto de objetos GPO no están afectados por la activación de esta opción.
f. Ejecutar en el contexto de seguridad del usuario conectado (opción de directiva de usuario) Esta opción, que no está seleccionada por defecto, permite especificar si es necesario tratar el elemento en el contexto de usuario en sesión. Por defecto, se utiliza la cuenta System Local, permitiendo a las Preferencias acceder a las variables de entorno del sistema y a los recursos locales del equipo. Para acceder a las variables de usuario, es pues, necesario activar esta opción.
g. Eliminar el elemento cuando no se aplica A diferencia de los parámetros de directivas de grupo que se suprimen cuando un objeto GPO no se aplica, los parámetros de Preferencias no se eliminan. En el caso en que se desee eliminar los elementos aplicados anteriormente, se deberá activar esta opción en el elemento a eliminar.
h. Aplicar una vez y no volver a aplicar Sabemos que las directivas de grupo se aplican de manera regular en los ordenadores y los usuarios. Conviene recordar que los objetos GPO se aplican al arrancar el ordenador, en el inicio de sesión del usuario, así como en un intervalo de tiempo que se fija por defecto en 90 minutos más un periodo comprendido entre 0 y 30 minutos. Esta actualización periódica puede, de hecho, provocar el restablecimiento de parámetros que estén en las Preferencias, incluso si el usuario actual ha efectuado cambios en los elementos en su entorno de trabajo. Para evitar la actualización de estos elementos y la aplicación sistemática de los parámetros originales, será necesario activar esta opción.
- 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
i. Selección a nivel del elemento de Preferencias Esta funcionalidad es, sin duda, la más potente. En efecto, es posible, a nivel de cada elemento de Preferencias declarado, definir los usuarios y/o los equipos que estén afectados. Sabemos que desde Windows 2000, la selección de los objetos directiva de grupo se basa en la naturaleza de SOM (Scope of Management), es decir, la estructura SDOU, Sitio/Dominio/OUs, en la que se aplican los objetos directivas de grupo. Windows XP Professional aporta a los administradores la posibilidad de aplicar los filtros WMI, estos filtros WMI desempeñan la función de controlar toda condición a respetar para aplicar esta o aquella GPO del ámbito de gestión. A diferencia del filtrado WMI de los objetos directivas de grupo que trata la totalidad de los parámetros contenidos en el objeto GPO, los elementos de las Preferencias de estrategias de grupo soportan una selección natural a nivel de cada elemento. Gracias a las preferencias y a la capacidad de selección disponible en cada elemento, es posible crear un solo objeto GPO que contenga miles de condiciones para aplicar tal o cual parámetro en tal o cual selección específica de objetivos. La siguiente figura ilustra la creación de una nueva selección basada en la pertenencia del ordenador a un sitio y a un dominio Active Directory determinado así como la pertenencia del ordenador a un grupo de seguridad.
Utilización de editor de selección en un elemento de Preferencias
j. Utilización de variables en el editor de selección Durante la declaración de las diferentes condiciones de aplicación de un elemento, el administrador tiene la posibilidad de utilizar las numerosas variables de sistema soportadas por las extensiones de Preferencias de directivas de grupo. La totalidad de estas variables se puede utilizar a nivel de todas las propiedades definibles a nivel de los elementos o de selección específica de cada elemento. Aunque es posible teclear directamente los valores de estas numerosas variables, se recomienda utilizar la tecla [F3] a fin de acceder al selector de variable. Esta herramienta evitará los inevitables errores de sintaxis y le permitirá fácilmente utilizar combinaciones complejas de variables de entorno en la definición de reglas de selección altamente dinámicas.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 17 -
Utilización del selector de variables con la ayuda de la tecla [F3].
k. Seguimiento de la ejecución de las Preferencias de directivas de grupo Las Preferencias de directivas de grupo soportan totalmente los análisis RSoP respaldados por la nueva consola de administración de directivas de grupo versión 6.0.0.1. La siguiente figura ilustra un análisis realizado con la ayuda del GPMC de Windows Server 2008, que incluye el tratamiento de las nuevas Preferencias.
- 18 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Comprobación del buen funcionamiento de las extensiones CSE de las Preferencias de directivas de grupo.
Vista de los parámetros aplicados en cada elemento declarado. La anterior figura muestra los parámetros aplicado al objeto Menú Inicio [Windows Vista]. Observe que la interfaz del informe RSoP (Resultant Set of Policy) precisa que en la categoria mostrada, los parámetros más próximos al nivel superior del informe se utilizan prioritariamente para la resolución de conflictos. En este ejemplo, los parámetros del objeto directiva de grupo "Experts Preferences v1" se aplican con éxito (Resultado: Operación correcta). Por último, entre los numerosos parámetros definidos, el parámetro General "Número de programas en el menu Inicio" toma el valor 12. En lo que respecta al análisis de la aplicación de los objetos directivas de grupo en las máquinas Windows XP Professional, la nueva consola de administración de las directivas de grupo será la herramienta elegida para analizar la simulación de la aplicación de los parámetros contenidos en los objetos GPO y las Preferencias de los objetos GPO. Para obtener más información sobre las nuevas Preferencias de directivas de grupo, puede consultar la web de Microsoft y buscar Group Policy Preferences. Puede también consultar la web de Microsoft Technet dedicada a las directivas de grupo, en el siguiente enlace: http://technet.microsoft.com/en us/windowsserver/grouppolicy/default.aspx
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 19 -
- 20 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Creación y configuración de objetos de directiva de grupo 1. Introducción Los objetos de directiva de grupo se caracterizan por los siguientes aspectos: ●
●
Son objetos pertenecientes a los servicios de directorio Active Directory cuyo principal objetivo es contribuir a que los administradores de la red Windows ofrezcan a los usuarios herramientas y entornos de trabajo adecuados aún más fiables, seguros y, por lo tanto, de mayor rendimiento. Las directivas de grupo simplifican la administración centralizado la configuración en el directorio Active Directory y, por lo tanto, en el exterior de los ordenadores.
●
La administración es más precisa, más eficaz, más rica, ¡pero también más sencilla!
●
La configuración de los usuarios se aplica independientemente de los equipos.
Más adelante veremos el modo de procesamiento mediante bucle invertido. Este modo permite gestionar algunas situaciones y hace que, en esos casos concretos, la configuración de usuario no sea "tenida en cuenta" en los equipos que implementan dicho modo de funcionamiento.
●
La configuración de los equipos se aplica independientemente de los usuarios.
2. Directivas de grupo y relación con las tecnologías Las directivas de grupo integran un número importante de tecnologías. Es indispensable saber "quien hace cada cosa". La tabla siguiente enumera las tecnologías que deben usarse para prestar el mejor servicio. Funcionalidades
Tecnologías usadas para implementar el servicio
Administración de los datos de usuario Active Directory
Active Directory, Directiva de grupo, Archivos sin conexión, Gestor de sincronización, Cuotas de disco, Perfiles de usuario itinerantes
Instalación y mantenimiento de los programas Active Directory
Active Directory, Directiva de grupo, Windows Installer
Administración de la configuración del usuario
Active Directory, Perfiles de usuarios itinerantes
Administración de la configuración del equipo
Cuentas de usuario y de ordenadores Active Directory
Servicios de instalación remotos (RIS)
Active Directory, Directiva de grupo, Servicios de instalación remota
Esta tabla muestra hasta qué punto los servicios de directorio Active Directory son indispensables para la tecnología IntelliMirror. En lo que queda de capítulo se introducen los detalles de los objetos directiva de grupo de los servicios de directorio Active Directory.
3. ¿Qué contiene una directiva de grupo? Una directiva de grupo está compuesta de diferentes tipos o familias de parámetros, los cuales presentamos a
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
continuación. Una vez que conozcamos bien las posibilidades intrínsecas de los objetos de directiva de grupo, pasaremos a detallar la implementación de esos objetos de una infraestructura Active Directory.
a. Plantillas administrativas Un objeto de directiva de grupo integra plantillas que dan soporte a los parámetros del registro situados en las siguientes ubicaciones: clave HKEY_CURRENT_USER, para los parámetros de usuario, y clave HKEY_LOCAL_ MACHINE, para los equipos. Estas plantillas se implementan en forma de archivos .adm, situados en un principio en el directorio %Systemroot\inf. Gracias a estas plantillas y a las suministradas con el Kit de recursos técnicos de Microsoft Office (versiones 2000, XP, 2003 y 2007), será posible configurar de forma muy precisa los detalles burocráticos. También será posible, claro está, crear plantillas propias e integrarlas en los objetos de directiva de grupo con el fin de difundir la configuración a toda la red de la empresa o a parte de ella. Estas plantillas reciben el nombre de Plantillas administrativas, o “Administrative Templates” en inglés. La información de registro "equipo" almacenada en la clave de registro HKEY_LOCAL_MACHINE, están situadas físicamente en GPT\Machine\Registry.pol, mientras que la información de registro "usuario" almacenados en la clave HKEY_CURRENT_USER está situada físicamente en GPT\User\Registry.pol. No es posible modificar directamente los archivos .pol que adoptan un formato binario comprimido. Estos archivos binarios no son más que el resultado de las manipulaciones realizadas con la consola de administración MMC "Editor de objetos de directiva de grupo". Las plantillas administrativas permiten controlar el comportamiento y la presentación del escritorio, la administración de las funciones de búsqueda de impresoras así como, por ejemplo, la posibilidad de bloquear el acceso a las herramientas de edición de registro. La siguiente tabla enumera las diferentes plantillas presentes en los sistemas Windows 2000, Windows XP Professional y sistemas de la familia Windows Server 2003. Nombre de la plantilla en % Systemroot%\inf
Función/descripción
System.adm
Configuración de sistema.
Inetres.adm
Configuración de Internet Explorer.
Wmplayer.adm
Configuración de Windows Media Player. Esta función no está disponible en Windows XP 64 bits Edition ni en Windows Server 2003 64 bits Edition.
Conf.adm
Configuración de NetMeeting. Esta función no está disponible en Windows XP 64 bits Edition ni en Windows Server 2003 64 bits Edition.
Wuau.adm
Configuración de los servicios Windows Update.
Plantillas específicas de los antiguos sistemas En el directorio %Systemroot%\inf encontrará todos los archivos de los tipos de plantillas, entre ellos las plantillas administrativas usadas por las directivas locales y de grupo. Las plantillas especificadas a continuación están disponibles en el sistema para permitir la compatibilidad con las antiguas directivas de sistema utilizables en equipos con Windows NT y Windows 9x. Common.adm: plantilla específica de los sistemas operativos NT/Win95/98, se usa a través de Poledit, el editor de directivas de sistema de Windows 9x y Windows NT. La herramienta de directivas de sistema de Windows 9x y Windows NT se incluía en los sistemas Windows 2000. Esto ya no es así con Windows XP Professional y Windows Server 2003. Windows.adm: específica de Windows 9x. Winnt.adm: específica de Windows NT 4.0. Inetset.ADM: configuración de Internet Explorer de tipo Internet específica de los sistemas Windows 2000. Inetcorp.ADM: configuración de Internet Explorer de tipo Corporate específica de los sistemas anteriores a Windows 2000.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Objeto directiva de grupo que contiene las plantillas no soportadas La figura anterior muestra una directiva de grupo personalizada que contiene las plantillas adicionales de Microsoft Office 2003 paro también las plantillas no soportadas. En efecto, estas plantillas están previstas para que las utilice Poledit, el editor de directivas de sistema de Windows NT 4.0 y Windows 9x. El hecho de que ciertas plantillas incompatibles se ordenen en el nodo "Plantillas de administración no soportadas" no significa que el objeto directiva de grupo no sea válido. El objeto sigue siendo operativo para todo lo que es válido. Se trata sólo de una información para advertir al administrador de un problema potencial de administración.
b. Reglas de seguridad para los ordenadores y plantillas de seguridad Las directivas de grupo permite realizar numerosas tareas pesadas de forma homogénea para proteger los recursos del ordenador de posibles agresiones de la red. Así, podrá integrar sus propias plantillas de seguridad en las directivas de grupo, ya que las propias plantillas se construyen con ayuda de la consola de administración Plantillas de seguridad. Una vez creada la plantilla, ésta puede integrarse en la directiva de grupo para que esté disponible en los equipos deseados. Las reglas de seguridad incluyen los siguientes elementos de configuración: ●
configuración de autenticaciones de red y acceso a recursos,
●
configuración de los ajustes de mensajes de auditoría en los registros de seguridad,
●
verificación de la pertenencia a grupos de seguridad específicos.
La figura presentada más adelante muestra perfectamente las clases de elementos que pueden controlarse mediante las directivas de grupo. Enumeramos a continuación dichas clases: ●
●
●
●
●
configuración de las directivas de cuentas del dominio, pero también de las máquinas locales cuando es preciso administrar la configuración de las directivas de cuenta locales, directivas locales de seguridad, es decir, directivas de auditoría, de atribución de derechos de sistema así como las numerosas opciones de seguridad, configuración de los registros de eventos, administración de los grupos restringidos. Esta funcionalidad permite garantizar que los grupos “importantes” contienen efectivamente los miembros que deberían y no contienen a nadie que no esté habilitado. configuración de la seguridad de los servicios. Por ejemplo, podrá delegar a un usuario concreto el derecho
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
de detener, poner en pausa e iniciar un servicio en concreto. ●
configuración de seguridad de las claves de registro y de los directorios de disco del equipo,
●
configuración de clave pública, de restricción de software y de directivas IPSec en Active Directory.
Directiva de grupo y familia de configuración de seguridad
Las plantillas de seguridad se ubican en el directorio %Systemroot%\Security\Templates y pueden importarse a un objeto directiva de grupo. Las plantillas de seguridad predefinidas se suministran a modo de punto de partida. Podrán servir para crear directivas de seguridad propias con ayuda de la consola de administración MMC "Plantillas de seguridad". Una vez ultimadas las plantillas podrá configurar decenas, centenas o miles de equipos importándolas a las directivas de grupo. Las plantillas también pueden usarse como referencia para analizar posibles fallos de seguridad con ayuda de la consola de administración MMC “Configuración y análisis de la seguridad”. Describimos a continuación las diferentes plantillas suministradas con los servidores Windows Server 2003: Plantillas "Setup security.inf", Seguridad predeterminada Esta plantilla se crea durante la instalación del ordenador y contiene la configuración de seguridad predeterminada. Puede usarse en servidores y estaciones de trabajo. Se recomienda encarecidamente no aplicar esta plantilla mediante una directiva de grupo. Considerando el volumen de información contenido en ella (702 Kb), el rendimiento podría disminuir seriamente. Además, la plantilla no debe aplicarse a servidores de tipo controlador de dominio. Por el contrario, sí será posible aplicar todos los parámetros contenidos en la plantilla, o bien una parte de ellos, para efectuar recuperaciones de urgencia. Para aplicar toda la plantilla o una parte de la misma, use el comando Secedit.
Seguridad predeterminada del controlador de dominio (DC security.inf) Plantilla creada automáticamente cuando un servidor pasa a ser controlador de dominio. Contiene todos los parámetros de seguridad predeterminados de los directorios, archivos, registros y otros servicios del sistema. Puede aplicarse con la consola de administración MMC “Configuración y análisis de la seguridad” o con el comando Secedit. Plantilla “Compatible”: Compatws.inf Plantilla que contiene las autorizaciones concedidas inicialmente a los grupos locales Administradores, Usuarios con
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
privilegios y Usuarios. Normalmente, los miembros del grupo local Usuarios deben ser capaces de hacer funcionar las aplicaciones con el logo Windows 2000 o Windows XP Compatible. Sin embargo, es posible que los usuarios no puedan ejecutar aplicaciones incompatibles. En esos casos podrá optar por una de estas soluciones: ●
autorizar a los miembros del grupo Usuarios a convertirse en miembros del grupo Usuarios con privilegios,
●
dar más derechos al grupo Usuarios.
La plantilla “Compatible” está destinada a evitar que escoja la primera opción. En efecto, la segunda opción modificará las autorizaciones predeterminadas de los archivos y de ciertas claves del registro concedidas al grupo Usuario. No aplique la plantilla “Compatible” en los controladores de dominio.
Plantillas “Segura”: Secure*.inf Plantilla que define una configuración de seguridad mejor que la obtenida tras la instalación del sistema. Entre los parámetros modificados encontrará parámetros más detallados de contraseña, bloqueo de cuenta y análisis. Con la misma finalidad se ha desactivado el uso del protocolo de autenticación LAN Manager y NTLM. De hecho, los clientes se configuran para enviar sólo respuestas de tipo NTLMv2 mientras que los servidores rechazan las respuestas LAN Manager. La plantillas de seguridad Securews.inf obliga a que todos los controladores de dominio con cuentas de usuarios que se conecten al cliente deben ejecutar Windows NT 4.0 Service Pack 4 o versiones posteriores.
Los equipos de tipo Windows for Workgroups 3.11, Windows 95 y Windows 98 que no estén equipados con el Cliente Active Directory sólo soportan LAN Manager. Por lo tanto, no dan soporte a la autenticación NTLM. Observe también que la plantilla “Segura” activa la firma de paquetes SMB (Server Message Block) en el servidor, generalmente desactivada por defecto. Windows Me (Millennium Edition) no precisa del cliente Active Directory para autenticarse ya que da soporte a NTLMv2 sin modificaciones adicionales.
Plantilla “Altamente segura”: hisec*.inf Plantilla aún más segura que la precedente y que, por lo tanto, impone restricciones adicionales en el cifrado y en las firmas necesarias para la autenticación y los datos que circulan en los canales seguros y entre los clientes y los servidores SMB. Por ejemplo, mientras que la plantilla Segura obliga a que los servidores rechacen las respuestas de LAN Manager, la plantilla Altamente Segura obliga a que rechacen las repuestas de LAN Manager y también las respuestas de NTLM. En la misma línea, mientras que la plantilla Segura activa la firma de los paquetes SMB en el servidor, el modelo Altamente Segura lo exige. Además, el modelo Altamente Segura exige un cifrado reforzado y la firma en los datos de canales seguros con relaciones de confianza de dominio a miembro y de dominio a dominio. Plantilla “Seguridad de la raíz del sistema”: Rootsec.inf Plantilla que especifica las autorizaciones en la raíz de los discos. Por defecto, Rootsec.inf define las autorizaciones para la raíz del lector de sistema. La plantilla puede usarse para volver a aplicar las autorizaciones de acceso al directorio raíz si éstas han sido modificadas por descuido o bien puede modificar la plantilla para aplicar las mismas autorizaciones de acceso a la raíz de otros volúmenes. La plantilla “Seguridad de la raíz del sistema” no sustituye las autorizaciones explícitas definidas en los objetos hijo. Sólo propaga las autorizaciones que se han heredado y nunca los permisos explícitos.
Plantilla “Ningún SID usuario Terminal Server”: Notssid.inf Los derechos predeterminados en los discos y las listas de control de acceso del registro, situadas en los servidores, conceden autorizaciones a un identificador de seguridad (SID) específico en Terminal Server. El SID Terminal Server sólo se usa cuando se ejecuta Terminal Server en modo de compatibilidad de aplicaciones. Si Terminal Server no está operativo en el servidor en cuestión, puede aplicarse la plantilla para eliminar los SID Terminal Server inútiles.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Recomendaciones relativas al uso de las plantillas Las plantillas de seguridad han sido concebidas para ser usadas en equipos que cuenten en un principio con parámetros de seguridad predeterminados. De hecho, las plantillas se implementan de forma incremental por encima de los parámetros de seguridad predeterminados, en caso de que éstos estén presentes en el equipo. Hay que ser consciente, por lo tanto, de que las plantillas no instalan los parámetros de seguridad predeterminados antes de efectuar las modificaciones. Las plantillas de seguridad predefinidas no deben aplicarse a sistemas de producción sin haber sido validadas previamente. No podrá proteger sistemas Windows 2000, Windows XP o Windows Vista instalados en sistemas de archivos FAT (File Allocation Table). La siguiente figura muestra los archivos de tipo plantilla de seguridad presentes en sistemas con Windows Server 2003.
En la página de Microsoft se puede descargar numerosas plantillas de seguridad Encontrará “Windows Server 2003 Security Guide” en la http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C106854D89B655 521EA6C7B4DB&displaylang=en
siguiente
dirección:
y “Windows XP Security with SP2" en la siguiente dirección: http://www.microsoft.com/downloads/details.aspx? FamilyId=2D3E25BCF4344CC6A5A709A8A229F118&displaylang=en Existen guías de seguridad, publicadas en la página de Microsoft, para los sistemas de la familia Windows 2000, Windows XP Professional y la familia Windows Server 2003 y también para Microsoft Exchange 2000 y Microsoft Exchange Server 2003. Esas guías describen las funcionalidades y detalles de los parámetros de configuración y el mejor marco de uso de los mismos así como los efectos negativos que éstos podrían generar. Por ejemplo, la guía de Windows XP Professional SP2 describe las plantillas de seguridad que dan soporte a la nueva configuración del firewall Windows, que remplaza al precedente ICF (Internet Connection Firewall), e incluye numerosas informaciones acerca de la protección de los puertos TCP/IP, el protocolo RPC (Remote Procedure Call), las nuevas funcionalidades de protección de la memoria y los servicios de Internet (Internet Explorer, Outlook Express, etc.). Seguridad de Windows Vista: encontrará disponible para descargar en la web de Microsoft la Guía de seguridad de Windows Vista. Proporciona centenares de recomendaciones y procedimientos para reforzar al máximo el nivel de seguridad del sistema. Se proponen múltiples configuraciones aunque la configuración más recomendada es la que se conoce como Enterprise Client. Esta guía propone también una configuración conocida como SSLF (Specialized Security Limited Functionality), que limita de manera considerable las funcionalidades integradas en Windows Vista. Esta guía que se puede descargar en la dirección consignada a continuación, contiene también el fichero Windows Vista Security Guide Settings.xls, y la herramienta GPOAccelerator tool para proporcionar ayuda al implementar las diferentes recomendaciones. http://go.microsoft.com/fwlink/? LinkId=74028 La Guía de seguridad Windows Vista también está disponible en línea en la web de Microsoft Technet en la dirección: http://technet.microsoft.com/enus/bb629420.aspx
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
c. Administración de las aplicaciones El servicio de administración del software es uno de los elementos más importantes. Los problemas vinculados al funcionamiento de las aplicaciones han requerido que se establezcan sistemas operativos pesados como Windows NT o las diferentes versiones de núcleos basados en Unix. Para convencerse de ello, basta con ver que en Apple ocurre lo mismo. En efecto, la última versión de Mac OSX (núcleo Darwin) se basa en un derivado de Nextstep, basado a su vez en un UNIX de tipo BSD. La complejidad, tanto de los sistemas como de las aplicaciones, no ha dejado de provocar numerosos problemas de funcionamiento “post despliegue”. En efecto, sea cual sea el sistema operativo (Windows, Unix, Mac OS), desde el momento en que la configuración cambia el sistema se vuelve frágil. Resulta indispensable, por lo tanto, progresar en ese aspecto para hacer que las estaciones de trabajo sean más dinámicas. Los componentes de administración y mantenimiento de los programas integrados en Windows 2000 y versiones posteriores a través del motor de instalación Windows Installer son elementos esenciales. Más adelante, usted tendrá la posibilidad de usar esta tecnología para integrar las aplicaciones que desea desplegar con ayuda de una directiva de grupo. La siguiente figura ilustra este principio.
Se asigna la aplicación Adobe Acrobat Reader a los equipos afectados por esta directiva de grupo Más adelante veremos que las aplicaciones se pueden desplegar, eliminar y actualizar en la misma familia de producto o en otras, pero que también es posible “parchear” cualquier aplicación desplegada a través de IntelliMirror, es decir, mediante Active Directory y las directivas de grupo. Los servicios de instalación permitirán desplegar las aplicaciones en los equipos. De esta forma, todos los usuarios de los equipos podrán usar las aplicaciones. Las aplicaciones pueden desplegarse también a los usuarios de forma que sólo puedan acceder a ellas los usuarios elegidos, independientemente de la máquina desde la que lo hagan. En el capítulo siguiente trataremos el despliegue de programas mediante directivas de grupo. Para saber más acerca de las características del servicio Windows Installer, sus diferentes versiones y principios generales de funcionamiento, remítase al capítulo siguiente o al sitio MSDN (Microsoft Developer Network) ubicado en la dirección: http://msdn.microsoft.com/library/default.asp?url = /library/en us/msi/setup/about_windows_installer.asp WSUS 3.0 y SCCM 2007: a propósito del resto de tecnologías y herramientas Microsoft para parchear programas y sistemas operativos. La tecnología de administración y mantenimiento de los programas depende directamente de lo que permita hacer el motor Windows Installer. Dicho motor ha sido concebido para dar soporte a las aplicaciones conformes con las especificaciones Windows 2000 y versiones posteriores. Así, al menos por el momento, no se contempla que el servicio Windows Installer de soporte a actualizaciones propias de los sistemas operativos. La estrategia de Microsoft es muy clara: los sistemas operativos deben evolucionar a su ritmo y los programas también. Así, la estrategia quiere que haya dos tecnologías de administración de los patchs para dos problemas diferentes: una para los sistemas y otra para las aplicaciones. Los sistemas usan los servicios Windows Update a través de http (y el protocolo de transferencia inteligente de ficheros BITS) o la versión WSUS 3.0. Los servicios WSUS permiten controlar mejor el paso de los patchs dentro de la red de la empresa, sabiendo que SCCM 2007 (System Center Configuration Manager 2007) también integra una administración muy sofisticada de las actualizaciones con seguimiento avanzado a través de informes muy detallados. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Además de los métodos descritos anteriormente, siempre es posible obtener los parches y otras actualizaciones a través de Internet en dos sitios distintos : los parches de Windows están disponibles en la web de Windows Update en la dirección: http://windowsupdate.microsoft.com; los parches de Office están disponibles en la web de Office Update en la dirección: http://office.microsoft.com/officeupdate
●
●
●
●
●
●
●
●
WSUS será capaz de escanear los equipos de la red y detectar las actualizaciones no finalizadas o inexistentes. WSUS permitirá eliminar actualizaciones y definir la frecuencia con la cual los equipos de la red deben comprobar si están actualizados. En las instalaciones que no precisan que se reinicie el equipo, las actualizaciones podrán llevarse a cabo de forma completamente silenciosa y, por lo tanto, transparente para los usuarios. Lo servidores WSUS podrán estar encadenados entre sí con independencia de los privilegios de administración. Las actualizaciones se transfieren mediante la tecnología BITS Background Intelligent Transfer Service, y el motor Windows Installer para no ser agresivo con el ancho de banda disponible en la red. Las descargas disponen de una administración de los puntos de parada y el motor BITS puede trabajar en modo delta de ficheros binarios comprimidos. WSUS proporciona a los administradores la posibilidad de utilizar nuevos informes para realizar todas las estadísticas útiles referentes al paso de actualizaciones. WSUS es una plataforma central de administración de las modificaciones.
Para obtener más información de WUS, consulte los siguientes vínculos: http://www.microsoft.com/windowsserversystem/wus/default.mspx y http://www.microsoft.com/technet/security/topics/patch/default.mspx Para poder instalar los servicios WSUS 3.0 debe disponer de los siguientes elementos: ●
Windows Server 2003 SP1 o SP2
●
IIS 6.0
●
Microsoft .NET Framework 2.0
●
Microsoft Management Console 3.0
●
Microsoft Report Viewer
●
La instalación Microsoft SQL Server 2005 SP1 no es obligatoria. Cuando sea el caso, el programa de instalación de WSUS instalará una base MSDE (Windows Internal Database).
A propósito del soporte de los servicios WSUS 3.0 y Windows Server 2008 Microsoft publicó a inicios del mes de marzo de 2008 la versión SP1 de los servicios WSUS 3.0 en su versión x86 y también x64. Esta versión de WSUS soporta las siguientes funcionalidades:
- 8-
●
Soporte de Windows Server 2008.
●
Integración de WSUS en el Administrador de servidor de Windows Server 2008.
●
Novedades en la API cliente.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
Soporte de los mecanismos de distribución para las plataformas no Windows.
●
Mejora del registro de los clientes.
●
Filtrado de las actualizaciones por Categorías y Clasificación.
●
Informe de estado de actualizaciones para cada cliente.
●
Publicación avanzada de los drivers a través de las API de administración existentes y los catálogos ofrecidos por los proveedores de drivers.
●
Soporte del concepto "bundles" (conjunto de parches).
●
Soporte de condiciones de aplicaciones (prerrequisitos).
El SP1 de WSUS 3.0 está disponible en la web de Microsoft Connect en versión RC. La versión final de SP1 se entregó un poco después del lanzamiento oficial de Windows Server 2008 y así permitió una integración perfecta de Windows Server 2008. Microsoft ha anunciado recientemente que la próxima versión principal de los servicios WSUS estará directemente integrada en la próxima versión principal de Windows Server (Windows 7 Server).
d. Administración de la ejecución de archivos de comandos Las directivas de grupo permiten declarar diferentes niveles de scripts. Así es posible declarar los scripts en los siguientes momentos: ●
Scripts al iniciar el ordenador,
●
Scripts al inicio de sesión de usuario,
●
Scripts al cerrar la sesión de usuario,
●
Scripts al detener el ordenador.
Las directivas de grupo permiten dar mejor soporte a la ejecución de scripts Además de administrar la ejecución de los scripts en esos importantes momentos, también podrá declarar múltiples scripts unos tras otros. Los scripts declarados se almacenan directamente en el volumen de sistema en una ubicación como esta: %Systemroot%\Windows\SYSVOL\sysvol\Corp2003.Corporate.net\Policies\{C8C119A61426 44EE849F324A3B76820C}\Machine\Scripts\Startup.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
Los scripts que utiliza pueden escribirse sobre la base de tecnologías de scripts incluidos de serie, es decir, con los scripts VBScript y JScript a través de WSH Windows Scripting Host.
e. Administración de los servicios de instalación remota RIS Los servicios de instalación remota RIS (Remote Installation Services) permiten desplegar un sistema operativo en los equipos. Soportan un mecanismo que permite que los equipos de la red se conecten con el servidor RIS cuanto la estación de trabajo llama a un “Boot from network” pulsando la tecla [F12] del ordenador. Los servidores RIS que funcionan con Windows Server 2003 pueden instalar y desplegar imágenes RIS de tipos Windows Server 2003, Edition Standard y Entreprise, Windows 2000 Server y Advanced Server, Windows 2000 y Windows XP Professional. Los servicios RIS pueden usarse para instalar un sistema operativo en una nueva máquina o bien para restaurar una configuración concreta en un sistema que esté dando fallos.
Opciones que se ofrecen a los usuarios que llaman al servicio La figura muestra las opciones “usuario” que puede administrar.
Lista de las operaciones autorizadas y no autorizadas para los usuarios de los servicios de instalación remota
- 10 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Los únicos parámetros destinados a los usuarios que soliciten un servidor RIS se declaran en esta ventana. Los parámetros ganadores se aplicarán en función de la directiva o directivas de grupo relativas a un usuario concreto. Los servicios WDS reemplazan RIS A partir de Windows Server 2003 SP1, es posible reemplazar la utilización de los servicios RIS por los servicios WDS (Windows Deployment Services), a través de WAIK (Windows Automated Installation Kit). Este paquete existe en una imagen ISO (archivo .img) de alrededor de un 1 GB. Utilizando Windows AIK, puede realizar instalaciones automatizadas de Windows Vista, capturar imágenes Windows a través de ImageX y crear sus propias imágenes de Windows PE 2.0. Para descargar WAIK (que incluye los servicios WDS), busque en la web de Microsoft el término "Windows Automated Installation Kit (AIK)". Observe que los servicios WDS incluidos en WAIK se integran en el SP2 de Windows Server 2003 y que Windows Server 2008 dispone de una versión más sofisticada de los servicios WDS, sobre todo para el soporte de despliegue de imágenes en modo multicast.
f. Administración de los parámetros de configuración y seguridad de Internet Explorer La configuración es especialmente rica. Internet Explorer es un componente muy importante de la plataforma Windows, al igual que puede serlo el shell (el escritorio) de Windows. Dado que IE y sus componentes se solicitan a menudo, proteger IE significa en gran medida proteger el sistema. ¿De qué serviría proteger el SO si las aplicaciones no están protegidas y viceversa? Quien haya utilizado IEAK Internet Explorer Administration Kit, para personalizar Internet Explorer 4.0, 5.0 o 6.0, encontrará todos esos parámetros en las directivas de grupo.
Configuración “Usuario” de tipo configuración general
Configuración “Usuario” de carácter administrativo
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
La configuración de Internet Explorer se clasifica en tres grandes apartados: ●
●
●
En la parte Equipo en la ubicación Configuración del equipo/Plantillas administrativas/Componentes Windows/Internet Explorer para todo lo relativo a zonas de seguridad Internet y parámetros de proxy para el ordenador, de forma que los usuarios no podrán alterar ese valor ni los parámetros de actualización de Internet Explorer, ni sus componentes ni tampoco componentes terceros. En la parte Usuario en la ubicación Configuración del usuario/Configuración de Windows/Mantenimiento de Internet Explorer para todo lo relativo a la personalización de la interfaz, conexiones, URL principales, favoritos, configuración de seguridad y Authenticode y configuración de programas predeterminados de Internet. En la parte Usuario en la ubicación Configuración de usuario/Plantillas administrativas/Componentes de Windows/Internet Explorer para todo lo relativo a opciones del panel de configuración de Internet, páginas sin conexión, menús del navegador, barras de herramientas y controles autorizados.
g. Redireccionamiento de las carpetas de usuario (carpetas especiales) Las directivas de grupo ofrecen la posibilidad de redirigir algunas carpetas especiales a ubicaciones de red con ayuda de una extensión integrada en las directivas de grupo. Esta extensión, que es también un principio, se conoce como "Redireccionamiento de carpetas". El redireccionamiento de carpetas es una directiva de grupo de tipo Usuario. Esto significa que el usuario para el que se configura el redireccionamiento de carpetas deberá ser objeto de la aplicación de una directiva de grupo. Después de haber creado la directiva de grupo y de haberla asociado al contenedor adecuado, el administrador puede designar las carpetas que se deben redirigir y las ubicaciones locales o de red a las que redirigirlas. Esta opción está situada en el objeto directiva de grupo en la ubicación siguiente: Configuración de usuario\Configuración de Windows\Redireccionamiento de carpetas. Las carpetas especiales son cuatro: ●
Datos de programa,
●
Escritorio,
●
Mis documentos,
●
Menú Inicio.
El nodo “Redireccionamiento de carpetas” afecta sólo a estas carpetas, llamadas “Especiales”. No es posible añadir otras carpetas al redireccionamiento de carpetas. Son posibles varios niveles de redireccionamiento. En el apartado propiedades de la carpeta que desea redireccionar podrá escoger entre los dos grandes modos presentados a continuación: ●
El primer modo recibe el nombre de redireccionamiento básico. Es relativamente eficaz porque permite al administrador: ●
●
Redirigir la siguiente ubicación: permite redirigir la carpeta a la ubicación que prefiera. El uso de la variable %username% permitirá usar un directorio para cada usuario. Redirigir la ubicación local de perfil usuario: es el comportamiento predeterminado para elegir la ubicación de la carpeta en ausencia de indicaciones de redireccionamiento por parte del administrador.
Los administradores a menudo usarán esta funcionalidad para redirigir automáticamente las carpetas de un usuario a una carpeta creada nuevamente para cada usuario. La variable %username% puede utilizarse en la ruta de redireccionamiento, permitiendo al sistema crear de forma dinámica una carpeta redirigida nuevamente para cada usuario al que se aplique el objeto de directiva. El redireccionamiento de carpetas especiales es particularmente interesante ya que ha sido concebido para responder a las necesidades de los usuarios, con la ventaja de que es fácil de instaurar y no demanda apenas mantenimiento por parte de los administradores. - 12 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
La siguiente pantalla muestra esta primera posibilidad.
Redireccionamiento de la carpeta en modo “Básico”
●
El segundo modo de funcionamiento recibe el nombre de redireccionamiento Avanzado. A diferencia de la configuración “Básica”, permite que el administrador especifique distintas ubicaciones para las carpetas redirigidas en función de la adhesión de los usuarios a un grupo de seguridad. La configuración No especificar ninguna directiva administrativa permite que el perfil usuario, y no la directiva de grupo, determine la ubicación de la carpeta. En esos casos la pestaña Configuración no está disponible. Si selecciona el parámetro Hacer de Mis imágenes una subcarpeta de Mis documentos, la carpeta Mis imágenes seguirá siendo una subcarpeta de Mis documentos independientemente de la ubicación a la que se redirija Mis documentos.
Este modo de funcionamiento resulta muy práctico ya que es posible declarar centenares de grupos cuyos miembros se redirigirán a un destino u otro. Basta con usar una única directiva de grupo para miles de usuarios. Puede escoger la ubicación de la carpeta de la siguiente manera: ●
●
●
●
Crear una carpeta para cada usuario en la ruta raíz: esta opción añade a la ruta una carpeta con nombre en función de la variable de entorno %username%. Redirigir la ubicación siguiente: esta opción permite especificar una ruta de red de tipo UNC o una ruta válida localmente como C:\Nombre_Carpeta. Redirigir a la ubicación local de perfil usuario: esta opción retorna al comportamiento predeterminado para elegir la ubicación de la carpeta en ausencia de indicaciones de redireccionamiento por parte del administrador. Redirigir al directorio particular del usuario: esta opción resulta muy interesante si ya ha desplegado carpetas de usuario (home directories) y desea usarlas como “Mis documentos”. Evidentemente, esta opción está disponible para la carpeta Mis Documentos.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
Redireccionamiento avanzado de la carpeta Mis documentos La siguiente pantalla muestra las diferentes opciones para seleccionar el destino.
Selección automática del destino
h. ¿Qué es una directiva de grupo? En el contexto de administración de sistemas y política general de seguridad, los servicios de directorio Active Directory ponen a disposición de los administradores los objetos llamados directivas de grupo. Gracias a estos objetos, elementos fundamentales de la tecnología IntelliMirror, el personal encargado de las tareas de configuración y administración de sistemas, aplicaciones y servicios de seguridad puede definir y administrar de forma centralizada o descentralizada todos los tipos de configuración destinados a administrar equipos y usuarios.
- 14 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Las directivas de grupo respetan los principios siguientes: ●
Se almacenan en un dominio y se replican en todos los controladores de dominio de dicho dominio.
●
Sólo están disponibles en un entorno Active Directory.
●
Se aplican a los usuarios y equipos de un sitio, dominio o unidad organizativa a los que está vinculada la directiva de grupo. Es el principal mecanismo mediante el cual las directivas de grupo se usan en un entorno en Active Directory.
i. ¿Qué es una directiva local? En cada equipo se almacena un solo objeto de tipo “directiva de grupo local”. Los objetos de directiva de grupo locales son los menos influyentes en un entorno Active Directory. Por añadidura, sólo poseen un subconjunto de los parámetros presentes en los objetos de directiva de grupo basados en Active Directory. Se puede abrir la directiva local de un equipo o de todos los usuarios locales usando la consola de administración MMC “Editor de objetos de directiva de grupo”. La consola puede abrirse ejecutando el archivo de consola Gpedit.msc. Los archivos relativos al almacenamiento de la directiva se sitúan en los siguientes emplazamientos: ●
●
La parte del equipo se encuentra en la ubicación: %Systemroot%\System32\GroupPolicy\User\Registry.pol La parte del usuario se \GroupPolicy\Machine\Registry.pol
encuentra
en
la
ubicación:
%Systemroot%\System32
Todos los sistemas Windows 2000 y posteriores poseen un objeto de directiva de grupo local. Esto es así, pertenezcan los ordenadores o no a un entorno de dominio Active Directory. La siguiente pantalla muestra cómo proceder para abrir y modificar la directiva del equipo local.
Apertura de una directiva en el equipo local
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
La directiva local se aplica a la máquina y a todos los usuarios que inicien una sesión local al iniciar el ordenador. En caso de iniciar una sesión de red de dominio, está claro que, una vez que el dominio ha autenticado al usuario, se inicia para éste la sesión local en el ordenador. Limitaciones del objeto de directiva de grupo local Los objetos de directiva de grupo locales no dan soporte a ciertas extensiones como pueden ser el “Redireccionamiento de carpetas” o la “Instalación de software de directiva de grupo”. Los objetos de directiva de grupo locales dan soporte a numerosos parámetros de seguridad, pero la extensión Configuración de seguridad del Editor de objetos de directiva de grupo no da soporte a la administración remota de los objetos de directiva de grupos locales. Por ejemplo, el comando gpedit.msc /gpcomputer:"PCMarketing01" permite modificar el objeto de directiva de grupo local en PCMarketing01, pero el nodo “Configuración de seguridad” no aparecerá. Si bien los objetos de directiva de grupo locales se procesan siempre, son los menos influyentes en entornos Active Directory, porque los objetos de directiva de grupo basados en Active Directory tienen siempre prioridad. En este momento, de no existir directivas de grupo específicas definidas dentro del dominio Active Directory, sólo se aplica la directiva de grupo del dominio Active Directory (más adelante trataremos las directivas de grupo en entornos Active Directory). Si desea que la directiva local se aplique a todos los usuarios, salvo a los administradores, de los equipos no miembros de un dominio, cosa que no ocurre de forma predeterminada, puede consultar el artículo 293655 de la Base de datos de conocimientos de Microsoft en la siguiente dirección: http://support.microsoft.com/default.aspx? scid=kb;fr;293655
4. Estructura física de una directiva de grupo La información relativa a los objetos de directiva de grupo se almacenan en dos importantes ubicaciones: ●
el contenedor Directiva de grupo o GPC (Group Policy Container),
●
la plantilla Directiva de grupo o GPT (Group Policy Template).
a. Objeto contenedor de directiva de grupo El objeto contenedor Directiva de grupo es un objeto del directorio que contiene únicamente el estado del objeto de directiva de grupo, la información de versión, la información de filtro WMI de la que éste pudiera disponer y una lista de los componentes cuya configuración figura en el objeto de directiva de grupo.
Ubicación del contenedor de objetos de directiva de grupo Active Directory Como puede comprobar, la ubicación de este contenedor se sitúa dentro de la partición del dominio, en el contenedor System/Policies. Los ordenadores del dominio pueden acceder al contenedor Directiva de grupo para localizar las plantillas Directivas de grupo. Los controladores de dominio accederán a él, cuando sea necesario, para obtener información de versión. Este parámetro es muy importante para garantizar una replicación correcta de la última versión del objeto Directiva de grupo.
- 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Propiedades de un objeto directiva de grupo La pantalla que presentamos a continuación muestra las propiedades del objeto GPO cuyo GUID es 0E531984BC90 49BFA7907E665B6CCE04 y corresponde a una directiva de grupo cuyo nombre es “Users Cert Auto Enroll”.
Información sobre un objeto de directiva de grupo El atributo gPCUserExtensionNames declara las extensiones CSE (Client Side Extensions) usadas para aplicar y establecer la configuración contenida en la directiva de grupo. Por ejemplo, para implementar la configuración de seguridad IPSec, se invocará al objeto referenciado con el GUID E437BC1CAA7D11D2A38200C04F991E27 y se realizarán las operaciones necesarias. Estas diferentes extensiones, declaradas en el propio objeto aseguran las funciones siguientes: ●
redireccionamiento de carpetas;
●
configuración de registro incluida en las plantillas administrativas;
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 17 -
●
configuración de cuotas de disco;
●
configuración de QoS;
●
aplicación de archivos de comandos;
●
aplicación de la configuración de seguridad;
●
configuración de mantenimiento de Internet Explorer;
●
configuración de recuperación EFS (Encrypted File System);
●
instalación y mantenimiento de las aplicaciones;
●
aplicación de la configuración de seguridad IP (IPSec).
La figura muestra claramente que un objeto de directiva de grupo se almacena en una ubicación de red tradicional basada en una conexión UNC. En nuestro ejemplo, el valor del atributo gPCFileSysPath señala la ruta DFS: \\Corp2003.Corporate.net\SysVol\Corp2003.Corporate.net\Policies\{0E531984BC9049BFA7907E665B6CCE04}
b. Plantilla de la directiva de grupo Acabamos de ver que los atributos de un objeto de directiva de grupo situado en el contenedor System/Policies del dominio permitían escribir las características más necesarias y fundamentales. ¿Pero qué ocurre con el contenido real de la directiva? De hecho, las directivas de grupo se basan en una plantillas inicial. Esa plantilla es una arborescencia de carpetas situada en la carpeta SYSVOL de un controlador de dominio. Cada vez que usted crea un nuevo objeto, el controlador de dominio solicitado crea la plantilla de directiva de grupo correspondiente. Ésta contiene todos los parámetros e información de la directiva de grupo, incluidas las plantillas administrativas, los parámetros de seguridad, la instalación y mantenimiento del software, etc. Los ordenadores clientes del dominio se conectarán a la carpeta SYSVOL a través de una ruta similar a la especificada a continuación: \\Corp2003.Corporate.net\SysVol\Corp2003.Corporate.net\Policies\{0E531984BC9049BFA7907E665B6CCE04} Este directorio contendrá la plantilla GTP del GPO que se desea aplicar. El nombre de la carpeta de la plantilla corresponde al identificador único global (GUID) del objeto de directiva de grupo. Se trata del mismo número que el usado por Active Directory para identificar al objeto dentro del contendor de directiva de grupo. Para que un ordenador cliente del directorio Active Directory pueda acceder a las directivas de grupo, deberá ser capaz de acceder al volumen de sistema compartido Sysvol. Para ello, es indispensable que el servicio “Sistema de archivos distribuidos” esté operativo en todos los controladores de dominio.
La parte cliente DFS está integrada en el redireccionador Microsoft, pero puede desactivarse con una clave de registro. En esos casos, el cliente no podrá recorrer el volumen \\DomainAD.com\Sysvol y, por lo tanto, no podrá implementar los parámetros contenidos en las directivas de grupo.
c. Componentes de una directiva de grupo La directiva de grupo contiene múltiples parámetros muy específicos. Por lo tanto, será preciso que el ordenador disponga de una cierta capacidad para “procesar” múltiples categorías de parámetros, todos diferentes entre sí. La siguiente figura muestra que los parámetros de las directivas de grupo son soportados por las siguientes plantillas.
- 18 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Componentes del motor de procesamiento de directivas de grupo Proceso Winlogon.exe Es un componente capital del sistema operativo que suministra los servicios de inicio de sesión interactiva. El proceso Winlogon es el componente en cuyo seno funciona el GPE. Winlogon es el único componente del sistema que interactúa con el GPE. Userenv.dll Userenv.dll funciona dentro de Winlogon y alberga el GPE así como la administración de las plantillas administrativas. GPE Group Policy Engine Es el módulo central de administración de las directivas de grupo. Da soporte a todas las funcionalidades gracias a los múltiples CSE. El GPE funciona dentro de Userenv.dll. CSE Client Side Extensions Son extensiones especializadas capaces de dar soporte a los diferentes parámetros a implementar. Los componentes de tipo CSE se declaran en el registro con la clave HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon\GPExtensions. Cuando más adelante tratemos la comprobación de la correcta ejecución de las directivas de grupo veremos que es importante conocer estas extensiones. Efectivamente, las directivas de grupo pueden sufrir algunos problemas específicos relativos a parámetros muy concretos que ponen en entredicho la integridad del componente o de la extensión CSE. A medida que los sistemas Windows incorporan nuevas funcionalidades, los componentes CSE mencionados se modifican para tenerlas en cuenta. En general, las nuevas funcionalidades y parámetros asociados se implementan con nuevas versiones de sistemas y con los services packs. Dado que el motor de administración de las directivas de grupo GPE Group Policy Engine, es extensible, es probable que en el futuro Microsoft incorpore nuevas extensiones CSE.
d. Plantillas de directivas de grupo ADMX para Windows Vista Aunque los principios fundamentales relativos a las directivas de grupo son una parte inmutable desde Windows 2000 hasta Windows Vista pasando por Windows XP, debe tenerse en cuenta que Windows Vista y Windows Server 2008 traen su nuevo conjunto de novedades. Anteriormente hemos visto que el contenido de los objetos directiva de grupo de Windows Vista se ha enriquecido de manera significativa con más de dos mil cuatrocientos parámetros de ayuda, más de ochocientos parámetros comparado con Windows XP. Hemos presentado que nuevas familias de parámetros van apareciendo. Las plantillas de Windows Vista soportan la administración de la energía, el control de la instalación de dispositivos con controladores, una gestión uniforme y © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 19 -
centralizada de parámetros de seguridad del cortafuegos y reglas IPSec, así como el despliegue de impresoras en función de los sitios. Respecto a las particularidades de la implementación de Windows Vista, las plantillas de directivas de grupo evolucionan y ahora se estructuran a través de XML. Que esto no asuste a nadie, actualmente, todo fichero de configuración se implementa en XML. Según Microsoft, el uso de XML estructura el fichero más claramente de tal manera que los administradores podrán crear más fácilmente nuevas plantillas. Conviene comprender los efectos que tendrá este nuevo formato de plantilla en el resto de la infraestructura. A continuación se enumeran estos puntos: ●
●
●
●
Los nuevos ficheros ADMX de Windows Vista o Windows Server 2008 no se pueden utilizar en Windows XP o Windows Server 2003. Aunque los objetos GPO construidos a partir de Windows Vista o Windows Server 2008 puedan residir en controladores de dominio Windows 2000 Server o Windows Server 2003, no es posible editarlas en estas plataformas. Las directivas de grupo creadas en Windows Vista o Windows Server 2008 sólo pueden editarse en Windows Server 2008 o Windows Vista. Por el contrario, las herramientas de Windows Vista o Windows Server 2008 soportan, sin ningún problema, la apertura y la edición de los objetos directiva de grupo de Windows XP o Windows Server 2003.
Nota: Microsoft recomienda que los administradores utilicen siempre las herramientas de administración más recientes. En efecto, conviene recordar que estas herramientas son las que "hacen" las operaciones para las que se las solicita. Por tanto, es importante limitar el uso de herramientas antiguas en plataformas modernas. Respecto a las directivas de grupo, la recomendación es, pues, usar obligatoriamente Windows Vista y la consola de administración de directivas de grupo de Windows Vista para administrar los objetos GPO basados en las nuevas plantillas ADMX. El mismo equipo se utilizará también para administrar los objetos directiva de grupo de sistemas más antiguos como Windows 2000, Windows XP y Windows Server 2003. La siguiente figura ilustra la utilización de una plantilla de tipo ADM en la consola de Windows Server 2008 o de Windows Vista.
Importación de la plantilla ADM con la consola de Windows Vista
- 20 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Los parámetros se pueden ver en la sección Plantillas administrativas clásicas (ADM).
●
●
Los ficheros ADM reemplazados por los nuevos ficheros ADMX, se ignoran. Esto sólo afecta a los ficheros centrales como System.adm, los ficheros adicionales Inetres.adm, Conf.adm, Wmplayer.adm y Wuau.adm. Las modificaciones en estos ficheros ADM se transmitirán a sus nuevos homólogos en el formato ADMX. A diferencia de los ficheros ADM que existen en múltiples idiomas, los ADMX son, como Windows Vista, Office 2007 y Windows Server 2008, es decir "idioma neutral". De hecho, los ficheros ADMX no tienen ninguna referencia al idioma, únicamente los datos de estructura. Este punto significa que en los ficheros de tipo ADMX no se almacena ninguna información de descripción de parámetros de directivas de grupo. Esta información se almacena en los ficheros de descripción separados que tienen extensión ADML.
Ficheros ADMX y ADML: esta nueva funcionalidad permite utilizar una sola y única versión de un mismo fichero ADMX disponiendo de múltiples versiones de ficheros ADML. De esta manera, es fácil disponer de n ficheros de idiomas diferentes, sabiendo que la consola de edición de directivas de grupo cargará automáticamente el fichero de idioma en función del idioma del sistema operativo. Esta nueva funcionalidad es muy interesante para los administradores que pueden trabajar con una misma plantilla ADMX, pero dispondrán de un fichero ADML adaptado a su idioma.
La carpeta \systemroot\PolicyDefinitions\esES y los ficheros ADML
Para disponer de diversos idiomas en el mismo ordenador, es suficiente con copiar en la carpeta de idioma adecuada, por ejemplo, enUS para idioma inglés/estados unidos, los ficheros de idioma necesarios.
●
A propósito de los ficheros .POL: como fue el caso de los archivos ADM de Windows 2000 o Windows XP, los ficheros ADMX de Windows Vista y Windows Server 2008 no son más que plantillas. De hecho, los parámetros configurados en base a estas plantillas se codifican en el fichero Registry.Pol. Así, cuando las © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 21 -
modificaciones de parámetros se basan en ficheros de plantillas ADM o ADMX, los datos se combinan en un fichero minúsculo .POL de algunos KB.
¡Atención! Incluso si los parámetros que existían anteriormente en Windows XP basados en plantillas ADM se aplican a menudo en Windows Vista, los nuevos parámetros de directivas de grupo de Windows Vista, (más de 800), necesitan la creación de un nuevo objeto GPO creado en una máquina Windows Vista. Esta observación se aplica sólo a los parámetros de Windows Vista ya que sólo se implementan a través de plantillas ADMX. Como hemos visto anteriormente, los antiguos ADM son utilizables por todas las máquinas que los soportan, incluido Windows Vista. Creación de "Central Store": Almacenamiento de plantillas de GPO En las versiones anteriores de Windows, cuando se crea un nuevo objeto directiva de grupo, todos las plantillas incluidas por defecto en el objeto GPO se almacenaban en el GPO. En función de las versiones de Windows, un solo GPO podía ocupar fácilmente 4 o 5 Mb. Algunas operaciones de infraestructura, como, por ejemplo, la actualización de controladores de dominio de Windows 2000 Server a Windows Server 2003, pueden provocar picos de replicación importantes, sobretodo cuando las plantillas GPO ficheros ADM, se debían replicar en todos los controladores de dominio. Los sistemas que funcionan con Windows Vista y Windows Server 2008 permiten minimizar la replicación de todas las plantillas copiadas en cada objeto GPO implementando un punto de almacenamiento centralizado en SYSVOL que contiene el conjunto de los nuevos ficheros ADMX. Además de esta posible optimización, conviene resaltar que todas las GPO creadas con Windows Vista no contienen más plantillas.
Estructura física de un GPO en un controlador de dominio Windows Server 2008. ¡Los voluminosos ficheros ADM han desaparecido!
El hecho de crear las GPO a partir de una estación de administración Windows Vista hace ahorrar al menos 4 Mb por GPO, puesto que no se incluye ningún ADM ni ADMX. Por último, en segundo lugar, la implementación de DFSR (Distributed File System Replication) para la replicación de SYSVOL permitirá replicar únicamente las diferencias (delta binarias) de los ficheros. La siguiente tabla resume las diferentes operaciones posibles en función de la estación de trabajo utilizada, a saber, la consola GPMC disponible para ser descargada para Windows XP SP2 y Windows Server 2003 o bien la consola GPMC disponible de inicio en Windows Server 2008 o Windows Vista. Funcionalidades soportadas
- 22 -
GPMC Windows Vista
GPMC Windows XP SP2
Puede administrar Windows Server 2003, Windows XP y Windows 2000.
Si
Si
Puede administrar Windows Vista y Windows Server 2008.
Si
No
Soporte multiidioma
Si
No
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Lectura de ficheros ADM personalizados.
Si
Si
Utilización por defecto de las plantillas.
En local
GPO
Utilización de "Central store".
Si
No
Evita los ficheros duplicados en SYSVOL.
Si
No
Posibilidad de añadir plantillas específicas.
Sólo ficheros ADM
Sólo ficheros ADM
Método de comparación de ficheros.
Número de versión
Timestamp
e. Creación de "Central Store" en SYSVOL La creación del almacén centralizado de las plantillas de GPO en formato ADMX de Windows Vista es un proceso manual. La estructura se crea directamente en el volumen de sistema SYSVOL en uno de los controladores de dominio del dominio. A continuación, el motor de replicación FRS (File Replication Service), realizará la replicación de la nueva carpeta en todos los controladores de dominio. Una buena práctica consiste en crear el "Central Store" en el controlador de dominio que desempeña el papel de FSMO PDCE (Primary Domain Controller Emulator). Efectivamente, por defecto, las herramientas de administración como la GPMC o el editor de directivas de grupo seleccionan siempre el PDC de forma predeterminada.
Cuando no existe ningún "Central Store", la consola de edición de objetos de directiva de grupo utiliza los ficheros ADMX y ADML ubicados en la carpeta local de Windows Vista \systemroot\PolicyDefinitions.
Estructura de SYSVOL preparada con el "Central Store". Para crear el almacén centralizado, siga los siguientes pasos: ■
■
■
Cree la carpeta raíz del almacén centralizado: %systemroot%\sysvol\domain\policies\PolicyDefinitions Cree una subcarpeta para cada idioma que vaya a soportar. Por ejemplo, para España y Francia, cree las carpetas esES y frFR. Cargue el almacén centralizado con los ficheros ADMX y ADML. Esta operación es muy sencilla ya que es suficiente copiar todos los ficheros ADMX contenidos en la carpeta %systemroot%\PolicyDefinitions de un equipo Windows Vista a la carpeta creada en el primer punto en SYSVOL, es decir: %systemroot% \sysvol\domain\policies\PolicyDefinitions
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 23 -
f. Recomendaciones sobre la administración de las GPO en Windows Vista Hemos visto que las estaciones de trabajo Windows Vista soportan un número importante de nuevos parámetros controlables con ayuda de las GPO. Las siguientes recomendaciones tienen como objeto facilitar la aplicación de los parámetros de configuración de tipo Windows XP a Windows Vista y respetar las buenas prácticas para explotar al máximo los aspectos más interesantes de Windows Vista y Windows Server 2008. ●
●
●
Convierta las estaciones de administración Windows XP a Windows Vista. Utilice la nueva consola de administración de directivas de grupo integrada en Windows Vista para todas las operaciones de administración de las GPO. Cree un almacén centralizado y administre de manera centralizada el conjunto de plantillas Vista/Windows Server 2008. Cree nuevas GPO, o actualice las antiguas, para incluir las nuevas posibilidades de Windows Vista y Windows Server 2008.
Para obtener más información sobre las nuevas plantillas ADMX así como de la implementación de “Central Store", puede buscar el documento titulado "Managing Group Policy ADMX Files StepbyStep Guide" disponible en la web de Microsoft en la dirección: http://go.microsoft.com/fwlink/?LinkId=75124
5. Aplicación de las directivas de grupo en el entorno Active Directory a. Aplicación con la plantilla S,D,OU y orden de procesamiento La aplicación de las directivas de grupo es un proceso asumido íntegramente por el ordenador cliente. Active Directory no inicia ningún proceso en la estación de trabajo. Las directivas de grupo que se aplican a un usuario, a un equipo o a los dos, no tienen la misma prioridad; no obstante, el orden en el cual se aplican respecta la fórmula L,S,D,OU. Esta fórmula quiere decir directiva Local, directivas del Sitio, directivas de Dominio, y por último las directivas de Unidades organizativas que contienen el objeto equipo y usuario concretos. La configuración de la directiva de grupo se trata en el orden siguiente: ●
●
●
●
- 24 -
Objeto de directiva de grupo local: todos los equipos disponen de un objeto de directiva de grupo almacenado localmente. Éste sirve para procesar la configuración predeterminada del equipo y del usuario, esté o no la máquina en un dominio Active Directory. Sitio: a continuación se tratan los objetos de directiva de grupo vinculados al sitio al que pertenece el ordenador. El procesamiento de más de una directiva se efectúa en el orden especificado por el administrador en la pestaña Objetos de directiva de grupo vinculados al sitio de la consola de administración de GPMC (Group Policy Management Console), sabiendo que el objeto de directiva de grupo situado en la parte más alta será el que tenga prioridad. Dominio: la aplicación de varias directivas de grupo vinculadas al dominio se efectúa de acuerdo con el mismo principio de administración de las prioridades. Unidades de organización: finalmente, se trata primero los objetos de directiva de grupo vinculados a la unidad organizativa más alta en la jerarquía Active Directory, seguidos por los objetos de directiva de grupo vinculados a una unidad organizativa hija y así sucesivamente.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Ámbito de administración Active Directory y restauración de las directivas de grupo La anterior pantalla muestra el ámbito de administración de la infraestructura Active Directory. Podemos ver que los contenedores Sitios, Dominio y Unidades Organizativas contienen un equipo y un usuario. La secuencia que explicamos a continuación explica el proceso completo de procesamiento de las directivas de grupo equipo y usuario empezando por el enrutamiento del equipo y terminando por el inicio de sesión de un usuario en el equipo: 1. Se inicia la red. Se inician el servicio RPCSS (Remote Procedure Call System Service) y el proveedor MUP (Multiple Universal Naming Convention Provider). A propósito del modo síncrono y asíncrono: las estaciones de trabajo que funcionan con Windows XP o Windows Vista se inician de forma asíncrona y, por lo tanto, no necesitan esperar a que los componentes de red estén completamente inicializados. Contrariamente a Windows XP o Windows Vista, Windows 2000 usa la misma secuencia pero de manera totalmente síncrona. La instauración del modo asíncrono permite acelerar notablemente el inicio del sistema operativo. Las máquinas Windows 2000 no soportan el modo asíncrono, sin embargo las máquinas Windows XP Professional o Windows Vista se pueden configurar a través de un parámetro de directivas de grupo para funcionar de forma síncrona como los ordenadores Windows 2000. 2. Se obtiene una lista correctamente ordenada de los objetos de directiva de grupo para el equipo. En la composición de la lista pueden incidir los factores siguientes: ●
●
●
¿El ordenador es miembro de un dominio Active Directory? En caso afirmativo, deberá tener en cuenta el proceso de descubrimiento de las directivas de grupo y aplicar aquellas que le afecten. ¿En qué sitio Active Directory está ubicado el ordenador? Con respecto a la última vez que el ordenador aplicó las directivas de grupo, ¿ha habido modificaciones en la lista de directivas a aplicar? ¿Se han modificado las directivas de grupo? En caso afirmativo se prosigue el proceso, de lo contrario no.
A propósito del modo “Aplicar las directivas incluso si no han cambiado...” La configuración de las directivas de grupo permite cambiar el comportamiento predeterminado de las mismas para volver a aplicarlas incluso cuando no han cambiado. Ese parámetro garantiza el estado correcto de las configuraciones y mantiene un nivel muy alto de seguridad.
●
¿Disponen algunas directivas del modo obligatorio? Esta operación permite aplicar las directivas que disponen de dicho modo a pesar de que las unidades organizativas hijo utilicen la opción Bloquear la herencia de directivas. En Windows 2000, este modo se conocía como “no reemplazar”.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 25 -
3. En esta fase las directivas de grupo se conocen y aplican al equipo. Para obtener información más detallada acerca de la aplicación de las directivas de "equipo", puede activar los registros detallados mediante una directiva. 4. Los scripts de inicio se ejecutan de forma oculta y en modo asíncrono, unos tras otros. Por defecto, cada script debe terminar para que el siguiente pueda iniciarse. En caso de que se “bloqueara” algún script, se aplicaría un retraso de ejecución de 10 minutos (600 segundos) como máximo antes de proseguir con el siguiente script, si fuera necesario. Hay varios parámetros de directiva para ajustar este comportamiento. Atención con el procesamiento en modo asíncrono en segundo plano: Windows XP Professional no espera a que se inicie completamente la red para iniciarse. Tras el inicio de sesión, en cuanto la red esté disponible, la directiva se procesa en segundo plano. Esto quiere decir que el ordenador continúa usando los parámetros de directiva anteriores al arranque y al inicio de sesión. Por consiguiente, podría ser necesario y obligatorio realizar varios inicios de sesión sucesivos después de modificar una directiva para que los parámetros estén realmente operativos. Este comportamiento se controla mediante el parámetro situado en Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión\Esperar siempre la detección de red al inicio del equipo y de sesión. Observe que esta funcionalidad sólo se refiere a Windows XP y no está disponible en Windows 2000 ni en Windows Server 2003. 5. El usuario inicia la sesión en un dominio Active Directory. 6. Después de la autenticación del usuario, se carga el perfil de usuario de acuerdo con la configuración de la directiva en vigor. Se obtiene una lista correctamente ordenada de los objetos de directiva de grupo para el usuario en sesión. No obstante, al igual que ocurría al iniciar la máquina, una serie de factores podrían incidir en la composición de la lista a aplicar: ●
●
¿El usuario pertenece a un dominio? Si es así, está sometido a la directiva de grupo a través de Active Directory. ¿Está activado el bucle invertido? En caso afirmativo, ¿está configurado ese modo para funcionar en modo fusión o en modo reemplazo?
El bucle invertido, en inglés Loopback Processing Mode, permite gestionar la configuración de las máquinas en libre servicio. Detallamos este particular comportamiento un poco más adelante.
●
●
¿Cuál es la ubicación del usuario en Active Directory? ¿En qué sitio, en qué dominio y qué jerarquía de unidades organizativas se encuentra? ¿Algunas directivas disponen del modo obligatorio? Esta operación permite aplicar las directivas que disponen de ese modo a pesar de que las unidades organizativas hijo usen la opción Bloquear la herencia de directivas.
7. Por último se determinan las directivas de grupo y se aplican al usuario en sesión. 8. Los scripts de inicio de sesión se ejecutan con los mismos principios relativos a los equipos. 9. Finalmente, la carga de la interfaz de usuario tiene lugar en función de los parámetros declarados en las directivas de grupo.
b. Dominios Active Directory y dominios NT: L, S, D, OU y 4, L, S, D, OU Es posible que el entorno de producción comprenda todavía dominios Windows NT autorizados. Esos dominios, que incluyen a usuarios de dominios Windows NT, pueden estar autorizados para trabajar en equipos miembros de un dominio Active Directory. Éstos pueden, en función de sus derechos, claro está, acceder a cualquier recurso del dominio o de los demás dominios Windows miembros del bosque. Deberán considerarse tres grandes casos: ●
●
- 26 -
Si el equipo (Windows 2000 o superior) se encuentra en un dominio Windows NT y el usuario está ubicado en Active Directory, sólo se procesa la directiva del sistema del equipo (y no la del usuario) cuando el usuario inicia la sesión. Luego se procesa sólo la directiva de grupo de usuario. Si el equipo se encuentra en Active Directory y el usuario está ubicado en un dominio Windows NT, la directiva de grupo de equipo (y no la de usuario) se procesa al iniciar el equipo. Cuando el usuario inicia la sesión, sólo se trata la directiva del sistema del usuario.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
Si las cuentas equipo y usuario pertenecen a un dominio Windows NT, sólo se aplica la directiva del sistema cuando el usuario inicia la sesión.
No confunda “Directivas del sistema” y “Directivas de grupo”. Las directivas del sistema, en inglés System Policy, se instalaban en entornos de dominio NT para equipos que funcionaban con Windows 9x y Windows NT 4.0. La herramienta de configuración Poledit, permitía crear dos archivos específicos. El primero, Config.pol, estaba dedicado a los equipos que funcionaban con Windows 9x, mientras que el segundo, el fichero NTconfig.pol, se dedicaba a los ordenadores que funcionaban con Windows NT 4.0. Estos dos ficheros debían colocarse después en el directorio habitual de los comandos Netlogon (antiguamente \System32\Repl\Import\ Scripts). La herramienta de configuración de las directivas de sistema se suministraba en el sistema Windows NT 4.0 y también Windows 2000. Dicha herramienta ya no se incluye en Windows XP Professional ni en versiones posteriores, pero aún puede usarse en caso necesario.
c. Vínculos de las directivas de grupo a los objetos Sitios, Dominio y Unidades Organizativas y herencia Tal y como acabamos de ver, una directiva de grupo puede estar vinculada a muchos contenedores de tipo S,D,OU dentro de una jerarquía Active Directory. De esta forma, tiene la posibilidad de vincular múltiples directivas de grupo al mismo dominio o a la misma OU, o de no vincularlas a ninguno de ellos. En ese caso se beneficiará de los mecanismos de herencia. Si varios objetos de directiva de grupo están vinculados a una organizativa, podrá controlar su orden de aplicación manipulando la pestaña Objetos de directiva de grupo vinculados de la unidad organizativa dentro de la consola GPMC.
Administración del orden de procesamiento en un contenedor Active Directory determinado El objeto de directiva de grupo con el orden de vínculos más bajo se trata en último lugar y recibe la mayor preferencia. La anterior figura representa la información que es preciso “manipular” y percibir correctamente para comprender por qué una directiva de grupo se tendrá más en cuenta que otra. La información presentada a continuación permite comprender mejor la importancia de la configuración de las directivas de grupo vinculadas a un contenedor determinado. Orden de vínculos Este parámetro le permitirá administrar el orden de procesamiento de las directivas mediante GPE, Group Policy Engine. Como hemos explicado anteriormente, la directiva de grupo con el orden de vínculos más bajo se trata en último lugar y es por tanto la de mayor prioridad. Forzado El vínculo de un objeto de directiva de grupo puede estar forzado, deshabilitado o ambos. Por defecto el vínculo de un objeto de directiva de grupo no está forzado ni deshabilitado. Desconfíe de esta opción. Cuando el vínculo está habilitado, la directiva de grupo está “vinculada” al contenedor. Cuando el vínculo está Forzado, la directiva de grupo tiene prioridad sobre el parámetro Bloquear la herencia en un dominio o en una unidad organizativa. Además, si activa Forzado y desactiva Vínculo habilitado, el objeto de directiva de grupo no se aplica. Bloquear la herencia Esta opción protege al contenedor de la herencia procedente de otros contenedores de niveles superiores. Observe sin embargo que la activación de la opción Bloquear la herencia no desvía los parámetros de directiva de grupo de los objetos de directiva de grupo directamente vinculados al dominio. Observe que el bloqueo de la herencia aplicado © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 27 -
a una unidad organizativa se simboliza con un signo de exclamación de color azul en la OU.
d. Vínculos y atributo gPLink Los objetos contenedores de tipo Sitios, Dominios y Unidades organizativas son las únicas clases de objetos del directorio que disponen del uso del atributo gPLink. Dicho atributo es fundamental, ya que permite que diferentes tipos de contenedores se “enlacen a objetos de directiva de grupo”. En efecto, el atributo gPLink cuyo OID es 1.2.840.113556.1.4.891 es un atributo usado por las clases Site, OrganizationalUnit y SamDomain. A título informativo diremos que la versión Windows Server 2003 del esquema Active Directory prevé que el atributo gPLink esté también disponible para el contenedor “Configuración” que alberga la partición Active Directory de configuración.
e. Selección del controlador de dominio preferido La consola de administración de directivas de grupo usa el controlador de dominio que ejerce de maestro de operaciones de PDC Emulator de cada dominio emulador de controlador principal de dominio, como controlador de dominio predeterminado para las operaciones de creación y modificación de directivas de grupo. Para evitar conflictos de replicación, se recomienda escoger un controlador favorito entre todos para las operaciones relativas a la administración de directivas de grupo. En efecto, antes hemos visto que los objetos de directiva de grupo se componían de dos partes distintas: la parte contenedor de directiva de grupo, dentro de la partición de domino Active Directory, y la parte de la plantilla de directiva de grupo, dentro del volumen compartido SYSVOL. Estos dos espacios de almacenamiento usan mecanismos de replicación independientes. Por consiguiente, si dos administradores modifican un mismo objeto de directiva de grupo durante el mismo ciclo de replicación en controladores de dominio diferentes, las modificaciones efectuadas por uno de los dos administradores pueden perderse. Por defecto, la consola de administración de directivas de grupo usa el emulador PDC del dominio para garantizar que todos los administradores utilicen el mismo controlador de dominio. Sin embargo, podría ocurrir que desee solicitar puntualmente un controlador de dominio concreto situado en un sitio remoto. Si varios administradores administran la misma directiva de grupo en el mismo momento, se recomienda que seleccionen el mismo controlador de dominio. La selección permitirá evitar conflictos de replicación a nivel de servicio de replicación de archivos FRS (File Replication Service). La consola de administración de directivas de grupo permite cambiar el controlador activo que se hará cargo de las modificaciones. En nuestro ejemplo, esta operación es una tarea manual que se llevará a cabo en función de las necesidades de administración. No obstante, tendrá la posibilidad de cambiar la manera en que se selecciona el controlador de dominio predeterminado. Por ejemplo, podrá crear una nueva directiva de grupo para uso de los administradores ejecutando: Configuración de usuario/Plantillas administrativas/Sistema/Directiva de grupo/Selección del controlador de dominio de la directiva de grupo. Active la opción y seleccione aquélla que más le convenga entre las tres propuestas.
- 28 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Selección automática del controlador de dominio para las operaciones de modificación de los objetos de directiva de grupo Usar el controlador de dominio principal Es la opción por defecto e indica que el componente Editor de objetos de directiva de grupo lee y escribe las modificaciones en el controlador de dominio designado como maestro de operaciones PDC Emulator para el dominio en el que se realiza la operación. Heredar complementos de Active Directory Esta opción indica que el componente Editor de objetos de directiva de grupo lee y escribe las modificaciones en el controlador de dominio que las consolas de administración MMC Usuarios y equipos Active Directory o Sitios y servicios Active Directory usan. Usar cualquier controlador de dominio disponible Esta opción indica que el Editor de objetos de directiva de grupo puede usar cualquier controlador de dominio disponible.
Si desactiva este parámetro o no lo configura, el Editor de objetos de directiva de grupo utiliza el controlador de dominio designado como maestro de operaciones de controlador principal de dominio para el dominio.
6. Creación de una directiva de grupo con las herramientas de Active Directory Las directivas de grupo pueden crearse de dos maneras. El primer método usa las herramientas incluidas de serie en Windows 2000 Server o Windows Server 2003. Serán las herramientas de administración MMC como Usuarios y equipos de Active Directory y Sitios y servicios Active Directory. El segundo método utiliza la consola Administración de directivas de grupo llamada en inglés GPMC (Group Policy Management Console). Esta herramienta no se incluye de serie con Windows Server 2003 ya que en abril de 2003, momento de la salida de Windows Server 2003, no estaba disponible. Es un componente de administración valioso y usándolo, casi podríamos decir que ¡administrar directivas de grupo es sencillo! La consola de administración GPMC puede descargarse gratuitamente en la Web de Microsoft en la dirección: http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C248CBD4B359272 DD3CBFC81887&displaylang=en
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 29 -
La consola de administración de directivas de grupo requiere un ordenador que funcione con Windows XP Professional SP1 equipado con Framework .Net. Al principio, la consola de administración de directivas de grupo se reservaba a los poseedores de una licencia Windows Server 2003. El acuerdo de licencia de la versión GPMC SP1 permite que todos los poseedores de licencias Windows Server 2003 y de Windows 2000 Server, usen la nueva consola.
a. Uso de la consola de administración MMC Usuarios y equipos Active Directory La siguiente figura muestra la lista de vínculos a los objetos de directiva de grupo de la unidad organizativa Consultores.
Uso de la ventana original de administración de directivas de grupo Observe la recomendación integrada en la interfaz gráfica de la consola “Usuarios y equipos de Active Directory”. En la dirección de la web de Microsoft http://www.microsoft.com/windowsserver2003/gpmc/default.mspx. encontrará la información necesaria y un vínculo para descargar la GPMC. Para acceder a esa ventana y crear una directiva de grupo, proceda del siguiente modo: ■
■
Inicie la consola de administración MMC “Usuarios y ordenadores Active Directory”. Colóquese sobre el dominio o sobre el contenedor de tipo Unidad organizativa. Acceda a la ventana de propiedades.
■
Haga clic en la pestaña Directiva de grupo.
■
Haga clic en Nueva.
El objeto creado se vincula al contenedor seleccionado. En caso de que el objeto de directiva de grupo ya hubiese sido creado, puede seleccionarlo a través de la ventana de selección presentada a continuación:
- 30 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Selección de las directivas que se desean vincular a un contenedor a partir de los diferentes dominios del bosque En nuestro ejemplo es posible acceder a los objetos de directiva de grupo del dominio Corp2003.Corporate.net y partners.corporate.net.
b. Utilización de la consola de administración MMC “Sitios y servicios Active Directory” La consola de administración MMC “Sitios y servicios Active Directory” permite administrar las directivas de grupo asociadas a los sitios Active Directory. El método es exactamente el mismo que para las directivas de grupo vinculadas a contenedores de tipo dominio y unidad organizativa. ■
Inicie la consola de administración MMC “Sitios y servicios Active Directory”.
■
Colóquese en el sitio deseado. Acceda a la ventana de propiedades.
■
Haga clic en la pestaña Directiva de grupo y cree o modifique una nueva directiva.
7. Creación de una directiva de grupo con la GPMC Microsoft recomienda en prácticamente todos los casos que los administradores usen las últimas versiones de herramientas administrativas. En la medida en que esas herramientas "hacen" lo que les pedimos, es bueno contar con las más eficaces, tanto desde el punto de vista de la estabilidad como de la facultad para simplificar algunas tareas complejas e incluso imposibles. Recordemos que las herramientas de administración de Windows Server 2003 (Adminpak.msi) pueden descargarse en la Web de Microsoft desde la versión Beta 3 de Windows Server 2003, y que lo mismo ocurre con la consola de administración de directivas de grupo desde que está disponible la versión final. Las operaciones siguientes se refieren a la consola de administración de directivas de grupo GPMC.
a. Creación de una directiva de grupo no vinculada En el árbol de la consola: ■
■
Haga clic con el botón derecho en la opción Objetos directivas de grupo situada en el bosque y el dominio en el que quiere crear el objeto de directiva de grupo (GPO, Group Policy Object). Para llegar hasta ahí ejecute Nombre del bosque/Dominios/Nombre del dominio/Objetos de directiva de grupo. Haga clic en Nuevo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 31 -
■
Indique un nombre para el nuevo objeto de la directiva de grupo en el cuadro de diálogo Nuevo objeto GPO, y haga clic en Aceptar.
b. Creación de una directiva de grupo vinculada En el árbol de la consola: ■
■
■
Haga clic con el botón derecho en el nombre del dominio situado en el bosque dentro del cual desea crear y vincular la directiva de grupo. Para posicionarse en ese lugar ejecute Nombre del bosque/Dominios/Nombre de dominio y diríjase al contenedor deseado. Haga clic en Crear y vincular un GPO aquí. Indique un nombre para el nuevo objeto de la directiva de grupo en el cuadro de diálogo Nuevo objeto GPO, y haga clic en Aceptar.
c. Administración de los vínculos de directiva de grupo La administración de los vínculos es una operación sencilla técnicamente, pero de consecuencias pesadas para la infraestructura de administración de Active Directory. Efectivamente, la creación de un vínculo puede prestar grandes servicios a algunos ordenadores y usuarios, pero también puede provocar molestias e incluso disfunciones en otros. Por ese motivo se ha concebido la consola de administración GPMC. Más adelante presentaremos las funcionalidades de modelación y de análisis indispensables para una administración más sencilla y menos arriesgada de las directivas de grupo. Vínculo de una directiva de grupo existente ■
■
Para vincular un objeto de directiva de grupo existente, haga clic en el botón derecho sobre el dominio o la unidad organizativa del dominio y haga clic en Vincular un objeto de directiva de grupo existente. En el cuadro de diálogo Seleccionar un objeto GPO, haga clic en la directiva de grupo que desee vincular y a continuación en Aceptar.
Desactivación de un vínculo de directiva de grupo ■
■
■
Sitúese en el bosque que alberga el dominio, el sitio o Ia unidad organizativa donde se encuentra el vínculo del objeto de directiva de grupo que desea deshabilitar. Haga clic con el botón derecho en el vínculo del objeto de directiva del grupo deseado: una señal al lado de Vínculo habilitado indica que el vínculo está activado. Haga clic en Vínculo habilitado para eliminar la marca y desactivar el vínculo.
Para efectuar esta operación debe disponer de la autorización Vincular los objetos GPO para el dominio, sitio o unidad organizativa que albergue el vínculo del objeto de directiva de grupo. De lo contrario la opción Vínculo habilitado no estará disponible.
d. Eliminación de una directiva de grupo ■
- 32 -
Colóquese en la arborescencia de la consola de administración de directivas de grupo, haga doble clic en la opción Objetos de directiva de grupo situada en el bosque y el dominio que contienen la directiva de grupo que desea eliminar.
■
Haga clic con el botón derecho en el objeto de la directiva de grupo y después haga clic en Eliminar.
■
Cuando se le pregunte si desea confirmar la eliminación, haga clic en Aceptar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Para crear un objeto de directiva de grupo, deberá disponer de privilegios de creación de objetos de directiva de grupo. Por defecto, sólo los administradores del dominio, los administradores de organización y los miembros del grupo propietarios del creador de directivas de grupo pueden crear objetos de directivas de grupo.
Para eliminar un objeto de directiva de grupo o parte de ella, deberá disponer de las autorizaciones Modificar la configuración, Eliminar y Modificar la seguridad para el objeto de directiva de grupo.
e. Desactivación de una directiva de grupo ■
Para desactivar toda la directiva de grupo o parte de ella, colóquese sobre el objeto directiva de grupo que contiene los parámetros usuario o equipo que desea desactivar, señale Estado GPO, y efectúe una de las acciones siguientes: ●
●
Haga clic en Configuración de usuario deshabilitada para desactivar la configuración de usuario de objeto. Una marca al lado de Configuración de usuario deshabilitada indica que la configuración de usuario está desactivada. Haga clic en Configuración del equipo deshabilitada para desactivar la configuración del equipo del objeto. Una marca al lado de Configuración del equipo deshabilitada indica que la configuración del equipo está desactivada.
Para desactivar un objeto de directiva de grupo debe disponer de la autorización Modificar sobre dicho objeto.
También puede modificar el estado de un objeto de directiva de grupo a partir de la pestaña Detalles del objeto de directiva de grupo.
8. Administración del despliegue a. Administración de los conflictos de procesamiento de las directivas de grupo Conflictos entre los parámetros Al igual que ocurría con las directivas del sistema Windows NT, los parámetros controlados por una directiva pueden posicionarse de diferentes maneras. No configurado Este estado significa que el parámetro no se administra. No hay por lo tanto ningún procesamiento especial que realizar. Habilitado Este estado significa que el parámetro está activado. Si varias directivas de grupo afectan al mismo parámetro para el mismo objeto de equipo o usuario, ganará el último parámetro aplicado, es decir, aquél que dispone de la mayor prioridad. Desactivado Este estado significa que el parámetro está desactivado. Si varias directivas de grupo afectan al mismo parámetro para el mismo objeto de equipo o usuario, ganará el último parámetro aplicado, es decir, aquél que dispone de la mayor prioridad. No reemplazar El administrador puede definir las directivas a un nivel más elevado para que éstas se apliquen siempre. Este © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 33 -
proceso, llamado “control obligatorio” con la GPMC, se designaba antes con el término "No reemplazar". El administrador también puede definir un contenedor para bloquear la aplicación de directivas de niveles superiores. Una directiva definida por el administrador a un nivel superior para ser aplicada continuará siéndolo aunque se haya definido un bloqueo de nivel superior. La pantalla siguiente muestra la opción habitual No reemplazar.
La opción No reemplazar y Bloquear la herencia de directivas de la consola de administración MMC “Usuarios y equipo Active Directory”
Bloquear la herencia Es posible bloquear la herencia de la directiva en un dominio o en una unidad organizativa. El uso del bloqueo de la herencia impide que los objetos de directiva de grupo vinculados a sitios, dominios o unidades organizativas de niveles superiores sean automáticamente heredados por el nivel o niveles hijo. Por defecto, los contenedores hijo heredan el conjunto de objetos de directiva del grupo padre, pero en ocasiones puede resultar útil bloquear la herencia. Por ejemplo, si desea aplicar un conjunto único de directivas a todo un dominio excepto a una unidad organizativa, puede vincular los objetos de directiva de grupo requeridos a nivel del dominio (a partir del cual todas las unidades organizativas heredan directivas por defecto), y a continuación bloquear la herencia sólo en la unidad organizativa en la que las directivas no deben aplicarse. En la figura precedente se muestra esta posibilidad. Para llevar a cabo esta operación con ayuda de la consola de administración de directivas de grupo GPMC, proceda de la siguiente manera: ■
Colóquese en el dominio o sobre una unidad organizativa.
■
Haga clic con el botón derecho sobre el contenedor seleccionado.
■
Escoja la opción Bloquear la herencia.
b. Administración del filtrado del despliegue de directivas de grupo
- 34 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
El filtrado de seguridad permite redefinir a los usuarios y equipos que van a recibir y aplicar los parámetros de un objeto de directiva de grupo. Con ayuda del filtrado de seguridad, puede especificar que únicamente algunas entidades de seguridad del contenedor al cual está vinculado el objeto de directiva de grupo apliquen dicho objeto. El filtrado de grupo de seguridad determina si el objeto de directiva de grupo se aplica en su conjunto a grupos, usuarios o equipos. Para que la directiva de grupo se aplique a un usuario o a un equipo determinado, éstos deben poseer dos derechos indispensables: ●
●
deben poder abrir y por lo tanto Leer la directiva de grupo, deben disponer asimismo del derecho Aplicar directiva de grupos sobre el objeto de directiva de grupo, ya sea de manera explícita o mediante la pertenencia a un grupo.
Derechos predeterminados sobre los objetos de directiva de grupo: por defecto, el valor de las autorizaciones Leer y Aplicar directiva de grupos se define en Permitir para todos los objetos directivas de grupo del grupo Usuarios autenticados. Observe que los derechos predeterminados de los grupos "Administradores de organización" y "Administradores del dominio" no son suficientes para que los administradores puedan aplicar una directiva de grupo. Por lo tanto, en esos casos será preciso agregar el derecho Aplicar directiva de grupos al grupo "Admins del dominio". El siguiente ejemplo ilustra una operación de filtrado realizada con la consola GPMC.
Uso del filtrado para la aplicación de las directivas de grupo El grupo Usuarios autentificados incluye a usuarios y equipos. De esta forma, todos los usuarios autentificados reciben los parámetros de un nuevo objeto de directiva de grupo cuando ésta se aplica a una unidad organizativa, a un dominio o a un sitio. Como muestra la figura precedente, es posible modificar las autorizaciones para limitar el ámbito a un conjunto específico de usuarios, grupos o equipos en la unidad organizativa, el dominio o el sitio. La figura precedente muestra también que la consola MMC Administración de directivas de grupo gestiona las autorizaciones como una sola unidad. Gracias a ello, la declaración a realizar es más fácil. Para modificar el filtrado de seguridad es posible agregar o eliminar grupos en la sección Filtrado de seguridad en la pestaña Ámbito de un objeto de directiva de grupo. En la práctica, no es necesario crear las dos entradas (Leer y Aplicar directiva de grupos) ya que la consola GPMC las define automáticamente. Por el contrario, siempre es posible editar y modificar los permisos en modo avanzado. Para ello, abra el editor de lista de control de acceso haciendo clic en el botón Avanzado en la pestaña Delegación del objeto directiva de grupo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 35 -
Vista de la ventana de administración de los derechos avanzados
c. Puntos importantes ●
●
●
●
●
●
Los objetos de directivas de grupo sólo pueden estar vinculados a sitios, dominios y unidades organizativas. Dentro del ámbito de la tecnología IntelliMirror, los objetos de directiva de grupo no pueden estar directamente vinculados a usuarios, equipos o grupos de seguridad. El filtrado de seguridad permitirá limitar el alcance de un objeto de directiva de grupo para que éste se aplique sólo a un grupo, usuario o equipo único. Los permisos Leer y Aplicar directiva de grupos no bastan para garantizar que la directiva de grupo se aplique sólo a un usuario o un equipo determinado. El objeto directiva de grupo debe estar asimismo vinculado a un sitio, dominio o a una unidad organizativa que contenga el usuario o al equipo ya sea directamente o a través de los mecanismos de herencia. La ubicación de los grupos de seguridad en Active Directory no tiene nada que ver con el filtrado mediante grupos de seguridad. Los grupos no tienen una relación directa con el procesamiento de las directivas de grupo. Los grupos sólo son un medio para administrar los derechos de los objetos. Permiten obtener el derecho Leer y Aplicar la directiva de grupo. Filtrado mediante la interfaz WMI.
Preste atención a los conflictos entre parámetros y a las opciones No reemplazar y Bloquear la herencia de los objetos directivas de grupo en los contenedores de tipo unidades organizativas.
d. Definición de los filtros WMI Funcionamiento de los filtros WMI
- 36 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Puede usar los filtros WMI para determinar de forma dinámica el alcance de las directivas de grupo a partir de los atributos conocidos de tipo usuario y equipo. De esta forma puede ampliar la capacidad de filtrado de los objetos de directiva de grupo más allá de los mecanismos de filtrado de seguridad presentados anteriormente. Los filtros WMI se asocian a objetos de directivas de grupo. Cuando se aplica un objeto de directiva de grupo al equipo de destino, Active Directory evalúa el filtro en el equipo de destino. Los filtros WMI se componen de una o de varias consultas evaluadas por Active Directory en función del espacio de almacenamiento WMI del equipo de destino. Si el valor total de las consultas es “falso” (false), Active Directory no aplica el objeto de directiva de grupo. Si todas las consultas son verdaderas (true), Active Directory aplica la directiva de grupo. La consultas WMI se escriben con ayuda del lenguaje WQL WMI Query Language. Este lenguaje está muy próximo al lenguaje SQL y permite preguntar a todo el espacio de almacenamiento WMI. Los objetos de directiva de grupo sólo pueden tener un filtro WMI que puede contener múltiples condiciones. En cambio, es posible vincular un filtro WMI a múltiples objetos de directiva de grupo. La interfaz de consola de administración de directivas de grupo permite crear, importar, exportar, copiar y pegar filtros WMI de forma muy sencilla. ¿Como crear un filtro WMI? ■
■
■
■
■
■
Abra la consola Administración de directivas de grupo. En el árbol de la consola, haga clic con el botón derecho en Filtros WMI en el bosque y el dominio en los que desea crear el filtro WMI. Para llegar hasta ahí, colóquese en Nombre del bosque/Dominios/Nombre del dominio/Filtros WMI. Haga clic en Nuevo. En el cuadro de diálogo Nuevo filtro WMI, introduzca un nombre para el nuevo filtro y después una descripción en la zona Descripción. Haga clic en Agregar. En el cuadro de diálogo Consulta de WMI, seleccione el Espacio de nombres o deje el espacio de nombres predeterminado, root\CIMv2.
■
En la zona Consulta, introduzca una consulta WMI, y haga clic en Aceptar.
■
Para agregar otras consultas, repita los últimos tres puntos para cada nueva consulta.
■
Después de agregar todas las consultas haga clic en Guardar.
Creación de filtros WMI y privilegios necesarios: para poder crear filtros WMI, debe disponer de los privilegios necesarios para la operación. Los grupos Administradores del dominio, Administradores de organización y Propietarios del creador de directivas de grupo gozan, por defecto, de dicho permiso. La figura muestra los detalles relativos a la creación del filtro. Como hemos explicado más arriba, deberá declarar el nombre del filtro, una descripción, el espacio WMI al que se refiere la consulta así como el contenido de la misma.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 37 -
Guardado de la consulta WMI en el filtro Una vez creados los filtros WMI ya sólo nos queda asociar un filtro a la directiva de grupo que deseamos filtrar. ¿Cómo asociar un filtro WMI a un objeto de una directiva de grupo concreta? ■
■
■
■
Abra la consola de Administración de directivas de grupo. En el árbol de la consola, colóquese sobre el objeto de la directiva de grupo a la que desea vincular un filtro WMI. Para ello, sitúese en Nombre del bosque/Dominios/Nombre del dominio/Objetos de directiva de grupo, y haga clic en el objeto de directiva de grupo. En la ventana de resultados, pestaña Ámbito, Filtrado WMI, seleccione un filtro WMI en la zona de lista desplegable. Cuando se le pregunta si desea cambiar el filtro haga clic en Sí.
La siguiente pantalla muestra la operación, realizada con ayuda de la consola de administración de directivas.
Asociación del filtro OS Win2000 STD and AS a la directiva Parámetros DNS globales
- 38 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
■
■
■
También puede colocarse sobre el nodo Filtros WMI y seleccionar directamente el objeto filtro WMI que le interese para controlar los vínculos a los que está unido, los derechos relativos a la delegación de control en los filtros WMI y el contenido del código del filtro. También puede vincular un filtro WMI a un objeto de directiva de grupo aplicando el siguiente método: en el árbol de la consola, haga clic y desplace el filtro WMI hasta el objeto de directiva de grupo al que desea vincularlo. Para vincular un filtro WMI a un objeto de directiva de grupo, debe disponer de los permisos de modificación sobre los objetos directiva de grupo. Sólo puede vincularse un filtro WMI por objeto de directiva de grupo. Si intenta vincular un filtro WMI a un objeto de directiva de grupo al que ya se ha vinculado un filtro WMI, el sistema le pedirá si desea reemplazar el antiguo filtro por el nuevo. Sólo puede vincular un filtro WMI por el objeto de directiva de grupo del mismo dominio. Para eliminar un filtro WMI, en el árbol de la consola, haga clic con el botón derecho sobre el filtro WMI y haga clic en Eliminar. Haga clic en el botón Sí del cuadro de diálogo en el que se le pregunta si desea confirmar la eliminación.
Los ordenadores clientes con Windows 2000 ignoran los filtros WMI y continúan aplicando las directivas de grupo en función del ámbito de administración y del filtrado de seguridad. Además, para dar soporte a los filtros WMI, los ordenadores clientes con Windows XP Professional deben haber instalado el SP2.
Los filtros WMI están disponibles sólo en los dominios que poseen al menos un controlador de dominio Windows Server 2003. En caso de que esto no fuera así, la consola de administración de directivas de grupo GPMC no mostrará las opciones WMI. A continuación encontrará algunos ejemplos de comandos WMI. ●
●
●
●
Filtrado WMI en la versión del sistema operativo Root\CimV2; Select * from Win32_OperatingSystem where Caption = “Microsoft Windows 2000 Advanced Server” OR Caption = “Microsoft Windows 2000 Server” Filtrado WMI en la versión de un tipo fijo QFE Root\cimv2 ; select * from Win32_QuickFixEngineering where HotFixID =’q147222’ Filtrado WMI en un parámetro de configuración de red (Multicast) Select * from Win32_NetworkProtocol where SupportsMulticasting = true Filtrado WMI en la plantilla del ordenador Root\CimV2; Select * from Win32_ComputerSystem where manufacturer ="Toshiba" and Model = “Tecra 8000" OR Model = ”Tecra 8100"
Para obtener más información sobre la interfaz WMI, puede remitirse a las siguientes direcciones: ●
Windows Server 2003 Management Services: http://www.microsoft.com/windowsserver2003/technologies/management/default.mspx
●
●
●
●
Microsoft Management Web site: http://www.microsoft.com/management Windows Management Instrumentation Web url=/library/enus/dnanchor/html/anch_wmi.asp
site:
http://msdn.microsoft.com/library/default.asp?
Microsoft Technet Script Center: http://www.microsoft.com/technet/scriptcenter Remítase al directorio de programa de la consola de administración de directivas de grupo (GPMC), es decir, al directorio %programfiles%\gpmc\scripts. Este directorio contiene numerosos comandos WMI para automatizar ciertas operaciones relativas a las directivas de grupo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 39 -
Configuración de los parámetros de actualización de las directivas de grupo 1. Restauración de las directivas de grupo a. Restauración de directivas en segundo plano Además del procesamiento realizado durante la fase de inicio del equipo y de inicio de sesión del usuario, las directivas de grupo se aplican en segundo plano de forma periódica. Los diferentes componentes de las extensiones vuelven a aplicar los parámetros sólo cuando es necesario, o bien cuando la directiva obliga a volver a aplicarlos sistemáticamente, quizá por motivos de seguridad o de estado de la configuración. Los componentes clientes especializados en la instalación del software o redireccionamiento de carpetas sólo vuelven a aplicar los parámetros al iniciar el equipo y la sesión de los usuarios.
b. Ciclo de restauración Por defecto, la directivas de grupo se comprueban cada 90 minutos, a los que se añade un valor aleatorio comprendido entre 0 y 30 minutos. Finalmente, el tiempo máximo de restauración puede alcanzar los 120 minutos. Más adelante veremos que es posible controlar cada CSE Client Side Extensions, de forma que algunas extensiones, como por ejemplo los parámetros de seguridad de Internet Explorer se apliquen siempre aunque las directivas no se modifiquen. Este modo de funcionamiento permite garantizar el estado y la conformidad de la configuración de la máquina.
c. Restauración a petición Es posible evitar el reinicio del equipo y de la sesión usando el comando Gpupdate. Observe que los usuarios disponen de esta posibilidad por defecto, que evidentemente, no es peligrosa, pero puede generar un flujo de red considerable. El comando Gpupdate.exe se inicia en la parte cliente. No se puede iniciar de forma remota la restauración de las directivas de grupo funcionando en modo “notify” desde el servidor hasta el cliente.
2. Configuración de la frecuencia de restauración de las directivas de grupo Puede personalizar la frecuencia de actualización de las directivas de grupo de tipo usuario y equipo en función de sus necesidades. Para efectuar esta operación, proceda como especificamos a continuación: ■
Seleccione y abra el objeto de directiva de grupo apropiado. Colóquese en la parte Configuración de usuario o Configuración de equipo en función de sus necesidades, y después en Plantillas administrativas/Sistema. Haga clic en Directiva de grupo, y doble clic en uno de los siguientes parámetros: Intervalo de actualización de la directiva de grupo para usuarios (el valor por defecto es 90 minutos, más un valor comprendido entre 0 y 30 minutos). Intervalo de actualización de la directiva de grupo para equipos (el valor por defecto es 90 minutos, más un valor comprendido entre 0 y 30 minutos). Intervalo de actualización de la directiva de grupo para los controladores de dominio (el valor por defecto es de 5 minutos).
■
Seleccione Habilitada.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
■
Defina el intervalo de actualización en minutos.
■
Defina el intervalo aleatorio y haga clic en Aceptar. Si ha desactivado la configuración, la directiva de grupo se actualiza de forma predeterminada cada 90 minutos. Para especificar que la directiva de grupo no debe actualizarse nunca cuando se está utilizando el equipo, seleccione la opción Deshabilitar la actualización en segundo plano de las directivas de grupo.
Si selecciona 0 minutos, el equipo intenta actualizar la directiva de usuarios cada 7 segundos. Este modo de prueba o de demostración no debe usarse sobre centenares de máquinas.
3. Restauración con Gpupdate.exe El comando Gpupdate.exe permite llamar al proceso de descubrimiento y actualización de directivas de grupo para actualizar la información en vigor. Dicho comando está presente en Windows XP Professional y Windows Server 2003, pero no en sistemas con Windows 2000. A modo de información diremos que las máquinas con Windows 2000 usan el comando Secedit.exe, que asume las mismas funcionalidades de restauración. Más abajo damos un ejemplo de sintaxis del comando Secedit. Por ejemplo, para forzar a los usuarios y equipos a reaplicar su configuración de forma inmediata, puede usar los siguientes comandos: ●
Para la parte de equipo, utilice: Secedit /RefreshPolicy MACHINE_POLICY /Enforce
●
Para la parte de usuario, utilice: Secedit /RefreshPolicy USER_POLICY /Enforce
El hecho de que el comando Secedit se haya reemplazado por el comando Gpupdate no significa que Secedit haya desaparecido. La configuración de Secedit [/configure, /analyze, /import, /export, /validate, /generaterollback] sigue estando disponible. Sólo se ha eliminado /RefreshPolicy que ha sido desplazado por el comando Gpupdate.exe.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
En lo que se refiere a los equipos con Windows Server 2003 o Windows XP Professional, la sintaxis del comando Gpupdate es la siguiente. gpupdate [/target:{ordenador|usuario}] [/force] [/wait:valor] [/logoff] [/boot]
4. Procesamiento de los componentes de las directivas de grupo en los vínculos de baja velocidad Cuando el componente GPE (Group Policy Engine), detecta un vínculo de baja velocidad dispone un parámetro para prevenir a los diferentes componentes de extensión cliente (CSE Client Side Extensions) de que debería realizarse un procesamiento de directiva de grupo en un vínculo de tipo “lento”. Los valores predeterminados de los diferentes componentes se comportan por defecto de la siguiente forma: ●
●
●
Se aplica la configuración de seguridad: por razones de seguridad no es posible puntualizar que los parámetros de seguridad no se apliquen so pretexto que el rendimiento de la red en un momento determinado es lento. Plantillas administrativas: por razones necesarias para el buen funcionamiento de las directivas de grupo, las plantillas administrativas no se pueden desactivar. Instalación y mantenimiento del software: cuando se considera que la red es lenta, se desactivan los componentes de instalación y mantenimiento del software. De esta forma la red no se sobrecarga debido a un tráfico demasiado voluminoso.
●
Se deshabilita la ejecución de scripts.
●
Se deshabilita el redireccionamiento de carpetas.
a. Procesamiento de la configuración de directivas de grupo no modificadas Por defecto, las extensiones especializadas del lado cliente (con excepción de la extensión Servicio de instalación remota), aplican sólo la configuración de directiva de grupo modificada desde la última aplicación de la directiva de grupo. Por consiguiente, el procesamiento está muy optimizado y en general no será necesario modificar la forma en que las directivas de grupo se evalúan y aplican. Sin embargo, es posible que, por motivos de seguridad, desee garantizar la aplicación correcta de los parámetros especificados en las directivas de grupo. ¿Qué ocurre con la modificación de la configuración local? En caso de que un parámetro controlado por una directiva de grupo se modificara “en live” durante una sesión y la directiva de grupo no fuera modificada, entonces se conservaría la modificación hecha por el usuario. Para ayudar a resolver este fenómeno, existe la posibilidad de configurar cada extensión cliente con el fin de tratar la aplicación sistemática de todos los parámetros contenidos en la directiva, hayan sido modificados o no. La configuración puede llevarse a cabo con ayuda de los parámetros de las directivas de grupo incluidos en las plantillas administrativas.
b. Activación de la detección de vínculos lentos La detección de vínculos de baja velocidad puede activarse de forma muy sencilla accediendo a la ventana de configuración en la siguiente ubicación: Configuración del equipo/Plantillas administrativas\Sistema\Directiva de grupo/Detección de vínculo de baja velocidad de la directiva de grupo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Activación de la detección de vínculos de baja velocidad Al activar esta función se selecciona automáticamente el valor de 500 Kbp/s.
c. Forzado de la aplicación de la configuración de la directiva incluso cuando ésta no ha cambiado La siguiente figura muestra la activación de la opción Procesar incluso si los objetos de directiva de grupo no han cambiado en la extensión CSE especializada en procesar el mantenimiento de Internet Explorer.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Observe que la lista de extensiones de cliente puede controlarse con ayuda de las plantillas administrativas. Habrá constatado la opción No aplicar durante el procesamiento periódico en segundo plano. Esta opción impide que el sistema actualice las directivas en segundo plano cuando se está usando el equipo. No se recomienda efectuar actualizaciones en segundo plano cuando el usuario está trabajando. Es posible que ello pueda perturbar al usuario, provocar la detención de un programa o incluso, en raras ocasiones, dañar los datos. Los componentes cuyo procesamiento puede controlarse cuando la información no ha cambiando son: ●
la directiva de procesamiento del registro;
●
la directiva de mantenimiento de Internet Explorer;
●
la directiva de instalación del software;
●
la directiva de redireccionamiento de carpetas;
●
la directiva de scripts;
●
la directiva de seguridad;
●
la directiva de seguridad IP;
●
la directiva WiFi;
●
la directiva de recuperación EFS;
●
la directiva de cuotas de discos.
5. Prohibición de la restauración para usuarios
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Por defecto, los usuarios tienen la posibilidad de iniciar el comando Gpupdate. De esta forma, pueden restaurar la información de configuración obtenida con ayuda de las directivas de grupo sin reiniciar completamente el equipo. El parámetro Quitar la capacidad de usuario para invocar la actualización de directivas de equipo situado en Configuración del equipo/Plantillas administrativas/Sistema/Directiva de grupo, permite controlar la posibilidad del usuario para invocar una actualización de la directiva de grupo. Si activa este parámetro, los usuarios no podrán invocar actualizaciones de directivas de equipo. La directiva de equipo seguirá aplicándose al iniciar o cuando se produzca alguna actualización oficial de la directiva. Si desactiva o no aplica el parámetro se aplicará el comportamiento predeterminado. La directiva de equipo se aplica por defecto al iniciar el equipo. Se aplica también a un intervalo de actualización especificado o cuando el usuario la invoca manualmente. El parámetro no se aplica a los administradores, que pueden solicitar una actualización de la directiva de equipo en cualquier momento, sea cual sea la configuración de la directiva. El parámetro requiere que se reinicie el ordenador.
6. Procesamiento por bucle invertido (Loopback) El procesamiento por bucle invertido es una función especial destinada a equipos como puede ser equipos de libre servicio ubicados en lugares públicos como aeropuertos o estaciones. Por defecto, las directivas de grupo de un usuario determinan los parámetros a aplicar cuando el usuario inicia una sesión en cualquier equipo de la red. En el caso de los equipos de libre servicio, no se trata del ordenador habitual del usuario y, por lo tanto, no es deseable que el entorno de producción del usuario se “despliegue” de esa forma. Para lograrlo, deberá configurar el modo de “Procesamiento de bucle invertido” en inglés Loopback Processing Mode en los equipos de libre servicio. Para ello podrá crear una directiva de grupo que permitirá determinar la parte de usuario del entorno del usuario de una forma particular. Ese importante parámetro de configuración está situado en la parte de equipo: Configuración del equipo/Plantillas administrativas/Sistema/Directiva de grupo/Modo de procesamiento de bucle invertido de la directiva de grupo. Como puede constatar, se trata de un parámetro de tipo equipo. Por consiguiente, el modo de funcionamiento se aplicará a todos los usuarios que inicien sesiones en el equipo al que se aplique el modo de funcionamiento.
Declaración del procesamiento de bucle invertido
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
El procesamiento por bucle invertido puede ejecutarse en dos modos diferentes: ●
●
Modo sustituir: modo que reemplaza los parámetros de usuario definidos en los objetos de Directiva de grupo del usuario por los parámetros de usuario contenidos en la directiva aplicada al equipo. Modo combinar: modo que combina los parámetros de usuario definidos en los objetos de directiva de grupo del equipo con los parámetros de usuario aplicados habitualmente al usuario. En caso de que existan parámetros en conflicto, los parámetros de usuario de los objetos de directiva de grupo del equipo tienen evidentemente preferencia sobre los parámetros habituales del usuario.
Como puede constatar, los parámetros de usuario de la directiva de grupo correspondiente al equipo se aplican reemplazando o combinando los habituales parámetros de usuario de la directiva relativa al usuario. De esta forma, la máquina tiene preferencia sobre el usuario.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Administración de las directivas de grupo con la consola GPMC 1. Operación de copia de seguridad y restauración de las directivas de grupo Hasta la aparición de la consola de administración de directivas de grupo, la copia de seguridad de las directivas era una operación reservada a las herramientas de copia de seguridad y restauración Active Directory. Ahora puede usar la consola de administración de directivas de grupo para hacer copias de seguridad de las directivas de grupo, ya se ubiquen éstas en dominios 2000 o en dominios Windows Server 2003. Para efectuar esta operación proceda de la siguiente manera: ■
■
■
■
■
■
Abra Administración de directivas de grupo. En el árbol de la consola haga doble clic en la opción Objetos de directivas de grupo situada dentro del bosque y el dominio que contiene las directivas de grupo que desea guardar. Para guardar un solo objeto de directiva de grupo, haga clic con el botón derecho sobre él y después haga clic en Hacer copia de seguridad. Para hacer una copia de seguridad de todos los objetos de directiva de grupo del dominio, haga clic con el botón derecho en Objetos de directiva de grupo, y haga clic en Hacer copia de seguridad de todos. En la zona Ubicación del cuadro de diálogo Copia de seguridad de objeto directiva de grupo, introduzca la ruta de acceso a la ubicación en la que desea almacenar las copias de seguridad y haga clic en Aceptar. En la zona Descripción, introduzca una descripción de los objetos de directiva de grupo de los que desee hacer una copia de seguridad y haga clic en Hacer copia de seguridad. Si hace copia de seguridad de varios objetos de directiva de grupo, la descripción se aplicará a todos los objetos de los cuales se haga una copia de seguridad. Una vez terminada la operación, haga clic en Aceptar.
Los objetos directiva de grupo contienen muchos parámetros de configuración. Por lo tanto, es importante pensar en proteger las directivas de grupo de las que se ha hecho copia de seguridad. Asegúrese de que sólo los administradores autorizados tienen acceso a la carpeta a la que se exporta el objeto directiva de grupo.
Para ejecutar este procedimiento deberá disponer de los permisos de lectura para el objeto directiva de grupo y de los permisos de escritura para la carpeta que contiene la copia de seguridad del objeto directiva de grupo.
■
Para ejecutar una copia de seguridad de las directivas de grupo en la línea de comandos, use uno de los scripts incluidos en el directorio %Programfiles%\gpmc\Scripts. Colóquese en el directorio que contiene los scripts y use el siguiente comando: BackupAllGPOs C:\Backup-AllGPOs /comment:"ALL GPOs"
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Copia de seguridad de directivas de grupo a través del script BackupAllGPOs.wsf La restauración de los objetos de directiva de grupo es tan sencilla como las operaciones de copia de seguridad. ■
■
Haga clic con el botón derecho en Objetos de directiva de grupo, y seleccione Administrar copias de seguridad. En la zona Ubicación de la copia de seguridad del cuadro de diálogo Administrar copias de seguridad, introduzca la ruta de acceso a la carpeta de la copia de seguridad. Para acceder a ella también puede hacer clic en Examinar.
Puede disponer de múltiples directorios de copia de seguridad. Cada directorio contiene un archivo llamado Manifest.xml que contiene una descripción de los elementos de los que se ha hecho una copia de seguridad. ■
■
En la zona Objetos GPO con copia de seguridad, seleccione el objeto de directiva de grupo que desea restaurar en la lista de copias de seguridad de objetos de directiva de grupo que se muestra, y luego haga clic en Restaurar. Cuando se le pregunte si desea restaurar la copia de seguridad seleccionada haga clic en Aceptar.
Para poder restaurar un objeto de directiva de grupo existente, deberá disponer de los permisos modificar la configuración, eliminar y modificar la seguridad para el objeto de directiva de grupo y los permisos de lectura para la carpeta que contiene la copia de seguridad del objeto directiva de grupo.
Para restaurar un objeto de directiva de grupo eliminado, deberá disfrutar de los privilegios que permiten crear objetos de directiva de grupo en el dominio y de los permisos de lectura en la ubicación del sistema de archivos del objeto de directiva de grupo con copia de seguridad.
También puede restaurar los objetos de directiva de grupo existentes o eliminados mediante la función Administrar las copias de seguridad, haciendo clic con el botón derecho en Dominios o en Objetos de directiva de grupo. Atención: los scripts incluidos inicialmente con la GPMC SP1 (prevista para Windows XP SP2 o Windows Server 2003) no se incluyen en los servidores Windows Server 2008. Sin embargo, se pueden descargar en la siguiente dirección: http://go.microsoft.com/fwlink/?LinkId = 106342
2. Operación de copia de directivas de grupo Las operaciones de copia permiten transferir los parámetros de un objeto de directiva de grupo existente a un nuevo objeto de directiva de grupo. ¿Por qué usar la función copia de la GPMC?
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Las operaciones de copia se adaptan al desplazamiento de una directiva de grupo entre entornos de producción, así como entre un dominio de pruebas y un entorno de producción. Para efectuar dichas operaciones es preciso que exista una relación de confianza entre los dominios fuente y destino. El nuevo objeto de directiva de grupo creado durante la operación de copia se le atribuye un nuevo identificador global único (GUID, Globally Unique Identifier) y se eliminan sus posibles vínculos. Puede usar las operaciones de copia para transferir los parámetros a un nuevo objeto de directiva de grupo perteneciente al mismo dominio, a otro dominio o a un dominio de otro bosque. Las operaciones de copia usan como fuente objetos de directiva de grupo existentes en Active Directory. Por lo tanto, se precisa una confianza entre los dominios fuente y destino. La copia es similar a la copia de seguridad seguida de una importación, pero no comporta etapas intermedias de sistema de archivos. En la operación de copia se crea un nuevo objeto de directiva de grupo.
3. Operación de importación de la configuración La operación de importación transfiere los parámetros de un objeto de directiva de grupo existente usando como fuente un objeto de directiva de grupo con copia de seguridad en el sistema de archivos.
a. ¿Por qué usar la funcionalidad de importación de la GPMC? Las operaciones de importación pueden usarse para transferir parámetros de un objeto de directiva de grupo a otro situado en el mismo dominio, en otro dominio del mismo bosque o en un dominio de otro bosque. La operación de importación coloca siempre los parámetros con copia de seguridad en un objeto directiva de grupo existente. Preste atención al hecho de que esta operación borra los parámetros que existían en el objeto de directiva de grupo de destino.
Si dispone de bosque de prueba y de producción separados, con o sin confianza, se aconseja probar los objetos de directiva de grupo en el bosque de prueba antes de importarlos al bosque de producción. La importación no requiere de ninguna relación de confianza entre el dominio fuente y el dominio de destino. Por lo tanto, la operación puede resultar útil para transferir parámetros entre bosques y dominios sin relación de confianza. La importación de parámetros en un objeto de directiva de grupo no afecta a la lista de control de acceso discrecional (DACL, Discretionary Access Control List), ni a los vínculos con ese objeto de directiva de grupo en los sitios, dominios o unidades organizativas, ni al vínculo con filtros WMI.
b. Uso de una tabla de correspondencias entre los objetos de diferentes dominios o bosques Si usa la operación de importación para transferir los parámetros de un objeto de directiva de grupo a un objeto de directiva de grupo en otro dominio o en otro bosque puede usar una tabla de migración junto con la operación de importación. Las tablas de migración facilitan la transferencia de referencias a grupos de seguridad, usuarios, equipos y rutas de acceso UNC del objeto de directiva de grupo fuente hacia los nuevos valores del objeto de directiva de grupo de destino.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Comprobación y resolución de problemas relativos a las directivas de grupo con RsoP Es posible simular el despliegue de directivas de grupo para los usuarios y equipos antes de desplegarlas realmente en el entorno de producción. Esta funcionalidad de la consola Administración de directivas de grupo se conoce como Conjunto de directivas resultante (RSoP, Resultant Set of Policies) en modo de planificación. Requiere al menos de un controlador de dominio que ejecute Windows Server 2003 o Windows Server 2008 en el bosque. Para comprobar los parámetros de directiva de grupo mediante el Asistente para Modelación de directivas de grupo, deberá crear primero una consulta de modelación de directiva de grupo y mostrarla. Para crear una nueva consulta de modelación de directiva de grupo, proceda de la manera siguiente: ■
■
Abra la consola Administración de directivas de grupo, navegue hasta el bosque en el que desea crear la consulta de modelación de directiva de grupo, haga clic con el botón derecho en Modelación de directivas de grupo, y después en el Asistente para Modelación de directivas de grupo. En la página Asistente para Modelación de directivas de grupo, haga clic en Siguiente, introduzca la información requerida en las páginas del asistente y haga clic en Finalizar.
Para mostrar la consulta de modelación de directiva de grupo, proceda de la siguiente manera: ■
■
Abra la consola Administración de directivas de grupo. Navegue hasta el bosque que contiene la consulta de modelación de directiva de grupo, abra Modelación de directivas de grupo, haga clic con el botón derecho en la consulta y haga clic en Vista avanzada.
Ya sólo queda comprobar que los resultados presentados en el informe generado al finalizar la simulación se acercan a los esperados.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Delegación del control administrativo de directivas de grupo La consola de administración de directivas de grupo permite administrar las operaciones de delegación con suma facilidad. De esta forma será muy sencillo realizar las siguientes operaciones: ●
crear objetos de directivas de grupo en un dominio,
●
definir permisos para un objeto de directiva de grupo,
●
definir los permisos de directiva para un sitio, dominio o unidad organizativa,
●
vincular objetos de directiva de grupo a un sitio, dominio o unidad organizativa determinados,
●
●
efectuar análisis de modelación de directivas de grupo en un dominio o en una unidad organizativa, pero no en un sitio. leer los datos de los resultados de la directiva de grupo para los objetos de un dominio o de una unidad organizativa determinados, pero no de un sitio.
●
crear filtros WMI en un dominio,
●
definir los permisos para un filtro WMI.
La pestaña Delegación está disponible en todos los contenedores que aparecen en la consola de administración de directivas de grupo La consola de administración de directivas de grupo simplifica mucho la delegación administrando las diversas entradas de control de acceso (ACE, Access Control Entry) necesarias para una tarea como único grupo de permisos para la misma. No obstante, como ya hemos visto en el filtrado de las directivas de grupo mediante los permisos Leer y Aplicar directivas de grupo, sigue siendo posible acceder a los detalles de la lista de control de acceso usando el botón Avanzado de la pestaña Delegación.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
1. Conceder una delegación a través del grupo “Propietarios del creador de directivas de grupo” El procedimiento descrito a continuación permite delegar objetos de directiva de grupo. Proceda paso a paso: ■
■
■
■
Abra Administración de directivas de grupo. En el árbol de la consola, haga clic en los Objetos de directiva de grupo para los que desea delegar los derechos de creación de objetos de directiva de grupo. Para ello colóquese en Nombre del bosque/Dominios//Nombre del dominio/Objetos de directiva de grupo. En la ventana de resultados, haga clic en la pestaña Delegación. Para agregar un nuevo grupo o usuario con ayuda del grupo Propietarios del creador de directivas de grupo: en la zona de lista Grupos y usuarios, haga doble clic en Propietarios del creador de directivas de grupo. Observe que el grupo Propiedades del creador de directivas de grupo tiene todos los poderes sobre los objetos de directivas de grupo.
■
■
■
■
En el cuadro de diálogo Propiedades de Propietarios del creador de directivas de grupo, seleccione la pestaña Miembros y haga clic en Agregar. En el cuadro de diálogo, seleccione Usuario, Equipo o Grupo, haga clic en Tipos de objeto, seleccione el tipo de objeto para el que desea delegar los derechos de creación y haga clic en Aceptar. Haga clic en Ubicaciones, seleccione Todo el directorio, o bien el dominio o la unidad organizativa que contiene el objeto para el que desea delegar los derechos de creación y haga clic en Aceptar. En la zona Escriba los nombres de objeto que desea seleccionar, introduzca el nombre del objeto al que desea delegar los derechos de creación.
Los miembros de este grupo pueden modificar la directiva de grupo del dominio. Por defecto, la cuenta Administrador forma parte de ese grupo. Dado que el grupo dispone de un poder amplio en el dominio es aconsejable ser precavido a la hora de agregar usuarios.
Para llevar a cabo este procedimiento deberá ser miembro del grupo Administradores del dominio o Administradores de organización.
También puede eliminar un grupo o usuario de la lista de permisos haciendo clic con el botón derecho en su nombre, dentro de la zona de lista Grupos y usuarios en la pestaña Delegación, y haciendo clic en Quitar.
Si desea delegar permisos a grupos y usuarios del mismo dominio que el de los objetos de directiva de grupo, se recomienda agregarlos al grupo Propietarios del creador de directivas de grupo, en la medida en que se trata de un método de origen ya disponible con Windows 2000. No obstante, observe que no es posible agregar grupos o usuarios de otro dominio al grupo Propietarios del creador de directivas de grupo.
Para delegar permisos de creación de objetos de directiva de grupo a grupos o usuarios de otro dominio, debe conceder de forma explícita permisos de creación de objetos de directiva de grupo a ese grupo (sin usar el grupo Propietarios del creador de directivas de grupo). También puede crear un grupo local del dominio en el dominio en el que desea delegar el permiso de creación de objetos de directiva de grupo y conceder a dicho grupo el permiso para crearlos. Después, agregue miembros al grupo local del dominio a partir de otros dominios de acuerdo con sus necesidades.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
2. Conceder una delegación con ayuda de la consola de administración GPMC La consola de administración de directivas de grupo GPMC permite agregar y eliminar grupos, usuarios y equipos para usarlos como filtro de seguridad para cada objeto de directiva de grupo. Por otro lado, las entidades de seguridad usadas para el filtrado de seguridad también aparecen en la pestaña Delegación de los objetos de directiva de grupo con el permiso de Lectura ya que disponen de un acceso de modo lectura.
a. Conceder la delegación de los vínculos de las directivas de grupo Para delegar los permisos de directiva para un dominio, unidad organizativa o incluso un sitio que permita vincular objetos de directiva de grupo, proceda como se indica a continuación: ■
■
■
■
Abra la consola Administración de directivas de grupo. Para delegar un permiso que permita vincular objetos de directiva de grupo a un dominio o unidad organizativa, haga clic en el dominio o en la unidad organizativa. En la ventana de resultados, haga clic en la pestaña Delegación. En la zona de lista desplegable Permiso, seleccione Vincular los objetos GPO, y especifique los permisos que permiten vincular los objetos de directiva de grupo para un grupo o usuario: para agregar un nuevo grupo o usuario a la lista de permisos de dominios o unidades organizativas, haga clic en el botón Agregar de la pestaña Delegación.
Para delegar los permisos que permiten vincular objetos de directiva de grupo a un sitio, dominio o unidad organizativa, deberá disponer del permiso Modificar los permisos para este sitio, dominio o unidad organizativa. Por defecto, sólo los administradores de dominios y los administradores de organización disfrutan de este permiso.
Los usuarios y grupos con permiso para vincular objetos de directiva de grupo a un sitio, dominio o unidad organizativa específicos pueden vincular objetos de directiva de grupo, modificar el orden de los vínculos y definir el bloqueo de la herencia del sitio, dominio o unidad organizativa. No es posible eliminar grupos o usuarios que hereden los permisos de un contenedor padre.
Algunas entradas de la zona de lista Grupos y usuarios, como Sistema, no tienen cuadro de diálogo de propiedades asociado, por lo tanto Propiedades no está disponible para dichas entradas.
b. Conceder un permiso de modelación de directivas de grupo Para delegar los permisos de modelación de directiva, proceda como indicamos a continuación: ■
■
■
■
Abra la consola Administración de directivas de grupo. En el árbol de la consola, haga clic en el dominio o en la unidad organizativa en el que desea delegar los permisos de modelación de directiva de grupo. En la ventana de resultados, haga clic en la pestaña Delegación. En la zona Permisos, seleccione Iniciar análisis de modelación de directivas de grupo; para agregar un nuevo grupo o usuario a la lista de permisos, haga clic en el botón Agregar de la pestaña Delegación.
Para delegar los permisos que permiten efectuar análisis de modelación de directivas de grupo para los objetos de un dominio o de una unidad organizativa, debe disponer del permiso Modificar los permisos para © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
ese dominio o unidad organizativa.
Por defecto, sólo los administradores del dominio y los administradores de organización gozan de dicho permiso. No puede delegar el permiso para efectuar análisis de modelación de directivas de grupo en los sitios.
En las anteriores versiones de la directiva de grupo, el análisis de modelación de directivas de grupo era llamado en modo planificación RSoP (Conjunto de directivas resultante).
c. Conceder una delegación de creación de filtros WMI Para delegar la creación de filtros WMI, proceda de la siguiente manera: ■
■
■
Abra la consola Administración de directivas de grupo. En el árbol de la consola, haga clic Filtros WMI situado en el bosque y el dominio en los que desea delegar los permisos de administración para todos los filtros WMI. En la ventana de resultados haga clic sobre la pestaña Delegación; para que un nuevo grupo o usuario disponga de permisos para la administración de todos los filtros WMI, haga clic en Agregar.
Para delegar los permisos sobre todos los filtros WMI de un dominio deberá ser administrador del dominio o administrador de organización.
Los usuarios que disponen de permisos Control total pueden crear y controlar todos los filtros WMI de un dominio, incluidos los filtros WMI creados por otros usuarios. Los usuarios que disponen de permisos Creador propietario pueden crear filtros WMI, pero sólo pueden controlar los filtros creados por ellos mismos.
Si elimina Propietarios del creador de directivas de grupo de la lista de permisos, los usuarios que creen objetos de directiva de grupo ya no podrán crear filtros WMI excepto si se les concede el permiso de forma explícita a través de su pertenencia a otro grupo.
Todos los usuarios deben tener acceso en lectura a todos los filtros WMI. De lo contrario, la directiva de grupo interrumpe el procesamiento cuando encuentra un filtro WMI que no puede leer. No es posible usar la administración de directivas de grupo para eliminar los permisos de lectura de los filtros WMI.
Filtros WMI está disponible sólo si al menos un controlador de dominio ejecuta Windows Server 2003 o Windows Server 2008. Lo mismo ocurre con Filtrado WMI en la pestaña Ámbito para los objetos de directiva de grupo.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Recomendaciones para la definición de una directiva de grupo para la empresa La planificación de una infraestructura Active Directory requiere la creación de un plan que tenga en cuenta las buenas prácticas para la empresa en relación a los temas presentados a continuación: ●
●
herencia de las directivas de grupo, administración y despliegue lo mejor adaptados posible con respecto a la administración de directivas de grupo.
Haga lo que esté en su mano para que la tecnología sea un logro y no un impedimento. Para conseguirlo, reflexione sobre los modos en que se pueden implementar las directivas de grupo dentro de la empresa. Al final, no debe olvidar pensar en la delegación de permisos a partir de un cálculo que deberá contemplar las diferentes tareas de administración, la elección de una plantilla administrativa y la facilidad de concepción y puesta en marcha. Los puntos presentados a continuación representan las reglas que deberán respetarse en la medida de lo posible: ●
●
●
●
Aplique los parámetros de directiva de grupo en el nivel más alto para beneficiarse de los mecanismos de herencia. Determine los parámetros comunes de los objetos de directiva de grupo para el mayor contenedor, es decir, el objeto de dominio Active Directory. Vincule la directiva de grupo al dominio, Disminuya el número de directivas de grupo. Reduzca el número usando varios enlaces en lugar de crear varios objetos de directiva de grupo idénticos. Intente vincular un objeto de directiva de grupo al mayor contenedor posible para evitar crear varios vínculos del mismo objeto a niveles más bajos.
Este método reduce el número de directivas de grupo, pero también limita las posibilidades de delegar la administración.
●
●
●
Cree objetos de directiva de grupo especializados. Utilice las directivas de grupo para aplicar parámetros únicos en caso necesario. Los objetos de directiva de grupo a un nivel superior no aplicarán los parámetros de los objetos de directiva de grupo especializados. Desactive los parámetros de configuración del ordenador o del usuario. Cuando cree un objeto de directiva de grupo destinado a contener los parámetros de uno de esos dos niveles (usuario o equipo), desactive la otra zona. Esto permite mejorar el rendimiento de aplicación de los objetos de directiva de grupo al conectarse el usuario e impide la aplicación accidental de los parámetros a la otra zona.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Introducción a la administración del software 1. IntelliMirror y la administración del software La tecnología de instalación y de mantenimiento de los programas integrada en Windows 2000, Windows XP Professional, Windows Vista y los sistemas de las familias Windows Server 2003 y 2008, permite que los administradores puedan solucionar uno de los puntos más problemáticos de las infraestructuras Windows. Efectivamente, la administración de los equipos no se limita a hacer inventario y gestionar bien el sistema operativo. También, y quizá sobre todo, hay que ser capaz de garantizar los servicios de administración de software de suficiente nivel con el fin de que los usuarios dispongan de los programas necesarios para poder desarrollar correctamente sus respectivas actividades. Pero la gestión del problema sobrepasa de largo el ámbito de la simple fase de despliegue. Esta tecnología nos ayudará a ocuparnos de las operaciones implicadas en el ciclo de vida del software. De esta forma, los usuarios dispondrán siempre del "mejor software" para desempeñar su trabajo. Evidentemente, las funcionalidades IntelliMirror de administración del software se encuentran en el centro de los servicios globales. Antes de iniciar el aprendizaje de la tecnología de instalación y administración de software, los puntos presentados a continuación recuerdan las ventajas asociadas a la tecnología IntelliMirror integrada en las infraestructuras Windows Active Directory. IntelliMirror se ocupa de los siguientes tres problemas de administración: 1. La administración de los datos de usuario: esas funcionalidades permiten que los usuarios accedan a los datos necesarios para sus actividades, estén conectados o no a la red de la empresa. 2. La administración de la instalación y el mantenimiento del software: los usuarios disponen de los programas que necesitan para realizar sus tareas cotidianas. Los programas pueden instalarse en el último momento. Una vez desplegados con la tecnología IntelliMirror, los programas disponen de funciones de autoreparación. Además desde el momento en que los programas están bajo control de las directivas de grupo definidas en el directorio Active Directory, todas las funciones de administración de las actualizaciones así como de eliminación son posibles. De esta forma, el coste de administración de software se reducirá considerablemente, haciendo bajar el TCO Total Cost of Ownership asociado a la infraestructura. A propósito del TCO El TCO es igual a la suma de todos los costes asociados a los diferentes elementos que componen el sistema de información en un periodo de tiempo determinado: coste de los servidores, estaciones de trabajo, accesorios, contratos de mantenimiento de materiales, licencias de los sistemas operativos y del software, mantenimiento de los servicios de infraestructura y las estaciones de trabajo, operaciones de actualización menores (paso de los QFE (Quick Fix Engineering) y SP (Service Pack) y evoluciones mayores como puede ser el despliegue o la actualización de una aplicación, costes de desarrollo de aplicaciones específicas a menudo necesarias, costes asociados a la administración de la seguridad del perímetro de la red, de los sistemas servidores, de los ordenadores clientes y de las aplicaciones de carácter estratégico. Los costes más importantes no son los relativos a la compra o adquisición de licencias ni a los ordenadores clientes, sino a los costes de despliegue vinculados con la administración de los sistemas y las aplicaciones. En diez años los precios de los ordenadores se han dividido por seis, pero aunque también es verdad que, por otro lado, una licencia de Windows XP es mucho más cara que una licencia de Windows 3.x, lo cierto es que los servicios incluidos en los sistemas modernos no tienen nada que ver con los de sus ilustres antepasados. Está claro que es en este eje de funcionalidades donde se apoyan los servicios de directorio Active Directory, los servicios distribuidos y los servicios de seguridad asociados para hacer descender ampliamente el TCO y subir el RCI, rendimiento de capital invertido. Estudios realizados por grandes sociedades han puesto de manifiesto que las empresas que habían invertido en la tecnología Active Directory habían rentabilizado la inversión al año siguiente y habían progresado en todos los campos. Para obtener más detalles sobre los métodos de cálculo del TCO, consulte la web de Microsoft y busque REJ Rapid Economic Justification. 3. La administración de la configuración de usuario: la configuración del usuario sigue a éste allá donde vaya. Esta función permite que, sea cual sea el ordenador en el que el usuario abre la sesión, disponga de los parámetros de entorno mínimos para poder ejercer sus actividades igual que lo haría en su ordenador principal. Change and Configuration Management = IntelliMirror más WDS Desde el punto de vista de la estrategia de Microsoft, IntelliMirror sólo es un elemento de los servicios de “Gestión de cambios y configuración”. En efecto, para que el ordenador pueda considerarse como un elemento “desechable” es preciso también que sea fácilmente regenerable. Para ello, para llevar a cabo la instalación, pueden usarse los servicios de despliegue Windows WDS (Windows Deployment Services), u otros productos. Finalmente, la sustitución o instalación de un nuevo ordenador pueden realizarse instalando una imagen predefinida adaptada al usuario principal del ordenador. Luego, la tecnología IntelliMirror AD + GPO + WDS implementará al vuelo © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
el entorno de producción operativo más reciente.
2. El ciclo de vida del software El ciclo de vida del software describe los principios de las operaciones que los administradores asumirán durante el tiempo en que la aplicación esté disponible en la red de la empresa. Por lo tanto, los administradores responsables de las operaciones de asistencia y mantenimiento de los programas deberán administrar el software en función del modelo de ciclo de vida que vamos a presentar. La idea es identificar los grandes “momentos” que los administradores deben asumir para gestionar la evaluación, la viabilidad de una transición y finalmente el proceso concreto de actualización entre las diferentes versiones del software. La tecnología IntelliMirror de Administración y Mantenimiento del software permitirá que los administradores asuman todo el ciclo de vida de las aplicaciones desplegadas, y por lo tanto controladas, por esta tecnología. De esta forma, el servicio responsable de las operaciones de despliegue y mantenimiento de software podrá llevar a cabo las operaciones en un tiempo enormemente reducido y con una “garantía de éxito” cercana al cien por cien. La siguiente figura muestra las diferentes etapas de vida de un programa.
El ciclo de vida del programa y sus diferentes etapas y operaciones asociadas Los puntos que presentamos a continuación describen estas grandes etapas, que serán tratadas más adelante junto con las directivas de grupo y la tecnología de Administración y Mantenimiento de aplicaciones. 1. Aplicación en V1.0: fase de despliegue y uso de la aplicación Evidentemente, el ciclo de vida empieza cuando el administrador despliega la primera versión de la aplicación. Los usuarios reciben la aplicación y la utilizan. 2. Aplicación en V2.0: se dispone de una nueva versión y se procede a evaluarla previamente A consecuencia de las demandas de un servicio o de un departamento de la empresa, se plantea responder a las nuevas necesidades con una nueva versión de la aplicación. Ésta puede ser una nueva versión de la misma aplicación o bien una aplicación procedente de otro proveedor. El concepto es el mismo, la tecnología nos permitirá realizar una actualización técnica de la versión 1.0 a la versión 2.0, o bien una actualización competitiva. En este último caso se eliminará la primera aplicación, que será sustituida por la nueva. Antes de desplegar la nueva aplicación será preciso llevar a cabo una fase de pruebas con el fin de validar el funcionamiento correcto del programa. Esta fase de pruebas debe ser lo más realista posible. Para ello, despliegue la nueva aplicación a un número reducido de usuarios representativos y confirme que la aplicación es plenamente funcional tanto técnica como funcionalmente. La fase de validación, llamada a menudo “fase piloto”, debe ser lo más realista posible. Sería aconsejable que participaran en ella los usuarios más exigentes. De esta forma el piloto será más útil y eficaz, los problemas se detectarán y se solucionarán antes sin necesidad de que perjudiquen a la mayoría de usuarios.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Tampoco olvide introducir puntos de control como pueden ser la compatibilidad de la nueva versión de la aplicación con la versión precedente que se seguirá usando en la empresa, y con las demás aplicaciones. 3. Aplicación en V2.0: administrar la transición La mejor solución es, por supuesto, hacer una migración total lo más rápidamente posible. De esta forma, todos los usuarios usarán la misma versión con las mismas ventajas y también con los mismos límites o restricciones. Por desgracia, es poco probable que tal operación pueda realizarse en una red de gran tamaño (excepto, quizá, en el caso de un nuevo despliegue general de los equipos) en un corto periodo de tiempo. El método más común es que los usuarios se actualicen progresivamente a la versión posterior. Se podrá optar, por ejemplo, por no migrar los servicios especialmente sobrecargados. De esta forma, los usuarios continuarán trabajando normalmente con la aplicación V1.0 y dispondrán de un periodo más tranquilo para migrar a la nueva versión más adelante. Pero la tecnología no es la panacea. Resulta primordial preservar la productividad y la comodidad de los usuarios, sobre todo si se encuentran en periodos de sobrecarga. Un pequeño problema cuando la situación es tensa acaba convirtiéndose siempre en un gran problema.
4. Estado de la aplicación V1.0 Una vez que se ha decidido a migrar a la nueva aplicación, los administradores deben considerar también lo que ocurrirá con la versión antigua. La figura precedente muestra varias alternativas: ●
●
los usuarios serán obligados a actualizarse a la nueva versión de la aplicación. Se trata sin duda de la solución más deseable ya que sólo se dará soporte a una versión. se permite que la versión 1.0 no se actualice a la versión posterior. En ese caso, está claro que dicho “permiso” no debe causar problemas de incompatibilidad. Generalmente, cuando se le ofrece a un usuario esa posibilidad, se acuerda no dar soporte a la aplicación antigua. Por lo tanto, y a pesar de todo, es recomendable llevar a cabo la actualización al menos a medio plazo. No se permite que los nuevos usuarios se acojan a esta posibilidad, ellos, por definición, deberán usar la versión más moderna de la aplicación.
5. Aplicación en V2.0: fase de despliegue A medida que el despliegue progresa nos acercamos al objetivo y los usuarios disponen, poco a poco, de la aplicación que necesitan. Las aplicaciones desplegadas con los servicios de administración y mantenimiento del software afectan a los ordenadores o a los usuarios, en función de las opciones definidas por el administrador, y se benefician de la tecnología Windows Installer (instalación automática, reparación de componentes y eliminación propia). 6. Aplicación V1.0: operación de eliminación La última etapa es la relativa a la eliminación de la antigua aplicación. La última recomendación se refiere a la recuperación o realización de operaciones que precisan de la versión 1.0. Puede y debe conservar los archivos y procedimientos de instalación. También puede conservar un clon de la configuración de tipo (Image Ghost o configuración de tipo Microsoft Virtual PC 2004) para facilitar el acceso a la misma en cualquier momento. 7. Actualizaciones de Services Packs y Fixes Además de las actualizaciones principales del software, el ciclo de vida del software debe tener en cuenta también las operaciones de actualización de componentes y otros Services Packs. En términos absolutos se trata de actualizaciones un tanto especiales, ya que la versión del producto no varía, si exceptuamos el nivel de SP, o sólo cambian algunos componentes. Archivos MSI (Microsoft Installer) y MSP (Microsoft Patchs) Si bien es posible desplegar los Services Packs de Windows (como el SP2 o el SP3 de Windows XP Professional) y las actualizaciones de aplicaciones como los productos de Microsoft Office, la tecnología de administración y mantenimiento del software no es la más flexible para llevar a cabo esta tarea. Aplicar los patchs y las actualizaciones críticas requiere mecanismos de urgencia así como la posibilidad de gestionar al detalle la aplicación de los patchs “no implementados” en el planteamiento IntelliMirror. Por este motivo desde las primeras versiones de SMS (Systems Management Server 2003), se ha dado soporte a la aplicación de los patchs. En la actualidad, System Center Configuration Manager 2007 (antiguo SMS 2003), System Center Essentials 2007 (para las empresas con hasta treinta servidores y quinientos clientes) y WSUS 3.0 son las soluciones más adecuadas para esas operaciones.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Despliegue de software 1. Las diferentes etapas Los administradores responsables del despliegue de las aplicaciones deberán gestionar varias etapas, independientes entre sí, pero todas necesarias para llevar a cabo el despliegue de una nueva aplicación en la red de la empresa. Para desplegar una nueva aplicación, los administradores deberán realizar las tareas siguientes preparatorias: ●
fase de preparación del software,
●
fase de distribución del software,
●
fase de despliegue real del software,
●
proceso de instalación de la aplicación durante el periodo de despliegue de la misma.
a. Disponer de un paquete MSI Fase de preparación del despliegue La fase de preparación requiere que se disponga de un software compatible con los archivos de instalación MSI necesarios para el servicio Windows Installer. Windows Installer es un servicio instalado de serie en los sistemas operativos Windows 2000, Windows XP Professional, Windows Vista y los sistemas de las familias Windows Server 2003 y Windows Server 2008. Más adelante hablaremos de las diferentes versiones de Windows Installer y descubriremos que también es posible implementar el servicio Windows Installer (en una versión funcional limitada en ordenadores con Windows NT4.0). Una vez que disponga de un paquete en formato MSI compatible con la plataforma de destino, puede plantearse utilizar un objeto de directiva de grupo existente o bien crear un nuevo objeto de directiva de grupo para desplegar el programa. Deberá considerar también la estructura S,D,OU existente e identificar los posibles riesgos vinculados a ella. Quizá sea necesario crear una nueva unidad organizativa para “apuntar” mejor a ciertos equipos o usuarios del directorio Active Directory. Coloque los archivos necesarios para la instalación en una carpeta compartida de un servidor cercano a los equipos en los que se realizará el despliegue. Si no dispone de un archivo MSI suministrado por el editor del programa, cree uno con la herramienta de reempaquetado WinINSTALL LE suministrada con Windows 2000 Server o Windows Server 2003 o con otro programa adecuado. Las operaciones de reempaquetado son a veces tediosas porque son complejas. La instalación de servicios, componentes, de actualizaciones pueden complicar el proceso de creación y desarrollo del paquete MSI. Para simplificar estas tareas, se recomienda adquirir un producto profesional como Wise Package Studio o InstallShield 2008. Para obtener más información o descargar la versión de evaluación de alguno de estos productos, visite las siguientes páginas web: http://www.wisesolutions.com/ y http://www.macrovision.com/
b. Desplegar el software: Distribución y selección de objetivos Fase de distribución La fase de distribución del software no debe confundirse con la fase de instalación propiamente dicha. Esta observación es especialmente cierta en lo que respecta a productos de administración de aplicaciones como SMS, SCCM 2007 Tivoli u otras, que pretenden instalar aplicaciones. Estos productos suelen ser muy eficaces para distribuir archivos (es decir, para copiar) en múltiples sitios, pero disponen de funcionalidades limitadas para llevar a cabo la automatización de la instalación de los programas de sistemas. Microsoft SMS mostró el camino con el antepasado de Windows Installer (SMS Installer) que permitía “reempaquetar” los antiguos programas de instalación manuales en paquetes automatizados, sin ofrecer por ello funcionalidades más avanzadas que las actualmente disponibles con Windows Installer 3.0 y 3.1, incluido en Windows XP Service Pack 2. Por lo tanto, es el propio sistema el que instala y hace el trabajo y no cualquier módulo externo. Esto explica el carácter extremadamente dinámico de la instalación de programas en las estaciones de trabajo Windows 2000 y posteriores. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Para más información de las diferentes versiones de Windows Installer en las diferentes versiones de Windows, consulte la sección "Las diferentes versiones de Windows Installer" más adelante en este mismo capítulo. La fase de distribución es pues importante, ya que consiste en poner a disposición de los equipos y usuarios los archivos necesarios para el buen desarrollo de la instalación y las funciones de reparación cuando ello se revela necesario. Recomendación: establezca una raíz DFS integrada en Active Directory. La tecnología Windows Installer permite reparar programas ocultando localmente el archivo MSI de cada aplicación (directorio %Systemroot%\ y recordando la ubicación origen de los archivos. Por consiguiente, para aprovechar plenamente las funcionalidades de reparación automática, es obligatorio disponer de un origen de red “fiable” como la que ofrecen las raíces DFS integradas en Active Directory. También puede apoyarse en servicios de distribución muy eficaces, como pueden ser los incluidos en SMS 2003 y controlar al detalle el enrutamiento de las replicaciones, la planificación horaria y el respeto de ciertos mínimos de ancho de banda disponible en la red. A título informativo, Microsoft Office 2003 propone que se conserven en caché, dentro del directorio \Msocache, todos los archivos “útiles” para una reparación urgente de la aplicación cuando el ordenador está desconectado de la red. Microsoft Systems Management Server propone también esta nueva opción mediante la caché de las aplicaciones. Así, SMS 2003 permite hacer que una aplicación estratégica particular se oculte localmente para reparar las aplicaciones cuando, por ejemplo, se produce un problema y el usuario trabaja en un sitio no conectado a la red de la empresa. La siguiente figura muestra la ubicación y los diferentes tipos de archivos contenidos en el directorio %Systemroot% \Installer.
Almacenamiento de los archivos para la reparación de aplicaciones Observe que para visualizar este directorio debe desactivar la opción de visualización Ocultar archivos protegidos del sistema operativo. Además de los archivos MSI de cada aplicación, encontrará también los archivos MST (Microsoft Transforms files) y los archivos que contienen patchs, es decir, archivos MSP. Constatará también la presencia de un directorio con el nombre GUID de la aplicación. Para cada aplicación están disponibles algunos archivos de configuración del entorno de la aplicación, pero nunca los archivos con los programas y otros componentes necesarios para el buen funcionamiento de la aplicación. Como ya hemos precisado, es necesario disponer de un servidor de distribución con todos los archivos de instalación. Por definición, el archivo compartido de red utilizable en el ámbito de la administración y el mantenimiento de las aplicaciones deberá contener los siguientes elementos: ●
todos los archivos de distribución de la aplicación,
●
todos los archivos de transformación usados para próximos despliegues,
●
los services packs y otros correctivos que desee desplegar al mismo tiempo que la instalación.
En el caso de productos que disponen de una clave de instalación, debe disponer de una distribución adecuada como las distribuciones de tipo Microsoft Select de claves de producto de tipo VLK (Volume License Key). En este caso, proceda a una instalación administrativa del producto.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Fase de definición del objetivo en función del ámbito de administración (SOM Scope Of Management) Sitio, Dominio y Unidades organizativas La fase de definición del objetivo sirve para determinar, en función de unas necesidades específicas, qué programas deben ponerse a disposición de los usuarios y cuáles son los usuarios que pueden disponer de ellos. Las funcionalidades de Administración y Mantenimiento del software se apoyan al 100% en las directivas de grupo y los servicios de directorio Active Directory. Los conceptos que hemos aprendido sobre los principios fundamentales de las directivas de grupo se aplican íntegramente al nodo “Instalación de software (usuarios) y (equipos)” que es una extensión natural de las funciones de las directivas de grupo. Así, las funciones de despliegue de los programas podrán apoyarse en un ámbito de administración (Scope Of Management) de tipo Sitios, Dominio y Unidad es organizativas. Como es habitual, deberá proceder de la siguiente manera: ●
●
crear o modificar un objeto de directiva de grupo cuidando de darle un nombre basado en una política de denominación adecuada, definir un posible filtrado de seguridad basado en los permisos Lectura y Aplicar la directiva de grupo para seleccionar equipos y usuarios específicos,
●
vincular el objeto de directiva de grupo a uno o varios contenedores Active Directory S,D,OU, apropiados,
●
asociar un eventual filtro WMI para filtrar la aplicación de la directiva de grupo.
●
en caso de que la directiva de grupo esté desactivada por defecto, activar el vínculo de la directiva de grupo. Esta operación podrá realizarse manualmente o a través de un script. Esta última opción resultará interesante para escoger el mejor momento de poner la aplicación a disposición de los usuarios.
Finalmente, el programa se instalará al iniciar el equipo o bien cuando el usuario inicie la aplicación. A propósito de la denominación de objetos de directiva de grupo y la activación predeterminada Es posible definir dos parámetros, interesantes para simplificar algunas tareas de administración de las directivas de grupo, sobre todo referentes a la administración y mantenimiento del software. ●
Crear nuevos de objetos de directiva de grupo deshabilitados por defecto: crea los nuevos vínculos con objetos de directiva de grupo desactivados por defecto. Cuando haya configurado y probado los nuevos vínculos a los objetos usando el componente Sitios y servicios Active Directory, puede activar los vínculos a los objetos para que estén operativos.
Se recomienda usar este parámetro para evitar efectos “nefastos” provocados por errores de enlace en los posibles destinos del ámbito de administración S,D,OU.
●
Nombre predeterminado de los objetos de directiva de grupo: permite especificar el nombre predeterminado de los nuevos objetos de directiva de grupo creados a partir de herramientas como la consola de administración MMC Directiva de grupo en las herramientas Active Directory y el navegador de objetos de directiva de grupo. El nombre completo puede contener variables de entorno e incluir hasta 255 caracteres como máximo.
Este parámetro resulta útil para ayudar a respetar un esquema de denominación estándar para los objetos de directiva de grupo definidos en el directorio Active Directory. En efecto, es posible que existan centenas e incluso miles de directivas de grupo para definir el conjunto de parámetros específicos de los equipos y usuarios de la empresa.
c. Asegurar el mantenimiento del software Podrá actualizar programas con nuevas versiones, desplegar de nuevo aplicaciones equipadas de nuevos Service Pack o proceder a una actualización importante del software. Gracias a esta operación, y en función de las opciones iniciales, la aplicación se actualizará o desplegará de nuevo automáticamente al iniciar el ordenador o cuando el usuario inicie la aplicación.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
d. Eliminar el software Puede eliminar las aplicaciones cuyo ciclo de vida ha llegado a su término. Para ello elimine la declaración del programa o programas en el objeto de directiva de grupo. Gracias a esta operación, y en función de las opciones iniciales, la aplicación se eliminará automáticamente al iniciar el ordenador o cuando el usuario inicie una sesión.
2. Tecnología Windows Installer y tipos de paquetes a. Programas con formato Microsoft Windows Installer Windows Server 2003 usa Windows Installer para que la directiva de grupo despliegue y administre los programas. Este componente automatiza la instalación y eliminación de aplicaciones aplicando un conjunto de reglas de configuración definidas de forma centralizada durante el proceso de instalación. Windows Installer contiene dos componentes: ●
●
El servicio Windows Installer: servicio para el cliente que automatiza íntegramente el proceso de instalación y configuración del software. El servicio Windows Installer puede también modificar o reparar una aplicación instalada existente. Instala las aplicaciones directamente a partir del CDRom o mediante la directiva de grupo. Para instalar aplicaciones, el servicio Windows Installer precisa de un paquete Windows Installer. El paquete Windows Installer: archivo de paquete que contiene toda la información que el servicio Windows Installer necesita para instalar o desinstalar programas: ●
un archivo Windows Installer con una extensión .msi,
●
cualquier fichero fuente externo requerido para instalar o desinstalar el programa,
●
un resumen de la información estándar relativa al programa y al paquete,
●
los archivos del producto o una referencia a un punto de instalación donde éstos se encuentran.
Las ventajas de usar la tecnología Windows Installer son las siguientes: ●
●
●
Instalaciones personalizadas: hay funcionalidades opcionales de las aplicaciones, como pueden ser las imágenes clipart o tesauros, que pueden estar visibles sin que la función esté instalada. Si bien es posible acceder a los comandos de menú, la función no se instala hasta que el usuario accede al comando en el menú. Este método de instalación contribuye a reducir la complejidad de la aplicación y la cantidad de espacio ocupado en el disco duro. Aplicaciones tolerantes a fallos: si se elimina o daña un archivo crítico, la aplicación recupera automáticamente una nueva copia del archivo a partir de la fuente de instalación sin que el usuario tenga que intervenir. Eliminación propia: Windows Installer desinstala las aplicaciones sin dejar archivos huérfanos ni dañar otras aplicaciones por descuido cuando, por ejemplo, el usuario elimina un archivo compartido que otra aplicación necesita para funcionar. Además, Windows Installer elimina todos los parámetros de registro vinculados a la aplicación y almacena en una base de datos las transacciones de instalación y los archivos de registro derivados. Cuando no es viable usar un programa de reacondicionamiento para reacondicionar las aplicaciones o bien cuando un archivo del paquete Windows Installer no está disponible, use los archivos .zap (paquetes diferentes de Windows Installer) para publicar las aplicaciones.
Las diferentes versiones de Windows Installer En la medida en que la tecnología Windows Installer está disponible en diferentes plataformas de los sistemas es preciso disponer de una versión adecuada a cada uno de ellos. A continuación ofrecemos una lista de las diferentes versiones: Windows Installer 1.0: primera versión incluida con Office 2000.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Windows Installer 1.1: versión incluida dentro de la familia de sistemas operativos Windows 2000. Windows Installer versión 2.0: versión incluida en Windows XP Professional y soportada por los sistemas Windows XP, Windows 2000, Windows NT 4.0 SP6 y Windows Me. Windows Installer versión 3.0: versión incluida en Windows XP Professional SP2. El motor Windows Installer 3.0 es compatible con los sistemas que funcionan con Windows 2000 Service Pack 3, Windows 2000 Service Pack 4, Windows Server 2003, Windows XP y Windows XP Service Pack 1. Esta nueva versión principal puede descargarse de la Web de Microsoft en la siguiente dirección: http://www.microsoft.com/downloads/details.aspx?familyid=5FBC5470B2594733A914 A956122E08E8&displaylang=es Para obtener más información sobre las novedades de Windows Installer versión 3.0, puede consultar la página de Microsoft en la siguiente dirección: http://msdn.microsoft.com/library/default.asp?url = /library/en us/msi/setup/what_s_new_in_windows_installer_version_3_0.asp La tecnología dispone de una compatibilidad ascendente total. Así, un paquete creado por la versión 1.1 (Windows 2000) funciona sin ningún problema en Windows XP. Windows Installer 3.1: versión que necesita Windows Server 2003, Windows XP o Windows 2000 SP3. Windows Installer 4.0: versión que necesita Windows Vista o Windows Server 2008. No hay versiones instalables para poder instalar Windows Installer 4.0 en otras versiones de Windows. Una versión actualizada de Windows Installer 4.0, que no tendrá ninguna nueva funcionalidad, se adaptará y se pondrá a disposición para Windows Vista SP1 y Windows Server 2008. Windows Installer 4.5: versión que estará disponible como versión instalable para Windows Server 2008, Windows Vista, Windows XP SP1 y posteriores, así como para Windows Server 2003 SP1 y posteriores. El desarrollador del paquete puede decidir que el paquete MSI en cuestión funcione sólo en máquinas Windows XP SP2 o SP1 y no con Windows 2000 Professional. Si aparece un mensaje que le informa de un problema de este tipo, esto no quiere decir que haya un programa de incompatibilidad de Windows Installer, sino que el desarrollador del paquete ha optado por que así sea.
b. Aplicaciones reempaquetadas en formato MSI Si no dispone de programas con archivos MSI y desea usar la tecnología de instalación y administración de software, tiene la posibilidad de crear usted mismo el archivo MSI necesario e indispensable. En el momento en que “transforme” una aplicación que se instala con programas de instalación específicos, en una aplicación que utiliza la tecnología Windows Installer, podrá desplegar, mantener o eliminar la aplicación usando la tecnología de administración y mantenimiento de los programas con ayuda de las directivas de grupo y los servicios de directorio Active Directory. Los paquetes MSI disponen de funcionalidades avanzadas como pueden ser la reparación automática de los componentes y la instalación de funciones según demanda. Como las aplicaciones reempaquetadas en MSI no han sido “inteligentemente” concebidas para dar soporte a las nociones de “features/components/resources”, éstas se instalarán o repararán íntegramente, y no en función de las opciones de funcionalidades a petición. Microsoft suministra con el CDRom de Windows 2000 Server y Windows Server 2003, la versión “light” de la herramienta de reempaquetamiento desarrollada por Microsoft y Seagate Software. Dicha herramienta, conocida como WinINSTALL LE (LE de Limited Edition) permite llevar a cabo operaciones fundamentales de forma muy sencilla y, por tanto, muy rápida. Observe sin embargo que sólo se trata de una herramienta básica para llevar a cabo “reconstrucciones simples de aplicaciones simples”. Para disponer de una herramienta con todas las opciones de construcción de archivos Windows Installer, deberá adquirir un producto profesional. La página Installsite.org encontrará una comparativa funcional de algunos productos profesionales. Los productos que no usan la tecnología de instalación Windows Installer no pueden obtener la conformidad “Windows 2000 Compatible, Windows XP Compatible” Certified for Windows Vista o Works with Windows Vista visible gracias al logo “Designed for Windows”.
Más adelante trataremos la creación de archivos MIS con ayuda de WinINSTALL LE para reempaquetar aplicaciones.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
c. Archivos .Zap Es el último tipo de archivos soportados capaces de usar la tecnología de instalación y mantenimiento del software. En caso de no existir ninguna otra solución para disponer de un archivo MSI es posible crear archivos .zap con las instrucciones necesarias para la publicación correcta del programa. Sin embargo, esta solución debe considerarse como un último recurso ya que, en estos casos, no serán instalaciones efectuadas por el servicio del sistema a través de Windows Installer, sino llevadas a cabo por el shell en el contexto del usuario. Este último deberá disponer pues del derecho de administrador sobre la máquina local para que el programa pueda instalarse finalmente. El archivo Zap se puede crear con un procesador de texto como el Bloc de notas. El archivo se compone de dos secciones: ●
la sección dedicada a la aplicación [Application],
●
la sección dedicada a las extensiones de los archivos de la aplicación [Ext].
Configuración de la sección [Application] Esta sección contiene información relativa a la manera de instalar la aplicación e información que se presentará a los usuarios dentro del apartado del panel de configuración Agregar/Eliminar programas. El archivo Zap deberá contener también el nombre de la aplicación, llamado FriendlyName, y los parámetros de instalación gracias al parámetro SetupCommand. La siguiente tabla ofrece una descripción de dichos parámetros: FriendlyName Da una descripción de la aplicación. Por ejemplo, para la aplicación Microsoft Office 98, declare “Microsoft Office 98". SetupCommand Contiene la ruta relativa a partir del punto de acceso al archivo. Si el archivo de comando que debe ejecutarse está situado en el mismo directorio que el propio archivo Zap, especifique sólo el nombre del comando acompañado de sus eventuales parámetros. DisplayVersion Especifica el número de versión de la aplicación. Publisher Especifica el editor de la aplicación. URL Especifica la ubicación de una URL que permita obtener información sobre la aplicación. Configuración de la sección [Ext] Esta sección no es obligatoria, pero, en caso necesario, permite publicar en Active Directory la naturaleza de las extensiones de los archivos gestionados por la aplicación. Para declarar las extensiones de los archivos compatibles con la aplicación declare la sección [Ext] y agregue las diferentes extensiones tal y como se especifica en el ejemplo de abajo. [Ext] XLS= XLC= La siguiente pantalla muestra un ejemplo de archivo Zap para desplegar el visor Microsoft Powerpoint 97 como aplicación publicada.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Los dos parámetros indispensables dentro de un archivo ZAP Una vez conectado, el usuario puede recorrer el almacén de aplicaciones administrado por Active Directory gracias a los diferentes despliegues que haya realizado.
Acceso de los usuarios a las aplicaciones publicadas con un archivo ZAP En nuestro ejemplo, para utilizar la aplicación, el usuario podrá hacer doble clic en un archivo o bien iniciar la instalación automáticamente. Para lograrlo, bastará con ir a Panel de control/Agregar/Eliminar programas/Agregar nuevos programas. Una vez se visualice la lista de programas publicados, bastará con hacer clic en el botón Agregar.
d. Observaciones generales sobre los diferentes tipos de formatos de instalación Los siguientes puntos permitirán comprender bien las diferencias de fondo relativas a los diferentes métodos de instalación: ●
●
●
●
●
Cuando los programas se despliegan con un archivo MSI, que es lo propio en toda aplicación “Compatible Windows 2000, Windows XP Professional o Windows Vista”, están disponibles todas las funcionalidades ofrecidas por el motor de instalación Windows Installer, es decir, las funciones de instalación según petición, reparación automática y eliminación limpia y total del programa. Las instalaciones realizadas con el servicio Windows Installer utilizan la cuenta del sistema local y disfrutan por lo tanto de todos los privilegios necesarios para instalar el programa en el ordenador local. Los accesos de red que el servicio Windows Installer usa para acceder a los archivos fuente de la aplicación utilizan una autenticación de red que usa el contexto del ordenador tanto si se trata de una instalación relativa al equipo, como si se trata de una instalación relativa al usuario. No puede tratarse de la cuenta del sistema ya que dicha cuenta debe disfrutar de los privilegios de acceso válidos a través de la red. Los archivos Zap no ofrecen ninguna de las funcionalidades del servicio Windows Installer. Sólo permiten ejecutar el programa de instalación original de la aplicación. Una aplicación desplegada con ayuda de una directiva de grupo y un archivo Zap sólo se publicará en el panel de control en la categoría Agregar/Eliminar programas. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Configuración del despliegue del software 1. Creación de un nuevo despliegue de aplicaciones a. Creación o modificación de una directiva de grupo Una vez que disponga de un programa que puede desplegarse con directivas de grupo, el procedimiento consiste en ponerlo a disposición de los usuarios en uno o varios puntos de distribución. Puede usar uno o varios archivos compartidos de red o una raíz DFS con tolerancia a fallos integrada en Active Directory para ofrecer un acceso general y altamente disponible. Una raíz DFS de dominio permite tener en cuenta la infraestructura de sitios Active Directory. Puede realizar, por ejemplo, las operaciones siguientes: ●
●
●
●
crear una raíz DFS de dominio cuya raíz dispondrá de réplicas situadas en varios controladores de dominio ubicados en varios sitios, crear uno o varios vínculos dentro de la estructura DFS, crear destinos adicionales para cada uno de los vínculos con el fin de apuntar a servidores disponibles en cada uno de los sitios, replicar manualmente los datos en los diferentes vínculos de cada uno de los sitios.
La siguiente figura muestra la opción que permite agregar muchos destinos a un vínculo determinado en el ámbito de una raíz DFS. A modo de información diremos que, en comparación con sus predecesores de Windows 2000, los servidores DFS Windows Server 2003 y también Windows Server 2008 ofrecen la posibilidad de albergar varias raíces DFS por servidor así como una localización de los destinos en función de los costes de replicación de la topología física de Active Directory. El número de destinos adicionales por vínculo DFS puede alcanzar los 32. Para soportar múltiples raíces DFS con Windows Server 2003 deberá usar Windows Server 2003 Edition Entreprise. La versión Standard sólo soporta una raíz DFS por servidor DFS. Este punto sigue siendo válido en Windows Server 2008.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Utilización de la consola de administración MMC para administrar los destinos DFS Una vez preparados y alimentados los puntos de distribución, es posible declarar el programa dentro de una directiva de grupo procediendo tal y como se especifica a continuación: ■
Seleccione el nodo Configuración del equipo o Configuración de usuario.
■
Declare el nuevo programa especificando la ruta de acceso al archivo MSI.
La ventana de selección propondrá exclusivamente dos tipos de archivos: ●
para despliegues de aplicaciones a equipos sólo podrá seleccionar archivos de tipo MSI,
●
para despliegues de aplicaciones a usuarios podrá seleccionar archivos de tipo MSI o de tipo Zap.
La siguiente figura muestra este último caso. La razón por la cual se produce este fenómeno es que los archivos Zap sólo afectan a las aplicaciones que se instalan en el contexto del usuario y no a través del servicio Windows Installer. Tales aplicaciones sólo pueden aparecer en el Panel de Control en Agregar/Eliminar programas como aplicaciones publicadas.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Selección de archivos Zap para las aplicaciones publicadas a los usuarios
■
Por último, seleccione el método de despliegue adecuado.
Las aplicaciones pueden publicarse o asignarse. Pero es posible optar por el modo avanzado, que permite configurar los detalles de despliegue.
Selección del tipo de despliegue
b. Configuración de las opciones de despliegue Las directivas de grupo pueden contener múltiples aplicaciones. Cada aplicación dispondrá de sus propios parámetros de despliegue en los que se especifica la manera en que se instalará, actualizará o eliminará la aplicación. Los parámetros pueden declararse al declarar el programa dentro de la directiva de grupo o bien más tarde, editando la directiva. Como muestra la figura anterior existen dos modos de despliegue. Asignación de aplicaciones Cuando asigna aplicaciones a usuarios o a ordenadores, éstas se instalan automáticamente en el equipo al iniciar la sesión, en el caso de aplicaciones asignadas a los usuarios, o bien al iniciar el equipo en el de aplicaciones asignadas a los equipos. Cuando asigna una aplicación a un usuario el comportamiento predeterminado establece que ésta se anuncie en el equipo la siguiente vez que el usuario inicia una sesión. Esto quiere decir que el acceso directo de la aplicación aparece en el menú Inicio y que el registro se actualiza con la información relativa a la aplicación, en especial la ubicación de paquetes de las aplicaciones y la de los archivos fuente de la instalación. Una vez publicada esta información en el equipo del usuario, la aplicación se instala la primera vez que el usuario intenta utilizarla, es decir, en el último momento.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Además de ese comportamiento predeterminado, los clientes Windows XP Professional y Windows Server 2003 incluyen una opción que permite instalar por completo el paquete al iniciar la sesión en lugar de hacerlo en el momento de la primera utilización.
Observe que en caso de que esta opción estuviera definida sería ignorada por los ordenadores que ejecutan Windows 2000, los cuales continuarán instalando las aplicaciones asignadas a un usuario en el momento de la primera utilización. Al asignar una aplicación a un ordenador, ésta se instala la siguiente vez que se inicia el ordenador. Las aplicaciones asignadas a ordenadores no se anuncian sino que se instalan con las funcionalidades predeterminadas configuradas para el paquete. La asignación de aplicaciones mediante directivas de grupo requiere el uso exclusivo de archivos MSI. Los archivos Zap sólo pueden usarse como último recurso para despliegues de tipo usuario y no de tipo equipo. Publicación de aplicaciones También puede publicar aplicaciones para los usuarios que, de esta forma, podrán instalarlas. Para instalar una aplicación publicada, los usuarios pueden utilizar Agregar o quitar programas en el Panel de control. Éste muestra una lista de las aplicaciones publicadas accesibles para el usuario o usuarios en cuestión. Si el administrador ha seleccionado la función Instalar automáticamente este programa activando la extensión de archivo, los usuarios también podrán abrir un archivo documento asociado a la aplicación publicada. Por ejemplo, si un usuario abre un archivo Zip, y el programa no está instalado, se activará la instalación de la aplicación asociada a la extensión. Observe que el modo Publicar programas sólo se aplica a directivas de usuario. Puede no publicar aplicaciones para un equipo concreto.
La figura anterior muestra las diferentes opciones de despliegue disponibles. Observe que las aplicaciones asignadas se instalan automáticamente a través de la extensión de la aplicación. Del mismo modo, una aplicación asignada a un usuario es, por defecto, automáticamente publicada en el panel de control, en la categoría Agregar/Quitar programas. La opción No mostrar este paquete en Agregar o quitar programas en el Panel de control permitirá “ocultar” esta publicación “natural”. Parámetros del nodo “Instalación de software”
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Esta ventana le permitirá declarar las opciones predeterminadas de todos los nuevos paquetes declarados en una directiva de grupo. Resulta práctica en la medida en que permite declarar los valores en función de sus preferencias.
La pestaña Opciones avanzadas permite administrar algunos comportamientos especiales como la compatibilidad de las aplicaciones de 32 bits en ordenadores Windows x64.
c. Asociación de las extensiones de archivos Es posible controlar qué aplicaciones se asocian a cada extensión. Por ejemplo, la aplicación Winzip, pero también la aplicación Winrar pueden desplegarse para el mismo grupo de equipo o de usuarios. En lo que se refiere al despliegue de esas aplicaciones a equipos, no hay ningún problema, ya que ambas se instalarán una después de otra al iniciar el ordenador. Por el contrario, ¿qué ocurre con el despliegue a los usuarios? De hecho, el problema radica en la selección de la aplicación que se desea instalar. En efecto, ¿qué aplicación debemos instalar al abrir un archivo Zip si sabemos que ambas aplicaciones gestionan este tipo de archivos? Puede declarar el orden preferido de instalación de la aplicación en caso de que un usuario invoque la extensión conflictiva accediendo a las propiedades del nodo Instalación de software. Los botones Subir y Bajar permiten gestionar la prioridad de instalación de la aplicación con respecto a las demás. En nuestro primer ejemplo, si la aplicación preferida para los archivos Zip es WinZip, se instalará automáticamente la aplicación Winzip. No obstante, el usuario podrá activar también la instalación del programa que elija pasando por la opción del Panel de control Agregar/Quitar programas, o bien haciendo clic directamente en el icono del programa anunciando en el escritorio o en el menú Inicio.
d. Creación de categorías de las aplicaciones públicas © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Publicar muchas aplicaciones requiere de un cierto grado de organización. Puede organizar todas las aplicaciones publicadas en múltiples categorías para facilitar su selección a los usuarios de la red Active Directory. La creación de las categorías puede plantearse en función de los criterios especificados a continuación: ●
●
●
La naturaleza del software: este modelo de organización es muy práctico cuando la empresa dispone de múltiples aplicaciones de un mismo tipo. Puede, por ejemplo, reagrupar todas las aplicaciones de oficina en la categoría Aplicaciones de oficina y todas la aplicaciones financieras en la categoría Aplicaciones financieras. El modelo organizativo: también puede reagrupar las aplicaciones en función de los diferentes servicios. Por ejemplo, todas las aplicaciones necesarias para los usuarios del servicio “Contabilidad” podrían agruparse en una categoría llamada “Aplicaciones Contables”. Los tipos de actividades de los usuarios de la empresa: también puede reagrupar las aplicaciones en función de las funciones desempeñadas en la empresa. Por ejemplo, todas las aplicaciones necesarias para la actividad de los directores podrían agruparse en una categoría llamada “Aplicaciones de los directores”.
Creación de categorías de programas Una vez creadas las categorías en función de los criterios que se juzguen oportunos asocie cada aplicación desplegada en la categoría correcta.
Asignación de una aplicación a una o más categorías
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Mantenimiento de los programas desplegados 1. Actualización de las aplicaciones Una aplicación desplegada con la tecnología de Administración y mantenimiento del software puede ser objeto de actualizaciones opcionales u obligatorias. Las actualizaciones opcionales permiten que los usuarios escojan si desean o no proceder a la actualización de dicha aplicación. Por el contrario, las actualizaciones obligatorias actualizan automáticamente las aplicaciones. En las actualizaciones opcionales el usuario tiene siempre la posibilidad de instalar la nueva versión pasando por la opción del Panel de control Agregar/Quitar programas.
Si la aplicación se actualiza obligatoriamente, la nueva versión se instalará de forma automática durante la siguiente ejecución.
Cuando se actualiza una aplicación reempaquetada, el proceso de actualización no es realmente tal, ya que, en primer lugar, se elimina la aplicación desplegada precedentemente y después se instala la nueva. El inconveniente de este método, además de los efectos que tiene en términos de tráfico en la red será la pérdida de todos los parámetros y preferencias del usuario. Este fenómeno no se producirá en las actualizaciones de productos pertenecientes a la misma familia. En esos casos, el código de actualización se incluye en el propio archivo MSI de manera que se tiene en cuenta el estado inicial antes de la actualización. Para crear un programa que desempeñe la función de actualización, proceda de la siguiente manera: ■
■
Cree una nueva directiva de grupo o agregue el nuevo programa con la función de actualización a una directiva ya existente. En la pestaña Actualizaciones, declare el paquete o paquetes que serán actualizados por la directiva que acaba de declarar.
El paquete MS PowerPoint Viewer es la actualización de Ms PowerPoint Viewer más antiguo
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Si el usuario lo desea, la aplicación MSPowerPoint Viewer 2003 reemplazará MS PowerPoint Viewer 97 Las dos pantallas anteriores muestran que la aplicación MSPowerPoint Viewer 2003 reemplazará, de manera opcional, la versión MSPowerPoint Viewer. Observe que la consola de administración es capaz de determinar automáticamente cuándo dos aplicaciones son capaces de realizar una verdadera actualización. El paquete que se debe actualizar se selecciona desde una directiva de grupo diferente a la que contiene la actualización. Esto significa que cualquier programa de cualquier directiva puede contemplarse como una aplicación susceptible de ser actualizada. En otras palabras, aunque no sea obligatorio, los programas sólo deberían declararse una vez.
2. Despliegue de los Services Packs y actualizaciones El despliegue de un Service Pack o de una actualización de la aplicación provocará un nuevo despliegue de la aplicación de manera que los equipos y los usuarios que ya dispongan de la aplicación puedan disponer de la nueva versión. Los nuevos equipos o usuarios instalarán directamente la versión más actualizada. La siguiente pantalla muestra que la obligación de prevenir a la infraestructura de que el programa “ha cambiado” es de la incumbencia del usuario. Esta operación se conoce como “Nuevo despliegue de aplicaciones”. Para llevar a cabo una operación de despliegue de un Service Pack o de una actualización del software proceda de la siguiente manera: ■
■
■
- 2-
Obtenga el Service Pack o la actualización suministrados por el editor del sistema o de la aplicación. Coloque los archivos del Service Pack en la misma ubicación que los archivos fuente iniciales. Entre los archivos suministrados deberá disponer al menos de archivos .MSP y de un nuevo archivo MSI. Los archivos con formato MSP son archivos estándar definidos en las especificaciones Windows Installer. Dichos archivos describen las operaciones que deben realizarse como los ficheros a reemplazar y las eventuales modificaciones de parámetros que deben efectuarse en el registro del sistema. Inicie la tarea Volver a implementar la aplicación.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Aparecerá un mensaje en el que se le advierte de la importancia de la operación. En efecto, en función de la importancia de la actualización podemos considerarla casi como una verdadera nueva instalación, salvo que se recuperarán todos los parámetros. Si al descargar un Service Pack, o una actualización, los archivos MSP y MSI no están "a la vista", es probable que el archivo descargado sea un archivo ejecutable autodescomprimible.
Infórmese sobre los eventuales switchs que debe usar para extraer los archivos e integrarlos en el directorio de la aplicación (habitualmente, la extracción se obtiene con el parámetro /X). Este procedimiento podrá documentarse generalmente en la Web del proveedor de la aplicación y le permitirá preparar como es debido a su servidor de distribución en previsión de un próximo “Redespliegue”.
Los Services Packs relativos a los sistemas operativos sólo pueden desplegarse a equipos. Por ejemplo, no es posible desplegar el SP4 de Windows 2000 o el SP2 de Windows XP Professional basándose en un despliegue de tipo usuario.
En el sentido amplio, las actualizaciones de software pueden ser objeto de despliegues de tipo equipo y/o usuario en función del programa.
3. Eliminación del software La eliminación de un programa puede ser forzada. En esos casos, al verificarse la directiva de grupo, el programa se elimina por completo en el momento de iniciar el ordenador en el caso de una directiva de grupo aplicada en el equipo, o al iniciar la sesión, en las directivas aplicadas a usuarios. La siguiente pantalla muestra la sencillez de la operación y también el efecto catastrófico que podría tener en caso de error de manipulación. Observe que, por otro lado, no es posible acceder a esta operación pulsando la tecla [Del].
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Eliminación opcional no de un software Si no desea eliminar la aplicación opte por la segunda opción: Permitir a los usuarios seguir utilizando el software pero impedir nuevas instalaciones que permite que los usuarios conserven la aplicación. Es posible obtener el mismo efecto preservando el programa en la directiva de grupo, pero deshabilitando la directiva de grupo que permitió el despliegue inicial.
Observe el nombre de la directiva de grupo utilizada para la operación de eliminación. En efecto, cuando en una directiva de grupo determinada se declara que debe eliminarse un programa, éste no aparece en la lista de aplicaciones y ya no es posible “visualizar” la operación todavía en curso. A propósito de las operaciones de eliminación: dado que las operaciones de eliminación pueden ser peligrosas, se ha prestado especial atención a la interfaz gráfica de las diferentes herramientas administrativas de Active Directory. A continuación explicamos con brevedad los diferentes puntos: ●
●
caso de la eliminación de una aplicación dentro de una directiva de grupo: la operación no puede realizarse con la tecla [Del]. Deberá usar obligatoriamente el menú Todas las tareas .../Eliminar.... caso de la eliminación de un vínculo de directiva de grupo en la consola de administración MMC de directivas de grupo: la operación puede realizarse con la tecla [Del]. No obstante, los daños causados son limitados ya que siempre es fácil declarar de nuevo el vínculo eliminado por error.
●
- 4-
caso de la eliminación de un objeto de directiva de grupo en la consola de administración MMC de directivas de grupo: la operación puede realizarse con la tecla [Del]. Sin embargo, los daños causados son tan limitados, como en el caso precedente, si se ha efectuado una copia de seguridad de los objetos de directiva de grupo, por ejemplo, con ayuda de una de las secuencias de comandos suministrados con la consola de administración.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Introducción Los servicios de directorio Active Directory y sus diferentes componentes centrales forman el núcleo de los sistemas de información implementados con ayuda de la plataforma Windows Server. Desde su aparición con Windows 2000 Server, los servicios de directorio Active Directory se imponen rápidamente como plataforma central capaz de acoger los servicios de seguridad avanzada y de numerosas aplicaciones que hacen referencia a los mismos. Uno de los puntos más importantes que contribuye a este éxito es la gran compatibilidad del conjunto de protocolos entre las diferentes versiones de controladores de dominio Windows y los sistemas operativos cliente. De hecho, es frecuente tener que operar y soportar infraestructuras compuestas de servidores y controladores de dominio que funcionan con Windows Server 2003, Windows 2000 Server y a veces todavía Windows NT con estaciones de trabajo Windows 2000, Windows XP, Windows Vista e incluso distribuciones Linux. ¡Todo ello con la máxima simplicidad, fiabilidad y seguridad! Este éxito ha permitido a los equipos de desarrollo de Microsoft ampliar de manera significativa los servicios integrados en Active Directory para que estos servicios sean el soporte de una plataforma completa de gestión de identidades y de administración a la estructura de la empresa.
1. Servicios de directorio de Windows 2000 Server y servicios asociados Los servicios fundamentales de los servicios Active Directory fueron introducidos con Windows 2000 Server. Inicialmente, se puso el acento en la adopción de estándares de la industria. En efecto, se eligieron los protocolos LDAP v2 y v3, Kerberos v4 y v5, los servicios DNS modernizados y el servicio horario NTP (Network Time Protocol). Los mecanismos de replicación son potentes y permiten desplegar infraestructuras de dominio que pueden contener algunas centenas de controladores. En este punto, se puso el acento en la administración de los objetos más importantes como los objetos equipos, grupos, usuarios, impresoras y otras carpetas compartidas. Uno de los objetivos principales es permitir, a través de un inicio de sesión único, el acceso a todos los recursos de la empresa. De esta manera, los usuarios pueden localizar fácilmente los recursos necesarios para realizar su trabajo. A su vez, el personal a cargo de la administración dispone de una infraestructura de directorio coherente e intuitiva basada en un modelo organizado y jerárquico de la red y de los elementos que la componen. Desde este punto de vista, lo más remarcable ha sido la tecnología IntelliMirror que se basa en el modelo de administración basado en los sitios, los dominios y las unidades organizativas (modelo S,D,OUs) y las directivas de grupo (objetos GPO). Una versión exitosa de los Servicios de certificados En comparación con su predecesor Windows NT, los servicios de certificados de Windows 2000 Server participan de los servicios de infraestructura Active Directory. Es posible, pues, instalar una autoridad de certificación (CA, Certification Authority), para emitir y administrar certificados digitales. Estos certificados podrán ser utilizados para la autenticación de los usuarios y de los equipos y para el uso de aplicaciones como los accesos a sitios Web seguros con SSL (Secure Socket Layer) o el correo electrónico. Si bien es cierto que las autoridades de certificación que funcionan en Windows 2000 Server no están estrechamente integradas en los servicios de directorio Active Directory, las autoridades de certificación de tipo Raíz de empresa, puesto que están integradas en la configuración de Active Directory, soportan funcionalidades modernas como la inscripción automática de certificados para los equipos y la autenticación Active Directory a través de una tarjeta inteligente (Smart Logon).
2. Servicios de directorio de Windows Server 2003 y servicios asociados Después de un poco más de tres años de buenos y leales servicios y de cuatro services packs, el sucesor de Windows 2000 Server podía y debía hacer su aparición. Windows Server 2003 es un producto que cumple todas las espectativas. El producto es una evolución optimizada de Windows 2000 Server aunque se haya necesitado el trabajo de casi cinco mil desarrolladores. La llegada de Windows Server 2003 es una versión que llega al mercado en el momento justo en sintonía con las preocupaciones de las empresas proyectos de consolidación y de virtualización. Almacén y administrador de permisos y Particiones del directorio de aplicaciones En cuanto a los servicios de directorio, Microsoft continúa su trabajo de ampliación en la plataforma Windows Server 2003. La idea es ampliar los servicios de seguridad de Active Directory para que las aplicaciones puedan realizar llamadas más eficazmente. Para conseguirlo se implementan dos grandes novedades: el administrador de permisos (Authorization Manager) y las particiones del directorio de aplicaciones. El primer componente ofrece un conjunto de interfaces de programación COM (Component Object Model) que permiten a una aplicación gestionar y controlar las peticiones realizadas por los usuarios en base a una gestión "aplicativa" de las funciones. El segundo componente se integra directamente en Active Directory. De hecho, los controladores de dominio Windows Server 2003 y posteriores, soportan las particiones del directorio de aplicaciones. Los datos almacenados en la partición de aplicaciones están pensados para los casos en que la información deba ser replicada, pero no necesariamente en la estructura de la empresa. Es, pues, posible crear particiones de directorio replicadas sólo en los controladores específicos del bosque Active Directory. Solo los controladores de dominio que ejecutan Windows Server 2003 pueden albergar una réplica de una partición del directorio de aplicaciones. Por ejemplo, las zonas DNS integradas en Active Directory se pueden almacenar en las particiones de este tipo, como es el caso de los servicios TAPI (Telephony API) que almacena sus datos específicos. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Active Directory permite proporcionar redundancia a algunas categorías de aplicaciones y dispone de un alto nivel de tolerancia a errores. Además, el hecho de aislar el almacenamiento de los datos de aplicaciones en una partición del directorio de aplicaciones en lugar de en una partición del directorio de tipo dominio tiene la ventaja de reducir el tráfico de replicación de estos datos. Esta novedad aporta también otra ventaja. Las aplicaciones o servicios utilizan el protocolo LDAP y las autenticaciones Kerberos como métodos estándar para acceder a su información de aplicación. De este modo, los servicios de directorio Active Directory desempeñan totalmente una función unificadora. Servicios de administración de derechos digitales RMS Windows Server 2003 introduce otro componente asociado a Active Directory. Los servicios de administración de derechos digitales Windows RMS para Windows Server 2003. Aseguran la protección de la información y funcionan con aplicaciones y navegadores compatibles con RMS. Así, los contenidos digitales se protegen de usos no autorizados. En efecto, la fuga de información confidencial puede causar pérdida de ingresos y comprometer la competitividad de las empresa, entre otras cosas. Los métodos de seguridad como los cortafuegos y las listas de control de acceso (ACLs) impiden accesos no autorizados a la información en la zona de los datos almacenados. Securización de la información con RMS El cifrado de los datos protege la información mientras circula por la red. Pero, ¿qué ocurre cuando un documento se copia en una llave USB o se envía por correo electrónico a una persona ubicada en el exterior de la zona de seguridad de la empresa? RMS protege la información confidencial de usos no autorizados, ya sea online u offline, dentro o fuera de la red de la empresa. En la práctica, los desarrolladores definen las condiciones de utilización en las que el destinatario puede utilizar tal o cual tipo de datos, mientras que el autor de un documento podrá utilizar estas mismas condiciones. Por ejemplo, la gestión de los derechos digitales en Microsoft Office Professional 2003 y 2007 soporta las operaciones "abrir, modificar, imprimir y enviar". Así, ¡es posible que un usuario de correo que utilice Microsoft Outlook reciba un mensaje confidencial en su dirección y no disponga de los permisos que le permitan imprimir, copiar e incluso enviarlo a otro destinatario! Técnicamente, la plataforma RMS asocia funciones, herramientas de desarrollo y tecnologías de seguridad incluidas en Windows Server 2003, como los servicios de cifrado, los certificados XrML (Extensible Rights Markup Language) y los mecanismos de autenticación capaces de garantizar la implementación de una solución fiable de protección de la información. Para desplegar una solución RMS, hay que disponer de servicios de directorio Active Directory, servicios IIS 6.0 con ASP.NET 1.1, servicios Message Queuing y de Microsoft SQL Server 2000 o SQL Server 2005. Administración de Identidades con MIIS Las empresas disponen casi siempre de múltiples fuentes de datos representativas de los mismos elementos. Por ejemplo, un objeto usuario existente en Active Directory existirá en una máquina IBM AS/400 o en un sistema Unix. El objeto (en este ejemplo un usuario) puede existir también en una simple base de datos o en una aplicación vertical autónoma. Así, la administración y la puesta en servicio de nuevas cuentas en diferentes espacios de datos necesitan múltiples acciones siempre redundantes. Además, es evidente que el problema ocasionado por el uso de múltiples nombres de usuario y contraseñas para los diferentes sistemas y aplicaciones es real y afecta a la productividad de estos mismos usuarios. Cuanto mayor sea la organización, mayor es el número de espacios de datos y mayor es el esfuerzo requerido para su actualización. Las funcionalidades implementadas por MIIS 2003 permiten, pues, la centralización de la información de identidad, reagrupando los datos de una persona o de un recurso específico, en forma de una única entrada que contenga toda o parte de la información de identificación procedente de cada una de las fuentes originales. MIIS garantiza también la coherencia global, detectando cualquier modificación de la información de identificación, cualquiera que sea el origen, propagando automáticamente las modificaciones, inserciones, eliminaciones y suspensiones de usuarios a todas las fuentes de datos soportadas por la configuración. Entornos soportados por el tándem Active Directory y MIIS Gracias a esta importante capacidad de conectividad, MIIS 2003 es un producto adaptado a todo tipo de empresas. El hecho de que disponga de numerosos conectores preparados para utilizarse con la mayoría de los sistemas operativos de red, los sistemas de mensajería electrónica, los motores de bases de datos, los directorios, las aplicaciones e incluso simples ficheros planos, permite unificar numerosas fuentes de información de identificación dispares de la empresa, y esto, sin que sea necesario instalar nada en los sistemas de destino. Los sistemas soportados por MIIS son: Windows NT, Active Directory, Active Directory Application Mode, IBM Tivoli Directory Server, Novell eDirectory, los directorios Sun, los sistemas X.500 estándar, Lotus Notes y Domino, Microsoft Exchange, PeopleSoft, SAP, las centralitas telefónicas basadas en XML y DSML (Directory Service Markup Language), los sistemas de bases de datos Microsoft SQL Server, Oracle, Informix, dBase, IBM DB2 así como los ficheros DSMLv2, LDIF (LDAP Interchange Format), CSV (Comma Separated Values), formateados en texto delimitado, con longitud fija o con pares atributovalor. Una vista unificada de los datos de Identificación Por último, el objetivo del directorio se puede lograr presentando una sola vista unificada de todos o parte de los atributos provenientes de diferentes fuentes. Se ofrece una ubicación única a partir de la cual, los administradores, las - 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
aplicaciones y los usuarios pueden acceder a la información de identificación. Para desplegar una solución MIIS, será necesario disponer de servicios de directorio Active Directory, de Windows Server 2003 Edition Entreprise, de servicios IIS 6.0 con ASP.NET, y de Microsoft SQL Server 2000.
3. Servicios de directorio de Windows Server 2003 R2 y servicios asociados Windows Server 2003 R2 introduce a su vez dos servicios relacionados con los servicios de directorio y la administración de las identidades. Estos servicios se podían descargar anteriormente en el sitio de Microsoft. Se trata de ADAM y de ADFS. ADAM, un directorio dedicado a las aplicaciones para preservar Active Directory Active Directory Application Mode es una versión ligera de los servicios de directorio Active Directory. Puede desplegarse y utilizarse muy fácilmente por cualquier aplicación compatible con servicios de directorio basados en el protocolo LDAP. ADAM no depende en ningún modo de Active Directory y no contiene generalmente más que información necesaria para las aplicaciones. Desde esta perspectiva, ADAM es complementario con los servicios Active Directory. En efecto, el hecho que ADAM no sea un componente de infraestructura permite acoger múltiples instancias ADAM en la misma máquina, ya sea controlador de dominio, miembro de dominio o simplemente un servidor autónomo. El hecho de poder disponer de n instancias de ADAM en el mismo ordenador, permite soportar ciertas especificaciones de aplicaciones, como por ejemplo, parámetros LDAP, puertos SSL y sobretodo esquemas diferentes adaptados a cada aplicación. Conviene remarcar que incluso si ADAM no necesita ni depende de los servicios de directorio Active Directory, es fácil hacerlos comunicar a través de LDAP. Observe que, como en el caso de RMS, ADAM también se puede descargar en el sitio de Microsoft para Windows Server 2003. Ofrecer un inicio de sesión unificado de tipo SSO en aplicaciones Web a través de ADFS Los servicios de federación Active Directory (ADFS) se incluyen inicialmente en Windows Server 2003 R2. Permiten implementar escenarios de autenticación en empresas que amplían sus aplicaciones Web internas a socios externos o ubicados en Internet. Por consiguiente, para ofrecer accesos seguros y medios de gestión coherentes, la administración de los servicios de federación se convierte, poco a poco, en un elemento clave de la implementación de servicios Web. Los servicios de federación Active Directory se basan en la especificación Web Services Architecture (o WS*) y permiten el acceso a los servicios de seguridad Active Directory. De esta manera los mecanismos de autenticación se pueden utilizar, a través de ADFS, con otras organizaciones, permitiendo así una ampliación de la infraestructura Active Directory existente con mecanismos de inicio de sesión único de tipo SSO (Single Sign On). De este modo, el acceso es posible para los usuarios aprobados declarados una sola y única vez. Este principio fundamental permite reducir el número de ubicaciones donde se deberá crear una cuenta y así simplificar la administración. Otro aspecto importante concierne a la seguridad puesto que la unicidad de la identidad del usuario reduce los riesgos de errores causados por eventuales conflictos de cuentas. Por último, la arquitectura ADFS al estar basada en los estándares WS*, puede soportar comunicaciones con sistemas diferentes. ADFS se integra con los servicios de directorio Active Directory, y también con ADAM, de tal manera que es fácil acceder a los atributos de usuarios y proceder a la autenticación de los usuarios en los dominios Active Directory o instancias de tipo ADAM. Si se utilizan estos últimos, la autenticación será de tipo LDAP Bind, mientras que en los casos de dominios Active Directory, ADFS utilizará el conjunto de métodos soportados, como Kerberos, los certificados digitales X.509 v3 y las autenticaciones con tarjetas inteligentes de tipo Smart Logon. Active Directory y la administración de Identidades: la visión Por último, Active Directory está ciertamente en el núcleo de la administración de identidades. Una buena administración de los servicios Active Directory debe permitir de estandarizar y racionalizar todo lo que afecta a los usuarios y las contraseñas. Los servidores de aplicaciones noWindows deben tender a un uso del protocolo Kerberos para unificar mejor la administración de las identidades. MIIS puede participar en la sincronización de los múltiples espacios de almacenamiento de cuentas de usuario.
4. Servicios de directorio de Windows Server 2008 y servicios asociados Windows Server 2008 reimplementa todos estos servicios que acabamos de descubrir, haciendo una reingeniería de todos estos servicios por encima de los servicios Active Directory. Esta nueva versión principal de Windows Server mejora significativamente el conjunto de estas piezas, que presentamos a continuación: ●
●
Los servicios AD DS, Active Directory Domain Services, y los servicios AD LDS, Active Directory Lightweight Directory Services, ofrecen los servicios y componentes fundamentales de tipo dominio y de tipo autónomo. Los servicios AD CS, Active Directory Certificate Services, proporcionan los certificados digitales X.509 v3 necesarios para la implementación de todos los mecanismos criptográficos actuales, así como el conjunto de
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
servicios ofrecidos por un infraestructura de claves públicas, PKI (Public Key Infrastructure). ●
●
- 4-
Los servicios AD RMS, Active Directory Rights Management Services, proporcionan la infraestructura capaz de proteger la información crítica y confidencial contenida en documentos y otros mensajes electrónicos. Los servicios AD FS, Active Directory Federation Services, proporcionan la infraestructura y los mecanismos capaces de ofrecer un inicio de sesión único de tipo SSO para las aplicaciones Web, eliminando la necesidad de crear diferentes identidades para el mismo usuario.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Active Directory Certificate Services (AD CS) 1. Introducción a las infraestructuras de claves públicas(PKI) Las infraestructuras de claves públicas (PKI, Public Key Infrastructure) permiten a empresas de cualquier tamaño disponer de elementos técnicos que permiten hacer seguras las comunicaciones de red, así como las transacciones electrónicas. Una infraestructura de claves públicas implica el uso de certificados digitales, el uso de mecanismos criptográficos basados en la utilización de claves públicas y pone a disposición una o más autoridades de certificación para los equipos, las aplicaciones y los usuarios. En parte, el uso generalizado de certificados por los equipos, las aplicaciones y los usuarios, los servicios de certificados de Windows Server 2008 son un elemento fundamental de una arquitectura segura. Los mecanismos basados en certificados digitales necesitan comprobaciones a múltiples niveles. Así, es posible comprobar y autenticar la validez de cada una de las entidades implicadas en una transacción electrónica dada. Más allá de la tecnología y su papel central en términos de seguridad, una infraestructura de claves públicas introduce inevitablemente la necesidad de publicar en la organización todas las prácticas relativas a la utilización de certificados digitales. Desde un punto de vista de los elementos fundamentales que componen una infraestructura de claves públicas, conviene destacar los siguientes elementos: ●
●
Los certificados que utilizarán las diferentes entidades representadas en el sistema de información. Los servicios de certificados que aseguran la emisión de dichos certificados y más ampliamente su administración.
●
Las plantillas de certificados adaptadas a las diferentes necesidades y usos.
●
Las entidades que deben utilizar los certificados (usuarios, equipos, aplicaciones y servicios).
●
Los procesos y métodos de administración de certificados en la empresa.
2. Los diferentes tipos de certificados a. Introducción Los certificados se definen técnicamente en la especificación X.509v3. Esta especificación describe los diferentes formatos, opciones y métodos relativos su utilización. Se utilizan generalmente en los sistemas de información modernos en que los elementos activos necesitan su uso. Así, los conmutadores de red, terminales de conexión Wi Fi, cortafuegos y otros asistentes personales pueden utilizar certificados para securizar sus comunicaciones de red y operaciones en Internet. Por supuesto, esta lista no es exhaustiva y, finalmente, cualquier periférico, aplicación o entidad activa en una red, publica o privada, podrá hacer uso de ellos. Un certificado es una estructura firmada digitalmente por una autoridad emisora, que expide dicho certificado y lo remite a una persona, a un equipo o a una aplicación. Esta estructura digital crea la relación entre la identidad considerada, la clave pública que se le asocia así como la clave privada correspondiente. A propósito de la especificación X.509v3: Se trata de la versión 3 de la recomendación X.509 de la ITUT que especifica la sintaxis y el formato de los certificados digitales. Este formato es el estándar de los certificados utilizados en los sistemas operativos modernos así como por los periféricos físicos de red. Además de la clave pública, un certificado X.509 contiene la información que permite reconocer la entidad que ha sido objeto de la emisión del certificado así como la información del mismo certificado. Finalmente, en función del tipo de certificado, también hay información relativa a la autoridad de certificación que ha entregado el certificado. Una de las características más interesantes contenida en el certificado es relativa a las funciones que se le asignan asignadas y, por tanto, a la entidad que lo posee.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Visualización de un certificado construido con la plantilla Administrador. Los servicios de certificados incluidos en las familias de los sistemas operativos Windows 2000 Server, Windows Server 2003 y Windows Server 2008 implementan un concepto de plantilla que permite la emisión de certificados formateados y adaptados a usos muy específicos. En este ejemplo, el certificado se ha emitido en base a la plantilla Administrador, que tiene múltiples funciones. Lo más destacable es la función "Firma de lista de aprobación Microsoft", que permite firmar los objetos de tipo "Lista de confianza de la empresa". La siguiente figura ilustra esta posibilidad a través de un objeto directiva de grupo. La interfaz muestra que la lista cuyo nombre es "Lista de los CA adicionales" ha sido entregado por una persona "con esa responsabilidad especial" a través de la función "Firma de lista de aprobación".
Elemento de tipo Lista de confianza firmado con un certificado que dispone de la función Firma de lista de aprobación Microsoft
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Firma de listas de confianza: como es el caso en las operaciones de firma, es indispensable que la persona que realice la operación disponga de un certificado que tenga la capacidad de firmar una lista de confianza en el almacén de certificados personales, así como la clave privada asociada. La siguiente figura muestra el conjunto de funciones contenidas en el certificado. La función Sistema de archivos EFS (Encrypted File System) permite al usuario que dispone del certificado utilizar los servicios de cifrado de ficheros disponibles en las plataformas Windows 2000, Windows XP, Windows Server 2003 así como Windows Vista y Windows Server 2008. En este ejemplo, la clave pública del usuario se utiliza para cifrar la clave de cifrado simétrica que permite cifrar un fichero en concreto, la clave privada es sólo para permitir la decodificación de dicha clave de cifrado previamente cifrada. La función Correo electrónico segura permite firmar y cifrar los mensajes electrónicos a través del protocolo S/MIME (Secure Multipurpose Internet MAIL extensions) que es soportado por los productos de correo como Microsoft Outlook y Microsoft Exchange Server. Por último, la función Autenticación del cliente permite al usuario autenticarse demostrando su identidad en un servidor que soporte, él también, el uso de los certificados X.509v3.
Visualización de las funciones de un certificado que se basa en la plantilla Administrador.
A propósito de la utilización de la clave: un certificado permite a su poseedor, conocido como el "sujeto", ejecutar una o más tareas en concreto. Para implementar el control de uso de los certificados en función de los roles, las restricciones se incluyen en cada certificado. El campo uso de la clave permite definir el ámbito de utilización del certificado, es decir, las funciones soportadas. También es posible emitir certificados en función de las necesidades de los usuarios, los equipos, los dispositivos de red o las aplicaciones. Así, como acabamos de ver, los certificados pueden entregarse para múltiples funciones como la autenticación de los usuarios que acceden a un sitio Web con su navegador, la autenticación de los servidores Web con los clientes, la securización de correos electrónicos con el protocolo S/MIME, la seguridad de los datagramas IP con el protocolo IPSec. Por último, el uso de los certificados es ilimitado. La administración de derechos digitales, con la ayuda de los servicios DRM (Digital Rights Management), es un ejemplo particularmente significativo. Gracias a los certificados, es posible soportar una administración avanzada de derechos digitales de los datos y en identidades situadas dentro o fuera de la red de la empresa. La siguiente figura ilustra las numerosas funciones soportadas por las autoridades de certificación que funcionan en Windows Server 2003 R2 así como la posibilidad de crear nuevas.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Visualización de funciones a nivel de administración de plantillas. Las autoridades de certificación de la familia Windows Server 2003 y Windows Server 2008 están dotadas de uno de los múltiples modelos de certificados concebidos para responder a las necesidades de la mayoría de organizaciones. Observe que con las autoridades de certificación Windows Server 2003 las funciones aparecen en las plantillas de certificados con el nombre Directiva de aplicación mientras que en Windows 2000, aparecían con el nombre Utilización de la clave mejorada. Personalización de las plantillas de certificados: las autoridades de certificación que funcionan en Windows Server 2003 Edition Entreprise y Windows Server 2003 Edition Datacenter incorporan dos tipos de plantillas de certificado: las plantillas versión 1 y las plantillas versión 2. Sólo las autoridades de Windows Server 2003 y Windows Server 2008 soportan las plantillas versión 2. A diferencia de las autoridades Windows 2000 Server, permiten personalizar la mayoría de los parámetros contenidos en una plantilla. Una de las tareas más importantes de los administradores de certificados es la definición de plantillas suplementarias adaptadas a las necesidades específicas de la organización. Las autoridades de certificaciones que funcionan en Windows Server 2008 soportan también los certificados basados en las plantillas versión 3. Estas nuevas plantillas soportan los nuevos algoritmos de cifrado de la suite ECC (Elliptic Curve Cryptography) para las máquina que funcionan en Windows Server 2008 y en Windows Vista. Por último, conviene observar que cada entidad de tipo usuario, equipo o aplicación que dispone de uno o más certificados se conoce como "sujeto del certificado". Por su parte, la autoridad de certificación se considerará como "el emisor y firmante" del certificado emitido al sujeto.
b. Naturaleza y contenido de un certificado digital Un certificado contiene múltiple información técnica y lógica. En primer lugar, el certificado digital ofrece información "clara" que permite identificar el objeto del certificado. La siguiente figura muestra que se trata de un certificado de usuario (no de un equipo o de una aplicación) y que el valor del campo objeto contiene su DN (Distinguished Name) del sistema de directorio Active Directory. Es interesante remarcar que el campo objeto contiene el valor de DN, es decir: CN=SEGURA GARCIA, JUAN CARLOS, OU=@Management,DC=Corpnet,DC=net así como la dirección de correo de dicho usuario.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Detalle del campo "Asunto" de un certificado de usuario
Valor del campo Asunto: cuando una petición de certificado se presenta utilizando las plantillas proporcionadas por defecto con Windows Server 2003, el registro tendrá lugar sin obligar al usuario a introducir nada. La siguiente figura ilustra los diferentes parámetros que se pueden combinar en las plantillas de certificados para construir automáticamente el nombre del sujeto en base a la información que hay en el directorio Active Directory.
Construcción del sujeto en base a la información Active Directory con plantillas de certificados. Además del campo "Objeto" que identifica el sujeto, los certificados contienen la siguiente información: ●
El valor de la clave pública del sujeto.
●
El periodo de validez que define el periodo durante el cual el certificado es válido.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
●
●
La información que identifica la autoridad de certificación que emitió el certificado. La firma digital de la autoridad emisora. De este modo, es posible validar la relación que vincula la clave pública del sujeto con su información de identificación.
El periodo de validez de un certificado permite limitar en el tiempo el uso de un certificado. Una vez cumple el periodo de validez de un certificado, dicho certificado no se puede utilizar y el sujeto debe pedir un nuevo certificado. Es posible hacer una analogía de este principio fundamental con el carnet de identidad o el pasaporte. El documento oficial permite probar la identidad de la persona ya que la Dirección General de la Policía es la autoridad que ha emitido el carnet de identidad, siendo esta última de confianza ya que firmó con el sello de la Dirección General. El número que figura en el pasaporte o en el carnet de identidad, se puede comparar con el número de serie de un certificado. Por último, la fecha de emisión del carnet de identidad fija su fecha de fin de uso ya que los documentos oficiales están sometidos a un periodo de validez. Gestión de Identidades, criptografía, biometría e inicio de sesión único SSO: actualmente, algunos pasaportes utilizan tecnologías biométricas para probar de manera indiscutible la identidad de la persona. De hecho, aunque se puede usar en un primer reconocimiento visual, la tradicional fotografía se puede falsificar fácilmente. En segundo lugar se pueden comprobar la huella digital o la retina. En este caso basta comparar los datos biométricos del sujeto con los almacenados en el documento. Los datos privados de identificación se almacenan en una tarjeta inteligente con certificados y datos de identificación privados o una cadena de valores de tipo código de barras mientras que a los datos públicos se puede acceder libremente para verificar la exactitud de los datos biométricos presentados. Este principio también está disponible en los entornos Active Directory para autenticar a los usuarios con su tarjeta inteligente sustituyendo el tradicional código PIN confidencial (Personal Identification Number) por un control biométrico en que la parte privada está directamente integrada en la tarjeta inteligente. De este modo, las claves privadas y los datos biométricos privados del sujeto sólo las tiene el propio sujeto. No son pues utilizables más que por él y son verificables en el último momento durante un control. Las tecnologías biométricas participan, pues, en primer lugar, en la reducción de contraseñas y otros códigos secretos en el proceso de inicio de sesión. En segundo lugar, los servicios de seguridad de tipo SSO, permiten una utilización de inicio de sesión de manera "única" para acceder a los datos y a las aplicaciones de la empresa. Es necesario hacer una denuncia cuando hay un robo de un carnet de identidad o un certificado. De este modo, el certificado robado o perdido pierde la confianza y queda inutilizado. Esta operación llamada revocación permite quitar la confianza declarada a través del certificado. Cada autoridad de certificación que emite certificados genera una lista de revocación de certificados, que el sistema operativo, los programas o el usuario pueden utilizar o no en el momento de la validación del certificado. Es importante observar que el certificado revocado no estará realmente inutilizado hasta el momento en que se publique la operación en la lista de revocación de certificados. A propósito de la revocación de certificados: ¡Atención! Mientras que la lista de revocación no se actualice, publique, y se verifique en el ámbito del control de validez del certificado, el certificado revocado sigue siendo operativo y utilizable. La siguiente figura ilustra esta operación realizada a nivel de la autoridad de certificación por un administrador de certificado:
Revocación de un certificado con la consola de administración MMC Autoridad de certificación
c. Certificados X.509 versión 1 La especificación X.509 versión 1 aclara los diferentes campos que tiene un certificado de tipo versión 1. El nombre de los diferentes campos que se utilizan se especifica en español y también en inglés entre - 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
paréntesis por razonas prácticas de uso corriente en numerosas documentaciones, notas técnicas, mensajes de sistema, etc.
●
●
●
Versión (version): este campo contiene la versión del certificado. Número de serie (serial number): identificador numérico único asociado a cada certificado emitido por una autoridad de certificación. Algoritmo de firma de la autoridad (signature algorithm): nombre del algoritmo de firma utilizado por la autoridad de certificación para firmar el contenido de un certificado digital dado. Generalmente, se trata del algoritmo Sha1RSA.
La autoridad de certificación firma los campos Versión, Número de serie, Algoritmo de firma, Emisor, Periodo de validez, Objeto y Clave pública.
●
●
●
Emisor (Issuer Name): este campo contiene el valor de DN X.500 (Distinguished Name) que especifica el nombre de la autoridad de certificación que ha emitido el certificado. Por ejemplo, CN = Corpnet Security Services, DC = Corpnet, DC = net. El uso del formato X.500 para nombrar la autoridad se define en la especificación X.509 así como en el RFC 3280 llamada Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List Profile. Válido a partir de/Válido hasta (Valid from/Valid to): estos campos declaran el periodo durante el cual el certificado se puede utilizar. Algunas implementaciones reemplazan estos dos campos por un solo campo llamado Periodo de validez (Validity Period). Objeto (Subject Name): este campo contiene el valor del nombre del ordenador, del periférico de red, del usuario o del servicio asociado al uso del certificado. Generalmente, el formato de este campo utiliza una sintaxis de tipo X.500 tal como se define en las especificaciones X.509 pero puede utilizar también formatos diferentes (dirección de correo electrónico, un nombre DNS, un sufijo UPN o incluso un SPN).
Características de los diferentes formatos soportados por el campo Objeto. Se pueden utilizar los siguientes formatos. Dirección de correo electrónico: si se informa la dirección de correo en el objeto usuario de Active Directory, será ésta la utilizada. En este caso, se trata de un certificado de tipo Usuario. Nombre DNS: el nombre de dominio completo (FQDN) del sujeto que ha pedido o que representa el certificado. En este caso, se trata de un certificado de tipo Ordenador. Nombre principal del usuario: el nombre principal del usuario es un atributo que forma parte de los objetos Usuario de Active Directory y se podrá utilizar de este modo. Es este caso, se trata de un certificado de tipo Usuario. Nombre de servicio principal (SPN): el nombre de servicio principal es un atributo que forma parte de los objetos Equipo de Active Directory y se podrá utilizar de este modo.
A propósito de los SPN: los SPN son identificadores únicos utilizados para "representar" los servicios que funcionan en un servidor determinado. Los servicios que utilizan la autenticación Kerberos de los dominios Active Directory o de dominios Kerberos que necesitan un SPN para cada servicio. De este modo, los clientes pueden identificar dicho servicio en la red.
Observe que en un entorno Active Directory, un SPN es un atributo de los objetos de clases usuario y equipo. Generalmente, cada servicio debe disponer de un solo SPN de tal manera que no sea posible seleccionar otra máquina o utilizar una clave errónea en un ticket Kerberos.
●
Clave pública (Public Key): este campo contiene la clave pública asociada al poseedor del certificado. La clave pública es un dato criptográfico que se transmite por el solicitante del certificado a la autoridad de certificación con una petición de certificado. Este campo contiene también la declaración del tipo del algoritmo de clave pública utilizada en la generación del par de clave asociada al certificado.
d. Certificados X.509 versión 2 Los certificados X.509 versión 1 disponen de la información básica necesaria para describir el mismo certificado. Sin embargo, la autoridad emisora no dispone más que de unos pocos parámetros. De hecho, la especificación X.509 versión 1 pone a disposición el nombre del emisor y la firma de la autoridad.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Esta falta de información hace que sea imposible administrar algunos eventos como la renovación del certificado de la autoridad. De hecho, en este caso, existirán dos certificados que disponen del mismo valor en el campo Emisor. Es fácil aplicar una "falsa" autoridad de certificación que lleve el mismo nombre que la primera. Para resolver esta limitación inherente a los certificados X.509 versión 1, la especificación X.509 versión 2 publicada en 1993 introduce nuevos campos, que se presentan a continuación: ●
●
●
Identificador único del emisor (Issuer Unique ID): este campo contiene un identificador único definido para y por la autoridad de certificación emisora. Este identificador se regenera cuando la autoridad renueva el certificado. Identificador único del sujeto (Subject Unique ID): este campo contiene un identificador único definido por el certificado del sujeto para la autoridad emisora. En este caso en que el sujeto es también la autoridad de certificación emisora, el identificador único se ubica en el campo Identificador único del emisor (Issuer Unique ID). La implementación de estos campos permite mejorar de manera significativa la verificación de la cadena de enlace existente entre el certificado de un sujeto y la autoridad que la ha emitido. Es posible buscar el certificado de la autoridad comprobando la relación existente entre el nombre de la autoridad emisora declarada en el certificado emitido y el nombre del sujeto declarado en el certificado de la autoridad de certificación. Después de pasar este primer control con éxito, es posible proceder a una segunda verificación. Ésta tendrá por objeto comprobar el identificador único del emisor (Issuer Unique ID) del certificado emitido con el identificador único del sujeto (Subject Unique ID) del certificado de la autoridad.
Atención: aunque los certificados X.509 versión 2 sean un avance significativo en relación con la versión 1, casi no se utilizan por falta de soporte. De hecho, el RFC 3280 recomienda no utilizar los campos específicos de la versión 2 y recomienda la especificación X.509 versión 3.
e. Certificados X.509 versión 3 La especificación X.509 versión 3 se publicó en 1996 y especifica el concepto de extensiones. Estas extensiones agregan a la vez funcionalidades para los certificados y de importantes posibilidades de las aplicaciones que las puedan utilizar. Además, las extensiones soportadas por los certificados X.509 versión 3 que permiten soportar la problemática de validación de la cadena de certificación expuesta más arriba. En primer lugar, conviene precisar que una extensión en el certificado X.509 versión 3 se compone de los siguientes elementos: ●
●
El valor de la extensión que depende de cada extensión. El indicador de tipo "Extensión crítica": este indicador especifica que el control de la extensión es de naturaleza crítica. De hecho, en el caso en que la aplicación que utilice el certificado no pueda interpretar o reaccionar correctamente en función del valor de la extensión, el certificado no se utilizará.
¡Importante! Cuando una aplicación no reconoce una extensión determinada y el indicador Extensión crítica no se declara, la aplicación ignora la extensión y puede continuar utilizando el certificado para otros usos.
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Declaración del uso de una extensión crítica en una plantilla de certificado de tipo Controlador de dominio La figura anterior muestra una plantilla de certificado implementada por una autoridad de certificación Windows Server 2008. Esta plantilla se podrá utilizar por los miembros del grupo usuarios del servicio Marketing y será una extensión crítica. Las aplicaciones pueden utilizar los certificados basados en la plantilla y controlar las funciones declaradas (Derechos digitales, correo electrónico seguro, etc.) en base a los OID (Object IDentifier) relativos a cada una de las funciones. ●
El identificador de extensión: la siguiente figura ilustra este importante campo. Permite informar el valor del OID afectado por la extensión.
Valor del identificador de objeto de directivas asociado a la función Autenticación del cliente Ahora que sabemos que una de las funcionalidades principales ofrecida por los certificados X.509 versión 3 reside en la utilización de "Identificadores de extensiones", podemos describir todos los campos soportados por los certificados que utilizan esta especificación. La siguiente figura pone en evidencia el hecho de que un certificado utilizado actualmente respeta siempre las especificaciones X.509 versión 3 así como el soporte de los campos de tipo versión 1. Nota: los servicios de gestión de los certificados integrados en Windows permiten simplificar la visualización © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
no.
de la información que contiene el certificado filtrando los campos en base a las extensiones obligatorias o
Filtrado de campos en la pestaña Detalles del certificado de un usuario A continuación se presentan las extensiones específicas de los certificados X.509 versión 3: ●
●
Identificador de clave de entidad emisora (Authority Key Identifier AKI): este campo puede contener dos tipos de valores. Por una parte el nombre de la autoridad de certificación así como el número de serie del certificado de la autoridad de certificación emisora. Por otra parte, una huella digital (hash) de la clave pública del certificado de la autoridad emisora del certificado. Identificador de la clave de asunto (Subject Key Identifier SKI): este campo representa una extensión que contiene una huella de la clave pública de dicho certificado.
A propósito de extensiones AKI y SKI: estos dos datos son fundamentales para que la verificación de la cadena de certificación y la validación de los certificados X.509 versión 3 puedan tener lugar.
●
- 10 -
Uso de la clave (Key Usage): toda entidad puede disponer de un solo y único certificado o varios. Esta extensión permite precisar las funciones de seguridad que pueden ser utilizadas. Por ejemplo, un certificado se puede utilizar únicamente para asegurar un inicio de sesión con tarjeta inteligente mientras que otro permitirá a este mismo usuario firmar y/o cifrar correos electrónicos. Para conseguirlo, el uso de la clave se debe especificar con la siguiente ventana, utilizando las opciones disponibles a nivel de extensión:
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Configuración de las opciones de extensiones de uso de clave en una plantilla de certificado usuario La utilización de las claves se controla con ayuda de los parámetros de uso de las claves así como las directivas de aplicación del certificado. La utilización de la clave también se denomina "restricción de base" sabiendo que esta restricción se aplicará en todas las operaciones que se efectúen con el certificado. La anterior figura muestra las múltiples opciones y combinaciones posibles en función del ámbito de uso previsto. En todo caso, se tratará de combinar el uso de las claves para las operaciones de Firmas y el uso de claves para las opciones de cifrado. Para cada certificado, la extensión Uso de la clave puede utilizar las siguientes opciones: Funciones de Firma ●
●
●
●
Firma digital (Digital Signature): los datos se pueden firmar digitalmente por el certificado. La clave pública se puede utilizar para comprobar las firmas y para la autenticación de cliente y el origen de los datos firmados. No rechazo (nonrepudiation): los datos firmados por el certificado pueden hacer referencia al sujeto que haya ofrecido la firma digital. Esta relación permite el no rechazo de las firmas de tal manera que es posible aplicar transacciones seguras basadas en estas firmas. Firma de certificado (Certificate Signing): un certificado se puede utilizar para firmar otro certificado. Se trata de una función específica atribuida a los administradores de certificados. Las autoridades de certificaciones utilizan también este tipo de servicios. Firma de las Listas de revocación (Certificate revocation list signing): un certificado se puede utilizar para firmar listas de revocación de certificados.
Funciones de Cifrado ●
●
Intercambio de claves sin cifrado (Key Agreement): esta opción configura el sujeto a fin de que pueda utilizar un protocolo de administración de claves que le permite generar una clave simétrica. Esta clave simétrica se puede utilizar para cifrar y descifrar los datos entre el sujeto y el destinatario deseado. Esta técnica se utiliza con el protocolo de administración de claves simétricas DiffieHellman. En este caso, la clave pública se puede utilizar para transportar una clave simétrica entre dos socios con la ayuda de un protocolo de intercambio de clave. Intercambio de claves con cifrado (Key Encipherment): esta opción configura el sujeto a fin de que pueda utilizar un protocolo de gestión de claves que le permite generar una clave simétrica. Esta clave simétrica se podrá utilizar para cifrar y descifrar los datos entre el sujeto y el destinatario deseado. En este caso, se genera la clave simétrica, se cifra para finalmente enviarse al destino que se encargará de su decodificación. Este método se tiene que seleccionar cuando se utilicen las claves RSA.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
●
●
Cifrado de los datos de usuario (Data Encipherment): esta opción permite al sujeto utilizar una clave simétrica para cifrar y descifrar los datos sabiendo que la misma clave simétrica se utiliza también para el cifrado de la clave durante su transporte. Utilización de la clave privada (Private Key Usage Period): esta extensión permite especificar un periodo de validez particular para la clave privada del sujeto. El valor de la duración se puede fijar en un valor inferior a la duración del certificado en cuestión. De ese modo, es posible limitar en el tiempo la utilización de la clave privada para la firma de documentos permitiendo a la clave pública asociada al certificado ser utilizada más tiempo para comprobar dichas firmas. Por ejemplo, la duración de la clave privada se podría limitar a seis meses, mientras que la de la clave pública podría ser mucho más larga (dos años o más).
Atención: el RFC 3280 publicado en abril de 2003 recomienda no utilizar esta extensión.
●
Directivas de certificado (Certificate Policies): esta extensión describe las directivas y procedimientos implementados para validar una petición de certificado antes de que sea emitido. El valor de este campo se compone de una serie de uno o más términos que definen la directiva aplicada en el certificado, construida en base a un OID y de calificativos opcionales. Estos calificativos a menudo se utilizan para declarar una URL que describe precisamente las directivas de administración, las políticas de seguridad y los procedimientos de emisión y de revocación de certificados.
Los calificativos opcionales, no influyen en la definición de la directiva declarada. Cuando de trata del certificado de un usuario, de un equipo o de un servicio, estos términos explican el ámbito de utilización del certificado y porqué se ha emitido. Cuando se trata de un certificado de una autoridad de certificación, esta información limita todas las directivas para las vías de certificación incluyendo dicho certificado de autoridad. En el caso en que no es necesario restringir todas las directivas es posible declarar una directiva particular (anyPolicy) y asociarle un valor OID igual a 2 5 29 32 0.
●
Nombre alternativo del sujeto (Subject Alternative Name): esta extensión permite consignar nombres adicionales asociados al sujeto. Si bien el nombre del sujeto se incluye en la forma de un DN X.500, esta extensión permite añadir información de identificación en el certificado. Esta información puede incluir la dirección de correo electrónico en Internet, el nombre DNS del equipo o del periférico, o incluso una dirección IP. Generalmente, el buen uso de esta extensión permite disponer de la misma información de maneras distintas.
Nombres suplementarios soportados a través de la extensión Nombre alternativo del sujeto en la plantilla de certificado.
¡Atención! Es obligatorio usar esta extensión respetando las normas relativas al buen funcionamiento de las aplicaciones. Por ejemplo, una aplicación de correo electrónico puede exigir que esta extensión consigne la dirección de correo del usuario. Como esta información está integrada en el mismo certificado, la autoridad de certificación debe ser capaz de verificar esta información. Si el control del sujeto se realiza de otro modo, hay que declarar el campo "objeto" del certificado vacío y declarar la extensión como crítica. En el RFC 3280 (sección 4.2.1.7) se describen los detalles de los formatos soportados por esta extensión. La siguiente figura muestra los nombres adicionales de un sujeto declarados en un certificado X.509 versión 3.
- 12 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Extensión Nombre alternativo del sujeto
●
Puntos de distribución CRL (Certification Revocation List Distribution Point): cuando una aplicación o el sistema operativo se configuran para comprobar la lista de revocación, la información contenida en el certificado se utiliza para localizar la ubicación donde se guarda la lista de revocación actual. La extensión Punto de distribución CRL contiene una o más URL que permiten localizar la lista de revocación actual. Es posible declarar las URL haciendo referencia a los protocolos HTTP, FTP y, por supuesto, LDAP.
La extensión punto de distribución de la lista de revocación de los certificados (DP CRL Certificate Revocation Lists) indica como se puede obtener dicha lista, pero no significa que sea posible. Es importante prever la disponibilidad de las CRL en n puntos de la red. Las RFC indican que el nombre del punto de distribución debe ser de tipo X.500.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
A través de la extensión Puntos de distribución CRL se conocen diferentes ubicaciones de la lista de revocación de certificados. La administración de los puntos de distribución se gestiona a nivel de la administración de la autoridad de certificación. La siguiente figura muestra las diferentes URL declaradas por defecto en una autoridad de certificación 2008.
- 14 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Declaración de las ubicaciones (DP) a partir de las cuales los usuarios pueden obtener una lista de revocación La consola de administración de la autoridad de certificación integra todas las funciones de gestión de los puntos de distribución. Todas las opciones son seleccionables de manera individual para cada URL declarada. ¡Atención! Cada aplicación es libre de utilizar o no la lista de revocación de la autoridad de certificación. Por consiguiente, la declaración y las modificaciones de las ubicaciones de los puntos de distribución de las listas de revocación pueden tener efecto en los procesos de validación del certificado por estas mismas aplicaciones.
3. Los certificados y la empresa a. Relación entre los certificados y las autenticaciones A partir del momento en que el certificado contiene los elementos que permiten asegurar de manera fiable la identidad del sujeto, es fácil autenticar a los usuarios o equipos si el servidor que debe realizar el control de acceso tiene la confianza de la entidad emisora de dichos carnets de identidad qué son los certificados. En otros términos, el cliente posee un certificado emitido por una autoridad de certificación aprobado por ella misma y el servidor aprueba la autoridad de certificación aprobada por el cliente. Así pues, las dos partes implicadas en la operación de confianza tienen confianza en un tercero, que en este caso es la autoridad de confianza. Por ejemplo, cuando un servidor Web utiliza el protocolo seguro HTTPS, el servidor deber tener confianza en la autoridad de certificación raíz que haya emitido el certificado que el mismo va a utilizar. A partir de este momento, el servidor Web acepta implícitamente las directivas que la autoridad implemente a través del certificado. El término "directivas" significa que funciones se soportan realmente. La siguiente figura muestras las directivas de un certificado utilizado para la implementación del protocolo HTTPS en un servidor web determinado llamado kryptondc.corpnet.net. El campo Uso mejorado de claves muestra que la función del certificado permite al servidor probar su identidad al cliente. Este puede ser el caso de una transacción bancaria: ¿Estoy realmente en el servidor del banco? Sí, si el certificado se comprueba a través de una autoridad que actúe como organismo de confianza. ¡Tal vez si o tal vez no, si no hay certificado o si el certificado no proviene de una autoridad que no reconozco! La verdadera prueba de la relación entre el certificado instalado en el servidor Web y la autoridad que lo haya
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
emitido se realiza comprobando el campo "Identificador de la clave de autoridad" que se ubica en el certificado del servidor Web. Este campo tiene que corresponder obligatoriamente al campo Identificador de la clave de asunto del certificado autofirmado de la autoridad de certificación. En nuestro ejemplo, la ID de la clave tiene el valor "f6 e5 6e d0 44 25 ff 3c 5e 95 80 2f 31 57 ce 82 40 8c 0a 58", que corresponde al identificador de la clave del sujeto del certificado de la autoridad de certificación. La confianza se comprueba porque el certificado ha sido emitido por una autoridad realmente reconocida. La siguiente figura muestra la función Autenticación del servidor.
Visualización de la función Autenticación del servidor
Detalles del certificado de la autoridad de certificación El servidor Web delega entonces la comprobación de la identidad del sujeto del certificado a la autoridad emisora. Esta operación se realiza fácilmente declarando la autoridad raíz emisora como autoridad raíz de confianza. Simplemente coloque el certificado autofirmado de la autoridad en el almacén de certificados de la máquina. Finalmente, como es posible crear jerarquías de certificación, las autoridades subalternas sólo serán de confianza si tienen una vía de certificación válida hasta su autoridad de certificación raíz de confianza.
b. Ámbito de utilización de los certificados En la medida en que los certificados se utilizan a menudo para establecer una identidad y crear la confianza que - 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
permite un intercambio de datos seguro, las autoridades de certificación pueden otorgar certificados a usuarios, equipos y, naturalmente, a los servicios de red como los protocolos IPSec o Radius (Remote Authentication DialIn User Service) y también a las aplicaciones como los servidores de correo o Web. En el caso en que se necesita un alto nivel de seguridad, los equipos deben ser capaces de controlar la identidad de la otra máquina implicada en la transacción. Esta situación es idéntica cuando se trata de una relación de confianza entre aplicaciones y usuarios. Una vez se ha hecho la comprobación del certificado, el cliente puede "almacenar" el certificado de su pareja en su propio almacén de certificados, y a continuación utilizar el certificado para cifrar el resto de la conversación. En este caso, el cliente utiliza la clave pública contenida en el certificado para cifrar una clave de sesión, que se utilizará para cifrar los paquetes de esta sesión. Por último, los mecanismos de cifrado ofrecidos por los certificados se pueden utilizar para diversas funciones y aplicaciones, que presentamos a continuación: ●
●
●
●
●
●
Utilización de las firmas digitales: las firmas digitales permiten hacer seguras las transacciones en Internet o en una Intranet cifrando y descifrando los mensajes así como autenticando el emisor. Además de estos mecanismos, las firmas permiten garantizar que los datos no se han modificado durante la transmisión. Autenticación en Internet: los certificados permiten autenticar el cliente con el servidor y el servidor con el cliente. Por ejemplo, una conexión segura SSL permite al cliente comprobar la identidad del servidor controlando el certificado presentado al cliente por el servidor Web. Correo electrónico seguro: los certificados permiten garantizar un alto nivel de confidencialidad y de seguridad de los mensajes enviados y recibidos en el correo de la empresa y en Internet. Además el hecho de que la identidad del emisor de un mensaje se puede verificar controlando el certificado del emisor, garantiza la integridad de los datos enviados así como el no rechazo de los mensajes. Autenticación con tarjeta inteligente: la autenticación Windows Active Directory por Tarjeta inteligente permite al usuario iniciar su sesión de dominio utilizando el certificado que le representa con su tarjeta inteligente y el código PIN asociado. Se trata de una autenticación con múltiples factores (dos factores) ya que el usuario debe tener su tarjeta inteligente y el código PIN que le permita utilizarla. La tarjeta inteligente funciona como un almacén de certificados privilegiado ya que, en este caso, las claves privadas del o de los certificados no se almacenan localmente en el disco duro del equipo sino en la propia tarjeta. Cifrado EFS: las operaciones de cifrado de ficheros que utilizan EFS (Encrypted File System) pueden utilizar los certificados. Además, las autoridades de certificación Windows Server 2003 y Windows Server 2008 implementan una nueva funcionalidad que permite la "recuperación de las claves privadas de los usuarios". De este manera, es posible recuperar la clave privada de un usuario a partir de la base de datos de una autoridad de certificación que funciona con Windows Server 2003 Edition Entreprise o Windows Server 2008 Edition Entreprise. A continuación, es suficiente con importarla en un certificado de usuario para poder descifrar todos los ficheros que se hayan encriptado con esta clave privada. Observe que esta operación no es necesaria si los ficheros se encriptaron bajo el control de un Agente de recuperación EFS. Seguridad IP: cuando los equipos de la empresa forman parte de un dominio Active Directory, la autenticación IPSec del modo principal puede utilizar el protocolo de autenticación por defecto Kerberos v5. En este caso, no es necesario desplegar los certificados. Sin embargo, cuando los equipos no soportan Kerberos v5 o cuando los equipos están conectados a Internet y es necesario tener operaciones seguras, se recomienda la autenticación por certificado.
Autenticación y protocolo IPSec: el protocolo IPSec soporta tres protocolos de autenticación. El protocolo Kerberos versión 5, los certificados X.509v3 y las claves precompartidas. Esta última está disponible en Windows 2000, Windows XP y Windows Server 2003 únicamente en el ámbito de la interoperabilidad con sistemas no Windows y del soporte de estándares y normas IPSec. No se recomienda el uso de las claves precompartidas y sólo debe utilizarse a modo de pruebas.
●
●
Autenticaciones IEEE 802.1x: la utilización del protocolo 802.1x permite autentificar a equipos y a usuarios que utilizan conexiones Wifi 802.11 así como redes cableadas de tipo Ethernet. Esta autenticación proporciona soporte de los tipos de seguridad EAP (Extensible Authentication Protocol) de tal manera que es posible utilizar los métodos de autenticación como los certificados. Firma de componentes de software: la firma de componentes de tipo controles ActiveX, applets Java y otros ejecutables y DLL protege a los equipos de la instalación de componentes no autorizados.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 17 -
Jerarquía de autoridades booster2008booster2003CA y autoridad booster2008 booster2003 CA Este procedimiento utiliza la tecnología Authenticode, que permite a los editores de software firmar componentes de software. La siguiente figura ilustra las funciones soportadas en el certificado del fichero wuapi.dll API del cliente Windows Update.
Funciones de un certificado y soporte de firmas digitales de los componentes Windows con la tecnología Authenticode Es posible utilizar certificados para comprobar la autenticidad del software (controles ActiveX, applets Java, scripts, etc.) descargados de Internet. Igual ocurre en la instalación del software y al instalar nuevos controladores de dispositivos en el sistema. Los certificados asociados a la tecnología Authenticode garantizan que el software proviene realmente del editor del software, protegiendo el software de cualquier modificación después de su publicación y aseguran la verificación y conformidad de los controladores de dispositivos del sistema Windows. A propósito de la utilización de los certificados con la tecnología Microsoft Authenticode: todas las DLL y otros ficheros centrales del sistema operativo Windows están firmados. De este modo el componente Windows File Protection puede intervenir y restaurar la versión oficial en el catálogo en cuestión. A medida que se añaden o actualizan componentes, se añaden nuevos catálogos (ficheros que tienen la extensión .cat) a la ubicación %SystemRoot%\ System32\catroot. Por ejemplo, la siguiente figura muestra los detalles de la firma electrónica en el fichero catálogo del Service Pack 1 de Windows Server 2003, SP1.cat. Puede constatar que la firma declarada es Microsoft Windows Publisher y que éste es objeto de una doble comprobación ya que la operación está contrafirmada por la autoridad oficial VeriSign.
- 18 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Propiedades del catálogo de SP1 de Windows Server 2003 Edition Entreprise El botón Ver certificado permite visualizar el certificado. Así, es posible verificar la identidad del emisor del software, en este caso Microsoft, así como asegurar que no se habrá modificado después de su publicación. Estas funciones se declaran con el campo Utilización avanzada de la clave, que declara las funciones de firma de código y de verificación de componentes del sistema Windows y de Firma de código a través de las OID (1.3.6.1.5.5.7.3.3) y (1.3.6.1.4.1.311.10.3.6). Observe que la autoridad Microsoft Windows Publisher forma parte de una jerarquía de autoridades de certificación. La autoridad está aprobada por Microsoft Windows Verification Intermediate PCA que a su vez está aprobada por la autoridad Microsoft Root Authority. En cuanto a las contra firmas, el botón Detalles permite visualizar las características del certificado VeriSign, que permite la firma de los datos con la hora actual
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 19 -
Propiedades del certificado utilizado por las contra firmas de los ficheros catálogo de Windows La figura que se presenta más adelante muestra que las contra firmas VeriSign utilizan como método hash el algoritmo MD5 (Message Digest 5) y como método de cifrado el algoritmo RSA. Observe también que las autoridades de certificación VeriSign y Microsoft implementan un vínculo a la CPS (Certificate Practice Statement) relativa a cada una de ellas. Así es posible obtener todos los detalles de la política de administración de dichos certificados. Para lograrlo, basta con hacer clic en el botón Declaración del emisor. Por ejemplo, la declaración del emisor de la autoridad Microsoft Windows Component Publisher se puede consultar en HTTPS en el siguiente sitio: https://www.microsoft.com/pki/ssl/cps/WindowsPCA.htm Por último, es importante remarcar que sólo el propietario de un catálogo, por ejemplo Microsoft o cualquier otro editor creador de categorías registradas en su sistema, puede hacer evolucionar dicho catálogo. De esta manera, es imposible que un tercero no aprobado pueda modificar los componentes declarados en dicho catálogo.
- 20 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Detalles de la firma electrónica utilizada como contra firma
c. Utilización de los certificados digitales en la empresa Generalmente, las empresas instalan sus propias autoridades de certificación. De este modo, es fácil entregar certificados a los usuarios de la empresa, a los ordenadores y otros periféricos específicos que deben tener para que las comunicaciones de red sean más seguras. Cuando el tamaño de la empresa o las exigencias y limitaciones inherentes a la entrega de certificados lo imponen, es frecuente que sea necesario implementar más autoridades de certificación integradas en una jerarquía. El hecho de que se implementen diferentes autoridades hace que las entidades que utilizan los certificados deban tener múltiples certificados emitidos por las diferentes autoridades de certificación internas y también externas. Por ejemplo, cuando un usuario de la empresa accede a la red de la empresa desde el exterior a través de una conexión de tipo VPN (Virtual Private Network), el servidor VPN presenta un certificado de tipo servidor para probar su identidad. Como el equipo del cliente aprueba la autoridad raíz de la empresa que ha emitido el certificado del servidor VPN, el ordenador cliente confía en el servidor VPN. Finalmente, para que el servidor VPN confíe en el cliente, es necesario que este último pueda reconocer al cliente VPN antes de se efectúe cualquier intercambio de datos a través de la conexión virtual. Para lograrlo, ha de tener lugar un intercambio de certificados de equipo entre los dos ordenadores o una autenticación de tipo usuario a través de una autenticación soportada por PPP (PointtoPoint Protocol). A diferencia de las conexiones VPN de tipo PPTP (Point to Point Tunneling Protocol) las conexiones VPN utilizan el protocolo L2TP (Layer 2 Tunneling Protocol) y el cifrado IPSec necesitan certificados de tipo ordenador en el cliente y en el servidor. En este ejemplo, el o los certificados se utilizan para crear la confianza y establecer una comunicación segura tipo VPN. Sin embargo, se puede utilizar un certificado para más usos como, por ejemplo, una autenticación para acceder a un portal seguro o el acceso al correo electrónico. Del mismo modo, un servidor puede utilizar un certificado para diferentes funciones. Así, un mismo certificado se puede utilizar para comprobar la identidad de un servidor Web, de un servidor de correo o de cualquier otro servicio. Numerosas aplicaciones usan el protocolo SSL 3.0 Secure Sockets Layer. Este protocolo se creó originalmente para autenticar y cifrar las comunicaciones de los servidores Web, son numerosas las aplicaciones que no utilizan esta función específica y sólo utilizan los certificados de tipo servidor Web para su propio uso. Para que sea posible asociar una función específica utilizable por una aplicación también específica, es indispensable que la función se declare en las extensiones de la plantilla del certificado utilizada en el momento de la petición del certificado.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 21 -
Declaración de una directiva de aplicación: Función Café
Las funciones se declaran a nivel de la autoridad de certificación que emite el certificado. La figura anterior ilustra las funciones declaradas en una plantilla de certificado implementada por una autoridad de certificación de tipo Empresa que funciona en Windows Server 2003 Edition Entreprise.
d. Certificados de Usuarios Los certificados de tipo usuario permiten la representación "digital" de una persona igual que un documento de identificación como un pasaporte. Es posible adquirir certificados de una autoridad de certificación comercial como VeriSign de tal modo que el titular del certificado tenga la posibilidad de enviar correos electrónicos personales cifrados por razones de seguridad o incluso firmados digitalmente para probar su autenticidad. El hecho de utilizar un certificado obtenido de una autoridad oficial permite la utilización de dicho certificado para cualquier cliente que apruebe dicha autoridad oficial. Para uso interno, tiene la posibilidad de utilizar su propia autoridad de certificación en la red de la empresa. Existen numerosos ejemplos de uso de certificados de usuario como las autenticaciones de dominio Active Directory con tarjeta inteligente, la autenticación EAPTLS en las conexiones VPN L2TPIPSec, la autenticación en los sitios Web seguros a través de los certificados de tipo usuario via SSL. También podemos mencionar el uso de los certificados de usuario en el cifrado de archivos EFS. En el caso del correo electrónico, el usuario dispone de un certificado que podrá utilizar para firmar digitalmente un correo electrónico. El destinatario puede entonces comprobar que dicho mensaje no se ha modificado durante su transmisión y verificar la identidad del emisor. Esta última operación será posible si el destinatario aprueba la autoridad de certificación que ha emitido el certificado del emisor del mensaje. Se entiende que cuando un correo electrónico o los datos se cifran, nadie puede leer el contenido durante su transmisión por la red. Sólo el destinatario puede descifrar y leer el contenido. La administración de los certificados de usuario, su uso con tarjetas inteligentes, el correo electrónico y el sistema de ficheros cifrados EFS se tratan más adelante.
e. Certificados de equipos Del mismo modo que ocurre con los certificados de tipo usuario, los certificados de tipo equipo son una representación "digital" utilizable por todos los tipos de periféricos (ordenadores clientes y servidores, routers, impresoras, dispositivos de red, etc.). Los certificados que utilizan los ordenadores pueden ofrecer sus servicios al mismo periférico. Las plantillas de certificados propuestas por las autoridades de certificación Windows Server 2003 y Windows Server 2008 proponen numerosas plantillas pensadas para responder a usos específicos. Estas plantillas orientadas a equipos se presentan a continuación: ●
●
- 22 -
Servidor Web: los servidores Web pueden implementar la confidencialidad de los datos transmitidos cifrando las comunicaciones HTTP con el certificado "servidor" situado en el servidor Web. Servidor RAS y IAS: dos métodos de autenticación pueden ayudar actualmente a utilizar los certificados:
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
por un parte el método EAPTLS (Extensible Authentication Protocol Transport Layer Security) y por otra el método PEAP (ProtectedEAP). Estos dos métodos utilizan siempre los certificados para la autenticación del servidor. En función del metodo utilizado, se utilizarán los certificados ya sea para autenticar el ordenador cliente o el usuario. ●
●
●
●
●
●
●
●
●
Router (consulta sin conexión): esta plantilla de certificado se puede utilizar por un router en caso de una petición SCEP (Simple Certificate Enrollment Protocol) emitida por una autoridad de certificación titular de un certificado de cifrado CEP. Replicación de la mensajería del directorio: esta plantilla permite la replicación del directorio Active Directory con correos electrónicos a través de SMTP. Equipo: esta plantilla de certificado permite a un equipo autenticarse en la red. IPSec (consulta sin conexión) e IPSec: el protocolo IPSec utiliza certificados de equipo entre el cliente y el servidor para la autenticación. Por contra, el método EAPTLS utiliza un certificado de usuario de una tarjeta inteligente o bien del almacén de certificados local para la autenticación del usuario. Cifrado CEP: esta plantilla permite al equipo que dispone de él a actuar como autoridad de inscripción para las peticiones SCEP. Controlador de dominio: esta plantilla de certificados dispone de múltiples funciones utilizadas por los controladores de dominio. Autenticación del controlador de dominio: esta plantilla de certificados establece la autenticación de los ordenadores y de los usuarios Active Directory. Autenticación de la estación de trabajo: esta plantilla de certificados permite a los ordenadores clientes autenticarse en los servidores. Agente de inscripción (ordenador): esta plantilla de certificados permite al equipo pedir certificados por cuenta de otro sujeto ordenador.
A recordar: en algunos casos, los ordenadores deben ser capaces de intercambiar información con un alto nivel de confianza que necesita controlar la identidad de uno o ambos participantes. Las funciones soportadas por los certificados dedicados a equipos así como la utilización de extensiones soportadas por la especificación X.509 versión 3 permiten implementar soluciones adaptadas a estos problemas de seguridad.
f. Certificados de aplicaciones El principio de firmas digitales y de mecanismos criptográficos está estrechamente vinculado a las exigencias de seguridad impuestas por las aplicaciones en que la naturaleza de los datos es capital. De hecho, al principio, las aplicaciones soportaron estas operaciones. Actualmente la implementación de estos mecanismos se realiza a nivel del sistema operativo. Por ejemplo, en Windows Server 2003, el servicio "Servicios de criptografía" proporciona las operaciones de cifrado y de firma mejoradas en las aplicaciones para proteger algunos datos. La mayor parte de los clientes de correo permiten firmar y/o cifrar los correos electrónicos. Este es el caso de aplicaciones como Microsoft Outlook 98, 2000, XP, 2003 y 2007. Ocurre igual en Outlook Express, que está disponible, por defecto, en todas las versiones de Windows. Los servicios criptográficos integrados en la familia de sistemas operativos Windows (Windows XP Professional, Windows 2000 Server, Windows Server 2003, Windows Vista y Windows Server 2008) se muestran directamente a nivel del shell de Windows, Explorer. Los ficheros vinculados así como las operaciones de manipulación de los certificados están disponibles en la línea de comandos, la consola de administración MMC así como en el escritorio Windows. El comando Certreq.exe es una herramienta de la línea de comandos que se proporciona con el sistema operativo Windows Server 2003 y Windows Server 2008 así como con las herramientas de administración de Windows Server 2003, es decir el paquete Adminpak.msi. No está disponible directamente en Windows XP Professional. Sin embargo, este comando es compatible con Windows Server 2003, Windows 2000 Server, Windows XP Professional y lo pueden utilizar equipos que funcionen con Windows Server 2003, Windows XP Professional y Windows 2000 para las operaciones de administración de certificados de usuario y de equipo. A través de este comando, es posible someter, recuperar, crear y aceptar las peticiones de certificados transmitidas a una autoridad de certificación que funcione en Windows Server 2003. También es posible utilizar el comando "certreq" en scripts para automatizar las peticiones de certificados o realizar algunas operaciones tediosas.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 23 -
Para obtener más información sobre el comando "certreq", vea más adelante en este libro o consulte en el sitio de Microsoft en la siguiente dirección o buscando commandLine References y/o Tools and Settings Collection. http://technet2.microsoft.com/WindowsServer/en/library/ 1a249f1e632044c8adf5 8dfd3f31852c1033.mspx
4. Almacenamiento de los certificados a. Introducción Es esencial saber donde están almacenados realmente los certificados X.509 ya que el soporte de certificados en el sistema operativo Windows está directamente integrado en el centro del sistema. En los sistemas Windows y en particular en las familias Windows Server 2003 (y posteriores) así como en Windows XP (y posteriores) los certificados se almacenan a través de un componente llamado "Almacén de certificados". Además de los certificados que utilizan tanto el equipo como el usuario, el almacén de certificados integra en el sistema operativo soporta otros elementos indispensables como, por ejemplo, las listas de aprobación de certificados (Certificate Trust Lists CTLs), las listas de revocación de certificados (Certificate Revocation Lists CRLs) así como las listas de revocación de certificados de tipo delta (Delta CRLs). El almacén de certificados soporta el contexto de certificados de usuarios y de usuario en sesión. De este modo otro usuario que haya iniciado sesión en el mismo ordenador no puede utilizar las claves privadas de los certificados de un usuario determinado. Por último, el equipo y cada servicio Windows que utilice uno o varios certificados dispondrá de su propio almacén de certificados. Este sistema de almacenamiento seguro permite garantizar una "estanquiedad" total de claves privadas vinculadas a cada certificado entre las diferentes entidades.
b. Almacenamiento de certificados e interfaz CryptoAPI La interfaz de programación CryptoAPI incorpora las funciones de administración de certificados. Cualquier máquina o usuario puede fácilmente pedir, almacenar, buscar y comprobar certificados.
Almacenamiento de certificados y Almacenes de certificados en el ordenador local, el usuario en sesión y los servicios Windows La siguiente figura ilustra los almacenes de certificados de la máquina local y del usuario en sesión en el ordenador, que ofrecen una vista lógica y una clasificación en función de la naturaleza y del origen de la información mostrada. También es posible cambiar la interfaz de la consola de administración de certificados con el fin de que nos pueda mostrar una vista física de los almacenes de certificados. Las diferentes opciones de visualización permiten también elegir los certificados visualizados según su tipo de utilización (por ejemplo, Autenticación del cliente y Usuario de seguridad IP).
- 24 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Gestión de las opciones de visualización de los certificados en la consola MMC Certificados La siguiente figura pone de manifiesto el almacenamiento y el control de parámetros presentados. Así, cuando la opción Almacenes de certificados físicos está activada por el componente de administración de la consola MMC Certificados Usuario actual, la interfaz gráfica visualiza las categorías Registro, Directiva de grupo y Equipo local.
Visualización de los almacenes de certificados físicos En este ejemplo, se visualizan en la categoría Certificados en los que no se confia dos certificados no autorizados ya que se han obtenido de manera fraudulenta, poniendo en evidencia el hecho de que están almacenados en el ordenador local, y no en otra ubicación. En marzo de 2001, el proveedor de certificados mundialmente conocido VeriSign, anunció que había entregado dos certificados digitales a un individuo que de manera fraudulenta decía ser un empleado de Microsoft. Este problema de seguridad ha sido objeto de un boletín de seguridad (MS01017) cuyo impacto es importante ya que un hacker es capaz de firmar digitalmente el código utilizando el nombre “Microsoft Corporation”. Este boletín está disponible en la dirección http://www.microsoft.com/technet/security/bulletin/ MS01017.mspx. VeriSign ha revocado los dos certificados y ha actualizado la lista de revocación de certificados VeriSign (CRL) en Internet. Sin embargo, como los certificados de firma de código VeriSign no indican ningún punto de distribución de la lista de revocación, no es posible utilizar el mecanismo de verificación de la CRL. Para remediarlo, Microsoft ha desarrollado una actualización que corrige esta carencia. El correctivo incorpora una lista de revocación que contiene los dos certificados falsos así como un módulo para consultar directamente esta CRL en la máquina local y no en Internet. La interfaz gráfica de Microsoft Internet Explorer permite también consultar el almacén de certificados utilizando una versión ligera del recorrido de los certificados a través del botón Certificados situada en Opciones de Internet Opciones Contenido.
c. Visualización de los certificados: almacén lógico y almacén físico Cuando examine el contenido de un almacén de certificados en modo Almacén lógico, puede encontrarse con dos copias del mismo certificado. Esta situación se produce porque el mismo certificado está almacenado en almacenes físicos diferentes reagrupados en un mismo almacén lógico. Cuando el contenido de los diferentes almacenes de certificados físicos se combina con un solo almacén lógico, se visualizan todas las instancias de un mismo certificado. ¿Como hacer una verificación? Para hacerlo, defina la opción de visualización que permite ver los almacenes de certificados físicos. El certificado figura en almacenes físicos diferentes dependiendo del mismo almacén lógico. Compare los números de serie de los dos elementos. Si se trata del mismo certificado visualizado dos veces, el número de serie será idéntico. El complemento Certificats le permite visualizar los certificados en función de su almacén lógico o de su función. Del mismo modo, si visualiza los certificados según su función, un certificado que cumple con varias funciones aparecerá en cada carpeta definida para cada una de estas funciones.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 25 -
d. Archivado local de los certificados expirados Las máquinas que funcionen con Windows Server 2003 y Windows Server 2008 así como con Windows XP Professional y Windows Vista disponen de un mecanismo interno de archivado y de renovación automática de certificados y de claves privadas asociadas. Estas funcionalidades permiten garantizar el buen uso de los certificados en el tiempo. De hecho, la función de archivado es particularmente importante ya que permite al usuario ser capaz de descifrar documentos haciendo referencia a certificados expirados o a los que se les haya renovado la clave privada. Por defecto, los certificados archivados no se visualizan. Para visualizar los certificados archivados en la consola MMC, active la casilla Certificados archivados situada en Opciones de visualización Visualizar los elementos siguientes.
e. Estructura de almacenamiento del almacén de certificados lógico La utilización de almacenes lógicos de certificados elimina la necesidad de almacenar muchas veces algunos elementos que deben ser manipulados por más de una entidad. De hecho, algunos datos son comunes y se deben compartir. Por ejemplo, los certificados de autoridades de certificación raíces de confianza y las listas de revocaciones son elementos útiles para los usuarios, el equipo y también los servicios asociados al equipo. Sin embargo, algunos certificados o listas de certificados de confianza (CTLs) o listas de revocaciones de certificados (CRLs) sólo deben estar disponibles para algunos usuarios. Así, cuando un certificado o una lista de revocación se guarda en el almacén del usuario, estos elementos no son accesibles para el ordenador ni para ningún servicio del mismo. Desde un punto de vista visual, cuando los parámetros como los CTLs se distribuyen a través de las directivas de grupo de Active Directory, la información aparece en la consola en una carpeta llamada Directiva de grupo. A propósito de la aplicación de los parámetros con GPO: por último, cuando los parámetros se ubican en la parte Configuración del equipo de la directiva de grupo, los parámetros estarán disponibles para el ordenador pero también para todos los usuarios de la máquina, mientras que si se trata de la parte Configuración de usuario, los parámetros sólo estarán disponibles para los usuarios indicados por la directiva de grupo. Los almacenes lógicos de certificados incluyen las siguientes categorías para las entidades de tipo usuarios, equipos y servicios: ●
●
●
●
●
- 26 -
Personal: contiene los certificados de usuario, de equipo o de servicio actual. Cuando una autoridad de certificación de empresa emite un certificado a un usuario, el certificado se ubica en el almacén personal del usuario. Técnicamente, el certificado se almacena en el perfil de usuario (sin la clave privada). Las claves privadas se almacenan en una zona segura del registro. Autoridades de certificación raíz de confianza (Trusted Root Certification Authorities): contiene los certificados auto firmados de las autoridades raíces. Los certificados que disponen de un camino de certificación a un certificado de autoridad raíz son aprobados por el ordenador para todas las funciones válidas del certificado. Observe sin embargo, que los certificados de las autoridades no raíces también se pueden ubicar es este lugar, comúnmente llamado "Almacén de raíces". Estas autoridades pueden ser las autoridades de certificación internas de Windows o también autoridades externas a la empresa. Confianza de la empresa (Enterprise Trust): contiene las CTLs (Certificate Trust Lists). Una CTL es una lista firmada que contiene los certificados de las autoridades de certificación aprobadas. Todos los certificados que disponen de un camino de certificación a una CTL son aprobados por el ordenador en función de las funciones específicas en la CTL. Autoridades intermediarias (Intermediate Certification Authorities): contiene autoridades de certificación que no son autoridades de certificación raíz de confianza. Por ejemplo, los certificados de autoridades de certificación subordinadas se ubicarán en este contenedor. Esta ubicación contiene también la listas de revocación que utilizarán los usuarios, el equipo local y los servicios. Objeto usuario Active Directory (Active Directory User Object): contiene los certificados de usuario que se publican en los servicios de directorio Active Directory. Observe que este almacén no aparece más que para los usuarios y no para equipos o servicios.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
●
Editores aprobados (Trusted Publishers): este contenedor alberga los certificados emitidos a personas o entidades aprobadas explícitamente. En general, se trata de certificados auto firmados o certificados aprobados por una aplicación como Microsoft Outlook. También se puede tratar de certificados que representan a editores de software. Estos certificados son entonces utilizables para la verificación del código firmado con la tecnología Authenticode. Certificados no autorizados (Disallowed Certificates): contiene los certificados a los que el usuario y/o el equipo no dará confianza. Este contenedor sólo existe a partir de Windows XP Professional y Windows Server 2003. También es posible restringir el uso de algunos certificados declarándolos en una directiva de restricción de software.
Rechazo de un certificado válido con una directiva de restricción de software
●
Otro método consiste en rechazar explícitamente la confianza al certificado cuando la aplicación proponga su validación.
La presencia de este contenedor proviene del robo de los dos certificados Microsoft al proveedor de certificados VeriSign.
●
●
●
Personas autorizadas (Trusted People): contiene los certificados emitidos a usuarios o entidades explícitamente aprobadas. Otras personas (Another People): contiene los certificados emitidos a usuarios o entidades aprobadas de forma implícita. Estos certificados deben formar parte de una jerarquía de autoridades de certificación aprobadas. Generalmente, se trata de certificados utilizados por funciones de seguridad como el cifrado y descifrado de datos con EFS (Encrypting File System) o del correo electrónico seguro S/MIME. Petición de inscripción de certificado (Certificate Enrollment Requests): este contenedor permite visualizar las peticiones de certificados en espera de proceso o rechazadas. Puede contener los ficheros de petición de certificados, que se crean cuando se envían las peticiones a una autoridad de certificación autónoma o cuando una autoridad de certificación de tipo empresa no está operativa.
A propósito de la administración del contenido de los almacenes de certificados: la ubicación física de un certificado se determinará automáticamente en función de las características de dicho certificado. Se almacenará localmente o en el directorio Active Directory en el contenedor adecuado a su función. Por defecto, la © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 27 -
consola de administración muestra una vista lógica de los certificados que es muy práctica y que no precisa de la visualización de las ubicaciones físicas. Observe sin embargo que para resolver eventuales problemas de funcionamiento de los certificados, puede ser útil activar la visualización de los almacenes físicos.
f. Origen de los certificados almacenados en los almacenes Los certificados que se encuentran en los almacenes de certificados pueden provenir de cuatro orígenes principales que enumeramos a continuación: ●
●
●
●
El certificado proviene de la instalación de Windows Server 2008, Windows Server 2003 o de Windows Vista o Windows XP Professional. Proviene en principio del CDRom. Estos certificados revelarán la identidad de la corporación Microsoft y la de sus socios. Una aplicación Web inicia una sesión SSL. En relación a esta sesión segura y, una vez se establece la relación de confianza, en el equipo se almacena un certificado. Un usuario acepta de forma implícita un certificado. Puede ser el caso de la instalación de un software, de la recepción de un correo electrónico cifrado o firmado digitalmente. Un usuario pide expresamente un certificado a una autoridad de certificación. Este puede ser el caso para acceder a los recursos concretos de una organización.
A medida que los usuarios y los equipos utilizan aplicaciones que necesitan certificados (conexiones Web, autenticaciones seguras, etc.), aparecen nuevas entradas en el almacén de certificados de equipos y usuarios.
g. Protección y almacenamiento de claves privadas El almacenamiento de claves privadas es un punto fundamental para todos los sistemas que implementan los certificados X.509 versión 3 y los servicios ofrecidos por las infraestructuras de clave pública. El hecho de no tener en cuenta esta problemática anula los altos niveles de seguridad ofrecidos. De hecho, es como si las llaves de una caja fuerte no se guardaran en un lugar seguro. Hay que destacar el hecho de que toda persona (o proceso) que pueda obtener y utilizar de manera ilegal una clave principal, de hecho está usurpando la identidad del verdadero propietario de la clave. La persona puede utilizarla para descifrar los datos cifrados en la base de la clave pública del verdadero propietario y también para firmar todo tipo de datos soportados. Una vez más, es una usurpación del verdadero poseedor de la clave privada. Por todos estos motivos, es primordial que las claves privadas se "almacenen" en lugares protegidos de tal manera que sólo puedan acceder a ellas las personas autorizadas. En general, la protección de las claves privadas se implementa en el sistema operativo a través de mecanismos de protección de las zonas de memoria que contienen las claves y el código que está funcionando. Sin embargo, un hacker puede atacar el sistema operativo y provocar un problema importante para conseguir la información que hay en el dump de memoria. Por supuesto, también es posible atacar físicamente un ordenador situado en una zona donde el acceso no esté controlado. En este caso, es fácil para un hacker arrancar el ordenador con un CDRom, una llave USB u otro medio y utilizar herramientas de bajo nivel para localizar y después intentar descifrar las claves privadas. El almacenamiento de las copias de seguridad que contienen las claves privadas almacenadas que estaban almacenadas en el disco duro es, desde este punto de vista, un tema que debemos tener en cuenta. Almacenamiento de claves y externalización del almacenamiento de las copias de seguridad: en la mayoría de los casos, los sistemas más sensibles están sujetos a procedimientos de acceso físico regulados y limitados. Las salas informáticas están equipadas con sistemas de control de acceso, los chasis pueden estar equipados con cerraduras reforzadas, etc. De este modo, es poco probable que se pueda producir un ataque físico a la máquina. Sin embargo, ¿qué ocurre con las copias de seguridad? Quizá es más fácil para el hacker robar los cartuchos de las copias de seguridad. Bastaría entonces con restaurarlas fuera de la red de producción para, tranquilamente, romper la seguridad del sistema y recuperar las claves que están almacenadas. Una vez se obtiene la información, las claves se pueden utilizar ilegalmente. Para proteger la ubicación donde están las claves privadas, conviene almacenar las claves fuera del entorno de la máquina y del sistema operativo. La instalación de un periférico tipo tarjeta inteligente lo permite fácilmente. Las claves privadas están entonces protegidas, ya que ninguna de ellas está en la máquina, ni en la memoria RAM, que está bajo el control del sistema operativo subyacente. Las siguientes recomendaciones le permitirán implementar un entorno apto para asegurar una buena protección de sus claves privadas:
- 28 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
●
Es necesario asegurarse que los equipos que contienen las claves privadas particularmente sensibles residen en un entorno seguro tanto desde un punto de vista físico, localmente en un ordenador concreto, como desde un punto de vista de red. Por ejemplo, el alojamiento de un sitio de comercio electrónico, en que la seguridad descansa en gran medida en la clave privada del certificado del servidor, se debe tratar de forma particular. Se recomienda implementar periféricos de almacenamiento de las claves privadas. Una clave privada se puede almacenar en un archivo externo codificado. En caso de cierre del sistema, de volcado de memoria o de un ataque a la red del servidor, no se podrá acceder a las claves privadas ya que están fuera del servidor y nunca en la memoria del sistema.
Es indispensable ofrecer el mejor nivel de seguridad a los sistemas que usan claves privadas particularmente sensibles. Por ejemplo, en el caso de una autoridad de certificación raíz donde es frecuente que la máquina esté alojada en un lugar muy seguro, pero también desconectada de la red de producción.
Recuerde que la pérdida o divulgación de una clave privada pude tener consecuencias que variarán en función de su importancia. Una persona que disponga de una clave privada de otra persona tiene la posibilidad de descifrar todos los mensaje cifrados en base a la clave pública asociada en este caso, la del destinatario. Además, la clave privada en cuestión se podrá utilizar para firmar mensajes o datos "en nombre" del verdadero sujeto. Este último caso muestra el robo de la identidad del sujeto.
5. Consola de administración MMC de certificados El complemento Certificats permite administrar los certificados de usuarios, equipos o servicios. Le permite pedir nuevos certificados a las Autoridades de certificación de la empresa que funcionan con Windows Server 2003 y Windows Server 2008. Además, los usuarios pueden buscar, visualizar, importar y exportar los certificados a partir de los almacenes de certificados. Sin embargo, en la mayor parte de los casos, los usuarios no tienen que administrar personalmente sus certificados ni sus almacenes de certificados. Esta operación la pueden efectuar los administradores mediante los parámetros de directiva de grupo y a través de los programas que utilizan los certificados. Los administradores son los principales usuarios del complemento Certificados, y, como tales, son capaces de realizar diferentes tareas de gestión de certificados en su almacén de certificados personal así como en los almacenes de cualquier equipo o servicio sobre el que tienen derechos de administración.
6. Nuevas interfaces criptográficas de Windows Vista y Windows Server 2008 Los sistemas Windows incorporan múltiples interfaces de programación criptográfica. Estas interfaces están en el núcleo de los mecanismos de seguridad del sistema y de las aplicaciones que utilizan estos servicios. Las enumeramos a continuación.
a. Interfaz CNG (Cryptographic API Next Generation) La interfaz CNG es la interfaz de programación que reemplaza CryptoAPI a largo plazo a partir de Windows Vista y Windows Server 2008. Los mecanismos criptográficos han evolucionado mucho estos últimos años, cosa que ha hecho necesario definir una nueva interfaz. Las principales funcionalidades de la interfaz CNG son las siguientes: ●
●
●
●
CNG permite a los desarrolladores implementar sus propios algorimos criptográficos. CNG soporta la ejecución en modo kernel. De hecho, la misma interfaz de programación está disponible en modo usuario y en modo kernel. De este modo, los protocolos SSL e IPSec pueden funcionar en modo kernel para el arranque de procesos apoyándose en la interfaz CNG. CNG está en proceso de evaluación para obtener la certificación FIPS 1402 (Federal Information Processing Standards) y la evaluación Common Criteria en las plataformas seleccionadas (mecanismos de fuerte aislamiento y funciones de auditoría). CNG es compatible con todos los algoritmos incluidos en la interfaz CryptoAPI 1.0. Microsoft ha precisado que
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 29 -
todos los algoritmos soportados por CryptoAPI 1.0 también serán soportados por la nueva interfaz CNG. ●
●
CNG proporciona el soporte de los algoritmos ECC Elliptic Curve Cryptography, Suite B, necesarios para las exigencias de seguridad del gobierno norteamericano (Algoritmos ECC (ECDH, ECDSA), curvas P256, P384 y P521 y empaquetados SHA2 (256, 384, 512). Otro punto importante es relativo a la gestión de chips TPM soportados por Windows Vista. CNG soporta el almacenamiento y el aislamiento de las claves, funcionalidad indispensable para soportar los chips TPM (Trusted Platform Module).
¡Atención! La interfaz CNG utilizada por las autoridades de certificaciones que funcionan con Windows Server 2008 permite a protocolos como IPSec y SSL utilizar algoritmos criptográficos personalizados. Para utilizar estos nuevos algoritmos, es indispensable que la autoridad de certificación y las aplicaciones soporten ECC, o cualquier otro algoritmo implementado a través de la interfaz CNG. Por su parte, la autoridad de certificación que funciona con Windows Server 2008 debe ser capaz de emitir y administrar los nuevos tipos de certificados, y por otro lado, las aplicaciones deben poder utilizar las claves generadas basadas en los nuevos algoritmos.
Los algoritmos de tipo ECC de la suite B sólo son soportados por Windows Vista y Windows Server 2008. Los sistemas que funcionan con Windows XP Professional y Windows Server 2003, deben continuar utilizando algoritmos como los definidos por RSA. Es importante destacar que los sistemas que funcionan con Windows Vista y Windows Server 2008 pueden utilizar simultáneamente la antigua interfaz criptográfica CryptoAPI y la nueva interfaz CNG. Sin embargo, no hay que perder de vista que, para utilizar los nuevos algoritmos ECC de la suite B, es necesario disponer de actualizaciones de protocolos como IPSec, SSL o incluso S/MIME.
7. Servicios de certificados de Windows Server 2008 a. Introducción Las tecnologías criptográficas y los servicios de certificados han sido considerados como los sujetos más importantes desde las primeras versiones de Windows NT. Los servicios de certificados de Windows Server 2008 corresponden a la Versión 4 de estos servicios. La siguiente tabla muestra la lista de las diferentes versiones principales. 2008
Windows Server 2008
CA de tipo v4
2003
Windows Server 2003
CA de tipo v3
2000
Windows 2000 Server
CA de tipo v2
1998
Windows NT 4 + Option Pack
CA de tipo v1
1996
Windows NT Server 4.0
…
1995
Windows NT Server 3.51
…
1994
Windows NT Server 3.5
…
1993
Windows NT 3.1
…
La primera implementación de los servicios de certificados estuvo disponible en Windows NT Server 4.0 SP2 con Windows NT Option Pack. Esta primera versión permitía a los administradores NT gestionar los certificados X.509v3 para implementar el cifrado HTTPS a través de SSL, el correo electrónico seguro a través del protocolo S/MIME o la implementación de aplicaciones seguras específicas. Los servicios de certificados incluidos en la familia Windows 2000 Server fueron un avance significativo. De hecho, las autoridades de empresa Windows 2000 se pueden integrar en los servicios de directorio Active Directory. Esta relación con los servicios de directorio LDAP y los servicios de seguridad Kerberos permite a las máquinas Windows 2000 autenticadas con el protocolo Kerberos utilizar servicios sofisticados como la entrega de certificados para los ordenadores de forma automática. También es posible implementar una administración más flexible incluso si no permite todavía delegar completamente todas las tareas de administración. Por último, las autoridades de certificación Windows 2000 permiten la puesta en funcionamiento de múltiples jerarquías de autoridades con o sin integración Active Directory.
- 30 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Las autoridades de certificación que funcionan en Windows Server 2003 hacen desaparecer todas las limitaciones de las autoridades Windows 2000 y permiten a los usuarios Active Directory obtener automáticamente certificados de usuario a partir de su estación de trabajo que funciona en Windows XP Professional. La administración de las autoridades Windows Server 2003 es mucho más precisa. Una de las operaciones más interesantes permite a los administradores delegar en un tercero la autorización de validar las peticiones de certificados en espera de validación únicamente a algunos usuarios o grupos de usuarios. Esta posibilidad permite delegar la validación de algunos tipos de certificados en personas responsables de esta sensible tarea. Este podrá, por ejemplo, ser el caso de un jefe de servicio. Finalmente, entre las funciones ofrecidas por las autoridades que funcionan en Windows Server 2003, es importante observar los siguientes puntos: ●
Administración de los certificados con plantillas totalmente personalizables.
●
Administración del archivado y de la recuperación de claves privadas de manera centralizada.
●
●
●
●
●
●
La inscripción automática de los certificados por los usuarios que utilizan estaciones de trabajo Windows XP Professional y Windows Vista miembros de un dominio Active Directory. La puesta a disposición de listas de revocación de certificados "Delta" para todas las aplicaciones que utilicen la interfaz CryptoAPI en Windows XP Professional, Windows Vista y los sistemas de la familia Windows Server 2003 y Windows Server 2008. Esta nueva funcionalidad permite publicar listas de revocación de certificados basadas en deltas. Este método minimiza el tráfico de red reduciendo el número de descargas de listas de revocación de certificados demasiado largas. El cliente descarga la lista delta más reciente y la asocia a la última lista de base para disponer de una lista completa. El soporte de certificaciones cruzadas, que permiten establecer relaciones de confianza entre dos autoridades de certificación que pertenecen a jerarquías de aprobación diferentes, con el fin permitir que un certificado se pueda utilizar en una jerarquía diferente a la de su origen. El soporte de la subordinación cualificada. Esta posibilidad permite imponer limitaciones de emisión de certificados a autoridades de certificación subordinadas. Es posible imponer restricciones de utilización a certificados entregados por estas autoridades y restringir el poder de las autoridades de certificación en función de las necesidades. La separación de funciones. Esta nueva funcionalidad permite a un usuario efectuar una operación de administración de una autoridad de certificación si posee más de una función sobre dicha autoridad. De este modo, el eventual compromiso de la cuenta en cuestión no puede poner en peligro a toda la autoridad. La auditoría de sucesos. Esta opción, disponible sólo en autoridades de certificación de Windows Server 2003 Edition Entreprise o Windows Server 2008 Edition Entreprise o superiores, permite registrar los eventos relativos a la actividad de la autoridad de certificación como la emisión de los certificados o los cambios de funciones.
Todas estas funcionalidades se comentan más tarde y se presentan nuevas funciones de servicios de certificados incluidos en Windows Server "Longhorn".
b. ¿Por qué utilizar una PKI Microsoft Windows Server en lugar de otra? Los servicios de certificados incluidos en Windows Server 2008 presentan numerosas ventajas que interesarán en más de un aspecto a los administradores de infraestructuras seguras Windows. ●
●
Las PKI Microsoft son muy flexibles. De hecho, una autoridad de certificación Windows Server 2003 o Windows Server 2008 se puede instalar de dos maneras: en modo "autónomo" o en modo "empresa". Estos dos tipos de configuración permiten cubrir todos los escenarios de empresa, sabiendo que la principal funcionalidad de las autoridades de tipo empresa es la de aprovechar la integración con Active Directory, la precisión de la personalización de las plantillas certificados y los mecanismos de inscripción automática y de renovación de certificados. Por último, el despliegue de una arquitectura PKI Microsoft se beneficiará de la inversión en tecnología vinculada a la infraestructura Active Directory. Las PKI Microsoft son interoperables. Microsoft es un miembro activo de los diferentes grupos de trabajo dedicados a los PKI y de los múltiples acuerdos existentes entre Microsoft y otros desarrolladores de soluciones criptográficas. De hecho, los servicios de certificados Microsoft soportan la mayoría de los algoritmos criptográficos (RSA (Rivest Shamir Adleman), DSA (Digital Signature Algorithm), RC4 (Rivest Cipher 4), AES (Advanced Encryption Standard)) así como los estándares relativos a las infraestructuras de clave pública como las publicaciones IETF PKIX (Public Key Infrastructure X.509 Working Group), los formatos ITUT X.509 et © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 31 -
PKCS (Public Key Cryptography Standard). El soporte de estos estándares es fundamental para exportar o importar certificados a o desde los ficheros PKCS #12 y PKCS #7, así como de los ficheros de certificados binarios codificados a través del formato X.509. ●
Los PKI Microsoft son muy eficientes. Los equipos de pruebas de Microsoft han demostrado durante sus pruebas que una sola autoridad de certificación Windows Server 2003, puede emitir más de treinta millones de certificados a un ritmo superior a cincuenta certificados por segundo. Este gran rendimiento se explica fácilmente por el hecho de que los servicios de certificados interactúan con una base de datos utilizando el motor ESE (Extensible Storage Engine), ya utilizado con los servicios de directorio Microsoft Active Directory y los bancos de información de Microsoft Exchange Server.
Importancia de los criterios de rendimiento: La función primera de una autoridad de certificación es "tratar" las peticiones de certificados emitidas por los usuarios, los equipos, los periféricos o las aplicaciones. Este proceso consiste en aceptar o rechazar las peticiones de certificados así como asegurar las funciones de administración de certificados como la renovación o la revocación de dichos certificados. Las autoridades de certificación son también responsables de la publicación de las listas de revocación delta, que necesitan también un nivel de disponibilidad y de rendimiento suficiente.
●
Las PKI Microsoft son ampliables. Las autoridades de certificación Windows Server 2003 y Windows Server 2008 soportan múltiples módulos de directiva y de salida. Los módulos de directiva indican a la autoridad bajo qué condiciones las peticiones de certificados se tienen en cuenta. Los módulos de salida indican a la autoridad como y dónde los certificados emitidos se publican. Por último, es también posible vincular la autoridad de certificación a los módulos de seguridad HSM (Hardware Security Modules).
A propósito de otras alternativas a los servicios de certificados de Windows Server. Los competidores de Microsoft (por ejemplo, Entrust y Baltimore) disponen de soluciones muy eficaces cuyos costes son importantes, sin ofrecer una integración tan avanzada como la de Microsoft en redes Windows. Los estudios demuestran que el coste total de propiedad de las infraestructuras PKI está vinculado en gran parte al despliegue y a la renovación de los certificados. Este punto es pues, particularmente importante, ya que sólo los servicios de certificados de Windows Server 2003 y de Windows Server 2008 soportan la inscripción dinámica y la renovación automática de los certificados para los equipos y también para los usuarios.
●
●
Los PKI Microsoft pueden aumentar fácilmente el nivel de seguridad a múltiples niveles. La integración de los servicios de certificados Microsoft en los servicios de directorio Active Directory permite desplegar un sistema de autenticación multifactorial como las tarjetas inteligentes. También es posible utilizar el protocolo IPSec para asegurar la confidencialidad y la integridad de los datos transmitidos por la red así como el cifrado de los ficheros EFS (Encrypting File System), para asegurar la confidencialidad de los datos almacenados en discos NTFS. Los PKI Microsoft se aprovechan de una administración simplificada. La empresa puede entregar certificados y, en relación con otras tecnologías, suprimir el uso de contraseñas. Se facilitan mucho las funciones de revocación y la publicación de las listas de revocación de certificados. Una vez más, los administradores se beneficiarán de la integración de los servicios de certificados con el directorio Active Directory, de las directivas de grupo, de las aplicaciones integradas en Active Directory, de los objetos usuario y equipos así como de los servicios de autenticación y de protección de red (servicios Radius IAS y servicios NAP (Network Access Protection) de Windows Server 2008).
c. Importancia de la Arquitectura de una infraestructura de clave pública Es muy importante considerar el carácter "crítico y central" de una infraestructura PKI en un sistema de información de una empresa. De hecho, los servicios ofrecidos por una PKI sirven de componentes de seguridad para numerosas aplicaciones y son tan importantes como las aplicaciones. Los siguientes puntos, si se tienen en cuenta, pueden servir como punto de referencia para evitar los errores más frecuentes. ●
●
- 32 -
Estudie y valide todos los puntos relativos a la arquitectura y al despliegue "en las reglas de la técnica" de su infraestructura PKI. Cada empresa tiene sus propias limitaciones y exigencias en términos de niveles y prácticas de seguridad, también existen múltiples soluciones, cada una adaptada a cada caso. Busque la simplicidad. Las tecnologías, procesos y métodos relativos a las infraestructuras PKI son complejas. Siendo el primer objetivo reforzar la seguridad de los usuarios, equipos y aplicaciones disponibles en la red, es indispensable ocultar los detalles y la complejidad de las tecnologías PKI promocionando su lado funcional.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
8. Novedades aportadas por las Autoridades Windows Server 2008 Windows Server 2008 es una versión importante en muchos aspectos, particularmente en materia de seguridad, de fiabilidad y de interoperabilidad. De hecho, los servicios de certificados, ahora llamados AD CS, evolucionan para permitir un mejor uso global de las infraestructuras de claves públicas. El hecho de que los servicios de certificados de Windows Server 2008 lleven ahora el nombre de "Active Directory Certificate Services" no significa que no sea posible desplegar una autoridad de certificación en modo autónomo, sin la presencia de los servicios de dominio Active Directory. Microsoft pone en evidencia la importancia de los servicios Active Directory cuando se quiere desplegar una infraestructura de claves públicas implementada a través de los servicios de certificados de Windows Server 2008. El objetivo principal de las mejoras aportadas a los servicios de certificados de Windows Server está esencialmente enfocado a una gestión aún más flexible y precisa de la obtención de los certificados por los clientes. Las novedades más significativas aportadas por Windows Server 2008 con AD CS son las siguientes: ●
●
●
●
●
El control de los parámetros globales con PKI View. El soporte del protocolo SCEP (Simple Certificate Enrollment Protocol). Las infraestructuras PKI de Windows Server 2003, y también de Windows 2000 Server, participaron en la implementación de métodos inteligentes para que la inscripción de los certificados de ordenadores y usuarios sea lo más transparente posible. Actualmente, el servicio NDES (Network Device Enrollment Service) permite la entrega de certificados de dispositivos de red, como por ejemplo los routers, los servidores VPN o cualquier otro elemento activo que deba disponer de un certificado. Para implementar mejor los escenarios que favorecen los métodos basados en la Web (formularios de petición de inscripción, etc.), los servicios AD CS aportan modificaciones importantes a la interfaz de inscripción Web. El soporte del protocolo OCSP (Online Certificate Status Protocol) tiene por objeto facilitar la implementación de las infraestructuras PKI complejas, incluyendo cuando es necesario poner en funcionamiento sitios remotos. Una gran precisión y facilidad de administración con los nuevos parámetros de directivas de grupo disponibles con Windows Vista y Windows XP Professional para desplegar diferentes tipos de certificados. Ocurre igual en la renovación de dichos certificados, tarea que puede ser todavía más costosa que la inscripción inicial.
a. Nuevo componente MMC PKI de empresa Este nuevo complemento de administración facilita las tareas de administración esenciales de infraestructuras de clave pública integradas en un entorno Active Directory. Permite la supervisión, la solución de problemas, y da un rápido vistazo al estado de funcionamiento de las jerarquías de autoridades integradas en Active Directory. En un principio, esta herramienta formaba parte del kit de recursos técnicos de Windows Server 2003 y ahora forma parte de la herramientas de administración de Windows Server 2008.
Estado global de los servicios de certificados a través del complemento MMC PKI de empresa La primera funcionalidad de esta herramienta es permitir una visibilidad eficaz del estado del entorno vital de las autoridades de certificación. También es posible visualizar la accesibilidad y validez de la información de acceso de autoridad AIA (Authority Information Access), así como el estado de los puntos de distribución (Certificates
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 33 -
Distribution Points) que contienen las listas de revocación de certificados (CRL). Se tienen en cuenta los siguientes estados: ●
En línea y Fuera de línea de las autoridades.
●
Problema crítico.
●
Problema no crítico
●
Operativo
El complemento MMC PKI de empresa permite también el acceso simplificado a las funciones de administración de servicios de certificados AD CS. Es fácil, con esta herramienta, corregir o modificar los parámetros de una autoridad de certificación o incluso publicar o actualizar las listas de revocaciones. La siguiente figura muestra el estado de buen funcionamiento de la autoridad de certificación AddscorpCA.
Lista de las CA y su estado
b. Inscripción de los dispositivos de red con el protocolo MSCEP Las autoridades de certificación de Windows Server 2008 soportan el protocolo SCEP (Simple Certificate Enrollment Protocol), que es actualmente una referencia como estándar de Internet de tipo draft. Este RFC describe el protocolo de comunicación capaz de permitir a diversos tipos de elementos de red comunicarse con una autoridad de registro RA (Registration Authority), para la inscripción de los certificados. El protocolo SCEP ya podía implementarse en Windows Server 2003 a través de IIS 6.0 y un filtro ISAPI instalado directamente en la autoridad de certificación, actualmente esta posibilidad está integrada en los servicios AD CS. Windows Server 2008 implementa funcionalidades más avanzadas que la versión publicada en IETF. Esta versión se denomina MSCEP por Microsoft SCEP. En un principio, el protocolo SCEP ha sido desarrollado por Cisco como extensión de los métodos de inscripción que existían anteriormente. Está basado en el protocolo desarrollado por VeriSign para el hardware Cisco. Puede obtener más detalles en la siguiente dirección: http://www.ietf.org/internetdrafts/draftnoursescep14.txt
El protocolo SCEP no está disponible en las versiones Standard y Web de Windows Server 2008, sólo en las versiones Entreprise y Datacenter. La implementación de la DLL ISAPI responsable del protocolo MSCEP implementa las siguientes funcionalidades: ●
●
●
La generación de contraseñas de uso único (onetime passwords) para los administradores. La puesta en marcha de las peticiones de inscripción transportadas por el protocolo SCEP salidas de periféricos de red como switchs, routers u otros elementos activos que soportan el protocolo SCEP. La recuperación de las peticiones en espera almacenadas en la autoridad de certificación.
Instalación y método de despliegue - 34 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
El despliegue de los servicios de inscripción de dispositivos de red necesita un mínimo de planificación. El primer concepto consiste en instalar el servicio adecuado, que no se puede instalar al mismo tiempo que la autoridad de certificación.
Añadido de un servicio de función con el Administrador de servidor Windows Server 2008 y de los servicios de certificados Active Directory Esta primera etapa se realiza muy fácilmente utilizando la opción Agregar servicios de función en la categoría Servicios de Certificate Server de Active Directory del Administrador del servidor. A continuación, el asistente de instalación necesitará informar los siguientes parámetros: ●
●
●
Declarar la identidad utilizada por el servicio de inscripción de dispositivos de red. Tendrá la posibilidad de utilizar una cuenta de servicio o la autoridad integrada Network Service, sabiendo que se recomienda la primera alternativa. Observe que en este caso la cuenta creada tiene que ser miembro del grupo IIS_IUSRS. Declarar el nombre de la autoridad de registro (Registration Authority), sin omitir la información de región y país, que se incluyen en todos los certificados MSCEP entregados. Declarar las CSP (Cryptographic Service Provider), que se deben utilizar para generar las claves de cifrado que se utilizarán para cifrar el tráfico entre la autoridad de certificación y la autoridad de registro. También será necesario hacer el mismo tipo de elección respecto a la seguridad de los flujos entre la autoridad de registro y el o los dispositivos de red. En los dos casos, será necesario definir el tamaño de las claves de cifrado, fijadas por defecto a 2048 bits.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 35 -
Añadido del servicio de inscripción de dispositivos de red
¡Atención! El proceso de instalación de los servicios de inscripción de dispositivos de red inscribe una nueva autoridad de registro y suprime los certificados de las anteriores autoridades de registro que se hubieran instalado anteriormente. Microsoft recomienda que en el caso en que sea necesario instalar una RA en una máquina en la que ya se hubiera hecho una instalación, se cierren los procesos en curso para no perder ningún dato. El proceso de inscripción se compone de las siguientes etapas: 1. El periférico de red genera un par de claves de tipo RSA. 2. El administrador obtiene una contraseña del servicio de inscripción del dispositivo de red de Windows Server 2008 con la página de administración de los servicios de inscripción de dispositivos de red. El servicio comprueba que el administrador dispone de los permisos necesarios sobre las plantillas de certificados requeridas.
- 36 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Acceso a la interfaz de administración del servicio de inscripción de dispositivo de red 3. El administrador configura el dispositivo con la contraseña y declara el certificado de la autoridad de certificación de empresa utilizado. Esta operación es específica para cada periférico pero utiliza generalmente la función GetCACert implementada por el servicio SCEP. 4. El administrador configura el dispositivo para enviar la petición de inscripción al servicio de inscripción de dispositivos de red que funciona en el servidor Windows Server 2008. 5. El servicio de inscripción de dispositivos de red firma la petición de inscripción con el certificado de tipo Agente de inscripción y después lo envía a la autoridad de certificación. 6. La autoridad de certificación emite el certificado y transmite la información al servicio de inscripción de dispositivos de red. 7. El dispositivo recupera el certificado emitido a partir del servicio de inscripción de periféricos de red. Al final del proceso, el dispositivo es capaz de implementar los mecanismos criptográficos que son necesarios sobre la base del par de claves pública/privada.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 37 -
Proceso de inscripción completo con una RA (Registration Authority), y del protocolo SCEP con Windows Server 2008
Securización del protocolo SCEP y configuración de IIS Durante el proceso de instalación, el asistente de configuración de los servicios de inscripción de periféricos de red propone instalar y configurar Microsoft IIS y los componentes IIS relacionados necesarios. Durante esta fase, se crean dos directorios virtuales: ●
El primer directorio virtual se utiliza en las peticiones de contraseñas.
●
El segundo directorio se utiliza en el envío de las peticiones de certificados.
Las peticiones de contraseñas sólo se pueden hacer después de que el usuario haya sido autenticado y que se hayan comprobado los permisos necesarios. Si se valida el usuario, el servicio generará una nueva contraseña, que se retornará en texto claro. Por esta razón es necesario implementar SSL en el directorio virtual.
Parámetros por defecto del servicio SCEP El servicio de inscripción de dispositivos de red se configura por defecto para satisfacer a la mayoría de las configuraciones. Todos los parámetros de configuración del servicio se ubican en la siguiente clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\ MSCEP
- 38 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
En el caso en que la clave anterior no exista, el servicio de inscripción de periféricos de red utilizará los parámetros por defecto "hardcode" Para obtener más detalles sobre la implementación y los parámetros avanzados del servicio de inscripción de dispositivos de red, puede descargar el documento Active Directory Certificate Services: Network Device Enrollment Service en la siguiente dirección: http://www.microsoft.com/downloads/details.aspx?FamilyID = 10845bc8d446&displaylang=en
e11780de819f40d78b8e
Implementación de restricciones en los Agentes de inscripción delegados en el certificado de la autoridad de registro (RA Certificate) Microsoft recomienda restringir los agentes de inscripción declarando en cada autoridad de certificación que funciona en Windows Server 2008 Agentes de inscripción específicamente configurados. Des este modo, cada certificado de agente de inscripción sólo lo podrán utilizar algunos dispositivos. El hecho de no crear una delegación implica que el servicio de inscripción de dispositivos de red tiene el poder de entregar certificados para todo el que lo pida. Observe que esta funcionalidad no está disponible más que en las autoridades de certificación que funcionan en Windows Server 2008 Edition Entreprise. La siguiente ventana muestra que Maria Valero dispone de una restricción que le permite, en la plantilla denominada Cifrado CEP autorizar al usuario Miguel López inscribir un certificado basado en esta plantilla, mientras que el usuario JMartinez dispone de permisos diferentes.
Declaración de las restricciones en los agentes de inscripciones con las propiedades de los servicios de certificados AD CS de Windows Server 2008
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 39 -
La administración de las restricciones necesita una autoridad de certificación que funcione en Windows Server 2008 De hecho, Windows Server 2003 Edition Entreprise no permite a un agente de inscripción inscribir certificados para algunos sujetos particulares. Las autoridades de certificación que funcionan en Windows Server 2008 permiten ahora a una empresa controlar de manera muy estricta qué plantillas de certificados puede utilizar el agente y para qué. El hecho de limitar el ámbito de los agentes de inscripción, permite controlar mejor la delegación de la confianza a terceros aprobados y los riesgos asociados. http://www.microsoft.com/downloads/details.aspx?familyid = 0539ba21ab95&displaylang=en
9bf17231d8324ff98fb8
Definición de un periodo de validez correcto para los certificados de dispositivos Hay que encontrar un punto medio entre la facilidad de administración y el nivel de seguridad exigido. Durante el periodo de validez del certificado se tendrá que producir el proceso de inscripción y de renovación. El inconveniente de una política como ésta es que un hacker dispondría de más tiempo para calcular la clave privada. Por defecto, el periodo de validez se fija en un año. Se recomienda sólo para un número limitado de dispositivos, y si el riesgo en materia de seguridad es aceptable, el periodo de seguridad se podrá extender a dos años. Una política como ésta permite minimizar las operaciones de renovación de certificados y, por tanto, minimizar las tareas de administración.
Securización de las peticiones y disponibilidad del servicio SCEP No es necesario que el servicio de registro de dispositivos esté disponible permanentemente. De hecho, un vez uno o más dispositivos se inscriben, se recomienda parar los servicios IIS. Para poder renovar los certificados que expiren se tendrá que arrancar el servicio IIS. En el caso en que otras aplicaciones utilicen el servicio IIS, es posible parar sólo el pool de aplicaciones utilizado por el sitio responsable de los servicios de registro de dispositivos. El hecho de parar IIS borra todos los datos temporales utilizados por el servicio SCEP, como por ejemplo, las contraseñas en espera.
c. Evolución de los métodos de inscripción Web con AD CS Windows Server 2008 introduce un cambio importante relativo al soporte del registro de certificados a través de una interfaz Web. Este método, disponible desde Windows 2000 Server, ofrece un servicio de entrega completamente personalizable para emitir certificados utilizados por numerosas aplicaciones que utilizan tecnologías criptográficas basadas en la utilización de claves públicas y privadas. La utilización de esta interfaz Web es particularmente interesante, y necesaria, cuando la estación de trabajo no forma parte de un dominio Active Directory o bien cuando la autoridad de certificación está situada en otro bosque Active Directory. En Windows Server 2008 y Windows Vista, el control ActiveX Xenroll se reemplaza por CertEnroll.dll Windows Server 2008 y Windows Vista introducen un nuevo componente COM directamente incluido en el sistema operativo para implementar operaciones relativas a la inscripción de los certificados. Este nuevo componente, CertEnroll.dll, se ha desarrollado específicamente para Windows Server 2008 y Windows Vista. De este modo, no es necesario instalar y utilizar el antiguo control ActiveX Xenroll, que apareció con Windows 2000 y actualmente se considera muy frágil y poco seguro.
- 40 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
El componente CertEnroll.dll Cliente de inscripción de los servicios de certificados Como ocurría con Windows Server 2003, las autoridades de certificación que funcionan con Windows Server 2008 tienen una interfaz Web que implementa las operaciones de inscripción a través de un navegador como Microsoft Internet Explorer 6.x o Netscape 8.1. La siguiente figura ilustra la utilización del control ActiveX Xenroll Microsoft Certificate Enrollment Control, publicado por Microsoft y disponible en servidores que funcionen con Windows Server 2008 con los servicios de certificados Active Directory AD CS.
Descarga e instalación del control ActiveX en una estación de trabajo Windows XP Professional
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 41 -
Las autoridades de certificación AD CS permiten a las máquinas que funcionan con Windows 2000, Windows XP y Windows Server 2003 usar el control XEnroll. Los sistemas que funcionan con Windows Vista utilizan de modo nativo el nuevo componente CertEnroll.dll ya no pueden utilizar el antiguo control ActiveX.
Interoperabilidad de las interfaces de inscripción Web de Windows Server 2003 y de Windows Server 2008 Hemos visto anteriormente que las autoridades de certificación que funcionan en Windows Server 2008 soportaban a la vez máquinas con Windows 2000, Windows XP y Windows Server 2003 pero también máquinas Windows Vista y Windows Server 2008. Por desgracia, no ocurre lo mismo con las autoridades de certificación de Windows Server 2003 que no soportan el reconocimiento de Windows Vista. Los niveles de interoperabilidad son los siguientes: ●
●
Estaciones de trabajo cuyo sistema operativo es anterior a Windows Vista: estas máquinas son soportadas por las autoridades de certificación Windows Server 2003, Windows Server 2003 SP1 y SP2. Las autoridades de certificación Windows Server 2008 soportan también estas máquinas, pero de manera limitada. Estaciones de trabajo cuyo sistema operativo es Windows Vista o posterior: estas máquinas no son soportadas por las autoridades de certificación Windows Server 2003 o Windows Server 2003 SP1. Cuando utilice la interfaz Web de inscripción se mostrará el siguiente mensaje: Unsuccessful together with a “Downloading ActiveX control” message. Lo mismo ocurre con las autoridades de certificación Windows Server 2003 SP2. No obstante el mensaje indicará que es necesaria una actualización. Las autoridades de certificación Windows Server 2008 soportan totalmente las máquinas que funcionan con Windows Vista o posteriores.
Para obtener más indicaciones sobre el soporte de la interfaz Web de inscripción de certificados y el proceso de instalación de la interfaz de los servicios de certificados AD CS de Windows Server 2008 en un servidor que funcione con Windows Server 2003, puede consultar el artículo técnico Microsoft 922706 titulado "How to use Certificate Services Web enrollment pages together with Windows Vista".
Windows Server 2008, IIS 7.0 y el modo x64 La mayoría de procesadores Intel y AMD actuales soportan el funcionamiento de ediciones de 32 bits y 64 bits de Windows Server. El funcionamiento en modo 64 bits a través de Windows Server 2003 x64 o Windows Server 2008 x64 puede necesitar algunas validaciones funcionales. De hecho, IIS puede funcionar en una plataforma x64 en modo x64 o x86, es decir en modo 32 bits. Si instala IIS en un servidor que ejecuta un versión x64 de Windows Server 2008, debe tener cuidado de no instalar aplicaciones Web de 32 bits. En el caso en que una aplicación Web 32 bits se instale en un máquina con Windows Server 2008 x64, como, por ejemplo, WSUS, IIS funcionará en modo 32 bits. La aplicación Web 32 bits funcionará pero el servicio de inscripción Web, que necesita una plataforma x64, no funcionará.
Modificaciones en la inscripción Web con los servicios AD CS Conviene destacar que la interfaz Web integrada en los servicios de certificados AD CS introduce algunos cambios respecto a la anterior versión de Windows Server 2003. ●
●
●
- 42 -
Para poder enviar directamente una petición de certificado a través de las páginas de inscripción Web, es necesario disponer de una versión de navegador superior o igual a Microsoft Internet Explorer 6.x o Netscape 8.1. Los usuarios que no dispongan de estas versiones del navegador deberán realizar la petición del certificado generando una petición PKCS#10, siempre con la página de inscripción Web. No es posible utilizar las páginas de inscripción Web para realizar las peticiones de certificados basados en las plantillas de certificados versión 3.0, disponibles sólo a través de autoridades que funcionan en Windows Server 2008. Los certificados creados en base a las plantillas de certificados versión 3.0 soportan la emisión de certificados utilizando los protocolos criptográficos de la suite B. En Windows Vista no es posible que un usuario pueda pedir certificados de tipo equipo a través de la interfaz Web. Esta limitación se explica ya que en las máquinas que funcionan con Windows Vista, Internet Explorer no se puede ejecutar en el contexto de la máquina local.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
No se pueden utilizar las posibilidades aportadas por los Agentes de inscripción ya que estas funcionalidades se han suprimido de las páginas de inscripción Web incluidas con los servicios de certificados AD CS de Windows Server 2008. Esta funcionalidad era particularmente interesante para inscribir tarjetas inteligentes para los usuarios. Si desea utilizar esta funcionalidad con una autoridad de certificación de Windows Server 2008, se recomienda utilizar Windows Vista en la máquina que desempeña la función de equipo de inscripción de tarjetas inteligentes.
d. OCSP y parámetros de validación de la ruta de acceso A medida que la utilización de los certificados y la necesidad de protección de datos aumentan, los administradores utilizan directivas de confianza de certificados para mejorar el control de utilización de los certificados. Además, una administración no centralizada de los certificados puede convertirse rápidamente en una tarea de administración imposible. Es por esto que Windows Server 2008 y Windows Vista ofrecen actualmente un avance significativo para controlar mejor todos los procesos de registro así como la verificación de las rutas de acceso a la información de autoridades en particular relativas a las de revocaciones. Es en este último punto en que el protocolo OCSP (Online Certificate Status Protocol) permite administrar mejor la información de revocación. A fin de garantizar una gestión homogénea de estos importantes parámetros de seguridad, se recomienda administrar los certificados usando parámetros de directiva de grupo que se aplican a los clientes en un dominio Active Directory, un grupo, o una unidad organizativa. Los detalles de los parámetros importantes se presentan más adelante. El proceso de revocación es una parte importante de la gestión de los certificados. De hecho, cuando se presenta un certificado a una aplicación, la aplicación determina el estado de revocación del certificado comprobando si dicho certificado está incluido o no en la lista de revocación CRL (Certificate Revocation List) publicada por la autoridad de certificación. Un equipo toma la iniciativa de descargar una lista de revocación a partir de un punto de distribución CDP (CRL Distribution Point) sólo cuando la CRL que está en caché de la máquina ha expirado. Las listas de revocación imponen varias limitaciones. Las cuestiones relativas a estas limitaciones lo son en relación con las siguientes problemáticas: ●
¿Con qué frecuencia se actualizan las CRL en las autoridades de certificación?
●
¿Con qué frecuencia se publican las CRL en los CDP?
●
¿Qué impacto tiene en la red la publicación de las CRL?
Los inconvenientes de las listas de revocación son generalmente su tamaño que presenta limitaciones y efectos secundarios. En función del número de estaciones de trabajo, del número de certificados revocados, aumenta el ancho de banda consumido y es necesario compensarlo limitando la frecuencia de las actualizaciones y descargas de las CRL. Para responder a estas consideraciones, los servidores Windows Server 2008 soportan el protocolo OCSP (Online Certificate Status Protocol) definido por el RFC 2560. Este protocolo se implementa a través del servicio de respuesta en línea que proporciona la información de revocación de certificados, evitando así la comprobación y la descarga de las listas de revocación de certificados. La respuesta en línea implementada en Windows Server 2008 permite al destinatario de un certificado enviar una petición de estado del certificado a un contestador OCSP a través del protocolo HTTP (HyperText Transfer Protocol). El contestador OCSP reenvía una respuesta firmada digitalmente que indica el estado del certificado. A diferencia de los CRL que aumentan de manera incremental, la cantidad de datos a comprobar por petición es constante. No hay pues, relación entre el número de certificados revocados por la autoridad de certificación y el número de comprobaciones de validez de los certificados en la empresa.
Para obtener más información sobre el protocolo OCSP, puede consultar el RFC citado anteriormente, así como en la dirección Microsoft http://go.microsoft.com/fwlink/?LinkID= 71068. RFC 5019: The Lightweight Online Certificate Status Protocol (OCSP) Profile for HighVolume Environments. RFC 4806: Online Certificate Status Protocol (OCSP) Extensions to IKEv2. RFC 4557: Online Certificate Status Protocol (OCSP) Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT). RFC 2560: X.509 Internet Public Key Infrastructure Online Certificate Status Protocol. Todos los RFC se pueden descargar en la dirección http://www.rfceditor.org/
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 43 -
Componentes de la respuesta en línea El servicio de respuesta en línea incluido con Windows Server 2008 contiene los siguientes elementos: ●
Servicio de respuesta en línea: el servicio de respuesta en línea decodifica una petición de estado de revocación para un certificado concreto, evalúa el estado y envía una respuesta firmada. Esta respuesta contiene la información del estado del certificado.
Observe que el servicio de respuesta en línea es un componente distinto a una autoridad de certificación (CA). Por razones de seguridad, se podrá instalar independientemente de ella en un servidor diferente de la autoridad de certificación.
Instalación sólo del servicio de la función Respuesta en línea
●
Respuesta en línea: un servidor en el que se ejecutan el servicio de respuesta en línea así como el proxy Web del contestador. Un equipo que alberga una autoridad de certificación puede ser configurado igualmente como contestador conectado, pero se recomienda conservar las autoridades de certificación y los contestadores conectados en equipos distintos.
Observe que la respuesta en línea única puede proporcionar la información del estado de revocación para los certificados entregados por una o más autoridades. La información de revocación puede ser emitida por varios servicios de respuesta en línea. El servicio contestador conectado se puede instalar en cualquier servidor Windows Server 2008 Edition Entreprise o Datacenter.
Los datos de revocación de certificados se derivan de una lista de revocación de certificados (CRL) publicada que puede provenir de una autoridad Windows Server 2008, Windows Server 2003, Windows 2000 Server, o de cualquier autoridad no Microsoft.
●
●
- 44 -
Proxy Web de la respuesta en línea: la interfaz del servicio de respuesta en línea existe bajo la forma de una extensión ISAPI albergada por los servicios IIS. El proxy Web recibe y decodifica las peticiones y gestiona la caché de las respuestas. Configuración de revocación: una configuración de revocación contiene los parámetros necesarios para responder a las peticiones de estado de certificados que se hayan emitido a través de la utilización de una clave de autoridad de certificación específica. Estos parámetros incluyen el certificado de la autoridad, el certificado de firma del servicio de respuesta en línea y el tipo de proveedor a utilizar en la revocación.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
●
Proveedores de revocación: un proveedor de revocación es el módulo de software que, junto con otros parámetros de configuración de revocación, permite a al servicio de respuesta en línea comprobar el estado de un certificado. El proveedor de revocación Windows Server 2008 utiliza los datos de las listas de revocación (CRL) para dar la información de estado. Grupo de servicios de respuesta en línea: un grupo de servicios de respuesta en línea comprende uno o varios servicios de respuesta en línea miembros. Puede añadir contestadores conectados suplementarios a un grupo de contestadores conectado.
Puede ser interesante añadir contestadores conectados a un grupo existente para administrar ubicaciones geográficas diferentes, para mejorar la tolerancia a errores o bien para administrar eventuales problemas de rendimiento en sitios importantes.
●
Controlador de grupo de servicios de respuesta en línea: cuando diferentes contestadores conectados son miembros de un mismo grupo, un de los miembros se designa como controlador del grupo.
Cada servicio de respuesta en línea de un grupo se puede configurar independientemente. Sin embargo, en caso de conflicto, la información de configuración del controlador del grupo será prioritaria respecto a otros miembros del grupo.
Configuración de servicios de respuesta en línea en una red La configuración de servicios de respuesta en línea necesita varias etapas que deben efectuarse a nivel de la autoridad de certificación para entregar los certificados de firma OCSP (Online Certificate Status Protocol). Estos certificados son necesarios para el funcionamiento de cada equipo que desempeña la función de servicio de respuesta en línea.
Certificado de tipo Firma OCSP para instalar en el servidor que tenga el servicio de Respuesta en línea Es necesario declarar la plantilla de certificado apropiada, activar la plantilla de certificado en la autoridad emisora y
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 45 -
por último, activar el registros automático en el servidor que acoja el servicio de respuesta en línea. Esta última fase permite a la máquina autorizada obtener el certificado necesario para el funcionamiento del servicio de respuesta en línea. El proceso completo de instalación y configuración de un contestador conectado necesita la utilización del Administrador del servidor para instalar el servicio contestador conectado, el complemento MMC Plantillas de certificados para configurar y publicar los modelos de certificados de tipo Firma de respuesta OCSP, del complemento MMC Autoridad de certificación para incluir las extensiones OCSP. La última fase consiste en utilizar el complemento Respuesta en línea para crear una configuración de revocación y comprobar el buen funcionamiento del servicio con un equipo cliente. La siguiente figura ilustra el certificado utilizado y obtenido a través de la inscripción automática.
Visualización del estado de configuración de una configuración de revocación
Declaración de la ubicación del servicio de respuesta en línea OCSP en la extensión de acceso a la información de la autoridad en la autoridad de certificación La fase final de configuración consiste en introducir la o las URL de cada servicio de respuesta en línea. Las etapas de configuración son las siguientes: ■
■
■
■
En la autoridad de certificación, con la consola de administración MMC Autoridad de certificación, seleccione la autoridad de certificación y en el menú Acción, haga clic en Propiedades. Haga clic en la pestaña Extensiones. En la lista Seleccionar la extensión, haga clic en Acceso a la información de entidad (AIA), y a continuación en Agregar. Especifique las ubicaciones a partir de las cuales los usuarios pueden obtener los datos de revocación de certificados. Por defecto, se tratará de una URL como http://ServerOCSP/ocsp
¡Atención! Recuerde activar la casilla Incluir en la extensión del Protocolo de estado de certificados en línea (OCSP).
En este punto, asegúrese que la plantilla de certificado Firma de la respuesta OCSP está en la categoría Plantilla de certificados a nivel de la autoridad de certificación.
- 46 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Información de AIA de la autoridad de certificación y declaración de la URL de la respuesta en línea
Comprobación del buen funcionamiento de la Respuesta en línea OCSP Después de la instalación de un nuevo servicio de respuesta en línea, es indispensable comprobar que funcione correctamente. El proceso consiste en revocar uno o más certificados emitidos y después comprobar el servicio de respuesta en línea devuelve los datos de revocación. Esta operación necesita que disponga de privilegios de administrador a nivel de autoridad de certificación. Las diferentes operaciones a realizar son las siguientes: ■
Declare una o más plantillas de certificado en la autoridad de certificación. Puede utilizar cualquier método de inscripción soportado por la autoridad y la estación de trabajo con el fin de obtener uno o más certificados para revocar. El registro automático de los certificados es el método más moderno y más seguro para las estaciones de trabajo que funcionan con Windows Vista o Windows XP.
Una vez se ha publicado la información relativa a las nuevos certificados en la configuración Active Directory, puede verse obligado a esperar la replicación Active Directory o bien a forzar la replicación del controlador de dominio con el comando repadmin, de la herramienta Replmon o de la consola MMC Sitios y Servicios Active Directory.
■
■
En una estación de trabajo, abra la línea de comandos e inicie un ciclo de registro automático para obtener un certificado a través del comando certutil pulse. En la estación de trabajo, utilice la consola MMC Certificados para asegurarse que los certificados se han entregado al usuario y al ordenador de manera correcta.
En el caso en que la inscripción automática no se haya realizado todavía, puede teclear también el comando Gpupdate /force. También es posible reiniciar el ordenador cliente con el fin de forzar el registro automático y obtener el certificado a través del registro automático.
■
En la autoridad de certificación, con la consola MMC Autoridad de certificación, revoque uno o más de los certificados entregados a través del menú Acción Todas las tareas Revocar un certificado Seleccione el
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 47 -
motivo de revocación del certificado, y confirme la operación. ■
En la autoridad de certificación, con la consola MMC Autoridad de certificación, publique una nueva CRL a través del menú Acción Todas las tareas Publicar.
Puede decidir no publicar listas de revocación y no utilizar los contestadores conectados OCSP. Para suprimir los puntos de distribución de la autoridad de certificación, utilice la consola MMC Autoridad de certificación, seleccione la autoridad de certificación, en el menú Acción haga clic en Propiedades, en la pestaña Extensiones, elija Puntos de distribución de lista de revocación, seleccione el o los puntos de distribución y haga clic en Eliminar.
■
■
Reinicie los servicios de certificados AD CS y proceda a probar el funcionamiento del servicio de respuesta en línea a partir de un equipo cliente lanzando la consola MMC Certificados con el propósito de exportar el certificado a probar hacia un fichero que tenga la extensión .cer. Una vez el certificado del usuario exportado (por ejemplo JMartinezExport.cer para el usuario JFAprea), teclee en la línea de comandos: certutil url JMartinezExport.cer
Utilización del comando Certutil en Windows Vista hacia un contestador OSCP que funciona en Windows Server 2008 El comando Certutil url c:\JMartinezExport.cer extrae la información de revocaciones del servicio de respuesta en línea en función de la información de AIA (Authority Information Access) declarada a nivel de la autoridad de certificación. La siguiente figura muestra la URL http://winsrv20081.addscorp.corpnet.net/ocsp declarada a nivel de la información de acceso a la autoridad.
- 48 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Información de AIA y protocolo de estado de certificado contectado OCSP
Publicación de la información ¡Atención! Los certificados se deben emitir después que el servicio de respuesta en línea haya sido instalado y se declare a nivel de la información de AIA. Una vez se ha validado el funcionamiento con la Herramienta de recuperación de URL vista anteriormente, conviene comprobar la correcta interpretación de la información de revocación. Para llevar a cabo esta última prueba, proceda de la siguiente manera: ●
●
A nivel de la autoridad de certificación, revoque el certificado anteriormente validado a través del estado Comprobado. A nivel de la autoridad de certificación, publique una nueva lista de revocación.
Publicación de la información de revocación actualizada
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 49 -
●
A nivel del servicio de respuesta en línea OCSP, actualice la información de revocación como en la siguiente figura.
Actualización de los datos de revocación a nivel de la respuesta en línea
●
En nuestro ejemplo, la última fase consiste en validar otra vez el certificado del usuario JMartinez utilizando el comando certutil url JMartinezExport.cer.
Utilización del comando Certutil y control del estado de validez del certificado a través de la respuesta en línea OSCP de Windows Server 2008 Esta vez, la comprobación del certificado, con el protocolo OCSP para el usuario Juanjo Martínez, muestra que el certificado está en estado Revocado. En este estado, el servicio de respuesta en línea se puede considerar totalmente operativo. Comando Certutil y validación de las CRL El comando certutil también se puede utilizar para ayudar en la resolución de problemas de comprobación de la validez de los certificados. Puede basarse en el mismo principio que el que hemos utilizado para la verificación de la información de revocación de las respuestas en línea. Basta con seleccionar la opción CRLs (desde CDP) y seleccionar la opción Recuperar. La herramienta de recuperación de URL visualizará el estado de las diferentes listas de revocaciones publicadas a través de Active Directory y el protocolo LDAP a través del protocolo HTTP. En nuestro ejemplo, el comando se ha escrito del siguiente modo: certutil url http://winsrv20081.addscorp.corpnet.net/CertEnroll/AddscorpWinsrv20081CA.crl
- 50 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Comprobación del correcto funcionamiento de las listas de revocación de certificados con el comando certutil url FicheroEntrada | URL
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 51 -
Active Directory Federation Services (AD FS) 1. Conceptos fundamentales Los servicios de federación Active Directory AD FS (Active Directory Federation Services) incorporados a Windows Server 2008 forman una plataforma abierta integrante de los sistemas Windows y de sistemas no Windows, para implementar una solución de control accesos basada en las identidades. La principal funcionalidad de los servicios de federación AD FS permite a las aplicaciones Web situadas dentro y fuera de la red permitir un acceso seguro a aplicaciones frontales de tipo Internet en base a cuentas de usuario y aplicaciones situadas en redes diferentes. Este concepto básico forma parte desde hace años de los fundamentos de las infraestructuras compuestas de dominios Windows NT, y después Active Directory. La idea consiste pues, en reimplementar el concepto para las aplicaciones no Windows, es decir Web, pero sobre una base central unificadora de tipo Servicios de dominio Active Directory. Así, cuando una aplicación ubicada en una red determinada deba dar acceso a usuarios situados en una red diferente, generalmente, los usuarios deben utilizar una segunda autenticación, además de la primera. Esta segunda información de identificación representa la identidad del usuario en el contexto de seguridad donde la aplicación reside. Los servicios AD FS permiten no tener que utilizar identidades suplementarias implementando relaciones de confianza capaces de transmitir la información de identidades a los socios que acepten estas misma identidades. La misma idea del principio de federación de las identidades, permite imaginar numerosos escenarios donde el despliegue de servicios de federación AD FS podrían ser apropiados. Puede, por ejemplo, desplegar servidores de federación en diversas organizaciones para facilitar el despliegue de configuraciones complejas donde sea posible hacer transacciones entre socios de confianza. Las relaciones asociativas basadas en las federaciones de socios son adecuadas para las empresas que responden a estas exigencias y limitaciones: Entidades que ponen en común los recursos Las empresas que poseen y administran sus propios recursos pueden por ejemplo desplegar servidores de federación AD FS para permitir a socios de confianza acceder a las aplicaciones Web integradas en AD FS. El concepto de federación no se limita a entidades externas pero se puede utilizar respecto a divisiones o filiales de la misma organización. Entidades que ponen en común las identidades La empresas que poseen y administran sus propias identidades pueden desplegar servidores que autentiquen a los usuarios locales y creen fichas de acceso que los servidores de federación, ubicados en las entidades que reagrupan los recursos, utilizarán con el propósito de conceder tal o cual permiso. AD FS, el SSO para las aplicaciones Web El proceso que permite, estando autenticado en un contexto determinado, acceder a recursos ubicados en un contexto diferente sin que el usuario se tenga que volver a autenticar, se denomina Inicio de sesión única o SSO (Single Sign On). Los servicios de federación Active Directory proporcionan una solución de autenticación única para las aplicaciones Web en la sesión del navegador Internet. Servicios de las funciones AD FS en Windows Server 2008 El servidor que alberga los servicios de federación AD FS de Windows Server 2008 incluye los servicios de federación, los servicios proxy y los servicios de agente Web. Estos servicios se deben configurar para permitir el SSO de las aplicaciones Web, la federación de recursos de tipo Web así como los permisos concedidos a los usuarios. Selección de los servicios de funciones AD FS En función de las limitaciones de la empresa, es posible desplegar servidores específicos en relación a estas limitaciones. A continuación se enumeran estas funciones: ●
●
Servicio de federación: este servicio central está compuesto por uno o más servidores de federación que comparten una política de confianza común. Los servidores de federación se utilizan principalmente para encaminar las peticiones de autenticación emitidas por usuarios ubicados en otras organizaciones o de clientes directamente ubicados en Internet. Servicio de proxy de federación: este servicio desempeña la función de proxy de autenticación en una red perimetral DMZ (DeMilitarized Zone). El servicio de proxy de federación utiliza los protocolos WSF PRP (WS
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Federation Passive Requestor Profile) para transferir la información de identificación de los navegadores a los Servicios de Federación Active Directory. ●
●
Agente de notificación, Claimsaware agent: este agente se puede implementar en un servidor Web que albergue una aplicación compatible para permitirle solicitar fichas de acceso AD FS. Generalmente, una aplicación compatible es una aplicación ASP.NET que utiliza el concepto de función presentada en las fichas de acceso AD FS. Esta información permite asignar los permisos correctos y personalizar las aplicaciones. Agente basado en las fichas de acceso Windows: este agente se puede utilizar en un servidor Web que albergue una aplicación basada en la utilización de fichas de acceso Windows NT para asegurar la conversión de las fichas de acceso AD FS en una ficha de acceso Windows NT. Las aplicaciones NT basadas en las fichas de acceso NT utilizan mecanismos de autorizaciones implementados en sistemas Windows NT y posteriores.
A propósito de los notificadores (Claims) Los servicios de federación AD FS proporcionan una arquitectura de seguridad extensible que soporta las fichas de acceso basadas en la norma SAML 1.1 (Security Assertion Markup Language) y en la autenticaciones Kerberos. Los servicios AD FS pueden realizar también los mapeos entre dos identidades y las funciones utilizadas por los elementos de la lógica de las aplicaciones. Las empresas puede utilizar estos mecanismos para integrar su infraestructura de autenticación existente así como sus directivas de seguridad internas en los servicios de federación Active Directory. Estos elementos técnicos y lógicos toman la forma de unos objetos denominados notificadores (en inglés, claims). Estos elementos, que representan en general un cliente, son construidos por un servidor y pueden representar un nombre, una identidad, una clave, un grupo, un permiso, una función o cualquier estructura útil en la administración de la confianza en la federación. Con ayuda de estas herramientas, los servicios de federación Active Directory transmiten la confianza concedida entre entidades que pueden ser muy diferentes. Los servicios AD FS han sido concebidos para permitir el intercambio de estos elementos que contienen valores aleatorios. En función de estos valores, el socio puede, por ejemplo, implementar tal o cual nivel de autorización o ésta o aquélla identidad aprobada. Los intercambios y relaciones pueden tener lugar y combinarse de la siguiente manera: ●
Del almacenamiento de cuentas de usuario al servicio de federación y al socio de recursos.
●
Del socio de cuentas de usuario al servicio de federación y al recurso de la aplicación.
●
Del almacenamiento de las cuentas de usuario al servicio de federación y al recurso de la aplicación.
2. AD FS: Novedades aportadas por Windows Server 2008 Windows Server 2008 introduce una nueva versión de los servicios de federación Active Directory ahora llamados AD FS por Active Directory Federation Services. Esta nueva versión soporta nuevas funcionalidades que hacen de ella una evolución interesante respecto a la anterior versión incluida en Windows Server 2003 R2. El objetivo principal de esta nueva versión es permitir una implementación de escenarios habituales, incluyendo el soporte nativo de aplicaciones. A continuación se presentan estas evoluciones: ●
●
●
Instalación simplificada e integrada como nueva función de servidor. El nuevo asistente se encarga de todos los aspectos a comprobar para asegurar una instalación y una puesta en marcha rápida y segura. Integración de las aplicaciones de empresa en AD FS. Microsoft Office SharePoint Server 2007 y los servicios de administración de derechos digitales AD RMS (Active Directory Rights Management Services) soportan ahora en modo nativo los servicios de federación AD FS. Administración simplificada de las declaraciones necesarias para la puesta en marcha de las aprobaciones de federación. La exportación y la importación de los parámetros de aprobación se han mejorado para permitir una disminución de la complejidad de configuración generalmente asociada a la implementación de las federaciones.
3. Instalación de la función AD FS - 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
La instalación de la función AD FS se integra directamente a través del administrador del servidor de Windows Server 2008. Una vez instalados los servicios, será necesario declarar las diferentes confianzas con el componente MMC Servicios ADFS. Los servicios de federación AD FS son funcionalidades directamente integradas en Windows Server 2003 R2 y Windows Server 2008. De hecho, los componentes fundamentales AD FS el servicio de federación, el servicio de proxy de federación así como los agentes Web, no pueden funcionar en versiones anteriores de Windows. ¡Atención! No es posible instalar en el mismo servidor Windows Server las funciones servicios de federación y de servicio proxy de federación.
El Asistente para agregar funciones del Administrador del servidor permite una instalación asistida de la función ADFS
Limitaciones técnicas para los servicios de Federación AD FS Los servicios de federación AD FS deben respetar las siguientes limitaciones de instalación: ●
El servidor debe utilizar uno de los siguientes sistemas operativos: Windows Server 2003 R2 Edition Entreprise o Datacenter, Windows Server 2008 Edition Entreprise o Datacenter.
●
Internet Information Services (IIS), Microsoft ASP.NET 2.0, Microsoft .NET Framework 2.0.
●
Después de la instalación, el sitio por defecto IIS debe configurarse para soportar el cifrado SSL.
●
Los servicios de federación necesitan la utilización de identidades de servicios de dominios AD DS (Active Directory Domain Services), o AD LDS (Active Directory Lightweight Directory Services). Los servidores que desempeñan la función de controladores de dominio deben funcionar con Windows Server 2008, Windows Server 2003 R2, Windows Server 2003 o Windows 2000 SP4 (con algunas actualizaciones críticas).
Limitaciones técnicas para los servicios de Proxy de Federación Los servicios de proxy de federación (Federation Service Proxy) deben respetar las siguientes limitaciones de instalación: ●
El servidor debe utilizar uno de los siguientes sistemas operativos: Windows Server 2003 R2 Edition Entreprise o Datacenter, Windows Server 2008 Edition Entreprise o Datacenter. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
●
Internet Information Services (IIS), Microsoft ASP.NET 2.0, Microsoft .NET Framework 2.0.
●
Después de la instalación, el sitio por defecto IIS se debe configurar para soportar el cifrado SSL.
Limitaciones técnicas para los servicios de Agente Web Los servicios de agente Web (AD FS Web Agent) así como los agentes de Notificación o los agentes basados en las fichas de acceso Windows NT, deben respetar las siguientes limitaciones de instalación: ●
El servidor debe utilizar uno de los siguientes sistemas operativos: Windows Server 2003 R2 Edition Standard, Entreprise o Datacenter, Windows Server 2008 Edition Standard, Entreprise o Datacenter.
●
Internet Information Services (IIS), Microsoft ASP.NET 2.0, Microsoft .NET Framework 2.0.
●
Después de la instalación, el sitio por defecto IIS se debe configurar para soportar el cifrado SSL.
Limitaciones técnicas para las Autoridades de certificación El soporte del protocolo SSl y la firma de las fichas necesita el uso de certificados digitales. Es indispensable que las autoridades que se utilicen tengan la confianza de los sistemas implicados en la infraestructura AD FS. Puede utilizar las autoridades de certificación de tipo Empresa, es decir, integradas en la configuración Active Directory. Estas autoridades de certificación de empresa pueden funcionar con Windows Server 2008 o Windows Server 2003. Puede utilizar también autoridades de certificación públicas como, por ejemplo, las ofrecidas por VeriSign. Limitaciones técnicas para los navegadores de Internet Los servicios de federación AD FS soportan la mayoría de navegadores de Internet. Los laboratorios de Microsoft han validado el funcionamiento de las funciones cliente AD FS con las versiones Internet Explorer 7, Internet Explorer 6, Internet Explorer 5 o 5.5, Firefox y Safari en los sistemas Apple Macintosh. Microsoft recomienda que, por razones de rendimiento, se active Java Script. Además, se debe activar el soporte de cookies o, como mínimo, confiar en los servidores de federación AD FS y los servidores Web a los que se accede. Configuración de los servicios de federación AD FS La configuración de servicios de federación AD FS necesita un proceso de configuración cuyo objetivo final es permitir un inicio y una autenticación única para el acceso a las aplicaciones Web para los socios externos con confianza. De este modo, deberá: ●
●
●
●
- 4-
Definir una arquitectura de servicios de federación adaptados a sus necesidades en función de los grandes escenarios de arquitecturas AD FS. La solución debe proporcionar los medios a los administradores para permitir a la empresa alcanzar sus objetivos de administración federada de las identidades que comparten estas identidades a través de las confianzas de federación, cuando sea necesario. Existen tres grandes escenarios de arquitecturas: el SSO Web de tipo federado, el SSO Web de tipo federado con confianza de bosque Active Directory, SSO Web sin ninguna confianza de federación. Agregar las diferentes entidades socios a los servicios de federación. Se puede tratar de socios de recursos o de socios de cuentas de usuario. Agregar y configurar el o los almacenes de cuentas de usuario en los servicios de federación. Puede tratarse almacenamiento basado en AD DS y/o AD LDS. Agregar las aplicaciones Web a los servicios de federación.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Declaración de notificaciones, de almacenes de cuentas, de aplicaciones y de asociados Para obtener más información sobre la configuración de los servicios de federación AD FS, descargue del sitio Microsoft el documento titulado "StepbyStep Guide for AD FS in Windows Server 2008" de la siguiente dirección: http://go.microsoft.com/fwlink/?LinkID=85685
4. Referencias para AD FS con Windows Server 2008 Para obtener más información sobre los detalles técnicos de los servicios de federación AD FS, visite el sitio de Microsoft, en la siguiente dirección: ●
Automate Information Access with Identity Management http://go.microsoft.com/fwlink/?LinkId=78692
●
Web Services Specifications: http://go.microsoft.com/fwlink/?LinkId=44191
●
Web Services and Other Distributed Technologies: http://go.microsoft.com/fwlink/?LinkId=44189
●
Web Services Protocol Workshops: http://go.microsoft.com/fwlink/?LinkId=44190
●
Web Services Interoperability Organization (WSI): http://go.microsoft.com/fwlink/?LinkId=34328
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Active Directory Lightweight Directory Services (AD LDS) 1. Conceptos fundamentales Los servicios AD LDS (Active Directory Lightweight Directory Services), incluidos con Windows Server 2008 permiten implementar los servicios LDAP estándar utilizables por las aplicaciones creadas para utilizar los servicios de directorio. Los componentes AD LDS desempeñan la función de proveedores de servicios de identidades para responder a los escenarios de tipo directorio extranet o incluso para almacenar identidades externas, como las de los socios, proveedores, etc. La idea inicial viene de la necesidad o voluntad de la arquitectura de separar estas identidades particulares del almacenamiento de las identidades de la empresa que se almacenan y gestionan habitualmente con los servicios de dominio Active Directory AD DS. AD LDS es importante por varias razones. De hecho, además de su función de servicio de directorio LDAP estándar, los servicios de federación Active Directory AD FS lo soportan, así como en el ámbito de gestión de directivas de autorización implementadas a través del componente Windows Authorization Manager, denominado AzMan. Además, en los entornos donde se utilizan los servicios AD DS, pueden invocar los servicios Active Directory para la autenticación de los usuarios que disponen de una autenticación Windows. Ventajas aportadas por los servicios AD LDS Los servicios AD LDS aportan numerosas ventajas tanto en términos de funcionales como en términos de facilidad de implementación operativa. A continuación se enumeran los siguientes puntos: ●
●
●
●
●
●
●
Los servicios AD LDS utilizan la misma tecnología que los servicios de dominios Active Directory AD DS. Los servicios AD LDS permiten responder mejor a los problemas complejos separando los servicios de directorio necesarios para la infraestructura Windows de los servicios de directorio necesarios para las aplicaciones. Los servicios AD LDS soportan los nombres de tipo X.500 como O= MyCompany y C= FR, la O significa Organization y la C significa Country. Los servicios AD LDS pueden utilizar las estructuras de seguridad Windows para los controles de acceso y la autenticación. La plantilla de administración es idéntica a la que se utiliza desde hace mucho tiempo con Active Directory. Es muy fácil desplegar los servicios AD LDS respecto a las limitaciones impuestas con los servicios de dominio Active Directory. Por otra parte, no hay ningún efecto secundario o impacto sobre los servicios AD DS. Los servicios AD LDS son instalables y desinstalables sin reiniciar el servidor. Los servicios AD LDS se instalan en forma de instancias que pueden funcionar de manera concurrente en el mismo servidor. Cada instancia puede personalizarse en función de las necesidades de las aplicaciones. Por ejemplo, cada instancia dispone de su propio nivel de esquema, totalmente independiente de otras instancias AD LDS y AD DS.
2. AD LDS: Novedades aportadas por Windows Server 2008 Windows Server 2003 soportaba la primera versión de los servicios LDAP totalmente independiente de la infraestructura Active Directory. Esta versión, denominada ADAM (Active Directory Application Mode), está disponible en el segundo CDRom de Windows Server 2003 R2. Esta versión ha sido actualizada de manera significativa con Windows Server 2008. Estas nuevas funcionalidades son las siguientes: ●
Los servicios AD LDS se pueden instalar como función en una instalación de Windows Server 2008 en modo Core. Es es un aspecto importante, especialmente para los servidores expuestos en Internet. Una instalación en modo Core permite limitar la superficie de ataque del servidor que funciona en Windows Server 2008 así como la totalidad de las tareas de mantenimiento (actualizaciones críticas, services packs, etc.).
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
●
●
●
La instalación de los servicios AD LDS soportan un nuevo modo de instalación opción Install from Media (IFM), que permite crear instalaciones personalizadas de los servicios AD LDS. Los servicios AD LDS utilizan los nuevos servicios de copia de seguridad y de restauración de Windows Server 2008. Los servicios AD LDS disponen de las mismas nuevas funcionalidades de auditoría avanzada de las modificaciones integradas en los nuevos servicios de dominio Active Directory de Windows Server 2008. Se agrega una subcategoría llamada Directory Service Changes para consignar los valores antes y después de la modificación de los valores de los atributos y objetos AD LDS. Los servicios AD LDS soportan un nuevo mecanismo de ayuda a la recuperación permitiendo la comparación de los datos almacenados en fotografías instantáneas o en copias de seguridad actualmente en producción. Esta herramienta, DSAmain.exe, llamada Active Directory database mounting tool, permite suprimir varias restauraciones innecesarias.
Durante el programa Beta de Windows Server Longhorn, esta herramienta se llamó Snapshot Viewer.
●
●
●
Los servicios AD LDS soportan ahora el componente MMC Sitios y Servicios Active Directory. Esta herramienta, habitual para los administradores Active Directory, se puede utilizar ahora para administrar la replicación de las diferentes instancias AD LDS. Los servicios AD LDS soportan la incorporación de ficheros LDIF personalizados durante la fase de instalación. Estos ficheros se tienen que colocar en la carpeta %systemroot%\ADAM. Los servicios AD LDS soportan las consultas recursivas de los atributos vinculados. Esta nueva funcionalidad permite el soporte de las consultas LDAP utilizando atributos anidados.
Para obtener más información sobre esta nueva funcionalidad, puede consultar el artículo de la base de conocimientos de Microsoft 914828.
AD LDS et AD DS: Puntos importantes Acabamos de ver que los servicios AD LDS y AD DS comparten la misma tecnología y los mismos principios fundamentales. Sin embargo, debe ser consciente de las diferencias que hacen que se trate de componentes funcionales y técnicas radicalmente diferentes. A continuación se enumeran estos puntos: ●
●
●
●
Los servidores, los controladores de dominio Active Directory así como los servidores autónomos se pueden configurar para acoger los servicios AD LDS. Los servicios de dominio AD LDS y los servicios AD DS soportan funcionalidades comunes como la plantilla de replicación multimaestro, la plantilla y las interfaces de programación ADSI (Active Directory Service Interfaces), las particiones del directorio de aplicación así como el soporte del protocolo LDAP en modo cifrado LDAP over Secure Sockets Layer (SSL). Los servicios de dominio AD LDS y los servicios AD DS son diferentes en los siguientes puntos: los servicios AD LDS no almacenan las estructuras de seguridad Windows como los usuarios o grupos de usuarios de dominio Active Directory. Sin embargo, se pueden utilizar en las listas de controles de acceso ACL para controlar los accesos a los objetos AD LDS. En el mismo orden de cosas, los sistemas Windows no pueden autenticar a los usuarios almacenados en los servicios AD LDS ni utilizarlos en sus listas de controles de acceso. Los servicios AD LDS no tienen relación directa, ni soportan, las funciones de dominios y de bosques Active Directory, las directivas de grupo, o los catálogos globales.
3. Instalación de la función AD LDS La implementación de los servicios AD LDS se realizan con el Administrador de servidor de Windows Server 2008 a través de la administración de las funciones. El único requisito que debe cumplirse para instalar AD LDS en un servidor es formar parte del grupo Administradores de la máquina local.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Añadido de la función AD LDS con el Administrador de servidor de Windows Server 2008 Una vez se instalan los componentes AD LDS, puede instalar varias instancias AD LDS y después proceder a la carga de su directorio AD LDS. La adición de nuevas instancias se realiza con el Asistente para instalación de Servicios de directorio ligero de Active Directory accesible gracias al acceso directo Herramientas de administración del menú Inicio. Al poner en marcha la instalación de una nueva instancia AD LDS, será necesario declarar todos los parámetros relativos a cada una de ellas.
Utilización del Administrador del servidor para crear una nueva instancia
Como muestra la siguiente figura, una vez la función AD LDS está implementada en el servidor, no hay ninguna instancia AD LDS creada, y sólo están presentes en el servidor los componentes internos.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Creación de una nueva instancia AD LDS El Asistente para instalación de Servicios de directorio ligero de Active Directory permite crear instancias de servicios AD LDS. Una "instancia de servicio" se refiere a una copia de ejecución única de AD LDS. Se puede ejecutar diversas instancias AD LDS simultáneamente en el mismo servidor, cosa que no ocurre con los servicios de dominio Active Directory AD DS. Cada instancia AD LDS dispone de su propio motor de almacenamiento privado, de un nombre de servicio único en Windows y de su propia descripción. Después de esta instalación de la instancia, puede crear una partición de directorio de aplicaciones. Esta operación es opcional ya que puede haberse realizado durante la instalación de la aplicación que utiliza la instancia AD LDS. Para llevar a cabo este proceso, debe formar parte del grupo de administradores.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Declaración del nombre de la instancia a crear y nombre del servicio AD LDS asociado
¡Atención! Los nombres de instancias existen bajo la forma de un contexto de nombres LDAP (se puede hablar también de partición Active Directory). De hecho, los nombres deben respetar las reglas de nombres DNS. Esta limitación permite declarar los registros SRV asociados a las diferentes particiones y servidores LDAP (RFC 2782 y antiguamente 2052).
Creación de una nueva réplica AD LDS Para ofrecer una buena tolerancia a errores y soportar funciones de balanceo de carga, las instancias AD LDS pueden pertenecer a un conjunto de configuraciones. Todas las instancias de un conjunto tienen que replicar una partición de configuración común, una partición de esquema y n particiones de directorio de aplicaciones AD LDS. Para crear la nueva instancia AD LDS y unirla a un conjunto existente, utilice el Asistente para instalación de Servicios de directorio ligero de Active Directory y elija la opción Instalar una replica de instancia AD LDS. Al crear la instancia, debe conocer el nombre DNS del servidor que ejecuta la instancia AD LDS perteneciente al conjunto de configuraciones así como el puerto LDAP específico. Puede también proporcionar el DN (Ldap Distinguished Name) de las particiones de directorio de aplicaciones que desee copiar desde el conjunto de configuraciones a la nueva instancia AD LDS que vaya a crear. Recuerde que debe pertenecer al grupo Administradores.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Declaración de los puertos LDAP y del nombre de la partición AD LDS En este ejemplo, el puerto LDAP por defecto que se utiliza es el 50000, y el puerto LDAP SSL es el 50001, cada instancia de un mismo servidor debe disponer de sus propios puertos. El hecho que los puertos por defecto AD LDS sean diferentes de los puertos por defecto LDAP permite instalar una o más instancias AD LDS en una máquina que desempeñe la función de controlador de dominio. Una vez se declaran los parámetros, debe validar la ubicación de los ficheros asociados a la instancia AD LDS, elegir la cuenta de servicio asociada a la instancia (por defecto, se trata de la cuenta integrada "Servicio de red"), y declarar la cuenta de administración de la instancia. Importación de los ficheros LDIF en la partición AD LDS La última fase consiste en integrar un esquema de directorio adaptado a las futuras necesidades de la instancia.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Archivos LDIF a importar Esta ventana de selección permite elegir qué ficheros .LDF desea importar en la instancia AD LDS. A continuación se presenta el detalle de cada uno de los archivos: ●
MSInetOrgPerson.ldf: este archivo contiene las definiciones de la clase de objeto "inetOrgPerson" LDAP object class.
●
MSUser.ldf: este archivo contiene las definiciones de la clase de objeto "user".
●
MSUserProxy.ldf: este archivo contiene las definiciones de la clase de objeto "userProxy".
●
MSUserProxyFull.ldf: este archivo contiene las definiciones de la clase de objeto "userProxy".
●
MSADLDSDisplaySpecifiers.ldf: este archivo contiene la definiciones de la clase de objeto "Display specifiers". Este archivo es necesario para la implementación de las herramientas de administración como la consola MMC Sitios y services Active Directory.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Ubicación de los archivos LDIF de los servicios AD LDS
Tiene la posibilidad de integrar archivos LDIF (LDAP Data Interchange Format) personalizados durante la fase de instalación de las instancias AD LDS. Basta con colocar los archivos LDF (LDIF files), además de los ofrecidos por defecto, añadiéndolos en la carpeta %systemroot%\ADAM. Puede crear sus propios ficheros personalizados con la herramienta ADSchema Analyzer.
Desinstalación de una instancia AD LDS
La eliminación de instancias AD LDS creadas se realiza muy fácilmente con el icono Programas y
características del Panel de control del servidor Windows Server 2008.
Desinstalación de una instancia AD LDS
¡Atención! Antes de eliminar la función AD LDS, utilice Programas y características en el Panel de control para eliminar todas las instancias AD LDS instaladas anteriormente.
Utilización de la autenticación y del control de acceso con AD LDS El control de acceso a los servicios AD LDS se realiza en dos fases sucesivas. Primero, AD LDS autentifica a los usuarios pidiendo el acceso al servicio de directorio, y autorizando a los usuarios autenticados. A continuación, los - 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
servicios AD LDS utilizan los descriptores de seguridad ACL en los objetos de directorio con el fin de controlar los objetos a los que el usuario autenticado tiene acceso. Los usuarios interactúan con los datos del directorio AD LDS a través de las aplicaciones que acceden a la instancia AD LDS utilizando el protocolo LDAP en el puerto declarado a nivel de la instancia. Antes de acceder a los datos, la aplicación presenta las credenciales para autenticación o conexión. Esta petición incluye el nombre de usuario, su contraseña y, según el tipo de conexión, un nombre de dominio o un nombre de equipo. Los servicios AD LDS soportan los mecanismos de autenticación y de conexión, así como las peticiones AD LDS locales y las entidades Windows locales y de dominio.
Propiedades del objeto grupo Directores En este ejemplo, el administrador debe modificar un objeto grupo cuyo DN LDAP es CN= Directores,CN= España,CN= app1,DC= addscorp,DC= corpnet,DC= net. La operación a realizar consiste en agregar un usuario miembro de un dominio Active Diretory y un usuario LDAP existente a la instancia AD LDS actual. Esta tarea se puede realizar de diferentes maneras. En esta ocasión, el administrador utilizará el complemento ADSI Edit: Adsiedit.msc.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
Propiedades del atributo "member" del objeto Directores y añadido de un usuario Active Directory a un grupo AD LDS La ventana de modificación del atributo "member" permite seleccionar fácilmente las cuentas Windows o nombres únicos, directamente declarados. Herramientas de administración AD LDS Hemos visto que los servicios AD LDS de Windows Server 2008 aseguran los servicios de directorio genéricos cuyo principal objetivo es proporcionar a los desarrolladores una cierta flexibilidad en la integración de aplicaciones de directorio, sin ninguna dependencia, ni restricciones en relación con los servicios de domino Active Directory, AD DS. Hay que recordar el hecho que los servicios AD LDS disponen de su propia topología de replicación y de un esquema gestionado aparte de los servicios de dominio Active Directory. Por estas razones, las herramientas de administración de los servicios AD LDS son un poco "ásperas", si se las compara con las herramientas de administración de Windows Server. Las herramientas que puede utilizar para administrar las instancias AD LDS son las siguientes: ●
●
- 10 -
ADSI Edit: el Editor ADSI es un complemento MMC. Para ejecutar esta herramienta, puede ejecutar el comando AdsiEdit.msc, o en el ordenador donde esté instalada la función AD LDS (Active Directory Lightweight Directory Services), haga clic en Inicio Herramientas de administración Editor ADSI. Observe que esta herramienta se puede utilizar con AD LDS per también con los servicios AD DS, cosa que no ocurría en el caso de Windows Server 2003 con ADAM donde existía una versión específica de ADSI Edit para ADAM. Ldp: el comando Ldp no es un complemento, sino un archivo ejecutable. Para arrancar Ldp, haga clic en Inicio, después haga clic con el botón derecho en Línea de comandos, haga clic en Ejecutar como administrador y teclee ldp en la línea de comandos. El cuadro de diálogo de Ldp tiene dos paneles: el árbol de la consola y el panel de información. El árbol de la consola contiene el objeto base de eventuales objetos hijos. El panel de información presenta los resultados de las operaciones LDAP (Lightweight Directory Access Protocol).
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
●
●
Csvde: el comando csvde permite importar y exportar datos a partir de los servicios AD LDS o AD DS a través de ficheros de datos separados por comas (CSV, Comma Separated Value). Ldifde: el comando Ldifde permite crear, modificar y suprimir objetos de directorio. Puede utilizar ldifde igualmente para ampliar el esquema, exportar la información relativa a los usuarios y a los grupos hacia otras aplicaciones o servicios, y llenar AD LDS o AD DS con datos originarios de otros servicios de directorio. Adamsync: el comando Adamsync permite sincronizar objetos de servicios de dominio AD DS con una instancia de servicios de directorio AD LDS.
¡Atención! Para poder utilizar este comando, debe importar las definiciones de clases usuario incluidas en el fichero MSAdamSyncMetadata.LDF. Todas estas herramientas le permitirán administrar grupo y usuarios AD LDS, importar las clases de usuario que proporcionan los servicios AD LDS, sincronizar instancias AD LDS con los servicios de dominio AD DS, agregar un usuario AD LDS al directorio, agregar un grupo AD LDS al directorio, agregar miembros a un grupo AD LDS o eliminar, visualizar o definir permisos sobre un objeto de directorio, desactivar o activar un usuario AD LDS, definir o modificar una contraseña de un usuario AD LDS y también agregar una unidad organizativa al directorio.
4. Referencias para AD LDS con Windows Server 2008 Para obtener más detalles relativos a las operaciones de administración y de gestión de los servicios AD LDS, puede consultar en las siguientes direcciones: ●
●
●
●
●
AD LDS Technical Overview. http://go.microsoft.com/fwlink/?LinkId=96084 Tasks and examples of programming with AD LDS. http://msdn2.microsoft.com/enus/library/aa772138 (VS.85).aspx AD LDS programming elements. http://msdn2.microsoft.com/enus/library/aa705889(VS.85).aspx Programmer’s guide to using the Lightweight Directory Access Protocol API. http://msdn2.microsoft.com/en us/library/aa367033(VS.85).aspx Reference information for LDAP. http://msdn2.microsoft.com/enus/library/aa366961(VS.85).aspx
La mayor parte de los vínculos sólo están disponibles en inglés ya que se encuentran en los sitios Microsoft Technet US y Microsoft MSDN US.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
Active Directory Rights Management Services (AD RMS) 1. Introducción Windows Server 2008 incorpora ahora servicios de administración de derechos digitales, que anteriormente estaban disponibles para Windows Server 2003 en forma de descarga gratuita. Los servicios de Administración de Derechos Digitales Active Directory, AD RMS (Active Directory Rights Management Services) permiten a las empresas responder a la problemática de protección de la información digital. Esta tecnología permite a aplicaciones compatibles con RMS proteger documentos digitales de accesos no autorizados tanto si estos documentos están dentro o fuera de la red de la empresa y las operaciones sean online o no. Los servicios RMS son especialmente necesarios para las empresas que tienen que proteger datos sensibles aunque sea en formato binario o incluso mensajes confidenciales. Los servicios RMS también permiten definir directivas de derechos digitales persistentes que permiten a las empresas respetar las directivas de seguridad definidas al más alto nivel. Esta tecnología permite un enfoque más cercano a las necesidades de la empresa, sobretodo cuando se trata de documentos que se deban transmitir a socios, contratistas o proveedores. Para conseguirlo, los servicios AD RMS le permiten crear los siguientes elementos: ●
●
●
●
Entidades de confianza: la empresa puede declarar entidades de confianza como usuarios, equipos, grupos. Todas estas entidades pueden participar de la infraestructura AD RMS. Derechos de uso y condiciones: es posible asignar derechos de uso y condiciones a entidades de confianza que puedan utilizar los documentos bajo control de RMS. La tecnología AD RMS le permite administrar los derechos de uso elementales como derechos de copia, impresión, copia de seguridad o edición. También es posible administrar derechos más específicos, como por ejemplo, el derecho de enviar un correo electrónico o de fijar una fecha de expiración, inhabilitando el documento. Exclusiones específicas: el administrador tiene la posibilidad de excluir a entidades particulares o aplicaciones del acceso a datos protegidos por AD RMS. Cifrado de los datos: el hecho de proteger datos digitales con la tecnología RMS implementa automáticamente el cifrado de los datos. La única manera de acceder a los datos debe ser mediante la autenticación de la identidad de una entidad de confianza.
2. Conceptos fundamentales Una infraestructura AD RMS (o RMS), cuando hablamos de servicios RMS en entornos Windows Server 2003, se compone de la parte servidor, de la parte cliente y naturalmente de aplicaciones compatibles con la tecnología RMS, como Microsoft Office 2003 y posteriores pero también de aplicaciones que manejan formatos de documentos específicos como los ficheros Adobe PDF. Todos estos componentes realizan las siguientes funciones: ●
●
●
Emisión de licencias de publicación: cuando un documento está protegido, se crea una licencia de publicación para el contenido en cuestión. La licencia emitida corresponde a los derechos específicos de utilización de un documento para que pueda ser distribuido y está directamente integrada en el documento protegido. De este modo, los usuarios pueden transmitir documentos digitales protegidos a usuarios de la empresa o usuarios ubicados fuera de la misma. Los usuarios "externos" pueden ser usuarios de Internet que se identifiquen con una cuenta Microsoft Live ID. Pueden formar parte de otro bosque Active Directory con confianza a través de los servicios de federación AD FS. Adquisición de licencias: cuando los usuarios acceden a un contenido protegido, se hace una petición a los componentes AD RMS y se les envía la consulta. El servicio de licencias de AD RMS en servicio en el cluster RMS emite una licencia de utilización compatible con los derechos y condiciones de uso especificados en la licencia de publicación. Los derechos y condiciones de utilización se convierten en persistentes y se aplican automáticamente independientemente de la ubicación donde se utilice el documento. Creación de plantillas de directivas de derechos: los usuarios con confianza en la plataforma AD RMS pueden crear y gestionar documentos protegidos utilizando aplicaciones compatibles con la tecnología RMS en base a plantillas de derechos de uso predefinidas fácilmente aplicables.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
3. AD RMS: Novedades aportadas por Windows Server 2008 Con esta nueva versión de Windows Server 2008, los servicios AD RMS disponen de nuevas funcionalidades. Nueva función AD RMS para Windows Server 2008 y nueva consola MMC Los servicios AD RMS de Windows Server 2008 se implementan en forma de una nueva función de servidor: el hecho de que los servicios AD RMS se integren en Windows Server 2008 como una función en el Administrador del servidor facilita de manera significativa la configuración de los servicios AD RMS. La nueva consola MMC Administrador del servidor lista e instala los servicios necesarios como Message Queuing e IIS e instalará incluso los servicios básicos de datos internos Windows si no se especifica el uso de una base de datos remota. La administración se realiza a través de un nuevo complemento MMC 3.0 mucho más intuitivo que el anterior administrador Web utilizado en los servidores RMS que funcionan con Windows Server 2003. Integración AD RMS / AD FS Los servicios de federación AD FS se integran totalmente con AD RMS. El soporte de los mecanismos de federación en la plataforma AD RMS permite a las empresas prever "fácilmente" escenarios de asociación con entidades externas. Anteriormente, los servicios RMS de Windows Server 2003 sólo soportaban las identidades externas de tipo Passport .NET (actualmente llamadas Windows Live ID). Ahora, la integración de los servicios de federación AD FS permite crear confianzas de federación entre diferentes socios. ¡Atención! Para que un cliente AD RMS pueda utilizar las confianzas ofrecidas por los servicios AD FS, es indispensable utilizar el cliente AD RMS incluido en Windows Vista o el Cliente RMS SP2. Los clientes RMS de versiones anteriores no soportan los servicios de federación AD FS.
Autoregistros de los servidores AD RMS Los servidores AD RMS tienen finalmente la posibilidad de registrarse automáticamente, haciendo innecesario el proceso de registro en línea o fuera de línea de los servicios RMS de Windows Server 2003 con la autoridad Raíz RMS de Microsoft. El registro de un servidor RMS es una tarea esencial que incluye la creación y la firma de un certificado de licencia de servidor SLC (Server Licensor Certificate), que permite al servidor AD RMS emitir certificados y licencias. En las versiones anteriores de RMS, el certificado SLC lo firmaba un servicio de registro en línea implementado a través de Internet por Microsoft (Microsoft Enrollment Service). Esto requería que el servidor RMS u otro equipo pudiera acceder a Internet. Esta limitación se ha suprimido permitiendo al servidor AD RMS autofirmar su certificado SLC. Nuevas funciones administrativas AD RMS Para mejorar el soporte de los mecanismos de delegación y el control del entorno, están disponibles nuevas funciones de administración. Estas nuevas funciones administrativas se implementan a través de nuevos grupos locales adaptados a cada nueva función. ¡Atención! Cuando los servicios AD RMS se instalan en un controlador de dominio, el programa de instalación crea grupos de dominio locales. Los nuevos grupos AD RMS son los siguientes: ●
●
●
●
Grupo de servicio AD RMS: los miembros de este grupo pueden ejecutar los servicios AD RMS. Administradores de empresa AD RMS: los miembros de este grupo pueden administrar todas las directivas y parámetros AD RMS. Administradores de plantillas AD RMS: los miembros de este grupo sólo pueden administrar las plantillas AD RMS. Auditores AD RMS: los miembros de este grupo sólo pueden administrar el registro y la creación de informes AD RMS.
Buenas prácticas a propósito de los grupos AD RMS: la cuenta de servicio declarada durante la instalación de los servicios AD RMS se incluye automáticamente en el Grupo de servicio AD RMS. Igualmente, la cuenta del usuario que ha instalado los servicios AD RMS se incluye automáticamente en el grupo Administradores de empresa AD RMS. Si dispone de diversos servidores AD RMS, se recomienda crear grupos de seguridad Active Directory y
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
agregarlos a sus grupos locales respectivos en los diferentes servidores AD RMS.
4. Instalación de la función AD RMS de Windows Server 2008 La instalación se inicia con el Administrador del servidor y con la función Agregar funciones.
El asistente de instalación propone añadir los componentes que faltan. Para instalar AD RMS, el servidor debe respetar las siguientes limitaciones: ●
Utilizar Windows Server 2008, excepto la versión Windows Web Server 2008.
●
Utilizar NTFS como sistema de ficheros para albergar los servicios AD RMS.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
●
●
●
Los servicios de Message Queue Server que estar instalados así como Microsoft IIS con soporte de ASP.NET. Los servicios AD RMS se deben instalar en un dominio Active Directory, sabiendo que los controladores de dominio deben utilizar Windows Server 2000 SP3 o posterior, Windows Server 2003 o Windows Server 2008. Los usuarios antes de obtener licencias y publicar los documentos protegidos obligatoriamente deben tener una dirección de correo electrónico como atributo de Active Directory.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Selección del soporte de los servicios de federación AD FS
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Creación de un cluster AD RMS o unión de un nuevo servidor en el clúster AD RMS existente y selección de la base de datos de configuración AD RMS
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Declaración de la cuenta de servicio de dominio y configuración del almacenamiento de la clave de clúster AD RMS
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Declaración de la contraseña de protección de la clave de clúster AD RMS y selección del sitio Web de acogida del directorio virtual
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Declaración de la dirección de la URL del clúster AD RMS y declaración del nombre del servidor de federación AD FS
Resultado de la instalación de los servicios AD RMS
5. Validación del buen funcionamiento de la plataforma RMS Después de la instalación, puede validar el buen funcionamiento de la plataforma AD RMS con una estación de trabajo Windows XP Professional SP2 en la que se haya instalado el Cliente RMS SP2 así como una aplicación compatible con la tecnología RMS como Microsoft Office Professional 2003 o 2007. Puede también instalar una estación de trabajo con Windows Vista.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
Utilización de la opción de protección de un documento Word en el panel de Microsoft Office 2007. Este ejemplo ilustra la aplicación de derechos digitales con una aplicación como Microsoft Office 2007. Para lograrlo, proceda de la siguiente manera: ■
Cree o abra un documento.
■
Con el botón Office de Word 2007, seleccione la opción Preparar.
■
Otra vez con el botón Office, seleccione la opción Limitar las autorizaciones, y después Acceso restringido.
Después de esta operación, la aplicación AD RMS inicializa la lockbox (caja fuerte) RMS y registra el ordenador.
Comprobación de la información de conexión a través del conducto AD RMS
Definición de permisos a otorgar a través de la ventana de gestión de permisos del cliente AD RMS integrado en Windows Vista
- 10 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Cada usuario declarado debe disponer obligatoriamente de una dirección de correo en los servicios de dominio Active Directory.
Visualización de las opciones detalladas a través de la opción Más opciones Los anteriores detalles ponen de manifiesto el hecho que el documento creado por el usuario [email protected] está sometido a los permisos AD RMS que dan acceso de sólo lectura a los usuarios Bob Durand y Alice Martin, sabiendo que el documento expirará el 30 de marzo de 2010.
Información visualizada en Office 2007 Una vez se inscriben los permisos en el documento, se actualiza el panel de Microsoft Office 2007 para indicar se han restringido los permisos y que sólo los usuarios especificados pueden acceder al documento.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
Cuadro de diálogo de información AD RMS Durante la primera utilización del canal de comunicación AD RMS entre el cliente AD RMS y el servidor de licencias AD RMS, un cuadro de diálogo informa al usuario que el acceso está actualmente restringido y que la aplicación, en nuestro ejemplo Microsoft Office, debe conectarse a la URL de cluster de licencia AD RMS con el fin de verificar la información de identificación del usuario y, en caso de éxito, descargar la autorización del usuario sobre dicho documento. Una vez se realice el control de acceso, se puede abrir el documento en función de las autorizaciones otorgadas al usuario.
Prohibición de imprimir el documento controlado por AD RMS en Office 2007. En este ejemplo, el usuario hace clic en el botón Imprimir, pero no se puede realizar la operación ya que el permiso pedido no lo permite. La siguiente figura detalla las autorizaciones de M. Varela. El usuario dispone únicamente de derechos de lectura, y no se permiten los derechos de modificación, copia, impresión, registro, acceso a través de un programa y control total. Puede observar la fecha de expiración del documento fijada a 30 de junio de 2011, lo que significa que a partir de esta fecha M. Varela no podrá realizar ninguna acción sobre el documento, incluyendo la apertura y la lectura del mismo.
- 12 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Visualización de los permisos de [email protected] y utilización de la opción Modificar el usuario...
Selección del tipo de identidad a utilizar La parte cliente AD RMS integrada en Windows Vista así como el Cliente RMS SP2 de Windows XP Professional o Windows Server 2003 permite el cambio de identidad. Esta funcionalidad es muy práctica para los usuarios que disponen de diferentes cuentas de usuario en el mismo bosque, en un bosque diferente o incluso cuando se trate de una cuenta Windows Live ID de Internet. Nota: las funcionalidades probadas anteriormente permiten validar el buen funcionamiento de la plataforma cluster AD RMS y de un cliente genérico con Windows Vista. Para probar todas las funcionalidades AD RMS, también puede utilizar las herramientas del kit de recursos técnicos RMS que se pueden descargar en el sitio de Microsoft.
Información de Preinstalación para desplegar los servicios AD RMS La instalación de los servicios AD RMS necesita respetar los siguientes aspectos técnicos: ●
●
El servidor AD RMS debe ser miembro de un dominio Active Directory que pueda contener las cuentas de usuarios que utilizarán los documentos controlados por AD RMS. Debe crear una cuenta de dominio que no disponga de ningún permiso adicional. Esta cuenta se utilizará como cuenta de servicio para los servicios AD RMS.
¡Atención! La cuenta que utilice durante la instalación de los servicios RMS debe ser diferente de la que se declare como cuenta de servicio AD RMS.
●
●
Debe registrar un objeto SCP (Service Connection point) durante o después de la instalación del servidor AD RMS. Para realizar esta fase, debe ser miembro del grupo Active Directory Administradores de la empresa o disponer de permisos equivalentes. El programa de instalación de servicios AD RMS permite declarar la base de datos SQL que utilizarán los servicios AD RMS, incluso si el servidor de base de datos está en una máquina diferente del servidor AD RMS. Para conseguirlo, la cuenta de usuario utilizada para instalar los servicios AD RMS deberá disponer del permiso © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
para crear bases de datos en el servidor de base de datos. En el caso de Microsoft SQL Server 2005, la cuenta de usuario debe tener el rol Administrador del Sistema o equivalente. AD RMS: Recomendaciones de instalación La instalación de los servicios AD RMS de Windows Server 2008 se implementa con un asistente mucho más evolucionado que el que conocemos de la versión de RMS que funciona en Windows Server 2003. Gracias a este asistente, se pueden evitar muchos problemas. Las siguientes recomendaciones, le permiten hacer una instalación operativa de los servicios AD RMS: ●
●
●
Debe definir la URL que se utilizará para representar el nombre de Cluster RMS. Este nombre debe guardarse mientras se utilice la plataforma AD RMS. Se recomienda declarar un nombre diferente del nombre real de la máquina. El servidor de base de datos debería estar instalado en un ordenador diferente del servidor que da los servicios AD RMS. Las comunicaciones entre un cliente RMS y el cluster AD RMS utilizan el protocolo HTTP. Se recomienda instalar un certificado SSL para cifrar y autenticar los flujos entre las entidades.
Puede utilizar un certificado autofirmado o emitido por una autoridad de certificación con confianza. Recuerde que la utilización de un certificado autofirmado no se debe utilizar más que en pruebas, porque esta configuración no es compatible con Microsoft. Al agregar un nuevo servidor a un cluster AD RMS, el certificado SSL debe estar instalado antes de iniciar la instalación de los servicios AD RMS.
●
Para beneficiarse de una independencia en evoluciones futuras o de la implementación de procesos de recuperación de urgencia, cree un registro de alias DNS (CNAME) para hacer referencia a la URL del cluster AD RMS y otro registro del mismo tipo para hacer referencia al nombre del servidor que albergue la base de datos de configuración AD RMS. En caso de que la plataforma evolucione (se añadan o supriman servidores en el cluster RMS), bastará con actualizar los registros de alias DNS.
¡Atención! No puede utilizar una URL que contenga "localhost" durante la instalación de los servicios AD RMS. Es necesario utilizar una URL basada en un nombre DNS cuya resolución DNS se realice correctamente.
Despliegue de los servicios AD RMS en entornos multibosque Sólo se puede inscribir un cluster AD RMS en un bosque Active Directory. Cuando una empresa desee utilizar documentos protegidos en un entorno compuesto por más de un bosque, deberá desplegar un cluster AD RMS para cada bosque. Las recomendaciones relativas a este tipo de situación se listan a continuación: ●
●
●
- 14 -
Todas las URL de los diferentes clusters AD RMS deben implementar SSL para cifrar todos los intercambios. Todos los bosques que no utilicen Exchange Server, deberán hacer una extensión del esquema Active Directory. Para obtener más información de este proceso, consulte la siguiente dirección de Microsoft: http://go.microsoft.com/fwlink/?LinkId=93740 La cuenta de servicio AD RMS debe tener permisos para acceder al canal de comunicación de expansión de grupos.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Administración de permisos con el canal de comunicación AD RMS con el Administrador de servidor de Windows Server 2008
●
La cuenta de servicio AD RMS debe tener permisos para acceder al canal de comunicación de expansión de grupos. Esta operación se realiza configurando los derechos de acceso del archivo GroupExpansion.asmx. Por ejemplo, si tiene que implementar diversos bosques deberá declarar las cuentas de servicio AD RMS de los diferentes bosques en los diferentes clusters AD RMS.
El archivo GroupExpansion.asmx se sitúa en la carpeta C:\inetpub\wwwroot\ _wmcs\ groupexpansion. Para obtener más información sobre este proceso, puede consultar el documento "Deploying Active Directory Rights Management Services in a multiple forest environment StepbyStep guide" en la siguiente dirección: http://go.microsoft.com/ fwlink/?LinkId=7213
Actualización de RMS (Windows Server 2003) a AD RMS (Windows Server 2008) Se deben tener en cuenta las siguientes precauciones para realizar correctamente el proceso de evolución de una plataforma RMS que funcione en Windows Server 2003 a una nueva plataforma AD RMS en Windows Server 2008. ●
●
●
Realizar una copia de seguridad de las bases de datos RMS que funcionan en Windows Server 2003. En el caso en que la configuración RMS a migrar utilice la opción de registro en modo desconectado, tiene que realizar el proceso de registro con el fin de activar el servidor de licencias RMS Windows Server 2003 antes de cualquier actualización. En Windows Server 2003, una configuración RMS Windows Server 2003 puede utilizar MSDE (Microsoft Data Engine o Microsoft Desktop Engine) como motor de base de datos. Sin embargo, esta configuración sólo se puede utilizar en modo de pruebas. Por consiguiente, para poder realizar una actualización a AD RMS, primero debe actualizar la base de datos MSDE a Microsoft SQL Server 2005, ya que no se soporta la actualización de una base de datos RMS que funcione bajo MSDE.
Aunque no es posible actualizar una base de datos MSDE RMS (Windows Server 2003) a una base de datos AD RMS (Windows Server 2008), los servicios AD RMS de Windows Server 2008 pueden utilizar el motor integrado en Windows Server 2008 (base de datos interna de Windows). ¡Atención! Las bases de datos MSDE o las bases de datos internas Windows, no proporcionan soporte de conexiones remotas. Estas configuraciones no permiten agregar otros servidores RMS como miembros del cluster AD RMS, y son, en general, utilizados únicamente para pruebas o evaluaciones.
Soporte de los servicios de federación AD FS con AD RMS Para asegurar un buen funcionamiento de los servicios de federación AD FS en un entorno AD RMS, debe considerar los siguientes aspectos: ●
Se debe configurar una relación de confianza de generación antes que configure el soporte de federación de identidades. Durante la instalación de esta funcionalidad, debe especificar la URL que permita el acceso a los servicios de federación.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
●
AD FS necesita comunicaciones seguras entre los servidores AD RMS y los servidores AD FS.
●
La cuenta de servicio AD RMS debe disponer de los permisos Generar auditorías de seguridad.
●
Las URL extranet de los cluster AD RMS deben estar accesibles en las cuentas de la empresa con confianza a través de los servicios AD FS.
6. Referencias para AD RMS con Windows Server 2008 Los servicios Active Directory Rights Management Services son objeto de atención por parte de los equipos de Microsoft. De hecho, los equipo informáticos que soportan la protección de la información digital deben tener una buena visión de los conceptos de protección digital, de las tecnologías implicadas y de las buenas prácticas relativas a la tecnología RMS y al estándar XrML (eXtensible rights Markup Language). Para obtener más información sobre los servicios AD RMS, visite el sitio Microsoft Active Directory Rights Management Services TechCenter, en la siguiente dirección: http://go.microsoft.com/fwlink/?LinkId=80907 Para obtener información general, consulte la siguiente dirección: http://go.microsoft.com/fwlink/?LinkId=84730. Para obtener información relativa a la arquitectura de los servicios AD RMS y la planificación del despliegue, consulte la siguiente dirección: http://go.microsoft.com/fwlink/?LinkId=84734. Para obtener información relativa al despliegue de los servicios AD RMS, consulte la siguiente dirección: http://go.microsoft.com/fwlink/?LinkId=84735. Para obtener información suplementaria relativa a las operaciones relativas a los servicios AD RMS, consulte la siguiente dirección: http://go.microsoft.com/fwlink/?LinkId=84736. Para obtener más información relativa a la resolución de errores de los servicios AD RMS, consulte la siguiente dirección: http://go.microsoft.com/fwlink/?LinkId=93769. Para acceder a la guía de referencias técnicas de los servicios AD RMS, consulte la siguiente dirección: http://go.microsoft.com/fwlink/?LinkId=93770.
- 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez