ACTIVE DIRECTORY

Concepto: Su estructura jerrquica permite mantener una serie de objetos

relacionados con componentes de una red, como usuarios, grupos de
usuarios, permisos y asignacin de recursos y polticas de acceso.
Un Active Directory almacena informacin de una organizacin en una base
de datos central, organizada y accesible. Utiliza distintos protocolos
(principalmente LDAP, GLIB, DNS, DHCP, Kerberos...).
Los objetos se enmarcan en tres grandes categoras. recursos (p.ej.
impresoras), servicios (p.ej. correo electrnico), y usuarios (cuentas, o
usuarios y grupos). El AD proporciona informacin sobre los objetos, los
organiza, controla el acceso y establece la seguridad.
Cada uno de estos objetos tendr atributos que permiten identificarlos en
modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo
email, etctera, las impresoras de red tendrn campo nombre, campo
fabricante, campo modelo, campo "usuarios que pueden acceder",
etc.). Toda esta informacin queda almacenada en Active Directory
replicndose de forma automtica entre todos los servidores que controlan
el acceso al dominio.
Active Directory permite tambin crear estructuras jerrquicas de dominios
y subdominios.
Uso de estndares como X.500 y LDAP para el acceso a la informacin.
Requisitos de instalacin: Para crear un dominio hay que cumplir, por lo
menos, con los siguientes requisitos recomendados:
Tener cualquier versin Server de Windows 2000, 2003 (Server,
Advanced Server o Datacenter Server) o Windows 2008
Protocolo TCP/IP instalado y configurado manualmente, es decir, sin
contar con una direccin asignada por DHCP,
Tener un servidor de nombre de DNS, para resolver la direccin de los
distintos recursos fsicos presentes en la red
Poseer ms de 250 MB en una unidad de disco formateada en NTFS de
Windows
Instalacin:
Instalar Active Directory en Windows Server 2008
Active Directory
Son los servicios de directorios en una red distribuida de ordenadores de tipo Microsoft
Windows.

Cosas a tomar en cuenta:
Primero debemos pensar en un nombre de dominio. En mi caso ser elhacker.net
Debemos configurar el protocolo TCP/IP
Hay que destacar que tambin se instalara el servidor DNS, ya que es necesario para
implementar el Active Directory.

Empezar la Instalacin

Para instalarlo podemos ir al Administrador del Servidor, hacer clic derecho sobre Funciones
y seleccionar Agregar Funciones, ah elegimos Servicios de dominio de Active Directory:



Vamos a la consola (Menu Inicio / Smbolo del Sistema) y escribimos:
dcpromo

Esto nos lanzara la instalacin de Active Directory. Durante unos instantes estar instalando
los binarios y despus nos saldr el asistente de instalacin:



Hacemos clic en siguiente, nos mostrara unas advertencias sobre la compatibilidad de
Windows Server 2008 con versiones anteriores. Hacemos clic en siguiente.



A continuacin nos preguntara si queremos crear un nuevo bosque o unirnos a uno ya
existente. Hacemos clic en Crear un dominio nuevo en un bosque nuevo.



En la siguiente pantalla agregamos el nombre que tendr nuestro nuevo dominio:



Seguidamente tendremos que establecer el nivel funcional del bosque, esto es mas o menos
la compatibilidad que tendr con otros servidores Windows Server. Si por ejemplo elegimos
Windows Server 2003 solo se podr agregar a nuestro bosque los servidores que ejecuten
Windows Server 2003 o posterior.



En la siguiente pantalla establecemos el nivel funcional del dominio, seleccionamos Windows
Server 2003 como en el paso anterior:


Hacemos clic en siguiente y el instalador examinara la configuracin DNS, nos preguntara los
componentes adicionales que queramos instalar, el servidor DNS es indispensable:

En algunos casos nos advierte que nuestra IP es configurada dinmicamente:



Hacemos clic en Si, el equipo usara una IP asignada dinmicamente y procedemos con la
instalacin del servidor DNS.

En la pantalla siguiente tenemos que configurar las rutas donde se guardaran las bases de
datos del servicio DNS. Lo dejamos todo por defecto en nuestro caso.



Elegimos una contrasea de administrador:



Hacemos clic en siguiente, en la siguiente pantalla podemos exportar la configuracin, por si
luego volveremos a usarla.



Despus de hacer clic en siguiente empezar la instalacin:



Al acabar la instalacin nos pedir que reiniciemos, procedemos a reiniciar el servidor.

Ya tenemos nuestro Active Directory instalado, podemos ir al Administrador del Servidor



Desplegar el men de Funciones:


SERVICIOS:
A continuacin mostramos un listado de las herramientas avanzadas
para configuracin y administracin de los controladores de dominio
Microsoft Windows Server 2008:
Herramientas de AD DS:
o Centro de administracin de Active Directory: permite
navegar, examinar y administrar objetos de equipo y de
usuario en el directorio.
o Dcpromo.exe: permite agregar o quitar funcionalidades de
controlador de dominio a un servidor mediante el Asistente
para la instalacin de AD DS.
o Dominios y confianzas de Active Directory: permite
administrar confianzas, los niveles funcionales de dominio y de
bosque, y los sufijos de nombre principal del usuario (UPN).
o Editor ADSI: permite consultar, ver y editar objetos y
atributos en el directorio.
o Ldp.exe: permite realizar operaciones LDAP en el directorio,
como conectar, enlazar, buscar, modificar, agregar y eliminar.
o Netdom.exe: permite administrar cuentas de equipo, dominios
y relaciones de confianza.
o Ntdsutil.exe: permite realizar el mantenimiento de bases de
datos en el almacn de AD DS, configurar los puertos de AD
LDS y ver las instancias de AD LDS.
o Repadmin.exe: permite solucionar y diagnosticar problemas
de replicacin entre controladores de dominio.
o Sitios y servicios de Active Directory: permite administrar
la replicacin de los datos del directorio entre todos los sitios
del directorio.
o Usuarios y equipos de Active Directory: permite
administrar y publicar informacin en el directorio.
Herramientas de servicios de directorio:
o Dcdiag.exe: permite diagnosticar el estado de mantenimiento
de controladores de dominio, bosques de directorios e
instancias de AD LDS.
o Dsacls.exe: permite ver y modificar descriptores de seguridad
en objetos de directorio.
o Dsadd.exe: permite agregar tipos especficos de objetos,
como usuarios, grupos y equipos, al directorio.
o Dsdbutil.exe: permite realizar el mantenimiento del almacn
de AD DS, configurar los puertos de comunicacin de AD LDS y
ver las instancias de AD LDS.
o Dsget.exe: permite ver las propiedades seleccionadas de un
objeto especfico, como un usuario o equipo, en el directorio.
o Dsmgmt.exe: permite administrar particiones de aplicacin y
roles de maestro de operaciones, y quitar metadatos de
instancias abandonadas.
o Dsmod.exe: permite modificar un objeto existente de un tipo
especfico, como un usuario o equipo, en el directorio.
o Dsmove.exe: permite mover un objeto a una nueva ubicacin
de un dominio o cambiar el nombre de un objeto existente del
directorio.
o Dsquery.exe: permite consultar si existe un tipo de objeto
especfico en el directorio siguiendo criterios especificados.
o Dsrm.exe: permite eliminar un objeto de un tipo especfico o
cualquier objeto general del directorio.
o Mdulo de Active Directory para Windows PowerShell: permite
usar el entorno de Windows PowerShell para administrar el
directorio.
Redes y otras herramientas:
o GPfixup.exe: permite reparar dependencias de nombres de
dominio en vnculos y objetos de directiva de grupo tras una
operacin de cambio de nombre de dominio.
o Ksetup.exe: permite configurar un cliente de modo que use el
dominio Kerberos V5 en lugar de un dominio de AD DS.
o Ktpass.exe: permite configurar un servicio Kerberos (no
Windows) como entidad de seguridad en AD DS.
o Nltest.exe: permite realizar tareas de solucin de problemas
como la consulta del estado de replicacin y la comprobacin
de las relaciones de confianza.
o Nslookup.exe: permite ver informacin de servidores de
nombres para diagnosticar problemas de infraestructura DNS.
o W32tm.exe: permite ver opciones, administrar la
configuracin y diagnosticar problemas con Horario de
Windows.
IIS
Plataforma de servicios que soporta contenido web, windows server 2008 incluye IIS 7.0
con mejoras de administracin, escalabilidad y confiabilidad, incluye ademas
compatibilidad con sitios web creados con versiones anteriores a IIS 7.0. Puede agregar
componentes o quitarlos los que son llamados mdulos.





Ventajas:
-Se controlan los mdulos necesarias para el servidor.
-Personalizacin de servidor para una funcin esoecifica.
-Uso de mdulos personalizados para reemplazar reemplazar existentes y agregar
nuevas caracteristicas.
-Mejora seguridad y disminuye administracin reduciendo ataques (hacking), optimiza la
memoria y se elimina la administracin de caracteristicas no necesarias.
Una instalacin exitosa de IIS se basa en la configuracion correcta dependiendo del
requerimiento del usuario y desarrollador.

Administracin
Se eliminan ventanas y cajas de cambio. Se incluye una nueva administracin que
gestiona opciones disponibles y ajustes, ademas es amigable para la administracion de
sistemas y desarrolladores.

Seguridad
Por defecto se habilita un grupo bsico de funcionalidades. El administrador debe habilitar
los servicios adicionales y caracteristicas.

Troubleshooting (Diagnostico y solucin de problemas)
Es de vital importancia detectar y resolver cualquier error, para asi tener una continuidad
operativa del servidor. Las nuevas herramientas permiten detectar dichos problemas y
entregar detalles necesarios para solucionarlos


NUEVAS CARACTERISTICAS
Administracin de la configuracin centralizada: el que provee un metodo simple para
compartir informacin de configuracin en los servidores. Soporta delegacin separando
tareas de administracin por motivos de seguridad y administracin con permisos
granulares. Backward compatibility: Sitios web y app creadas en versiones anteriores de
IIS seguiran siendo compatibles incluyendo la herramienta de administracin IIS 6

Instalacin
1.- Configuration WIzard
2.- CLI: ServerManagerCmd.exe -install Web-Server
3.- PkgMgr.exe (en conjunto con otros caracteres)

Configuration Wizard:





ServerManagerCmd.exe -query muestra caracteristicas instaladas.


::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Modulos IIS
IIS es una arquitectura basada en mdulos, incluye componentes y caracteristicas que
pueden ser usadas por soportar distintos tipos de contenido y aplicaciones, solo el
administrador pueder habilitar los componentes en el servidor.
Role Services son caracteriticas y opciones para su uso en un servidor web. Cuando se
instala IIS estos roles pueden ser agregador o quitados usando la consola Server
Manager.

Roles por defecto:


Common HTTP Features
La funcin mas importante de un servidore es disponibilizar paginas HTML usando el
protocolo HTTP.

Common HTTP Features:
Static content: coloca disponibles paginas Web estticas, enviadas generalmente al
usuario sin procesos server-ide.
Default document: permite retornar automaticamente un archivo cuando no es
especificado. Por ej: si un usuario escribe www.duoc.cl el servidor web se podr
configurar para que responda con la pgina default.aspx
Directory browsing: Listado de directorio, al habilitar se envia informacion de archivos y
directorios de un sitio web a un usuario, pero no recomendado para produccin y sitios
pblicos. Si Defaul Documen se encuentra habilitado y existe "match" los usuarios no
podrn listar los archivos del sitio.
Http errors: Mensajes de error que IIS permite personalizar, por ejemplo se puede incluir
el contacto del administrador del sitio para resolver problemas.
Http redirection: Permite redireccionar requests de un sitio a otro.

Application development
Los sitios de produccin requieeren soporte para servicios Web dinmicos y para
aplicaciones Web.
ASP.NET: plataforma de desarrollo para servidores Microsoft Web, basado en Freamwork
de .Net (paginas .aspx)
.NET Extensibility: necesario para asp.net permitiendo cambiar y extender funcionalidades
del servidor web y las nuevas solicitudes.
ASP: Predesesor a ASP.NET el que provee un metodo basado en script de desarrollo de
aplicaciones web. Se ejecuta y genera contenido html el cual se envia por medio de IIS.
Soporta compatibilidad para aplicaciones que aun no se han actualizado a ASP.NET
CGI: Common gateway interface es un standard el cual define como el servidor web enva
informacin a script programados, requerido por componentes que se se ejecutan en el
servidor (server-side), un ejemplo de esto es PHP.
ISAPI extensions: Internet Server APlication Programming Interface es por el cual los
desarrolladores crean sus propios controladores de contenido los que interactuan con los
aspectos de IIS. El estndar ISAPI proporciona escalabilidad para soportar multiples
solicitudes, lo que lo hace mas rpido que CGI.
ISAPI filters: Es cdigo personalizado que procesa solicitudes espcecificas. El contenido
que devuelve depende de la programacin por parte del servidor. Son usados para
modificar o mejorar las funcionalidades de IIS.
Server side inludes: Da la posibilidad de insertar contenido comn en todas las pginas
web. Por ejemplo: una cabecera, elementos de navegacin y pie de pginas. Archivos
.stm, .shtm, y .shtml. Esta funcin se encuentra deshabilitada por defecto por razones de
seguridad.

Healt and Diagnostics Features
Los administradores deben aislar y solucionar los problemas que puedan ocurrir. Esta
caractrsticas ayudan a la coleccin y anlisis de los requerimientos Web.
HTTP logging: registros de los requerimientos HTTP en texto plano. Por defecto se
registran algunos eventos pero esto se puede cambiar. La carpeta de estos log se ubica
en %SystemDrive%InetpubLogsLogFiles
Logging tolls: permite acceso simple para analizar los log. Estos en algunas ocasiones
pueden ser de gran tamao imposibilitando su lectura. El tamao minimo de uno de estos
Log dependiendo la configuracin si es por da, horas expecificas, etc. es de 1 GB.
Request Monitor: permite ver en tiempo real la actividad del sitio web, adems permite
diagnosticar problemas de performance.
Tracing: Habilita rastreo de peticiones fallidas a un procesos especifico durante un tiempo
predeterminado. Cuando un error es detectado es muy importante recopilar toda la
informacin posible.
Custom logging: Crea modulos propios basados en COM. Se debe construir el modulo de
registro y luego registrarlo en IIS para que almacene los datos.
ODBC Logging: Permite grabar registros de Log en formato disponible para la conexin
ODBC (base de datos). Causa overhead de recursos.

Security Features
Mantiene la seguridad de los servidores web. Dependiendo de la aplicacin se pueden
habilitar una amplica variedad de mecanismos de seguridad.
Basic authentication: las mas usada, perola informacin no es cifrada por lo que se
recomienda usar ssl. Requiere usuario y contrasea de Windows.
Windows auhentication: autentifica usando NTLM o Kerberos. Recomendado para
intranet. La autentificacion es a traves del dominio Active Directory.
Digest authentication: Autentifica a los clientes enviando un hash de la contrasea hacia
un DC Windows.
Client Certificate Mapping Authentication: Autentifica contra un certificado asignado a una
cuenta Acive Directory.
URL authorization: Permite crear reglas que restringen acceso a contenido web
especifico.
Request filtering: Permite crear reglas para bloquear peticiones web. Haciendo filtros
disminuye la posibilidad de ataques (hack)
IP security: Habilita y deniega contenido en funcin de direcciones IP de origen y nombre
del dominio de la solicitud.

Performance Features
La arquitectura de IIS hace que el servicio de solicitudes web sea mas eficiente.
Static Content Compression: HTTP ofrece un mtodo para comprimir las pginas
estticas (html) antes de que se enven al browser. Reduce el trfico en la red con un
costo mnimo de CPU. Adems IIS puede guardar en la memoria las pfinas mas
frecuentes (cach).
Dynamic Content Compression: el contenido dinmico es diferente para cada peticin
web. Est deshabilitado por defecto y se puede habilitar para reducir el trfico de red.
El ancho de banda en general es mas limitado que el de procesamiento de servidores, por
lo que se recomienda que la compresin de contenido se encuentre habilitada.

Management Tools
Herramientas de administracin de IIS.
IIS Management Console: Soporta administracin del servidor Web local y remoto.
IIS Management scripts and Tools: Administra un servidor local con script de
configuracin.
Management Service: Permite que el servidor Web sea administrado de forma remota
IIS 6 Management Compatibility: Permite administracin de IIS 7 con APIs o script de IIS
6.0


Intenet Information Services Manager, es la herramienta numero uno utilizada para la
configuracin y administracin de sitios web, la cual se instala por defecto al momento de
agregar el rol de IIS.



AppCmd.exe es una va simple para ejecutar tareas comunes de un administrador. Los
parmetros de hoy se encuentran diseador para administrar sitios web, Aplicaciones web
y directorios virtuales.



:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Seguridad IIS

La implementacin de seguridad es un tema relevante en toda el area IT, pero
especificamente en aplicaciones que manejan informacin de vital importancia y
aplicaciones a las cuales acceden un gran nmero de usuarios/clientes. IIS reduce el rea
de ataque al ser capaz de deshabilitar o remover caracteristicas innecesarias.

Jerrquias de objetos: IIS 7 fue diseado para que utilice jerarqua de objetos en sitios
web y aplicaciones. Se pueden aplicar ajustes en el servidorr para sitios web,
aplicaciones, directorios virtuales, archivos y carpetas especificas.

Defensa de profundidad: Enfoque se seguridad de mltiples capas. Las opciones de
seguridad pueden ser autenticacin, autorizacin, permisos de archivos y algunas oras
configuraciones de acceso. Esto trabaja en conjunto para que solo personal auorizado
tenga acceso al sistema.

Cuentas de seguridad IIS: Por defecto se crea una cuenta estndar llamada IUSRS y un
grupo de seguridad local llamado IIS_IUSRS. Las contraseas de estas cuentas son
manejadas internamente por lo que los administradores no necesitan tener conocimientos
o modificaciones de dichas cuentas.

Permisos en sistema de archivos: Permisos de un contenido web a traves de permisos
NTFS. Puede ser administrador directamente con Windows explorer.


Administracin remota: Se debe habilitar la caracteristica en el rol IIS (IIS Management
Service), trabaja en HTTP o HTTPS bajo el puerto 8172 por defecto (recordamos que este
puerto puede ser cambiado). Para poder realizar cambios primero debemos detener el
servicio de Administracin remota. Esta administracin es til para trabajar con mltiples
administradores y mejorar la performance desde mltiples locaciones.



Administracin de usuarios IIS: por defecto solo permite cuentas con autenticacin
Windows pero esto puede modificarse facilmente. Se pueden crear cuentas locales para
la administracin del servicio IIS no necesitando una cuenta Windows.

Definir permisos de administracin: Los permisos de administracin solo en los niveles de
Web Site y Web Applications. No se puede configurar a nivel de servidor lo que asegura
que los administradores remotos solo administren esos niveles. Por defeco los permisos
del primer nivel se heredan a los hijos, pero siempre es posible denegar permisos en
niveles especificos.

Configurar delegacin de caracteristicas: La definicin de usuarios y permisos solo es
aplicable para el contenido web. Se pueden habilitar caracteristicas que se pueden ver y
configurar, la delegacin de caracteristicas por defecto est configurada a nivel se
servidor dependiendo de las que se encuentren instaladas. La mayoria tienen opciones
Read Only o Read/Write, teniendo opciones de configuracin para ellas.

Administracin de autenticacin de IIS: Es el procesos por el cual un usuario o equipo
provee identidad por seguridad. El mas comn es el que se entrega un usuario y
contrasea. Por defecto el contenido de un sitio Web est permitido para usuarios
annimos.

Autenticacin annima: Est diseado para que el contenido est disponible para todos
los usuarios que se conecten al servidor web. El cliente no debe entregar autenticacin
para acceder. El acceso al contenido por defecto es delegado a la cuenta IUSR, pero
puede ser cambiada al usuario que ejecuta el Application Pool.

Autenticacin por formulario: Es el mas usado en internet ya que no tiene requisitos
especificos del navegador web. generalmente los desarrolladores web normalmente
construyen su propia pgina de inicio de sesin. Estos inicios de sesin suelen ser
validados contra la informacin almacenada en la base de datos de los sitios de internet o
contra el dominio de Active Directory.

Autentificacin basada: Se puede acceder al menos a una pgina por defecto sin
necesidad de autenticacin. Cuando se habilita IIS por defecto la autenticacin annima
est habilitada para el sisito web predeterminado y su contenido web. La autenticacin
est diseada para proporcionar acceso disponible para todos los usuarios que pueden
conectarse al servidor web. Un ejemplo claro es la web predeterminada para IIS, cuando
iis recibe una solicitud de contenido, se utiliza automticamente una identidad especfica
para completar la soliciud, de forma predeterminada la autenticacin annima utiliza la
cuenta incorporada IUSR (Contenido de la pgina 6-20 del libro para la prueba). Esa
cuenta tiene permiso para acceder al contenido basado en permisos NTFS.
El comando Set sirve para proporcionar usuario y contrasea para una cuenta diferemte,
esto es til cuando se va a utilizar diferentes permisos NTFS para distintos contenidos
web. Adems existe la opcin de utilizar la identidad del grupo de aplicaciones, esto indica
que IIS puede utilizar las mismas credenciales que se aplican al grupo de aplicaciones
utilizadas por el Website o por las Web Applicationn.