Universidad Tecnolgica Intercontinental

Redes II

Page 1

Universidad Tecnolgica Intercontinental

Introduccin
Inicialmente, Windows 2003 se gest como el sucesor y el integrador de todos los Windows. La idea original pasaba por incorporar en Windows 2003 las features de PnP y resto de subsistemas probados y experimentados en la serie de Windows al consumo (9X). A lo largo de la fase beta de W2003, Microsoft se replante la posicin anterior, entiendo que correctamente, ya que el mercado no estaba preparado todava para una transicin completa a ncleo NT, y por tanto, el producto final que sali al mercado, sigui siendo un NT puro. Un servicio del directorio es una base de datos de Red que almacena informacin de recursos, tal como cuentas del usuario. Un servicio del directorio proporciona un lugar a la informacin almacenada sobre entidades de la red, tales como usuarios, archivos, impresoras, o aplicaciones. Proporciona una manera constante de nombrar, de describir, de encontrar, de tener acceso, de manejar, y de asegurar a la informacin sobre esos recursos individuales. El directorio tambin acta como el punto central del control y de la gerencia para el sistema operativo de la red. Acta como la autoridad central para identificar y autenticar correctamente las identidades de recursos. En Microsoft el servicio de directorio activo, desempea un papel crtico en la capacidad de una organizacin de manejar la infraestructura de la red, de realizar la administracin del sistema y de controlar el ambiente de usuario. Los servicios basados en la nueva filosofa del Directorio Activo, se ajustan ms de cara al mundo real a la estructura de una organizacin, la implementacin no fue del todo completa. Dicha implementacin ha sido corregida en las versiones de Windows .NET. Active Directory, renombrado a NTDS : Implementacin de Microsoft del servicio de directorios LDAP para utilizarse en entornos Windows. Permite a los administradores poder crear polticas a nivel empresa, aplicar actualizaciones a una organizacin completa, desplegar programas en mltiples computadoras, etc.

Redes II

Page 2

Universidad Tecnolgica Intercontinental

ACTIVE DIRECTORY Es un sistema parejo al rbol de netware que sirve para compartir recursos en un conjunto de dominios. Para ello utiliza un sistema comn de resolucin de nombres (dns) y un catlogo comn que contiene una rplica completa de todos los objetos de directorio del dominio en que se aloja adems de una rplica parcial de todos los objetos de directorio de cada dominio del bosque. El objetivo de un catlogo global es proporcionar autentificacin a los inicios de sesin. Adems contiene informacin sobre todos los objetos de todos los dominios del bosque, la bsqueda de informacin en el directorio no requiere consultas innecesarias a los dominios. Una nica consulta al catlogo produce la informacin sobre donde se puede encontrar el objeto. En definitiva Active Directory es el servicio de directorio incluido con Windows 2000/2003

Qu es un servicio de directorio? Un servicio de directorio es uno de los componentes ms importantes de una red. Los usuarios y administradores con frecuencia no saben el nombre exacto de los objetos en que estn interesados. Quiz conozcan uno o ms atributos de los objetos y puedan consultar el directorio para obtener una lista de objetos que concuerden cono los atributos: por ejemplo, "Encontrar todas las impresoras duplex en Edificio B". Un servicio de directorio permite que un usuario encuentre cualquier objeto con slo uno de sus atributos. Qu es un objeto? Es cualquier cosa que tenga entidad en el directorio. Puede ser un programa, un usuario, un ordenador, un router, una impresora, un proxy,

Redes II

Page 3

Universidad Tecnolgica Intercontinental

Qu es un dominio? Es un conjunto de normas que especifican que administran los recursos y los clientes en una red local. En un dominio hay lo que se llama un servidor principal llamado pdc (primary domain controller) que es quien asigna derechos controla usuarios y recursos. Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es posible instalar un servidor de rplica llamado bdc (backup domain controller) que contiene siempre una rplica de la base de datos del pdc y acta como pdc en cuanto a peticiones de clientes. Adems en caso de fallo del pdc, l se sita en el dominio como pdc. En caso de haber varios bdc, uno de ellos se coloca como pdc y los dems se dedican a respaldar a ese. Por qu es tan importante active directory? Porque es la respuesta a la crtica que siempre se le hizo a microsoft en windows NT de que sus sistemas de red no son escalables. Con active directory se agilizan las bsquedas de recursos, se asegura la autentificacin de usuarios y mquinas, se comparten mejor los recursos de la red, se abandona netbios como protocolo para compartir recursos (se resuelven mediante dns y el catlogo global). Qu hace active directory que no pueda hacer con un dominio? Active directory no controla ordenadores, controla dominios y administra los recursos y clientes de esos dominios. Utiliza DNS como sistema de resolucin de nombres (debe haber obligatoriamente uno). Active directory es accesible desde cualquier servidor de dominio. Para qu me sirve? Es til en redes grandes que se puedan dividir en dominios mas pequeos, centros de trabajo con varios dominios y redes intranet donde hay sucursales que comparten recursos. Sobre un dominio miempresa.com podr tener subdominios 'comerciales.miempresa.com' por ejemplo para el acceso al dominio 'comerciales' Las consultas a recursos de la red son mucho mas rpidas porque se resuelven mediante el catlogo global en vez de bsquedas netbios. La autentificacin tambin se resuelve mediante el catlogo lo que resuelve problemas de seguridad variados. Un directorio activo es lo mas seguro que tiene windows hoy por hoy. Las consultas al servidor o a otros sitios se resuelven por dns y no por netbios. La administracin del directorio activo puede realizarse desde cualquier servidor de dominio de toda la red. Puede incluir cada objeto individual (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de rea amplia. Tambin puede incluir varias redes de rea amplia combinadas.

Redes II

Page 4

Universidad Tecnolgica Intercontinental

Estructura Jerrquica Active Directory est basado en una serie de estndares llamados (X.500), aqu se encuentra una definicin lgica a modo jerrquico. Dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS, razn por la cual Active Directory requiere uno o ms servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lgicos de la red, como el listado de usuarios. Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, ser reconocido en todo el rbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios. A su vez, los rboles pueden integrarse en un espacio comn denominado bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relacin de trust o confianza entre ellos. De este modo los usuarios y recursos de los distintos rboles sern visibles entre ellos, manteniendo cada estructura de rbol el propio Active Directory. Funcionamiento Jerrquico Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la informacin relativa a un dominio de autenticacin. La ventaja que presenta esto es la sincronizacin presente entre los distintos servidores de autenticacin de todo el dominio. A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email, etctera, las impresoras de red tendrn campo nombre, campo fabricante, campo modelo, campo "usuarios que pueden acceder", etc). Toda esta informacin queda almacenada en Active Directory replicndose de forma automtica entre todos los servidores que controlan el acceso al dominio. De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administracin, los eventuales cambios sern visibles en todo el mbito. Para decirlo en otras palabras, Active Directory es una implementacin de servicio de directorio centralizado en una red distribuida que facilita el control, la administracin y la consulta de todos los elementos lgicos de una red (como pueden ser usuarios, equipos y recursos).

Redes II

Page 5

Universidad Tecnolgica Intercontinental

Caractersticas de Active Directory en Windows Server 2003 La siguiente lista resume las caractersticas de Active Directory disponibles de forma predeterminada en cualquier controlador de dominio que utilice Windows Server 2003. Seleccin mltiple de objetos de usuario. Los atributos comunes de objetos de usuario mltiples se pueden modificar al mismo tiempo. Funcin de arrastrar y colocar. Permite mover los objetos de Active Directory de contenedor en contenedor mediante la funcin de arrastrar y colocar en la ubicacin deseada de la jerarqua de dominios. Tambin puede agregar objetos a las listas de pertenencia a grupos con la funcin de arrastrar uno o ms objetos, incluidos otros objetos de grupo, al grupo de destino. Funciones de bsqueda eficaces. La funcionalidad de bsqueda est orientada a objetos y proporciona una bsqueda eficaz que reduce el trfico de red que se produce con la exploracin de objetos. Consultas guardadas. Los parmetros de bsqueda ms utilizados se pueden guardar para volver a usarlos en Usuarios y equipos de Active Directory. Para obtener ms informacin. Herramientas de lnea de comandos de Active Directory. Permiten ejecutar nuevos comandos de servicio de directorio en escenarios de administracin. Para obtener ms informacin. Clase inetOrgPerson. Se ha agregado la clase inetOrgPerson al esquema de base como principal de seguridad y puede utilizarse de igual forma que la clase de usuario. El atributo userPassword tambin puede utilizase para establecer la contrasea de cuenta. Para obtener ms informacin. Particiones de directorio de aplicaciones. El mbito de replicacin se puede configurar con datos especficos de aplicaciones entre controladores de dominio. Por ejemplo, puede controlar el mbito de replicacin de los datos de la zona Sistema de nombres de dominio (DNS) almacenados en Active Directory para que slo determinados controladores de dominio del bosque participen en la replicacin de zonas DNS. Para obtener ms informacin. Capacidad de agregar controladores de dominio adicionales mediante medios de copia de seguridad. Se reduce el tiempo necesario para agregar un controlador de dominio en un dominio existente gracias a los medios de copia de seguridad. Para obtener ms informacin. Almacenamiento en cach de la pertenencia al grupo universal. Evita la necesidad de buscar un catlogo global a travs de una WAN al iniciar una sesin ya que permite almacenar la informacin de pertenencia al grupo universal en un controlador de dominio de autenticacin. Para ms informacin. Trfico LDAP seguro. Las herramientas administrativas de Active Directory firman y codifican de forma predeterminada todo el trfico LDAP. La firma del trfico LDAP garantiza que los datos empaquetados provienen de una fuente conocida y que no han sido modificados en el camino. Para obtener ms informacin. Cuotas de Active Directory. Se pueden especificar las cuotas de Active Directory para controlar el nmero de objetos que un usuario, grupo o equipo puede poseer en determinada particin de directorio. Los Administradores de dominio y de organizacin estn exentos de cuotas.

Redes II

Page 6

Universidad Tecnolgica Intercontinental

Cmo funciona? Ambos sistemas se basan en una arquitectura jerrquica de objetos. Lo que significa que est organizada en forma de rbol, donde de la raz o nodo principal (Objeto [Root] en el NDS) sale el resto que a su vez se diversifica en otros nodos o contenedores. Cada contenedor tiene objetos que no son ms que los usuarios, dispositivos, aplicaciones, etc. Los objetos tienen unas propiedades que dependern del tipo de elemento, por ejemplo en los usuarios sern el nombre, la contrasea, los permisos, su buzn de correo, etc. Ahora bien, no toda la informacin del rbol se almacena en un equipo, existen lo que se denominan las rplicas de directorio que no son ms que otros ordenadores que almacenan las copias del sistema de rbol. Cualquier cambio en un nodo de una rplica, automticamente es modificado en el resto de rplicas. El rbol de rplicas de NetWare, permite mantener particiones de una determinada rama de rbol, en lugar del rbol completo, de esa forma el trfico que genera la actualizacin de las rplicas disminuye. Podemos gestionar las rplicas y particiones mediante una aplicacin el NDS Manager que nos permitir ver el estado de las particiones, forzar las rplicas, crear, modificar y eliminar las particiones ya existen, etc. Actualizaciones y Software Active Directory tambin simplifica la distribucin de software gracias a su sistema llamado InteliMirror. Este sistema distribuye actualizaciones de software a los equipos pertenecientes a un nodo determinado, o a todo el rbol. En Netware podemos realizar las actualizaciones de software, modificaciones de configuracin en puestos de trabajo, etc. Pudiendo realizar instalaciones o modificaciones selectivas en funcin del tipo de equipo y de forma desatendida y transparente para el usuario (es decir, sin que ste se entere). Para ello cuenta con el NAL (Novell Application Launcher). Seguridad La seguridad es uno de los puntos fuertes tanto de Active Directory como del NDS. Podemos poner diferentes niveles de seguridad para cada rama del rrbol, contenedor o servidor de replicacin. Se basa en los estndares adoptados por Windows 2000 Server, kerberos, certificados x.509 o mediante tarjetas inteligentes. A su vez soporta las tpicas protecciones de la red internet como claves pblicas y privadas, as como LDAP sobre SSL. Una de las caractersticas son los derechos heredados, proporcionados para evitar tener que dar derechos sobre cada uno de los objetos de forma independiente. Adems se podrn definir filtros que permitan heredar unos derechos y otros no.

Redes II

Page 7

Universidad Tecnolgica Intercontinental

Active Directory frente a NDS de Novell Puesto que el sistema active directory es una rplica de NDS de Novell (fue comprado por Microsoft a ste) las ventajas que tiene sobre l son pocas. Cabe destacar la facilidad en la gestin de impresoras en Active Directory, comparndola con la gestin en una red NetWare, ya que Windows fusiona los elementos del NDS y los suyos propios para que las impresoras reconozcan de forma automtica en la red, sin necesidad de crear los objetos de impresin como en el NDS. Fallos de Active Directory frente a NDS Uno de los grandes problemas que acusa Active Directory frente a NDS de Novell es el tema de las rplicas. Cuando tengamos ms de un servidor, y en cada uno de ellos tengamos diferentes objetos, estos debern estar sincronizados, de forma que los objetos que estn en un servidor estn en el otro. Si cada servidos posee y es el dueo de unos objetos, los objetos del otro servidor debern estar referenciados en este (los objetos que no posee). El proceso de paso de las propiedades de los objetos entres servidores se llaman rplicas de rbol. En Active Directory las rplicas son totales, es decir, todos los servidores manejan rboles enteros, todos los servidores llevan todos los objetos. Cuando se hace un cambio en un objeto de una rama del rbol, el cambio no es slo transmitido, sino que se transfiere al otro servido todo el rbol entero. As en un principio se evitan los errores por degradacin del rbol en cualquiera de los servidores. Esto que parece una ventaja no es ms que un gran inconveniente. Si dos servidores estn separados por un ancho de banda pequeo (por ejemplo, dos edificios con sus correspondientes departamentos en ramas conectadas por una RDSI), la rplica del rbol ser un proceso muy lento y llevar muchsimo tiempo. NDS de Novell no tiene esta desventaja, las rplicas se hacen por objetos o ramas (o rbol entero si hace falta), lo que hace que la actualizacin sea ms rpida y eficiente que con Active Directory. Novell NDS Explicado Active Directory es tener explicado NDS de Novell puesto que se basa en lo mismo. Novell es una empresa dedicada a soluciones de rede desde el ao 1979, lo que hace que su experiencia en entornos de red sea de las mejores. Actualmente NDS de Novell ha pasado a llamarse eDirectory. Esto no ha sido un slo un cambio de look, sino tambin un cambio en el corazn de la aplicacin hacindola ms robusta frente a redes de gran tamao (grandes empresas espaolas e internacionales tienen a Novell como motor de sus redes). NDS o eDirectory incluye potentes herramientas para la administracin de la red y los equipos conectados a esta. Todas las herramientas (como el propio sistema operativo o sus elementos) estn programas en Java, lo que ofrece una total compatibilidad con equipos y sistemas. Un ejemplo es ConsoleOne que es una herramienta bsica de control de la red y sus servidores, con cientos de plugins que ahorran muchsimo tiempo en las tareas ms comunes de control de una red. Tareas como arrancado y mantenimiento de servidores, control de conexiones a los servidores, control de usuarios, importado de estaciones, asignacin de trusties (un mtodo ms de permisos en ficheros o directorios) Otro ejemplo es eGuide, una aplicacin para la bsqueda de personas, recursos, direcciones y un largo etctera. Compatible con LDAP3 y con soporte Web integrado (totalmente escrito en java), soporta los ACLs para saber si un usuario tiene permiso para buscar en ciertos sitios y que ciertas cosas. Redes II Page 8

Universidad Tecnolgica Intercontinental

Esto y otras cosas hacen de Novell una herramienta ideal para redes medianas y grandes, mientras que Active Directory es una herramienta orientada a redes pequeas. Novell ha solucionado multitud de problemas que Microsoft an no ha visto, gracias a su experiencia en el mercado.

El Directorio Activo o Active Diectory Que es y para que sirve? Active Directory y no hace mucho que lo dije viene a ser como una gran base de datos con multitud de recursos compartidos en la red y que nos va a permitir administrar, organizar y controlarlos desde una misma ubicacin. Por ejemplo al compartir un recurso, bien sea una impresora, un fichero lo que sea, para el usuario del equipo cliente ese recurso simplemente estar disponible y este no tendra porque saber donde se encuentra, como se conecta etc etc. Otra de las grandes ventajas de Active Directory es su escalabilidad, la capacidad de crecer a la par de una empresa no tiene lmites lo que evita migraciones, cambios de sistemas u otros. Otra de las ventajas que ofrece es la capacidad de controlar mediante directivas de gupo escritorios, servicios de red y aplicaciones proporcionando adems un control centralizado de los recursos de la red que permitie a los usuarios, con un nico inicio de sesin, acceder a todos los recursos mediante Active directory. La estructura lgica de Active Directory Objects clases. Esto son como la base de todos los objetos de Active Directory, viene a ser como la coleccin de objetos de Active directory pero sin definir nnguno de sus atributos, por ejemplo al crear un Usuario vemos todos los campos en blanco, sin definir. Cada objeto tiene una combinacin nica de los valores de atributos. Organizational Units (Unidades Organizativas) Esto son unos contendores que agrupan a otros objetos del directorio con el fin de facilitarnos la tarea de administracin, por ejemplo al aplicar una directiva a una Unidad Organizativa ser aplicada a todos los miembros de esta evitandonos el tener que aplicar la directiva objeto por objeto. Existe la posibilidad de delegar en otro usuario para administrar una Unidad Organizativa. Una Unidad Organizativa puede contener mas Unidades Organizativas anidadas. Dominios Esto es el centro del universo de nuestro Active Directory, es su corazoncito. Los dominios son una coleccin de objetos administrativos definidos que comparten la base de datos comn del directorio, polticas de seguridad y relaciones de confianza con otros dominios. Los domains proporcionan las tres funciones siguientes: 1. Lmite administrativo para los objetos 2. Medios de administrar la seguridad para los recursos compartidos 3. Una unidad de replica para los objetos

Redes II

Page 9

Universidad Tecnolgica Intercontinental

rboles de dominio (domain Tree) Un rbol es una estructura de Active Directory un poco mas avanzada que consta de dos o mas dominios agrupados. Cuando ya tenemos un dominio creado podemos agregar un segundo dominio a este pasando a ser este un child domain del Parent Domain. El child domain puede contener a su vez otros child domains. El nombre del child domain se combina con el de su parent domain como un subdominio, por ejemplo si tenemos el dominio s3v-i.net, un child domain de este podra ser datos.s3v-i.net, de esta forma adquiere su propio nombre DNS, a su vez si el child domain datos.s3v-i.net tiene un child domain bajo el este pasara a tomar como base su nombre de dominio lo que podra ser contabilidad.datos.s3v-i.net.

Bosques (Forest) Un bosque es una instancia completa de Active Directory. Consiste en uno o ms trees. En un solo two-level tree, el cual se recomienda en la mayora de las organizaciones, todos los child domains se hacen children del forest root domain para formar un tree contiguo. El primer dominio en el forest se llama forest root domain. El nombre de ese dominio refiere al forest, por ejemplo, nwtraders.msft. Por defecto, la informacin en Active Directory se comparte solamente dentro del forest. De esta manera, la seguridad del forest est contenida en una sola instancia de Active Directory. La estructura fsica de Active Directory La estructura fsica de Active Directory optimiza el trfico de red determinando cmo y cundo ocurre la replicacin y el trfico de logon. Veamos cuales son sus componentes: Domain Controllers o Controladores de Dominio Pues es un sistema servidor que tiene instalado un Microsoft Windows Server 2000 o 2003 y un Active Directory. Como ya sabemos un controlador de dominio solo soporta un dominio y para su correcta implementacin deberemos de replicar un dominio en almenos dos servidores lo que nos asegurar una disponibilidad mnima. Active Directory Sites o Sitios de Active Directory Los sites son grupos de computadoras conectadas. Cuando usted establece sites, los domain controllers dentro de un solo site pueden comunicarse con frecuencia. Esta comunicacin reduce al mnimo el estado de la latencia dentro del site; eso es, el tiempo requerido para que un cambio que se realiza en un domain controller sea replicado a otros domain controllers. Usted crea sites para optimizar el uso del ancho de banda entre domain controllers en diversas locaciones.

Redes II

Page 10

Universidad Tecnolgica Intercontinental

Active diretory Partitions o Particiones de Active Directory Cada controlador de dominio contiene las siguientes particiones de Active directory: 1. Domain partition: Contiene una rplica de todos los objetos de ese dominio. Esta particin se replica slo a otros controladores de dominio del mismo dominio. 2. Configuration partition: Contiene la topologa del forest. La topologa del registra todas las conexiones de los domain controllers en el mismo forest. 3. Schema partition: Cada forest tiene un schema de modo que la definicin de cada clase del objeto sea constante. Las particiones configuration y schema partitions son replicadas a cada domain controller en el forest. 4. Application partitions (estos son opcionales): Contienen los objetos relacionados con la seguridad y que son utilizados por una o ms aplicaciones. Las application partitions son replicadas a domain controllers especficos en el forest. Como crear un dominio Lo que vamos a hacer es crear el primer dominio llamado MegaCrack de un futuro bosque de dominios, tambin vamos a crear una zona de bsqueda inversa en el DNS que instalaremos con el Domain Controller. Espero que os sea de gran ayuda.

Esta ser la pantalla final cuando arranquemos nuestra sesin con el Domain controller o con algn cliente que aadamos al dominio creado. Lo primero que haremos despus de instalar un servidor con Windows 2003 Server Standard Edition ser configurarle una ip fija. En nuestro caso va a ser 192.168.1.100 como se muestra en la figura:

Este DNS (127.0.0.1) es la direccin de loopback del servidor, s, podramos poner su direccin ip (192.168.1.100) pero as no presta a confusin.

Redes II

Page 11

Universidad Tecnolgica Intercontinental

Si disponemos de acceso a internet uno de los pasos recomendados sera ponerlo al ltimo nivel de parches (www.windowsupdate.com) y as dejaramos el servidor un poco ms protegido. (Ya me entendis) para poder hacer esto tenis que poner en los DNS unos dns externos por ejemplo unos que utilizo yo y me han ido siempre muy bien son 194.179.1.100 y 194.179.1.101, acordaros cuando terminis de actualizar windows de volver a poner los DNS como en la imagen anterior. El nombre del servidor ser FirstDomain. Cuando ya tenemos ip fija y los ltimos parches de seguridad ya podemos empezar el proceso de creacin de nuestro dominio: Lo primero que hay que hacer es ejecutar el comando dcpromo o bien ejecutar el Administre su servidor y aadir la funcin Controlador de dominio (Active Directory) nosotros vamos a usar la primera opcin (dcpromo) que es 4 pantallas ms rpida y hace exactamente lo mismo.

Pulsar Siguiente.

Pulsar Siguiente. (En el caso que vuestros clientes sean Windows 95, NT 4 deberis leer la Ayuda sobre compatibilidad del enlace de la misma pantalla para decidir que hacer).

Redes II

Page 12

Universidad Tecnolgica Intercontinental

Como nuestro servidor va a ser el primer controlador de dominio deberemos dejar seleccionado Controlador de dominio para un dominio nuevo y pulsar Siguiente.

Pulsar Siguiente. (Como nosotros no disponemos en la actualidad de ms dominios, o al menos queremos separar este dominio de cualquier otro dejaremos seleccionada la primera opcin (Dominio en un nuevo bosque)).

Aqu pondremos el nombre del dominio a crear, en nuestro caso megacrack.es, podis poner el nombre que vosotros creis pero tened en cuenta que si va a pertenecer a un dominio de internet sera bueno que se llamara igual para luego poder vincular servidores de mensajera, servicios web, etc

Pulsar Siguiente. El nombre NETBIOS se usa para clientes con versiones anteriores de Windows puedan identificar el dominio. Se puede cambiar pero recomendamos dejarlo por defecto.

Redes II

Page 13

Universidad Tecnolgica Intercontinental

Pulsar Siguiente. (nicamente en el caso que vuestro Domain Controller vaya a albergar una gran cantidad de usuarios deberis cambiar la unidad en la que guarde estos directorios para hacer que el rendimiento del servidor sea mejor).

Pulsar Siguiente.

La instalacin ejecuta una consulta SOA de _ldap._tcp.dc._msdcs.megacrack.es para comprobar si existe un servidor DNS principal y le devuelve un time out, gracias a esta consulta nos da la opcin de corregir el problema instalando un DNS en segundo plano, de instalarlo y configurarlo desde el mismo asistente o de realizarlo mas tarde. Pulsar Siguiente, para Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido.

Redes II

Page 14

Universidad Tecnolgica Intercontinental

Pulsar Siguiente. En este caso ya que no disponemos de servidores con versiones anteriores de windows 2000 dejaremos la opcin por defecto seleccionada.

Aqu pondremos una contrasea por si alguna vez necesitamos despromover este domain controller o necesitamos entrar en modo restauracin para solventar cualquier problema relacionado con Active Directory, poned una contrasea que os sea fcil de recordar y pulsar Siguiente.

Finalmente nos muestra un resumen del proceso de instalacin y al pulsar Siguiente empezar el proceso de instalacin.

Redes II

Page 15

Universidad Tecnolgica Intercontinental

Instalar el servidor DNS tambin y os solicitar el CD de instalacin de Windows 2003 Server.

Pulsar Finalizar para terminar la instalacin.

Pulsar Reiniciar ahora.

Y cuando pulsemos ctrl+alt+supr veremos que el dominio MEGACRACK ya est creado. Si queris tener acceso a internet siempre que tengis bien configurada la puerta de enlace nicamente deberis configurar los reenviadores en el dns ejecutando el comando dnsmgmt.msc y botn derecho sobre vuestro servidor > propiedades en la pestaa reenviadores agregar las ips 194.179.1.100 y 194.179.1.101 y pulsar Aceptar.

Redes II

Page 16

Universidad Tecnolgica Intercontinental

Lo que vamos a hacer ahora es crear una nueva zona DNS para poder resolver los nombres de forma inversa, esto significa que cuando haces un ping -a a la ip te devuelva un nombre de pc. Para llevar esto a cabo desde la consola del DNS que tenis abierta pulsad botn derecho sobre el servidor DNS y pulsar sobre Zona nueva.

Pulsar Siguiente.

Dejar seleccionada Zona principal y pulsar Siguiente.

Redes II

Page 17

Universidad Tecnolgica Intercontinental

Ya que lo que tenemos nosotros en la actualidad es un dominio dejaremos marcada la opcin Para todos los servidores DNS e el dominio megacrack.es de Active Directory y pulsar Siguiente.

Como ya disponemos de una zona de bsqueda directa debemos seleccionar Zona de bsqueda inversa y pulsar Siguiente.

Escribiremos la ID de red que tengamos en nuestro caso es 192.168.1 ya que la mscara que tenamos es de clase C o 255.255.255.0 o /24 o como queris llamarla y pulsar Siguiente.

Dejar seleccionada Permitir slo actualizaciones dinmicas seguras (recomendado para Active Directory) y pulsar Siguiente, ya que con la tercera opcin deberamos aadir todos los registros DNS manualmente y la segunda opcin dejara actualizar registros de clientes que no son de confianza.

Redes II

Page 18

Universidad Tecnolgica Intercontinental

Pulsar Finalizar para terminar con la creacin de la zona inversa. Crear usuarios y grupos Vamos a Inicio --> Herramientas Administrativas --> Usuarios y Equipos de Active Directory

Para administrar mejor los usuarios y los grupos podemos crear unidades para los grupos y los usuarios.

Redes II

Page 19

Universidad Tecnolgica Intercontinental

Clic derecho sobre el nombre del dominio --> Nuevo --> Unidad Organizativa --> Y creamos una unidad para Usuarios y otra para Grupo.

Tendremos algo as

Ahora imaginmonos que estamos dentro de una empresa y los empleados trabajan en distintos departamentos: Contabilidad, Recursos Humanos y Direccin. Procedemos a crear los grupos. Hacemos clic derecho sobre la unidad organizativa que hemos creado anteriormente llamada Grupos --> Nuevo --> Grupos

Redes II

Page 20

Universidad Tecnolgica Intercontinental

Creamos nuestros grupos.

Repetimos el proceso con los dems grupo

El mbito de Grupo y el Tipo de Grupo los ajustamos a nuestra necesidad, en mi caso lo dejar por defecto.

Redes II

Page 21

Universidad Tecnolgica Intercontinental

Ahora que ya tenemos creados los grupos, vamos a crear los usuarios del dominio. Clic derecho sobre la unidad organizativa Usuarios --> Nuevo --> Usuarios

Rellenamos los datos pedidos.

Elegimos la contrasea del usuarios (debe cumplir los requisitos de seguridad, podis ponerle: ElHacker.net123

Y finalizamos

Redes II

Page 22

Universidad Tecnolgica Intercontinental

Para hacer las pruebas crearemos al menos 3 usuarios.

Agregar usuario a un grupo Seleccionamos uno de nuestros usuario --> Clic derecho sobre l --> Propiedades

Una vez abierta la ventana de propiedades, vamos a la pestaa Miembro de .

Redes II

Page 23

Universidad Tecnolgica Intercontinental

Hacemos clic en Agregar. A este usuario vamos a unirle al grupo Recursos Humanos. Despus de escribir el nombre del grupo le damos a Comprobar Nombres.

Ahora si observamos la ventana de Miembro de, veremos que pertenece tambin el grupo Recursos Humanos.

Eso es todo en cuanto a Grupos de Usuarios.

Creacin de Perfiles Mviles . Creamos una carpeta llamada Perfiles dentro de nuestro servidor, yo la crear en el Disco Local C. Hacemos clic derecho sobre esta carpeta --> Propriedades --> Uso compartido avanzado

Redes II

Page 24

Universidad Tecnolgica Intercontinental

Despus marcamos la casilla de Compartir y hacemos clic en Permisos --> Seleccionamos Todos y marcamos Control Total

Aplicamos los cambios y Aceptamos. Ahora vamos a Usuarios y Equipos de Active Directory --> Unidad Organizativa "Usuarios" --> Clic derecho sobre un usuario --> Pestaa Perfil

En Ruta de Acceso al Perfil, ponemos la IP del Servidor + la carpeta Perfiles + %username% haccemos clic en Aplicar y Aceptar.

Redes II

Page 25

Universidad Tecnolgica Intercontinental

Unir un equipo a un dominio Arrancamos el equipo que queremos unir al dominio. Primero debemos configurar el protocolo TCP/IP. Vamos a Inicio --> Panel de Control --> Conexiones de Red --> Clic derecho sobre nuestra conexin --> Propriedades --> Protocolo TCP/IP --> Y configuramos el equipo. Nota: El DNS debemos poner la IP del servidor con Active Directory.

Para comprobar que la configuracin ha surgido efecto es recomendable reiniciar el equipo y despus hacer un ping al servidor.

Redes II

Page 26

Universidad Tecnolgica Intercontinental

Ahora toca unir el equipo al dominio. Vamos a Inicio --> Panel de Control --> Sistema --> Nombre de Equipo --> Cambiar --> Y ponemos el nombre del equipo y el nombre de dominio.

Hacemos clic en Aceptar y si todo ha salido bien no deber mostrar un mensaje como el de abajo.

Donde ponemos el nombre de inicio de sesin de algunos de nuestros usuarios y su contrasea. Clic en Aceptar y nos dar la bienvenida al dominio.

Reiniciamos el equipo y al iniciar tendremos activada el inicio de sesin clsico por usuarios.

Redes II

Page 27

Universidad Tecnolgica Intercontinental

Iniciamos sesin.

Ahora podemos hacer algn cambio como cambiar el fondo de escritorio, guardar algn fichero en Mis Documentos para comprobar que funciona el perfil mvil. Al reiniciar e iniciar sesin con ese usuario veremos que no se han perdido los cambios. Si vamos a la carpeta Perfiles creada en el servidor podemos ver dentro una carpeta que tendr el nombre del usuario con el que hemos iniciado sesin anteriormente, en esa carpeta es donde se guardan las configuraciones y archivos de ese usuario.

Redes II

Page 28

Universidad Tecnolgica Intercontinental

Ventajas Visin general de Active Directory.Active Directory posee numerosas ventajas, no slo el poder manejar instalaciones de cualquier tamao, desde un nico servidor con unos cientos de objetos hasta miles de servidores con millones de objetos. Active Directory tambin simplifica enormemente el proceso de localizar recursos a lo largo de una gran red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface) permite a los desarrolladores hacer que sus aplicaciones soporten el directorio, proporcionando a los usuarios una nica forma de acceder a mltiples directorios, ya estn basados en LDAP, NDS o en los Servicios de directorio de NT (NTDS, NT Directory Services). Active Directory no es un directorio X.500. En cambio, utiliza LDAP como protocolo de acceso y soporta el modelo de informacin X.500 sin requerir sistemas que soporten toda la sobrecarga de X.500. LDAP est basado en TCP/IP y es considerablemente ms simple que el DAP de X.500. Al igual que X.500, el modelo de directorio de LDAP se basa en entradas, donde se utiliza el nombre distinguido para identificar una entrada sin ambigedad. Pero en lugar de utilizar la estructurada codificacin de datos de X.500, LDAP adopta un enfoque sencillo basado en cadenas para representar las entradas de directorio. LDAP utiliza muchas de las tcnicas de acceso a directorio especificadas en el estndar DAP de X.500 pero requiere menos recursos del cliente, hacindolo ms prctico cuando se tiende a usarlo sobre un enlace TCP/IP. Active Directory tambin soporta directamente el Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol). El directorio soporta extensiones para que el Servicio de informacin de Internet (IIS, Internet Information Service) de Microsoft traduzca las peticiones HTTP para objetos del directorio en pginas HTML para mostrarlas en cualquier cliente HTML. Active Directory permite un punto nico de administracin para todos los recursos pblicos, entre los que se pueden incluir archivos, dispositivos perifricos, conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de Internet como servicio de localizacin, organiza los objetos en dominios dentro de una jerarqua de unidades organizativas (OU, Organizational Unit) y permite que varios dominios se conecten en una estructura en rbol. Los conceptos de Controlador primario de dominio (PDC, Primary Domain Controller) y Controlador de reserva del dominio (BDC, Backup Domain Controller) desaparecen. Active Directory slo utiliza controladores de dominio, y las actualizaciones se replicarn en el resto de controladores de dominio. Conceptos de Active Directory. Hay varios conceptos nuevos que se presentan con Active Directory, como son el catlogo global, la replicacin, las relaciones de confianza, el espacio de nombres DNS y el convenio para nombres. Es importante entender el significado de estos conceptos aplicados a Active Directory. Catlogo Global Replicacin Relaciones de Confianza Espacio de Nombres DNS Redes II Page 29

Universidad Tecnolgica Intercontinental

Servidores de Nombres Convenio de Nombres Catlogo global Es el almacn central de informacin sobre objetos en un rbol del bosque. De manera predeterminada, un catlogo global se crea automticamente en el controlador de dominio inicial del bosque, conocido como servidor de catlogo global. Almacena una copia completa de todos los atributos de los objetos del directorio para su host de dominio y una copia parcial de todos los atributos de objetos que contiene el directorio de cada dominio en el bosque. La copia parcial almacena los atributos usados con ms frecuencia en las operaciones de bsqueda (nombre y apellidos de usuario, nombre de inicio de sesin, etc.). Los atributos de los objetos que se copian en el catlogo global heredan los mismos permisos que tienen en los dominios origen, garantizando la seguridad de los datos almacenados en el catlogo global. Realiza dos funciones clave: Permite el inicio de sesin en red proporcionando informacin universal sobre pertenencia al grupo de un controlador de dominio cuando se realiza un proceso de inicio de sesin. Permite encontrar informacin de directorio con independencia de qu dominio del bosque contenga los datos en ese momento. Cuando un usuario inicia la sesin en red, el catlogo global proporciona informacin universal de pertenencia al grupo para la cuenta a los controladores de dominio que procesan la informacin de inicio de sesin. Si slo hay un controlador de dominio en el dominio, el controlador de dominio y el catlogo global son el mismo servidor. Si hay varios controladores Replicacin La replicacin garantiza que los cambios en un controlador de dominio se reflejen en todos los controladores de dominio de un dominio. La informacin del directorio se replica a los controladores de dominio tanto dentro como entre los sitios. La informacin almacenada en el directorio se divide en tres categoras. Cada directorio contiene la siguiente informacin: Informacin de esquema. Define los objetos que se pueden crear en el directorio y los atributos que esos objetos pueden tener. Esta informacin es comn a todos los dominios en el rbol de directorio o bosque. Informacin de configuracin. Describe la estructura lgica de un desarrollo, con informacin como la estructura del dominio o la topologa de replicacin. Esta informacin es comn a todos los dominios en el rbol de dominio o bosque. Datos del dominio. Describe todos los objetos del dominio. Estos datos son especficos del dominio y no se distribuyen a otros dominios. Dentro de un sitio, Active Directory genera automticamente una topologa para la replicacin entre controladores de dominio en el mismo dominio utilizando una estructura en anillo. La topologa define la trayectoria para las actualizaciones de directorio de manera que dichas actualizaciones van desde un controlador de dominio a otro hasta que todos los controladores de dominio reciben las actualizaciones del directorio. Para garantizar la replicacin entre sitios, se debe personalizar la forma mediante la que Active Directory replica informacin utilizando vnculos de sitios para representar conexiones de red. Active Directory utiliza las informaciones de conexiones de red para generar objetos de conexin que proporcionan una replicacin eficiente y tolerante a fallos.

Redes II

Page 30

Universidad Tecnolgica Intercontinental

Relaciones de confianza Una relacin de confianza en un vnculo entre dos dominios en el que el dominio que confa lleva a cabo la autenticacin en el inicio de sesin del dominio en el que se confa. Active Directory permite dos formas de relacin de confianza: Confianza bilateral transitiva implcita. Una relacin entre un dominio principal y secundario dentro de un rbol y entre los dominios de alto nivel del bosque. Es la relacin de confianza predeterminada; las relaciones de confianza entre dominios en un rbol se establecen y mantienen implcitamente (automticamente). La confianza transitiva es una caracterstica del protocolo de autenticacin Kerberos, que proporciona autenticacin distribuida y autorizacin en Windows 2000. La confianza transitiva entre los dominios elimina la administracin de cuentas de confianza entre dominios. Los dominios que son miembros del mismo rbol participan automticamente en una relacin de confianza transitiva y bilateral con el dominio principal. Como resultado, los usuarios en un dominio pueden acceder a los recursos a los que tienen permisos en otros dominios del rbol. Confianza explcita unidireccional no transitiva. Una relacin entre dominios que no son parte de un mismo rbol. Una confianza no transitiva se circunscribe por dos dominios que forman la relacin de confianza y no se transmite a otros dominios en el bosque. En la mayora de los casos, se deben crear (de forma manual) explcitamente las confianzas no transitivas. La confianza explcita no transitiva unidireccional es la nica forma posible de confianza en los siguientes casos: Un dominio Windows 2000 con un dominio Windows NT, Un dominio Windows 2000 en un bosque con un dominio Windows 2000 en otro bosque y un dominio Windows 2000 y un rea MIT Kerberos V. Espacio de nombres DNS Active Directory, como todos los servicios de directorio, es por encima de todo un espacio de nombres. Un espacio de nombres es un rea de circunscripcin donde un nombre puede ser resuelto. La resolucin de nombres es el proceso que se utiliza para traducir un nombre en algn objeto o informacin que representa el nombre. El espacio de nombres de Active Directory se basa en el esquema de nombres de DNS, que permite la interoperabilidad con las tecnologas de Internet. La redes privadas utilizan DNS con mucha frecuencia para resolver los nombres de equipos y localizar sus equipos dentro de su red local as como en Internet. La utilizacin de DNS aporta los siguientes beneficios: Los nombres de DNS son amigables, lo que significa que son ms fciles de recordar que las direcciones IP. Los nombres DNS permanecen de forma ms constante que las direcciones IP'. Una direccin IP de un servidor puede cambiar, pero el nombre del servidor permanece igual. DNS permite a los usuarios enlazar sus servidores locales utilizando el mismo convenio de nombres que en Internet. Espacio de nombres de dominio El espacio de nombres de dominio es el esquema de nombres que proporciona la estructura jerrquica para la base de dates DNS. Cada nodo representa un particin de la base de datos DNS. A estos nodos se les denomina dominios.

Redes II

Page 31

Universidad Tecnolgica Intercontinental

La base de datos DNS est indexada por nombres, por tanto, cada dominio debe tener un nombre. Cuando se aaden dominios a la jerarqua, el nombre del dominio principal se aade al del dominio secundario (llamado subdominio). Come consecuencia, un nombre de dominio identifica su propia posicin en la jerarqua. La estructura jerrquica del espacio de nombres de dominio contiene tpicamente un dominio raz, dominios de nivel superior, dominios de segundo nivel y nombres de host. Hay dos tipos de espacios de nombres: Espacio de nombres contiguo. El nombre del objeto secundario en una jerarqua de objetos siempre contiene el nombre del dominio principal. Un rbol es un espacio de nombres contiguo Espacio de nombres discontinuo. Los nombres de un objeto. Servidores de nombres Un servidor de nombres DNS almacena el archivo de la base de datos de la zona. Los servidores de nombres pueden almacenar datos de una zona o de muchas zonas. Un servidor de nombres tiene autoridad sobre el espacio de nombres de dominio que comprende toda la zona. Un servidor de nombres contiene el archivo maestro de la base de datos de la zona, que se conoce como archivo de base de datos de la zona principal, para la zona especificada. Como consecuencia, debe haber por lo menos un servidor de nombres por cada zona. Los cambios en una zona, como pueden ser aadir dominios o hosts, se realizan en el servidor que contiene el archivo de base de datos de la zona principal. Proporcionan redundancia. Si el servidor de nombres que contiene el archivo de base de datos de la zona principal falla, el resto de servidores de nombres pueden proporcionar el servicio. Mejoran la velocidad de acceso para localizaciones remotas. Si hay clientes en localizaciones remotas, se pueden utilizar servidores de nombres adicionales para reducir el trfico de preguntas a travs de los enlaces de la red de rea. Reducen la carga en el servidor de nombres que contiene el archivo de base de datos de la zona principal. Convenios de nombres. Cada objeto en Active Directory se identifica por su nombre. Active Directory utiliza una variedad de convenios de nombres: nombres completos, nombres completos relativos, identificadores globales nicos y nombres principales de usuarios. Nombre completo. Cada objeto en Active Directory tiene un nombre completo (DN - Distinguished Name) que lo identifica de manera nica y contiene suficiente informacin para que un cliente sea capaz de coger un objeto del directorio. El DN incluye el nombre del dominio que contiene al objeto, al igual que la ruta completa a travs de la jerarqua del contenedor del objeto.

Redes II

Page 32

Universidad Tecnolgica Intercontinental

Nombre completo relativo. Active Directory soporta preguntas por atributos, de forma que se pueda localizar un objeto incluso en el caso de que el DN sea desconocido o haya cambiado. El hombre completo relativo (RDN - Relative Distinguished Name) de un objeto es la parte del hombre que es atributo del propio objeto. Se pueden tener RDN duplicados en los objetos de Active Directory, pero no se pueden tener dos objetos con el mismo RDN dentro de la misma OU. Identificador global nico. Un identificador global nico (GUID - Globally Unique IDentifier) es un nmero de 128 bits nico, se asignan a los objetos cuando se crean, nunca cambia, incluso si se mueve o se renombra un objeto. Las aplicaciones pueden almacenar el GUID de un objeto y utilizarlo para acceder al objeto con independencia del DN actual del objeto. Las cuentas de usuario tienen un nombre < amigable, el nombre principal de usuario (UPN - User Principal Name). El UPN se compone de un nombre taquigrfico de la cuenta de usuario y del nombre DNS del rbol donde el objeto de la cuenta de usuario est localizado. Objetos de Active Directory Active Directory almacena informacin sobre los recursos de red, al igual que sobre todos los servicios que permiten que la informacin se encuentre disponible y sea til. Los recursos almacenados en el directorio, como pueden ser datos de usuarios, impresoras, servidores, bases de datos, grupos, equipos y directivas de seguridad, se denominan objetos. Un objeto es un conjunto de atributos, diferenciado por un nombre, que representa un recurso de red. Los atributos de los objetos son caractersticas de los objetos del directorio. Por ejemplo, los atributos de una cuenta de usuario pueden incluir los nombres y apellidos del usuario, departamento y direccin de correo electrnico. En Active Directory, los objetos se pueden organizar en clases, que son agrupaciones lgicas de objetos. Algunos ejemplos de clases de objetos son las cuentas de usuarios, grupos, equipos, dominios y unidades organizativas (OU - Organizational Units). Algunos objetos, conocidos como contenedores, pueden contener a otros objetos. Por ejemplo, un dominio es un objeto contenedor que puede contener usuarios, equipos y otros objetos. El esquema de Active Directory define los objetos que se pueden almacenar en Active Directory. Esquema de Active Directory El esquema de Active Directory es una lista de definiciones sobre los tipos de objetos e informaciones sobre esos objetos que se pueden almacenar en Active Directory. Las propias definiciones se almacenan como objetos de forma que Active Directory administra los objetos del esquema con las mismas operaciones de administracin de objetos utilizadas con el resto de los objetos de Active Directory. Hay dos tipos de definiciones en el esquema: atributos y clases. Los atributos y clases se conocen tambin como objetos del esquema o metadatos. Los atributos se definen de forma diferente a las clases. Cada atributo se define slo una vez y se puede utilizar con muchas clases. Por ejemplo, el atributo Descripcin se utiliza en muchas clases, pero se define una vez solamente en el esquema, garantizando de esta manera la consistencia. Redes II Page 33

Universidad Tecnolgica Intercontinental

Las clases, tambin denominadas clases de objetos, describen los objetos de Active Directory que se pueden crear. Cada clase es una coleccin de atributos. Cuando se crea un objeto, los atributos almacenan la informacin que describe a ese objeto. La clase Usuario, por ejemplo, est compuesta por muchos atributos, que incluyen la Direccin de Red, Directorio Base, etc. Cada objeto de Active Directory es una instancia de una clase de objeto. Componentes de Active Directory Active Directory utiliza componentes para construir una estructura de directorio acorde con las necesidades de una organizacin. Las estructuras lgicas de la organizacin se representan en los siguientes componentes de Active Directory: dominio, unidades organizativas, rboles y bosques. La estructura fsica de una organizacin est recogida por los siguientes componentes de Active Directory: sitios (subredes fsicas) y controladores de dominio. Active Directory separa completamente la estructura lgica de la fsica. a. Estructuras lgicas. En Active Directory, los recursos se organizan en una estructura lgica que refleja la estructura lgica de una organizacin. Agrupar recursos lgicamente permite encontrar un recurso por su nombre en vez de por su localizacin fsica. Por el hecho de agrupar recursos lgicamente, Active Directory hace transparente la estructura fsica a los usuarios. b. Dominios. La unidad central de la estructura lgica de Active Directory es el dominio, que puede almacenar millones de objetos. Los objetos que se almacenan en un dominio son aquellos que se consideran interesantes para la red. Los objetos interesantes son productos que los miembros de la comunidad de la red necesitan para realizar su trabajo: impresoras, documentos, direcciones de correo electrnico, bases de datos, usuarios, componentes distribuidos y otros recursos. Todos los objetos de la red existen en un dominio, y cada dominio almacena informacin exclusivamente sobre los objetos que contiene. Active Directory est compuesto por uno o ms dominios. Un dominio puede expandirse en ms de una localizacin fsica. Agrupar objetos en uno o ms dominios permite a la red reflejar la organizacin de la empresa. Los dominios comparten estas caractersticas: Todos los objetos de red pueden estar dentro de un dominio y un dominio es un lmite de seguridad. Las listas de control de acceso (ACL -Access Control List) controlan el acceso a los objetos del dominio. c. Unidades organizativas. (OU - Organizational Unit) es un contenedor que se utiliza para organizar objetos dentro de un domino en grupos administrativos lgicos que reflejan la estructura funcional y de negocios de una organizacin. Una OU puede contener objetos tales como cuentas de usuarios, grupos, equipos, impresoras, aplicaciones, archivos compartidos y otras OU del dominio. La jerarqua de una OU dentro de un dominio es independiente de la estructura jerrquica de la OU de otros dominios: cada dominio puede implementar su propia jerarqua de OU. Las OU pueden proporcionar una forma de manejar las tareas administrativas, ya que representan el punto de vista ms pequeo de delegacin para las autoridades administrativas. Esto proporciona una mtodo para delegar la administracin de usuarios y recursos. d. rboles. Un rbol es una agrupacin o una ordenacin jerrquica de uno o ms dominios de Windows 2000 que se pueden crear aadiendo uno o ms dominios secundarios a un dominio principal existente. Los dominios en un rbol comparten un espacio de nombres contiguo y una estructura jerrquica de nombres. El espacio de nombres se abarca en detalle en la siguiente leccin. Los rboles comparten estas caractersticas: Redes II Page 34

Universidad Tecnolgica Intercontinental

Acorde con los estndares del Sistema de nombres de dominio (DNS), el nombre de dominio de un dominio secundario es el nombre relativo de ese dominio secundario agregado al nombre del dominio principal. Todos los dominios dentro de un mismo rbol comparten un esquema comn, que es una definicin formal de todas las clases de objeto que se pueden almacenar en el desarrollo de Active Directory. Todos los dominios dentro de un mismo rbol comparten un catlogo global, que es el depsito central de informacin de los objetos del rbol. El catlogo global se comenta en detalle en la siguiente leccin. Al crear una jerarqua de dominios en un rbol, se puede preservar la seguridad y se puede permitir la administracin dentro de una OU o dentro de un dominio simple de un rbol. Los permisos se pueden extender hacia abajo en un rbol mediante la concesin de permisos al usuario utilizando los esquemas comunes de una OU. Esta estructura de rbol puede contemplar con facilidad los cambios en una organizacin. e. Bosques. Un bosque es una agrupacin o configuracin jerrquica de uno o ms rboles de dominio distintos y completamente independientes entre s. Por consiguiente, los bosques tienes las siguientes caractersticas: Todos los rboles de un bosque comparten un esquema comn. Los rboles de un bosque tienen diferentes estructuras de nombre de acuerdo con sus dominios. Todos los dominios de un bosque comparten un catlogo comn global. Los dominios en un bosque operan independientemente, pero el bosque permite la comunicacin a lo largo de toda la organizacin. Existe una relacin transitiva de confianza bidireccional entre los dominios y los rboles de dominio. Estructura fsica Los componentes fsicos de Active Directory son los sitios y los controladores de dominio. Utilizar estos componentes para desarrollar una estructura de directorio que refleje la estructura fsica de una organizacin. Sitios. Un sitio es una combinacin de una o ms subredes que utilizan IP conectadas por un enlace rpido y de alta fiabilidad que permite agrupar la mayor cantidad de trfico posible. Tpicamente, un sitio tiene los mismos lmites que una red de rea local. Cuando se agrupan subredes en una red, se deben combinar solamente aquellas subredes que tengan conexiones rpidas, fiables y baratas. Con Active Directory, los sitios no son parte de los espacios de nombres. Cuando se mira en el espacio de nombres lgico, se pueden ver equipos y usuarios agrupados en dominios y en OU, no en sitios. Los sitios contienen solamente a los objetos equipo y conexin utilizados para configurar la replicacin entre sitios.Un dominio simple se puede expandir por muchos sitios geogrficos, y un nico sitio puede contener cuentas de usuario y equipos pertenecientes a muchos dominios.

Redes II

Page 35

Universidad Tecnolgica Intercontinental

Controladores de dominio Un controlador de dominio es un equipo con Windows 2000 Server que almacena una copia del directorio de dominio (base de datos local del dominio). Dado que un dominio puede contener uno o ms controladores de dominio, todos los controladores de dominio en un dominio tienen una copia completa de la porcin de dominio del directorio. Las funciones de los controladores de dominio, son: Cada controlador de dominio almacena una copia completa de toda la informacin de Active Directory para ese dominio, administra los cambios y replica esos cambios a otros controladores de dominio del mismo dominio. Los controladores de dominio de un dominio replican todos los objetos del dominio entre ellos. Cuando se realiza una accin que provoca la actualizacin de Active Directory, se realiza en realidad un cambio en uno de los controladores de dominio. En ese caso, ese controlador de dominio replica el cambio a los dems controladores de dominio del dominio. Los controladores de dominio administran todas las facetas de las interacciones de los usuarios en un dominio, como pueden ser la localizacin de los objetos de Active Directory y la validacin de los intentos de inicio de sesin por parte de los usuarios. ANLISIS Los directorios no son nada que nuevo han estado en una forma u otra desde los aos 60. La corriente principal con el lanzamiento de los servicios activos del directorio de Microsoft en servidor del Windows 2000 y la lnea de productos 2003 del servidor de Windows. Hoy, las redes controlan todo de la informacin de la nmina de pago a la comunicacin del E-mail, de las impresoras a los servicios del fax. Mientras que las redes ofrecen ms servicios, tambin exigen a ms gerencia. Facilitar el uso y la gerencia de redes es la meta verdadera de un servicio del directorio. Los administradores se auxilian de Active Directory para: Simplificar a la administracin. Actuando como solo punto de la gerencia, un directorio puede facilitar las tareas administrativas asociadas a las redes complejas. Proporcionando una mejor seguridad. Ya que que el acceso y la autentificacin son controlados con un solo servicio, a los administradores y a los usuarios solamente para saber un solo sistema de herramientas, permitiendo que desarrollen una comprensin mejor de ellas. Los directorios, puesto que ofrecen una sola facilidad de la conexin, proporcionan un proceso ms seguro de la autentificacin. Promueve interoperabilidad. La mayor parte de los servicios de directorio se basan sobre una serie standards industriales, X.500 y LDAP por nombrar algunos. Los directorios se pueden concebir como una herramienta de administracin y de usuario. Como herramienta administrativa con una interfaz central controlada de los recursos, lo cual puede reducir costos administrativos. Como usuario, se pone a su disposicin un un servicio central de autenticacin para acceder a travs de la red a varios recursos.

Redes II

Page 36

Universidad Tecnolgica Intercontinental

Conclusin
Active Directory o servicio de directorio permite controlar de forma centralizada los recursos de una red. Proporcionando seguridad, mejor administracin y reduccin de recursos. A pesar de que sea una herramienta difcil visualmente brinda herramientas de gran apoyo. El control en una red es de gran importancia para el correcto manejo y fluidez de la informacin y los recursos. Como conclusin podemos decir que active directory utiliza DNS, para tres funciones principales: a. Resolucin de nombres b. Definicin del espacio de nombres c. Bsqueda de los componentes fsicos de AD. Todo este proceso es casi una ciencia. Lleva mucho trabajo dificil porque se est trabajando con redes que an no existen y coordinando al equipo de administracin de todas las sucursales y del sitio raz. Cuando son sitios grandes es realmente complicado. En redes pequeas (quinientos puestos o menos) todo es ms sencillo porque suelen ser un par de edificios y dos redes fsicas con lo que las velocidades de conexin son elevadas. La complejidad aumenta en la medida en que haya ms sucursales externas porque la velocidad de transmisin es pequea y las rplicas pueden llegar a ser un problema serio si no est bien planificado. Por eso se recomienda en caso de duda la instalacin de servidores puente que agilicen las rplicas a pesar de un mayor coste. Por ltimo hay que tener especial cuidado con los ordenadores que ms sufren que son los controladores de dominio pues son los que estn ms cerca de los clientes y son los que tienen ms facilidad de recibir ataques, virus, errores y dems.

Redes II

Page 37