INTRODUCCIN Hoy en da casi todo lo que hacemos en nuestra vida cotidiana lo hacemos a travs de las redes, y dependemos de ellas

no solo para trabajar, sino tambin para divertirnos, teniendo como objetivo la comunicacin y tratando de facilitarla da a da cada vez ms. En esta seccin nos enfocaremos en un entorno corporativo, el cual quiere administrar sus recursos en una forma eficiente, tratando de sacar el mayor provecho a su infraestructura, optimizando la utilizacin de cada objeto en la misma, para esto se quiere dar a entender algunas caractersticas del servicio de directorio activo y su aplicacin, se debe tener presente que para las prcticas que se presentan ms adelantes debe tener instalado Windows Server 2008. OBJETIVOS DE APRENDIZAJE: Definir el servicio de directorio activo Identificar las estructuras internas Instalar y configurar en forma bsica el directorio activo en la red.

Definicin: Active Directory es el servicio de directorio de una red de Windows Server 2008. Un servicio de directorio es un servicio de red que almacena informacin acerca de los recursos de la red y permite que los recursos resulten accesibles a los usuarios y a las aplicaciones. Los servicios de directorio proporcionan una manera coherente de nombrar, describir, localizar, acceder, administrar y asegurar la informacin relativa a los recursos de red. Lo que se quiere, es tener un ambiente centralizado que permita organizar, administrar y controlar el acceso a los recursos de la red, que nos permita realizar cambios a distancia, y que stos se repliquen a los dispositivos que hayamos determinado en la infraestructura. El directorio activo ayuda a que esta administracin sea transparente para los usuarios, ya que hace que la topologa fsica de la red y los protocolos pasen inadvertidos, permitiendo que un usuario pueda acceder a un recurso sin saber a ciencia cierta donde esta o como est conectado a la red. Otro punto fundamental del directorio activo es la escalabilidad del servicio, ya que una empresa pequea, que consta de pocos objetos, puede crecer a centenares o millones de stos, siendo soportados por el directorio activo. Es claro que se tiene que tener presente que fsicamente se soporten los nuevos objetos, pero a nivel de directorio, este crecimiento no sufre mayores contratiempos.

ESTRUCTURA LGICA DEL DIRECTORIO ACTIVO:

El pertenecer al directorio activo, es una especie de licencia que autoriza el acceso seguro a los recursos de la red, a estos recursos los llamamos comnmente objetos, los cuales son cualquier elemento al cual se le puedan asignar permisos. Los componentes de esta estructura lgica son: Objetos: son los componentes ms bsicos de la estructura lgica, tambin reconocidos como hojas y puede ser cualquier elemento con entidad en el directorio (Usuarios, Equipos, Impresoras, aplicaciones, etc.) Unidades Organizativas: son objetos contenedores que nos permiten administrar los objetos con una jerarqua, no slo eso, nos permiten generar polticas y delegar la administracin de estas unidades a otros objetos. Dominios: son unidades funcionales core de la estructura lgica del directorio activo, los dominios son una coleccin de objetos administrativos que comparten la base de datos comn del directorio, polticas de seguridad y relaciones de confianza con otros dominios. Los dominios proporcionan las tres funciones siguientes: o Un lmite administrativo para los objetos. o Seguridad para los recursos compartidos. o Una unidad de rplica para los objetos. rbol: bsicamente es la agrupacin de dominios, en esta estructura se encuentran dominios padres e hijos, dependiendo al momento de su creacin y su agregacin a dominios ya existentes.

Bosque: es una instancia completa, la cual consiste en uno a ms rboles, como caracterstica fundamental se tiene que la seguridad se da partiendo de este componente.

Tratemos de entender que es un controlador de dominio: Cuando nosotros instalamos una red bsica (distribuida) cada equipo es una pequea isla, ya que al instalar el sistema operativo se crea una base de datos independiente donde se almacenan como por ejemplo los usuarios locales. Si queremos trabajar entre los equipos necesitamos tener un usuarios valido en ambas mquinas para poder establecer una sesin y que se habilite la transferencia de datos.

EQ1 EQ2

BD EQ3 BD

BD

Cuando promovemos a un servidor a controlador de dominio, lo que tenemos es una base de datos centralizada la cual se puede replicar a otros servidores. Dejando las bases de datos locales en segundo plano o eliminndolas para aplicar la copia centralizada del directorio activo al cual nos estamos asociando como base de datos principal. Lo que hacemos es una realizacin de confianza de una va, donde los equipos confan en los usuarios del servidor pero el servidor no confa en los usuarios por fuera de su base de datos. Al tener una base de datos centralizada, por ms de que yo tenga varios controladores de dominio, al crear un usuario, solo lo debo de crear en uno de ellos, ya que al crearlo se realiza un proceso de rplica pasando esta informacin a los dems Servidores en el Dominio. Se recomienda, como mnimo en su infraestructura, tener dos controladores de dominio, para garantizar un respaldo o una contingencia, ya que ellos estn replicando los usuarios y en caso de que alguno falle el otro puede asumir la autenticacin mientras el servidor que est fallando, sea restaurado.

Estructura Fsica del Directorio activo.

En contraste con la estructura lgica y los requisitos administrativos de los modelos, la estructura fsica de Active Directory optimiza el trfico de red determinando cmo y cundo ocurre la replicacin y el trfico de logon. Para optimizar el uso del ancho de banda de la red Active Directory, usted debe

entender la estructura fsica. Los elementos de la estructura fsica de Active Directory son: Controlador de Dominio: equipos que corren Windows Server y el directorio activo, con la funcin de almacenamiento (mantienen la base de datos del directorio activo) y replicacin (todos los controladores del dominio tienen la misma copia de datos). Los controladores de domino slo soportan un Dominio, pero un dominio debera tener no menos de dos controladores de dominio. Sitios del directorio activo: grupo de equipos conectados fsicamente, se crean sitios para reducir la latencia dentro del sitio. Con los sitios se optimiza el ancho de banda entre controladores de dominio, reduciendo el tiempo que se tarda la actualizacin de un cambio realizado en uno de los controladores hacia los dems. Particiones del directorio activo: cada controlador de dominio contiene las siguientes particiones: o Particin del dominio: contiene la rplica de los objetos en ese dominio. o Particin de configuracin: contiene la topologa del bosque. o Particin de esquema: contiene el esquema del bosque, bsicamente los permisos los objetos. o Particin de aplicacin: contienen objetos relacionados con la seguridad y son opcionales.

Tratando de entregar esta informacin en una forma prctica, antes de continuar, se realizar la promocin de un sistema Windows Server 2008 a controlador de dominio. Desarrollo de la prctica. Los dominios deben tener un nombre de tipo DNS donde la Raz se encuentra ms a la derecha y los componentes secundarios al lado derecho separndolos por un punto. En este caso utilizaremos el Dominio REDES.LOCAL. Promocin a controlador de dominio. El proceso de instalacin consiste en las siguientes tareas: 1. Inicia el protocolo de autenticacin Kerberos. 2. Aplica la poltica autoridad de seguridad local (local security authority LSA) 3. Se crean las particiones del directorio activo mencionadas anteriormente y adicionalmente, un Bosque DNS y un Dominio DNS. 4. Crea la base de datos y los logs del directorio activo. 5. Si el servidor es el primer controlador de dominio en la red, crea un Bosque raz y entonces asigna el maestro de operaciones, incluyendo:

6. 7. 8. 9.

a. Primary domain controller(PDC) b. Relative identifier (RIP) c. Domain- Naming Master d. Schema Master e. Infraestructure Master. Crea la carpeta compartida del volumen del sistema. Configura la pertenencia al sitio para el controlador de dominio. Permite la seguridad en el servicio de directorio y en la carpeta de replicacin de archivos. Por ultimo aplica la contrasea para la cuenta del administrador. Este nos ayuda al momento de iniciar en modo de restauracin del servicio de directorio.

Para dar inicio, se requiere preparar el sistema. Antes de iniciar la implementacin de cualquier sistema se debe tener un diagrama o un diseo de la red para tener claridad de que se va hacer antes de hacerlo. En este caso el esquema es el siguiente:

INTERNET

.50

Directorio Activo DNS WINS DHCP WDS

.1

.51

172.16.0.0/24

Servidor de Aplicaciones Servidor WEB Servidor de Acceso Remoto DNS Secundario

Este esquema lo estaremos implementando poco a poco, por ahora comenzaremos como ya hemos dicho, desde la promocin del primer servidor a controlador de dominio. Luego de tener el Esquema a implementar y el sistema operativo Windows server 2008, seguimos con la preparacin del laboratorio. Es de vital importancia casi igual que la Direccin IP, analizar el nombre de dominio que usaremos internamente para nuestro directorio activo. Para esto hay dos opciones.

OPCIN

DOMINIO INTERNO

DOMINIO EXTERNO

1 2 3

REDES.COM REDES.LOCAL LAN.REDES.COM

REDES.COM REDES.COM REDES.COM

1. Opcin 1: esta es la opcin menos recomendada, ya que si este es el dominio que tenemos publicado en internet va estar la zona Redes.com en un servidor DNS externo o publico lo cual puede incurrir en problemas al momento de realizar las consultas para este dominio. Recuerden, no es recomendable darle el mismo nombre del dominio interno al dominio externo. No quiere decir que si ya se tiene as no funcione, pero si requiere de una configuracin ms detallada para evitar el conflicto. 2. Opcin 2: esta es una opcin muy recomendada para redes pequeas en las cuales la configuracin del servidor es bsica y con pocos objetos en su infraestructura. 3. Opcin 3: Microsoft recomienda que se utilice un Subdominio del dominio externo como podemos ver en la opcin 3. En este caso al no tener sucursales y con aplicaciones bsicas en nuestro esquema se utilizar la segunda opcin. Siguiendo con la preparacin del servidor, antes de promover a controlador de dominio, vamos a actualizar la mquina con las ltimas actualizaciones para nuestro sistema operativo, tratando de reducir un poco las vulnerabilidades con este procedimiento. Como paso siguiente vamos configurar el nombre del servidor y la direccin IP y con esto estaremos listos para ejecutar la promocin.

Preferiblemente configurar un nombre que no identifique la funcin del dispositivo, como en algunos casos se encuentra el nombre del rol o el perfil, en algunas ocasiones es peor an, con un nombre proprio. Lo ms recomendable es definir un nombre que internamente lo podamos identificar fcilmente, pero que un externo no reconozca su funcin dentro de la infraestructura.

Con respecto a la configuracin en el direccionamiento, implementamos las IP segn el esquema y garantizamos que el DNS sea el mismo equipo, ya que este tendr el servicio local y se configuraran los reenviadores para las consultas en internet. En este momento podemos proceder a promover el dispositivo a controlador de dominio. Lo podemos hacer en el administrador del servidor, en los roles, y luego agregar roles como lo vemos en la siguiente imagen.

Esta es una de las formas que tenemos para promover al dispositivo, ahora escogemos la opcin servicios de dominio de active directory. En esta opcin nos dice que necesita el .NET Framework, si agrego las caractersticas me deja continuar, pero si cancelo me detiene la instalacin.

Esta es una de las mejoras de Windows server 2008, la cual nos informa las caractersticas adicionales que necesita cada rol, para trabajar correctamente. Al aceptar nos muestra una advertencia que nos indica que despus de que se instala el asistente se debe de ejecutar el comando DCPROMO para terminar el procedimiento.

Otra de las opciones es ejecutar el DCPROMO en primera instancia, realmente esta es la ms recomendada ya que este se encarga de realizar el procedimiento completo y no tenemos que realizar dos tareas independientes.

Luego de cargar lo necesario, da inicio la intalacion, simpre la recomendacin, sea cual sea la instalacion, ya sea un servicio o una aplicacin, siempre lo mas recomendable, es escoger la opcion avanzada de la instalacion, ya que de esta forma, sabremos claramente que se esta instalando y si es necesario o no para nuestro fin.

Esta opcin es solo para cuando en nuestra organizacin, tenemos un servidor con Windows NT, lo cual es poco probable.

Cuando nosotros instalamos el primer controlador de dominio, se genera la estructura lgica completa, tendremos que crear un bosque de un solo rbol, y un rbol de una sola hoja. Ya cuando nuestro dominio necesite crecer, lo agregamos a esta infraestructura lgica creada.

Ahora le estamos colocando el nombre del domino, tengan presente para este procedimiento el anlisis dado en la preparacin del domino antes realizada.

Luego nos solicita un nombre de dominio NetBios. La recomendacin es colocar el mismo nombre de dominio que usando para el dominio externo. Porque hacer esto? Realizamos esto es con el objetivo de minimizar al mximo la confucion al momento de asociarnos al domino.

Aqu nos est solicitando el nivel funcional de nuestro bosque, cada nivel funcional nos proporciona caractersticas diferentes como vemos en los detalles al momento de escoger algunos de los niveles. Al escoger el nivel tambin cambian los requerimientos para su implementacin, una de ellas es de que si escogemos el nivel funcional server 2003 por ejemplo, solo podemos agregar servidores 2003 o superiores a nuestro bosque. Lo que tenemos que tener presente, es no tener servidores o controladores de domino por debajo al nivel funcional de nuestro dominio, ya que este no se podr asociar y no podr recibir la copia de la base de datos del directorio activo. En este caso lo dejaremos en server 2003 para luego conocer como subimos el nivel de nuestro bosque o dominio.

En la siguiente grafica podemos ver algunas de las caractersticas de cada uno de los niveles de funcionalidad.

El nivel de funcionalidad es parte integral en las relaciones de confianza entre dominios, esta es una relacin que se establece entre dominios y que permite a los usuarios de un dominio ser autenticados por un controlador de dominio de otro dominio. Ahora nos dice que no encontr ningn servidor DNS en la red y si queremos instalarlo con la ayuda de este asistente.

En este punto notamos donde se guardaran la base de datos del directorio, los archivos de registro y el SYSVOL.

Terminamos con la contrasea que utilizaremos en el modo de restauracin de servicios de directorio.

Recuerden que luego de promover a controlador de domino las contraseas pasan a ser complejas, soportando contraseas que combinen preferiblemente, Maysculas, Minsculas, nmeros y caracteres. Una contrasea sencilla que cumple los requerimientos seria: (Admin2013).