Microsoft Directorio Activo: Dominio, Arbol y Forest

1. Concepto:

Active Directory Domain Services nos permite administrar y almacenar informacin de usuarios,
computadoras, impresoras, aplicaciones y otros objetos de la red de forma segura.

En Active Directory se almacena informacin de configuracin y destinatarios de correo. Cada vez

que se requiera informacin de configuracin o sobre algn destinatario consulta Active
Directory.1

Dominio de Active Directory

Un dominio de Active Directory es un contenedor lgico que es utilizado para administrar

usuarios, grupos y computadoras entre otros objetos. Todos estos objetos son contenidos en una
particin especfica dentro de la base de datos de Active Directory (ADDS).2

rbol de dominios

Un rbol de dominios (tree) es un conjunto de uno o ms dominios que tienen en comn un

espacio de nombre contiguo. Por ejemplo, si el primer dominio se llama ricardo.com y tiene un
subdominio, este sera subdominio.ricardo.com. Cabe resaltar que en un bosque de Active
Directory pueden existir mltiples rboles de dominio.3

Bosque de Active Directory

El bosque (forest) es un conjunto de uno o ms dominios que poseen una misma estructura lgica,
configuracin, catlogo global y esquema. Mediante 2 vas todos los dominios de bosque pueden
generar relaciones de confianza automticas y transitivas.

El bosque representa una frontera de seguridad y una instancia completa del directorio.4

2. Funcionamiento

Active Directory puede organizar los recursos y simplificar la administracin de los objetos. Un
dominio es un sistema que comparte una base de datos en comn, directivas de seguridad y
relaciones de confianza con otros dominios. Ayudan a administrar los recursos compartidos, y las
estructuras que se dividen en estructuras jerrquicas son llamados arboles de dominio. La
estructura fsica de active Directory, es el que se encarga de controlar el trfico para mejorar el
ancho de banda de la red.5

1
Cfr. Exchange 2017
2
Cfr. Exchange 2017
3
Cfr. Exchange 2017
4
Cfr. Exchange 2017
5
Cfr. Apuntes 2017
 3. Caractersticas:

Escalabilidad: Puede soportar un nmero elevado de objetos.

Integracin con el DNS: Active Directory utiliza el servicio de nombres de dominio y de
localizacin.
Extensible: Permite personalizar las clases y objetos que estn definidas dentro de un AD
segn las necesidades.
Multimaestro: No distingue entre controladores primarios y secundarios.
Flexible: Permite que varios dominios se conecten en una estructura de rbol de dominio.6

Sites en Directorio Activo

1. Concepto:

El complemento Sitios o Sites de Active Directory puede ser usado para administrar los objetos
especficos del sitio que implementan la topologa de replicacin entre sitios. Todos estos
objetos son almacenados en el contenedor de sitios de los Servicios de dominio de Active
Directory. 7

2. Funcionamiento:

Los sitios nos ayudan en varias actividades, entre estas estn:

Replicacin: Equilibra la optimizacin de banda con la necesidad de informacin de un

sitio cuando los datos estn actualizados.
Autenticacin: Ayuda a que la autenticacin sea rpida y eficaz. Cuando un cliente
inicia sesin en un dominio, primero solicita la autenticacin a un controlador de
dominio del sitio local.
Ubicacin de servicio: Servicios como Exchange Server o Certificados usan Active
Directory para almacenar objetos que pueden usar la informacin de la subred y del
sitio que permite encontrar los proveedores de servicio ms cercanos.8

3. Caractersticas:

Agrupa a los equipos adyacentes prcticamente de la misma forma que los cdigos
postales agrupan las direcciones postales adyacentes.
Los objetos de servidor se crean en AD DS mediante aplicaciones o servicios, y se
colocan en un sitio en funcin de su direccin IP. Cuando se agrega el rol de servidor
de Servicios de dominio de Active Directory a un servidor, se crea un objeto de

6
Cfr. Apuntes 2017
7
Cfr. Microsoft 2017
8
Cfr. Microsoft 2017
 servidor en el sitio de AD DS que contiene la subred a la que se asigna la direccin IP
del servidor.
Un objeto de subred de AD DS agrupa a los equipos adyacentes prcticamente de la
misma forma que los cdigos postales agrupan las direccin postales adyacentes. Al
asociar un sitio con una o ms subredes, se asigna un conjunto de direcciones IP al
sitio.
Los controladores de dominio y otros servidores que usan los sitios publican objetos
de servidor en AD DS para aprovecharse de la buena conectividad de red que
proporciona el sitio.9

Global Catalog

1. Concepto:

Es un conjunto de todos los objetos de un bosque e los Servicios de dominio de Active

Directory. Un servidor de catlogo global es un controlador de dominio que almacena una
copia completa de todos los objetos del directorio para su dominio host y una copia parcial de
solo lectura de todos los objetos del resto de dominios del bosque. Los servidores del catlogo
global responden a las consultas del catlogo global.10

2. Funcionamiento:

Busca objetos: Permite realizar bsquedas de usuario de informacin de directorio a

travs de todos los dominios de un bosque. Estas bsquedas se llevan a cabo a
velocidad mxima y trfico de red mnimo.
Proporciona autenticacin de nombre principal de usuario: Resuelve un nombre
principal de usuario cuando el controlador de dominio de autenticacin no conoce la
cuenta de usuario.
Valida referencias de objeto de un bosque: El Global Catalog es utilizado para validar
las referencias a objetos de otros dominios del bosque.
Si un servidor de catlogo global no est disponible cuando un usuario inicia sesin en
un dominio donde hay grupos universales disponibles, el equipo cliente del usuario
puede usar credenciales almacenadas en cach para iniciar sesin si el usuario ha
iniciado sesin en el dominio con anterioridad. Si el usuario no ha iniciado sesin en el
dominio previamente, el usuario solo puede iniciar sesin en el equipo local.11

3. Caractersticas:

Instalacin de Active Directory: durante la instalacin del primer controlador de dominio

en un forest, ste es automticamente marcado como catlogo global.
El catlogo global es mantenido por la replicacin de Active Directory.

9
Cfr. Microsoft 2012
10
Cfr. Microsoft 2012
11
Cfr. Microsoft 2012
 DNS: existen registros SRV para ubicar los controladores de dominio con funciones GC en
Active Directory.
Interaccin con roles FSMO: en un entorno Multidomain Forest, es importante que
tener en cuenta que si no todos los DC del dominio son Global Catalog, el rol
Infraestructure Master debera ubicarse en un DC que no sea Global Catalog.12

Unidades Organizativas:

1. Concepto:

Una unidad organizativa (OU) es un tipo de objeto de directorio especialmente til que se
encuentra en un dominio. Las unidades organizativas son contenedores de Active Directory
donde se pueden colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad
organizativa no puede contener objetos de otros dominios.13

2. Funcionamiento:

Organiza objetos en un dominio

Las unidades organizativas contienen los objetos del dominio, como cuentas de usuario,
equipo y grupos. Archivos e impresoras compartidas publicados en Active Directory y tambin
pueden estar dentro de una unidad organizativa.

Delegar control administrativo

Podemos asignar control administrativo, como el control total de permisos sobre objetos de la
unidad organizativa, o de forma limitada a modificar la informacin de Correo electrnico de
los usuarios de la unidad organizativa. Para delegar control administrativo podemos
especificar permisos en la propia unidad organizativa y los objetos que contiene para uno o
varios usuarios y grupos.

Reduccin de recursos agrupados

Podemos usar las unidades organizativas para delegar la autoridad administrativa. Un usuario
puede tener privilegios administrativos sobre una unidad organizativa o todas las unidades
organizativas de un dominio. Podemos entonces administrar la configuracin y uso de las
cuentas y recursos basndonos en nuestro propio modelo de organizacin.14

3. Caractersticas:

Las unidades organizativas permiten a disminuir el nmero de dominios necesarios en

una red.

12
Cfr. Di Loreto 2012
13
Cfr. Microsoft 2017
14
Cfr. EcuRed 2017
 Puede aplicar directivas de seguridad y permisos administrativos a varios objetos
(usuarios) como uno solo.
Puede utilizar unidades organizativas para crear un modelo administrativo que se
puede ampliar a cualquier tamao.
Un usuario puede tener autoridad administrativa para todas las unidades
organizativas de un dominio o slo para una de ellas.
El administrador de una unidad organizativa no necesita tener autoridad
administrativa sobre cualquier otra unidad organizativa del dominio.15

DNS Server:

1. Concepto:

El sistema de nombres de dominio (DNS) es un sistema para asignar nombres a equipos y

servicios de red que se organiza en una jerarqua de dominios. La asignacin de nombres DNS
se emplea en redes TCP/IP, como Internet, para buscar equipos y servicios mediante nombres
descriptivos. Cuando un usuario escriba un nombre DNS en una aplicacin, los servicios DNS
pueden traducir el nombre a otra informacin que est asociada a dicho nombre, como una
direccin IP.16

Consulta DNS recursiva:

Una consulta recursiva obliga a un servidor DNS para responder a una solicitud con un
error o una respuesta de xito. Los clientes DNS (resoluciones) normalmente realizan
consultas recursivas. Con una consulta recursiva, el servidor DNS debe ponerse en
contacto con otros servidores DNS que necesita para resolver la solicitud. Cuando reciba
una respuesta correcta de DNS (los otros servidores), a continuacin, enva una respuesta
al cliente DNS. La consulta recursiva es el tipo de consulta tpica usado por una resolucin
de consultas a un servidor DNS y por un servidor DNS consulta su reenviador, que es otro
servidor DNS configurado para procesar solicitudes reenviadas a l.

Consulta DNS iterativa:

Una consulta iterativa es uno en el que se espera que el servidor DNS responda con la
mejor informacin local que tiene, basado en lo que sabe el servidor DNS de los archivos
de zona local o de la cach. Esta respuesta es tambin conocida como una remisin, si el
servidor DNS no est autorizado para el nombre. Si un servidor DNS no tiene ninguna
informacin local que puede responder la consulta, simplemente enva una respuesta
negativa. Un servidor DNS realiza este tipo de consulta al intentar encontrar nombres
fuera de su dominio local (o dominios) (al no est configurado con un reenviador). Podra
tener que consultar un nmero de servidores DNS externos en un intento de resolver el
nombre.17

15
Cfr. EcuRed 2017
16
Cfr. Microsoft 2017
17
Cfr. OsandNet 2017
 2. Funcionamiento:

Normalmente, DNS de Windows Server 2012 se implementa en apoyo de los servicios de

dominio de Active Directory (AD DS). En este entorno, los espacios de nombres DNS reflejan
los bosques de Active Directory y dominios utilizados por una organizacin. Servicios y hosts
de la red estn configurados con nombres DNS para que se pueden encontrar en la red y
tambin estn configurados con servidores DNS que resuelven los nombres de los
controladores de dominio de Active Directory.

DNS de Windows Server 2012 tambin comnmente se implementa como una que no sea de
Active Directory o estndar, solucin de sistema de nombres de dominio, los fines de alojar la
presencia en Internet de una organizacin, por ejemplo.18

3. Caractersticas:

Un servidor DNS compatible con la solicitud de comentarios (RFC).

Interoperabilidad con otras implementaciones del servidor DNS.
Compatibilidad para los servicios de dominio de Active Directory (AD DS).
Mejoras del almacenamiento de zona DNS en AD DS.
Integracin con otros servicios de conexin de red de Microsoft.
Compatibilidad de protocolo de actualizacin dinmica conforme con RFC. 19

DHCP Server:

1. Concepto:

Protocolo de configuracin dinmica de Host (DHCP) es un protocolo cliente-servidor que

proporciona automticamente un host de protocolo Internet (IP) con su direccin IP y otra
informacin de configuracin relacionados como, por ejemplo, la puerta de enlace
predeterminada y la mscara de subred. RFC 2131 y 2132 definen DHCP como un estndar de
Internet Engineering Task Force (IETF) basado en Protocolo Bootstrap (BOOTP), un protocolo
con el que DHCP comparte muchos detalles de implementacin. DHCP permite que los hosts
obtener informacin de configuracin de TCP/IP necesaria de un servidor DHCP.20

Sesin tpica en el alquiler de direcciones IP:

DHCP es el protocolo de servicio TCP/IP que alquila o asigna dinmicamente direcciones IP

durante un tiempo, conocido como duracin del alquiler, a las estaciones de trabajo,
distribuyendo adems otros parmetros de configuracin entre clientes de red
autorizados, tales como la puerta de enlace o el servidor DNS. El servicio DHCP

18
Cfr. Microsoft 2017
19
Cfr. Microsoft 2017
20
Cfr. Microsoft 2017
 proporciona una configuracin de red TCP/IP segura, confiable y sencilla, evitando
conflictos de direcciones y ayudando a conservar el uso de las direcciones IP de clientes en
la red, para lo cual utiliza un modelo cliente-servidor en el que el servidor DHCP mantiene
una administracin centralizada de las direcciones IP utilizadas en la red.21

DHCP Relay Agent:

El componente Agente de retransmisin DHCP retransmite mensajes DHCP entre clientes

y servidores DHCP en distintas redes IP. Como DHCP es un protocolo de difusin, de forma
predeterminada sus paquetes no pasan a travs de enrutadores. Un agente de
retransmisin DHCP recibe cualquier difusin DHCP de la subred y la reenva a la direccin
IP especificada en una subred distinta. El Agente de retransmisin DHCP es compatible con
el documento RFC 1542, "Clarifications and Extensions for the Bootstrap Protocol". Para
cada segmento de red IP que contiene clientes DHCP, es necesario un servidor DHCP o un
equipo que acte como Agente de retransmisin DHCP.22

2. Funcionamiento:

Parmetros de configuracin de TCP/IP vlidos para todos los clientes de la red.

Direcciones IP vlidas, se mantienen en un grupo de asignacin a clientes, as como
excluir direcciones.
Direcciones reservadas de IP asociadas con determinados clientes DHCP. Esto permite
la asignacin coherente de una nica direccin IP a un nico cliente DHCP.
La duracin de la concesin o la longitud de tiempo para el que se puede utilizar la
direccin IP antes de que se requiere una renovacin de concesiones.23

3. Caractersticas:

Configuracin de TCP/IP centralizada y automatizada.

La capacidad para definir configuraciones de TCP/IP desde una ubicacin central.
La capacidad para asignar una gama completa de valores de configuracin de TCP/IP
adicionales por medio de las opciones de DHCP.
El manejo eficiente de los cambios de direccin IP para los clientes que deben actualizarse
con frecuencia, tales como los de los equipos porttiles que se mueven a ubicaciones
diferentes en una red inalmbrica.
El reenvo de mensajes DHCP iniciales mediante el uso de un agente de retransmisin
DHCP, lo que elimina la necesidad de un servidor DHCP en cada subred.24

21
Cfr. INTEF 2017
22
Cfr. Microsoft 2017
23
Cfr. Microsoft 2017
24
Cfr. Microsoft 2017
Bibliografa:

Exchange (2017) Conceptos bsicos de Active Director (consulta: 4 de setiembre de 2017)

(http://aprendiendoexchange.com/conceptos-active-directory)

Apuntes (2017) Active directory: cmo funciona, caractersticas, procesos (consulta: 4 de

setiembre de 2017) (http://www.apuntes.eu/informatica/active-directory-como-funciona-
caracteristicas-procesos/)

Microsoft (2017) Introduccin a Sitios y servicios de Active Directory (consulta: 7 de setiembre de

2017) (https://technet.microsoft.com/es-es/library/cc731907(v=ws.11).aspx)

Microsoft (2012) Descripcin del catlogo global (consulta: 7 de setiembre de 2017)

(https://technet.microsoft.com/es-es/library/cc730749(v=ws.11).aspx)

DI LORETO (2012) Catlogo Global (Global Catalog): Conceptos y Funciones (consulta: 7 de

setiembre de 2017) (https://www.tectimes.net/articulo-active-directory-domain-services-
catalogo-global-global-catalog-conceptos-y-funciones/)

Microsoft (2017) Informacin acerca de las unidades organizativas (consulta: 7 de setiembre de

2017) (https://technet.microsoft.com/es-es/library/cc771811(v=ws.11).aspx)

EcuRed (2017) Unidades Organizativas (consulta: 8 de setiembre de 2017)

(https://www.ecured.cu/Unidades_Organizativas)

Microsoft (2017) Introduccin a DNS (consulta: 8 de setiembre de 2017)

(https://technet.microsoft.com/es-es/library/cc730775(v=ws.11).aspx)

OsandNet (2017) Consulta iterativa y recursiva (consulta: 8 de setiembre de 2017)

(http://www.osandnet.com/consulta-iterativa-recursiva/)

INTEF (2017) DHCP (consulta: 8 de setiembre de 2017)

(http://www.ite.educacion.es/formacion/materiales/85/cd/windows/7DHCP/index.html)

Microsoft (2017) Configurar el Agente de retransmisin DHCP (consulta: 8 de setiembre de 2017)

(https://technet.microsoft.com/es-cl/library/dd469685(v=ws.11).aspx)

Microsoft (2017) Qu es DHCP? (consulta: 8 de setiembre de 2017)

(https://technet.microsoft.com/es-es/library/dd145320(v=ws.10).aspx)
Glosario:

Servidor: Computadora conectada a una red informtica que contiene datos, programas, etc., que
dan servicio a otras computadoras a travs de esta red.

Dominio: Parte de una direccin de Internet que identifica un sitio web y que describe el tipo de
empresa u organizacin a la que pertenece o bien el pas donde est registrado.

Red: Conjunto formado por un nmero determinado de aparatos y los circuitos que los unen e
interconexionan.

Bootstrap: es un framework originalmente creado por Twitter, que permite crear interfaces web
con CSS y JavaScript, cuya particularidad es la de adaptar la interfaz del sitio web al tamao del
dispositivo en que se visualice.

Direccin IP: es un nmero que identifica, de manera lgica y jerrquica, a una Interfaz en red
(elemento de comunicacin/conexin) de un dispositivo (computadora, tableta, porttil,
smartphone) que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red del
modelo TCP/IP.