Trucos, tcnicas y conceptos avanzados de Directorio Activo

Alejandro Mezcua Responsable tcnico Zaltor Soluciones Informticas Microsoft MVP .NET amezcua@zaltor.com

Agenda
    

 

Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin

Agenda
    

 

Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin

Conceptos
    

DNS Particiones Replicacin FSMO Catlogo Global

Conceptos
DNS (I)


Base de toda la infraestructura del Directorio Activo Se puede utilizar cualquier servidor de DNS para mantener la informacin Con servidores Windows se dispone de actualizaciones automticas Con servidores Windows se puede almacenar la informacin de zonas en el propio Directorio Activo y aprovechar la replicacin para propagar los cambios

Conceptos
DNS (II)


Los servicios se buscan realizando consultas de tipo SRV. Ej. Consulta para encontrar servidores de GC
C:\ C:\Documents and Settings\administrator.ZALTORMOVIL>nslookup Settings\ Default Server: gandalf.zaltormovil.local Address: 192.168.1.254 > set type=SRV > _gc._tcp.zaltormovil.local Server: gandalf.zaltormovil.local Address: 192.168.1.254 _gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = gandalf.zaltormovil.local _gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = hades.zaltormovil.local gandalf.zaltormovil.local internet address = 192.168.1.254 hades.zaltormovil.local internet address = 192.168.1.253 >

Conceptos
DNS (III)


Ej. Consulta para localizar los controladores de dominio

> _ldap._tcp.dc._msdcs.zaltormovil.local. Server: gandalf.zaltormovil.local Address: 192.168.1.254 _ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 389 svr hostname = hades.zaltormovil.local _ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 389 svr hostname = gandalf.zaltormovil.local hades.zaltormovil.local internet address = 192.168.1.253 gandalf.zaltormovil.local internet address = 192.168.1.254 >

Conceptos
Particiones (I)



Particiones = AD Naming Contexts

Un contexto es equivalente a una particin

Permiten disponer de secciones del Directorio Activo independientes que se pueden replicar de manera individual Por omisin se cuenta con:
  

Schema Naming Context Configuration Naming Context Domain Naming Context Denominados Application Naming Contexts o Application Directory Partitions Permitirn la replicacin bajo reglas propias definidas (p.e. replicados slo a ciertos DCs)

Se pueden generar nuevos contextos de nombres



Conceptos
Particiones (II)



Schema Naming Context

Contiene la definicin de todas las definiciones de clases de todos los objetos y atributos del directorio activo. Active Directory Schema MMC

Conceptos
Particiones (III)



Configuration Naming Context

Mantiene informacin acerca de la configuracin de todo el Forest, incluyendo informacin acerca de los dominios, controladores de dominio, replicacin, subredes, etc. Visible mediante ADSIEdit

Conceptos
Particiones (IV)



Domain Naming Context

Contiene toda la informacin de los objetos definidos en el dominio. Estos objetos se replican exclusivamente a aquellos controladores (DCs) que forman parte del dominio. Visible mediante ADSIEdit

Conceptos
Replicacin (I)


Copia de los objetos entre DCs del directorio activo AD Desde el punto de vista de la replicacin


Dominios


Engloba, bajo un mismo contexto de nombres y de seguridad, N equipos (clientes servidores) Reflejan la estructura fsica de la red. Una vez definidas, los servidores, segn su direccin IP, se unirn automticamente a los sites adecuados (en el momento de la instalacin)

Sites


Subredes


Conceptos
Replicacin (II)


Entre DCs de un site la replicacin es automtica Entre DCs de distintos sites hay que configurar conectores Los conectores llevan asociados costes dependiendo de las posibles conexiones fsicas

Conceptos
FSMO (I)

  

Flexible Single Master of Operations

La mayora de las tareas funcionan en modo Multiple Master (cualquier servidor) Ciertas tareas del directorio activo se dejan en manos de un solo servidor Se puede seleccionar a qu servidor asignar cada rol. Emulador de PDC RID Master Infrastructure Master Domain Naming Master Schema Master

Cinco roles FSMO

    

Conceptos
FSMO (II)

    

Emulador de PDC
Uno por dominio Da servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0 Sincroniza tiempos y sincroniza la creacin de polticas de grupo Domain Master Browser Se determina el servidor en:


Active Directory Users and Computers (botn derecho dominio)  Men Operations Masters  Tab PDC

Conceptos
FSMO (III)

  

RID Master (Relative ID Master)

Uno por dominio Encargado de la asignacin de identificadores nicos (p.e. GUIDs) Se determina el servidor en:


Active Directory Users and Computers (botn derecho dominio)  Men Operations Masters  Tab RID

Conceptos
FSMO (IV)

   

Infrastructure Master
Uno por dominio Responsable de la comprobacin de pertenencia a grupos universales en entornos multidominio Responsable de la actualizacin de referencias de objetos de su dominio a otros dominios Se determina el servidor en:


Active Directory Users and Computers (botn derecho dominio)  Men Operations Masters  Tab Infrastructure

Conceptos
FSMO (V)

   

Domain Naming Master

Uno por forest Responsable de que los nombres de dominio sean nicos Controla el que se puedan aadir nuevos dominios Se determina el servidor en:


Active Directory Domains and Trusts (botn derecho en raz de la consola)  Men Operations Master

Conceptos
FSMO (VI)

  

Schema Master
Uno por forest Controla cambios y actualizaciones del esquema Se determina el servidor en:


Registrar MMC de Active Directory Schema  C:\>regsvr32 schmmgmt.dll C:\ Active Directory Schema (botn derecho en raz de la consola)  Men Operations Master

Conceptos
FSMO (VII)


Los cambios de rol se pueden realizar tambin con Ntdsutil.exe Permite realizar mltiples operaciones


Opcin Roles permite realizar cambios de rol de FSMO

Conceptos
FSMO (VIII)


Qu hacer en caso de fallo completo de un equipo que gestionaba un FSMO?



A travs de ntdsutil.exe


Opcin Roles -> Seice : Rol

Permite pasar el rol a otro DC



El DC original no se debe volver a poner en la red

Agenda
    

 

Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin

El interior del Directorio Activo

Esquema
 

Definicin formal de todos los objetos Directorio Activo y sus atributos Cada tipo de objeto (clase) deriva de una clase principal Top


Las clases heredan de otras clases su definicin y comportamiento

 

Cada objeto dispone de atributos obligatorios y atributos opcionales Smil con una tabla de BBDD Relacional
 

Clase => Definicin en una fila de un objeto Atributos => Columnas que definen una clase

El interior del Directorio Activo

Esquema (II)


Cada atributo a su vez puede verse como una coleccin de posibles valores El Esquema se puede ver en la consola de Active Directory Schema


Se pueden ver/aadir/modificar clases y atributos por separado

El interior del Directorio Activo

Nomenclatura de objetos (I)


Cada objeto se designa por su DN (Distinguished Name)



Este recorre la estructura del DA en forma de rbol

Cada objeto dispone de un RDN (Relative Distiguished Name) dentro de su mbito local (p.e. dentro de una OU) El DN de un objeto se compone de todos los RDN de l mismo y de todos sus contenedores

El interior del Directorio Activo

Nomenclatura de objetos (II)


Ej. De DN
Cn=alex,ou=usuariosdemo,dc=zaltormovil,dc=local Common Name = alex Organizational Unit = usuariosdemo Domain Component = zaltormovil Domain Component = local

1. 2. 3. 4.

El interior del Directorio Activo

Nomenclatura de objetos (III)


Cada objeto lleva asignado un GUID nico (asignado por RID)



Objetos de tipo Security Principals (usuarios, grupos, equipos; objetos con acceso a recursos) adems disponen de SID

El nombre de un usuario o de un PC puede cambiar, pero su GUID no. EL GUID se puede ver con ADSI Edit


Atributo: objectGUID

El interior del Directorio Activo

Catlogo Global (I)


Dentro de un dominio, cada DC dispone de una copia completa de la base de datos En un entorno multi-dominio se pueden multidesignar servidores que mantengan copias parciales de los datos de todo el forest


Servidores de Catlogo Global

Para disminuir tamao slo se almacenan los valores de ciertos atributos

El interior del Directorio Activo

Catlogo Global (II)


Cualquier DC puede tomar el rol de Catlogo Global El servidor de GC se usa para facilitar consultas en entornos multidominio Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site

El interior del Directorio Activo

Catlogo Global (III)


En la consola (MMC) del esquema se puede indicar qu atributos se replican en el Catlogo Global

El interior del Directorio Activo

RootDSE



RootDSE es parte del estndar de LDAPv3.0

Definido en RFC 2251

Define la raz de bsqueda en un servidor LDAP Muestra, entre otras cosas, las particiones bsicas a las que se puede conectar un cliente

El interior del Directorio Activo

Resolucin Ambigua de Nombres (I)


Permite la bsqueda de un determinado valor en mltiples atributos simultneamente Se pone a disposicin de los usuarios un interface de bsqueda de gente


Se puede hacer una bsqueda en la casilla Nombre y se devolvern N resultados con diferentes coincidencias

El interior del Directorio Activo

Resolucin Ambigua de Nombres (II)

   

Por defecto las bsquedas se hacen sobre

sn (surname) givenName physicalDeliveryOfficeName sAMAccountName (cuenta NT)

En el esquema se puede definir qu atributos estn incluidos en ANR

 

A travs de la consola (MMC) Han de estar indexados

El interior del Directorio Activo

Resolucin Ambigua de Nombres (III)


Ejemplo:


Si se quiere que la gente pueda realizar una bsqueda por telfono mvil del usuario, se indexa el atributo mobile y se incluye en el ANR Uso de la consola de Schema de Directorio Activo

Agenda
    

 

Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin

Manejo de LDAP. Bsquedas

LDP (I)


Herramienta de soporte para realizar bsquedas LDAP Vale para cualquier tipo de servidor LDAP, no slo para AD

Manejo de LDAP. Bsquedas

LDP (II)

  

Pasos:
Conexin con un servidor LDAP


Por defecto devuelve RootDSE Opcin bind con usuario y contrasea Definir el mbito de la bsqueda (Base DN) Uso de filtros con sintaxis LDAP (Sintaxis LDAP) Profundidad de la bsqueda (En el mbito dado) Resultados a devolver (Qu atributos extraer)

Antes de consultar hay que validar



Buscar
   

Manejo de LDAP. Bsquedas

LDP (III)

 

Demo bsqueda sencilla

Lista de usuarios en una OU dada Obtener su GUID, SID y displayName

Base DN: OU=usuariosdemo,DC=zaltormovil,DC=local Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName

Manejo de LDAP. Bsquedas

LDP (IV)



Ejemplo de bsqueda por SID

Obtener los datos del usuario a travs de su SID

Base DN: <SID=S-1-5-21-1065510560-3428359812-2318783122-1623> Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName

Manejo de LDAP. Bsquedas

LDP (V)



Ejemplo de bsqueda por GUID

Obtener los datos del usuario a travs de su GUID

Base DN: <GUID=5d2ba257-6c50-4a8d-80f1-6fd4ff49407d> Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName

Manejo de LDAP. Bsquedas

LDP (VI)



Ejemplo de bsqueda compleja.

Lista de todos los atributos que se replican al catlogo global

Base DN: cn=schema,cn=configuration,dc=zaltormovil,dc=local Filter: (&(objectCategory=attributeSchema)(isMemberOfPartialAttributeS et=TRUE)) Scope: Subtree Options - > Attributes: lDAPDisplayName

Manejo de LDAP. Bsquedas

LDP (VII)


Ejemplo de bsqueda de usuarios eliminados.



Ventana de seguridad muestra usuario en forma de:

Base DN: <SID=S-1-5-21-4091595955-23244848454052817843-1112> Filter: objectClass=* Scope: Base Options -> Attributes: objectGUID;objectSid Options -> Search type -> Extended Options -> TimeOut -> 120 Options -> Controls -> Return Deleted Objects

Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112) Unknown(S21-4091595955-2324484845-4052817843-

Agenda
    

 

Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin

Scripts


Windows pone a disposicin del sistema una librera que permite, entre otras cosas, acceder al Directorio Activo mediante cdigo


ADSI (Active Directory Services Interface)

La programacin se realiza en lenguajes de Script

 

VBScript JScript

Scripts
Demo Script


Ej de uso de scripts para administracin de AD. Creacin de 100 usuarios (VBScript)

Set objRootDSE = GetObject("LDAP://rootDSE") Set objContainer = GetObject("LDAP://ou=milusuarios," & _ objRootDSE.Get("defaultNamingContext")) For i = 1 To 100 Set objLeaf = objContainer.Create("User", "cn=UserNo" & i) objLeaf.Put "sAMAccountName", "UserNo" & i objLeaf.SetInfo Next WScript.Echo "100 Usuarios creados."

Scripts
Technet Script Center


Coleccin de scripts que sirven como base para realizar tareas de administracin muy elaboradas Cientos de ejemplos agrupados por reas en TechNet Script Center


http://www.microsoft.com/technet/scriptcenter

Agenda
    

 

Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin

Extensin de la consola MMC



El entorno de administracin MMC es extensible



Permite aadir nuevas funcionalidades

Por ejemplo MS Exchange aade nuevas pginas de propiedades a las propiedades de un usuario

Extensin de la consola MMC

Display Specifiers


En el esquema de DA existen objetos de tipo displaySpecifiers



En el apartado de configuracin

Determinan la localizacin o los idiomas en los que se mostrarn ciertos elementos de la consola de administracin


409 - ingls

Extensin de la consola MMC

Specifier: user-Display (I) user

Permite extender las propiedades de un usuario Dependiendo de los valores de sus atributos mostrar unas cosas u otras Atributo adminContextMenu


Permite aadir una nueva opcin de men al men contextual de un usuario

Extensin de la consola MMC

Specifier: user-Display (II) user

Ej. Nuevo men



Men sencillo de ejemplo. Simplemente obtiene la informacin del objeto (path) y extrae su RDN

De esta forma se puede llamar a cualquier ejecutable que acepte parmetros por la lnea de comandos Ms informacin en:


http://msdn.microsoft.com/library/enhttp://msdn.microsoft.com/library/enus/netdir/ad/extending_the_user_interface_for_di rectory_objects.asp?frame=true

Extensin de la consola MMC

Specifier: user-Display (III) user

Ej. Nuevo men



Men que obtiene el listado de grupos a los que pertenece un determinado usuario de manera recursiva.
  

Se modifica la propiedad adminMenu Obtiene grupos dentro de grupos Script: getUserGroups.hta

Extensin de la consola MMC

Specifier: computer-Display computer

Ej. Nuevo men



Men que obtiene la lista de software instalado en el equipo va WMI

 

Se modifica la propiedad adminMenu Script: getSoftInstalado.hta

Agenda
    

 

Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin

Nuevas Utilidades Windows 2003

Group Policy Management SnapIn


MMC que permite gestionar las polticas de manera mucho ms sencilla Interface muy intuitivo vlido para todo el forest Dispone de informes de aplicacin de GPO Permite aplicar GPOs por filtros de WMI (no slo por usuarios o grupos)

Nuevas Utilidades Windows 2003

ADAM


ADAM: Active Directory Application Mode Versin de Directorio Activo independiente de la infraestructura de la red Permite disponer de un Directorio Activo aislado y controlado til para aplicaciones independientes
 

No interfiere con AD de la red Sincronizable con AD de la red mediante Microsoft Identity Integration Server

Nuevas Utilidades Windows 2003

Descarga de las utilidades


Estas utilidades y ms se pueden descargar en:  http://www.microsoft.com/windowsserver 2003/downloads/default.mspx

Agenda
    

 

Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin

Herramientas de diagnstico y monitorizacin



Netdiag.exe


Realiza diversas comprobaciones de la red. til para trazar problemas de conectividad, DNS, LDAP, etc.

Herramientas de diagnstico y monitorizacin



Dcdiag.exe


Realiza diversas comprobaciones de diagnstico del servidor como Controlador de Dominio

Herramientas de diagnstico y monitorizacin



Dsastat.exe


Permite determinar si la estructura de DA de N servidores es igual (para verificar que se ha realizado la replicacin correctamente)

Herramientas de diagnstico y monitorizacin



ReplMon.exe


Replication Monitor. Mustra grficamente el estado de la replicacin entre servidores

Herramientas de diagnstico y monitorizacin



Repadmin.exe


Utilidad muy extensa que permite trabajar con cmo est establecida la configuracin de replicacin

Referencias


Web de Technet en Espaa



www.microsoft.com/spain/TechNet/ www.zaltor.com

Zaltor Soluciones Informticas