Active Directory

1. El trabjo práctico para implantar dominios

Este es el primer trabajo práctico que se utilizará en este capítulo. Irá creciendo a medida que avancen las operaciones cubiertas, hasta alcanzar el tamaño mostrado en el diagrama, con no menos de seis máquinas Windows Server.

Contiene dos bosques, cole.com e independants.es, en dos redes separadas. El dominio elearning.com se adjuntará al dominio cole.com.

El router BLR (borderline router) que une las dos redes, se construirá en una máquina Windows Server y veremos su configuración juntos. Es libre de utilizar otros sistemas como routeres.

Una vez que la arquitectura esté completamente desplegada, haremos algunos cambios en ella para practicar los temas finales del capítulo.

Pero antes de ponernos manos a la obra y empezar a desplegar máquinas virtuales, debemos repasar algunos conceptos básicos.

2. Dominio raíz del bosque

Este es el primer dominio que crea y es el padre de todos los demás dominios. El dominio raíz se puede utilizar de dos maneras diferentes:

1. Creación del dominio raíz

1. Configuración de los DNS

Se pueden utilizar varias configuraciones de DNS para implementar relaciones de aprobación externas y forestales:

En este capítulo se utilizarán forwarders condicionales.

2. Relación de aprobación de bosque

Se establece una relación de aprobación de bosque entre los dos dominios raíz de los dos bosques. Es necesariamente transitiva hacia cualquier subdominio y puede ser unidireccional o bidireccional. Un bosque puede tener varias relaciones de aprobación con otros bosques, pero siempre de forma no transitiva, sin que la aprobación pase de un bosque a otro.

En la siguiente ilustración, el bosque A tiene...

1. Introducción a los roles FSMO

Cuando se despliegan varios controladores de dominio para un mismo dominio, el que se instala en primer lugar se denomina controlador "primario" y todos los demás controladores desplegados posteriormente en este dominio, se denominan "secundarios".

Aunque todos los controladores de un dominio se pueden utilizar para gestionar objetos de Active Directory, sólo el controlador principal dispone inicialmente de ciertas funcionalidades. Estas se conocen como roles FSMO.

FSMO son las siglas de Flexible Single Master Operation. La base de datos de Active Directory se basa en un modelo denominado "multimaestro", que permite a cualquier controlador de dominio escribir en la base de datos. Esto puede dar lugar a conflictos si se realizan varias modificaciones en el mismo objeto al mismo tiempo. Existe un mecanismo para gestionar estos conflictos que consiste en que, el último controlador de dominio en el que se ha realizado una modificación, tiene prioridad sobre los demás. Se trata del enfoque "last writer wins".

Sin embargo, ciertas modificaciones sólo son posibles desde el servidor que tiene los roles FSMO, para evitar conflictos en lugar de tener que resolverlos. En este caso, se utiliza un modelo de "maestro único". Un ejemplo de configuración que sólo se puede realizar desde un único controlador de dominio, es decidir qué servidor debe ser la fuente de reloj para sincronizar la hora de todos los servidores.

Por lo tanto, existen cinco roles FSMO, cada uno de los cuales realiza una o varias funciones y que se encuentran inicialmente en el controlador de dominio principal. Como veremos, es posible cambiar los roles FSMO de servidor, pero sólo pueden existir en un único servidor, ya sea a nivel de bosque o a nivel de dominio.

En resumen, se utilizará un único modelo maestro para determinadas operaciones, pero de forma flexible. Este enfoque es heredado de las versiones NT3.51 y NT 4.0 de Windows Server, en las que sólo el controlador de dominio principal (CDP) estaba autorizado a realizar cambios en el dominio.

Existen cinco funciones de la FSMO:

2. Descripción de los roles FSMO

Controlador del esquema

El esquema...

1. Particiones de bases de datos

La base de datos contiene diferentes particiones, que se replican de distintas maneras en función de la situación.

Partición de configuración

Se crea cuando se crea el bosque. Contiene información sobre el bosque. Estructura del bosque, dominios y subdominios, controladores de dominio, etc.

Se replica en todos los controladores de dominio del bosque.

Partición de esquema

La partición de esquema contiene la definición de todos los tipos de objetos que se pueden crear, así como las reglas para crear y manipular objetos en el esquema.

Replicado en todos los controladores de dominio del bosque.

Partición de dominios

Se crea cuando se configura un dominio. Contiene una lista de usuarios, grupos, OUs y configuraciones específicas del dominio.

Se replica en los controladores de dominio del mismo dominio.

Particiones de las aplicaciones

Son creadas por aplicaciones como DNS o Exchange. Puede haber varias particiones de aplicaciones en la base de datos. Es posible crear particiones de aplicaciones nosotros mismos.

Para DNS, habrá dos particiones de aplicación:

Hay varias maneras de ver las particiones en la base de datos de Active Directory y vamos a utilizar la utilidad ADSIedit.msc.

1. Requisitos previos para modificar el régimen

Es posible modificar el esquema añadiendo un tipo de objeto o un atributo a un tipo de objeto existente. Cualquier modificación del esquema se debe realizar desde el servidor que tiene el rol de maestro para el esquema.

Para saber qué servidor tiene el rol, ya hemos visto el archivo:

netdom query fsmo 

Pero también es posible hacerlo en PowerShell. El siguiente comando nos dará el nombre del servidor que es el maestro del esquema:

Get-ADForest | Select-Object name, schemamaster 

También puede ejecutar un comando para ver qué roles FSMO tiene el servidor en el que se encuentra:

Get-ADDomainController | Select-Object OperationMasterRoles 

Para poder modificar el esquema, es necesario estar autentificado con una cuenta que pertenezca a los grupos administrador de la empresa y administrador del esquema.

Para ver y realizar operaciones en el esquema, vamos a utilizar una consola MMC. Sin embargo, el plug-in que permite...

1. Verificación de la replicación

Este directorio se replica en los controladores de dominio y se evitan otros tipos de datos para no aumentar los tiempos de replicación.

La replicación es proporcionada por el servicio DFSR. Es posible comprobar el estado de la replicación utilizando PowerShell. Los comandos para DFSR no están...

1. Conceptos básicos

Los sitios de Active Directory son una característica diseñada para gestionar dominios extendidos a través de múltiples ubicaciones físicas como, por ejemplo, entre varias ciudades. Esto implica que se establezca una conectividad de red, por ejemplo, con VPN de sitio a sitio.

En particular, se utilizan para configurar la replicación de bases de datos de Active Directory entre sitios físicos remotos. Los GPO también se pueden vincular a un sitio.

Con los sitios de Active Directory, puede crear y gestionar una topología de replicación, que puede ser diferente de la topología de red, entre varias ubicaciones físicas. Por defecto, sólo hay un sitio de Active Directory y todos los controladores de dominio están dentro de él.

Windows Server dispone de una consola de gestión dedicada a los sitios, a la que se accede a través del menú Start - Windows Administrative Tools - Active Directory Sites and Services.

Al abrir la consola, puede ver el sitio predeterminado denominado Default-First-Site-Name y los controladores de dominio que contiene.

Cuando se añaden controladores de dominio a un dominio, un proceso llamado KCC (Knowledge Consistency Checker) creará automáticamente objetos de conexión en los controladores de dominio y estos objetos se utilizarán para la replicación.

Así, cada controlador de dominio dispone de un objeto de conexión para cada uno de los demás controladores del dominio.

Estos objetos de conexión se pueden ver en el perfil Active Directory de un servidor/pestaña Directory/General/NTDS Settings/Connections. Se generan automáticamente, pero también se pueden crear a mano o editar. Si los objetos de conexión se crean a mano o se editan, dejarán de ser gestionados por el KCC. Representan la replicación entrante desde otro servidor.

Además de gestionar las conexiones, el KCC también gestionará las topologías de replicación dentro de un sitio y entre sitios diferentes.

1. Despliegue de un RODC

Hay dos formas de desplegar un RODC: hacer un RODC cuando el servidor es promovido a controlador de dominio o preparando el despliegue con antelación y creando la cuenta RODC en el Active Directory. Es este segundo método el que vamos a utilizar, conocido como "pre-staging"....

1. Poblar Active Directory

New-ADOrganizationalUnit 

New-ADUser 

Hay un montón de opciones disponibles para este comando, ya que enumera lo que puede poner en el perfil Active Directory de un usuario.

En nuestro ejemplo, comenzamos declarando una variable que contendrá la contraseña. Para rellenar esta variable, el sistema nos guiará para teclear la contraseña, que quedará oculta en la pantalla ya que será una cadena de caracteres segura.

Para el resto de las opciones, están los dos nombres de usuario SamAccountName y UserPrincipalName, sólo SamAccountname es obligatorio. La única otra opción que es obligatoria es la opción Name. La opción...