----------------------------------------------------------€¦ · el directorio activo utiliza...
TRANSCRIPT
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
Module 2: Introduction to Active Directory DomainServices
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
En un Grupo de trabajo, la autentificacion de los usuarios (comprobar la validez de su nombre y contraseña) se hace a nivel local
en cada maquina. cada maquina guarda su propia base de datos de usuarios y contraseñas que en windows se denomina SAM
(Security Account Manager). esto hace que sea complicado trabajar en red.
AD DS (Active directory Domain Services) es un servicio que consta de varios componentes. estos componentes son tanto fisicos
como logicos.
Controladores de dominio:
Son servidores que almacenan una copia de la base de datos del directorio activo (Data Store) Son las maquinas que gestionan
todas las actividades en el dominio: recursos, Autenticacion, autorizacion, permisos, credenciales, ....
Una buena practica es contar con un minimo de 2 DC (Domain controller) en el dominio. La base de datos se replica
constantemente entre ellos y si uno falla el otro mantiene el funcionamiento del dominio
Base de datos del directorio activo (ntds.dit)
NTDS: NT Domain Services
DIT: Directory Information Tree
C:\Windows\SYSVOL aquí se encuentran las directivas de grupo.
RODC (Read Only Domain Controller):
Es un DC que almacena una copia de solo lectura del directorio activo. Se usa en sucursales para mejorar el rendimiento, pero
sin comprometer la seguridad del dominio. Además, un RODC no almacena (por defecto) credenciales en cache.
Catalogo Global:
Es un subconjunto del directorio activo.
adatum.com: Usuarios, grupos, equipos, recursos... Cada objeto tiene un conjunto de atributos:
•Usuario: Nombre de usuario, password, grupos a los que pertenece, teléfono, departamento, empresa, dirección...
contoso.com: Para que un usuario de adatum.com acceda a recursos de contoso.com solo algunos atributos de ese usuario
(nombre de usuario, password y grupos a los que pertenece). Los DC de contoso.com almacenan ese subconjunto de atributos
de objetos de adatum.com
El catalogo global es un subconjunto de atributos que se almacena en todos los DCs de todos los dominios de un mismo
bosque.
Componentes logicos de AD DS:
Pariciones: el archivo ntds.dit esta dividido a nivel logico en varios trozos que se denominan "particiones"
tenemos varias particiones(contextos de nombres o naming contex) :
-esquema (schema):almacena las plantillas de todos los objetos del directorio activo.
-catalogo global (Global Catalogue)
-Configuracion(configuration): almacena la estructura del directorio activo como sitios, dominios, subdominios,
...
Cada particion esta gestionada por una funciona que se ejecuta en una maquina concreta. la maquina que lleva a cabo esa
operacion se llama maestro de operaciones en ingles FSMO
(Flexible single master operation).
inicialmente todos los FSMO estan en el primer DC que creamos en el bosque. hay 5 maestros de operaciones.
comando
para consultas al dominio
netdom query
para saber donde estan los maestros de operaciones o fmso
netdom query fsmo
schema master:almacena las plantillas de todos los objetos del directorio activo.
SID: Security identifier (S-1-0-5-1234-12312312....-354) parte fija identificando si es usuario equipo
dominio etc parte variable
RID: Relative indentifier parte variable del SID
domain naming master: indica si esta o no dispoble un nombre de dominio almacena la lista de
dominios creados y la relacion entre ellos
Infraestructure master: conoce donde estan los equipos y los controladores de dominios para mandar a las
maquinas conectarse al DC mas cercano
PDC emulator: primary domain controller. Permite mantener la compatibilidad con funciones antiguas que ejecutaban en un
directorio activo como windows NT
para cambiar la ubicacion de los operation masters
comando cmd:
ntdsutil
aqui ROL es igual a FSMO
sirve para hacer copias de seguridad del DC transferir fsmo etc
ntdsutil roles
cuando esta activo el origen TRANSFER
cuando esta caido el origen SEIZE
para preguntar donde estan los FSMO con ntdsutil
ntdsutil > roles > connections: connect to server lon-dc1
quit para volver de instancia
desde FSMO maintenance: Select operation target
list roles for connectecd server
nomenglaturas LDAP CN=LON-DC1,DC=adatum,DC=com
el directorio activo sigue el estandar LDAP (lightweight directory acces protocol). otros servicios de directorio que siguen el
estandar y con los que podemos interactuar son:
-openLDAP linux
-oracle directory Services. incluido con oracle identity and acces manager (OIAM)
consultar maestros de operaciones desde GUI
tools> active directory users and computers
solo aparecen 3 por que son uno para cada dominio dentro del bosque
desde powershell
get-adforest
saca roles a nivel de arbol schema master y naming master
get-addomain
saca roles a nivel controlador de dominio infraestructure master, RID master, PDC emulator
con estos comando consultas al dominio con el que hayas iniciado sesion
schema master y domaing naming master fucionan a nivel de todo el bosque solo hay uno en todo el bosque
para ver donde esta el schema master en modo grafico
mmc > add snap-in> no aparece ninguna consola que lo muestre
esto se hace por que el schema no se debe tocar nunca
es una dll sin registrar
para que se muestre en mmc registrarla la DLL
regsvr32 schmmgmt.dll
despues de registrar la dll aparecera como active directory schema
otro metodo es en Server manager Tools ADSI EDIT
solo se utilizara cuando no se pueda hacer desde otro sitio
DOMINIO:
un dominio es un contenedor de objetos: Usuarios, grupos, equipos, ...
la nueva version del RID Master permite tener en un dominio hasta 2.000.000.000 de objetos
no tiene limites fisicos ni esta asociado a una red o subred concreta.
En el dominio la base de datos del ad se replica completa y de forma constante.
Arbol: conjunto de dominios que comparten una parte de su esquema de nombres (contexto de nombres) ejemplo:
arbol 1: adatum.com, madrid.adatum.com, sistemas.adatum.com, segovia.adatum.com
arbol 2: contoso.com, madrid.contoso.com, sistemas.contoso.com, logistica.valencia.contoso.com
Bosque: es un conjunto de arboles bajo una administracion comun
el primer dominio que creamos en un bosque se denomina dominio raiz (Root Domain). para nosotros adatum.com
tipo de replicacion en dominio : replicacion multimaster
ahora todos los controladores de dominio son root domain
en el dominio raiz tenemos objetos que no exiten en los otros dominios.
- Enterprise administrator: grupo con privilegios administrativos sobre TODOS los dominios
del bosque
- Schema Admins: Grupo con privilegios para la administracion del esquema.
a nivel de cada dominio particular tenemos otros objetos:
-Domain admins: tienen privilegios administrativos SOLO en su dominio
active directory users and computers
dsa.msc
Replicacion Multimaster:
Cualquier DC de un dominio puede ser el origen de cambios y se replicaran a todos los demas DCs de ese dominio.
El metodo de replicacion utilizado por el directorio activo es:
-FSR (File System Replication) windows server 2012 o anteriores
-DFS (Distributed File System) windows server 2012 R2
En windows server 2012 o anteriores teniamos la posibilidad de usar FSR o DFS. apartir de windows 2012 server R2 solo
podemos usar DFS.
Los DCs son los encargados de:
-autenticacion: Validar credenciales. comprobar que tenemos un usuario y contraseña validos
-autorizacion: Determinar el nivel de permisis que tiene un usuario sobre los recursos. Decidir que privilegios se le asignan.
permisos: lectura escritura modificacion ejecucion ... sobre archivos y carpetas
Privilegios: iniciar sesion local, iniciar sesion remota, apagar un equipo, modificar el fondo de pantalla, hacer
copias de seguridad, ....
Todos los dominios en un bosque mantienen las relaciones de confianza con el resto de los dominios de ese mismo bosque.
un usuario de cualquier dominio puede iniciar sesion en otro dominio del mismo bosque y se puede dar permisos a un usuario
de cualquier dominio sobre recursos de un mismo bosque.
Unidades organizativas (OU):
son contenedores a los que podemos aplicar GPOs
Se utilizan para reflejar la estructura jerarquica de la empresa. por ejemplo, podemos tener un dominio madrid.adatum.com con
las siquientes OUs:
-sistemas
- portatiles <-- GPO (Firewall)
- sobremesa
- servidores <-- GPO (password 14 caracteres)
-logistica <-- administracion delegada
- paqueteria
- contabilidad
-administracion
ademas, podemos delegar la administracion de una OU
para diferenciar UO de un container es si se puede o no delegar el control
En un dominio, cualquier objeto esta identificado por su SID (Security indentifier).
Si una maquina virtual esta unida a un dominio, tambien esta identificada por su SID, y podemos clonar o copiar maquinas
virtuales.
desde windows server 2012 podemos clonar maquinas virtuales, incluso controladores de dominio.
Para disinguir entre la maquina original y la clonada, windows server 2012 introduce el VM-generation ID. una maquina
virtual y su con tendran el mismo SID, pero diferente VM-Genetarion ID
Necesitamos un Hypervisor que soporte VM-Generaction ID:
-hyper-V (microsoft)
-VMware
-Citrix
ademas de clonar VMs nos permite trabajar con snapshots
el directorio activo utiliza para su base de datos numeros de secuencia para saber que controlador de dominio tiene los ultimos
cambios
cuando haces una snapshot el vm generation ID se actualiza para que cuando se haga un rollback sepa que viene de una
snapshot y se sincronice con el controlador de dominio mas actualizado.
ANTES
Para actualizar un directorio activo a la nueva version (antes de windows server 2012), era necesario preparar el esquema
para acoger las nuevas carasteristicas.
por ejemplo: para actualizar de 2003 a 2008, era necesario preparar el esquema para caracteristicas como la papelera de
recliclaje de AD.
la preparacion implicaba 2 comando:
adprep /forestprep
adprep /domainprep
estan en el CDwindows:\support\adprep
para actualizar versiones de windows server
si tienes una maquina dc en 2008 hay que meter el dvd de 2012 y ejecutar adprep /forestprep adprep /domainprep y despues
actualizar
si tienes una maquina dc en 2008 y consigues otra maquina con 2012 unes la 2012 al dominio promocionas a dc esperas que
replique con el 2008 y ya podrias quitar el 2008
Control de acceso:
Permite controlar el acceso a los recursos de una forma mas detallada y flexible usando DAC (Dynamic Access Control). es una
evolucion de NTFS
AD recycle bin:
En windows server 2008 R2, para activar y gestionar la papelera de reciclaje de AD solo podiamos usar powershell
En windows server 2012 se activa y gestiona desde el AD administrative Center
una vez activada ya no se puede desactivar
se activa en todo el bosque
MUY IMPORTANTE PARA EL EXAMEN
Workplace Join:
es una solucion de BYOD (Bring Your Own Device):
Dispositivos (smartphones tablets, portatiles personales, ...) que no pertenencen al dominio, reciben temporalmente acceso a
recursos del dominio
Un sistema completo de MDM (Mobile Device Management) es Microsoft Intune
Authentication:
TGT: Ticket Granting Ticket es de kerberos v5 dura 8 horas
el dominio le da un ticket al usuario con los accesos disponibles y el usuario usa ese ticket para entrar al equipo y a los recursos
IFM (Installation From Media):
para evita la replicacion de toda la base de datos del AD atraves de la red, podemos hacer una copia de ella en un pendrive, un
dvd,...
Promocionamos el nuevo DC desde el pendrive
no podemos hace la copia de la base de datos en funcionamiento
opciones:- parar el dominio.
- hacer una snapshot de la base datos. (ntdsutil)
EJERCICIO
promocionar LON-CORE a DC en ADATUM de forma remota usando Powershell desde LON-DC1
LON-CORE
LON-DC1
para promocionar de forma segura almacenamos en una variable el usuario y constraseña del admin
$_credencial=(Get-Credential)
sin variable
install-ADDSDomainController -domainname adatum.com -credential (Get-Credential)
con variable
install-ADDSDomainController -domainname adatum.com -credential $_credencial
ahora promocionar LON-SRV1 a DC de adatum con IFM haciendo instantanea del AD en LON-DC1
tomamos LON-DC1 como origen y vamos a copiar la base de datos del AD para promocionar LON-srv1 a DC mediante IFM
1.copiar la base de datos:
-ntdsutil
-activate instance ntds
-ifm
-Create sysvol Full C:\IFM
2.llevamos el contedio de c:\ifm a la maquina que vamos a promocionar (LON-SRV1)
3.instalamos rol de ad ds en LON-SRV1 y promocionamos con IFM
Cloud Computing
IaaS (Infrastructure as a service):
contratamos espacio de almacenamiento, memoria RAM y capacidad de procesamiento (CPU). azure (nube publica de
microsoft) amazon elastic cloud computing (EC2), google compute engine (GCE).
PaaS (Platform as a service):
gestionamos un servicio como una base de datos sin tener que preocuparnos del sistema operativo en el que esta instalada.
azure amazon db. por ejemplo una maquina para montar un directorio activo
SaaS (Software as a service):
Tienda virtual, correo electronico, alamcenamiento, gestion de fotos etc. google apps, google docs, dropbox, gmail en resumen
ofrecen una aplicacion sin saber sobre que sistema esta funcionando ni cuantos recursos utiliza.
Clonado de controladores de dominio virtuales
DHCP es incompatible con el clonado
En windows server 2012 R2 podemos clonar cualquier maquina virtual ya que soporta VM-Generation ID
Requisitos para clonar una maquina virtual
- Sistema operativo e Hypervisor que soporten VM-generation ID.
- El inconveniente es que tenemos que parar la maquina origen
Requisitos para clonar un DC virtual
- Lista de roles compatibles para clonar:
tenemos que obtener esta lista desde powershell
- Obtener un archivo de configuracion para la maquina clonada: nombre de la maquina, direccion IP, mascara, sitio...
- La maquina original de estar en el grupo "Cloneable Domain Controllers" una vez hecho el clonado, sacamos las maquinas
de este grupo para evitar clonado no autorizados.
- El inconveniente es que tenemos que parar la maquina origen
Vamos a clonar LON-DC1 -> LON-DC2
Despues de clonar siempre eliminar del grupo por seguridad
ahora desde powershell
comando para consultar aplicaciones incompatibles con el clonado y que va a excluir del clonado
get-ADDCCloningExcludedApplicationList -GenerateXml
APRENDERSE CustomDCCloneAllowList.xml
New-ADDCCloneConfigFile:
para saber -sitename
contenido del archivo DCCloneconfig.xml
<?xml version="1.0"?>
<d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig">
<ComputerName>LON-DC2</ComputerName>
<SiteName>default-first-site-name</SiteName>
<IPSettings>
<IPv4Settings>
<StaticSettings>
<Address>192.168.10.11</Address>
<SubnetMask>255.255.255.0</SubnetMask>
<DefaultGateway>192.168.10.2</DefaultGateway>
<DNSResolver>192.168.10.10</DNSResolver>
</StaticSettings>
</IPv4Settings>
</IPSettings>
</d3c:DCCloneConfig>
se apaga LON-DC1
ahora se copia la mv
se inicia LON-DC1
por que el PDC master tiene que entar en funcionamiento y esta en el LON-DC1
y ahora se inicia LON-DC2
despues de esto ya estaria 100% operativa
despromocionar un DC para crear un DC hijo
manage > remove roles and features
primero despromocionar despues eliminar rol
para crear un dominio
Powershell
install-ADDSDomaincontroller: añadir un DC a un dominio ya existente. como hicimos con LON-CORE, que lo añadimos como un
DC adicional a adatum.com
install-ADDSDomain: añadir un dominio nuevo al bosque. puede ser un dominio hijo de otro ya existente (extendemos el arbol)
o un arbol nuevo dentro del bosque (contoso.com cuando ya tenemos adatum.com)
install-ADDSForest: crear un dominio y arbol nuevo desde 0