mejores practicas en diseno de directorio activo en windows server 2003
TRANSCRIPT
Mejores Prcticas en el diseo de Directorio Activo en Windows 2003Ramon Jimnez, MCSE 2000/2003 PMP, CCA, ITIL Certified MVP Windows Server System Infrastructure Architect [email protected]
Requisitos Experiencia previa con servidores Windows Experiencia con redes en entornos Microsoft Conocimientos bsicos de Directorio Activo Conocimientos bsicos de DNS
Agenda Entornos multi-bosque multi Entornos multi-dominio multi Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad
Bosques Esquema compartidoBosques
Frontera de seguridad
Identificar requerimientosDiseo de bosques
Determinar cuntos bosques
Entornos multi-bosque multicontoso.com fabrikam.com
emea.contoso.com
nala.contoso.com
filial1.fabrikam.com
Entornos multi-bosque: Razones multi Razones polticas/organizativas Razones jurdicas Razones tcnicas Razones financieras Otras
Consideraciones Los requerimientos estrictos limitan las opciones Reserva tiempo para la negociacin Haz balance coste/beneficio Evita que 2 organizaciones de IT compartan la gestin de infraestructura Evita externalizacin a mltiples proveedores
Modelo multi-bosque simple multiClaveRelacin de confianza entre bosques
Cuentas Usuario
Bosque Org 1
Bosque Org 2
Servidores recursos
Modelo bosque de recursosRel. Conf. ClaveCuentas Usuario Servidores recursos Bosque Organizacional Bosque recursos Cuentas de servicio Cuentas alternativasBosque recursos
Modelo bosque acceso restringidoClaveCuentas Usuario Servidores RecursosBosque Organizacional Servidores con datos clasificados
Bosque acceso restringido
Agenda Entornos multi-bosque multi Entornos multi-dominio multi Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad
Factores que condicionanCapacidad de la Red # de Usuarios
128K RDSI
E1 34Mb
Razones para mltiples dominios Consideraciones administrativas/polticas Polticas nicas para cada dominio Trfico de red Calidad de la conexin de red Capacidad de los servidores Diferencias regionales/internacionales Migracin de dominios existentes
RecomendacionesSi no hay alternativa y debemos ir por mltiples dominios: dominios: Minimizar Minimizar Elegir Desplegar Desplegar Nmero de dominios Profundidad de la jerarqua Diseos que permitan reorganizar dominios Al menos dos (2) Controladores de Dominio por dominio Domains comodn durante migraciones (para no provocar disrupcin de servicio)
Modelo regionalcontoso.com
mad.contoso.com
bcn.contoso.com
sev.contoso.com
Modelo organizacionalMatrizEquipo IT Central Enterprise Admins Domain Admins Schema Admins
Equipo IT Training
Equipo IT Equipos Hw
Equipo IT Licencias Domain Admins
Domain Admins
Domain Admins
Training
Equipos Hw
Licencias
Agenda Entornos multi-bosque multi Entornos multi-dominio multi Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad
Dominio nico
Sitios
contoso.com
Madrid
Sevilla
Barcelona
Topologas tpicasSitio Sitio Sitio Sitio Sitio
Sitio
Sitio
HubSitio
Sitio
Topologa Anillo
Topologa Hub-and-Spoke Hub-andSitio Sitio Topologa compleja
HubSitio
Hub
Replicacin Directorio ActivoMadrid DCDC-1 DCDC-2
DCDC-3
Barcelona
Replicacin Intrasite (LAN) Replication Intersite (WAN) DCDC-4 DCDC-5
Cundo poner un DC en un SitioNo No S S S S
No poner un DC
Hay seguridad fsica?
Hay Admin para los DCs?
Enlace WAN estable?
Es bueno el Inicio de Sesin?
NoSe requiere 24x7?
No No
S
Poner un DC
Cundo poner un GCNo No No No
Alguna aplicacin requiere un Catlogo Global (GC)?
> 100 Usuarios?
Existe enlace WAN a un GC? S
Usuarios mbiles?
Poner DC y habilitar UGMC
S
S
S
No poner GC Poner GC
FSMOsServidor/Rol Todos Primer Servidor StandStand-by Maestro Infraestructura PDCe Regla Redes lo ms fiables posibles En el sitio y lo ms cerca posible del grupo de usuarios ms numeroso Designar uno inmediatamente No colocarlo en un GC* En el sitio y lo ms cerca posible del grupo de usuarios ms numeroso
Planning Operations Master Role Placement
Agenda Entornos multi-bosque multi Entornos multi-dominio multi Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad
DNS y Espacio de Nombres Planificacin y eleccin apropiada del espacio de nombres Integracin con BIND existentes Coexistencia con BIND existentes Entorno DNS nativo
Integracin con BIND El servidor BIND debe soportar Actualizaciones dinmicas Registros SRV Transferencia incremental de zonas (recomendado, no obligatorio)
Todos los clientes y servidores apuntan como DNSs los servidores BIND ltima versin BIND 9.3.1Configuring Berkeley Internet Name Domain (BIND) to Support Active Directory
Coexistencia con BIND (1) El servidor BIND debe crear y delegar en DNS de Windows 2003 las siguientes zonas:_udp.DNSDomainName _tcp.DNSDomainName _sites.DNSDomainName _msdcs.DNSDomainName
Sustituir DNSDomainName por vuestro nombre (ej: contoso.com)
2 subdominios deben delegarse en el BIND para servidores DNS basados en Windows 2003ForestDnsZones.ForestDNSName DomainDnsZones.DNSDomainName
Coexistencia con BIND (y 2) Ejemplo de configuracin en el BIND:_TCP _UDP _MSDCS _SITES ForestDNSZones DomainDNSZones 192.168.100.1 192.168.100.1 A IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com dc1.contoso.com # Win2K3 Domain Controller contoso.com
Integrating Windows 2000 DNS into an existing BIND or Windows NT 4.0-based DNS namespace 4.0-
Recomendacin: Usar DNS Windows 2003 Integrado en Directorio Activo Permite actualizaciones seguras Replicacin multi-master (basada en DA) multi Configuracin muy sencilla de reenviadores condicionales, Zonas Stub y reenviadores a DNSs de ISPsCMO: Migrar una infraestructura DNS existente desde un servidor basado en BIND a un DNS basado en Windows Server 2003
Agenda Entornos multi-bosque multi Entornos multi-dominio multi Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad
Seguridad (1) Asegurar la comunicacin con los Controladores de Dominio (IPSec y GPOs) Forzar el uso cuentas Administrativas diferentes a las de usuario. Limitar el nmero de cuentas administrativas Auditar el uso de cuentas administrativas
Seguridad (2) Endurecer la Directiva del Dominio (Complejidad de contraseas, bloqueos de cuentas y Kerberos) Endurecer la Directiva de Controladores de Dominio (Derechos de usuario, auditoras y seguridad) Deshabilitar mecanismos de autenticacin no seguros (LM: LanManager) Deshabilitar servicios no necesarios
Seguridad (y 3) Delegacin controlada de administracin de tareas. Deshabilitar servicios no necesarios Instalar antivirus con las exclusiones obligatorias
Demo: Revisin de conceptos y creacin de OUs clones
Enlaces tiles (1) Active Directory Best Practices Windows Server 2003 Deployment Kit: Designing and Deploying Directory and Security Services Planning Domain Controller Capacity DNS Step-by-Step Guide Step-by Multiple Forest Considerations in Windows 2000 and Windows Server 2003 Schema Documentation Program for Servers Running Windows 2000 or Windows 2003 Server Active Directory Performance Testing Tool (ADTest.exe) Designing Distributed File Systems Active Directory Directory Service Product Operations Guide
Enlaces tiles (2) Best Practices for Delegating Active Directory Administration Best Practices for Delegating Active Directory Administration Appendices Best Practice Guide for Securing Active Directory Installations Server and Domain Isolation Using IPsec and Group Policy Windows Server 2003 Active Directory Branch Office Guide Active Directory in Networks Segmented by Firewalls Active Directory Migration Tool v3.0 Best Practices for Deploying Printer Location with Active Directory
Enlaces tiles (3) Extending Your Active Directory Schema for New Features in Windows Server 2003 R2 Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 Download Windows Server 2003 R2 Branch Office: Frequently Asked Questions Windows Server 2003 R2: Support for Branch Offices BIND HomePage
Preguntas?
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecucin de laboratorios. Un tcnico por grupo imparte explicaciones tericas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duracin cada uno y 24 horas los seminarios de Contramedidas Hacker.
Sistemas Desarrollo
http://www.microsoft.com/spain/servidores/windowsserver 2003/seminarios/hol.aspx http://www.microsoft.com/spanish/msdn/spain/eventos/hol/ default.asp
Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia. Tenerife, Mlaga y Sevilla
Webcast en su versin grabada de Directorio Activo Active Directory - Usos y conceptos bsicos del Directorio Activo Active Directory - Conceptos Avanzados de Directorio Activo Active Directory - La importancia del DNS para el Directorio Activo Active Directory - Replicacin del Directorio Activo Active Directory - Uso avanzado de las politicas de Grupo
Ms Acciones de Directorio Activo
Active Directory - Mejores practicas en las operaciones de Directorio Activo.23 de Marzo. Active Directory - Migracin desde Windows NT a Directorio Activo. 6 de Abril. Active Directory - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abril Active Directory - Gestin de Identidades (ADAM, MIIS) Para informacin adicional y registro: http://www.microsoft.com/spain/technet/jornadas/we bcasts/default.asp
Ms Acciones desde TechNet Para ver los webcast grabados sobre ste tema y otros temas, dirjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcas ts_ant.asp Para informacin y registro de Futuros Webcast de ste y otros temas dirjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/defaul t.asp Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscrbase a nuestro boletn TechNet Flash en sta direccin: http://www.microsoft.com/spain/technet/boletines/default.mspx Para estar informado sobre novedades vea nuestros Its Showtime en: It http://www.microsoft.com/spain/technet/itsshowtime/default.aspx Para acceder a toda la informacin, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripcin TechNet en: http://www.microsoft.com/spain/technet/recursos/cd/default.mspx