[webinar] 10 cosas que debes saber sobre active directory
DESCRIPTION
Este webinar tiene como objetivo principal dar a conocer los mejores 10 tips de nuestros expertos para aprovechar todos los beneficios que brinda Active Directory, con el tiempo, es posible que la base de datos de Active Directory se llene de información obsoleta, tenga problemas de seguridad o comience a funcionar de manera incorrecta. Tarde o temprano, tendrás que reorganizar tu Active Directory para corregir comportamientos erráticos y mantener la seguridad y productividad de la plataforma al día. El temario que se engloba es el siguiente: Planificar, documentar y testear una estrategia para back ups y disaster recovery. Establecer una política de hot fixes que minimice riesgos de seguridad. Realizar check ups de salud periódicos que evidencien problemas para prevenir posibles riesgos. Webinar impartido por Adrían Rivas, el 20 de Diciembre del 2012 a las 12 hrs.TRANSCRIPT
10 cosas que debes saber de Active Directory
Webinar: Diciembre 2012
Información General
EXP
ERIEN
CIA
Adrián Rivas • MS Active Directory • DNS • Exchange • Virtualización • Seguridad en end-point • Seguridad Antispam • Dirección de equipos de soporte
• Microsoft • Citrix • Trend Micro • Vmware • Hauri • Cyberoam
• Consultor de Seguridad en Software
Agenda
1. Objetivo
2. Temario
3. 10 cosas que tienes que saber de Active
Directory
4. Resumen
5. Recomendaciones
Ag
en
da
OB
JE
TIV
O
OBJETIVO
1. Objetivo
Exponer como diagnosticar y solucionar algunos
problemas comunes de Active Directory, con el fin de
minimizar las interrupciones en el negocio.
Tem
ario
TEMARIO
1. Introducción
2. 10 Puntos que debes saber sobre Active Directory a) Busque las soluciones simples primero
b) Compruebe que DNS funciona correctamente
c) Utiliza DCDIAG para diagnosticar
d) Eliminar metadatos extintos correctamente
e) Cuidado al utilizar ADSI Edit
f) Cuidado con los Snapshots en controladores
g) Active Directory, motor de almacenamiento extensible
h) Restauración autoritativa y no autoritativa
i) Compruebe los permisos NTFS
j) Respaldo de controladores de dominio
3. Resumen
4. Conclusiones
Dato
s s
obre
AD
10 Cosas que debes saber sobre Active Directory
Algunos datos de Active Directory
El 17 de Junio del año 2000.
Es una plataforma escalable y flexible.
Los iniciadores Novell y Banyan, posteriormente SUN.
Share MKT AD DS : 90% de las 2000 empresas más grandes del mundo.
Exchange 2000 primera aplicación.
Repositorio centralizado de usuarios y el mecanismo fundamental de autenticación.
12 años después, los administradores temen modificar el Schema.
Last man Standing, es considerado el producto más estable de MS.
Com
pone
nte
s
Componentes de AD DS
o Una Base de Datos multi-master
o Un Schema
o Un Catálogo Global
o Un mecanismo de indexado
o Un servicio de replicación
o Flexible Single Master Operations o FSMO
Introducción
Beneficios o Autenticación de inicio de sesión.
o Control de acceso a los recursos.
o Single Sign-on
o Organización y gestión jerárquica.
RO
LE
S
Flexible Single Master Operations
Roles FSMO
Schema Master: Controla las
actualizaciones al esquema.
Domain naming master: adición o
remoción de dominios en el bosque.
Infrastructure Master: actualizar los
SID de los objetos.
Relative ID (RID) Master: procesar
los requerimientos del pool de RID
PDC Emulator: sincroniza hora,
gestión de usuarios, edición y publicación
de políticas.
Pre
gu
nta
I
PREGUNTA
¿Qué tipo de problemas has tenido en tu ambiente de AD?
a) Replicación
b) Resolución de Nombres (DNS)
c) Seguridad (Usuarios)
d) Migración, actualización
e) SNTP
f) Auditoria
g) Delegación
1 S
olu
cio
ne
s s
imple
s
10 Cosas que debes saber sobre Active Directory
1. Busque las soluciones simples primero
¿Están ubicados los roles FSMO?
¿Se han borrado objetos accidentalmente?
¿La replicación opera correctamente?
¿La resolución DNS opera correctamente?
¿Es necesario una restauración?
¿Es un problema de red?
Asumir es la madre de todos los errores
Revise el visor de eventos en busca de evidencia.
Investigar, analizar, asegurar, corregir.
Pre
gu
nta
II
¿Qué tan crítico es Active Directory para la operación de tu negocio ?
a) Crítico
b) No es crítico
c) No se cuenta con un Active Directory
PREGUNTA
2 D
NS
10 Cosas que debes saber sobre Active Directory
2. Compruebe que DNS funciona correctamente
o Nombre de dominio (2000 y 2003, 2008)
o Resolución interna y externa
o Uso correcto de renviadores
o Respaldo de zonas
o Resolución inversa
o Verificar loops
A revisar:
Posibles consecuencias:
Lentitud en inicio de sesión
Tráfico de red
Problemas de acceso a Internet
Fallos de autenticación
Pre
gu
nta
III
¿Qué versión de Windows AD opera en tu organización?
• a) 2000
• b) 2003
• c) 2008
• d) 2008 R2
PREGUNTA
3 D
CD
IAG
10 Cosas que debes saber sobre Active Directory
3. Utiliza DCDIAG para diagnosticar
DCDIAG: Comando para diagnósticos
Analiza el estado de uno o todos los controladores de dominio.
o DNS (Reenviadores, root hints, forwarders,
reversa, IP Dinámica)
o Disponibilidad KDC.
o Transmisión y recepción de UDP
para DC
o Reloj de Sistema.
o Verifica estado de cuentas de
equipo de DC
Pre
gu
nta
IV
¿Tu Active Directory es auditado periódicamente?
a) Si
b) No
c) No aplica
PREGUNTA
Meta
da
tos
10 Cosas que debes saber sobre Active Directory
4. Eliminar metadatos extintos correctamente
A. Ntdsutil.exe puede ser utilizado para:
i. Mantenimiento de la base de datos.
ii. Remover metadatos dejados por
controladores extintos o mal
desinstalados.
Esta herramienta
debe ser usada por
administradores
expertos.
Posibles consecuencias:
Errores en replicación
Lentitud de inicios de sesión
Corrupción de AD
AD
SI E
dit
10 Cosas que debes saber sobre Active Directory
5. Cuidado al utilizar ADSI Edit
Active Directory® Service Interfaces Editor
Esta herramienta
debe ser usada por
administradores
expertos.
DC
Snap
sh
ots
10 Cosas que debes saber sobre Active Directory
6. Cuidado con los Snapshots en controladores
RECUERDA
A. Las transacciones están numeradas
B. El último que escribe un cambio gana.
Moto
r de A
lmacena
mie
nto
Exte
nsib
le
10 Cosas que debes saber sobre Active Directory
7. Active Directory, motor de almacenamiento
extensible
ESEUTIL puede reparar una base de datos, pero
hay que tener cuidado pues es posible perder
información.
Esta herramienta
debe ser usada por
administradores
expertos.
Resta
ura
ció
n
10 Cosas que debes saber sobre Active Directory
8. Restauración autoritativa y no autoritativa
Para restablecer la contraseña de administrador DSRM
En el símbolo del sistema de Ntdsutil:
set dsrm password.
reset password on server null
reset password on server nombreDeServidor
Restauración No Autoritativa:
- Default: No autoritativa
- Sincronización al finalizar
Restauración Autoritativa :
- Se anuncia como el DC más
actual
- Sincronización al finalizar Antes Después
TIP:
Esta herramienta
debe ser usada por
administradores
expertos.
Perm
isos N
TF
S
10 Cosas que debes saber sobre Active Directory
9: Compruebe los permisos NTFS
Error: Los servicios relacionados no inician.
o Permisos NTFS en raíz son
demasiado restrictivos.
o Permisos NTFS carpeta
demasiado restrictivos.
o Cambio en la letra de la
unidad de la BD de AD.
Esta configuración
debe ser usada por
administradores
expertos.
Respald
os
10 Cosas que debes saber sobre Active Directory
10. Respaldo de controladores de dominio
Respaldo de estado del sistema
A. Realice respaldos periódicos.
B. Dentro de su proceso de respaldo, realice pruebas de restauración.
5 Tipos
1. Seguridad
2. Diaria
3. Diferencial
4. Incremental
5. Normal
Pre
gu
nta
V
¿Qué tipo de respaldo realizas de tu Active Directory?
a) Normal
b) Incremental
c) Diferencial
d) Ninguno
PREGUNTA
En R
esum
en
Busque las soluciones simples primero
Compruebe que DNS funciona correctamente
Utiliza DCDIAG para diagnosticar
Eliminar metadatos extintos correctamente
Cuidado al utilizar ADSI Edit
Cuidado con los Snapshots en controladores
AD motor de almacenamiento extensible
Restauración autoritativa y no autoritativa
Compruebe los permisos NTFS
Respaldo de controladores de dominio
Resumen
10 cosas que tienes que saber sobre Active Directory
Nego
cio
Conclusiones
Impacto al negocio
Incidente
Diagnóstico
Corrección y/o recuperación
Análisis posterior al evento
Algunos Síntomas
• Fallos de autenticación
• Perdida de productividad
• Lentitud
• Distracción por consecuencias
• Perdida de información en AD
• Fuga de información
• Interrupción en el negocio
• Paro de operaciones
• Pérdida de información
• Fuga de información
Consecuencias
Check List
Docum
enta
ció
n
REFERENCIAS
ROLES - Referencia: Aquí
DNS - Referencia: Aquí
AD DS - Referencia: Aquí
ADSI - Referencia: Aquí
NTDSUTIL & ESEUTIL - Referencia: Aquí y Aquí
DCDIAG - Referencia: Aquí
PERMISOS NTFS - Referencia: Aquí
REPLICACIÓN - Referencia: Aquí
RESPALDOS- Referencia: Aquí y Aquí
Para más información
ww
w.s
marte
kh.c
om
Tu seguridad informática es nuestra pasión