INTRODUCCION A ACTIVE DIRECTORY
¿Qué es Active Directory?
Es un sistema parejo al árbol de Netware que sirve para compartir recursos en un conjunto
de dominios. Para ello utiliza un sistema común de resolución de nombres (DNS) y un
catálogo común que contiene una réplica completa de todos los objetos de directorio del
dominio en que se aloja además de una réplica parcial de todos los objetos de directorio de
cada dominio del bosque
El objetivo de un catálogo global es proporcionar autentificación a los inicios de sesión.
Además contiene información sobre todos los objetos de todos los dominios del bosque. La
búsqueda de información en el directorio no requiere consultas innecesarias a los dominios.
Una única consulta al catálogo produce la información sobre dónde se puede encontrar el
objeto.
En definitiva Active Directory es el servicio de directorio incluído con Windows
2000/2003/2008
¿Qué es un Servicio de Directorio?
Un Servicio de Directorio es uno de los componentes más importantes de una red. Los
usuarios y administradores con frecuencia no saben el nombre exacto de los objetos en que
están interesados. Quizá conozcan uno o más atributos de los objetos y puedan consultar el
directorio para obtener una lista de objetos que concuerden con los atributos: por ejemplo,
"Encontrar todas las impresoras dúplex en Edificio B". Un Servicio de Directorio permite que
un usuario encuentre cualquier objeto con sólo uno de sus atributos.
¿Qué es un objeto?
Es cualquier cosa que tenga entidad en el DIrectorio. Puede ser un programa, un usuario,
un ordenador, un router, una impresora, un proxy...
¿Qué es un dominio?
Es un conjunto de normas que especifican que administran los recursos y los clientes en
una red local.
En un dominio hay lo que se llama un servidor principal llamado PDC (Primary Domain
Controller) que es quien asigna derechos, controla usuarios y recursos.
Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es
posible instalar un servidor de réplica llamado BDC (Backup Domain Controller) que
contiene siempre una réplica de la base de datos del PDC y actúa como PDC en cuanto a
peticiones de clientes.
Además en caso de fallo del PDC, él se sitúa en el dominio como PDC.
En caso de haber varios BDC, uno de ellos se coloca como PDC y los demás se dedican a
respaldar a ése.
¿Que es un árbol?
Es un conjunto de dominios con relaciones de confianza entre sí que comparten recursos,
clientes y un sistema de resolución de nombres.
¿Qué es un bosque?
Es un conjunto de árboles de dominio con relaciones de confianza entre sí
1
�¿Por qué es tan importante Active Directory?
Porque es la respuesta a la crítica que siempre se le hizo a Microsoft en Windows NT de que
sus sistemas de red no son escalables. Con Active Directory se agilizan las búsquedas de
recursos, se asegura la autentificación de usuarios y máquinas, se comparten mejor los
recursos de la red, se abandona NetBIOS como protocolo para compartir recursos (se
resuelven mediante DNS y el catálogo global).
¿Qué hace Active Directory que no se pueda hacer con un
dominio?
Active Directory no controla ordenadores, controla dominios y administra los recursos y
clientes de esos dominios.
Utiliza DNS como sistema de resolución de nombres (debe haber obligatoriamente un
servidor DNS).
Active Directory es accesible desde cualquier servidor de dominio.
¿Es válido un servidor DNS que no sea de windows?
En principio debe ser válido cualquiera que cumpla las siguientes condiciones:
1. Soportar el registro de recursos Localización de servicios (rfc 2052)
2. Actualización dinámica (rfc 2136)
En la práctica yo lo he intentado con varios y no lo he conseguido salvo con el de Microsoft.
¿Como se instala?
Al instalar cualquier versión de servidor Windows 2000 o 2003 se ejecutará el asistente de
Active Directory.
Este asistente lo que hace en realidad es crear un servidor de dominio bien PDC (si no
hubiera otro servidor) o bien BDC (si lo hubiera).
Después busca un servidor DNS y si lo encuentra lo anexa al árbol de Active Directory. Si no
lo encuentra instala uno.
Este servidor DNS es imprescindible porque en adelante los clientes localizarán un
controlador de dominio para la autenticación mediante el envío de una petición al servidor
DNS identificado en sus configuraciones TCP/IP cliente
Además Active Directory utilizará DNS para almacenar información sobre los controladores
de dominio de la red.
Si durante el proceso de instalación no fuera posible encontrar un servidor DNS, Windows
instalará uno en la máquina por lo que ésta actuará no solo como servidor de dominio sino
también como servidor DNS.
En adelante cada vez que queramos cambiar algo respecto a Active Directory deberemos
acceder a la consola desde el Panel de control - Herramientas administrativas -
Configuración del servidor (también se puede ejecutar [Link]).
¿Hay algo parecido en linux?
No, y no lo habrá por bastante tiempo. SAMBA con LDAP es algo que aún da muchos
problemas y probablemente no funcionará hasta que el equipo de desarrollo de Samba
solucione esos problemas.
No digo que no se pueda, pero no con el nivel de estabilidad y confiabilidad que en
Windows. Al menos yo no he conseguido que funcione y el equipo de desarrollo de Samba
desaconseja esta dirección hoy por hoy.
2
�¿Para qué me sirve?
Es útil en redes grandes que se puedan dividir en dominios más pequeños, centros de
trabajo con varios dominios y redes intranet donde hay sucursales que comparten recursos.
Sobre un dominio [Link] podré tener subdominios '[Link]'
por ejemplo para el acceso al dominio 'comerciales'.
Las consultas a recursos de la red son mucho más rápidas porque se resuelven mediante el
catálogo global en vez de búsquedas NetBIOS.
La autentificación también se resuelve mediante el catálogo lo que resuelve problemas de
seguridad variados. Un Directorio Activo es lo más seguro que tiene Windows hoy por hoy.
Las consultas al servidor o a otros sitios se resuelven por DNS y no por NetBIOS.
La administración del Directorio Activo puede realizarse desde cualquier servidor de dominio
de toda la red.
Puede incluir cada objeto individual (impresora, archivo o usuario), cada servidor y cada
dominio en una sola red de área amplia. También puede incluir varias redes de área amplia
combinadas.
Re: INTRODUCCION A ACTIVE DIRECTORY
Instalación
Durante la instalación, el asistente pregunta si crear un controlador para un dominio nuevo
(PDC) o bien un controlador nuevo para un dominio existente (BDC). Dado que empezamos
desde cero elegiremos dominio nuevo.
Una vez hayamos acabado el proceso de instalar Active Directory y haya acabado
correctamente es muy aconsejable ejecutar de nuevo el asistente y crear un BDC para tener
un sistema tolerante a fallos.
Aunque no es recomendable se puede configurar el proceso de réplica en la opción 'sitios y
servicios' del asistente. Recomiendo no tocarlo si no hay razones de peso porque funciona
bien.
Si no teníamos instalado Active Directory debemos elegir la primera opción que instalará
además del dominio los archivos necesarios para la administración de Active Directory y le
cree una entrada en el DNS. La segunda opción instala el BDC, pero no instala Active
Directory.
En este momento habremos creado un dominio y el ordenador será el PDC de ese dominio.
Crear un nuevo árbol de dominios
Creará el primer árbol que gestionará Active Directory y alojará en él al dominio recién
creado.
Crear un nuevo dominio secundario en un árbol de dominios existente
Inserta este dominio recién creado en un árbol ya existente (si deseamos agregar este
dominio a un Directorio Activo ya existente).
Crear un nuevo bosque de dominios
Si deseamos crear un bosque nuevo que inicialmente tendrá solo un árbol (el anterior)
3
�Situar el árbol de dominios en un bosque existente
Pues eso.
Si estamos creando el Directorio Activo deberemos elegir crear un bosque nuevo que
inicialmente tendrá un solo árbol que inicialmente tendrá un solo dominio.
Luego podremos unir los demás árboles (si los hubiera) mediante la opción anterior.
Nombre de dominio
Este nombre puede ser cualquier cosa, no debe estar registrado ni nada, pero como cada
día se utiliza más Internet en la empresa, lo normal es poner el nombre registrado en
Internic de la empresa ([Link])
Nombre NetBIOS
Solo es necesario para los clientes que no soporten Directorio Activo. Este utiliza
únicamente DNS, pero los clientes Win9x y NT utilizan NetBIOS para todos los recursos de
red (incluyendo los dominios).
Ubicación de la base de datos
La base de datos se llama NTDS y por defecto se instala en %SYSTEMROOT%. Contiene los
objetos Directorio Activo y sus propiedades,
Los archivos de registro registran las actividades del servicio de directorio.
El volumen en que esté debe ser obligatoriamente NTFS
SysVol
Es el recurso compartido del Active Directory. Debe ser volumen NTFS y contiene
información del dominio que se replica al resto de controladores de dominio de la red.
Este volumen debe ser obligatoriamente NTFS.
Seguidamente se comprueba que los nombres de dominio y NetBIOS no estén en uso en la
red y luego busca un servidor DNS válido. Si lo encuentra se ofrece a utilizarlo y si no lo
encuentra ofrece instalar DNS server.
Log de actividad
Las actividades realizadas durante la instalación se guardan en %SYSTEMROOT
%\debug\[Link]
y %SYSTEMROOT%\debug\[Link]
Ubicación del catálogo global
De forma predeterminada el primer dominio del primer árbol contiene el catálogo global. Si
se quiere modificar esto hay que ir a Sitios y servicios de Active Directory (en Herramientas
administrativas) y allí Sites - Servers - NTDS Settings
Seleccionar NTDS Settings en el panel derecho y escoger propiedades en el menú Acción.
En la pestaña General, seleccionar la casilla de verificación Catalogo global.
Si en el Directorio Activo todos los dominios son win2k y superior no hace falta, pero si no,
todos los dominios deberían tener un servidor de catálogo global.
Re: INTRODUCCION A ACTIVE DIRECTORY
4
�La instalación de un servicio de Directorio Activo en una empresa no se puede hacer de
cualquier forma.
Primero hay que ver la base sobre la que se va a trabajar y como se va a realizar la
migración (tocaré este tema mas adelante).
Además hay que planificar el funcionamiento global del sistema.
Una vez planificado se debe instalar mediante el proceso anteriormente descrito.
El paso siguiente será configurar adecuadamente el servidor DNS (tocaré este tema
próximamente).
Posteriormente llegará el problema de la administración que también tocaré
posteriormente).
Por último está el tema de la seguridad (que llegará al final de este tema)
Re: INTRODUCCION A ACTIVE DIRECTORY
Planificación
Para hacerme entender utilizaré el término sucursal para referirme a otra red de la empresa
que puede estar en otro piso del edificio o en otro edificio.
La planificación de un Directorio Activo es fundamental. No se hará un buen trabajo si no se
hace una buena planificación previa y una vez instalado será difícil cambiar.
Inicialmente antes de ponerse a instalar nada hay que hacerse las siguientes preguntas:
¿Qué estructura tiene la empresa?
Para responder a esto es necesario conocer completamente la red corporativa (todas las
subredes con sus características).
También es necesario conocer completamente la jerarquía administrativa de la compañía.
Esto en casos grandes es tan complicado que incluso hay software hecho para ello.
Siempre que una determinada sucursal no deba conocer lo que se cuece en otra por motivos
organizativos se debe pensar en la necesidad de dividir el bosque.
En cuanto a la organización de dominios se debe pensar en el siguiente ejemplo: si pienso
en una organización para 1000 usuarios y en cada sucursal pongo un controlador de
dominio si utilizo un solo dominio los 1000 usuarios se replican por todas las sucursales.
En cambio si creo cinco dominios (200 usuarios cada dominio) solo se replican esos 200 en
cada dominio.
Además si creo servidores de catálogo global en cada sucursal el tráfico de red se reduce a
200 usuarios del dominio mas la mitad de los restantes 800 usuarios de los demás dominios,
con lo que he reducido el tráfico de red por lo menos un cincuenta por ciento.
Una norma fundamental a la hora de planificar la estructura es siempre la siguiente:
La solución mas simple siempre es la correcta.
De donde se deduce que
Si el diseño es complicado, borra y empieza de nuevo
¿Como se replicarán los datos?
En casos muy grandes ahora se debería considerar la replicación pero dado que es un tema
5
�complejo lo dejo para otro tema
Diseño del sitio central
Aquí habrá que considerar algunas cuestiones como el servidor DNS por lo que llegado a
este punto se debería tener una idea clara de los recursos que va a necesitar cada sucursal.
Cada administrador de sucursal debería tener ya establecido claramente como va a
funcionar cada cosa y qué recursos necesita para ello.
Aquí se configura también el dominio raíz y el sistema de copia de seguridad, sea cual sea.
Normalmente se pone un servidor y otro que hace de seguridad ante desastres. Ambos
tienen instalado un servidor DNS de forma que tenemos el DNS primario y secundario si por
alguna razón uno falla.
No tienen que ser ordenadores grandes (un Pentium IV normalito vale). Solo deben tener al
menos 512Mb de memoria porque el DNS consume mucha memoria y un disco de 20Gb es
suficiente.
El primer dominio que se instale será el propietario de las funciones del maestro de
operaciones.
En las redes muy grandes se colocan los llamados servidores de puente que se encargan de
replicar los datos entrantes y salientes del centro de datos a su sucursal y a la inversa. En
estos casos sí que se deben considerar ordenadores potentes porque trabajan mucho y si se
atascan se reduce el rendimiento de la sucursal entera.
A veces se instala en ellos un DNS que tiene las entradas únicamente del dominio que
controla.
Diseño de la sucursal
Aquí entra la organización de cada sucursal.
Para el controlador de dominio, el ordenador donde se encuentra es recomendable que
tenga instalado Terminal Server para administración remota (o bien herramientas de
terceros).
Aunque las comprobaciones a realizar son muchas para saber si conecta bien con el sitio
central, en general basta con ver si se comparte sysvol y si están las entradas del DNS
cname del nuevo controlador de dominio, y que están grabados los registros SRV y A.
En resumen
Todo este proceso es casi una ciencia. Lleva mucho trabajo difícil porque se está trabajando
con redes que aún no existen y coordinando al equipo de administración de todas las
sucursales y del sitio raíz.
Cuando son sitios grandes es realmente complicado. En redes pequeñas (quinientos puestos
o menos) todo es más sencillo porque suelen ser un par de edificios y dos redes físicas con
lo que las velocidades de conexión son elevadas. La complejidad aumenta en la medida en
que haya mas sucursales externas porque la velocidad de transmisión es pequeña y las
réplicas pueden llegar a ser un problema serio si no está bien planificado.
Por eso se recomienda en caso de duda la instalación de servidores puente que agilicen las
réplicas a pesar de un mayor coste.
Por último hay que tener especial cuidado con los ordenadores que más sufren que son los
Controladores de Dominio pues son los que están mas cerca de los clientes y son los que
tienen mas facilidad de recibir ataques, virus, errores y demás.
