Windows – Directorio Activo and Friends

Active Directory topology

Hola hola blogeros!!! (Éste te lo dedico a ti, Ingeniero, jejeje…)
Continuando con nuestra serie semanal sobre tecnología Microsoft e intentando mantener el nivel del anterior voy a lanzar una serie de post dedicados al Directorio Activo, y digo una serie porque hablar de directorio activo no es moco de pavo, no podríamos contarlo todo en uno, si queremos llegar a entender, diseñar, planificar y resolver problemas en AD primero hay que entender que es, como funciona, cual es su cometido… de lo contrario la podemos liar muy muy parda…

Nos situamos hace unos añitos ya, Microsoft introducía Windows 2000 en sus numerosas versiones. Un lavado de cara solo comparable al que hubo entre Windows 3.11 y Windows 95 o entre XP y Vista… digo Windows 7 =) entonces veníamos de Windows NT, un sistema operativo que no estaba mal… pero que no era muy estable que digamos, era necesario revolucionar y callar las críticas que este sistema despertaba.

El directorio activo (AD en sus siglas en inglés) es la tecnología que nos permite organizar de manera ordenada y segura la información de objetos y sus atributos como pueden ser usuarios, máquinas, recursos de red, etc.

Con AD desaparece NetBios en favor de DNS como protocolo fundamental en la resolución de nombres, en otras palabras, sin DNS AD no funciona, así de claro. AD usa LDAP como protocolo de aplicación que permite a través de una base de datos buscar la información que necesitemos.

Fijaros que hemos hablado de información, seguridad, centralización… todo ello suena como a una especie de base de datos verdad? Pues bien, aquí entra en escena el Catálogo Global (GC), el corazón del AD, sin él no tendría sentido esta tecnología. Se trata de un repositorio que contiene una referencia de cada objeto en todos los dominios. Gracias a el podemos encontrar cualquier objeto sin necesidad de conocer su nombre. Este repositorio en realidad es un fichero llamado NTDS.DIT, por defecto se encuentra en el primer DC que hemos creado, sin embargo otros DCs pueden ser GC.

Hasta aquí un poco la funcionalidad de AD, sin embargo, hablar de AD significa hablar de roles o FSMO.
Existen 5 roles. Con la llegada de Windows 2008 tenemos otro tipo de DC pero no es considerado como FSMO.

– Maestro de Esquema:
Es el encargado de actualizar todas las modificaciones de cada objeto de AD y sus atributos, funciona a nivel de bosque. Observaréis que en Windows 2003/2008 no aparece la consola para gestionar el maestro de Esquema, para hacer que aparezca dentro de los snap-in de la mmc hay que realizar la siguiente operación desde el menú ejecutar:

Register Schmmgmt.dll

– Maestro de nombres de dominio:
Controla los nombres de dominio dentro del bosque, de tal manera que controlará la adición o eliminación de dominios en el bosque. Por ello, cada dominio dentro del bosque debe llamarse de manera diferente.

– Maestro de Infraestructura:
Es el encargado de representar cada objeto dentro del AD mediante un GUID cuando estos se mueven de un dominio a otro. Funciona a nivel de dominio y solo puede existir un controlador de dominio (DC) con este role por dominio. Otra cosa a tener muy en cuenta es que el DC que actúe como catálogo global no puede albergar este role ya que de lo contrario dejará de funcionar.

– Maestro RID:
Tiene varias funciones pero principalmente es el encargado de crear una nueva entidad de seguridad para el objeto creado mediante un ID único (SID). Este SID se compone de dominio de identificación y un identificador relativo (RID) que loidentifica dentro del dominio.

– Emulador de PDC:
Principalmente es el encargado de sincronizar la hora entre los DCs del dominio, sin embargo tiene otras funciones realmente importantes, como replicar los cambios de claves entre los DCs, bloqueos de cuentas, etc. Solo puede haber uno por dominio.

Con la llegada de 2008 como decíamos antes, aparecen los controladores de dominio de solo lectura (RODC). Microsoft, pensando en la seguridad que un DC requería debido a la información que posee, pensó en la necesidad de crear un DC en el que solo fuera posible leer y no tener la posibilidad de escribir o actualizar datos en los DC. Diseñado sobre todo para ser instalados en dominios remotos con pocos usuarios y cuya seguridad desde un punto de vista físico sea relativamente pobre.

Bueno, hasta aquí la primera parte dedicada al Directorio Activo. La semana que viene continuaremos adentrándonos un poco más, hablaremos de Sitios, replicaciones, planificación, arquitectura y comentaremos algunos comandos bastante útiles a la hora de gestionar el AD.

Hasta la semana que viene!!

Artículos relacionados

Acerca del autor

Deja tu comentario

Mostrar
Ocultar