144 votos

¿Qué es el servicio de dominio de Active Directory y cómo funciona?

Esto es un Pregunta canónica sobre los Servicios de Dominio de Directorio Activo (AD DS).

¿Qué es el Directorio Activo? ¿Qué hace y cómo funciona?

¿Cómo está organizado el Directorio Activo? Bosque, Dominio Infantil, Árbol, Sitio, o OU


Me encuentro explicando algo de lo que asumo que es de conocimiento común sobre ello casi a diario. Esta pregunta servirá, con suerte, como una pregunta y respuesta canónica para la mayoría de las preguntas básicas del Directorio Activo. Si cree que puede mejorar la respuesta a esta pregunta, por favor, edítela.

20voto

MDMarra Puntos 81543

Nota: Esta respuesta se fusionó en esta pregunta a partir de una pregunta diferente que preguntaba sobre las diferencias entre bosques, dominios hijos, árboles, sitios y OUs. Esto no fue escrito originalmente como una respuesta a esta pregunta específica.


Bosque

Usted quiere crear un nuevo bosque cuando necesita un límite de seguridad. Por ejemplo, puede tener una red perimetral (DMZ) que desea gestionar con AD, pero no quiere que su AD interno esté disponible en la red perimetral por razones de seguridad. En este caso, querrá crear un nuevo bosque para esa zona de seguridad. También puede querer esta separación si tiene varias entidades que no confían unas en otras - por ejemplo una corporación Shell que engloba negocios individuales que operan de forma independiente. En este caso, querrá que cada entidad tenga su propio bosque.


Dominio del niño

De verdad, ya no los necesitas. Hay pocos ejemplos buenos de cuándo querrías un dominio hijo. Una razón heredada es debido a los diferentes requisitos de la política de contraseñas, pero esto ya no es válido, ya que hay políticas de contraseñas de grano fino disponibles desde Server 2008. Realmente sólo necesita un dominio hijo si tiene áreas con una conectividad de red increíblemente pobre y quiere reducir drásticamente el tráfico de replicación - un crucero con conectividad WAN por satélite es un buen ejemplo. En este caso, cada crucero puede ser su propio dominio hijo, para ser relativamente autónomo y a la vez poder aprovechar las ventajas de estar en el mismo bosque que otros dominios de la misma empresa.


Árbol

Esto es un bicho raro. Los árboles nuevos se utilizan cuando se desea mantener las ventajas de gestión de un único bosque pero tener un dominio en un nuevo espacio de nombres DNS. Por ejemplo corp.example.com puede ser root del bosque, pero podría tener ad.mdmarra.com en el mismo bosque utilizando un nuevo árbol. Aquí se aplican las mismas reglas y recomendaciones para los dominios hijos: utilícelos con moderación. Normalmente no son necesarios en los ADs modernos.


Sitio

Un sitio debe representar un límite físico o lógico en su red. Por ejemplo, las sucursales. Los sitios se utilizan para seleccionar de forma inteligente los socios de replicación para los controladores de dominio en diferentes áreas. Si no se definen los sitios, todos los DC se tratarán como si estuvieran en la misma ubicación física y se replicarán en una topología de malla. En la práctica, la mayoría de las organizaciones están configuradas en una lógica hub-and-spoke, por lo que los sitios y servicios deben ser configurados para reflejar esto.

Otras aplicaciones también utilizan Sitios y Servicios. DFS lo utiliza para la remisión de espacios de nombres y la selección de socios de replicación. Exchange y Outlook lo utilizan para encontrar el catálogo global "más cercano" para consultar. Sus equipos unidos a un dominio lo utilizan para localizar el(los) DC(s) "más cercano(s)" para autenticarse. Sin esto, su tráfico de replicación y autenticación es como el salvaje oeste.


Unidad organizativa

Estos deben ser creados de una manera que refleje la necesidad de su organización para la delegación de permisos y la aplicación de políticas de grupo. Muchas organizaciones tienen una OU por sitio, porque aplican GPO de esa manera - esto es una tontería, porque también se puede aplicar GPO a un sitio desde Sitios y Servicios. Otras organizaciones separan las OUs por departamento o función. Esto tiene sentido para muchas personas, pero realmente el diseño de las OUs debe satisfacer sus necesidades y es bastante flexible. No hay una "única manera" de hacerlo.

Una empresa multinacional puede tener OUs de alto nivel de North America , Europe , Asia , South America , Africa para que puedan delegar privilegios administrativos en función del continente. Otras organizaciones pueden tener OUs de nivel superior de Human Resources , Accounting , Sales etc., si eso tiene más sentido para ellos. Otras organizaciones tienen necesidades políticas mínimas y utilizan un diseño "plano" con sólo Employee Users y Employee Computers . Realmente no hay una respuesta correcta en este caso, es lo que se ajusta a las necesidades de su empresa.

1voto

MDMarra Puntos 81543

¿Qué es Active Directory?

Active Directory Domain Services es el servidor de directorios de Microsoft. Proporciona mecanismos de autenticación y autorización, así como un marco en el que pueden desplegarse otros servicios relacionados (servicios de certificados AD, servicios federados AD, etc.). Es un LDAP base de datos que contiene objetos. Los objetos más utilizados son los usuarios, los ordenadores y los grupos. Estos objetos pueden organizarse en unidades organizativas (OU) por cualquier número de necesidades lógicas o empresariales. Objetos de política de grupo (GPO) pueden vincularse a OUs para centralizar la configuración de varios usuarios u ordenadores en una organización.

Cuando la gente dice "Active Directory" normalmente se refiere a los "Servicios de dominio de Active Directory". Es importante tener en cuenta que existen otros roles/productos de Active Directory como los Servicios de Certificados, Servicios de Federación, Servicios de Directorio Ligero, Servicios de Gestión de Derechos, etc. Esta respuesta se refiere específicamente a los Servicios de Dominio de Active Directory.

¿Qué es un dominio y qué es un bosque?

Un bosque es un límite de seguridad. Los objetos en bosques separados no pueden interactuar entre sí, a menos que los administradores de cada bosque separado creen un confía en entre ellos. Por ejemplo, una cuenta de administrador de empresa para domain1.com que normalmente es la cuenta más privilegiada de un bosque, no tendrá ningún permiso en un segundo bosque llamado domain2.com Incluso si esos bosques existen dentro de la misma LAN, a menos que exista un fideicomiso.

Si tiene varias unidades de negocio disjuntas o necesita límites de seguridad separados, necesita varios bosques.

Un dominio es un límite de gestión. Los dominios forman parte de un bosque. El primer dominio de un bosque se conoce como dominio root del bosque. En muchas organizaciones pequeñas y medianas (e incluso en algunas grandes), sólo encontrará un único dominio en un único bosque. El dominio root del bosque define el espacio de nombres por defecto para el bosque. Por ejemplo, si el primer dominio de un nuevo bosque se llama domain1.com entonces ese es el dominio root del bosque. Si tiene una necesidad empresarial de un dominio hijo, por ejemplo, una sucursal en Chicago, podría nombrar el dominio hijo chi . El FQDN del dominio infantil sería chi.domain1.com . Puede ver que al nombre del dominio hijo se le ha añadido el nombre del dominio root del bosque. Así es como funciona normalmente. Puedes tener espacios de nombres disjuntos en el mismo bosque, pero eso es una lata de gusanos completamente separada para otro momento.

En la mayoría de los casos, querrás intentar hacer todo lo posible para tener un único dominio AD. Simplifica la gestión, y las versiones modernas de AD hacen que sea muy fácil delegar el control basado en la OU, lo que disminuye la necesidad de dominios secundarios.

Puedo llamar a mi dominio como quiera, ¿verdad?

La verdad es que no. dcpromo.exe La herramienta que gestiona la promoción de un servidor a un DC no es a prueba de idiotas. Te permite tomar malas decisiones con tu nomenclatura, así que presta atención a esta sección si no estás seguro. (Editar: dcpromo está obsoleto en Server 2012. Utilice el Install-ADDSForest PowerShell cmdlet o instalar AD DS desde Server Manager).

En primer lugar, no utilice TLDs inventados como .local, .lan, .corp, o cualquier otra basura. Esos TLDs son no reservado. ICANN está vendiendo TLDs ahora, así que su mycompany.corp que estás usando hoy podría pertenecer a alguien mañana. Si usted es dueño de mycompany.com entonces lo más inteligente es utilizar algo como internal.mycompany.com o ad.mycompany.com para su nombre interno de AD. Si utiliza mycompany.com como un sitio web que se puede resolver externamente, debe evitar utilizarlo también como su nombre interno de AD, ya que terminará con un DNS de cerebro dividido.

Controladores de dominio y catálogos globales

Un servidor que responde a las solicitudes de autenticación o autorización es un controlador de dominio (DC). En la mayoría de los casos, un Controlador de Dominio tendrá una copia del Catálogo global . Un catálogo global (GC) es un conjunto parcial de objetos en todo dominios en un bosque. Se puede buscar directamente, lo que significa que normalmente se pueden realizar consultas entre dominios en un GC sin necesidad de remitirse a un DC en el dominio de destino. Si un DC es consultado en el puerto 3268 (3269 si se usa SSL), entonces el GC está siendo consultado. Si se consulta el puerto 389 (636 si se utiliza SSL), se está utilizando una consulta LDAP estándar y los objetos existentes en otros dominios pueden requerir una referencia .

Cuando un usuario intenta iniciar sesión en un ordenador unido a AD utilizando sus credenciales de AD, la combinación de nombre de usuario y contraseña con sal y hash se envía al DC tanto para la cuenta de usuario como para la cuenta del ordenador que inicia la sesión. Sí, el ordenador también inicia la sesión. Esto es importante, porque si algo le ocurre a la cuenta del ordenador en AD, como que alguien restablezca la cuenta o la elimine, puede aparecer un error que diga que no existe una relación de confianza entre el ordenador y el dominio. Aunque sus credenciales de red estén bien, el ordenador ya no es de confianza para iniciar sesión en el dominio.

Problemas de disponibilidad del controlador de dominio

Escucho "Tengo un controlador de dominio primario (PDC) y quiero instalar un controlador de dominio de respaldo (BDC)" con mucha más frecuencia de lo que me gustaría creer. El concepto de PDC y BDC murió con Windows NT4. El último bastión para los PDCs fue en un AD de modo mixto de transición de Windows 2000 cuando todavía tenías DCs de NT4 alrededor. Básicamente, a menos que estés dando soporte a una instalación de más de 15 años de más de 15 años que nunca se ha actualizado, realmente no tienes un PDC o un BDC, sólo tienes dos controladores de dominio.

Varios DCs son capaces de responder a las solicitudes de autenticación de diferentes usuarios y ordenadores simultáneamente. Si uno falla, los demás seguirán ofreciendo servicios de autenticación sin tener que hacer uno "primario" como en los días de NT4. La mejor práctica es tener al menos dos DCs por dominio. Estos DCs deben tener una copia del GC y deben ser servidores DNS que tengan una copia de las zonas DNS integradas de Active Directory para su dominio.

Funciones de la FSMO

"Entonces, si no hay CDP, ¿por qué hay una función de CDP que sólo puede tener un único CD?"

Oigo esto a menudo. Hay una Emulador PDC papel. Es diferente a ser un CDP. De hecho, hay 5 Roles flexibles de operaciones maestras (FSMO) . También se denominan roles de Maestro de Operaciones. Ambos términos son intercambiables. ¿Qué son y qué hacen? Buena pregunta. Los 5 roles y su función son:

Maestro del nombre del dominio - Sólo hay un Maestro de Nombres de Dominio por bosque. El Maestro de Nombres de Dominio se asegura de que cuando se añade un nuevo dominio a un bosque éste sea único. Si el servidor que desempeña esta función está desconectado, no podrá realizar cambios en el espacio de nombres de AD, lo que incluye cosas como añadir nuevos dominios secundarios.

Maestro del esquema - Sólo hay un Maestro de Operaciones de Esquema en un bosque. Es responsable de actualizar el esquema de Active Directory. Las tareas que requieren esto, como la preparación de AD para una nueva versión de Windows Server que funciona como DC o la instalación de Exchange, requieren modificaciones del esquema. Estas modificaciones deben realizarse desde el Maestro de Esquemas.

Maestro de Infraestructura - Hay un Maestro de Infraestructura por dominio. Si sólo tiene un único dominio en su bosque, no necesita preocuparse por ello. Si tiene varios bosques, debe asegurarse de que este rol no está en manos de un servidor que también es titular de una GC, a menos que todos los DC del bosque sean titulares de una GC . El maestro de la infraestructura es responsable de asegurarse de que las referencias entre dominios se manejen correctamente. Si un usuario de un dominio se añade a un grupo de otro dominio, el maestro de infraestructura de los dominios en cuestión se asegurará de que se gestione correctamente. Este rol no funcionará correctamente si está en un catálogo global.

RID Master - El maestro de IDs relativos (maestro de RIDs) es responsable de emitir grupos de RIDs a los DCs. Hay un maestro de RID por dominio. Cualquier objeto en un dominio de AD tiene un único Identificador de seguridad (SID) . Está formado por una combinación del identificador de dominio y un identificador relativo. Todos los objetos de un dominio determinado tienen el mismo identificador de dominio, por lo que el identificador relativo es lo que hace que los objetos sean únicos. Cada DC tiene un conjunto de identificadores relativos para utilizar, por lo que cuando ese DC crea un nuevo objeto, añade un RID que aún no ha utilizado. Dado que los DCs reciben pools que no se solapan, cada RID debería ser único durante toda la vida del dominio. Cuando a un DC le quedan ~100 RIDs en su pool, solicita un nuevo pool al maestro de RIDs. Si el maestro de RID está fuera de línea durante un periodo de tiempo prolongado, la creación de objetos puede fallar.

Emulador PDC - Por último, llegamos a la función más incomprendida de todas, la de emulador de CDP. Hay un emulador de CDP por dominio. Si hay un intento de autenticación fallido, se reenvía al emulador de CDP. El emulador de CDP funciona como "desempate" si una contraseña se ha actualizado en un CD y aún no se ha replicado a los demás. El Emulador PDC es también el servidor que controla la sincronización de la hora en todo el dominio. Todos los demás DCs sincronizan su hora desde el Emulador PDC. Todos los clientes sincronizan su hora desde el DC en el que han iniciado la sesión. Es importante que todo se mantenga dentro de los 5 minutos de diferencia, de lo contrario Kerberos se rompe y cuando eso sucede, todo el mundo llora.

Lo importante es recordar que los servidores en los que se ejecutan estas funciones no están grabados en piedra. Normalmente es trivial mover estos roles, así que mientras algunos DCs hacen un poco más que otros, si se caen por periodos cortos de tiempo, todo funcionará normalmente. Si están fuera de servicio durante mucho tiempo, es fácil transferir los roles de forma transparente. Es mucho más agradable que los días de NT4 PDC/BDC, así que por favor deja de llamar a tus DCs por esos viejos nombres :)

Así que... ¿cómo comparten la información los DCs si pueden funcionar independientemente unos de otros?

Replicación, por supuesto . Por defecto, los DCs pertenecientes al mismo dominio en el mismo sitio replicarán sus datos entre sí a intervalos de 15 segundos. Esto asegura que todo esté relativamente actualizado.

Hay algunos eventos "urgentes" que desencadenan la replicación inmediata. Estos eventos son: Una cuenta se bloquea por demasiados inicios de sesión fallidos, se realiza un cambio en la contraseña del dominio o en las políticas de bloqueo, se cambia el secreto de LSA, se cambia la contraseña de la cuenta de equipo de un DC, o se transfiere el rol de RID Master a un nuevo DC. Cualquiera de estos eventos desencadenará un evento de replicación inmediato.

Los cambios de contraseña se sitúan entre los urgentes y los no urgentes y se gestionan de forma única. Si la contraseña de un usuario se cambia en DC01 y un usuario intenta iniciar sesión en un ordenador que se está autenticando contra DC02 antes de que se produzca la replicación, es de esperar que esto falle, ¿no? Afortunadamente eso no ocurre. Supongamos que también hay un tercer DC aquí llamado DC03 que tiene el rol de Emulador PDC. Cuando DC01 se actualiza con la nueva contraseña del usuario, ese cambio se replica inmediatamente en DC03 también. Cuando el intento de autenticación en DC02 no lo hace, DC02 luego reenvía ese intento de autenticación a DC03 que verifica que, efectivamente, es bueno, y el inicio de sesión está permitido.

Hablemos del DNS

El DNS es fundamental para el buen funcionamiento del AD. La línea oficial de Microsoft es que se puede utilizar cualquier servidor DNS si se configura correctamente. Si intentas usar BIND para alojar tus zonas AD, estás drogado. En serio. Limítate a usar zonas DNS integradas en AD y utiliza reenviadores condicionales o globales para otras zonas si es necesario. Todos tus clientes deberían estar configurados para usar tus servidores DNS de AD, así que es importante tener redundancia aquí. Si tiene dos DC, haga que ambos ejecuten DNS y configure sus clientes para que utilicen ambos para la resolución de nombres.

Además, vas a querer asegurarte de que si tienes más de un DC, que no se liste primero para la resolución de DNS. Esto puede conducir a una situación en la que están en un "isla de replicación" donde se desconectan del resto de la topología de replicación de AD y no pueden recuperarse. Si tiene dos servidores DC01 - 10.1.1.1 y DC02 - 10.1.1.2 entonces su lista de servidores DNS debería estar configurada así:

Servidor: DC01 (10.1.1.1)
DNS primario - 10.1.1.2
DNS secundario - 127.0.0.1

Servidor: DC02 (10.1.1.2)
DNS primario - 10.1.1.1
DNS secundario - 127.0.0.1

Vale, esto parece complicado. ¿Por qué quiero usar AD?

Porque una vez que sabes lo que haces, tu vida es infinitamente mejor. AD permite la centralización de la gestión de usuarios y ordenadores, así como la centralización del acceso y uso de recursos. Imagina una situación en la que tienes 50 usuarios en una oficina. Si quisieras que cada usuario tuviera su propio acceso a cada ordenador, tendrías que configurar 50 cuentas de usuario locales en cada PC. Con AD, sólo tienes que hacer la cuenta de usuario una vez y puede iniciar sesión en cualquier PC del dominio por defecto. Si quisieras reforzar la seguridad, tendrías que hacerlo 50 veces. Una especie de pesadilla, ¿no? Imagina también que tienes un archivo compartido al que sólo quieres que accedan la mitad de esas personas. Si no usas AD, tendrías que replicar sus nombres de usuario y contraseñas a mano en el servidor para darles acceso sin problemas, o tendrías que hacer una cuenta compartida y dar a cada usuario el nombre de usuario y la contraseña. Una de las formas implica conocer (y tener que actualizar constantemente) las contraseñas de los usuarios. La otra forma significa que no tienes una pista de auditoría. No es bueno, ¿verdad?

También tiene la posibilidad de utilizar la Política de Grupo cuando tiene configurado AD. La Política de Grupo es un conjunto de objetos que están vinculados a las OUs que definen la configuración de los usuarios y/o equipos en esas OUs. Por ejemplo, si quieres que "Apagar" no aparezca en el menú de inicio de 500 ordenadores de laboratorio, puedes hacerlo con una sola configuración en la directiva de grupo. En lugar de pasar horas o días configurando las entradas de registro adecuadas a mano, creas un objeto de directiva de grupo una vez, lo vinculas a la OU o las OU correctas y no tienes que volver a pensar en ello. Hay cientos de GPOs que pueden ser configurados, y la flexibilidad de la Política de Grupo es una de las principales razones por las que Microsoft es tan dominante en el mercado empresarial.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: