trucos directorio activo[1]

Trucos, tcnicas y conceptos avanzados de Directorio ActivoAlejandro MezcuaResponsable tcnicoZaltor Soluciones InformticasMicrosoft MVP [email protected]

AgendaConceptosEl interior del Directorio ActivoManejo de LDAP. BsquedasScriptsExtensin de la consola de administracin MMCNuevas Utilidades Windows 2003Herramientas de diagnstico y monitorizacin

ConceptosDNSParticionesReplicacinFSMOCatlogo Global

ConceptosDNS (I)Base de toda la infraestructura del Directorio ActivoSe puede utilizar cualquier servidor de DNS para mantener la informacinCon servidores Windows se dispone de actualizaciones automticasCon servidores Windows se puede almacenar la informacin de zonas en el propio Directorio Activo y aprovechar la replicacin para propagar los cambios

ConceptosDNS (II)Los servicios se buscan realizando consultas de tipo SRV. Ej. Consulta para encontrar servidores de GCC:\Documents and Settings\administrator.ZALTORMOVIL>nslookupDefault Server: gandalf.zaltormovil.localAddress: 192.168.1.254

> set type=SRV> _gc._tcp.zaltormovil.localServer: gandalf.zaltormovil.localAddress: 192.168.1.254

_gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = gandalf.zaltormovil.local_gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = hades.zaltormovil.localgandalf.zaltormovil.local internet address = 192.168.1.254hades.zaltormovil.local internet address = 192.168.1.253>

ConceptosDNS (III)Ej. Consulta para localizar los controladores de dominio> _ldap._tcp.dc._msdcs.zaltormovil.local.Server: gandalf.zaltormovil.localAddress: 192.168.1.254

_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 389 svr hostname = hades.zaltormovil.local_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 389 svr hostname = gandalf.zaltormovil.localhades.zaltormovil.local internet address = 192.168.1.253gandalf.zaltormovil.local internet address = 192.168.1.254>

ConceptosParticiones (I)Particiones = AD Naming ContextsUn contexto es equivalente a una particinPermiten disponer de secciones del Directorio Activo independientes que se pueden replicar de manera individualPor omisin se cuenta con:Schema Naming ContextConfiguration Naming ContextDomain Naming ContextSe pueden generar nuevos contextos de nombresDenominados Application Naming Contexts o Application Directory PartitionsPermitirn la replicacin bajo reglas propias definidas (p.e. replicados slo a ciertos DCs)

ConceptosParticiones (II)Schema Naming ContextContiene la definicin de todas las definiciones de clases de todos los objetos y atributos del directorio activo.

Active Directory Schema MMC

ConceptosParticiones (III)Configuration Naming ContextMantiene informacin acerca de la configuracin de todo el Forest, incluyendo informacin acerca de los dominios, controladores de dominio, replicacin, subredes, etc.

Visible mediante ADSIEdit

ConceptosParticiones (IV)Domain Naming ContextContiene toda la informacin de los objetos definidos en el dominio. Estos objetos se replican exclusivamente a aquellos controladores (DCs) que forman parte del dominio.

Visible mediante ADSIEdit

Copia de los objetos entre DCs del directorio activoAD Desde el punto de vista de la replicacinDominiosEngloba, bajo un mismo contexto de nombres y de seguridad, N equipos (clientes servidores)SitesReflejan la estructura fsica de la red.SubredesUna vez definidas, los servidores, segn su direccin IP, se unirn automticamente a los sites adecuados (en el momento de la instalacin)

ConceptosReplicacin (I)

Entre DCs de un site la replicacin es automtica

Entre DCs de distintos sites hay que configurar conectores

Los conectores llevan asociados costes dependiendo de las posibles conexiones fsicasConceptosReplicacin (II)

ConceptosFSMO (I)Flexible Single Master of OperationsLa mayora de las tareas funcionan en modo Multiple Master (cualquier servidor)Ciertas tareas del directorio activo se dejan en manos de un solo servidorSe puede seleccionar a qu servidor asignar cada rol.Cinco roles FSMOEmulador de PDCRID MasterInfrastructure MasterDomain Naming MasterSchema Master

ConceptosFSMO (II)Emulador de PDCUno por dominioDa servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0Sincroniza tiempos y sincroniza la creacin de polticas de grupoDomain Master BrowserSe determina el servidor en:Active Directory Users and Computers (botn derecho dominio)Men Operations MastersTab PDC

ConceptosFSMO (III)RID Master (Relative ID Master)Uno por dominioEncargado de la asignacin de identificadores nicos (p.e. GUIDs)Se determina el servidor en:Active Directory Users and Computers (botn derecho dominio)Men Operations MastersTab RID

ConceptosFSMO (IV)Infrastructure MasterUno por dominioResponsable de la comprobacin de pertenencia a grupos universales en entornos multidominioResponsable de la actualizacin de referencias de objetos de su dominio a otros dominiosSe determina el servidor en:Active Directory Users and Computers (botn derecho dominio)Men Operations MastersTab Infrastructure

ConceptosFSMO (V)Domain Naming MasterUno por forestResponsable de que los nombres de dominio sean nicosControla el que se puedan aadir nuevos dominiosSe determina el servidor en:Active Directory Domains and Trusts (botn derecho en raz de la consola)Men Operations Master

ConceptosFSMO (VI)Schema MasterUno por forestControla cambios y actualizaciones del esquemaSe determina el servidor en:Registrar MMC de Active Directory SchemaC:\>regsvr32 schmmgmt.dllActive Directory Schema (botn derecho en raz de la consola)Men Operations Master

ConceptosFSMO (VII)Los cambios de rol se pueden realizar tambin con Ntdsutil.exe

Permite realizar mltiples operacionesOpcin Roles permite realizar cambios de rol de FSMO

ConceptosFSMO (VIII)Qu hacer en caso de fallo completo de un equipo que gestionaba un FSMO?

A travs de ntdsutil.exeOpcin Roles -> Seice : Rol

Permite pasar el rol a otro DCEl DC original no se debe volver a poner en la red

El interior del Directorio ActivoEsquemaDefinicin formal de todos los objetos Directorio Activo y sus atributosCada tipo de objeto (clase) deriva de una clase principal TopLas clases heredan de otras clases su definicin y comportamientoCada objeto dispone de atributos obligatorios y atributos opcionalesSmil con una tabla de BBDD RelacionalClase => Definicin en una fila de un objetoAtributos => Columnas que definen una clase

El interior del Directorio ActivoEsquema (II)Cada atributo a su vez puede verse como una coleccin de posibles valores

El Esquema se puede ver en la consola de Active Directory SchemaSe pueden ver/aadir/modificar clases y atributos por separado

El interior del Directorio ActivoNomenclatura de objetos (I)Cada objeto se designa por su DN (Distinguished Name)Este recorre la estructura del DA en forma de rbolCada objeto dispone de un RDN (Relative Distiguished Name) dentro de su mbito local (p.e. dentro de una OU)El DN de un objeto se compone de todos los RDN de l mismo y de todos sus contenedores

El interior del Directorio ActivoNomenclatura de objetos (II)Ej. De DN

Cn=alex,ou=usuariosdemo,dc=zaltormovil,dc=local

Common Name = alexOrganizational Unit = usuariosdemoDomain Component = zaltormovilDomain Component = local

El interior del Directorio ActivoNomenclatura de objetos (III)Cada objeto lleva asignado un GUID nico (asignado por RID)Objetos de tipo Security Principals (usuarios, grupos, equipos; objetos con acceso a recursos) adems disponen de SID

El nombre de un usuario o de un PC puede cambiar, pero su GUID no.

EL GUID se puede ver con ADSI EditAtributo: objectGUID

El interior del Directorio ActivoCatlogo Global (I)Dentro de un dominio, cada DC dispone de una copia completa de la base de datos

En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forestServidores de Catlogo Global

Para disminuir tamao slo se almacenan los valores de ciertos atributos

El interior del Directorio ActivoCatlogo Global (II)Cualquier DC puede tomar el rol de Catlogo Global

El servidor de GC se usa para facilitar consultas en entornos multidominio

Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site

El interior del Directorio ActivoCatlogo Global (III)En la consola (MMC) del esquema se puede indicar qu atributos se replican en el Catlogo Global

El interior del Directorio ActivoRootDSERootDSE es parte del estndar de LDAPv3.0Definido en RFC 2251

Define la raz de bsqueda en un servidor LDAP

Muestra, entre otras cosas, las particiones bsicas a las que se puede conectar un cliente

El interior del Directorio ActivoResolucin Ambigua de Nombres (I)Permite la bsqueda de un determinado valor en mltiples atributos simultneamente

Se pone a disposicin de los usuarios un interface de bsqueda de genteSe puede hacer una bsqueda en la casilla Nombre y se devolvern N resultados con diferentes coincidencias

El interior del Directorio ActivoResolucin Ambigua de Nombres (II)Por defecto las bsquedas se hacen sobresn (surname)givenNamephysicalDeliveryOfficeNamesAMAccountName (cuenta NT)

En el esquema se puede definir qu atributos estn incluidos en ANRA travs de la consola (MMC)Han de estar indexados

El interior del Directorio ActivoResolucin Ambigua de Nombres (III)Ejemplo:Si se quiere que la gente pueda realizar una bsqueda por telfono mvil del usuario, se indexa el atributo mobile y se incluye en el ANRUso de la consola de Schema de Directorio Activo

Manejo de LDAP. BsquedasLDP (I)Herramienta de soporte para realizar bsquedas LDAP

Vale para cualquier tipo de servidor LDAP, no slo para AD

Manejo de LDAP. BsquedasLDP (II)Pasos:Conexin con un servidor LDAPPor defecto devuelve RootDSEAntes de consultar hay que validarOpcin bind con usuario y contraseaBuscarDefinir el mbito de la bsqueda (Base DN)Uso de filtros con sintaxis LDAP (Sintaxis LDAP)Profundidad de la bsqueda (En el mbito dado)Resultados a devolver (Qu atributos extraer)

Manejo de LDAP. BsquedasLDP (III)Demo bsqueda sencillaLista de usuarios en una OU dadaObtener su GUID, SID y displayNameBase DN: OU=usuariosdemo,DC=zaltormovil,DC=localFilter: (objectClass=user)Options - > Attributes: objectGUID;objectSid;displayName

Manejo de LDAP. BsquedasLDP (IV)Ejemplo de bsqueda por SIDObtener los datos del usuario a travs de su SIDBase DN: Filter: (objectClass=user)Options - > Attributes: objectGUID;objectSid;displayName

Manejo de LDAP. BsquedasLDP (V)Ejemplo de bsqueda por GUIDObtener los datos del usuario a travs de su GUIDBase DN: Filter: (objectClass=user)Options - > Attributes: objectGUID;objectSid;displayName

Manejo de LDAP. BsquedasLDP (VI)Ejemplo de bsqueda compleja.Lista de todos los atributos que se replican al catlogo globalBase DN: cn=schema,cn=configuration,dc=zaltormovil,dc=localFilter: (&(objectCategory=attributeSchema)(isMemberOfPartialAttributeSet=TRUE))Scope: SubtreeOptions - > Attributes: lDAPDisplayName

Manejo de LDAP. BsquedasLDP (VII)Ejemplo de bsqueda de usuarios eliminados.Ventana de seguridad muestra usuario en forma de: Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112)Base DN: Filter: objectClass=*Scope: BaseOptions -> Attributes: objectGUID;objectSidOptions -> Search type -> ExtendedOptions -> TimeOut -> 120Options -> Controls -> Return Deleted Objects

ScriptsWindows pone a disposicin del sistema una librera que permite, entre otras cosas, acceder al Directorio Activo mediante cdigoADSI (Active Directory Services Interface)

La programacin se realiza en lenguajes de ScriptVBScriptJScript

Scripts Demo ScriptEj de uso de scripts para administracin de AD. Creacin de 100 usuarios (VBScript)Set objRootDSE = GetObject("LDAP://rootDSE") Set objContainer = GetObject("LDAP://ou=milusuarios," & _ objRootDSE.Get("defaultNamingContext")) For i = 1 To 100 Set objLeaf = objContainer.Create("User", "cn=UserNo" & i) objLeaf.Put "sAMAccountName", "UserNo" & i objLeaf.SetInfo Next WScript.Echo "100 Usuarios creados."

Scripts Technet Script CenterColeccin de scripts que sirven como base para realizar tareas de administracin muy elaboradas

Cientos de ejemplos agrupados por reas en TechNet Script Centerhttp://www.microsoft.com/technet/scriptcenter

Extensin de la consola MMCEl entorno de administracin MMC es extensiblePermite aadir nuevas funcionalidades

Por ejemplo MS Exchange aade nuevas pginas de propiedades a las propiedades de un usuario

Extensin de la consola MMC Display SpecifiersEn el esquema de DA existen objetos de tipo displaySpecifiersEn el apartado de configuracin

Determinan la localizacin o los idiomas en los que se mostrarn ciertos elementos de la consola de administracin409 - ingls

Extensin de la consola MMC Specifier: user-Display (I)Permite extender las propiedades de un usuario

Dependiendo de los valores de sus atributos mostrar unas cosas u otras

Atributo adminContextMenuPermite aadir una nueva opcin de men al men contextual de un usuario

Extensin de la consola MMC Specifier: user-Display (II)Ej. Nuevo menMen sencillo de ejemplo. Simplemente obtiene la informacin del objeto (path) y extrae su RDN

De esta forma se puede llamar a cualquier ejecutable que acepte parmetros por la lnea de comandos

Ms informacin en:http://msdn.microsoft.com/library/en-us/netdir/ad/extending_the_user_interface_for_directory_objects.asp?frame=true

Extensin de la consola MMC Specifier: user-Display (III)Ej. Nuevo menMen que obtiene el listado de grupos a los que pertenece un determinado usuario de manera recursiva.Se modifica la propiedad adminMenuObtiene grupos dentro de gruposScript: getUserGroups.hta

Extensin de la consola MMC Specifier: computer-DisplayEj. Nuevo menMen que obtiene la lista de software instalado en el equipo va WMISe modifica la propiedad adminMenuScript: getSoftInstalado.hta

Nuevas Utilidades Windows 2003 Group Policy Management SnapInMMC que permite gestionar las polticas de manera mucho ms sencilla

Interface muy intuitivo vlido para todo el forest

Dispone de informes de aplicacin de GPO

Permite aplicar GPOs por filtros de WMI (no slo por usuarios o grupos)

Nuevas Utilidades Windows 2003 ADAMADAM: Active Directory Application Mode

Versin de Directorio Activo independiente de la infraestructura de la red

Permite disponer de un Directorio Activo aislado y controlado til para aplicaciones independientesNo interfiere con AD de la redSincronizable con AD de la red mediante Microsoft Identity Integration Server

Nuevas Utilidades Windows 2003 Descarga de las utilidadesEstas utilidades y ms se pueden descargar en:http://www.microsoft.com/windowsserver2003/downloads/default.mspx

Herramientas de diagnstico y monitorizacinNetdiag.exeRealiza diversas comprobaciones de la red. til para trazar problemas de conectividad, DNS, LDAP, etc.

Herramientas de diagnstico y monitorizacinDcdiag.exeRealiza diversas comprobaciones de diagnstico del servidor como Controlador de Dominio

Herramientas de diagnstico y monitorizacinDsastat.exePermite determinar si la estructura de DA de N servidores es igual (para verificar que se ha realizado la replicacin correctamente)

Herramientas de diagnstico y monitorizacinReplMon.exeReplication Monitor. Mustra grficamente el estado de la replicacin entre servidores

Herramientas de diagnstico y monitorizacinRepadmin.exeUtilidad muy extensa que permite trabajar con cmo est establecida la configuracin de replicacin

ReferenciasWeb de Technet en Espaawww.microsoft.com/spain/TechNet/Zaltor Soluciones Informticaswww.zaltor.com

Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*Implantacin de Servicios de Exchange 2000*