REPASO DE ACTIVE DIRECTORY

Conceptos y términos

Estructura Lógica de Active Directory

AD se conforma de 2 partes muy importantes, una es la estructura lógica y otra que es la

estructura física y dentro de ellos hay ciertas áreas o componentes que definen como funciona

nuestra solución de AD.

ESTRUCTURA LOGICA

Tenemos componentes como

DOMINIO, es el contenedor básico o más simple dentro del AD, define una frontera

para todos los objetos que registramos dentro de él, un dominio es el directorio básico

que se crea dentro del AD, dentro del dominio vamos a crear las cuentas de usuarios,

los grupos, políticas de grupos, restringsiones, configuraciones, impresoras

compartidas, carpetas compartidas publicadas a través de AD, etc. Todos los objetos

que nosotros creamos en este dominio están delimitados por esta frontera, es decir yo

puedo tener múltiples dominios en mi organización a través de algunos otros

esquemas, pero los usuarios que están relacionados con el Dominio1, no pertenecen y

pueden aplicar o recibir las configuraciones que nosotros definimos en el dominio2,

eso quiere decir que un dominio define una frontera de replicación para los objetos

que se crean o pertenecen a este contenedor o componente de AD.

ARBOL, es cuando tenemos múltiples dominios que comparten o que tienen una

relación jerárquica pero que están compartiendo el mismo espacio de nombre de DNS,

es decir el Dominio principal o dominio1 podría llamarse EMPRESA.COM el dominio2

podría haberse definido para el departamento de ventas pero como pertenece al

mismo árbol, el nombre de este dominio debería de ser VENTAS.EMPRESA.COM y lo

mismo sucede para el dominio3 que es para el departamento de contabilidad, su

nombre debería de ser CONTABILIDAD.EMPRESA.COM es decir que este árbol está

compartiendo el mismo espacio de nombre de DNS o domino que es EMPRESA.COM

BOSQUE, está conformado por más de un árbol, cuando implemento AD por primera

vez en la organización se crea un solo dominio que pertenece a un árbol, es decir

aunque yo maneje un solo dominio dentro de mi empresa, ese único dominio reside

dentro de un bosque de AD, luego de haber creado mi primer dominio, yo puedo

empezar a crear múltiples arboles dentro de mi organización. La definición de árbol es

todos aquellos dominios que comparten una estructura jerárquica y que al mismo

tiempo comparten el espacio de nombre de DNS es decir que en un árbol el espacio de

nombres es EMPRESAS.COM y en otro árbol podríamos tener el espacio de nombres

MICROSOFT.COM, un bosque es la agrupación de múltiples arboles de Dominio

definidos lógicamente a través del AD

ESTRUCTURA FISICA

Este componente se obvia o no se le da bastante importancia en las mayorías de

implementaciones del AD, pues es algo que se auto configura cuando creo mi primer dominio,

esta autoconfiguración es básica y es indispensable que una vez que empiezo a crear mi

estructura lógica del AD, al mismo tiempo vaya diseñando o modificando mi estructura física

según la distribución de mis equipos. La estructura Física como su nombre lo indica esta

intrínsecamente relacionada con la ubicación geográfica de los equipos o de mis servidores,

dentro de la organización.

SITIOS, nosotros los definimos a través de la consola Site and Services y nos sirven para

decirles a los controladores de dominio, o a los servidores que administran nuestras

bases de datos de AD, como debe suceder la reaplicacion entre múltiples sitios, es

decir yo debo crea un sitio por cada ubicación geográfica donde tenemos un Domain

Controler, eso le sirve a nuestros controladores de dominios para saber cómo sucede

la replicación dentro de un DC a otro por si existen limitaciones en cuanto a tiempo

seguridad, tipo de registro o prioridad para actualizar los cambios entre los múltiples

controladores de dominio en la organización. Ejemplo un sitio en Guatemala y otro

Sitio en Costa Rica

LINKS, es necesario que defina el vínculo o relación que hay entre estos múltiples

sitios, dándole detalle como la característica de Ancho de Banda, el nivel de utilización

que se maneja en estos enlaces, la confiabilidad que tiene los enlaces para transmisión

de datos, así como los calendarios y los horarios y prioridades, en las que podemos

replicar, para trasmitir el tráfico de replicación entre los múltiples AD.

SUBNETS o las pequeñas redes por la definición del TCP/IP los segmentos que

utilizamos en cada uno de nuestros sitios.

Otros conceptos que debemos de tomar en cuenta dentro del AD, son las Unidades

Organizacionales, que son pequeños contenedores que residen dentro de cada sitio del Ad, y

que nos sirven para agrupar usuarios o copiar la estructura organizacional de mi empresa.

Las particiones de Ad, funcionan detrás del escenario, existen muchos procesos, componentes

y objetos que no vemos, estas particiones son de alta importancia para el funcionamiento del

Ad, por que definen el que, el cómo y que se puede hacer dentro de mi dominio.

HERRAMIENTAS DE SOPORTE Estas herramientas de soporte no vienen instaladas por default con el sistema operativo hay

que instalarla manualmente desde el menú inicio en la carpeta Windows support tools al

instalarse las herramientas de soporte tenemos acceso a una línea de comandos personalizada

que nos lleva directamente a la carpeta donde se instalaron directamente al comando DIR Y

podemos ver algunos o el listado de estas herramientas disponibles, también hay disponible

una herramienta de ayuda que tiene el listado o el índice de herramientas donde nos muestra

el listado de todas esas herramientas. En esta consola de ayuda nos muestra un listado en

orden alfabético basado en las tareas que necesitamos ejecutar.

Dos herramientas

Adsiedit. Msc

Replmon

En esa consola nos lleva a administrar las particiones del dominio del AD lo cual nos muestra

directamente estar conectados, y es administrado de las distintas particiones del AD

Partición de dominio

De esquema

Configuración

PARTICIÓN DE DOMINIO En estas se almacenan los objetos que pertenecías a ese dominio objetos de usuario, de grupo

políticas de grupo al expandir se encuentran múltiples contenedores el prefijo de estos

contenedores eje. OU unidad organizacional y acá dentro de cada una de estas se pueden ir

viendo las jerarquías de cada unidad organización de que se tiene definida dentro del AD.

En este caso se tiene una unidad organizacional alpine se tiene otras unidades anidadas y

dentro de estas esta la OU contractor, los usuarios son contenedores porque estos contiene

atributos o propiedades especificas ej. Daniela guaita y ese usuario tiene propios atributos

propios características atributos como nombre de usuarios, display name, primer apellido,

logon server, mail server etc. utilizando el filtro se muestran solamente los atributos que están

definidos.

PARTICION DE CONFIGURACION Es la que almacena y administra las reglas del juego para AD donde se replica y mantiene y

administra los registros de AD por ej. Un factor importante es el concepto de sitios que es

parte de la configuración de sitios acá tenemos también contenedores los cuales representan

los vínculos o links existen del AD y también un objeto de subnet los cuales tienen registradas

las los segmentos de direcciones IP los cuales se relacionan con cada una de las ubicaciones

geográficas o físicos.

PARTICIÓN DE ESQUEMA En esta se tiene la estructura de todas las tablas y propiedades de cada uno de los objetos del

AD acá no se guardan registros o propiedades solo se definen tablas y campos que llevan esas

tablas dentro de la base de datos del AD veamos por eje. El objeto usuario buscando el

contenedor usuario dentro del cual están todos los posibles atributos o valores que pueden ir

agregando o editando a una cuenta de tipo usuario dentro del AD de la misma forma podemos

definir seguridad para determinar que usuarios pueden acceder o que grupos pueden acceder

y administrar estos registros y modificar estos objetos en AD.

PROCESOS DE REPLICACION Y ADMINISTRACION Utilizando la herramienta de REPLMON el primer paso es darle un clic derecho y agregar el servidor que queremos monitorear en este caso yo quiero extraer datos o analizar cómo ha sido el comportamiento de replicación del domain controller con el nombre sid-dc1 el primer valor de importancias es el time stand o fecha en que se generó este reporte y que determina cual fue es el status de replicación a esta fecha acá lo que se ven son las diferentes particiones que administra el servidor SYD-DC1 tenemos la partición de dominio la partición de configuración y particiones de esquema y la partición de aplicación automáticamente estas dos son creadas y se utilizan para la replicación de los datos de las zonas de DNS integradas con AD. Vayamos a la partición de dominio y veamos que acá nos dice que el servidor SYD-DC1 actualmente replica la partición de dominio adatum.com con el servidor controlador de dominio SYD-DC2 en la ventana del lado derecho podemos ver el status de replicación cual ha sido el resultado de la replicación entre el servidor SYD-DC1 y SYD-DC2 por fecha y hora me va a decir acá la fecha y la hora el número de serie de actualización de este servidor y el status si fue exitoso o fallido de ese intento replicación si se dan cuenta tenemos múltiples instancias de replicación para estos servidores en diferentes horarios y en diferentes fechas en estas consolas va mucho más allá esta consola de replication monitor abarca o tiene un subset de herramientas que permiten por ejemplo buscar información de los errores que ha habido de replicación a lo largo de la vida funcional del AD a través de esta consola. Vamos a ver acá una ejecución de búsqueda oca lo único que necesitamos es ingresar el nombre de nuestro dominio fqln o de nuestro dominio AD el reporte ha sido completado con éxito y acá tenemos registros de fallas de replicación entre servidor SYD-DC1 y SYD-DC2 fallo la replicación de partición de dominio, configuración y de esquema acá el código de error y también una columna con descripción un poco más detallada de cual pudo haber sido la causa de la falla de replicación. Otras herramientas que tenemos acá por ejemplo es obtener información instantánea del funcionamiento o comportamiento del AD por ejemplo acá status de los objetos de las políticas de grupo de nuestro dominio o bien por ejemplo un listado de todas los servidores de que ejecutan las funciones de catálogo global en nuestra organización de AD vamos a utilizar otra de las herramientas muy útiles de replication monitor que es la

generación de un reporte de status vamos a almacenar este reporte en la carpeta de documentos y le vamos a poner un nombre cualquiera eje. Status presentamos una consola para definir qué tipo de detalles se quiere en ese reporte se ha finalizado el reporte y luego se va al contenedor de mis documentos para ver la bitácora que se acaba de crear y los detalles que hay se inicia con la fecha y hora en que se generó el reporte y también el nombre del servidor al que se ejecutó el reporte acá dice que el SYD-DC1 administra las particiones que ya conocemos la partición de dominio y configuración de esquema y dos particiones de aplicación que utilizamos replicar datos de las zonas de DNS integrados con de AD y de la misma forma me va da información sobre la conexión o de los objetos conectores de replicación así como el status detallado de los intentos de replicación con los partners o con los otros domain controlers la hora y fecha o bien si han habido fallas cuantas han existido y de ser posible también un código de error para esa falla. Ya Conocimos entonces una herramienta de replmon ya conocimos la herramienta de adsiedit que son herramientas que son muy importantes que debemos utilizar nosotros no solo en proceso de diagnóstico de fallas sino de forma proactiva es decir ejecutarlas regularmente en un calendario bimestral o trimestral en nuestra organización para poder predecir posibles fallas o malos funcionamientos de solución de AD. INTEGRACION DE EXCHANGE 2007 CON AD Como Exchange server 2007 utiliza active directory Estructura básicas que define el funcionamiento del AD BOSQUE se define un bosque funcional el cual se utiliza como sucedía en el 2003 solo se tenía una organización Exchange por cada forest funcional del AD pudiendo reutilizar mi organización de Exchange para dar correo a múltiples dominio de forest que residen dentro de mi forest pero no puedo montar dos organizaciones de Exchange dentro del mismo forest funcional de AD así que la relación es de uno a uno donde por cada forest podemos tener como máximo una organización de Exchange y de la misma manera una organización de Exchange solo le puede dar cobertura a un forest. ESQUEMA o partición de esquema de AD es acá donde se define la estructura básica de base de datos que tipos de objetos se pueden crear y los atributos de esos objetos y la relación que tiene Exchange server con partición de esquema AD es que acá dentro de esta partición Exchange server 2007 esta partición va a almacenar o definir nuevos atributos estos nuevos atributos son el definición mail box en que servidor de Exchange se almacena el buzón del usuario, restricción de envió tamaño, de seguridad y preferencias del usuario en cuanto a la solución de mensajería como su área de smtp o si maneja otra área o si le vamos acceso a otras area de mensajería como pop3 imax4 etc. CONFIGURACION Exchange server 20007 utiliza esta partición para almacenar la información así como lo hace AD para ver cómo está configurado a los niveles de seguridad de acceso para los servidores delegación de control para múltiples áreas de la organización o múltiples roles de organización de Exchange server 2007 y configuración de políticas y el manejo de los email address y las listas de dirección de correo todo eso lo almacena Exchange server 2007 dentro de la partición de configuración. DOMINIO Lo que Exchange server 2007 va almacenar son los buzones de los usuarios que cuentas usuarios que ya existen en la cuenta de dominio, ya tienen habilitado las características de

mensajería quienes tienen un buzón o quienes simplemente tiene habilitado para enviar correo, grupos de seguridad con dirección de correo grupos de distribución etc. Esto se almacena dentro de la partición de dominio. GLOBAL CATALOG Que es un índice rápido de los servicios u objetos del active directory, el global catalog guarda entonces un índice rápido de todos los objetos que se utilizan con mayor frecuencia como aquellos que se requieren utilizar y tienen que estar disponibles tanto para los servidores como para los usuarios o clientes, para que utiliza global cátalog Exchange server 2007 para ubicar por eje. Todos los usuarios que tienen correo habilitado de las listas de distribución y de la misma forma no solo los servidor de Exchange server 2007 requieren global catalog sino también los clientes de mensajería que utilizan Outlook o que utilizan Outlook Access requieren también tener acceso o poder contactar a los servidores de global catalog aunque una diferencia trascendental con versiones anteriores de la solución de mensajería es que Exchange server 2007 funciona como un proxy para esas conexiones de esas solicitudes que generan los usuarios hacia el servidor del global catalog es decir que ahora los usuarios o los clientes de Outlook ya no contactan con los servidores de global catalog de AD sino que contactan al servidor de Exchange server 2007 para que este en nombre de ellos haga la solicitud y devuelva la respuesta a los usuarios esto con el afán de mejorar los niveles de seguridad y prevenir o minimizar los accesos que no son indispensables a servicios fundamentales tanto en nuestra organización como los servicios de global catalog. ROLES DE EXCHANGE

ROL DE SERVIDOR CONCENTRADOR DE TRANSPORTE O hub transport su función principal es administrar todo el transporte de la mensajería dentro de la organización de Exchange server 2007.

ROL DE SERVIDOR DE BUZONES O mail box server este rol es el más parecido al de Exchange server 2003 que conocíamos este rol se va a encargar única y específicamente de administrar las bases de datos donde se almacenan los correos electrónicos de los usuarios y las carpetas públicas o la base de datos de carpetas públicas es decir el servidor de mail box es el único que tiene acceso a Los registros o a los correos electrónicos o la base de datos donde se almacena toda esa información de los usuarios que tienen correo o tiene buzón habilitado en la solución de mensajería. ROL DE SERVIDOR TRANSPORTE PERIMETRAL Este rol no es obligatorio en el servicio de mensajería este es uno de los roles más innovadores que ofrece el servicio de mensajería de Exchange server 2007, este rol de transporte perimetral se encarga de toda la seguridad de virus dentro de la organización de correo o bien todos los controles de higiene de mensajería o bien controles de antispam pero la principal diferencia comparado con las soluciones de Exchange server 2003 es que este rol debe estar completamente despegado del dominio AD es decir debe ser una maquina completamente estándar o que no pertenezca al dominio de AD porque es un dispositivo que es vulnerable o susceptible de ataques y generalmente se coloca al frente de la organización o al perímetro obviamente estamos hablando de la mdz o la red perimetral donde ubicamos los servidores públicos que dan la cara hacia internet esta rol de transporte perimetral no tiene contacto directo con los servicios internos de AD ni con los servicios de Exchange server 2007 únicamente puede contactar través de una suscripción especifica al servidor de hub transport y de allí tener acceso hacer el ruteo de los mensajes hacia dentro de la organización de Exchange server 2007 es decir es un

control adicional de seguridad es un nivel extra de seguridad que podemos implementar en nuestra organización a diferencia de los otros 4 roles concentrador de transporte, servidor de buzones, acceso de cliente, mensajería unificada, el rol transporte perimetral es el único que no puede ser instalado en el mismo hardware físico en el que exista cualquiera de los otros 4 roles concentrador de transporte, servidor de buzones, transporte perimetral, acceso de cliente, mensajería unificada, pueden ser instalados en el mismo hardware o el mismo servidor la única limitación seria los recursos de hardware sobre los cuales se va a instalar.

ROL DE SERVIDOR ACCESO AL CLIENTE Este rol se encarga de la conectividad de todos los usuarios de mensajería hacia el servidor de buzones porque es necesario un rol adicional esto para segmentar completamente la seguridad y poder aplicar múltiples servidores cubriendo este rol y garantizar alta disponibilidad o bien utilizar segmentación para seguridad y administración o delegación de administración a nivel de los múltiples roles, el rol entonces de acceso de cliente se encarga de otorgar o limitar el acceso de los clientes de mensajería hacia los servicios internos de Exchange server 2007 por eje. Un cliente de pop3 necesita acceder o conectar al servidor que tiene o que ejecuta el rol de acceso cliente para tener acceso al servidor de buzones de mensajes para poder ver o enviar un mensaje los cliente ya no contactan directamente al servidor de buzones sino que lo hacen contactan directamente al acceso de clientes la única excepción a esta regla son los cliente Outlook que utilizan por default el protocolo mapi recordemos que este es el protocolo propietario de Microsoft que se utiliza para la transmisión de envío de mensajes entre los cliente de Outlook y Exchange server 2003 es decir que los cliente que utilicen Outlook 2003,outlook xp y outlook 2007 si pueden contactar directamente con el servidor de mail box o al servidor de buzones y acceder a sus correos electrónicos pero una vez que estos usuarios requieran otro tipo de acceso como owa pop3 o pop4, imax4 o los servicios de active Exchange think requiere hacer la conexión a través de acceso clientes. ROL DE SERVIDOR MENSAJERIA UNIFICADA Este rol similar o de la misma forma que el rol de transporte perimetral no es obligatorio que lo instalemos ni tampoco es requerido para el funcionamiento de la organización de mensajería pero si le da una gama de características adicionales o nuevas características a nuestro organización de mensajería de que se encarga entonces el rol la mensajería unificada de ofrecer servicios de fax o de administración de fax y ofrecer a los clientes un punto único o central para tener acceso a su información ese punto central su seria su cliente de mensajería Outlook 2007 para tener acceso tanto a sus correo como servicios de fax y también mensajería de voz a través del rol de mensajería unificada podemos integrar nuestros servicios de correo electrónico con una planta que nosotros tengamos en la organización basada en ip que puede ser una planta ip-pbx y ofrecerle a nuestros usuarios la administración de su mensajería de voz a través de un cliente ya conocido como es el cliente de Outlook. MESSAGE ROUTING UTILIZA LOS SITIOS DE ACTIVE DIRECTORY Recordemos que en la plataforma de Exchange server 2003 si yo tenia una Como Exchange server accede a información del dominio