¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Windows Server 2016
  3. Servicios de dominio de Active Directory
Extrait - Windows Server 2016 Las bases imprescindibles para administrar y configurar su servidor (2ª edición)
Extractos del libro
Windows Server 2016 Las bases imprescindibles para administrar y configurar su servidor (2ª edición) Volver a la página de compra del libro

Servicios de dominio de Active Directory

Presentación de los servicios de Active Directory

Active Directory es un directorio implementado en los sistemas operativos desde Windows 2000 Server. Desde esta primera versión del directorio, se han aportado muchas mejoras.

1. El bosque Active Directory

Un bosque es una colección de uno o varios dominios de Active Directory, el primero instalado se denomina dominio raíz. Su nombre DNS (por ejemplo: Formacion.local) se asignará también al bosque. En nuestro ejemplo, el bosque tendrá el nombre Formacion.local.

En un bosque, el conjunto de dominios utiliza la misma partición, configuración y esquema. El sistema de partición se detalla en la sección Las particiones de Active Directory. 

No se replica ningún dato (cuenta de usuario, equipo…) fuera del bosque, esto sirve por tanto como frontera de seguridad.

2. El dominio y la arborescencia de dominios

Una arborescencia de dominios es un conjunto de dominios que comparten un espacio de nombres contiguo. De este modo, en el ejemplo que se muestra a continuación podremos ver la arborescencia de dominios Formacion.local. Este último contiene un dominio hijo llamado Microsoft.Formacion.local. El nombre Formacion.local es idéntico a ambos dominios.

La relación de aprobación entre los dominios de una misma arborescencia es de tipo padre/hijo. Cuando se agrega un dominio hijo, se crea automáticamente una relación de aprobación de tipo bidireccional y transitiva.

Si el espacio de nombres es distinto, hablaremos entonces de una nueva arborescencia. Los dominios Formacion.local y Prod.local son dos arborescencias diferentes dentro del mismo bosque.

images/ch5fig0.png

El dominio representa un límite de seguridad donde se definen los usuarios.

Un dominio contiene, al menos, un controlador de dominio. Sin embargo, se recomienda tener dos para asegurar la autentificación en caso de mantenimiento o de caída de alguno de los servidores de directorio. Si no queda ningún servidor en línea, la autenticación no se podrá asegurar, lo que implicará una pérdida de producción para el conjunto de usuarios.

Un servidor con el rol de controlador de dominio tiene la responsabilidad de realizar la autentificación de las cuentas de usuario y de equipo.

3. La unidad organizativa

Una unidad organizativa (OU, Organizational...

Promoción de un controlador de dominio

Un controlador de dominio es un servidor cuya función principal es la autenticación de usuarios y equipos. Se encarga también de permitir el acceso a los recursos compartidos (bandejas de correo, carpetas compartidas, impresoras…).

1. Requisitos previos necesarios para promocionar un servidor

La promoción de un servidor a controlador de dominio tiene algunos requisitos previos. Si estos últimos no se respetan, la operación se detiene.

  • Sistema de archivos NTFS: los volúmenes y las particiones deben estar formateados con un sistema de archivos NTFS.

  • Nombre del equipo: se recomienda asignar un nombre con un máximo de 15 caracteres. Además, es preferible no utilizar caracteres especiales (#, é, è...), y se pueden utilizar números y letras mayúsculas y minúsculas sin riesgo alguno.

  • La interfaz de red: debe contar con una configuración IPv4/IPv6 correcta. Se recomienda utilizar una dirección estática y, si es necesario, realizar una exclusión en el DHCP.

  • Nombre de dominio: el nombre de dominio utilizado debe tener la forma de un nombre DNS (dominio.extensión). Es deseable utilizar extensiones que no se usen en Internet (como, por ejemplo, .msft...).

  • Servidor DNS: se necesita un servidor DNS para el funcionamiento de Active Directory. No obstante, si no existe ningún servidor DNS presente, es posible instalar uno durante la promoción del servidor. En caso contrario, verifique la configuración IP para utilizar el servidor DNS.

2. Instalación de un dominio nuevo en un bosque nuevo

Los servicios AD se consideran como roles y se muestran en la lista de roles.

 Inicie la máquina virtual AD1.

images/04RI02.png

Habiendo realizado la configuración previamente, basta con instalar Active Directory.

 En la consola Administrador del servidor, haga clic en Agregar roles y características.

images/04RI03.png

 Se ejecuta el asistente. Haga clic en Siguiente.

 En las ventanas Tipo de instalación y Selección de servidor, deje la opción por defecto y haga clic en Siguiente.

 Marque la opción Servicios de dominio de Active Directory para realizar la instalación. 

images/04RI04.png

 Haga clic en Agregar características en la ventana que se abre, con el objetivo de instalar las características necesarias para Active...

Reinicio del AD

Active Directory se apoya en una base de datos. Es, por tanto, necesario en algunos casos defragmentar esta base de datos, realizar una restauración tras un fallo o pérdida de datos, o cualquier otra operación de mantenimiento.

Para realizar todas estas manipulaciones es preciso tener acceso completo a la base de datos. En el uso cotidiano de Active Directory, el acceso está limitado a las funcionalidades ofrecidas por las distintas herramientas (Sitios y servicios de AD, Usuarios y equipos de AD...).

Desde Windows Server 2008, existe un nuevo servicio de Windows que permite detener el directorio AD con el objetivo de obtener un acceso completo a la base de datos.

1. Detener/iniciar los servicios de Active Directory con la consola MMC Services

Existen dos formas de detener o iniciar el servicio Active Directory: la primera, vista en este apartado, es la gestión del servicio desde la consola MMC Services.msc.

La detención de este servicio permite realizar un mantenimiento (defragmentación...) sobre la base de datos del rol AD DS.

 Haga clic con el botón derecho sobre el botón Inicio y, a continuación, haga clic en Ejecutar. La segunda se verá en el siguiente punto.

 Escriba en el campo services.msc.

images/04RI32.png

 Haga doble clic en Servicios de dominio de Active Directory y, a continuación, haga clic en Detener.

images/04RI33.png

 Es preciso detener también otros servicios. Haga clic...

Eliminar un controlador de dominio

Es posible convertir un controlador de dominio en un simple servidor miembro por motivos de cambio de servidor u otros.

La manipulación consiste en quitar el rol de controlador de dominio al servidor.

Eliminar un controlador de dominio de un dominio

El dominio Formacion.local está formado por un controlador de dominio de lectura/escritura y por un controlador de dominio de solo lectura. La operación consiste en eliminar el rol AD DS del RODC. Hablaremos, por tanto, de disminuir el nivel de servidor. 

 Abra una sesión en AD2 como administrador del dominio.

 Ejecute la consola Administrador del servidor.

 Haga clic en Administrar y, a continuación, en Quitar roles y funciones.

 Haga clic en Siguiente en la página de inicio del asistente.

 En la ventana Seleccionar servidor de destino, haga clic en Siguiente.

images/04RI39.png

 Desmarque el rol Servicios de dominio de Active Directory. Se eliminan también las funcionalidades. Aparece un mensaje de error. Haga clic en Disminuir el nivel de este controlador de dominio.

images/04RI40.png

 En la ventana de identificación, haga clic en Siguiente.

La cuenta que se utiliza para disminuir el nivel del servidor puede cambiarse mediante el botón Cambiar.... En el caso de un controlador de dominio aislado, es útil marcar la opción Forzar la eliminación de este controlador de dominio.

images/04RI41.png

 Marque la opción...

Clonación de un controlador de dominio virtualizado

La clonación de un controlador de dominio consiste en realizar una copia en un disco duro virtual (archivo VHD) de un controlador de dominio existente. Es necesario crear un archivo de configuración clon. El número de etapas y el tiempo necesario para el despliegue de un controlador de dominio se ven, así, reducidos mediante esta funcionalidad.

La clonación utiliza los siguientes criterios para detectar si se trata de una copia de otro controlador de dominio.

El archivo DCCloneConfig.xml está presente en una de las siguientes ubicaciones:

  • Carpeta donde reside ntds.dit (%windir%\NTDS).

  • La raíz del lector de medios extraíbles.

El controlador de dominio clonado utiliza el contexto de seguridad del servidor origen para comunicarse con el servidor que tiene el rol Emulador PDC. Este último debe ejecutar necesariamente Windows Server 2012 o versión superior.

Tras la verificación de que el servidor que realiza la operación está autorizado para efectuar la clonación, el emulador PDC crea una nueva identidad de equipo, una nueva cuenta y un nuevo SID, así como una contraseña que permita identificar a esta máquina como DC réplica. Una vez recibida la información, el servidor clonado prepara los archivos de base de datos para servir como réplica.

1. Los distintos componentes de la clonación

Se incluyen nuevas instrucciones PowerShell en el módulo Active Directory:

New-ADDCCloneConfigFile: permite ubicar el archivo DCCloneConfig.xml en el lugar correcto, etapa indispensable para iniciar la clonación. Se realizan controles previos para asegurar el correcto funcionamiento de la operación. La ejecución puede ser local sobre un controlador de dominio virtualizado en curso de clonación, o remota utilizando la opción offline.

Las verificaciones previas son las siguientes:

  • El controlador de dominio que se quiere preparar se autoriza para la clonación (se utiliza el grupo Controlador de dominio clonable).

  • El servidor con el rol de emulador PDC debe ejecutar Windows Server 2012 o versión superior.

  • Los programas o servicios enumerados para la ejecución del comando Get-ADDCCloningExcludedApplicationList están incluidos en el archivo CustomDCCloneAllowList.xml.

DCCloneConfig.xml: es necesario asegurar la presencia...

Administración de acceso con privilegios

Se trata de una nueva funcionalidad aportada al rol Active Directory Domain Services en Windows Server 2016, PAM (Privileged Access Management - Administración de acceso con privilegios), que permite administrar las cuentas llamadas "con privilegios".

En un dominio AD, ciertas tareas necesitan poseer permisos de administrador (Administrador de dominio, Administrador del esquema…). No es raro encontrar estos permisos asignados directamente a la cuenta del usuario.

Este tipo de autorización puede causar graves problemas de seguridad; los procesos y aplicaciones utilizan los permisos del usuario. De este modo, un malware o cualquier otro virus tendrá la posibilidad de desplegarse de manera mucho más sencilla en el conjunto de la red.

Esta nueva funcionalidad agregada a Windows Server 2016 ofrece al equipo IT la posibilidad de gestionar de manera más sencilla esta problemática de permisos. Por defecto, ninguna cuenta de usuario posee permisos de administrador.

Además, ofrece la posibilidad de realizar la petición de un permiso de administración (durante la creación de una cuenta, por ejemplo...). La aprobación podrá realizarse de manera manual o automática; a la persona que haya iniciado la solicitud se le atribuirá el permiso por un tiempo limitado.

Es interesante destacar que se implementará...

Actualización de un controlador de dominio 2012 R2

Active Directory es, a menudo, un punto central para el acceso a las aplicaciones y demás servicios implementados. De este modo, durante la actualización de los controladores de dominio, resulta importante validar ciertas tareas.

1. Auditar el estado de salud

La auditoría del estado de salud es uno de los puntos más importantes, pues nos va a permitir validar la actualización de los controladores de dominio. En efecto, no se recomienda realizar este tipo de operación si algún componente de Active Directory o la replicación sufren algún mal funcionamiento.

La primera etapa será validar el funcionamiento de las distintas aplicaciones utilizadas por el directorio con el nuevo sistema operativo.

Tomemos como ejemplo Exchange 2016: es necesario instalar la Rollup Update 5 o superior para obtener un buen funcionamiento en AD Windows Server 2016.

Un inventario de aplicaciones actualizado permite validar rápidamente esta etapa.

Una vez validada la etapa de compatibilidad, es preciso tener en cuenta el estado de salud de los controladores de dominio. Para ello, deben ejecutarse varios comandos:

  • Repadmin.

  • Gpotool.

  • W32tm.

  • Dcdiag.

Repadmin

Mediante este comando, es posible asegurar el buen funcionamiento de las replicaciones AD. Como hemos visto antes en este capítulo, en un dominio AD se operan dos tipos de replicación.

El siguiente comando permite obtener un archivo csv que nos va a permitir ver rápidamente el estado de las replicaciones.

Repadmin /showrepl * /csv > C:\reportReplicaciones.txt

Abra el archivo txt con Excel y, a continuación, seleccione en el asistente una separación utilizando la coma. El resultado...

Uso de Azure Active Directory

Esta sección del capítulo que aborda Active Directory presenta la parte Azure Active Directory. Para aquellos lectores que deseen implementar esta funcionalidad, es necesario crear una cuenta de demo en el portal de Azure y activar a continuación la versión de evaluación de Azure AD Premium.

La plataforma Azure ofrece numerosas funcionalidades, entre ellas la posibilidad de utilizar un directorio Active Directory. También permite gestionar las identidades para todas las actividades en la cloud (acceso a las aplicaciones SAAS...). Generalmente sincronizada con un directorio on-premises (presente en la red local de la empresa), ofrece a su vez la posibilidad de realizar la creación de cuentas de usuario y de grupo desde la interfaz. Hay tres ediciones disponibles:

  • Free (gratuita).

  • Básica.

  • Premium.

La versión Premium es la que ofrece más servicios.

Documentación de las distintas versiones:

https://azure.microsoft.com/es-es/documentation/articles/active-directory-editions/

1. Funcionalidades ofrecidas por Azure AD

Azure AD se utiliza en servicios en línea como Office 365 o Intune para la autorización del acceso al servicio. La funcionalidad de autenticación multifactor permite completar la gestión de las identidades. En efecto, es posible activar para ciertos usuarios la obligación de utilizar una autenticación de dos factores (autenticación multifactor).

Además de su combinación login/contraseña, una parte o el conjunto de usuarios deberán utilizar un segundo mecanismo de autenticación. Este último puede ser una aplicación instalada en un smartphone que proporciona un código. Este posee un tiempo de vida corto. También es posible recibir un SMS que contenga un código que habrá que introducir. La tercera solución consiste en validar la identidad mediante la recepción de una llamada telefónica y pulsando una tecla del teléfono.

La edición Premium ofrece un portal web que permiten implementar la delegación. De este modo, es posible permitir a los usuarios realizar cambios en la contraseña o crear grupos de usuarios.

Con Windows 10, una empresa puede integrar puestos directamente en el directorio Azure AD. En este caso, no es posible integrarlos en el dominio AD de la empresa....