Your SlideShare is downloading. ×
Trucos directorio activo[1]
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Trucos directorio activo[1]

914
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
914
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Trucos, técnicas yconceptos avanzadosde Directorio Activo Alejandro Mezcua Responsable técnico Zaltor Soluciones Informáticas Microsoft MVP .NET amezcua@zaltor.com
  • 2. Agenda Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y monitorización
  • 3. Agenda Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y monitorización
  • 4. Conceptos DNS Particiones Replicación FSMO Catálogo Global
  • 5. ConceptosDNS (I) Base de toda la infraestructura del Directorio Activo Se puede utilizar cualquier servidor de DNS para mantener la información Con servidores Windows se dispone de actualizaciones automáticas Con servidores Windows se puede almacenar la información de zonas en el propio Directorio Activo y aprovechar la replicación para propagar los cambios
  • 6. ConceptosDNS (II) Los servicios se buscan realizando consultas de tipo SRV. Ej. Consulta para encontrar servidores de GC C:Documents and Settingsadministrator.ZALTORMOVIL>nslookup Default Server: gandalf.zaltormovil.local Address: 192.168.1.254 > set type=SRV > _gc._tcp.zaltormovil.local Server: gandalf.zaltormovil.local Address: 192.168.1.254 _gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = gandalf.zaltormovil.local _gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = hades.zaltormovil.local gandalf.zaltormovil.local internet address = 192.168.1.254 hades.zaltormovil.local internet address = 192.168.1.253 >
  • 7. ConceptosDNS (III) Ej. Consulta para localizar los controladores de dominio > _ldap._tcp.dc._msdcs.zaltormovil.local. Server: gandalf.zaltormovil.local Address: 192.168.1.254 _ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 389 svr hostname = hades.zaltormovil.local _ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 389 svr hostname = gandalf.zaltormovil.local hades.zaltormovil.local internet address = 192.168.1.253 gandalf.zaltormovil.local internet address = 192.168.1.254 >
  • 8. ConceptosParticiones (I) Particiones = AD Naming Contexts  Un ‘contexto’ es equivalente a una partición Permiten disponer de ‘secciones’ del Directorio Activo independientes que se pueden replicar de manera individual Por omisión se cuenta con:  Schema Naming Context  Configuration Naming Context  Domain Naming Context Se pueden generar nuevos contextos de nombres  Denominados Application Naming Contexts o Application Directory Partitions  Permitirán la replicación bajo reglas propias definidas (p.e. replicados sólo a ciertos DCs)
  • 9. ConceptosParticiones (II) Schema Naming Context  Contiene la definición de todas las definiciones de clases de todos los objetos y atributos del directorio activo.  Active Directory Schema MMC
  • 10. ConceptosParticiones (III) Configuration Naming Context  Mantiene información acerca de la configuración de todo el Forest, incluyendo información acerca de los dominios, controladores de dominio, replicación, subredes, etc.  Visible mediante ADSIEdit
  • 11. ConceptosParticiones (IV) Domain Naming Context  Contiene toda la información de los objetos definidos en el dominio. Estos objetos se replican exclusivamente a aquellos controladores (DCs) que forman parte del dominio.  Visible mediante ADSIEdit
  • 12. ConceptosReplicación (I) Copia de los objetos entre DCs del directorio activo AD Desde el punto de vista de la replicación  Dominios  Engloba, bajo un mismo contexto de nombres y de seguridad, N equipos (clientes servidores)  Sites  Reflejan la estructura física de la red.  Subredes  Una vez definidas, los servidores, según su dirección IP, se unirán automáticamente a los sites adecuados (en el momento de la instalación)
  • 13. ConceptosReplicación (II) Entre DCs de un site la replicación es ‘automática’ Entre DCs de distintos sites hay que configurar conectores Los conectores llevan asociados ‘costes’ dependiendo de las posibles conexiones físicas
  • 14. ConceptosFSMO (I) Flexible Single Master of Operations  La mayoría de las tareas funcionan en modo Multiple Master (cualquier servidor)  Ciertas tareas del directorio activo se dejan en manos de un solo servidor  Se puede seleccionar a qué servidor asignar cada rol. Cinco roles FSMO  Emulador de PDC  RID Master  Infrastructure Master  Domain Naming Master  Schema Master
  • 15. ConceptosFSMO (II) Emulador de PDC  Uno por dominio  Da servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0  Sincroniza tiempos y sincroniza la creación de políticas de grupo  Domain Master Browser  Se determina el servidor en:  Active Directory Users and Computers (botón derecho dominio)  Menú Operations Masters  Tab PDC
  • 16. ConceptosFSMO (III) RID Master (Relative ID Master)  Uno por dominio  Encargado de la asignación de identificadores únicos (p.e. GUIDs)  Se determina el servidor en:  Active Directory Users and Computers (botón derecho dominio)  Menú Operations Masters  Tab RID
  • 17. ConceptosFSMO (IV) Infrastructure Master  Uno por dominio  Responsable de la comprobación de pertenencia a grupos universales en entornos multidominio  Responsable de la actualización de referencias de objetos de su dominio a otros dominios  Se determina el servidor en:  Active Directory Users and Computers (botón derecho dominio)  Menú Operations Masters  Tab Infrastructure
  • 18. ConceptosFSMO (V) Domain Naming Master  Uno por forest  Responsable de que los nombres de dominio sean únicos  Controla el que se puedan añadir nuevos dominios  Se determina el servidor en:  Active Directory Domains and Trusts (botón derecho en raíz de la consola)  Menú Operations Master
  • 19. ConceptosFSMO (VI) Schema Master  Uno por forest  Controla cambios y actualizaciones del esquema  Se determina el servidor en:  Registrar MMC de Active Directory Schema  C:>regsvr32 schmmgmt.dll  Active Directory Schema (botón derecho en raíz de la consola)  Menú Operations Master
  • 20. ConceptosFSMO (VII) Los cambios de rol se pueden realizar también con Ntdsutil.exe Permite realizar múltiples operaciones  Opción Roles permite realizar cambios de rol de FSMO
  • 21. ConceptosFSMO (VIII) ¿Qué hacer en caso de fallo completo de un equipo que gestionaba un FSMO?  A través de ntdsutil.exe  Opción Roles -> Seice : Rol  Permite pasar el rol a otro DC  El DC original no se debe volver a poner en la red
  • 22. Agenda Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y monitorización
  • 23. El interior del Directorio ActivoEsquema Definición formal de todos los objetos Directorio Activo y sus atributos Cada tipo de objeto (clase) deriva de una clase principal Top  Las clases heredan de otras clases su definición y comportamiento Cada objeto dispone de atributos obligatorios y atributos opcionales Símil con una tabla de BBDD Relacional  Clase => Definición en una fila de un objeto  Atributos => Columnas que definen una clase
  • 24. El interior del Directorio ActivoEsquema (II) Cada atributo a su vez puede verse como una colección de posibles valores El Esquema se puede ver en la consola de Active Directory Schema  Se pueden ver/añadir/modificar clases y atributos por separado
  • 25. El interior del Directorio ActivoNomenclatura de objetos (I) Cada objeto se designa por su DN (Distinguished Name)  Este recorre la estructura del DA en forma de árbol Cada objeto dispone de un RDN (Relative Distiguished Name) dentro de su ámbito local (p.e. dentro de una OU) El DN de un objeto se compone de todos los RDN de él mismo y de todos sus contenedores
  • 26. El interior del Directorio ActivoNomenclatura de objetos (II) Ej. De DN  Cn=alex,ou=usuariosdemo,dc=zaltormovil,dc=local 1. Common Name = alex 2. Organizational Unit = usuariosdemo 3. Domain Component = zaltormovil 4. Domain Component = local
  • 27. El interior del Directorio ActivoNomenclatura de objetos (III) Cada objeto lleva asignado un GUID único (asignado por RID)  Objetos de tipo Security Principals (usuarios, grupos, equipos; objetos con acceso a recursos) además disponen de SID El nombre de un usuario o de un PC puede cambiar, pero su GUID no. EL GUID se puede ver con ADSI Edit  Atributo: objectGUID
  • 28. El interior del Directorio ActivoCatálogo Global (I) Dentro de un dominio, cada DC dispone de una copia completa de la base de datos En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest  Servidores de Catálogo Global Para disminuir tamaño sólo se almacenan los valores de ciertos atributos
  • 29. El interior del Directorio ActivoCatálogo Global (II) Cualquier DC puede tomar el rol de Catálogo Global El servidor de GC se usa para facilitar consultas en entornos multidominio Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site
  • 30. El interior del Directorio ActivoCatálogo Global (III) En la consola (MMC) del esquema se puede indicar qué atributos se replican en el Catálogo Global
  • 31. El interior del Directorio ActivoRootDSE RootDSE es parte del estándar de LDAPv3.0  Definido en RFC 2251 Define la raíz de búsqueda en un servidor LDAP Muestra, entre otras cosas, las particiones básicas a las que se puede conectar un cliente
  • 32. El interior del Directorio ActivoResolución Ambigua de Nombres (I) Permite la búsqueda de un determinado valor en múltiples atributos simultáneamente Se pone a disposición de los usuarios un interface de búsqueda de gente  Se puede hacer una búsqueda en la casilla Nombre y se devolverán N resultados con diferentes coincidencias
  • 33. El interior del Directorio ActivoResolución Ambigua de Nombres (II) Por defecto las búsquedas se hacen sobre  sn (surname)  givenName  physicalDeliveryOfficeName  sAMAccountName (cuenta NT) En el esquema se puede definir qué atributos están incluidos en ANR  A través de la consola (MMC)  Han de estar indexados
  • 34. El interior del Directorio ActivoResolución Ambigua de Nombres (III) Ejemplo:  Si se quiere que la gente pueda realizar una búsqueda por teléfono móvil del usuario, se indexa el atributo ‘mobile’ y se incluye en el ANR  Uso de la consola de Schema de Directorio Activo
  • 35. Agenda Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y monitorización
  • 36. Manejo de LDAP. BúsquedasLDP (I) Herramienta de soporte para realizar búsquedas LDAP Vale para cualquier tipo de servidor LDAP, no sólo para AD
  • 37. Manejo de LDAP. BúsquedasLDP (II) Pasos:  Conexión con un servidor LDAP  Por defecto devuelve RootDSE  Antes de consultar hay que validar  Opción bind con usuario y contraseña  Buscar  Definir el ámbito de la búsqueda (Base DN)  Uso de filtros con sintaxis LDAP (Sintaxis LDAP)  Profundidad de la búsqueda (En el ámbito dado)  Resultados a devolver (Qué atributos extraer)
  • 38. Manejo de LDAP. BúsquedasLDP (III) Demo búsqueda sencilla  Lista de usuarios en una OU dada  Obtener su GUID, SID y displayNameBase DN: OU=usuariosdemo,DC=zaltormovil,DC=localFilter: (objectClass=user)Options - > Attributes: objectGUID;objectSid;displayName
  • 39. Manejo de LDAP. BúsquedasLDP (IV) Ejemplo de búsqueda por SID  Obtener los datos del usuario a través de su SIDBase DN: <SID=S-1-5-21-1065510560-3428359812-2318783122-1623>Filter: (objectClass=user)Options - > Attributes: objectGUID;objectSid;displayName
  • 40. Manejo de LDAP. BúsquedasLDP (V) Ejemplo de búsqueda por GUID  Obtener los datos del usuario a través de su GUIDBase DN: <GUID=5d2ba257-6c50-4a8d-80f1-6fd4ff49407d>Filter: (objectClass=user)Options - > Attributes: objectGUID;objectSid;displayName
  • 41. Manejo de LDAP. BúsquedasLDP (VI) Ejemplo de búsqueda compleja.  Lista de todos los atributos que se replican al catálogo globalBase DN: cn=schema,cn=configuration,dc=zaltormovil,dc=localFilter:(&(objectCategory=attributeSchema)(isMemberOfPartialAttributeSet=TRUE))Scope: SubtreeOptions - > Attributes: lDAPDisplayName
  • 42. Manejo de LDAP. BúsquedasLDP (VII) Ejemplo de búsqueda de usuarios eliminados.  Ventana de seguridad muestra usuario en forma de: Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112) Base DN: <SID=S-1-5-21-4091595955-2324484845- 4052817843-1112> Filter: objectClass=* Scope: Base Options -> Attributes: objectGUID;objectSid Options -> Search type -> Extended Options -> TimeOut -> 120 Options -> Controls -> Return Deleted Objects
  • 43. Agenda Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y monitorización
  • 44. Scripts Windows pone a disposición del sistema una librería que permite, entre otras cosas, acceder al Directorio Activo mediante código  ADSI (Active Directory Services Interface) La programación se realiza en lenguajes de Script  VBScript  JScript
  • 45. ScriptsDemo Script Ej de uso de scripts para administración de AD. Creación de 100 usuarios (VBScript) Set objRootDSE = GetObject("LDAP://rootDSE") Set objContainer = GetObject("LDAP://ou=milusuarios," & _ objRootDSE.Get("defaultNamingContext")) For i = 1 To 100 Set objLeaf = objContainer.Create("User", "cn=UserNo" & i) objLeaf.Put "sAMAccountName", "UserNo" & i objLeaf.SetInfo Next WScript.Echo "100 Usuarios creados."
  • 46. ScriptsTechnet Script Center Colección de scripts que sirven como base para realizar tareas de administración muy elaboradas Cientos de ejemplos agrupados por áreas en TechNet Script Center  http://www.microsoft.com/technet/scriptcenter
  • 47. Agenda Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y monitorización
  • 48. Extensión de la consola MMC El entorno de administración MMC es extensible  Permite añadir nuevas funcionalidades Por ejemplo MS Exchange añade nuevas páginas de propiedades a las propiedades de un usuario
  • 49. Extensión de la consola MMCDisplay Specifiers En el esquema de DA existen objetos de tipo displaySpecifiers  En el apartado de configuración Determinan la ‘localización’ o los idiomas en los que se mostrarán ciertos elementos de la consola de administración  409 - inglés
  • 50. Extensión de la consola MMCSpecifier: user-Display (I) Permite extender las propiedades de un usuario Dependiendo de los valores de sus atributos mostrará unas cosas u otras Atributo adminContextMenu  Permite añadir una nueva opción de menú al menú contextual de un usuario
  • 51. Extensión de la consola MMCSpecifier: user-Display (II) Ej. Nuevo menú  Menú sencillo de ejemplo. Simplemente obtiene la información del objeto (path) y extrae su RDN De esta forma se puede llamar a cualquier ejecutable que acepte parámetros por la línea de comandos Más información en:  http://msdn.microsoft.com/library/en- us/netdir/ad/extending_the_user_interface_for_di rectory_objects.asp?frame=true
  • 52. Extensión de la consola MMCSpecifier: user-Display (III) Ej. Nuevo menú  Menú que obtiene el listado de grupos a los que pertenece un determinado usuario de manera recursiva.  Se modifica la propiedad adminMenu  Obtiene grupos dentro de grupos  Script: getUserGroups.hta
  • 53. Extensión de la consola MMCSpecifier: computer-Display Ej. Nuevo menú  Menú que obtiene la lista de software instalado en el equipo vía WMI  Se modifica la propiedad adminMenu  Script: getSoftInstalado.hta
  • 54. Agenda Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y monitorización
  • 55. Nuevas Utilidades Windows 2003Group Policy Management SnapIn MMC que permite gestionar las políticas de manera mucho más sencilla Interface muy intuitivo válido para todo el forest Dispone de informes de aplicación de GPO Permite aplicar GPOs por filtros de WMI (no sólo por usuarios o grupos)
  • 56. Nuevas Utilidades Windows 2003ADAM ADAM: Active Directory Application Mode Versión de Directorio Activo independiente de la infraestructura de la red Permite disponer de un Directorio Activo aislado y controlado útil para aplicaciones independientes  No interfiere con AD de la red  Sincronizable con AD de la red mediante Microsoft Identity Integration Server
  • 57. Nuevas Utilidades Windows 2003Descarga de las utilidades Estas utilidades y más se pueden descargar en:  http://www.microsoft.com/windowsserver 2003/downloads/default.mspx
  • 58. Agenda Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y monitorización
  • 59. Herramientas de diagnóstico ymonitorización Netdiag.exe  Realiza diversas comprobaciones de la red. Útil para trazar problemas de conectividad, DNS, LDAP, etc.
  • 60. Herramientas de diagnóstico ymonitorización Dcdiag.exe  Realiza diversas comprobaciones de diagnóstico del servidor como Controlador de Dominio
  • 61. Herramientas de diagnóstico ymonitorización Dsastat.exe  Permite determinar si la estructura de DA de N servidores es igual (para verificar que se ha realizado la replicación correctamente)
  • 62. Herramientas de diagnóstico ymonitorización ReplMon.exe  Replication Monitor. Mustra gráficamente el estado de la replicación entre servidores
  • 63. Herramientas de diagnóstico ymonitorización Repadmin.exe  Utilidad muy extensa que permite trabajar con cómo está establecida la configuración de replicación
  • 64. Referencias Web de Technet en España  www.microsoft.com/spain/TechNet/ Zaltor Soluciones Informáticas  www.zaltor.com

×