mejores practicas en_diseno_de_directorio_activo_en_windows_server_2003
TRANSCRIPT
Ramon Jiménez, MCSE 2000/2003Ramon Jiménez, MCSE 2000/2003PMP, CCA, ITIL CertifiedPMP, CCA, ITIL CertifiedMVP Windows Server System – Infrastructure ArchitectMVP Windows Server System – Infrastructure [email protected]@hotmail.com
Mejores Prácticas en el Mejores Prácticas en el diseño de Directorio Activo diseño de Directorio Activo en Windows 2003en Windows 2003
RequisitosRequisitos
• Experiencia previa con servidores WindowsExperiencia previa con servidores Windows
• Experiencia con redes en entornos MicrosoftExperiencia con redes en entornos Microsoft
• Conocimientos básicos de Directorio ActivoConocimientos básicos de Directorio Activo
• Conocimientos básicos de DNSConocimientos básicos de DNS
AgendaAgenda
• Entornos multi-bosqueEntornos multi-bosque
• Entornos multi-dominioEntornos multi-dominio
• Entornos de dominio único. Unidades Entornos de dominio único. Unidades
OrganizativasOrganizativas
• DNS y Espacio de nombresDNS y Espacio de nombres
• SeguridadSeguridad
BosquesBosques
• Esquema compartidoEsquema compartido
• Frontera de seguridadFrontera de seguridad
• Identificar requerimientosIdentificar requerimientos
• Determinar cuántos bosquesDeterminar cuántos bosques
Bosques
Diseño
de bosques
Entornos multi-bosqueEntornos multi-bosque
emea.contoso.com
contoso.com
nala.contoso.com
fabrikam.com
filial1.fabrikam.com
Entornos multi-bosque: Razones Entornos multi-bosque: Razones
• Razones políticas/organizativasRazones políticas/organizativas
• Razones jurídicasRazones jurídicas
• Razones técnicas Razones técnicas
• Razones financierasRazones financieras
• OtrasOtras
ConsideracionesConsideraciones
• Los requerimientos estrictos limitan las Los requerimientos estrictos limitan las opcionesopciones
• Reserva tiempo para la negociaciónReserva tiempo para la negociación
• Haz balance coste/beneficioHaz balance coste/beneficio
• Evita que 2 organizaciones de IT Evita que 2 organizaciones de IT compartan la gestión de infraestructuracompartan la gestión de infraestructura
• Evita externalización a múltiples Evita externalización a múltiples proveedoresproveedores
Cuentas Cuentas UsuarioUsuario
Servidores Servidores recursosrecursos
ClaveClave
Modelo multi-bosque simpleModelo multi-bosque simple
Relación de confianza Relación de confianza entre bosquesentre bosques
Bosque Org 1Bosque Org 1 Bosque Org 2Bosque Org 2
Bosque recursosBosque recursos
Bosque recursosBosque recursos
Modelo bosque de recursosModelo bosque de recursos
Bosque Bosque OrganizacionalOrganizacional
Cuentas Cuentas UsuarioUsuario
Servidores Servidores recursosrecursos
ClaveClave
Cuentas de Cuentas de servicioservicio
Cuentas Cuentas alternativasalternativas
Rel. Conf.Rel. Conf.
Rel. Conf.
Rel. Conf.
Cuentas Cuentas UsuarioUsuario
Servidores Servidores RecursosRecursos
ClaveClave
Servidores Servidores con datos con datos clasificadosclasificados
Bosque acceso Bosque acceso restringidorestringido
Bosque Bosque OrganizacionalOrganizacional
Modelo bosque acceso restringidoModelo bosque acceso restringido
Rel. Conf.
Rel. Conf.
AgendaAgenda
• Entornos multi-bosqueEntornos multi-bosque
• Entornos multi-dominioEntornos multi-dominio
• Entornos de dominio único. Unidades Entornos de dominio único. Unidades
OrganizativasOrganizativas
• DNS y Espacio de nombresDNS y Espacio de nombres
• SeguridadSeguridad
Factores que condicionanFactores que condicionan
Capacidad de la RedCapacidad de la Red # de Usuarios# de Usuarios
E1 34Mb
128K RDSI128K RDSI
Razones para múltiples dominiosRazones para múltiples dominios
• Consideraciones administrativas/políticasConsideraciones administrativas/políticas• Políticas únicas para cada dominioPolíticas únicas para cada dominio• Tráfico de redTráfico de red• Calidad de la conexión de redCalidad de la conexión de red• Capacidad de los servidoresCapacidad de los servidores• Diferencias regionales/internacionalesDiferencias regionales/internacionales• Migración de dominios existentesMigración de dominios existentes
RecomendacionesRecomendaciones
MinimizarMinimizar Número de dominiosNúmero de dominios
MinimizarMinimizar Profundidad de la jerarquíaProfundidad de la jerarquía
ElegirElegir Diseños que permitan reorganizar dominiosDiseños que permitan reorganizar dominios
DesplegarDesplegar Al menos dos (2) Controladores de Dominio Al menos dos (2) Controladores de Dominio por dominiopor dominio
DesplegarDesplegar Domains comodín durante migraciones Domains comodín durante migraciones (para no provocar disrupción de servicio)(para no provocar disrupción de servicio)
Si no hay alternativa y debemos ir por múltiples dominiosSi no hay alternativa y debemos ir por múltiples dominios::
Modelo regionalModelo regional
contoso.comcontoso.com
bcn.contoso.combcn.contoso.com sev.contoso.comsev.contoso.commad.contoso.commad.contoso.com
Modelo organizacionalModelo organizacional
MatrizMatriz
EquiposEquipos Hw Hw LicenciasLicenciasTrainingTraining
Equipo IT CentralEquipo IT Central
Enterprise AdminsEnterprise Admins
Domain AdminsDomain Admins
Schema AdminsSchema Admins
Equipo IT TrainingEquipo IT Training
Domain AdminsDomain Admins
Equipo IT Equipos HwEquipo IT Equipos Hw
Domain AdminsDomain Admins
Equipo IT LicenciasEquipo IT Licencias
Domain AdminsDomain Admins
AgendaAgenda
• Entornos multi-bosqueEntornos multi-bosque
• Entornos multi-dominioEntornos multi-dominio
• Entornos de dominio único. Unidades Entornos de dominio único. Unidades
OrganizativasOrganizativas
• DNS y Espacio de nombresDNS y Espacio de nombres
• SeguridadSeguridad
Dominio ÚnicoDominio Único
SitiosSitios
contoso.com
MadridMadrid
BarcelonaBarcelona
SevillaSevilla
Topologías típicasTopologías típicas
SitioSitio SitioSitio
SitioSitioSitioSitio
Topología AnilloTopología Anillo Topología Hub-and-SpokeTopología Hub-and-Spoke
SitioSitio
SitioSitio
SitioSitio
SitioSitio
HubHubSitioSitio
Topología complejaTopología compleja
HubHubHubHub SitioSitio
SitioSitioSitioSitio
¿¿Es bueno el Es bueno el Inicio de Inicio de Sesión?Sesión?
Cuándo poner un DC en un SitioCuándo poner un DC en un Sitio
SíSí
¿Hay ¿Hay seguridad seguridad
física?física?
Poner Poner un DCun DC
No poner un DC
NoNo
SíSí SíSí SíSí
NoNo
¿¿Hay Admin Hay Admin para los DCs?para los DCs?
NoNo
¿Enlace WAN ¿Enlace WAN estable?estable?
¿Se requiere ¿Se requiere 24x7?24x7?
SíSí
NoNo
NoNo
¿Alguna ¿Alguna aplicación aplicación
requiere un requiere un Catálogo Catálogo
Global (GC)?Global (GC)?
Cuándo poner un GCCuándo poner un GC
NoNo
PonerPoner
GCGC
NoNo NoNo NoNo
¿¿> 100 > 100 Usuarios?Usuarios?
SíSí
¿Existe ¿Existe enlace WAN enlace WAN
a un GC?a un GC?
¿Usuarios ¿Usuarios móbiles?móbiles?
SíSí
No poner
GC
SíSí SíSí
Poner DC y Poner DC y habilitar habilitar UGMCUGMC
FSMO’sFSMO’s
Servidor/RolServidor/Rol ReglaRegla
TodosTodos Redes lo más fiables posiblesRedes lo más fiables posibles
Primer ServidorPrimer Servidor En el sitio y lo más cerca posible del grupo de En el sitio y lo más cerca posible del grupo de usuarios más numerosousuarios más numeroso
Stand-byStand-by Designar uno inmediatamenteDesignar uno inmediatamente
Maestro Maestro InfraestructuraInfraestructura
No colocarlo en un GC*No colocarlo en un GC*
PDCePDCe En el sitio y lo más cerca posible del grupo de En el sitio y lo más cerca posible del grupo de usuarios más numerosousuarios más numeroso
Planning Operations Master Role Placement
AgendaAgenda
• Entornos multi-bosqueEntornos multi-bosque
• Entornos multi-dominioEntornos multi-dominio
• Entornos de dominio único. Unidades Entornos de dominio único. Unidades
OrganizativasOrganizativas
• DNS y Espacio de nombresDNS y Espacio de nombres
• SeguridadSeguridad
DNS y Espacio de NombresDNS y Espacio de Nombres
• Planificación y elección apropiada del Planificación y elección apropiada del
espacio de nombresespacio de nombres
• Integración con BIND existentesIntegración con BIND existentes
• Coexistencia con BIND existentesCoexistencia con BIND existentes
• Entorno DNS nativoEntorno DNS nativo
Integración con BINDIntegración con BIND
• El servidor BIND debe soportarEl servidor BIND debe soportar
– Actualizaciones dinámicasActualizaciones dinámicas
– Registros SRVRegistros SRV
– Transferencia incremental de zonas (recomendado, no Transferencia incremental de zonas (recomendado, no
obligatorio)obligatorio)
• Todos los clientes y servidores apuntan como Todos los clientes y servidores apuntan como
DNS’s los servidores BINDDNS’s los servidores BIND
• Última versión BIND 9.3.1Última versión BIND 9.3.1ConfiguringConfiguring BerkeleyBerkeley Internet Internet NameName DomainDomain (BIND) (BIND) toto SupportSupport Active Directory Active Directory
Coexistencia con BIND (1)Coexistencia con BIND (1)
• El servidor BIND debe crear y delegar en DNS de Windows El servidor BIND debe crear y delegar en DNS de Windows
2003 las siguientes zonas:2003 las siguientes zonas:
_udp.DNSDomainName_udp.DNSDomainName
_tcp.DNSDomainName_tcp.DNSDomainName
_sites.DNSDomainName_sites.DNSDomainName
_msdcs.DNSDomainName_msdcs.DNSDomainName
Sustituir DNSDomainName por vuestro nombre (ej: contoso.com)Sustituir DNSDomainName por vuestro nombre (ej: contoso.com)
• 2 subdominios deben delegarse en el BIND para servidores 2 subdominios deben delegarse en el BIND para servidores
DNS basados en Windows 2003DNS basados en Windows 2003ForestDnsZones.ForestDNSNameForestDnsZones.ForestDNSName
DomainDnsZones.DNSDomainNameDomainDnsZones.DNSDomainName
Coexistencia con BIND (y 2)Coexistencia con BIND (y 2)
• Ejemplo de configuración en el BIND:Ejemplo de configuración en el BIND:
_TCP IN NS dc1.contoso.com_TCP IN NS dc1.contoso.com
_UDP IN NS dc1.contoso.com_UDP IN NS dc1.contoso.com
_MSDCS IN NS dc1.contoso.com_MSDCS IN NS dc1.contoso.com
_SITES IN NS dc1.contoso.com_SITES IN NS dc1.contoso.com
ForestDNSZones IN NS dc1.contoso.comForestDNSZones IN NS dc1.contoso.com
DomainDNSZones IN NS dc1.contoso.comDomainDNSZones IN NS dc1.contoso.com
192.168.100.1 192.168.100.1 dc1.contoso.com # Win2K3 Domain Controller dc1.contoso.com # Win2K3 Domain Controller
192.168.100.1 A contoso.com192.168.100.1 A contoso.comIntegratingIntegrating Windows 2000 Windows 2000 DNSDNS intointo anan existingexisting BINDBIND oror Windows NT 4.0- Windows NT 4.0-basedbased DNSDNS namespacenamespace
Recomendación: Usar DNS Recomendación: Usar DNS Windows 2003Windows 2003
• Integrado en Directorio ActivoIntegrado en Directorio Activo
• Permite actualizaciones segurasPermite actualizaciones seguras
• Replicación multi-master (basada en DA)Replicación multi-master (basada en DA)
• Configuración muy sencilla de reenviadores condicionales, Configuración muy sencilla de reenviadores condicionales,
Zonas Stub y reenviadores a DNS’s de ISP’sZonas Stub y reenviadores a DNS’s de ISP’s
CÓMO: Migrar una infraestructura CÓMO: Migrar una infraestructura DNSDNS existente desde un servidor basado en existente desde un servidor basado en BINDBIND a un a un
DNSDNS basado en Windows Server 2003 basado en Windows Server 2003
AgendaAgenda
• Entornos multi-bosqueEntornos multi-bosque
• Entornos multi-dominioEntornos multi-dominio
• Entornos de dominio único. Unidades Entornos de dominio único. Unidades
OrganizativasOrganizativas
• DNS y Espacio de nombresDNS y Espacio de nombres
• SeguridadSeguridad
Seguridad (1)Seguridad (1)
• Asegurar la comunicación con los Asegurar la comunicación con los
Controladores de Dominio (IPSec y GPO’s)Controladores de Dominio (IPSec y GPO’s)
• Forzar el uso cuentas Administrativas Forzar el uso cuentas Administrativas
diferentes a las de usuario.diferentes a las de usuario.
• Limitar el número de cuentas administrativasLimitar el número de cuentas administrativas
• Auditar el uso de cuentas administrativasAuditar el uso de cuentas administrativas
Seguridad (2)Seguridad (2)
• Endurecer la Directiva del Dominio (Complejidad de Endurecer la Directiva del Dominio (Complejidad de
contraseñas, bloqueos de cuentas y Kerberos)contraseñas, bloqueos de cuentas y Kerberos)
• Endurecer la Directiva de Controladores de Endurecer la Directiva de Controladores de
Dominio (Derechos de usuario, auditorías y Dominio (Derechos de usuario, auditorías y
seguridad)seguridad)
• Deshabilitar mecanismos de autenticación no Deshabilitar mecanismos de autenticación no
seguros (LM: LanManager)seguros (LM: LanManager)
• Deshabilitar servicios no necesariosDeshabilitar servicios no necesarios
Seguridad (y 3)Seguridad (y 3)
• Delegación controlada de administración de Delegación controlada de administración de
tareas.tareas.
• Deshabilitar servicios no necesariosDeshabilitar servicios no necesarios
• Instalar antivirus con las exclusiones Instalar antivirus con las exclusiones
obligatoriasobligatorias
Demo: Revisión de Demo: Revisión de conceptos y creación de conceptos y creación de OU’s clones OU’s clones
• Active Directory Best PracticesActive Directory Best Practices
• Windows Server 2003 Deployment Kit: Designing and Deploying Directory and SecurWindows Server 2003 Deployment Kit: Designing and Deploying Directory and Security Servicesity Services
• Planning Planning DomainDomain ControllerController CapacityCapacity
• DNSDNS StepStep-by--by-StepStep GuideGuide
• Multiple Forest Considerations in Windows 2000 and Windows Server 2003Multiple Forest Considerations in Windows 2000 and Windows Server 2003
• Schema Documentation Program for Servers Running Windows 2000 or Windows 20Schema Documentation Program for Servers Running Windows 2000 or Windows 2003 Server03 Server
• Active Directory Performance Testing Tool (Active Directory Performance Testing Tool (ADTest.exeADTest.exe))
• DesigningDesigning DistributedDistributed File File SystemsSystems
• Active Directory Active Directory DirectoryDirectory Service Product Operations Guide Service Product Operations Guide
Enlaces útiles (1)Enlaces útiles (1)
• Best Practices for Delegating Active Directory AdministrationBest Practices for Delegating Active Directory Administration
• Best Practices for Delegating Active Directory Administration AppendicesBest Practices for Delegating Active Directory Administration Appendices
• Best Practice Guide for Securing Active Directory InstallationsBest Practice Guide for Securing Active Directory Installations
• Server and Domain Isolation Using Server and Domain Isolation Using IPsecIPsec and Group Policy and Group Policy
• Windows Server 2003 Active Directory Branch Office GuideWindows Server 2003 Active Directory Branch Office Guide
• Active Directory in Networks Segmented by FirewallsActive Directory in Networks Segmented by Firewalls
• Active Directory Migration Tool v3.0Active Directory Migration Tool v3.0
• Best Practices for Deploying Printer Location with Active DirectoryBest Practices for Deploying Printer Location with Active Directory
Enlaces útiles (2)Enlaces útiles (2)
• Extending Your Active Directory Schema for New Features in Windows ServExtending Your Active Directory Schema for New Features in Windows Server 2003 R2er 2003 R2
• Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2
• Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 DBranch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 Downloadownload
• Windows Server 2003 R2 Branch Office: Frequently Asked QuestionsWindows Server 2003 R2 Branch Office: Frequently Asked Questions
• Windows Server 2003 R2: Support for Branch OfficesWindows Server 2003 R2: Support for Branch Offices
• BIND BIND HomePageHomePage
Enlaces útiles (3)Enlaces útiles (3)
¿Preguntas?¿Preguntas?
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker.
SistemasSistemas http://www.microsoft.com/spain/servidores/http://www.microsoft.com/spain/servidores/windowsserver2003/seminarios/hol.aspxwindowsserver2003/seminarios/hol.aspx
DesarrolloDesarrollo http://www.microsoft.com/spanish/msdn/spain/eventos/http://www.microsoft.com/spanish/msdn/spain/eventos/hol/default.asp hol/default.asp
• Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia.
•Tenerife, Málaga y Sevilla
Webcast en su versión Webcast en su versión grabada de Directorio Activograbada de Directorio Activo
• Active Directory - Usos y conceptos básicos Active Directory - Usos y conceptos básicos del Directorio Activodel Directorio Activo
• Active Directory - Conceptos Avanzados de Active Directory - Conceptos Avanzados de Directorio ActivoDirectorio Activo
• Active Directory - La importancia del DNS Active Directory - La importancia del DNS para el Directorio Activopara el Directorio Activo
• Active Directory - Replicación del Directorio Active Directory - Replicación del Directorio ActivoActivo
• Active Directory - Uso avanzado de las Active Directory - Uso avanzado de las politicas de Grupopoliticas de Grupo
Más Acciones de Directorio Más Acciones de Directorio ActivoActivo
• Active DirectoryActive Directory - Mejores practicas en las - Mejores practicas en las operaciones de Directorio Activo.23 de Marzo.operaciones de Directorio Activo.23 de Marzo.
• Active DirectoryActive Directory - Migración desde Windows NT a - Migración desde Windows NT a Directorio Activo. 6 de Abril.Directorio Activo. 6 de Abril.
• Active DirectoryActive Directory - Uso avanzado del sistema de - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abrilarchivos distribuido (DFS). 20 de Abril
• Active DirectoryActive Directory - Gestión de Identidades (ADAM, - Gestión de Identidades (ADAM, MIIS)MIIS)
• Para información adicional y registro:Para información adicional y registro:– http://www.microsoft.com/spain/technet/http://www.microsoft.com/spain/technet/
jornadas/webcasts/default.aspjornadas/webcasts/default.asp
Más Acciones desde Más Acciones desde TechNetTechNet
• Para ver los webcast grabados sobre éste tema y otros temas, Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:diríjase a:– http://www.microsoft.com/spain/technet/jornadas/webcasts/http://www.microsoft.com/spain/technet/jornadas/webcasts/
webcasts_ant.aspwebcasts_ant.asp• Para información y registro de Futuros Webcast de éste y otros Para información y registro de Futuros Webcast de éste y otros
temas diríjase a:temas diríjase a:– http://www.microsoft.com/spain/technet/jornadas/webcasts/http://www.microsoft.com/spain/technet/jornadas/webcasts/
default.aspdefault.asp• Para mantenerse informado sobre todos los Eventos, Seminarios y Para mantenerse informado sobre todos los Eventos, Seminarios y
webcast suscríbase a nuestro boletín TechNet Flash en ésta webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección:dirección:– http://www.microsoft.com/spain/technet/boletines/default.mspxhttp://www.microsoft.com/spain/technet/boletines/default.mspx
• Para estar informado sobre novedades vea nuestros It´s Showtime Para estar informado sobre novedades vea nuestros It´s Showtime en: en: – http://www.microsoft.com/spain/technet/itsshowtime/http://www.microsoft.com/spain/technet/itsshowtime/
default.aspxdefault.aspx• Para acceder a toda la información, betas, actualizaciones, Para acceder a toda la información, betas, actualizaciones,
recursos, puede suscribirse a Nuestra Suscripción TechNet en:recursos, puede suscribirse a Nuestra Suscripción TechNet en:– http://www.microsoft.com/spain/technet/recursos/cd/http://www.microsoft.com/spain/technet/recursos/cd/
default.mspxdefault.mspx