Este webinar tiene como objetivo principal dar a conocer los mejores 10 tips de nuestros expertos para aprovechar todos los beneficios que brinda Active Directory, con el tiempo, es posible que la base de datos de Active Directory se llene de información obsoleta, tenga problemas de seguridad o comience a funcionar de manera incorrecta.
Tarde o temprano, tendrás que reorganizar tu Active Directory para corregir comportamientos erráticos y mantener la seguridad y productividad de la plataforma al día.
El temario que se engloba es el siguiente:
Planificar, documentar y testear una estrategia para back ups y disaster recovery.
Establecer una política de hot fixes que minimice riesgos de seguridad.
Realizar check ups de salud periódicos que evidencien problemas para prevenir posibles riesgos.
Webinar impartido por Adrían Rivas, el 20 de Diciembre del 2012 a las 12 hrs.
[WEBINAR] 10 cosas que debes saber sobre Active Directory.
1. 10 cosas que debes saber de Active Directory
Webinar: Diciembre 2012
2. EXPERIENCIA
Información General
Adrián Rivas
• MS Active Directory
• DNS
• Exchange
• Virtualización
• Seguridad en end-point
• Seguridad Antispam
• Dirección de equipos de soporte
• Microsoft
• Citrix
• Trend Micro
• Vmware
• Hauri
• Cyberoam
• Consultor de Seguridad en Software
3. Agenda
Agenda
1. Objetivo
2. Temario
3. 10 cosas que tienes que saber de Active
Directory
4. Resumen
5. Recomendaciones
4. OBJETIVO
OBJETIVO
1. Objetivo
Exponer como diagnosticar y solucionar algunos
problemas comunes de Active Directory, con el fin de
minimizar las interrupciones en el negocio.
5. Temario
TEMARIO
1. Introducción
2. 10 Puntos que debes saber sobre Active Directory
a) Busque las soluciones simples primero
b) Compruebe que DNS funciona correctamente
c) Utiliza DCDIAG para diagnosticar
d) Eliminar metadatos extintos correctamente
e) Cuidado al utilizar ADSI Edit
f) Cuidado con los Snapshots en controladores
g) Active Directory, motor de almacenamiento extensible
h) Restauración autoritativa y no autoritativa
i) Compruebe los permisos NTFS
j) Respaldo de controladores de dominio
3. Resumen
4. Conclusiones
6. Datos sobre AD
10 Cosas que debes saber sobre Active Directory
Algunos datos de Active Directory
El 17 de Junio del año 2000.
Es una plataforma escalable y flexible.
Los iniciadores Novell y Banyan, posteriormente SUN.
Share MKT AD DS : 90% de las 2000 empresas más grandes del mundo.
Exchange 2000 primera aplicación.
Repositorio centralizado de usuarios y el mecanismo fundamental de autenticación.
12 años después, los administradores temen modificar el Schema.
Last man Standing, es considerado el producto más estable de MS.
7. Componentes
Introducción
Componentes de AD DS
o Una Base de Datos multi-master
o Un Schema
o Un Catálogo Global
o Un mecanismo de indexado
o Un servicio de replicación
o Flexible Single Master Operations o FSMO
Beneficios
o Autenticación de inicio de sesión.
o Control de acceso a los recursos.
o Single Sign-on
o Organización y gestión jerárquica.
8. ROLES
Flexible Single Master Operations
Roles FSMO
Schema Master: Controla las
actualizaciones al esquema.
Domain naming master: adición o
remoción de dominios en el bosque.
Infrastructure Master: actualizar los
SID de los objetos.
Relative ID (RID) Master: procesar
los requerimientos del pool de RID
PDC Emulator: sincroniza hora,
gestión de usuarios, edición y publicación
de políticas.
9. Pregunta I
PREGUNTA
¿Qué tipo de problemas has
tenido en tu ambiente de AD?
a) Replicación
b) Resolución de Nombres (DNS)
c) Seguridad (Usuarios)
d) Migración, actualización
e) SNTP
f) Auditoria
g) Delegación
10. 1 Soluciones simples
10 Cosas que debes saber sobre Active Directory
1. Busque las soluciones simples primero
¿Están ubicados los roles FSMO?
¿Se han borrado objetos accidentalmente?
¿La replicación opera correctamente?
¿La resolución DNS opera correctamente?
¿Es necesario una restauración?
¿Es un problema de red?
Investigar, analizar, asegurar, corregir.
Revise el visor de eventos en busca de evidencia.
Asumir es la madre de todos los errores
11. Pregunta II
PREGUNTA
¿Qué tan crítico es Active Directory para la
operación de tu negocio ?
a) Crítico
b) No es crítico
c) No se cuenta con un Active Directory
12. 2 DNS
10 Cosas que debes saber sobre Active Directory
2. Compruebe que DNS funciona correctamente
A revisar:
o Nombre de dominio (2000 y 2003, 2008)
o Resolución interna y externa
o Uso correcto de renviadores
o Respaldo de zonas
o Resolución inversa
o Verificar loops
Posibles consecuencias:
Lentitud en inicio de sesión
Tráfico de red
Problemas de acceso a Internet
Fallos de autenticación
13. Pregunta III
PREGUNTA
¿Qué versión de Windows AD
opera en tu organización?
• a) 2000
• b) 2003
• c) 2008
• d) 2008 R2
14. 3 DCDIAG
10 Cosas que debes saber sobre Active Directory
3. Utiliza DCDIAG para diagnosticar
DCDIAG: Comando para diagnósticos
Analiza el estado de uno o todos los controladores de dominio.
o DNS (Reenviadores, root hints, forwarders,
reversa, IP Dinámica)
o Disponibilidad KDC.
o Transmisión y recepción de UDP
para DC
o Reloj de Sistema.
o Verifica estado de cuentas de
equipo de DC
15. Pregunta IV
PREGUNTA
¿Tu Active Directory es
auditado periódicamente?
a) Si
b) No
c) No aplica
16. Metadatos
10 Cosas que debes saber sobre Active Directory
4. Eliminar metadatos extintos correctamente
Esta herramienta
A. Ntdsutil.exe puede ser utilizado para: debe ser usada por
administradores
i. Mantenimiento de la base de datos. expertos.
ii. Remover metadatos dejados por
controladores extintos o mal
desinstalados.
Posibles consecuencias:
Errores en replicación
Lentitud de inicios de sesión
Corrupción de AD
17. ADSI Edit
10 Cosas que debes saber sobre Active Directory
5. Cuidado al utilizar ADSI Edit
Active Directory® Service Interfaces Editor
Esta herramienta
debe ser usada por
administradores
expertos.
18. DC Snapshots
10 Cosas que debes saber sobre Active Directory
6. Cuidado con los Snapshots en controladores
RECUERDA
A. Las transacciones están numeradas
B. El último que escribe un cambio gana.
19. Motor de Almacenamiento Extensible
10 Cosas que debes saber sobre Active Directory
7. Active Directory, motor de almacenamiento
extensible
ESEUTIL puede reparar una base de datos, pero Esta herramienta
debe ser usada por
hay que tener cuidado pues es posible perder
administradores
información. expertos.
20. Restauración
10 Cosas que debes saber sobre Active Directory
8. Restauración autoritativa y no autoritativa
Restauración No Autoritativa:
- Default: No autoritativa
- Sincronización al finalizar
Restauración Autoritativa :
- Se anuncia como el DC más
actual
- Sincronización al finalizar Antes Después
TIP:
Para restablecer la contraseña de administrador DSRM
En el símbolo del sistema de Ntdsutil: Esta herramienta
debe ser usada por
set dsrm password. administradores
reset password on server null expertos.
reset password on server nombreDeServidor
21. Permisos NTFS
10 Cosas que debes saber sobre Active Directory
9: Compruebe los permisos NTFS
Error: Los servicios relacionados no inician.
Esta configuración
debe ser usada por
administradores
expertos.
o Permisos NTFS en raíz son
demasiado restrictivos.
o Permisos NTFS carpeta
demasiado restrictivos.
o Cambio en la letra de la
unidad de la BD de AD.
22. Respaldos
10 Cosas que debes saber sobre Active Directory
10. Respaldo de controladores de dominio
Respaldo de estado del sistema
A. Realice respaldos periódicos.
B. Dentro de su proceso de respaldo, realice pruebas de restauración.
5 Tipos
1. Seguridad
2. Diaria
3. Diferencial
4. Incremental
5. Normal
23. Pregunta V
PREGUNTA
¿Qué tipo de respaldo realizas
de tu Active Directory?
a) Normal
b) Incremental
c) Diferencial
d) Ninguno
24. En Resumen
Resumen
10 cosas que tienes que saber sobre Active Directory
Busque las soluciones simples primero
Compruebe que DNS funciona correctamente
Utiliza DCDIAG para diagnosticar
Eliminar metadatos extintos correctamente
Cuidado al utilizar ADSI Edit
Cuidado con los Snapshots en controladores
AD motor de almacenamiento extensible
Restauración autoritativa y no autoritativa
Compruebe los permisos NTFS
Respaldo de controladores de dominio
25. Negocio
Conclusiones
Impacto al negocio
Algunos Síntomas
• Fallos de autenticación
• Perdida de productividad
• Lentitud
• Distracción por consecuencias
• Perdida de información en AD
• Fuga de información
Check List
Consecuencias Incidente
Diagnóstico
• Interrupción en el negocio
• Paro de operaciones Corrección y/o recuperación
• Pérdida de información
• Fuga de información Análisis posterior al evento
26. No te quedes con ninguna duda
Preguntas
www.smartekh.com
* e-mail:
arivas@smartekh.com
27. Documentación
Para más información
REFERENCIAS
ROLES - Referencia: Aquí
DNS - Referencia: Aquí
AD DS - Referencia: Aquí
ADSI - Referencia: Aquí
NTDSUTIL & ESEUTIL - Referencia: Aquí y Aquí
DCDIAG - Referencia: Aquí
PERMISOS NTFS - Referencia: Aquí
REPLICACIÓN - Referencia: Aquí
RESPALDOS- Referencia: Aquí y Aquí