1. Mejores Prácticas en el
diseño de Directorio Activo
en Windows 2003
Ramon Jiménez, MCSE 2000/2003
PMP, CCA, ITIL Certified
MVP Windows Server System – Infrastructure Architect
rjimenezm@hotmail.com
2. Requisitos
• Experiencia previa con servidores Windows
• Experiencia con redes en entornos Microsoft
• Conocimientos básicos de Directorio Activo
• Conocimientos básicos de DNS
3. Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
4. Bosques
• Esquema compartido
Bosques
• Frontera de seguridad
• Identificar requerimientos
Diseño
• Determinar cuántos bosques
de bosques
7. Consideraciones
• Los requerimientos estrictos limitan las
opciones
• Reserva tiempo para la negociación
• Haz balance coste/beneficio
• Evita que 2 organizaciones de IT
compartan la gestión de infraestructura
• Evita externalización a múltiples
proveedores
8. Modelo multi-bosque simple
Clave
Relación de confianza
entre bosques
Cuentas
Usuario
Bosque Org 1 Bosque Org 2
Servidores
recursos
9. Modelo bosque de recursos
Clave
Rel. Conf.
Cuentas
Usuario
Servidores
recursos
Bosque Re Bosque recursos
Organizacional l.
Co Cuentas de
nf servicio
.
Cuentas
alternativas
Bosque recursos
10. Modelo bosque acceso restringido
Clave
Re
l. C
on Cuentas
f.
Usuario
Servidores
Recursos
Bosque Organizacional Servidores
con datos
clasificados
Bosque acceso
restringido
11. Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
13. Razones para múltiples dominios
• Consideraciones administrativas/políticas
• Políticas únicas para cada dominio
• Tráfico de red
• Calidad de la conexión de red
• Capacidad de los servidores
• Diferencias regionales/internacionales
• Migración de dominios existentes
14. Recomendaciones
Si no hay alternativa y debemos ir por múltiples dominios:
Minimizar Número de dominios
Minimizar Profundidad de la jerarquía
Elegir Diseños que permitan reorganizar dominios
Desplegar Al menos dos (2) Controladores de Dominio
por dominio
Desplegar Domains comodín durante migraciones
(para no provocar disrupción de servicio)
16. Modelo organizacional
Matriz Equipo IT Central
Enterprise Admins
Domain Admins
Schema Admins
Equipo IT Training Equipo IT Equipos Hw Equipo IT Licencias
Domain Admins Domain Admins Domain Admins
Training Equipos Hw Licencias
17. Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
21. Replicación Directorio Activo
Madrid
DC-1
DC-2 Barcelona
DC-3
Replicación Intrasite
(LAN)
DC-4 DC-5
Replication Intersite
(WAN)
22. Cuándo poner un DC en un Sitio
No
No
Sí Sí Sí Sí No
poner
un DC
¿Hay Admin ¿Enlace WAN ¿Es bueno el
¿Hay
para los DCs? estable? Inicio de
seguridad
física? Sesión?
No
No
No
¿Se requiere
24x7?
Sí
Poner
un DC
23. Cuándo poner un GC
No No No No
Poner DC y
habilitar
UGMC
¿Alguna ¿Existe ¿Usuarios
aplicación móbiles?
¿> 100 enlace WAN
requiere un
Catálogo Usuarios? a un GC?
Global (GC)? Sí
Sí
No
Sí Sí poner
GC
Poner
GC
24. FSMO’s
Servidor/Rol Regla
Todos Redes lo más fiables posibles
Primer Servidor En el sitio y lo más cerca posible del grupo de
usuarios más numeroso
Stand-by Designar uno inmediatamente
Maestro No colocarlo en un GC*
Infraestructura
PDCe En el sitio y lo más cerca posible del grupo de
usuarios más numeroso
Planning Operations Master Role Placement
25. Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
26. DNS y Espacio de Nombres
• Planificación y elección apropiada del
espacio de nombres
• Integración con BIND existentes
• Coexistencia con BIND existentes
• Entorno DNS nativo
27. Integración con BIND
• El servidor BIND debe soportar
– Actualizaciones dinámicas
– Registros SRV
– Transferencia incremental de zonas (recomendado, no
obligatorio)
• Todos los clientes y servidores apuntan como
DNS’s los servidores BIND
• Última versión BIND 9.3.1
Configuring Berkeley Internet Name Domain (BIND) to Support Active Directory
28. Coexistencia con BIND (1)
• El servidor BIND debe crear y delegar en DNS de Windows
2003 las siguientes zonas:
_udp.DNSDomainName
_tcp.DNSDomainName
_sites.DNSDomainName
_msdcs.DNSDomainName
Sustituir DNSDomainName por vuestro nombre (ej: contoso.com)
• 2 subdominios deben delegarse en el BIND para servidores
DNS basados en Windows 2003
ForestDnsZones.ForestDNSName
DomainDnsZones.DNSDomainName
29. Coexistencia con BIND (y 2)
• Ejemplo de configuración en el BIND:
_TCP IN NS dc1.contoso.com
_UDP IN NS dc1.contoso.com
_MSDCS IN NS dc1.contoso.com
_SITES IN NS dc1.contoso.com
ForestDNSZones IN NS dc1.contoso.com
DomainDNSZones IN NS dc1.contoso.com
192.168.100.1 dc1.contoso.com # Win2K3 Domain Controller
192.168.100.1 A contoso.com
Integrating Windows 2000 DNS into an existing BIND or Windows NT 4.0-based DNS namespace
30. Recomendación: Usar DNS
Windows 2003
• Integrado en Directorio Activo
• Permite actualizaciones seguras
• Replicación multi-master (basada en DA)
• Configuración muy sencilla de reenviadores condicionales,
Zonas Stub y reenviadores a DNS’s de ISP’s
CÓMO: Migrar una infraestructura DNS existente desde un servidor basado en BIND a un
DNS basado en Windows Server 2003
31. Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
32. Seguridad (1)
• Asegurar la comunicación con los
Controladores de Dominio (IPSec y GPO’s)
• Forzar el uso cuentas Administrativas
diferentes a las de usuario.
• Limitar el número de cuentas administrativas
• Auditar el uso de cuentas administrativas
33. Seguridad (2)
• Endurecer la Directiva del Dominio (Complejidad de
contraseñas, bloqueos de cuentas y Kerberos)
• Endurecer la Directiva de Controladores de
Dominio (Derechos de usuario, auditorías y
seguridad)
• Deshabilitar mecanismos de autenticación no
seguros (LM: LanManager)
• Deshabilitar servicios no necesarios
34. Seguridad (y 3)
• Delegación controlada de administración de
tareas.
• Deshabilitar servicios no necesarios
• Instalar antivirus con las exclusiones
obligatorias
36. Enlaces útiles (1)
• Active Directory Best Practices
• Windows Server 2003 Deployment Kit: Designing and Deploying Directory and Security
• Planning Domain Controller Capacity
• DNS Step-by-Step Guide
• Multiple Forest Considerations in Windows 2000 and Windows Server 2003
• Schema Documentation Program for Servers Running Windows 2000 or Windows 200
• Active Directory Performance Testing Tool (ADTest.exe)
• Designing Distributed File Systems
• Active Directory Directory Service Product Operations Guide
37. Enlaces útiles (2)
• Best Practices for Delegating Active Directory Administration
• Best Practices for Delegating Active Directory Administration Appendices
• Best Practice Guide for Securing Active Directory Installations
• Server and Domain Isolation Using IPsec and Group Policy
• Windows Server 2003 Active Directory Branch Office Guide
• Active Directory in Networks Segmented by Firewalls
• Active Directory Migration Tool v3.0
• Best Practices for Deploying Printer Location with Active Directory
38. Enlaces útiles (3)
• Extending Your Active Directory Schema for New Features in Windows Serve
• Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2
• Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 Do
• Windows Server 2003 R2 Branch Office: Frequently Asked Questions
• Windows Server 2003 R2: Support for Branch Offices
• BIND HomePage
40. Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario
virtualizado para ejecución de laboratorios. Un técnico por grupo imparte
explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo
tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios
de Contramedidas Hacker.
Sistemas http://www.microsoft.com
/spain/servidores/windowsserver2003/seminarios/hol.aspx
Desarrollo http://www.microsoft.com/spanish/msdn/spain/eventos/hol/defa
• Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia.
•Tenerife, Málaga y Sevilla
41. Webcast en su versión grabada de
Directorio Activo
• Active Directory - Usos y conceptos básicos del
Directorio Activo
• Active Directory - Conceptos Avanzados de
Directorio Activo
• Active Directory - La importancia del DNS para
el Directorio Activo
• Active Directory - Replicación del Directorio
Activo
• Active Directory - Uso avanzado de las politicas
de Grupo
42. Más Acciones de Directorio Activo
• Active Directory - Mejores practicas en las operaciones
de Directorio Activo.23 de Marzo.
• Active Directory - Migración desde Windows NT a
Directorio Activo. 6 de Abril.
• Active Directory - Uso avanzado del sistema de archivos
distribuido (DFS). 20 de Abril
• Active Directory - Gestión de Identidades (ADAM,
MIIS)
• Para información adicional y registro:
– http://www.microsoft.com/spain/technet/jornadas/
webcasts/default.asp
43. Más Acciones desde TechNet
• Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:
– http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_an
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_a
• Para información y registro de Futuros Webcast de éste y otros temas
diríjase a:
– http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp
• Para mantenerse informado sobre todos los Eventos, Seminarios y
webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección:
– http://www.microsoft.com/spain/technet/boletines/default.mspx
• Para estar informado sobre novedades vea nuestros It´s Showtime en:
– http://www.microsoft.com/spain/technet/itsshowtime/default.aspx
• Para acceder a toda la información, betas, actualizaciones, recursos,
puede suscribirse a Nuestra Suscripción TechNet en:
– http://www.microsoft.com/spain/technet/recursos/cd/default.mspx