INTRODUCCION

Active Directory proporciona un método eficaz para compartir

organizar y distribuir recursos de red dentro de una organización,

a simple vista y cuando no se ha tenido experiencia en entornos

de informática en los que el numero de equipos supera los 10

equipos dicha solución es impractica e innecesaria pero a medida

las empresas evolucionan y adquieren mas y mas equipo la tarea

de administrarlos se vuelve insostenible, es ahí donde Windows

Server 2003 se vuelve una alternativa viable.

A continuaron presentamos una guía fácil de entender para

aquellas personas que vienen de redes peer to peer o redes punto

a punto que es la que invariablemente puede encontrarse dentro

de empresas pequeñas en numero de equipos, el ambiente

tradicional es que se posean computadoras corriendo con

Windows XP y se utilice la carpeta de documentos compartidos

para compartir archivos documentos hojas de calculo etc.

Como se dijo antes este esquema esta bien para organización con

menos de 10 computadoras pero cuando estas crecen un buen

administrador de red debe recurrir a herramientas que le

permitan centralizar el control de los equipos dentro de un red de

dominio.

Através del presente documento pretendemos que el lector

conozca en forma efímera cuales son las facilidades que Windows

Server 2003 ofrece y como puede utilizarlas sin mayor dificultad,

esperamos sea de su agrado.

OBJETIVOS

Brindar una idea principal de Active Directory y algunos de los

servicios que Windows Server 2003 integra para la fácil

administración de una red corporativa, así como ejemplos

prácticos y concretos en los que dichos servicios pueden utilizarse

dentro de la practica tangible.

Active Directory

Antecedentes de Active Directory

La Introducción de Active Directory se llevo a cabo con Windows

Server 2003 antes de esto el manejo de redes en el modelo

cliente/servidor se llevaba a cabo en servidores Windows NT, las

características principales de estos servidores era que no tenían

una organización jerárquica, por la que la administración era

ineficiente y tediosa además de poco escalable; cada vez que se

quería crear algún elemento había que ingresarlo a un solo nivel

es decir que estaba fundamentado en una arquitectura de tipo

plano, otro problema que existía es el de la replicación de datos,

este hacia que la base de datos principal se copiara a distintos

servidores para poder mantener actualizada toda la red y

permitir el acceso a los recursos de red

Primary Domain Controllers Y Backup Domain Controllers

En la tecnología de Windows NT originalmente existía lo que se

conocía como un PDC donde residía toda la información de

cuentas passwords y elementos de la red, también estaban los

BDC`s que no era mas que una copia del PDC principal para dar

acceso a usuarios de otros departamentos dentro de una

empresa.

Windows Server 2003 y Active Directory

Con la llegada de Windows Server 2003, se introdujo una nueva

forma de hacer las cosas basada fundamentalmente en jerarquías

de objetos y atributos, la principal ventaja de esto es que se

puede copiar la organización de una empresa dentro del Active

Directory, con todo su directorio tal y como es en la vida real, esto

es muy diferente a Windows NT pues cada objeto dentro del

Active Directory tiene una representación física en la realidad. Los

atributos no son mas que propiedades de objetos; un objeto

puede ser una persona una computadora un departamento de la

empresa un empresa dentro de un grupo de empresas con sus

sucursales etc.

una ejemplo muy ilustrativo para entender como esta organizado

el Active Directory es relacionar a un objeto con una casa dentro

de una colonia, una colonia es una unidad organizativa una

unidad organizativa puede a la vez pertenecer a una ciudad en

concreto lo que en terminología del Active Directory vendría a ser

una árbol; un árbol puede al mismo tiempo estar correlacionado

con otros árboles para forma lo que se conoce como un bosque lo

que seria equiparable a un municipio o departamento si tomamos

de ejemplo la organización política de nuestro país.

Organización Análoga del Active Directory

Schema

Otra ventaja de Active Directory es que puede extenderse la

schema tanto como se desee.

Schema es la información sobre los atributos de cada objeto que

puede almacenarse, por ejemplo tenemos creado en un Active

Directory un usuario que pertenece al departamento de ventas,

sobre este usuario pueden almacenarse multitud de información

como nombre apellido dirección correo electrónico dirección

particular numero de celular etc. etc.,

Incluso con Active Directory puede utilizarse programaticamente

esta información, esto es que a través de un lenguaje de

programación se pueda consultar la información sobre los objetos

que se encuentra almacenada en el Active Directory, se hace por

medio de una herramienta conocida como ADSI Active Directory

Services Interface

Ambiente tradicional de Redes

Para entender mejor por que se necesita una arquitectura de

dominio se debe entender primero cuales son los problemas que

se dan cuando dentro de una empresa se manejan redes punto a

punto.

Antes de la existencia de Active Directory o DPC las redes se

manejan en forma de punto a punto esto es que cada maquina

posee archivos propios y algunos recursos mas como impresoras

por ejemplo.

Cada recurso se comparte con los demás usuarios de la red, en

un principio puede parecer un modelo sencillo y fácil de manejar

sin embargo a medida la información dentro de la empresa va

creciendo se vuelve cada vez mas difícil de controlar.

Por ejemplo acciones de encontrar un determinado archivo una

impresora un documento o asignar seguridad se mueven tareas

sumamente complejas, manejar una red de esta forma puede

llegar a convertirse en un verdadero dolor de cabeza sobre todo

cuando los numero de puntos en la red llegan a 100 200 o 500

equipos, prácticamente es insostenible

Ambiente de dominio:

La diferencia de una red con dominio es el enfoque de

centralización que esta posee, con un Active Directory la

administración de la red y sus recursos como archivos

documentos impresoras políticas de acceso etc. se vuelve mas

practica y eficiente, todo se almacena dentro de un base de datos

central a la cual todas las terminales tiene acceso para entrar y

poder acceder a los recursos de red.

Definitivamente una red de dominio es mucho mas escalable que

una red punto a punto, a este sistema de administración se le

conoce como cliente/servidor; muchos clientes consultando a un

servidor sobre que recursos de red puede utilizar y bajo que

condiciones de seguridad y tipos de acceso (lectura escritura

edición etc.).

RID

RID se traduce como identificación relativa y es una de las claves

del Active Directory ya que permite identificar dentro de una red

de dominio con un solo nombre a cada objeto dentro del Active

Directory, ello significa que no pueden haber elemento duplicados

dentro de un dominio, cada objeto posee un identificador único e

irrevocable.

Cabe mencionar que el RID solo aplica dentro de un mismo

dominio en forma relativa a su jerarquía, como puede verse es

una manera efectiva de asignar políticas de acceso y seguridad a

cada objeto por individual.

RPC

Remote process control; es un protocolo de comunicación

utilizado por los servidores de dominio para comunicarse entre sí

y poder replicar el Active Directory en múltiples servidores espejo

ubicados quizá fuera de una oficina físicamente, como lo podría

ser una empresa con múltiples sucursales dentro del país

Es común que dentro de una empresa existan sucursales en

lugares físicamente remotos,

La pregunta es como hace una empresa para permitir al acceso

seguro desde una sucursal X a una matriz Y en forma segura y

bajo el enfoque de centralización que Active Directory

proporciona, la respuesta es RPC.

RPC ayuda a sincronizar efectivamente la información dentro los

Active Directory,

Este aspecto se puede configurar a través de dos formas básicas

que van depender del tipo de conexión de red que se posea; una

sirve para redes rápidas conocido como Intransite Replication y

el otro para redes lentas llamado Intersite Replication

Intrasite Replication usa simplemente una copia de datos

común y corriente para transferir la información de cuentas y

políticas de seguridad a sus servidores espejo; el Intersite

Replication utiliza métodos de compresión y optimización sobre

protocolo TCP/IP para transmitir, lo que lo vuelve optimo para

conexiones de baja transferencia como accesos telefónicos de 56k

DNS

Domain Name Server, es una manera efectiva de acceder a

recursos de red con un nombre y no con una dirección de red

TCP/IP.

Ejemplo de una dirección de red TCP/IP podría ser 24.133.155.7

en lugar de digitar este numero se puede acceder por medio de

un nombre como host.ventas.compañia.com.

Windows Server 2003 y Active Directory utilizan DNS para

localizar nombres de domino y recursos fácilmente, através del

constante almacenamiento de archivos con una dirección en

formato TCPI/IP asociada a ellos automáticamente.

Un aspecto importante del modelo DNS es que permite mantener

una base de datos distribuida en la red, en diferentes servidores;

si a un servidor le solicitan un recurso de red que no conoce este

transfiere esta petición a otro servidor para que talvez esta

responde si sabe la dirección correcta de dicho recurso de red

DNS también organiza y maneja los nombres en forma de

jerarquía tal y como Active Directory trabaja internamente, es

mucho mas fácil recordar un nombre que una dirección TCP/IP

como 192.32.2.1 por lo cual DNS facilita la tarea

Nombres de espacio o Domain Namespace

Si el mundo fuera una sola red probablemente este característica

no seria necesaria ya que como todos los recursos de una red

(Internet por ejemplo) estarían dentro de un mismo lugar bastaría

con digitar el nombre del recurso y asegurarse que dicho nombre

sea único para poder accederlo, sin embargo como en el mundo

real existen routers swicthes subredes etc. se debe acudir a una

nomenclatura de forma jerárquica para localizar un recurso dentro

de una red sobre todo si es una red enorme como Internet por

ejemplo.

Algunos ejemplos de recursos de red puede ser como:

empresa.com

ventas.empresa.com

compras.empresa.com

ingenieria.empresa.com

server1.ingeniria.empresa.com

server2.ingeniria.empresa.com

Este ultimo muestra como podría localizar un Host o equipo

dentro de una red bajo la nomenclatura jerárquica utilizada por

DNS, el nombre se detalla a continuación para entender mejor el

sistema de nomenclatura

Nombre de dominio superior:

Los nombres de dominio superior no son más que agrupaciones

superiores de computadoras dentro de una red existen múltiples

dominios de nivel superior para cada tipo de organización como

por ejemplo:

.com Organizaciones de tipo

comercial

.net Organizaciones

comerciales o de

cualquier otro tipo que

tienen algo que ver con

redes o Internet,

normalmente se utilizo

para proveedores de

servicios de Internet sin

embargo en la actualidad

ante la escasez de

dominios com se utilizo

también para empresas

de cualquier índole

comercial

.org Organización sin fines de

lucro

.edu Organizaciones

educativas

.gob Para organización de tipo

gobierno

.com.sv Organizaciones

comerciales

pertenecientes a el

salvador

DHCP

DHCP es una forma rápida de asignar la configuración de una red

a las estaciones de trabajo, a simple vista pareciera fácil

configurar cada maquina dentro de un red organizativa

manualmente introduciendo el numero de IP mascara de subred y

servidores DNS manualmente, sin embargo cuando se trata de

una red con 100, 200 0 500 terminales el trabajo de reconfigurar

cada maquina manualmente puede ser realmente tedioso.

Windows Server proporciona el servicio de DHCP Dynamic Host

Configuration Protocol que resuelve el problema de asignación

masiva de configuraciones de red con facilidad.

Imagine por ejemplo que por X o Y motivo los números de IPS de

los servidores DNS deben de ser cambiado en el servidor donde

se encuentra corriendo el servicio de DNS de la red de domino

con Active Directory, con DHCP basta con hacer unos cuanto

ajustes dentro del servidor DNS cambiar el numero de IP del

nuevo servidor DNS y dejar que la nueva configuración se

propague dentro de la red para cada uno de los equipos que la

conforman.

Alternativa a Directorio Activo

OpenLDAP Server+Ubuntu Server

LDAP es el acrónimo de Lightweight Directory Access Protocol,

que es una versión simple del protocolo x.500 desarrollado en la

universidad de Michigan para el acceso a recursos de un directorio

dentro de una red, actualmente es un estándar ocupado por

muchos desarrolladores de software como Microsoft Linux y

otros , internamente LDAP

Como funciona, OpenLDAP utiliza una base de datos separada que

contiene el directorio de configuración con la información

esquematizada en forma de árbol, se administra por medio de un

demonio (proceso oculto del sistema operativo Linux) llamado

como SLAPD.

El protocolo LDAP proporciona un mecanismo fácil de

comunicación entre los clientes que solicitan información

especifica como nombre de usuario pass Word permisos de

acceso correo electrónico etc.

Toda la información es almacenada en una base de datos

transaccional optimizada para operaciones de lectura y no tanto

de escritura organizada en entradas que representan un objeto

especifico como organizaciones personas grupos y locaciones,

cada uno de los cuales puede contener atributos especiales e

individuales usados para definir el acceso

Integración con Windows:

Las características de directorio activo de Windows Server

pueden ser fácilmente implementada en un entorno Linux

utilizando OpenLDAP Samba y Ubuntu Server , la integración es

totalmente transparente pudiéndose incluso implementar

entornos en los que el servidor sea un sistema operativo basado

en Linux y el cliente este basado en un sistema operativo como

Windows Xp y vista

Sobre WBSAgnitio

Esta es una herramienta de configuración integra todo lo

necesario para implementar una red de dominio como las que se

utilizan en entornos Windows Server y clientes Windows Xp y 98

sin necesidad de pagar el alto costo por licencias que ello implica

WBSAgnitio integra servicios como NTP, DHCP, servicios de

directorio LDAP, DNS, NT, Kerberos

De estos servicios el que mas destaca es el de NT ya que permite

a un cliente Windows autenticarse dentro de un servidor Linux en

forma totalmente transparente como lo haría con un servidor

Windows tradicional.

CONCLUSIONES

En conclusión a lo largo de este documento se ha podido

proporcionar una idea somera de lo que Windows Server 2003

ofrece al administrador de red, cada día aspectos de seguridad y

control de acceso son críticos para el buen funcionamiento del

equipo IT de una empresa, como futuros profesionales de

informática es necesario que se conozca la mayoría de

alternativas posibles para dar una solución a un problema como

este sobre todo en el área de seguridad de redes y control

organizativo; en este sentido se ha presentado una alternativa de

bajo costo en la parte final del documento que permite emular el

active Directory para poderlo correr sobre ambientes Linux o bien

en un ambiente mixto de servidores Linux y clientes Windows o

viceversa.

RECOMENDACIONES

Se recomienda al lector que ahonde mas en temas de

administración mixta entre Windows y SOS Linux ya que en la

practica estamos seguros que a futuro será el tipo de ambiente

informático que predominara a futuro, por lo tanto seria una

buena practica instalar probar e implementar herramienta como

la de WBSAgnitio que permite manejar un ambiente mixto,

dichos aspectos están fuera del alcance de este documento por lo

que consideramos de vital importación que el usuario investigue

mas.

BIBLIOGRAFIA

MCSE:Windows® Server 2003

Active Directory Planning,

Implementation, and

Maintenance

Study Guide

Second Edition

Robert Shimonski, James Chellis, Anil Desai

Terminal Services for Microsoft Windows Server 2003: Advanced Technical Design Guide

by Brian S. Madden and Ron Oglesby  ISBN:0971151040

BrianMadden.com © 2004