Download - Modulo 2 - Introducing Active Directory Domain Service

Transcript
  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    1/17

    En un Grupo de Trabajo, la autenticacin de los usuarios (comprobar la validez de su nombre y contrasea) se hace a nivel local en cadamquina. Cada mquina guarda su propia base de datos de usuarios y contraseas, que en Windows, se llama SAM (Security AccountManager). Esto hace que sea complicado trabajar en red.

    Ejercicio:

    ------------------------------------------------------------------------------------------------------------------------------------------Crear una cuenta que se llame ITCamp / P@ssw0rd

    ------------------------------------------------------------------------------------------------------------------------------------------

    En un controlador de Dominio (LON-DC1) no se pueden crear cuentas de usuario, si en las mquinas que estn dentro del dominio (LON-SRV1, por ejemplo).

    AD DS (Active Directory Domain Services)

    Es un servicio que consta de varios componentes. Estos componentes son tanto fsicos como lgicos.

    FISICOS:

    CONTROLADOR DE DOMINIOS.

    Son servidores que almacenan copias de la Base de Datos del Directorio Activo (Data Store). Son las mquinas masimportantes dentro del dominio, gestionan todas las actividades en el dominio: Recursos, Autenticacin,Autorizacin, Permisos, Credencias, ...etc.

    Una buena prctica es contar con mnimo de 2 DC (Domain Controllers) en el dominio. La base de datos se replicaconstantemente entre ellos y si uno falla, el otro mantiene el funcionamiento del dominio.

    BASE DE DATOS DEL DIRECTORIO ACTIVO (ntds.dit):

    NTDS: NT Domain Service

    DIT: Directory Information Tree

    RODC (Read-Only Domain Controller):

    Es un DC que almacena una copia de solo lectura del Directorio Activo.

    Se usa en sucursales para mejorar el rendimiento, pero sin comprometer la seguridad del dominio.

    No almacena (por defecto) credenciales en cach.

    NOTA: Las directivas de grupo se almacenan dentro de SYSVOL

    GLOBAL CATALOGUE: Es un subconjunto del Directorio Activo.

    Ejemplo: adatum.com: tiene usuarios, grupos, equipos, recursos, etc... Cada uno de esos objetos tiene un conjunto de atributos:

    Usuario: Nombre de usuario, password, Grupos a los que pertenece, Telf., Departamento, etc... Los equipos tambin tienen mas atributos...

    Todo esto se almacena enntds.dit Creamos otro dominio para la organizacin, por ejemplo: contoso.com. Si queremos que, por ejemplo,

    el usuario de adatum.com, acceda a los recursos de contoso.com, necesitamos solo algunos atributos

    de ese usuario (nombre de usuario, password, y grupos a los que pertenece) si necesita msinformacin se lo preguntara a adatum.com. Los DC de contoso.com almacena ese subconjunto deatributos de objetos de adatum.com

    El Catlogo Global es un subconjunto de atributos que se almacenan en todos los DCs de todos los dominios de unmismo bosque.

    LGICOS: COMPONETES LOGICOS DE AD DS:

    Particiones: El archivo ntds.dit est dividido a nivel lgico en varios trozos que se denominan "Particiones". Tenemos varias particiones (contextos de nombres naming context):

    Schema --> Una de las particiones se llama Esquema. Lo que guarda es el patrn o la huella quecompone cada uno de los objetos. Almacena todos los objetos del Directorio Activo.

    Catlogo Global(Global Catalogue): Es una particin independiente sin tener que llevarme el archivocompleto. (por ejemplo, usuario, contrasea...) lo bsico

    Configuracin (Configuration): Almacena la estructura del Directorio Activo, como sitios, dominios,subdominios.

    Cada particin est gestionada por una funcin que se ejecuta en una mquina concreta. La mquina que

    lleva a cabo esa operacin se llama Maestro de Operaciones. En ingls, FSMO (Flexible Single MasterOperations). Inicialmente todos los FSMO estn en el primer DC que creamos en el bosque. Por ejemplo: LON-DC1 ahora mismo tiene todos los maestros de operaciones.Hay 5 Maestros de operaciones:

    netdom queryhacemos consultas al directivo

    Mdulo 2: Introduction to Active Directory Domain

    Servicesjueves, 2 de octubre de 2014 9:37

    Page 1 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    2/17

    Con este comando estamos consultado en directorio fsmo. Schema masteres por as decirlo la plantilla y hay uno para todo el bosque. (son nicos para todo

    el bosque) RID pool manager: SID: Security Identifier: Ese ID siempre es diferente, aunque cree un usuario, por ejemplo

    Antonio, lo borro y creo oro usuario que se llama Antonio, le proporciona otro ID. porejemplo: (S-1-0-5-1234-12342323....-354)La parte del principio es fija. Lo que cambia son los 3 ltimos nmeros y a esos nmeros seles llama RID.

    RID: Relative Identifier (en este caso 354) RID master es quien se encarga de asignar esenmero.

    Domain naming master: es quien se encarga de almacenar la lista de todos los dominios quetengo creados y la relacin que hay entre ellos.

    Infrastructure master: es quien se encarga de almacenar la estructura fsica del dominio, sabe siest en Barcelona, en Madrid, etc...

    PDC Emulator: Controlador de Dominio Principal (Primary Domain Controller). Permite mantenerla compatibilidad con funciones antiguas que se ejecutaban en un Directorio Activo como porejemplo Windows NT

    Puede que alguna vez tenga que transferir la informacin a otra mquina, para ello se utiliza elcomando: ntdsultil(exit).Con esta herramienta podemos hacer por ejemplo copias de seguridad delDirectorio Activo.La "?" para pedir la ayuda.

    Para entrar en el mantenimiento de fsmo:

    Cuando falla un servidor se utiliza el comando Seize y si todava est activo Transfer.

    Para saber donde estn los fsmo primero tengo que saber donde estn las conexiones:

    Pedimos ayuda:

    NOTA: El Directorio Activo sigue el estndar LDAP (Lightweight Directory Access Protocol)

    Otros servicios de directorio que siguen el estndar y con los que podemos interactuar son:-OpenLDAP (Linux)-Oracle Directory Services. Incluido con Oracle.

    Identity and Access Manager (OIAM).

    NOTA: Schema Master y Domain Naming Master son nicos para todo el bosque.RID, PDC e Infraestructure Master son uno para cada dominio dentro del bosque.

    Si quiero ver el Maestro de Esquemas (IMPORTANTE!!!!)

    Page 2 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    3/17

    Ya aparece y si borras algo te puedes cargar el esquema, tu dominio y todo lo dems. EL ESQUEMA NO SETOCA!!!

    Otra herramienta para trabajar con el Esquema pero menos peligrosa es:Server Manager --> Tools --> ADSI Edit --> Action --> Connection toSolo se utiliza para hacer ciertos cambios que no puedo hacer desde otros sitios.

    Page 3 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    4/17

    Tambien hay casos en los que uno de los DC se corrompe y aparece el famoso pantallazo azul. Para transferir los FSMO de un DC a otroutlizamos ntsutil /seize https://support.microsoft.com/en-us/kb/255504

    DOMINIO: Un Dominio es un contenedor de objetos: Usuarios, grupos, equipos.... La nueva versin del RID Master permite tener un dominio hasta 2.000.000.000 objetos No tiene lmites fsicos ni est asociado a una red o subred concreta En el dominio, la base de datos de AD se replica completa y de forma constante.

    RBOL: Conjunto de Dominios que comparten una parte de su esquema de nombres (contexto de nombres).

    Por ejemplo: rbol 1: adatum.com, madrid.adatum.com, sistemas.madrid.adatum.com, segovia.adatum.com....... rbol 2: contoso.com, madrid.contoso.com, sistemas.madrid.contoso.com, segovia.contoso.com.........

    BOSQUE: Conjunto de rboles bajo una administracin comn. El primer dominio que creamos en un bosque se denomina Dominio Raz (Root Domain). Para nosotros es: adatum.com El tipo de replicacin que se hace en los dominios se llama: Replicacin MultiMaster. En el Dominio Raz tenemos objetos que no existen en los otros dominios.

    Enterprise Administrators: Grupos con privilegios administrativos sobre TODOS los dominios del bosque. Schema Admins: Grupo con privilegios para la administracin del esquema.

    A nivel de cada dominio particular tenemos otros objetos; Domain Admins: Tienen privilegios administrativos SLO en su dominio.

    Replicacin MultiMaster. Cualquier DC de un Dominio puede ser el origen de cambios y se replicarn a todos los dems DCs de ese Dominio.

    El mtodo de replicacin utilizado por el Directorio Activo es: FSR (File System Replication): Windows Server 2012 o anteriores. DFS (Distribued File System): Es el nico mtodo disponible en Windows Server 2012 R2.

    En Windows Server 2012 o anteriores tenamos la posibilidad de usar FSR o DFS. A partir de Windows Server 2012 R2 slopodemos usar DFS.

    Los DC son los encargados de: Autenticacin: Validar credenciales. Comprobar que tenemos un usuario y contrasea vlidos. Autorizacin: Determinar el nivel de permisos que tiene un usuario sobre los recursos.

    Decidir los privilegios que se le asignan: Permisos: Lectura, escritura, modificacin.... Privilegios: Iniciar sesin local, modificar el fondo de pantalla, hacer copias de seguridad....

    Todos los dominios de un bosque mantienen relaciones de confianza con el resto de los dominios de ese mismo bosque. Unusuario de cualquier dominio puede iniciar sesin en otro dominio del mismo bosque y se pueden dar permisos a un usuario decualquier dominio sobre recursos en un mismo bosque.

    Unidades Organizativas: Son contenedores a los que podemos aplicar GPOs (Directivas de Grupos) Se utilizan para reflejar la estructura jerrquica de la empresa. Por ejemplo: podemos tener un dominio madrid.adatum.com

    con las siguientes OUs: Sistemas:

    Porttiles

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    5/17

    Para actualizar el Directorio Activo a la nueva versin (antes de Windows Server 2012), era necesario "preparar" el esquema paraacoger las nuevas caractersticas.

    Por ejemplo: Para actualizar el dominio de Server 2003 a Server 2008, era necesario preparar el esquema para caractersticascomo la Papelera de Reciclaje de AD.La preparacin implicaba 2 comandos:

    adprep / forestpred adprep / domainpred

    Ejemplo:

    Actualizar el directorio activo a W2k12:

    Dibujo cuaderno.

    CONTROL DE ACCESO: MUY IMPORTANTE!!! Permite controlar el acceso a los recursos de una forma mas detallada y flexible usando DAC (Dynamics Access Control). Es una

    evolucin de NTFS. AD Recycle Bin:

    En Windows Server 2008 R2, para activar y gestionar la papelera de reciclaje de AD slo podamos usar PowerShell. En Windows Server 2012 se activa y gestiona desde el AD (Administrative Center)

    MUY IMPORTANTE!!!!

    WORKPLACE JOIN!!!! Es una solucin de BYOD (Bring Your Own Device) Dispositivos (smartphones, tablets, .) que no pertenecen al dominio, reciben temporalmente acceso a recursos del dominio. Un sistema completo MDM (Mobile Device Management) es Windows Intune.

    WEB APPLICATION PROXY!!!!

    AUHENTICATION. TGT: Ticket Granting Ticket

    Mirar FSMO por PowershellCon Get-ADForest ves los 2 FSMO a nivel de bosque

    Aparece DomainNamingMaster y SchemaMasterOtra forma: Ves los 3 FSMO a nivel de DominioRidMasterPDCEmulatorInfraestructureMaster

    Desde LON-SRV3 Con el usuario de adatum:Aparecen los mismos resultados.

    Page 5 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    6/17

    Ahora entramos con el administrador de curso.

    Y aparecen distintos resultados. Echar un vistazo detenidamente!!

    LESSON 3:

    IFM (Installation From Media) Para evitar la replicacin de toda la base de datos de AD a travs de la red, podemos hacer una copia de ella en un pendrive, una

    carpeta compartida, un dvd, etc... Promocionamos el nuevo DC desde el pendrive, por ejemplo.

    No podemos hace la copia de la base de datos que est en funcionamiento:1.- Se puede parar el dominio (mala opcin)2.-Hacer una snapshot (instantnea) de la base de datos. Utilizando (ntdsutil)

    Para promocionar desde un CORE se instala la caracterstica Install-WindowsFeature AD-Domain-Services

    Page 6 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    7/17

    Ejercicio:

    --------------------------------------------------------------------------------------------------------------------------------------------------------------Promocionar LON-CORE a DC en ADATUM de forma remota usando PoweShell desde LON-DC1

    Desde LON-DC1: Enter-PSSesion

    LON-CORE

    Install-WindowsFeature AD-Domain-Services (Con esto ya hemos instalado AD DS Necesario para promocionarlo)

    Install-ADDSDomainController

    P4$$w0rd P4$$w0rd

    ERROR!!!

    Al lanzar el comando: Install-ADDSDomainController (falta algo) y seria: Antes hay que introducir las credenciales, y se van a almacenar en la variable credencial

    $_credencial=(Get-Credential) --> (voy a almacenar en la variable credencial la funcin

    Aparece esta imagen:

    Le damos las credenciasles: Adatum\Administrator ---> P4$$w0rd Vemos los datos introducidos con echo $_credencial

    Utilizamos el comando completo y pide usuario y contrasea

    Page 7 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    8/17

    Lo introducimos y nos pide confirmacin y ya.

    --------------------------------------------------------------------------------------------------------------------------------------------------------------

    Ejercicio:

    Promocionar LON-SRV1 a DC en ADATUM usando IFM (Installation From Media) haciendo una instantnea del AD en LON-DC1

    Page 8 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    9/17

    Cuando accedemos a ntdsutil hay que decirle la instancia con la que queremos trabajar

    --------------------------------------------------------------------------------------------------------------------------------------------------------------

    LESSON 3:

    Page 9 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    10/17

    IFM (Installation From Media) Para evitar la replicacin de toda la base de datos de AD a travs de la red, podemos hacer una copia de ella en un pendrive, una

    carpeta compartida, un dvd, etc... Promocionamos el nuevo DC desde el pendrive, por ejemplo. No podemos hace la copia de la base de datos que est en funcionamiento:

    1.- Se puede parar el dominio (mala opcin)2.-Hacer una snapshot (instantnea) de la base de datos. Utilizando (ntdsutil)

    Para promocionar desde un CORE se instala la caracterstica Install-WindowsFeature AD-Domain-Services

    Ejercicio:--------------------------------------------------------------------------------------------------------------------------------------------------------------

    Promocionar LON-CORE a DC en ADATUM de forma remota usando PoweShell desde LON-DC1

    Desde LON-DC1:

    Enter-PSSesion

    LON-CORE

    Install-WindowsFeature AD-Domain-Services (Con esto ya hemos instalado AD DS Necesario para promocionarlo)

    Install-ADDSDomainController P4$$w0rd

    P4$$w0rdERROR!!!

    Al lanzar el comando: Install-ADDSDomainController (falta algo) y seria:

    Antes hay que introducir las credenciales, y se van a almacenar en la variable credencial $_credencial=(Get-Credential) --> (voy a almacenar en la variable credencial la funcin

    Aparece esta imagen:

    Le damos las credenciasles: Adatum\Administrator ---> P4$$w0rd Vemos los datos introducidos con echo $_credencial

    Utilizamos el comando completo y pide usuario y contrasea

    Page 10 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    11/17

    Lo introducimos y nos pide confirmacin y ya.

    --------------------------------------------------------------------------------------------------------------------------------------------------------------

    Ejercicio:

    Promocionar LON-SRV1 a DC en ADATUM usando IFM (Installation From Media) haciendo una instantnea del AD en LON-DC1

    Page 11 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    12/17

    Cuando accedemos a ntdsutil hay que decirle la instancia con la que queremos trabajar

    --------------------------------------------------------------------------------------------------------------------------------------------------------------

    Da 11.

    Ejercicio anterior Continuacin:

    Tomamos LON-DC1 como origen y vamos a copiar la base de datos de AD para promocionar LON-SRV1 a DC mediante IFM.

    Page 12 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    13/17

    1.- Copiar la base de datos:

    ntdsutil

    active instance ntds

    IFM

    create full SYSVOL C:\IFM

    2.- Llevamos el contenido de C:\ IFM a la mquina que vamos a promocionar (LON-SRV1)

    3.- Instalamos el Rol de AD DS en LON-SRV1 y promocionamos a partir de los archivos IFM

    En LON-SRV1 copiamos el archivo IFM, lo podemos hacer bien copiando de escritorio a escritorio o bien buscando LON-DC1 desde LON-SRV1

    Instalamos AD DS en LON-SRV1

    Instalamos el Dominio sin servidor DNS, y buscamos la carpeta IFM que es donde tenemos lo que queremos que replique.

    Pulsamos en "Verify" y "NEXT"

    Page 13 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    14/17

    Pulsamos todo "NEXT" --> Install

    con esto tenemos otro controlador de dominio, pero la replicacin en vez de hacerlo a travs de la red se ha hecho de forma local.

    --------------------------------------------------------------------------------------------------------------------------------------------------------------

    Cloud Computing (computacin en la nube)

    Cuando hablamos de computacin en la nube aparecen los siguientes trminos:

    IaaS: Infrastructure as a Service (Infraestructura como servicio) --> ah lo que hacemos es contratar el espacio de almacenamiento,memoria RAM y capacidad de procesamiento CPU. AZURE es la nube pblica de Microsoft. Hay mas nubes, por ejemplo, AmazonElastic Cloud Computer (EC2), Google Computer Engine (GCE)...

    PaaS: Platform as a Service (Plataforma como servicio). --> Gestionamos un servicio como Base de Datos sin tener que preocuparnosdel sistema operativo en el que est instalada. AZURE tambin funciona como una plataforma PaaS. Tambin, Amazon DB

    SaaS: Software as a Service (Software como un servicio) --> Tienda virtual, correo electrnico, almacenamiento y gestin de fotos,etc... Google Apps, Google Docs, Dropbox, Gmail, Yahoo Mail, Hotmail, etc...

    Clonado de un Controladores de Dominio Virtuales: Importante!!!

    En Windows Server 2012 R2 podemos clonar cualquier mquina virtual, ya que soporta VM-Generation ID.

    Requisitos para clonar una maquina virtual:

    Sistema Operativo e Hypervisor que soporte VM-Generation ID.

    Requisitos para clonar un DC (Controlador de Dominio) virtual:

    Lista de Roles compatibles para clonar. Por ejemplo, DHCP es incompatible con el clonado. Tenemos que obtener esta lisa desdePowershell.

    Obtener un archivo de configuracin para la mquina clonada: Nombre de la mquina, Direccin IP, Mascara, Sitio, ....

    La mquina original debe estar dentro de un grupo que se llama, controladores de dominios clonados "Cloneable Domain Controler".Una vez hecho el clonado, sacamos las mquinas del grupo para evitar clonados no autorizados.

    Ejercicio:

    --------------------------------------------------------------------------------------------------------------------------------------------------------------

    A partir de LON-DC1 voy a obtener LON-DC2 (clonar)

    LON-DC1--> clonar --> LON-DC2

    El inconveniente es que tenemos que parar la mquina origen (LON-DC1)

    Vamos a LON-DC1 para prepararlo para el clonado.

    Page 14 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    15/17

    Vamos a las propiedades. Y en "Members" no debera haber nada

    Pulsamos en "Object Types" y marcamos Computers

    Page 15 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    16/17

    Y pulsamos "OK"

    Ahora desde Powershell:

    1. -Vamos a sacar la lista de Roles (aplicaciones) disponibles

    2. -Sacar archivo para el clonado XML.

    1.- Vamos a sacar la lista de Roles (aplicaciones) disponibles, pero ahora vamos a sacar la lista de los que son incompatibles:

    Si lo lanzo as, muestra si hay algo incompatible.

    Queremos la lista en XML para el clonado

    El nombre del archivo me lo tengo que aprender. --> "lista personalizada para la clonacin de controladores de dominio"

    Quiero ver como queda el archivo

    Ahora vamos a crear el archivo de configuracin:

    La maquina nueva tiene que tener otra direccin IP, otro nombre, etc...

    Le vamos a poner una IP esttica:

    Le damos la mascara de subred:

    La puerta de enlace

    El sitio donde se va a guardar el archivo de configuracin:

    El comando completo es:

    Page 16 of 17OneNote Online

    11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

  • 7/25/2019 Modulo 2 - Introducing Active Directory Domain Service

    17/17

    Es imprescindible que el PDC FSMO sea como mnimo Windows Server 2012 (primera lnea marcada en verde)En amarillo aparece la ubicacin del archivo. Y si abrimos DCCloneConfig vemos la informacin con la que se va a clonar.

    Hemos copiado el archivo de LON-DC1 y hemos ejecutado primero LON-DC1 y luego hemos cambiado el nombre a LON-DC2 y la hemos ejecutado, nos pregunta si es una copia.

    Esta imagen la pongo para ver qu es lo que hemos puesto antes en la ruta con cdigo -SiteName "Default-First-Site-Name"

    Page 17 of 17OneNote Online