DIRECTORY SERVICE
KELVINCOCO13 de Octubre de 2013
4.680 Palabras (19 Páginas)260 Visitas
Active Directory Services
1. Introducción
Durante este capítulo Usted irá asimilando conocimientos acerca de los servicios de directorio (Active Directory Services) de Windows Server 2008, en particular, sobre algunas características nuevas de este servicio.
Para el desarrollo de las prácticas contenidas en esa unidad, necesitará la instalación de Windows Server 2008 realizada en la práctica 1 del capítulo 2 y una instalación adicional.
Al finalizar este capítulo Usted tendrá las habilidades de:
Describir las características del servicio de directorio Active Directory. Identificar estructuras lógicas y físicas. Instalar y configurar Active Directory en la red. Identificar características referentes a la replicación. Solucionar problemas de Active Directory.
1.1. Definición
En una red de Microsoft® Windows® Server 2008, el servicio de directorio Active Directory® proporciona la estructura y las funciones para organizar, administrar y controlar el acceso a los recursos de red. Para implementar y administrar una red de Windows Server 2008, deberá comprender el propósito y la estructura de Active Directory.
Active Directory proporciona también la capacidad de administrar centralmente la red de Windows Server 2008. Esta capacidad significa que puede almacenar centralmente información acerca de la empresa, por ejemplo, información de usuarios, grupos e impresoras, y que los administradores pueden administrar la red desde una sola ubicación.
Active Directory admite la delegación del control administrativo sobre los objetos de él mismo. Esta delegación permite que los administradores asignen a un grupo determinado de administradores, permisos administrativos específicos para objetos, como cuentas de usuario o de grupo.
Active Directory es el servicio de directorio de una red de Windows Server 2008, mientras que un servicio de directorio es aquel que almacena información acerca de los recursos de la red y permite que los mismos resulten accesibles a los usuarios y a las aplicaciones. Los servicios de directorio proporcionan una manera coherente de nombrar, describir, localizar, tener acceso, administrar y asegurar la información relativa a los recursos de red.
1.2. La funcionalidad
Active Directory proporciona funcionalidad de servicio de directorio, como medio para organizar, administrar y controlar centralmente el acceso a los recursos de red. Asimismo hace que la topología física de red y los protocolos pasen desapercibidos, de manera que un usuario de una red pueda tener acceso a cualquier recurso sin saber dónde está el mismo o cómo está conectado físicamente a la red. Un ejemplo de este tipo de recurso es una impresora.
Active Directory está organizado en secciones que permiten el almacenamiento de una gran cantidad de objetos. Como resultado, es posible ampliar Active Directory a medida que crece una organización, permitiendo que una organización que tenga un único servidor con unos cuantos centenares de objetos, crezca hasta tener miles de servidores y millones de objetos.
Un servidor que ejecuta Windows Server 2008 almacena la configuración del sistema, la información de las aplicaciones y la información acerca de la ubicación de los perfiles de usuario en Active Directory. En combinación con las directivas de grupo, Active Directory permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicación central, al tiempo que utiliza una interfaz de administración coherente.
Además, Active Directory proporciona un control centralizado del acceso a los recursos de red, al permitir que los usuarios sólo inicien sesión una sola vez para obtener pleno acceso a los recursos mediante Active Directory.
1.3. Estructura Lógica de Active Directory
Active Directory proporciona el almacenamiento seguro de la información sobre objetos en su estructura jerárquica lógica. Los objetos de Active Directory representan usuarios y recursos, como por ejemplo, las computadoras y las impresoras. Algunos objetos pueden llegar a ser containers para otros objetos.
Entendiendo el propósito y la función de estos objetos, Usted podrá realizar una variedad de tareas, incluyendo la instalación, la configuración, la administración y la resolución de problemas de Active Directory.
La estructura lógica de Active Directory incluye los siguientes componentes:
Objects. Estos son los componentes básicos de la estructura lógica. Object classes. Son las plantillas o los modelos para los tipos de objetos que se pueden crear en Active Directory. Cada clase de objeto es definida por un grupo de atributos, los cuales definen los valores posibles que se pueden asociar a un objeto. Cada objeto tiene una combinación única de los valores de atributos. Organizational units. Usted puede utilizar estos container objects para organizar otros objetos con propósitos administrativos. Organizando objetos en Organizational Unit, se hace más fácil localizar y administrar objetos. Usted puede también delegar la autoridad para administrar las Organizational Unit. Estas últimas pueden contener otras Organizational Units para simplificar la administración de objetos. Domains. Son las unidades funcionales core de la estructura lógica de Active Directory, y asimismo es una colección de los objetos administrativos definidos, que comparten en una base de datos común del directorio, políticas de la seguridad y relaciones de confianza con otros Domains. Los Domains proporcionan las tres funciones siguientes: Un límite administrativo para los objetos Medios de administrar la seguridad para los recursos compartidos Una unidad de réplica para los objetos Domain trees. Son Domains agrupados en estructuras de jerarquía. Cuando se agrega un segundo dominio a un tree, se convierte en Child del tree Root Domain. El dominio al cual un Child Domain se une, se llama Parent Domain. El Child Domain puede tener sus propios Child Domain, y su nombre se combina con el nombre de su Parent Domain para formar su propio y único nombre, Domain Name System (DNS). Un ejemplo de ellos sería corp.nwtraders.msft. De este modo, un tree tiene un Namespace contiguo. Forests. Un Forest es una instancia completa de Active Directory, y consiste en uno o más trees. En un solo two-level tree, el cual se recomienda para la mayoría de las organizaciones, todos los Child Domains se
hacen Children del Forest Root Domain para formar un tree contiguo. El primer dominio en el forest se llama Forest Root Domain, y el nombre de ese dominio se refiere al forest, por ejemplo, nwtraders.msft. Por defecto, la información en Active Directory se comparte solamente dentro del forest. De esta manera, la seguridad del forest estará contenida en una sola instancia de Active Directory.
1.4. La estructura física de Active Directory
En contraste con la estructura lógica y los requisitos administrativos de los modelos, la estructura física de Active Directory optimiza el tráfico de la red, determinando cómo y cuándo ocurre la replicación y el tráfico de logon. Para optimizar el uso del ancho de banda de la red Active Directory, Usted debe entender la estructura física del mismo.
Los elementos de la estructura física de Active Directory son:
Domain controllers. Estas computadoras corren Microsoft® Windows® Server 2008 o Windows 2000 Server y Active Directory. Cada Domain Controller realiza funciones de almacenamiento y replicación, y además soporta solamente un domain. Para asegurar una disponibilidad contínua de Active Directory, cada domain debe tener más de un Domain Controller.
Active Directory sites. Los sites son grupos de computadoras conectadas. Cuando Usted establece sites, los Domain Controllers que están dentro de un solo site pueden comunicarse con frecuencia. Esta comunicación reduce al mínimo el estado de la latencia dentro del site, esto es, el tiempo requerido para un cambio que se realice en un Domain Controller y sea replicado a otros domain controllers. Usted crea sites para optimizar el uso del ancho de banda entre domain controllers en diversas locaciones. Active Directory partitions. Cada Domain Controller contiene las siguientes particiones de Active Directory:
Domain Partition, que contiene la réplica de todos los objetos en ese domain. Esta partición es replicada solamente a otros Domain Controllers en el mismo domain.
Configuration Partition, que contiene la topologia del forest. La topología registra todas las conexiones de los Domain Controllers en el mismo forest.
Schema Partition, que contiene el schema del forest. Cada forest tiene un schema de modo que la definición de cada clase del objeto sea constante. Las particiones Configuration y Schema Partitions son replicadas a cada Domain Controller en el forest.
Application Partitions Ppcionales. que contienen los objetos relacionados a la seguridad y son utilizados por una o más aplicaciones. Las Application Partitions son replicadas a Domain Controllers específicos en el forest.
1.5. ¿Qué son los Operations Masters?
Cuando un cambio se realiza a un domain, el cambio se replica a todos los Domain Controllers del mismo. Algunos cambios, por ejemplo los que se hacen en el schema, son replicados a todos los domains en el forest. Este tipo de replicación es llamada Multimaster Replication.
1.5.1. Operaciones Single Master
Durante la replicación multimaster, puede ocurrir un conflicto de réplica donde se originen actualizaciones concurrentes en el mismo atributo del objeto y en dos Domain Controllers. Para evitar conflictos de réplica, Usted puede utilizar Single Master Replication, la cual asigna un Domain Controller
...