ARQUITECTURA DEL DIRECTORIO ACTIVO DE WINDOWS

Qu hace el Directorio Activo?

Almacena informacin sobre objetos de la red, implementa los servicios que permiten que dicha

informacin est disponible y pueda ser utilizada por los usuarios, mquinas y aplicaciones. El DNS como sistema de nombres jerrquico (integrado con el AD) y las relaciones de confianza dan una estructura lgica y consistente que organiza los dominios y sus recursos de forma predecible y til.

Directorio Activo y la seguridad

El directorio activo acta como intermediario entre cualquier peticin de usuario, mquina, aplicacin o

servicio para permitirles o no el acceso a los recursos de la red, incluidos sistemas de archivos NTFS, aplicaciones web, el kernel, entre otros. Un controlador de dominio pierde todas sus cuentas locales y depende de que el AD DS est arriba para permitir logon local, exceptuando procedimientos de emergencia.

Bosques, rboles y dominios

Un dominio puede tener dominios hijos, formando un

rbol. Varios rboles se relacionan entre s jerrquicamente formando un bosque El servicio de DNS se encarga de mantener la estructura jerrquica de nombres.

 Funciones cruciales del Directorio Activo. Pueden estar distribuidas en diferentes controladores de dominio, pues cada uno es una copia completa de la base de datos del directorio

Flexible Single Master Operations

(Active Directory Store), la cual contiene todos los objetos existentes en un dominio. Pueden trasladarse inclusive despus que un controlador que posea un rol deje fsicamente de funcionar. Este artculo relaciona como hacer transferencia de los roles http://support.microsoft.com/kb/324801

Global Catalog
Queda instalado en el primer controlador de dominio, se requiere al menos uno por dominio, se recomienda que haya al menos uno por sitio. No es un FSMO en s mismo.
Funcin durante el logon: Permite logon en red al

dar la informacin de membresa a grupos universales. Si no hay catlogo ningn usuario o mquina pueden iniciar sesin. Funcin de consultas: Permite bsquedas rpidas de objetos en bosques de varios dominios.

Domain Naming Master

Controla la adicin o remocin de dominios, rboles, y particiones de aplicacin, garantizando su nombre nico. Slo debe haber uno en todo el bosque.
En caso de su falla se afecta la adicin o

remocin de dominios

Schema Master
Hay uno slo por todo el bosque, mantiene la informacin de todos los atributos y clases de todos los objetos posibles del Directorio Activo.
Ejemplos de clases de objetos: user, computer, organizationalUnit Ejemplos de atributos del objeto user: userPrincipalName, sAMAccountName, Algunas aplicaciones como Exchange y la

integracin con Call Manager de Cisco hacen extensin del esquema, por lo cual deben instalarse con un usuario Schema Admin.

Infrastructure Master
Actualiza los SID o DN de los objetos en su dominio a objetos en otros dominios con los cuales hay relaciones de confianza, usando el GUID (Global Unique ID). Hay uno slo Infrastructure Master por Dominio.
No debe compartirse este rol con el de Global Catalog en el mismo servidor, a menos que se trate de un bosque de un solo dominio o que todos los controladores del bosque sean Global Catalog.

Relative ID (RID) Master

Se encarga de mantener la consistencia de IDs nicos de los objetos del dominio. El SID (Security ID) de un objeto est compuesto por el ID del dominio, seguido por un ID dado por el RID Master. Debe haber uno por cada dominio.
Cuando no hay RID Master una vez se terminen los pool de IDs asignados a los controladores de

dominio, no ser posible crear ms objetos en el dominio.

PDC Emulator
Debe haber uno slo por todo el dominio. Para los equipos anteriores a Windows XP se hace pasar por un controlador Windows NT, de all su nombre, teniendo el rol de master browser.
Para todo el dominio se encarga de administrar la

sincronizacin de tiempo, la edicin de GPOs, la replicacin de eventos de cambio de password y bloqueo de cuentas. Su ausencia podra generar fallos en el proceso de autenticacin por no replicacin de cambios o desincronizacin de las estaciones.

Arquitectura AD Windows Server 2008

La siguiente diapositiva muestra la arquitectura de un Dominio en nivel de funcionalidad 2008. All podemos ubicar los roles de los cuales hemos venido hablando.

Llamamos nivel de funcionalidad a los sistemas operativos que un dominio soporta en sus controladores de dominio, permite en su primera instalacin compatibilidad hacia atrs, pero una vez actualizado no permite revertirlo.

Sitios y replicacin
Creamos sitios cuando la

topologa de la red nos exige segmentar La replicacin puede ser por RPC cuando son canales LAN o SMTP cuando se trata de canales WAN Cada sitio debera tener al menos un controlador de dominio

Read Only Domain Controllers (RODC)

Introducidos en Server 2008, permiten crear

controladores que slo reciben replicacin entrante, la copia del AD que tienen es de slo lectura y no puede ser modificada localmente. Esta funcionalidad es til cuando se requiere desplegar controladores de dominio en ubicaciones de baja seguridad en el acceso a la consola. Los RODC no almacenan por defecto las contraseas de los domain admins y enterprise admins. Puede configurarse para que otras cuentas no se almacenen localmente, por ejemplo para reducir el riesgo de revelacin de passwords si un RODC es robado.

Active Directory Lightweight Directory Services (AD LDS)

Previamente llamado ADAM, permite despliegues de directorio con una arquitectura similar pero ms liviana. Trabaja independiente del AD DS, lo cual lo hace ideal para aplicaciones web o en DMZ, generando una estructura de seguridad similar sin abrir puertos hacia el interior de la red corporativa. Varias instancias pueden correr en el mismo servidor, apuntando a implementaciones de aplicaciones diferentes.

Referencias
Arquitectura del AD Windows Server 2008

http://technet.microsoft.com/en-us/library/cc753985(WS.10).aspx Arquitectura original del AD http://technet.microsoft.com/enus/library/bb727030.aspx FSMO http://support.microsoft.com/kb/324801 Replicacin http://technet.microsoft.com/enus/library/cc775549(WS.10).aspx#w2k3tr_repto_what_nfjw Atributos del objeto usuario http://msdn.microsoft.com/enus/library/ms677979(VS.85).aspx AD LDS http://technet.microsoft.com/enus/library/cc754361(WS.10).aspx Windows Server 2008 Active Directory Configuration (Exam 70-640)