Active Directory y Win Server 2003

Published on February 2018 | Categories: Documents | Downloads: 30 | Comments: 0 | Views: 482
of 21
Download PDF   Embed   Report

Comments

Content

INTRODUCCION Active Directory proporciona un método eficaz para compartir organizar y distribuir recursos de red dentro de una organización, a simple vista y cuando no se ha tenido experiencia en entornos de informática en los que el numero de equipos supera los 10 equipos dicha solución es impractica e innecesaria pero a medida las empresas evolucionan y adquieren mas y mas equipo la tarea de administrarlos se vuelve insostenible, es ahí donde Windows Server 2003 se vuelve una alternativa viable.

A continuaron presentamos una guía fácil de entender para aquellas personas que vienen de redes peer to peer o redes punto a punto que es la que invariablemente puede encontrarse dentro de empresas pequeñas en numero de equipos, el ambiente tradicional es que se posean computadoras corriendo con Windows XP y se utilice la carpeta de documentos compartidos para compartir archivos documentos hojas de calculo etc. Como se dijo antes este esquema esta bien para organización con menos de 10 computadoras pero cuando estas crecen un buen administrador de red debe recurrir a herramientas que le permitan centralizar el control de los equipos dentro de un red de dominio.

Através del presente documento pretendemos que el lector conozca en forma efímera cuales son las facilidades que Windows Server 2003 ofrece y como puede utilizarlas sin mayor dificultad, esperamos sea de su agrado.

OBJETIVOS Brindar una idea principal de Active Directory y algunos de los servicios que Windows Server 2003 integra para la fácil administración de una red corporativa, así como ejemplos prácticos y concretos en los que dichos servicios pueden utilizarse dentro de la practica tangible.

Active Directory Antecedentes de Active Directory La Introducción de Active Directory se llevo a cabo con Windows Server 2003 antes de esto el manejo de redes en el modelo cliente/servidor se llevaba a cabo en servidores Windows NT, las características principales de estos servidores era que no tenían una organización jerárquica, por la que la administración era ineficiente y tediosa además de poco escalable; cada vez que se quería crear algún elemento había que ingresarlo a un solo nivel es decir que estaba fundamentado en una arquitectura de tipo plano, otro problema que existía es el de la replicación de datos, este hacia que la base de datos principal se copiara a distintos servidores para poder mantener actualizada toda la red y permitir el acceso a los recursos de red

Primary Domain Controllers Y Backup Domain Controllers En la tecnología de Windows NT originalmente existía lo que se conocía como un PDC donde residía toda la información de cuentas passwords y elementos de la red, también estaban los BDC`s que no era mas que una copia del PDC principal para dar acceso a usuarios de otros departamentos dentro de una empresa.

Windows Server 2003 y Active Directory

Con la llegada de Windows Server 2003, se introdujo una nueva forma de hacer las cosas basada fundamentalmente en jerarquías de objetos y atributos, la principal ventaja de esto es que se puede copiar la organización de una empresa dentro del Active Directory, con todo su directorio tal y como es en la vida real, esto es muy diferente a Windows NT pues cada objeto dentro del Active Directory tiene una representación física en la realidad. Los atributos no son mas que propiedades de objetos; un objeto puede ser una persona una computadora un departamento de la empresa un empresa dentro de un grupo de empresas con sus sucursales etc.

una ejemplo muy ilustrativo para entender como esta organizado el Active Directory es relacionar a un objeto con una casa dentro de una colonia, una colonia es una unidad organizativa una unidad organizativa puede a la vez pertenecer a una ciudad en concreto lo que en terminología del Active Directory vendría a ser una árbol; un árbol puede al mismo tiempo estar correlacionado con otros árboles para forma lo que se conoce como un bosque lo que seria equiparable a un municipio o departamento si tomamos de ejemplo la organización política de nuestro país.

Organización Análoga del Active Directory

Schema Otra ventaja de Active Directory es que puede extenderse la schema tanto como se desee.

Schema es la información sobre los atributos de cada objeto que puede almacenarse, por ejemplo tenemos creado en un Active Directory un usuario que pertenece al departamento de ventas, sobre este usuario pueden almacenarse multitud de información como nombre apellido dirección correo electrónico dirección particular numero de celular etc. etc.,

Incluso con Active Directory puede utilizarse programaticamente esta información, esto es que a través de un lenguaje de programación se pueda consultar la información sobre los objetos que se encuentra almacenada en el Active Directory, se hace por medio de una herramienta conocida como ADSI Active Directory Services Interface

Ambiente tradicional de Redes Para entender mejor por que se necesita una arquitectura de dominio se debe entender primero cuales son los problemas que se dan cuando dentro de una empresa se manejan redes punto a punto.

Antes de la existencia de Active Directory o DPC las redes se manejan en forma de punto a punto esto es que cada maquina posee archivos propios y algunos recursos mas como impresoras por ejemplo. Cada recurso se comparte con los demás usuarios de la red, en un principio puede parecer un modelo sencillo y fácil de manejar sin embargo a medida la información dentro de la empresa va creciendo se vuelve cada vez mas difícil de controlar. Por ejemplo acciones de encontrar un determinado archivo una impresora un documento o asignar seguridad se mueven tareas sumamente complejas, manejar una red de esta forma puede llegar a convertirse en un verdadero dolor de cabeza sobre todo cuando los numero de puntos en la red llegan a 100 200 o 500 equipos, prácticamente es insostenible

Ambiente de dominio: La diferencia de una red con dominio es el enfoque de centralización que esta posee, con un Active Directory la administración de la red y sus recursos como archivos documentos impresoras políticas de acceso etc. se vuelve mas practica y eficiente, todo se almacena dentro de un base de datos central a la cual todas las terminales tiene acceso para entrar y poder acceder a los recursos de red. Definitivamente una red de dominio es mucho mas escalable que una red punto a punto, a este sistema de administración se le

conoce como cliente/servidor; muchos clientes consultando a un servidor sobre que recursos de red puede utilizar y bajo que condiciones de seguridad y tipos de acceso (lectura escritura edición etc.).

RID RID se traduce como identificación relativa y es una de las claves del Active Directory ya que permite identificar dentro de una red de dominio con un solo nombre a cada objeto dentro del Active Directory, ello significa que no pueden haber elemento duplicados dentro de un dominio, cada objeto posee un identificador único e irrevocable. Cabe mencionar que el RID solo aplica dentro de un mismo dominio en forma relativa a su jerarquía, como puede verse es una manera efectiva de asignar políticas de acceso y seguridad a cada objeto por individual.

RPC Remote process control; es un protocolo de comunicación utilizado por los servidores de dominio para comunicarse entre sí y poder replicar el Active Directory en múltiples servidores espejo ubicados quizá fuera de una oficina físicamente, como lo podría ser una empresa con múltiples sucursales dentro del país

Es común que dentro de una empresa existan sucursales en lugares físicamente remotos, La pregunta es como hace una empresa para permitir al acceso seguro desde una sucursal X a una matriz Y en forma segura y bajo el enfoque de centralización que Active Directory proporciona, la respuesta es RPC.

RPC ayuda a sincronizar efectivamente la información dentro los Active Directory, Este aspecto se puede configurar a través de dos formas básicas que van depender del tipo de conexión de red que se posea; una sirve para redes rápidas conocido como Intransite Replication y el otro para redes lentas llamado Intersite Replication

Intrasite Replication usa simplemente una copia de datos común y corriente para transferir la información de cuentas y políticas de seguridad a sus servidores espejo; el Intersite Replication utiliza métodos de compresión y optimización sobre protocolo TCP/IP para transmitir, lo que lo vuelve optimo para conexiones de baja transferencia como accesos telefónicos de 56k

DNS

Domain Name Server, es una manera efectiva de acceder a recursos de red con un nombre y no con una dirección de red TCP/IP. Ejemplo de una dirección de red TCP/IP podría ser 24.133.155.7 en lugar de digitar este numero se puede acceder por medio de un nombre como host.ventas.compañia.com.

Windows Server 2003 y Active Directory utilizan DNS para localizar nombres de domino y recursos fácilmente, através del constante almacenamiento de archivos con una dirección en formato TCPI/IP asociada a ellos automáticamente.

Un aspecto importante del modelo DNS es que permite mantener una base de datos distribuida en la red, en diferentes servidores; si a un servidor le solicitan un recurso de red que no conoce este transfiere esta petición a otro servidor para que talvez esta responde si sabe la dirección correcta de dicho recurso de red

DNS también organiza y maneja los nombres en forma de jerarquía tal y como Active Directory trabaja internamente, es mucho mas fácil recordar un nombre que una dirección TCP/IP como 192.32.2.1 por lo cual DNS facilita la tarea

Nombres de espacio o Domain Namespace

Si el mundo fuera una sola red probablemente este característica no seria necesaria ya que como todos los recursos de una red (Internet por ejemplo) estarían dentro de un mismo lugar bastaría con digitar el nombre del recurso y asegurarse que dicho nombre sea único para poder accederlo, sin embargo como en el mundo real existen routers swicthes subredes etc. se debe acudir a una nomenclatura de forma jerárquica para localizar un recurso dentro de una red sobre todo si es una red enorme como Internet por ejemplo.

Algunos ejemplos de recursos de red puede ser como: • empresa.com • ventas.empresa.com • compras.empresa.com • ingenieria.empresa.com

• server1.ingeniria.empresa.com • server2.ingeniria.empresa.com

Este ultimo muestra como podría localizar un Host o equipo dentro de una red bajo la nomenclatura jerárquica utilizada por

DNS, el nombre se detalla a continuación para entender mejor el sistema de nomenclatura

Nombre de dominio superior: Los nombres de dominio superior no son más que agrupaciones superiores de computadoras dentro de una red existen múltiples dominios de nivel superior para cada tipo de organización como por ejemplo:

.com

Organizaciones de tipo comercial

.net

Organizaciones comerciales o de cualquier otro tipo que tienen algo que ver con redes o Internet, normalmente se utilizo para proveedores de

servicios de Internet sin embargo en la actualidad ante la escasez de dominios com se utilizo también para empresas de cualquier índole comercial .org

Organización sin fines de lucro

.edu

Organizaciones educativas

.gob

Para organización de tipo gobierno

.com.sv

Organizaciones comerciales pertenecientes a el salvador

DHCP DHCP es una forma rápida de asignar la configuración de una red a las estaciones de trabajo, a simple vista pareciera fácil configurar cada maquina dentro de un red organizativa manualmente introduciendo el numero de IP mascara de subred y servidores DNS manualmente, sin embargo cuando se trata de

una red con 100, 200 0 500 terminales el trabajo de reconfigurar cada maquina manualmente puede ser realmente tedioso. Windows Server proporciona el servicio de DHCP Dynamic Host Configuration Protocol que resuelve el problema de asignación masiva de configuraciones de red con facilidad. Imagine por ejemplo que por X o Y motivo los números de IPS de los servidores DNS deben de ser cambiado en el servidor donde se encuentra corriendo el servicio de DNS de la red de domino con Active Directory, con DHCP basta con hacer unos cuanto ajustes dentro del servidor DNS cambiar el numero de IP del nuevo servidor DNS y dejar que la nueva configuración se propague dentro de la red para cada uno de los equipos que la conforman.

Alternativa a Directorio Activo OpenLDAP Server+Ubuntu Server LDAP es el acrónimo de Lightweight Directory Access Protocol, que es una versión simple del protocolo x.500 desarrollado en la universidad de Michigan para el acceso a recursos de un directorio dentro de una red, actualmente es un estándar ocupado por muchos desarrolladores de software como Microsoft Linux y otros , internamente LDAP Como funciona, OpenLDAP utiliza una base de datos separada que contiene el directorio de configuración con la información esquematizada en forma de árbol, se administra por medio de un

demonio (proceso oculto del sistema operativo Linux) llamado como SLAPD.

El protocolo LDAP proporciona un mecanismo fácil de comunicación entre los clientes que solicitan información especifica como nombre de usuario pass Word permisos de acceso correo electrónico etc.

Toda la información es almacenada en una base de datos transaccional optimizada para operaciones de lectura y no tanto de escritura organizada en entradas que representan un objeto especifico como organizaciones personas grupos y locaciones, cada uno de los cuales puede contener atributos especiales e individuales usados para definir el acceso

Integración con Windows: Las características de directorio activo de Windows Server pueden ser fácilmente implementada en un entorno Linux utilizando OpenLDAP Samba y Ubuntu Server , la integración es totalmente transparente pudiéndose incluso implementar entornos en los que el servidor sea un sistema operativo basado en Linux y el cliente este basado en un sistema operativo como Windows Xp y vista

Sobre WBSAgnitio Esta es una herramienta de configuración integra todo lo necesario para implementar una red de dominio como las que se utilizan en entornos Windows Server y clientes Windows Xp y 98 sin necesidad de pagar el alto costo por licencias que ello implica

WBSAgnitio integra servicios como NTP, DHCP, servicios de directorio LDAP, DNS, NT, Kerberos

De estos servicios el que mas destaca es el de NT ya que permite a un cliente Windows autenticarse dentro de un servidor Linux en forma totalmente transparente como lo haría con un servidor Windows tradicional.

CONCLUSIONES En conclusión a lo largo de este documento se ha podido proporcionar una idea somera de lo que Windows Server 2003 ofrece al administrador de red, cada día aspectos de seguridad y control de acceso son críticos para el buen funcionamiento del equipo IT de una empresa, como futuros profesionales de informática es necesario que se conozca la mayoría de alternativas posibles para dar una solución a un problema como

este sobre todo en el área de seguridad de redes y control organizativo; en este sentido se ha presentado una alternativa de bajo costo en la parte final del documento que permite emular el active Directory para poderlo correr sobre ambientes Linux o bien en un ambiente mixto de servidores Linux y clientes Windows o viceversa.

RECOMENDACIONES Se recomienda al lector que ahonde mas en temas de administración mixta entre Windows y SOS Linux ya que en la practica estamos seguros que a futuro será el tipo de ambiente

informático que predominara a futuro, por lo tanto seria una buena practica instalar probar e implementar herramienta como la de WBSAgnitio que permite manejar un ambiente mixto, dichos aspectos están fuera del alcance de este documento por lo que consideramos de vital importación que el usuario investigue mas.

BIBLIOGRAFIA

MCSE:Windows® Server 2003

Active Directory Planning, Implementation, and Maintenance Study Guide Second Edition Robert Shimonski, James Chellis, Anil Desai

Terminal Services for Microsoft Windows Server 2003: Advanced Technical Design Guide by Brian S. Madden and Ron Oglesby BrianMadden.com © 2004

ISBN:0971151040

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close