Introducción a Active Directory
CatalàAntes de empezar aviso que se trata de un tema algo complejo y me veo obligado a separar el tema en varias entradas, para que se puedan asimilar bien los conceptos y no sea tan espeso de leer y escribir. El Active Directory es una de mis especialidades, que se puede complicar o simplificar mucho. Os hablaré desde una vertiente más práctica, desde mi propia experiencia a lo largo del tiempo, y por lo tanto, simplificando y omitiendo configuraciones complejas. Sin embargo, quedo abierto a vuestras peticiones. Hoy toca un poco de teoría pues.
¿Para que sirve un Active Directory?
Un Active Directory (o Directorio Activo, como prefirais) sirve para unir y identificar máquinas y usuarios dentro de la red, a los que se les proporciona ciertos parámetros de configuración y privilegios de manera centralizada desde un servidor. Se puede llegar a decir que, en parte, es una base de datos central con los equipos, usuarios y configuraciones. Y una herramienta muy útil para los Administradores de Sistemas.
Pongamos el caso que disponemos de 5 equipos basados en Microsoft Windows y a la vez, 5 usuarios que tienen que operar en estos equipos. Una solución es poner los 5 equipos en red con el mismo usuario de Administrador y la misma contraseña, a ser posible en blanco (no será la primera vez que lo vea) y que los usuarios cambien de un equipo a otro según las necesidades. Cuando se tiene que instalar o parametrizar una aplicación (las plantillas del Office, por ejemplo), hay que ir a cada equipo y aplicar la configuración correspondiente.
¿Que pasa cuando en lugar de 5 equipos tengo 25, o 50, 100, 250, 500, 1000, 5000… con sus correspondientes usuarios, o hasta incluso más usuarios que equipos (en el caso de lugares de trabajo a turnos)? ¿Y los parámetros que tengo que modificar no son 1 sino 200, 300, 500… para cada equipo y cada usuario?
O me vuelvo loco aplicando configuraciones y adelgazo 50 Kgs de golpe de tanto andar o busco una alternativa, el Active Directory.
Por otra parte, hay la seguridad y privacidad de la información. Es posible que en una red pequeña todos puedan tener acceso a todas partes, pero ¿estáis seguros? Sólo hay que pensar un poco la pregunta, a consciencia, para adivinar que no todo es o puede ser público. Y el cumplimiento de las leyes a las que estamos sujetos (el desconocimiento de la ley no implica su incumplimiento).
¿Os suena la LOPD y la LSSI? Por no decir otras normativas de seguridad específicas de cada sector. Esto, hace necesario aplicar ciertos niveles de seguridad a la información y identificar los usuarios del sistema para, además, poderlos desvincular de los equipos.
¿Desvincular el usuario del equipo? Un pequeño paréntesis para explicar de forma breve este concepto que trataré en una entrada posterior.
Para los que hace tiempo que estáis en informática, os sonará que antes era muy habitual que cada usuario tuviese SU equipo. Este se personalizaba con lo que necesitaba el usuario: aplicaciones, documentos, fondos de pantalla, configuraciones, etc… Si se estropeaba el equipo, el usuario asignado ya no podía trabajar porque todo estaba en aquel equipo. Pues bien, desvincular el usuario del equipo significa coger todo lo que es el usuario en el mundo digital (sus documentos y configuraciones) y ponerlo en un sitio central (servidor), haciendo que sea accesible desde cualquier equipo de la red, siempre y cuando pertenezca al mismo Active Directory. De esta manera, si al usuario se le estropea el equipo, sólo hay que sustituirlo por otro o desplazarse a un sitio de trabajo libre, identificarse como usuario y de manera transparente aparece su entorno de trabajo (documentos, fondos de pantalla, configuraciones, etc…; incluso se pueden hacer aparecer las aplicaciones que utiliza); pudiendo continuar su tarea. ¿Quien permite hacer esto? Pues el Active Directory, desde la versión 2000 (Microsoft Windows Server 2000).
¿Quien forma un Active Directory?
Podríamos decir que Active Directory es una tecnología, no un producto ni una aplicación concreta, sino que se utilizan diferentes aplicaciones para configurarlo según el apartado en que se quiere actuar. La implementación de un Active Directory requiere de un estudio y diseño previo según el ámbito donde se despliega. No es lo mismo desplegar un Active Directory en una red de 5 equipos situados en un único emplazamiento físico, que en una red de 50 equipos distribuidos en 5 sitios físicos o una red de 3000 equipos con diferentes departamentos y sitios físicos; por poner algún ejemplo. Ahora bien, a grosso modo, la configuración será la misma para la red de 5 equipos que para la de los 3000.
A fin de entenderlo mejor utilizaré la siguiente ilustración que muestra una estructura Active Directory algo compleja:
Conceptos a tener claros y memorizar
Active Directory
El nombre que identifica la tecnología, es el paraguas que lo engloba todo y a la vez no es nada. Se habla de crear el usuario o dar de alta el equipo en el Active Directory, pero en realidad se hace dentro de un dominio que pertenece al Active Directory. No es ninguna aplicación concreta, más bien se puede considerar la base de datos, la información.
En nuestra ilustración sería todo el conjunto, no hay nada concreto, volvemos a repetir la misma ilustración.
Bosque (forest)
Es un primer nivel del Active Directory y se considera el límite de seguridad. Equivaldría a una cosa parecida a la jurisdicción de la policía en una ciudad. Todo lo que contiene el bosque se puede administrar de manera centralizada y, por lo tanto, asignar permisos de seguridad de una manera o otra. Lo que queda fuera del bosque, es eso, está fuera del alcance de ser administrado. Sin embargo, se pueden conectar diferentes bosques, pero es otra historia. Siempre habrá uno.
En nuestra ilustración sería todo el conjunto, pero ¿como se vería otro bosque? Como se ve en la siguiente ilustración, uno al lado del otro, donde no hay dependencias, al menos de momento. Todo el bosque comparte el mismo nombre raíz, por ejemplo: laboratoris.local, sería uno. O bien proves.local, sería el otro.
Árbol (tree)
Al igual que el bosque, es un concepto más que otra cosa. Un árbol contiene los dominios y se considera un árbol diferente cuando un dominio contiene dos subdominios por debajo. Como mínimo habrá un árbol, el principal, aunque quizás no se vea como tal.
Me explico con un ejemplo. Supongamos el dominio inicial laboratoris.local, de él pueden colgar otros dominios: tarragona.laboratoris.local, lleida.laboratoris.local. En este caso, tarragona… formaría un árbol y lleida… otro. Estos árboles, pueden contener otros dominios por debajo: valls.tarragona.laboratoris.local, balaguer.lleida.laboratoris.local. El orden jerárquico define cada árbol, así tenemos el árbol principal laboratoris.local del que cuelga el árbol de tarragona, que incluye los dominios de tarragona y valls; y el árbol de lleida que incluye los dominios de lleida y balaguer.
En nuestra ilustración sería cada rama que cuelga del dominio principal (laboratoris.local), de esta forma tenemos el árbol tarragona y lleida.
Dominio (domain)
Es un límite de replicación, forma parte del árbol y contiene las unidades organizativas, los equipos, usuarios, grupos de seguridad, grupos de distribución, etc… Es una parte más tangible, con la que más se trabaja. Como mínimo hay un dominio.
Su representación esquemática es mediante un triángulo que puede estar vacío o bien representado por un esquema. Es posible también encontrarlo con detalles en su interior como pueden ser los servidores DC, unidades organizativas, grupos de seguridad, usuarios, equipos, etc…
Sitio (site)
El sitio es la separación física. Como mínimo hay un sitio. No está vinculado a NINGÚN dominio, sino que define la separación física para las réplicas entre sitios o para aplicar políticas según donde esté el equipo o usuario (configuración de proxy, servidores de archivos locales…). Un dominio puede estar ubicado en diferentes sitios y un sitio puede contener diferentes dominios. Se configura según el rango de la red. Por ejemplo, la central y delegaciones. La central puede ser la red 192.168.0.0/24 y disponer de 2 delegaciones, la red 192.168.1.0/24 y la 192,168.2.0/24.
Su representación esquemática es mediante un círculo. Se puede encontrar vacío, sin entrar en detalle en cada sitio o bien, al igual que el dominio, incluyendo elementos más detallados.
Unidad Organizativa
Se ubican dentro de cada dominio y son contenedores, carpetas, que contienen los equipos, usuarios, grupos de seguridad, distribución, etc… y donde se aplican políticas de configuración, delegaciones administrativas, etc… Por lo tanto, sirven para organizarnos como Administradores. Un buen diseño de las mismas permitirá una administración más ágil.
Su representación esquemática es mediante una carpeta y sigue un árbol jerárquico, al igual que las carpetas del sistema de archivos de Windows.
Servidor DC (domain controller – controlador de dominio)
Es el servidor que contiene y ofrece el servicio de Active Directory. Como mínimo hay uno por Active Directory y dominio.
Su representación esquemática es mediante un servidor con un triángulo o bien un libro medio abierto, que identifica el Active Directory.
Servidor DNS (domain name system)
El Active Directory se sustenta en la resolución de nombres DNS, por lo tanto, es necesario disponer de este servicio en la red. Todos los equipos que pertenezcan al Active Directory deben tener configurado, como servidor DNS (en las propiedades TCP/IP de cada equipo), un servidor de la red que ofrezca esta resolución, normalmente se monta en el mismo servidor DC.
No tengo bien definido un icono para este servicio, si lo he necesitado lo he identificado con una bola del mundo o con el símbolo de base de datos.
Global Catalog (Catálogo global)
Es un servidor DC que almacena una copìa de todos los objetos del Active Directory a nivel de bosque. En el catálogo global, se guarda una copia completa de todos los objetos del Active Directory para el dominio al que pertenece el servidor, y una copia parcial de todos los objetos, los atributos más buscados, del resto de dominios del bosque. Hace las funciones de buscar objetos, proporciona autenticación del nombre principal del usuario, pertenencia a grupos de seguridad universales en entornos de múltiples dominios y valida referencias a objetos dentro de un bosque.
No tengo bien definido un icono para este servicio, si lo he necesitado lo he identificado con el símbolo de base de datos.
Roles de servidor (FSMO roles)
El Active Directory es un servicio distribuido. Eso quiere decir que el mismo servicio se puede ofrecer desde diferentes servidores para temas de alta disponibilidad y rendimiento. Pero existen 5 roles que sólo los puede ofrecer uno de los servidores a la vez para cada nivel. En caso de apagón o pérdida, el rol se puede pasar a uno de los otros servidores. Estos roles son:
A nivel de Active Directory
Schema master (maestro de esquema)
Controla las actualizaciones y modificaciones en el esquema. El esquema contiene la definición de los objetos y atributos que componen el Active Directory. Equivaldría a las tablas y campos de una base de datos. Una vez actualizado el esquema se pasa la copia al resto de servidores DC. Para actualizar el esquema es necesario acceder al servidor de esquema. Sólo puede haber uno para todo el bosque.
Domain naming master (maestro de dominios)
Controla el alta y baja de dominios en el bosque y por lo tanto es el único que lo puede hacer. También es el encargado de establecer las relaciones de confianza entre dominios externos. Sólo puede haber uno para todo el bosque.
A nivel de dominio
Relative ID master (RID – maestro de IDs)
Los objetos de un dominio (equipos, usuarios, grupos) se identifican con un número único (no, no es el nombre que se pone). Este identificador único se llama SID (identificador de seguridad) y está formado por un SID del dominio, el mismo para todos los objetos del mismo dominio; y un RID (identificador relativo) que es único para cada objeto del dominio. El servidor DC que tiene el rol de RID es el encargado de mantener la secuencia de los RIDs para cada servidor DC del dominio a fin de que no se dupliquen. Solo puede haber uno para cada dominio dentro del bosque, por lo tanto, si en un bosque tengo dos dominios, tendré dos servidores DC que harán de RID, uno para cada dominio.
PDC emulator (emulador PDC)
Es el encargado de procesar los cambios de contraseña desde los equipos clientes y replicar estas actualizaciones en todos los servidores DC del dominio. Sólo puede haber uno para cada dominio dentro del bosque, por lo tanto, si en un bosque tengo dos dominios, tendré dos servidores DC que harán de PDC emulator, uno para cada dominio.
Infrastructure master (maestro de infraestructura)
Mantiene actualizadas las referencias de los objetos de su dominio en los otros dominios (en caso que haya más de un dominio). Es un rol que se asigna a un servidor que no sea catálogo global, ya que si se ubica en el mismo servidor pierde sentido (no habrá nunca datos para actualizar) y por lo tanto deja de funcionar.
También es el encargado de actualizar las referencias de usuarios a grupos. Sólo puede haber uno para cada dominio dentro del bosque, por lo tanto, si en un bosque tengo dos dominios, tendré dos servidores DC que harán de maestro de infraestructura, uno para cada dominio.
¿Como monto un Active Directory?
Presentados todos los elementos, mi recomendación para montar un Active Directory en una red, sea pequeña o grande, en la mayoría de los casos se creará: un único bosque con un árbol y un dominio; con los sitios que se requieren y dos servidores DC que a la vez actúen como catálogo global.
En cuánto a los servidores DC, con uno hay suficiente, pero en caso que se tenga qua apagar o reiniciar (actualizaciones, por ejemplo) implica dejar de dar servicio durante el tiempo que dure la intervención. Si no me puedo permitir esta parada, o bien por temas de rendimiento en redes grandes, es recomendable disponer de un segundo servidor dentro del mismo dominio. Este segundo servidor actúa en paralelo con el primero y contiene una copia (catálogo global) del mismo Active Directory. Ambos forman una única entidad. En caso que los dos servidores no hablasen entre ellos, se podría decir que, el Active Directory se ha divido en dos iguales y tendríamos un pequeño problema, solucionable, claro.
¿Como continuar?
Continuaré las explicaciones aplicando la siguiente estructura de Active Directory, con un único bosque, un único árbol, un único dominio y, de momento, un único sitio; válida para casi todas las instalaciones.
¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!
Similar Posts by The Author:
- Microsoft SQL Server con SMB3
- Microsoft SQL Server amb SMB3
- Containers en Linux
- Containers amb Linux
- Migrar el servidor de archivos a Windows Server 2019
- Migrar el servidor de fitxers a Windows Server 2019
- Puerta enlace a Azure en el Windows Admin Center
- Porta enllaç a Azure en el Windows Admin Center
- Hola mundo! WordPress 5 y Gutenberg
- Hola món! WordPress 5 i Gutenberg
Muchas Gracias !! EXcelente aporte lo tomare como referencia respetando el autor .
Saludos
Claro y conciso. Gracias.