-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Module 2: Maintaining Active Directory Domain Services

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Componentes fisicos:
-

Data Store: ntds.dit y SYSVOL

Domanin controllers: Almacenan el Data Store
Global Catalogue: copia reducida del directorio activo. Solo almacena los atributos de los objetos que
necesitamos para las tareas diarias: usuario, contrasea, El catalogo global es unico para todo el
bosque. Microsoft recomienda que todos los DCs sean GC.
RODC: Almacenan una copia de SOLO LECTURA del directorio activo. No podemos hacer cambios en el
AD desde un RODC. Suelen situar en localizaciones en las que no tenemos equipo tecnico que pueda
administrar un DC completo.

Componentes logicos:
-

Particiones: Dentro del ntds.dit tendremos objetos y elementos que cambian con mucha frecuencia y
otros que practicamente no cambian (schema). El AD crea particiones en ntds.dit de forma que podemos
optimizar su replicacion y controlar que DCs guardan determinados elementos. Por ejemplo, podemos
necesitar que solo algunos DCs guarden una zona DNS integrada en AD.
Al crear el AD, ntds.dit tiene varias particiones creadas por defecto:
o
o
o
o

Schema partition: Guarda el esquema, que raramente cambia. Se replica a todo el bosque, pero
con menor frecuencia que el resto de particiones.
Configuration Partition: Guarda la estructura del AD: dominios, sitios, relaciones entre
dominios, subredes, es una particion unica para todo el bosque.
Domain Partition: Almacena todos los objetos creados en el dominio. Guarda todos los atributos
de todos los objetos del dominio. Es unica para cada Dominio.
Aplication partition: Podemos Crear particiones adicionales para determinadas tareas. Por
ejemplo, el rol de DNS Server crea su propoa Application Parttion para guardar las zonas
integradas en AD.

Esquema: Almacena la plantilla de todos los objetos del AD. Es unico para todo el bosque. Tendremos
que plantearnos dividir nuestra organizacin en varios bosques si hay incompatibilidad en la
modificaciones al esquema que deben hacer aplicaciones.
Dominio: Es un limite administrativo para agrupar usuarios, grupos y equipos. Los domain admins tienen
privilegios totales en su dominio, pero no fuera de el.
Arbol: Agrupacion de dominios con una raiz comun en su espacio de nombres. Ejemplo adatum.com y
ventas.adatum.com
Bosque: Agrupacion de arboles, tales que todo dominio tiene una relacion de confianza bidireccional con
el resto.
Sitio: Permite definir la localizacion de hosts.
Subnet: Forma parte de un Sitio.

Podemos controlar el ambito de replicacion de una particion:

-

Todo el bosque
Solo un dominio
DCs especificos de un dominio

Para recuperar si pierdes el ntds.dit desde la consola del DNS boton derecho en el servidor

Crear particion de aplicacin.

Para controlar la replicacion lo normal es utilizar Active directory Sites and Services.
(para ver los servicios VIEW>Services)

Forzar replicacion:

Para configuracion la replicacion:

Replicated Naming Contex(s):

ForestDnsZones.adatum.com; Schema; Configuration

Diagnostico de fallos:
Ntdsutil
repadmin

Vamos a recrear esta topologia logica:

Primero creamos los sitios para madrid buenos aires y munich

Creamos los enlaces logicos

Ahora creamos las subnets aqui se indica que subredes estan que que sitios para que los usuarios inicien sesion en el
dc que tengan en su sito

Virtualizacion de DCs:

Ventajas:
-

Escalabilidad:

Vertical: Una VM puede requerir mas CPU, mas RAM o mas espacio almacenamiento
Horizontal: Podemos crear mas VMs para conseguir redundancia, balanceo de carga y HA (High
Availabity)
Independencia del HW: Podemos mover VMs a otros host de hipervisores.
Recuperacion muy rapida: podemos tener replicas en standby de maquinas criticas que se inician cuando
falla la original
o
o

Inconvenientes:
-

Sincronizacion temporal: Si la diferencia temporal entre un servidor o un cliente y el dc es de mas de 5

minutos, no podra iniciar sesion. En maquinas fisicas lo solucionamos con el procolo NTP (Network Time
Protocol). En las VMs, los ciclos de CPU del host hipervisor se deben repartir entre ellas, dando
problemas de sincronizacion.
Unico punto de fallo si se cae la nube no tendremos acceso a nada.

Proceso de Replicacion del AD:

El AD es una BBDD distribuida y usa replicacion cada vez que hay un cambio en los atributos de cualquier objeto.

Todos los objetos tienen en sus atributos un numero de version. De esta forma garantizamos que cada DC en el
dominio tiene la misma version del objeto. El numero de version esta en los atributos y es unico para el objeto en
todo el dominio.

Objet Version: todos los objetos de un AD tiene un atributo que guarda la version de ese objeto. Esta version debe
ser unica en todo el AD. Todos los DCs deben tener la misma version de un objeto. Cuando todos los DCs de un AD
tengan la misma version de todos los objetos, el AD estara sincronizado.

USN: Es posible que algunos DCs necesiten mas actualizaciones que otros para llegar a la misma version del objeto.
En un DC, con una unica actualizacion pordrian sincronizarse varias modificaciones de un objeto. Para llevar un
registro de las actualizaciones que ha recibido un objeto en un DC concreto, cada DC tiene un USN (Update Sequence
Number). El USN para un objeto no es unico, sino que cada DC tiene el suyo. El USN de cada DC se guarda en los
atributos del objeto.

Ejemplo:

Objeto: usuario1 (Version:4) (USN1:3)(USN2:3) (VM Generation ID1:1) (VM Generation ID2:1)
DC1: (USN1:3)
DC2: (USN2:3)

Hacemos modificaciones en el objeto desde el DC1 hacemos checkpoint en DC2:

-Cambiamos la contrasea de usuario1
Objeto: usuario1 (Version:5) (USN1:4)(USN2:4) (VM Generation ID1:1) (VM Generation ID2:2)

El DC2 pasa termporalmente a Offline

Hacemos mas modificaciones en el objeto desde el DC1:
- Cambiamos contrasea de usuario1
- Modificamos el departamento
- Aadimos un numero de telefono
Objeto: usuario1 (version:8)(UNS1:7)(USN2:4) (VM Generation ID1:1) (VM Generation ID2:2)

El DC2 vuelve a estar Online. Se da cuenta que Usuario1 esta en la version 8.Pide a DC1 la actualizacion desde el
momento que en que UNS1 valia 4. DC1 envia la nueva contrasea , el departamento y el telefono. DC2 actualiza en
un solo salto:
Objeto:usuario1 (Version:8) (USN1:7)(USN:5)

Si DC2 es una maquina virtual a la que hicimos un checkpoint cuando estaba su USN en 4. Revertimos su instantanea.
El AD cree que USN2: 5 y el DC2 a nivel local tiene UNS2:4. Un administrador hace una modificacion a Usuario1
desde el DC2.
A nivel local, DC2 tendra: Usuario1 (Version:5) (USN1:4) (USN2:5) (VM Generation ID1:1) (VM Generation ID2:1)

Y ese indentificador de VMgenerecion ID avisa de que esa maquina no esta actualizada auque ella piense que si.

Read-only Domain Controllers:

Cuando estamos en entornos en los que no contamos con personal cualificado para administrar un DC, pero
necesitamos un DC para mejorar el rendimiento del directorio activo, podemos usar un RODC.
-

Procesos de autentificacion.

Generacion de tickets para acceso a recursos (tgt kerberos)

Busquedas en el AD

Si tenemos una sucursal que se conecta mediane un enlace wan de alta latencia con la central, contar con un RODC
puede mejorar estas tareas.

El RODC no supone un problema de seguridad, al mismo tiempo que hace las tareas fundamentales de un DC

Un RODC alamacena parte del AD, no todos los atributos. Por defecto, no almacena credenciales. Tenemos que
habilitar el almacenaje de usuarios y contraseas para que puedan autenticarse los usuarios sin tener que contar con
el DC de la central.

Aunque tengamos un RODC en la sucursal, si perdemos conexin con el DC de la central, los usuarios no podran
autenticarse. Tendremos que configurar el RODC para que SI almacene las credenciales de los usuarios de la
sucursal.

Cada RODC solo debe almacenar las credenciales de los usuarios a los que da servicio y NUNCA las de los usuarios
administrativos del dominio.
Esta configuracion se hace mediante PRP (Password replication Policy) Las PRP son locales a cada RODC.
Si el RODC de una sucursal se ve comprometido, solo tendremos que resetear las contraseas de los usuarios de esa
sucursal.
Si necesitamos poner un RODC en la red perimetral, NO debe almacenar las credenciales de ningun usuario.

Promocionando RODC

Si aadimos usuarios o grupos al de allowed RODC password replication group se guardaran las contraseas en
todos los RODC que tengamos y no solo en el que nos interese

Desde aqu podremos decir a quien se le replica su contrasea RODC por RODC

Ejemplo:

Con esta configuracion al estar modificando las propiedades del DC solo se almacenarian las constraseas de ese
grupo en el RODC que estamos modificando desde DSA.msc

Si pulsamos en advanced nos aparecerian los inicios de sesion en el RODC

Tanto de usuarios que se han almacenado las contraseas como de los que no

Desde aqu podemos comprobar si un usuario puede almacenar o no sus credenciales (por si el usuario pertenece a
muchos grupos y no tener que revisar todos los grupos) tarda un tiempo en replicarse las membresias.

En un RODC podemos permitir o denegar el almacenamiento de credencialess de usuarios. Para que las credenciales
se almacenen en un RODC deben darse 2 requisitos:
-

El usuario debe tener permitido almacenar sus credenciales en el RODC

El usuario debe iniciar sesion una vez teniendo conexin con el DC principal para que el RODC traiga
desde alli sus credenciales y las almacene.

En el caso de que tengamos un RODC en una sucursal con 50 usuarios, y ninguno de ellos ha iniciado sesion antes en
el RODC y no tenemos conexin con el DC, ninguno podra iniciar sesion.

Podemos precargar el RODC las credenciales que queramos que almacene. Prepopullate.

Desde prepopulate passwords tendremos que agregar usuarios y equipos para almacenar las contraseas

Para que un usuario en la sucursal pueda iniciar sesion en un equipo, las credenciales de ese equipo tienen que estar
tambien almacenadas en el RODC

Para delegar la administracion:

Se puede delegar sobre usuarios o grupos.

Desde la consola solo se puede aadir o un usuario o un grupo pero desde dsmgmt si se puede

Administracion de RODC desde comandos:

dsmgmt

Para aadir al usuario a administrador local

Dsmgmt > local roles > add usuario grupoalqueaadir

Consolas de administracion de ADDS:

-

Active directory users and computers: nos pemite crear usuarios, equipos, grupos y unidades
organizativas.
Active directory sites and services: podemos crear sitios, enlaces entre sitios, subredes. Nos permite
controlar la replicacion del AD. Tambien nos permite configurar servicios (Tenemos que habilitar el nodo
de servicios) tambien podemos activar o desactivar el catalogo global
Active directory domain and trust: Permite gestionar las relaciones de confianza entre dominios y
bosques. Podemos modificar el nivel funcional de dominios y del bosque.
Active directory administrative center: tiene las mismas funciones que active directory users and
computers. Permite habilitar la papelera de reciclaje del AD (Bosque). Podemos hacer busquedas y
guardar como script. Incluye un historico de poweshell. Podemos definir las fine-grained password
policies (PSO) modo arbol > adatum (local) > system > password setting container. Precedence (prioridad
numero mas bajo mas prioridad).

Para subir el nivel funcional del dominio NO SE PUEDE BAJAR EL NIVEL

Habilitar o deshabilitar el catalogo global

Ntdsutil:

Herramienta de linea de comandos para gestionar ADDS:

-

Defragmentar la base de datos de AD (ntds.dit)

Crear snapshots de la base de datos de AD. Esto permite hacer copias de seguridad consistentes de la
base de datos.
Gestionar snapshots: podemos montar instantaneas de la base de datos del AD. De esta forma podemos
consultar su contenido antes de restaurar la copia de seguridad.
Podemos modificar la contrasea de DSRM (Directory Services Restore Mode).

Resetear password de DSRM

Modulo de powershell para directorio activo:

Se instala con los roles ADDS y AD LDS (lightweight diretory services).

Ejercicio:
Desde powershell crear los siguientes objetos:

Unidad organizativa llamada Sales

New-ADOrganizationalUnit -Name Sales
Unidad organizativa llamada Systems
New-ADOrganizationalUnit -Name Systems
Dos usuarios para sales: sales1 y sales2
New-ADUser Sales1 -Enabled $true -Path "OU=Sales,DC=adatum,DC=com" -AccountPassword (ConvertToSecureString "P4$$w0rd" -AsPlainText -Force)

New-ADUser Sales2 -Enabled $true -Path "OU=Sales,DC=adatum,DC=com" -AccountPassword (ConvertToSecureString "P4$$w0rd" -AsPlainText -Force)
Dos usuarios para systems: systems1 y systems2
New-ADUser Systems1 -Enabled $true -Path "OU=Systems,DC=adatum,DC=com" -AccountPassword (ConvertToSecureString "P4$$w0rd" -AsPlainText -Force)
New-ADUser Systems2-Enabled $true -Path "OU= Systems,DC=adatum,DC=com" -AccountPassword (ConvertToSecureString "P4$$w0rd" -AsPlainText -Force)

FSMO (Flexible Single Operation Master):

En el bosque tenemos 5 FSMO 2 son unicos a nivel de bosque y 3 unicos a nivel de dominio.

Fostest-wide FSMO:
-

Domain Naming Master: Tenemos que contactar con este FSMO cuando vamos a aadir un nuevo
dominio al bosque tambien para crear una particion de aplicacin en ntds.dit (naming context) para la
replicacion de dns por ejemplo
Schema Master: guarda una copia de lectura/escritura del esquema. El resto de copias son de solo
lectura. Para cualquier cambio en el esquema debemos tener acceso al Schema Master.

Domain-wide FSMO:
-

RID Master Role: Asigna a un DC una pila de RIDs para evitar duplicaciones de SID al crear objetos. RID
primera parte del identificador indica dominio bosque etc. No hace falta que este online ya que le
entregan una pila de RIDs solo contactaria con el RID Master cuando se le acabara la pila de RIDs.
Infraestructure Master: Controla en que dominio se encuentra cada objeto. Los objetos en el AD pueden
hacer referencias a objetos de multiples dominios. El infraestructure master debe estar accesible
siempre que haya cambios en objetos referenciados en otros dominios.
PDC Emulator (Primary domain controller): Cumple varias funciones en el dominio:
o Se encarga de la replicacion rapida de los cambios de contraseas en el dominio.
o Compatibilidad con versiones anteriores a windows server 2003
o Origen de tiempos en el dominio. Sincroniza los relojes de los equipos en el dominio.
o Debe estar accesible cuando vamos a promocionar a DC un equipo.
o Es quien crea la estructura de navegacion en el dominio. Establece la estructura de recursos a la
que podemos acceder desde el nodo network en file explorer.
o Es quien controla la creacion de GPOs.

Copias de Seguridad y Restauracion de AD:

Windows Server Backup. Tiene varios tipos de copias de seguridad:
-

Backup completo: hacemos copia de todos los archivos del sistema. Es la copia que permite hacer la
restauracion mas rapida cuando el servidor falla y no es posible recuperarlo. No necesitamos instalar
primero el sistema operativo desde el DVD para luego recuperar. Podemos recuperar directamente
usando Windows RE (Recovery Environment)
Incremental
System State: Cuando el fallo del servidor no ha sido completo, sino que hemos perdido algunos objetos
del AD o la base de datos se ha vuelto corrupta, la mejor opcion es System State Backup. El System State
Backup incluye: Ntds.dit, SYSVOL y el resgistro del sistema.
Usando System State podemos restaurar objetos individuales del AD. Cuando restauramos objetos del
AD debemos tener en cuenta que estamos es un entorno de replicacion Multimaster. Cada objeto en el
AD tiene un numero de version y es bastante probable que el numero de version del objeto que
queremos restaurar sea inferior al numero de version actual en el AD de ese objeto. En algunos casos no
interesara que los otros DC fuercen la replicacion de la version mas actual, y otras veces nos interesara
mantener la copia mas antigua.

Tenemos 2 formas de restauracion de objetos del AD:

Restauracion NO autoritativa: es el metodo de restauracion por defecto. Tenemos un DC en un

entorno multimaster.
Hicimos una copia System State el domingo por la noche. El martes por la maana empieza a
fallar por una base de datos (ntds.dit) corrupta. En ese DC restauramos el ntds.dit a partir de la
copia de System State del domingo por la noche. Los cambios que se han producido en el AD
desde el domingo estan almacenados en los otros DCs. El DC que acabamos de restaurar se da
cuenta que los otros DCs tienen versiones nuevas y les pide la replicacion tras las replicaciones,
el DC restaurado tendra su base de datos en el mismo estado que los otros DCs.

Restauracion autoritativa: El domingo por la noche hacemos copias System State de todos los
DCs. El martes borramos de forma accidental un usuario. Si restauramos la copia System State
del domingo en uno de los DCs. Al replicar desde los otros DCs, el usuario vuelve a desaparecer.
Para mantener ese usuario y que no lo elimine la replicacion, tenemos que marcar al usuario
para restauracion autoritativa. El DC donde estamos restaurando el usuario le asigna un numero
de version mucho mas grande que el numero de version que puede tener en cualquiera de los
otros DCs. Los otros DCs solicitan la replicacion del usuario restaurando al dc del System State y
el usuario vuelve a aparecer en el AD. Aumenta en 100000 el numero de version

Archivos y carpetas

Los problemas pueden venir en la restauracion.

Instalacion Windows Server backup

Crear backup system state desde powershell

wbadmin start systemstatebackup -backuptarget:E:\

DeFragmentacion de ntds.dit:
Al aadir y eliminar objetos, la base de datos ntds.dit empieza a fragmentarse, lo que provoca perdida de
rendimiento en el DC.

Para defragmentar tenemos que parar el servicio de AD en la maquina donde vamos a defragmentar.

1 parar el servicio de DA
net stop ntds

2 vamos a ntdsutil > activamos instancia > contexto files > compact to Directorio

Y ahora ejecutamos los comandos que nos da ntdsutil

Y 3 reactivamos el dominio

Limpieza de la Base de Datos:

Los objetos no siempre se eliminan correctamente de la base de datos ntds.dit. Por ejemplo, retiramos del servicio
un servidor (decommision). Para esto, si es un DC primero tenemos que despromocionarlo, y luego lo sacamos del
dominio. Asi, el objeto computer asociado desapareceria del AD.

Si no hemos hecho el proceso correcto, tenemos que limpiar ntds.dit. vamos a eliminar los metadatos de ese
objeto (Clean up)

1 vamos a ntdsutil
Activate instance ntds
contexto metadata cleanup

remove Selected Server: cuando hemos quitado incorrectamente un servidor del dominio
remove Selected Server %s: lo mismo que el anterior pero eligiendo que servidor
Remove selected domain: para eliminar los metadatos del dominio que vamos a eliminar o no vamos a usar
Remove selected server %s on %s: elimina los metadatos de un servidor almacenados en otro servidor
Remove selected Naming Context: elimina una naming context (app partition) completa

Particiones de AD (ntds.dit):

En el AD tenemos 3 particiones por defecto y podemos aadir mas (Particiones de Aplicacion).

-

Domain: guarda todos los objetos del dominio con sus atributos.
Configuracion: estructura fisica del dominio (sitios, subredes..)
Schema: Guarda el esquema del bosque.

EL AD se compone de mas archivos aparte del ntds.dit:

-

Ntds.dit: archivo principal

*.log: el AD es una base de datos transaccional antes de hacer una transaccion en ntds.dit, antes se
escribe lo que se va a hacer en el log. El archivo log es circular y contiene las transacciones hechas y las
que estan por hacer.
*.chk: el archivo .chk actua como un marcador, un puntero. Las transacciones que estan antes del chk ya
estan hechas y las que estan despues del chk estan pendientes de hacer.
Edb.log

edb.chk

Crear user1
Resetear password user1

---------

Aadir user1 a group1

-

*.jrs: dos archivos de 10MB que reservan espacio para la base de datos ntds.dit en caso de que el disco
duro se llene

Restartable AD DS:

En windows Server 2012 no es necesario parar la maquina completa para parar el directorio activo.
Podemos para el servicio de directorio activo para:
- Instalar actualizaciones
- Mantenimiento de la base de datos.
Y no necesitamos parar otros roles en la maquina, como el DCHP.

El AD DS tiene 3 estados:
-

Parado (net stop ntds)

Activo (net start ntds)
DSRM (Directory Service Restore Mode). Para restaurar una copia System State, es IMPRESCINDIBLE que
el AD DS este en modo DSRM

Para entrar en modo DSRM pulsar F8 al arrancar la maquina

Se inicia sesion con el administrador local y la contrasea de DSRM que se pone cuando creas el dominio

Y cuando estas en este modo ya puedes ir al windows server backup

Y restaurar el backup System State

Instantaneas del AD:

Una instantanea es una foto del AD en un instante determinado.

Podemos montar estas instantaneas para comparar la situacion actual con la situacion en el momento en que se hizo
la instantanea.
Podemos recuperar objetos que existian en el momento de la instantanea pero despues se han borrado.

La herramienta que se suele usarse es LDIFDE.

Crear instantanea con ntdsutil

Al crear un snapshot se le asocia un GUID para identificarla

Montar snapshot

Para editar la snapshot

Dsamain monta la snapshot para que sea accesible por un puerto desde dsa.msc

dsamain -dbpath 'C:\$SNAP_201411251229_VOLUMEC$\Windows\NTDS\ntds.dit' -ldapport 12345

Hay que dejar abierta esa consola de comandos

Y ahora desde dsa

Y ya estariamos viendo el contenido del snapshot

Borrado de Objetos:

Cuando borramos un objeto, pasa al contenedor Deleted Objects y se eliminan por completo muchos de sus
atributos. Los atributos que se eliminan son los llamada atributos enlazados (Linked). Uno de estos atributos es la
pertenencia a grupos.

En objeto permanece en Deleted Objects durante un tiempo. Llamado tombstone. Cuando el Garbage colector lo
elimina, desaparece por completo. El garbage colector pasa 1 vez al mes.

Mientras esta en Tombstone se puede reanimar con una restauracion autoritativa

Podemos recuperar objetos del contenedor deleted objects usando la consola LDP.exe no recupera membresias
Esto es como se hacia antes:

Ahora se hace desde el centro administrativo tambien recupera las membresias

Ejercicio: borrar el archivo ntds.dit de LON-DC1 y recuperlao con el backup System State que tenemos

Tambien podemos darle letra a la unidad vhd desde diskpart que esta montada con el backup y copiar / pegar el
ntds.dit

wbadmin start systemstatebackup -backuptarget:E:\

Y asi desde linea de comandos