Professional Documents
Culture Documents
Componentes fisicos:
-
Componentes logicos:
-
Particiones: Dentro del ntds.dit tendremos objetos y elementos que cambian con mucha frecuencia y
otros que practicamente no cambian (schema). El AD crea particiones en ntds.dit de forma que podemos
optimizar su replicacion y controlar que DCs guardan determinados elementos. Por ejemplo, podemos
necesitar que solo algunos DCs guarden una zona DNS integrada en AD.
Al crear el AD, ntds.dit tiene varias particiones creadas por defecto:
o
o
o
o
Schema partition: Guarda el esquema, que raramente cambia. Se replica a todo el bosque, pero
con menor frecuencia que el resto de particiones.
Configuration Partition: Guarda la estructura del AD: dominios, sitios, relaciones entre
dominios, subredes, es una particion unica para todo el bosque.
Domain Partition: Almacena todos los objetos creados en el dominio. Guarda todos los atributos
de todos los objetos del dominio. Es unica para cada Dominio.
Aplication partition: Podemos Crear particiones adicionales para determinadas tareas. Por
ejemplo, el rol de DNS Server crea su propoa Application Parttion para guardar las zonas
integradas en AD.
Esquema: Almacena la plantilla de todos los objetos del AD. Es unico para todo el bosque. Tendremos
que plantearnos dividir nuestra organizacin en varios bosques si hay incompatibilidad en la
modificaciones al esquema que deben hacer aplicaciones.
Dominio: Es un limite administrativo para agrupar usuarios, grupos y equipos. Los domain admins tienen
privilegios totales en su dominio, pero no fuera de el.
Arbol: Agrupacion de dominios con una raiz comun en su espacio de nombres. Ejemplo adatum.com y
ventas.adatum.com
Bosque: Agrupacion de arboles, tales que todo dominio tiene una relacion de confianza bidireccional con
el resto.
Sitio: Permite definir la localizacion de hosts.
Subnet: Forma parte de un Sitio.
Todo el bosque
Solo un dominio
DCs especificos de un dominio
Para recuperar si pierdes el ntds.dit desde la consola del DNS boton derecho en el servidor
Para controlar la replicacion lo normal es utilizar Active directory Sites and Services.
(para ver los servicios VIEW>Services)
Forzar replicacion:
Diagnostico de fallos:
Ntdsutil
repadmin
Ahora creamos las subnets aqui se indica que subredes estan que que sitios para que los usuarios inicien sesion en el
dc que tengan en su sito
Virtualizacion de DCs:
Ventajas:
-
Escalabilidad:
Vertical: Una VM puede requerir mas CPU, mas RAM o mas espacio almacenamiento
Horizontal: Podemos crear mas VMs para conseguir redundancia, balanceo de carga y HA (High
Availabity)
Independencia del HW: Podemos mover VMs a otros host de hipervisores.
Recuperacion muy rapida: podemos tener replicas en standby de maquinas criticas que se inician cuando
falla la original
o
o
Inconvenientes:
-
Todos los objetos tienen en sus atributos un numero de version. De esta forma garantizamos que cada DC en el
dominio tiene la misma version del objeto. El numero de version esta en los atributos y es unico para el objeto en
todo el dominio.
Objet Version: todos los objetos de un AD tiene un atributo que guarda la version de ese objeto. Esta version debe
ser unica en todo el AD. Todos los DCs deben tener la misma version de un objeto. Cuando todos los DCs de un AD
tengan la misma version de todos los objetos, el AD estara sincronizado.
USN: Es posible que algunos DCs necesiten mas actualizaciones que otros para llegar a la misma version del objeto.
En un DC, con una unica actualizacion pordrian sincronizarse varias modificaciones de un objeto. Para llevar un
registro de las actualizaciones que ha recibido un objeto en un DC concreto, cada DC tiene un USN (Update Sequence
Number). El USN para un objeto no es unico, sino que cada DC tiene el suyo. El USN de cada DC se guarda en los
atributos del objeto.
Ejemplo:
Objeto: usuario1 (Version:4) (USN1:3)(USN2:3) (VM Generation ID1:1) (VM Generation ID2:1)
DC1: (USN1:3)
DC2: (USN2:3)
El DC2 vuelve a estar Online. Se da cuenta que Usuario1 esta en la version 8.Pide a DC1 la actualizacion desde el
momento que en que UNS1 valia 4. DC1 envia la nueva contrasea , el departamento y el telefono. DC2 actualiza en
un solo salto:
Objeto:usuario1 (Version:8) (USN1:7)(USN:5)
Si DC2 es una maquina virtual a la que hicimos un checkpoint cuando estaba su USN en 4. Revertimos su instantanea.
El AD cree que USN2: 5 y el DC2 a nivel local tiene UNS2:4. Un administrador hace una modificacion a Usuario1
desde el DC2.
A nivel local, DC2 tendra: Usuario1 (Version:5) (USN1:4) (USN2:5) (VM Generation ID1:1) (VM Generation ID2:1)
Y ese indentificador de VMgenerecion ID avisa de que esa maquina no esta actualizada auque ella piense que si.
Procesos de autentificacion.
Si tenemos una sucursal que se conecta mediane un enlace wan de alta latencia con la central, contar con un RODC
puede mejorar estas tareas.
El RODC no supone un problema de seguridad, al mismo tiempo que hace las tareas fundamentales de un DC
Un RODC alamacena parte del AD, no todos los atributos. Por defecto, no almacena credenciales. Tenemos que
habilitar el almacenaje de usuarios y contraseas para que puedan autenticarse los usuarios sin tener que contar con
el DC de la central.
Aunque tengamos un RODC en la sucursal, si perdemos conexin con el DC de la central, los usuarios no podran
autenticarse. Tendremos que configurar el RODC para que SI almacene las credenciales de los usuarios de la
sucursal.
Cada RODC solo debe almacenar las credenciales de los usuarios a los que da servicio y NUNCA las de los usuarios
administrativos del dominio.
Esta configuracion se hace mediante PRP (Password replication Policy) Las PRP son locales a cada RODC.
Si el RODC de una sucursal se ve comprometido, solo tendremos que resetear las contraseas de los usuarios de esa
sucursal.
Si necesitamos poner un RODC en la red perimetral, NO debe almacenar las credenciales de ningun usuario.
Promocionando RODC
Si aadimos usuarios o grupos al de allowed RODC password replication group se guardaran las contraseas en
todos los RODC que tengamos y no solo en el que nos interese
Desde aqu podremos decir a quien se le replica su contrasea RODC por RODC
Ejemplo:
Con esta configuracion al estar modificando las propiedades del DC solo se almacenarian las constraseas de ese
grupo en el RODC que estamos modificando desde DSA.msc
Desde aqu podemos comprobar si un usuario puede almacenar o no sus credenciales (por si el usuario pertenece a
muchos grupos y no tener que revisar todos los grupos) tarda un tiempo en replicarse las membresias.
En un RODC podemos permitir o denegar el almacenamiento de credencialess de usuarios. Para que las credenciales
se almacenen en un RODC deben darse 2 requisitos:
-
En el caso de que tengamos un RODC en una sucursal con 50 usuarios, y ninguno de ellos ha iniciado sesion antes en
el RODC y no tenemos conexin con el DC, ninguno podra iniciar sesion.
Podemos precargar el RODC las credenciales que queramos que almacene. Prepopullate.
Desde prepopulate passwords tendremos que agregar usuarios y equipos para almacenar las contraseas
Para que un usuario en la sucursal pueda iniciar sesion en un equipo, las credenciales de ese equipo tienen que estar
tambien almacenadas en el RODC
dsmgmt
Active directory users and computers: nos pemite crear usuarios, equipos, grupos y unidades
organizativas.
Active directory sites and services: podemos crear sitios, enlaces entre sitios, subredes. Nos permite
controlar la replicacion del AD. Tambien nos permite configurar servicios (Tenemos que habilitar el nodo
de servicios) tambien podemos activar o desactivar el catalogo global
Active directory domain and trust: Permite gestionar las relaciones de confianza entre dominios y
bosques. Podemos modificar el nivel funcional de dominios y del bosque.
Active directory administrative center: tiene las mismas funciones que active directory users and
computers. Permite habilitar la papelera de reciclaje del AD (Bosque). Podemos hacer busquedas y
guardar como script. Incluye un historico de poweshell. Podemos definir las fine-grained password
policies (PSO) modo arbol > adatum (local) > system > password setting container. Precedence (prioridad
numero mas bajo mas prioridad).
Ntdsutil:
Ejercicio:
Desde powershell crear los siguientes objetos:
New-ADUser Sales2 -Enabled $true -Path "OU=Sales,DC=adatum,DC=com" -AccountPassword (ConvertToSecureString "P4$$w0rd" -AsPlainText -Force)
Dos usuarios para systems: systems1 y systems2
New-ADUser Systems1 -Enabled $true -Path "OU=Systems,DC=adatum,DC=com" -AccountPassword (ConvertToSecureString "P4$$w0rd" -AsPlainText -Force)
New-ADUser Systems2-Enabled $true -Path "OU= Systems,DC=adatum,DC=com" -AccountPassword (ConvertToSecureString "P4$$w0rd" -AsPlainText -Force)
En el bosque tenemos 5 FSMO 2 son unicos a nivel de bosque y 3 unicos a nivel de dominio.
Fostest-wide FSMO:
-
Domain Naming Master: Tenemos que contactar con este FSMO cuando vamos a aadir un nuevo
dominio al bosque tambien para crear una particion de aplicacin en ntds.dit (naming context) para la
replicacion de dns por ejemplo
Schema Master: guarda una copia de lectura/escritura del esquema. El resto de copias son de solo
lectura. Para cualquier cambio en el esquema debemos tener acceso al Schema Master.
Domain-wide FSMO:
-
RID Master Role: Asigna a un DC una pila de RIDs para evitar duplicaciones de SID al crear objetos. RID
primera parte del identificador indica dominio bosque etc. No hace falta que este online ya que le
entregan una pila de RIDs solo contactaria con el RID Master cuando se le acabara la pila de RIDs.
Infraestructure Master: Controla en que dominio se encuentra cada objeto. Los objetos en el AD pueden
hacer referencias a objetos de multiples dominios. El infraestructure master debe estar accesible
siempre que haya cambios en objetos referenciados en otros dominios.
PDC Emulator (Primary domain controller): Cumple varias funciones en el dominio:
o Se encarga de la replicacion rapida de los cambios de contraseas en el dominio.
o Compatibilidad con versiones anteriores a windows server 2003
o Origen de tiempos en el dominio. Sincroniza los relojes de los equipos en el dominio.
o Debe estar accesible cuando vamos a promocionar a DC un equipo.
o Es quien crea la estructura de navegacion en el dominio. Establece la estructura de recursos a la
que podemos acceder desde el nodo network en file explorer.
o Es quien controla la creacion de GPOs.
Backup completo: hacemos copia de todos los archivos del sistema. Es la copia que permite hacer la
restauracion mas rapida cuando el servidor falla y no es posible recuperarlo. No necesitamos instalar
primero el sistema operativo desde el DVD para luego recuperar. Podemos recuperar directamente
usando Windows RE (Recovery Environment)
Incremental
System State: Cuando el fallo del servidor no ha sido completo, sino que hemos perdido algunos objetos
del AD o la base de datos se ha vuelto corrupta, la mejor opcion es System State Backup. El System State
Backup incluye: Ntds.dit, SYSVOL y el resgistro del sistema.
Usando System State podemos restaurar objetos individuales del AD. Cuando restauramos objetos del
AD debemos tener en cuenta que estamos es un entorno de replicacion Multimaster. Cada objeto en el
AD tiene un numero de version y es bastante probable que el numero de version del objeto que
queremos restaurar sea inferior al numero de version actual en el AD de ese objeto. En algunos casos no
interesara que los otros DC fuercen la replicacion de la version mas actual, y otras veces nos interesara
mantener la copia mas antigua.
Restauracion autoritativa: El domingo por la noche hacemos copias System State de todos los
DCs. El martes borramos de forma accidental un usuario. Si restauramos la copia System State
del domingo en uno de los DCs. Al replicar desde los otros DCs, el usuario vuelve a desaparecer.
Para mantener ese usuario y que no lo elimine la replicacion, tenemos que marcar al usuario
para restauracion autoritativa. El DC donde estamos restaurando el usuario le asigna un numero
de version mucho mas grande que el numero de version que puede tener en cualquiera de los
otros DCs. Los otros DCs solicitan la replicacion del usuario restaurando al dc del System State y
el usuario vuelve a aparecer en el AD. Aumenta en 100000 el numero de version
Archivos y carpetas
DeFragmentacion de ntds.dit:
Al aadir y eliminar objetos, la base de datos ntds.dit empieza a fragmentarse, lo que provoca perdida de
rendimiento en el DC.
Para defragmentar tenemos que parar el servicio de AD en la maquina donde vamos a defragmentar.
1 parar el servicio de DA
net stop ntds
2 vamos a ntdsutil > activamos instancia > contexto files > compact to Directorio
Y 3 reactivamos el dominio
Los objetos no siempre se eliminan correctamente de la base de datos ntds.dit. Por ejemplo, retiramos del servicio
un servidor (decommision). Para esto, si es un DC primero tenemos que despromocionarlo, y luego lo sacamos del
dominio. Asi, el objeto computer asociado desapareceria del AD.
Si no hemos hecho el proceso correcto, tenemos que limpiar ntds.dit. vamos a eliminar los metadatos de ese
objeto (Clean up)
1 vamos a ntdsutil
Activate instance ntds
contexto metadata cleanup
remove Selected Server: cuando hemos quitado incorrectamente un servidor del dominio
remove Selected Server %s: lo mismo que el anterior pero eligiendo que servidor
Remove selected domain: para eliminar los metadatos del dominio que vamos a eliminar o no vamos a usar
Remove selected server %s on %s: elimina los metadatos de un servidor almacenados en otro servidor
Remove selected Naming Context: elimina una naming context (app partition) completa
Particiones de AD (ntds.dit):
Domain: guarda todos los objetos del dominio con sus atributos.
Configuracion: estructura fisica del dominio (sitios, subredes..)
Schema: Guarda el esquema del bosque.
edb.chk
Crear user1
Resetear password user1
---------
*.jrs: dos archivos de 10MB que reservan espacio para la base de datos ntds.dit en caso de que el disco
duro se llene
Restartable AD DS:
En windows Server 2012 no es necesario parar la maquina completa para parar el directorio activo.
Podemos para el servicio de directorio activo para:
- Instalar actualizaciones
- Mantenimiento de la base de datos.
Y no necesitamos parar otros roles en la maquina, como el DCHP.
El AD DS tiene 3 estados:
-
Se inicia sesion con el administrador local y la contrasea de DSRM que se pone cuando creas el dominio
Podemos montar estas instantaneas para comparar la situacion actual con la situacion en el momento en que se hizo
la instantanea.
Podemos recuperar objetos que existian en el momento de la instantanea pero despues se han borrado.
Montar snapshot
Dsamain monta la snapshot para que sea accesible por un puerto desde dsa.msc
Borrado de Objetos:
Cuando borramos un objeto, pasa al contenedor Deleted Objects y se eliminan por completo muchos de sus
atributos. Los atributos que se eliminan son los llamada atributos enlazados (Linked). Uno de estos atributos es la
pertenencia a grupos.
En objeto permanece en Deleted Objects durante un tiempo. Llamado tombstone. Cuando el Garbage colector lo
elimina, desaparece por completo. El garbage colector pasa 1 vez al mes.
Podemos recuperar objetos del contenedor deleted objects usando la consola LDP.exe no recupera membresias
Esto es como se hacia antes:
Ejercicio: borrar el archivo ntds.dit de LON-DC1 y recuperlao con el backup System State que tenemos
Tambien podemos darle letra a la unidad vhd desde diskpart que esta montada con el backup y copiar / pegar el
ntds.dit