Mejores Prácticas en el

diseño de Directorio Activo

en Windows 2003

Ramon Jiménez, MCSE 2000/2003

PMP, CCA, ITIL Certified
MVP Windows Server System – Infrastructure Architect
rjimenezm@hotmail.com
Requisitos

• Experiencia previa con servidores Windows

• Experiencia con redes en entornos Microsoft
• Conocimientos básicos de Directorio Activo
• Conocimientos básicos de DNS
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Bosques

• Esquema compartido
Bosques • Frontera de seguridad

• Identificar requerimientos
Diseño
• Determinar cuántos bosques
de bosques
Entornos multi-bosque
contoso.com fabrikam.com

emea.contoso.com nala.contoso.com filial1.fabrikam.com

Entornos multi-bosque: Razones
• Razones políticas/organizativas
• Razones jurídicas
• Razones técnicas
• Razones financieras
• Otras
Consideraciones
• Los requerimientos estrictos limitan las
opciones

• Reserva tiempo para la negociación

• Haz balance coste/beneficio

• Evita que 2 organizaciones de IT

compartan la gestión de infraestructura
• Evita externalización a múltiples
proveedores
Modelo multi-bosque simple
Clave
Relación de confianza
entre bosques

Cuentas
Usuario

Bosque Org 1 Bosque Org 2

Servidores
recursos
Modelo bosque de recursos
Clave
Rel. Conf.
Cuentas
Usuario

Servidores
recursos
Bosque Re Bosque recursos
Organizacional l.
Co Cuentas de
nf servicio
.
Cuentas
alternativas

Bosque recursos
Modelo bosque acceso restringido
Clave
Re
l. C
on Cuentas
f.
Usuario

Servidores
Recursos

Bosque Organizacional Servidores

con datos
clasificados

Bosque acceso
restringido
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Factores que condicionan

Capacidad de la Red # de Usuarios

128K RDSI
E1
34Mb
Razones para múltiples dominios

• Consideraciones administrativas/políticas
• Políticas únicas para cada dominio
• Tráfico de red
• Calidad de la conexión de red
• Capacidad de los servidores
• Diferencias regionales/internacionales
• Migración de dominios existentes
Recomendaciones

Si no hay alternativa y debemos ir por múltiples dominios:

Minimizar Número de dominios

Minimizar Profundidad de la jerarquía
Elegir Diseños que permitan reorganizar dominios
Desplegar Al menos dos (2) Controladores de Dominio
por dominio
Desplegar Domains comodín durante migraciones
(para no provocar disrupción de servicio)
Modelo regional
contoso.com

mad.contoso.com bcn.contoso.com sev.contoso.com

Modelo organizacional
Matriz Equipo IT Central

Enterprise Admins
Domain Admins
Schema Admins

Equipo IT Training Equipo IT Equipos Hw Equipo IT Licencias

Domain Admins Domain Admins Domain Admins

Training Equipos Hw Licencias

Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Dominio Único
Sitios

contoso.com

Madrid Sevilla

Barcelona
Topologías típicas
Sitio
Sitio Sitio
Sitio Sitio

Sitio Sitio Hub

Sitio Sitio

Topología Anillo Topología Hub-and-Spoke

Hub Sitio
Hub
Sitio
Sitio
Topología compleja
Cuándo poner un DC en un Sitio
No

No

Sí Sí Sí Sí No
poner
un DC
¿Hay Admin ¿Enlace WAN ¿Es bueno el
¿Hay
para los DCs? estable? Inicio de
seguridad
física? Sesión?
No
No
No
¿Se requiere
24x7?

Sí
Poner
un DC
Cuándo poner un GC

No No No No
Poner DC y
habilitar
UGMC
¿Alguna ¿Existe ¿Usuarios
aplicación móbiles?
¿> 100 enlace WAN
requiere un
Catálogo Usuarios? a un GC?
Global (GC)? Sí
Sí
No
Sí Sí poner
GC
Poner
GC
FSMO’s

Servidor/Rol Regla
Todos Redes lo más fiables posibles
Primer Servidor En el sitio y lo más cerca posible del grupo de
usuarios más numeroso
Stand-by Designar uno inmediatamente
Maestro No colocarlo en un GC*
Infraestructura
PDCe En el sitio y lo más cerca posible del grupo de
usuarios más numeroso

Planning Operations Master Role Placement

Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
DNS y Espacio de Nombres
• Planificación y elección apropiada del
espacio de nombres
• Integración con BIND existentes
• Coexistencia con BIND existentes
• Entorno DNS nativo
Integración con BIND
• El servidor BIND debe soportar
– Actualizaciones dinámicas
– Registros SRV
– Transferencia incremental de zonas (recomendado, no
obligatorio)
• Todos los clientes y servidores apuntan como
DNS’s los servidores BIND
• Última versión BIND 9.3.1
Configuring Berkeley Internet Name Domain (BIND) to Support Active Directory
Coexistencia con BIND (1)
• El servidor BIND debe crear y delegar en DNS de Windows
2003 las siguientes zonas:
_udp.DNSDomainName
_tcp.DNSDomainName
_sites.DNSDomainName
_msdcs.DNSDomainName
Sustituir DNSDomainName por vuestro nombre (ej: contoso.com)
• 2 subdominios deben delegarse en el BIND para servidores
DNS basados en Windows 2003
ForestDnsZones.ForestDNSName
DomainDnsZones.DNSDomainName
Coexistencia con BIND (y 2)
• Ejemplo de configuración en el BIND:
_TCP IN NS dc1.contoso.com
_UDP IN NS dc1.contoso.com
_MSDCS IN NS dc1.contoso.com
_SITES IN NS dc1.contoso.com
ForestDNSZones IN NS dc1.contoso.com
DomainDNSZones IN NS dc1.contoso.com
192.168.100.1 dc1.contoso.com # Win2K3 Domain Controller
192.168.100.1 A contoso.com
Integrating Windows 2000 DNS into an existing BIND or Windows NT 4.0-based DNS namespace
Recomendación: Usar DNS
Windows 2003
• Integrado en Directorio Activo
• Permite actualizaciones seguras
• Replicación multi-master (basada en DA)
• Configuración muy sencilla de reenviadores condicionales,
Zonas Stub y reenviadores a DNS’s de ISP’s

CÓMO: Migrar una infraestructura DNS existente desde un servidor basado en BIND a un
DNS basado en Windows Server 2003
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Seguridad (1)
• Asegurar la comunicación con los
Controladores de Dominio (IPSec y GPO’s)
• Forzar el uso cuentas Administrativas
diferentes a las de usuario.
• Limitar el número de cuentas administrativas
• Auditar el uso de cuentas administrativas
Seguridad (2)
• Endurecer la Directiva del Dominio (Complejidad de
contraseñas, bloqueos de cuentas y Kerberos)
• Endurecer la Directiva de Controladores de
Dominio (Derechos de usuario, auditorías y
seguridad)
• Deshabilitar mecanismos de autenticación no
seguros (LM: LanManager)
• Deshabilitar servicios no necesarios
Seguridad (y 3)
• Delegación controlada de administración de
tareas.
• Deshabilitar servicios no necesarios
• Instalar antivirus con las exclusiones
obligatorias
Demo: Revisión de
conceptos y creación de
OU’s clones
Enlaces útiles (1)
• Active Directory Best Practices

• Windows Server 2003 Deployment Kit: Designing and Deploying Directory and Secur
ity Services
• Planning Domain Controller Capacity

• DNS Step-by-Step Guide

• Multiple Forest Considerations in Windows 2000 and Windows Server 2003

• Schema Documentation Program for Servers Running Windows 2000 or Windows 20

03 Server
• Active Directory Performance Testing Tool (ADTest.exe)

• Designing Distributed File Systems

• Active Directory Directory Service Product Operations Guide

Enlaces útiles (2)
• Best Practices for Delegating Active Directory Administration

• Best Practices for Delegating Active Directory Administration Appendices

• Best Practice Guide for Securing Active Directory Installations

• Server and Domain Isolation Using IPsec and Group Policy

• Windows Server 2003 Active Directory Branch Office Guide

• Active Directory in Networks Segmented by Firewalls

• Active Directory Migration Tool v3.0

• Best Practices for Deploying Printer Location with Active Directory

Enlaces útiles (3)
• Extending Your Active Directory Schema for New Features in Windows Serv
er 2003 R2
• Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2

• Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 D
ownload

• Windows Server 2003 R2 Branch Office: Frequently Asked Questions

• Windows Server 2003 R2: Support for Branch Offices

• BIND HomePage
¿Preguntas?
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario
virtualizado para ejecución de laboratorios. Un técnico por grupo imparte
explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo
tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios
de Contramedidas Hacker.
Sistemas http://www.microsoft.com/spain/servidores/windowsserver
2003/seminarios/hol.aspx
Desarrollo http://www.microsoft.com/spanish/msdn/spain/eventos/hol
/default.asp

• Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia.

• Tenerife, Málaga y Sevilla
Webcast en su versión grabada de
Directorio Activo
• Active Directory - Usos y conceptos básicos del
Directorio Activo
• Active Directory - Conceptos Avanzados de
Directorio Activo
• Active Directory - La importancia del DNS para
el Directorio Activo
• Active Directory - Replicación del Directorio
Activo
• Active Directory - Uso avanzado de las politicas
de Grupo
Más Acciones de Directorio Activo

• Active Directory - Mejores practicas en las operaciones

de Directorio Activo.23 de Marzo.
• Active Directory - Migración desde Windows NT a
Directorio Activo. 6 de Abril.
• Active Directory - Uso avanzado del sistema de archivos
distribuido (DFS). 20 de Abril
• Active Directory - Gestión de Identidades (ADAM,
MIIS)
• Para información adicional y registro:
– http://www.microsoft.com/spain/technet/jornadas/we
bcasts/default.asp
Más Acciones desde TechNet
• Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:
– http://www.microsoft.com/spain/technet/jornadas/webcasts/webcas
ts_ant.asp
• Para información y registro de Futuros Webcast de éste y otros temas
diríjase a:
– http://www.microsoft.com/spain/technet/jornadas/webcasts/defaul
t.asp
• Para mantenerse informado sobre todos los Eventos, Seminarios y
webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección:
– http://www.microsoft.com/spain/technet/boletines/default.mspx
• Para estar informado sobre novedades vea nuestros It´s Showtime en:
– http://www.microsoft.com/spain/technet/itsshowtime/default.aspx
• Para acceder a toda la información, betas, actualizaciones, recursos,
puede suscribirse a Nuestra Suscripción TechNet en:
– http://www.microsoft.com/spain/technet/recursos/cd/default.mspx