Professional Documents
Culture Documents
• Esquema compartido
Bosques • Frontera de seguridad
• Identificar requerimientos
Diseño
• Determinar cuántos bosques
de bosques
Entornos multi-bosque
contoso.com fabrikam.com
Cuentas
Usuario
Servidores
recursos
Bosque Re Bosque recursos
Organizacional l.
Co Cuentas de
nf servicio
.
Cuentas
alternativas
Bosque recursos
Modelo bosque acceso restringido
Clave
Re
l. C
on Cuentas
f.
Usuario
Servidores
Recursos
Bosque acceso
restringido
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Factores que condicionan
128K RDSI
E1
34Mb
Razones para múltiples dominios
• Consideraciones administrativas/políticas
• Políticas únicas para cada dominio
• Tráfico de red
• Calidad de la conexión de red
• Capacidad de los servidores
• Diferencias regionales/internacionales
• Migración de dominios existentes
Recomendaciones
Enterprise Admins
Domain Admins
Schema Admins
contoso.com
Madrid Sevilla
Barcelona
Topologías típicas
Sitio
Sitio Sitio
Sitio Sitio
Hub Sitio
Hub
Sitio
Sitio
Topología compleja
Cuándo poner un DC en un Sitio
No
No
Sí Sí Sí Sí No
poner
un DC
¿Hay Admin ¿Enlace WAN ¿Es bueno el
¿Hay
para los DCs? estable? Inicio de
seguridad
física? Sesión?
No
No
No
¿Se requiere
24x7?
Sí
Poner
un DC
Cuándo poner un GC
No No No No
Poner DC y
habilitar
UGMC
¿Alguna ¿Existe ¿Usuarios
aplicación móbiles?
¿> 100 enlace WAN
requiere un
Catálogo Usuarios? a un GC?
Global (GC)? Sí
Sí
No
Sí Sí poner
GC
Poner
GC
FSMO’s
Servidor/Rol Regla
Todos Redes lo más fiables posibles
Primer Servidor En el sitio y lo más cerca posible del grupo de
usuarios más numeroso
Stand-by Designar uno inmediatamente
Maestro No colocarlo en un GC*
Infraestructura
PDCe En el sitio y lo más cerca posible del grupo de
usuarios más numeroso
CÓMO: Migrar una infraestructura DNS existente desde un servidor basado en BIND a un
DNS basado en Windows Server 2003
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Seguridad (1)
• Asegurar la comunicación con los
Controladores de Dominio (IPSec y GPO’s)
• Forzar el uso cuentas Administrativas
diferentes a las de usuario.
• Limitar el número de cuentas administrativas
• Auditar el uso de cuentas administrativas
Seguridad (2)
• Endurecer la Directiva del Dominio (Complejidad de
contraseñas, bloqueos de cuentas y Kerberos)
• Endurecer la Directiva de Controladores de
Dominio (Derechos de usuario, auditorías y
seguridad)
• Deshabilitar mecanismos de autenticación no
seguros (LM: LanManager)
• Deshabilitar servicios no necesarios
Seguridad (y 3)
• Delegación controlada de administración de
tareas.
• Deshabilitar servicios no necesarios
• Instalar antivirus con las exclusiones
obligatorias
Demo: Revisión de
conceptos y creación de
OU’s clones
Enlaces útiles (1)
• Active Directory Best Practices
• Windows Server 2003 Deployment Kit: Designing and Deploying Directory and Secur
ity Services
• Planning Domain Controller Capacity
• Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 D
ownload
• BIND HomePage
¿Preguntas?
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario
virtualizado para ejecución de laboratorios. Un técnico por grupo imparte
explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo
tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios
de Contramedidas Hacker.
Sistemas http://www.microsoft.com/spain/servidores/windowsserver
2003/seminarios/hol.aspx
Desarrollo http://www.microsoft.com/spanish/msdn/spain/eventos/hol
/default.asp