domingo, 7 de noviembre de 2010

Post 1: Lo aprendido las primeras semanas en el curso de MCITP.

Lo primero mandar un saludo a todos mis compañeros de forman del MCITP. 
Aquí dejo lo que he aprendido estas semanas, que en resumidas cuentas son los apuntes que he podido coger ;).
1.- Definiciones.
  • Domino: Agrupación lógica de ordenadores donde los nombres de usuarios, contraseñas, y niveles de privilegios asociados a los usuarios están almacenados en un servidor centralizado.
             Simbología:
 

El Fqdn  de un objeto del dominio es la cadena formada por unir mediante un “.”  el nombre de un objeto y nombre del dominio al que pertenece.
            En este caso el Fqdn de la máquina DC01 sería: DC01.sec1.donera.msft. 

Nota: Una máquina sólo puede ser controladora de un dominio y al menos hay un controlador de dominio por cada dominio. Las líneas representan confianzas bidireccionales y a nivel de dominio se aplica la propiedad transitiva.


  • Árboles de dominio: conjunto de dominios que comparten un dominio principal. Los nombres constituyen un espacio contiguo con el nombre raíz.
Esto es un árbol de dominio.


  • Confianza: nos sirve para asignar recursos y que los usuarios obtengan acceso a recursos en otro dominio. Existe confianza entre bosques, pero no existe transitividad. La transitividad solo es entre dominios.
  •  Controlador de dominio: Servidor centralizado donde están almacenados los usuarios, contraseñas y niveles de privilegios asociados a los usuarios. Todo dominio necesita al menos un controlador. Este autentica el inicio de sesión del dominio y mantiene directivas de seguridad, sobre él recaen las funciones de maestros de operaciones.
  • Unidad organizativa: son contenedores de AD que pueden almacenar usuarios, grupos, equipos y otras unidades organizativas. Son como subcarpetas, las usamos para organizar de forma trasparente. El usuario no va a saber donde está ubicado. Se pueden organizar por:

    • Jerarquía: Jefe, becario,..
    • Situación geográfica.
    • Funcional: departamento de ventas, de compras.
          Las unidades organizativas se usan para:
  • Representar su organización de manera jerárquica y lógica.
  • Administrar un grupo de objeto de un modo coherente.
  • Delegar permisos para administrar grupos de objetos.
  • Aplicar directivas.
A una unidad organizativa puedo aplicarle una GPO. Las unidades organizativas se aplican a dominios.
 
  • Ldap (Lightweight Directory Acces control/ Protocolo ligero de acceso a directorios): Lo podemos considerar como un protocolo que permite acceder a un servicio de directorio. También podemos considerarlo como una base de datos donde podemos realizar consultas. En resumen es un conjunto de objetos con una serie de propiedades, organizados de una forma lógica y jerárquica.
 
  • Directorio activo: es la implementación de Microsoft de LDAP. Es un servicio de directorio que brinda los siguientes servicios:
      • Administración de cuentas de usuario.
      • Autenticación de usuarios.
      • Administración de cuentas de equipo.
      • Acceso a recursos de red.
      • Servicios de todo el dominio.
  • Catálogo global: Contiene todos los objetos de un bosque. Tiene una copia de todos los objetos con algunos atributos que contiene el directorio de cada dominio del bosque. La finalidad  de este es que no tengamos que ir controlador a controlador para saber donde está el objeto que buscamos. Por cada sitio debo tener un catálogo global. También podemos definirla como la función que puede asumir un controlador de dominio que además de conocer los objetos de su estructura de domnio, conoce una copia de los otros controladores de dominio.

  • Gpo(Objeto de política de grupo): Es un conjunto de una o más políticas de sistemas. Cada una de estas políticas establece una configuración del objeto al que afecta.
2.- Tipos de usuarios y tipos de cuentas.

  • Los tipos de usuarios que existen son : locales y globales.
  • Los tipos de cuentas pueden ser locales y de dominio. Las cuentas locales se almacenan en el equipo que las contiene (SAM). La forma de identificar a un usuario local es (hostname\username) .Utilizan como protocolo de autenticación NTML. Las cuentas de dominio se almacenan en el directorio activo. La forma de identificar a un usuario en el dominio es username@domain. Utiliza como protocolo de autenticación keberos (Las cuentas de equipo pueden ser locales o de dominio).
  • A un equipo podemos hacerlo miembro del dominio. Con lo que podría iniciar sesión de forma local en el equipo (contra la SAM) o con el controlador de dominio.

    Existen plantillas de cuentas de usuarios, que son plantillas con cierta información común entre los usuarios.

    Una cuenta de equipo es un objeto AD/DS que identifica un equipo en un dominio. Se caracterizan porque:

    •    Necesaria para autenticación y auditoria.
    •    Permiten administrar equipos usando directivas.
    •  Necesarios para todos los equipos que ejecutan NT y posteriores.
 
Nota: Las políticas de equipos se recargan al reiniciar , por eso cuando cambiamos el nombre del equipo nos pide reiniciar. Las políticas de usuarios se recargan al reiniciar sesión.

Podemos desactivar cuentas temporalmente, como en el caso de que un usuario se haya ido de vacaciones.
De un bosque a otro los usuarios se identifican mediante NTML, dentro del bosque mediante kerberos.

 3.- Inicio de sesión.



Para poder iniciar sesión necesitamos ser autenticados y autorizados. La autenticación se lleva a cabo en Windows 2008 mediante el uso de SSO (Single Sign On) y presentamos credenciales para demostrar que es el usuario quien dice ser mediante el uso de un nombre y una contraseña. La autorización son una serie de condiciones que nos dicen bajo que circunstancias podemos acceder a los recursos (fecha, hora,…).

Si conseguimos realizar estos pasos el sistema genera el “gran ticket” TGT. Este ticket se almacena en la caché. Este tiene un tiempo de vida determinado. Una vez expirado ese tiempo de vida debemos volver a realizar el proceso de inicio de sesión para actualizarlo. También es posible renovarlo. Esto nos lo da en Windows 2008 kerberos 5. 

El derecho es distinto de permiso. Ejemplo: Derecho por ser un usuario puedo autenticarme (me lo da la confianza). Permiso: de dónde puedo autenticarme (me lo da ntfs).

4.- Particiones del directorio activo.
 

  • Esquema: Base de datos con un conjunto de clases de objeto y atributos. Ej: podemos crear un objeto computador y tiene la propiedad nombre. Todo lo que se puede instalar en el DA es porque esta (existe/reside) en el esquema. 
         Si un controlador a despromocionar es maestro de esquema no se puede despromocionar.
         
         Existe un grupo “schemeadmin” que lo tiene el usuario administrador del primer dominio creado.

  • Configuración: Es donde está toda la topología del DA. Nos dice si es un controlador de dominio, si es un dominio, es como un mapa de la red. 

  • Dominio: Cuando creo un objeto reside en la partición de dominio.  Los usuarios se crean en esta partición. Los objetos creados en el controlador de dominio residen aquí. Se replica a todos los controladores de dominio del dominio.

  • Aplicación: El directorio activo se replica cada 5 minutos. Aquí se alamcenan restos de aplicaciones que se han instalado y se han usado para replicar.
La partición de esquema y configuración son iguales en todos los controladores de dominios. Cuando dos controladores de dominios hablan intercambian la parte de configuración y esquema. Esta es igual a nivel de bosque. La partición de configuración y aplicacion cambian.

5.- Servicios del directorio activo.
  • AD/FS(Federacion de servicios): Cuando en una web vamos a pagar con una Masterdcard se pide información a la entidad bancaria. Es una manera de compartir información entre empresas. Van a trabajar entre ellos.
  • AD/RMS: Certificado para poder leer ese archivo, no tiene permisos NTFS. Cuando nos envían un pdf en el correo, como sabemos que podemos leerlo (es gracias a esto). Podemos promocionar a un equipo para que otorgue certificados.Nace como necesidad de la protección de la información. Puedo controlar o extender permisos fuera de NTFS. Con esto puedo decir por ejemplo cuando nace una tabla de precios. El servidor de AD/RMS da permisos para leer el archivo. Para que RMS funcione tiene que tener una cuenta de AD/DS.

  • AD/CS: Servicio de autenticación y cifrado (certificación). También autentica a usuarios. Se puede usar en un solo bosque.Un certificado o cifra o autentica.
  • AD/DS (Servicio de dominio): Kerberos. Centraliza la administración de redes. Esta compuesto tanto por elementos físicos como lógicos.
  • AD/LDS: No requiere DNS. Es LDAP puro y duro. Para trabajar en modo aplicación. Permite duplicar el LDAPD para trabajar con aplicaciones (almacena datos de solo lectura, pero no en el AD/DS).
Para que dos directorios activos se comuniquen necesitamos AD/DS y AD/FS.
6.- Implementación física y lógica.

El AD/DS está compuesto tanto por elementos físicos como lógicos. 

Físico:
  • Sitios: Los sitios se crean para gestionar tráfico y para transferir datos a mayor velocidad. Puedo hacer que la actualización entre sitios se haga cada “X” tiempo mediante el uso de una GPO. Se usan para controlar el trafico. Ej: cuando se hace la replicación. Los sitios controlan trafico de directorio activo y aplicaciones que usan el directorio activo.
    El sitio se crea para cuando haya una petición de un servicio, tenga prioridad el que esta en el sitio y sino el sitio mas cercano.
    Cada sitio tendrá su CG.
  • Controlador de dominio: Servidor centralizado donde están almacenados los usuarios, contraseñas y niveles de privilegios asociados a los usuarios. Todo dominio necesita al menos un controlador. Este autentica el inicio de sesión del dominio y mantiene directivas de seguridad, sobre él recaen las funciones de maestros de operaciones.
Lógico:
  • Árbol: Conjunto de dominios. En términos de diseño se representa mediante un rectangulo.
  • Bosque: Conjunto de árboles. En términos de diseño se representa mediante un rectangulo.
  • Dominio: Son comoponentes lógicos del directorio activo que se usan para agrupar y administrar objetos del AD/DS en una organización. En términos de diseño lo representamos mediante un triangulo.
El dominio brinda:
  • Un limite administrativo para aplicar directivas a grupos de objetos (GPO se aplica a sitios, subdominios y usuarios) MIRAR. Nunca pasan de un dominio a un subdominio.
  • Un limite de replicación para replicar datos entre controladores de objetos.
  • Un limite de autenticacinoo y autorización que ofrecen una forma de limitar el ámbito de acceos a recursos.
Los cifrados se implementan a nivel dominio. El cifrado de Alemania es distinto al cifrado de Alemania.
 Hay que tener cuidado con no confundir lógico y físico. De forma física en el  mismo lugar físico puede haber dos controladores de dominios, pero cada controlador de dominio puede controlar un dominio distinto. También puede haber dos controladores de dominios en un mismo dominio y estar los dos controladores en lugares físicos distintos.
7.- Funciones del controlador de dominio: Maestro de operaciones.

Un maestro de operaciones es un controlador de domino que adquiere una serie de funciones que no pueden ser implementadas por otro controlador a nivel de bosque o a nivel de dominio dependiendo del nivel al que trabajen esas funciones.
Nivel bosque (solo puede ejercer este función  un controlador de dominio dentro del bosque, pueden coincidir en el mismo equipo):

  • Maestro de esquema: La partición de esquema del maestro de operaciones es de lectura y escritura y el resto es de solo lectura. El maestro de esquema replica el esquema a los DC de su organización. Cualquier intalacion a nivel de bosque se instala en el equema. El maestro de esquema puede ser modificado, desactivado pero no borrado.
Si un controlador a despromocionar es maestro de esquema  no se puede despromocionar.
Existe un grupo schemeadmin que lo tienen el usuario administrador del primer dominio creado.


  • Maestro de nombre de dominio: Acepta o rechaza la creación, eliminación o modificación del nombre del dominio. A partir de Windows 2003 server y Windows Exchange 2007 se puede modificar el nombre del dominio.
Recomendación: HACER UNA BACKUP DEL ESQUEMA ANTES Y DESPUES DE INSTALAR EXCHANGE.

Nivel dominio (solo puede ejercer este rol un equipo dentro del dominio, pueden coincidir en el mismo equipo).
  • Maestro de RID: Cuando un DC crea un objeto se le da un registro único, un dni. Se entregan paquetes de 50 Rip. Mediante este número sabemos en que DC se ha creado. Si lo movemos el nuevo DC cambia este número y de esta forma podremos seguirlo.

  • Maestro de PDC: Emulador, ofrece compatibilidad con NT. Se encarga de la sincronización de reloj del sistema, gpo,etc
  • Maestro de infraestructura: Es el encargado de asignar nuevos id a los objetos cuando cambian de dominio.
 8.- Nombres LDAP.
 
Nombre principal de usuario (UPN): user@domain (Kerberos 5).
Nombre pre Windows 2000 : dominio\usuario (NTML).
Nombre de sesión: Identificador del usuario.
Un nombre distinguido permite identificar de manera única un elemento de la estructura del árbol, para ello usamos el nombre distinguido relativo (RND). Con esto queremos decir que un nombre distinguido está compuesto por una serie de nombres distintivos relativos (RDN).  Los elementos que lo componen son: 

 DC: Es la raiz del directorio  y se conoce como "DN Base" (Componentes de dominio) . Su forma de aparece es desglosada.
OU:  Los subdirectorios en LDAP se conocen como Unidades organizativa.
CN: Nombre común (atributo dentro de un objeto de LDAP se suele utilizar este valor como base para su RDN).
Con estos tres tipos de datos podemos formarnos una estructura de directorio.

Un ejemplo sería:
DN: CN= Manolo, OU= Gerente, OU= usuarios, DC= mercadona, DC= msft
RN: CN= Manolo

Se lee en orden inverso, hacia atrás: El elemento base seria msft (la raíz) y luego iríamos bajando en la estructura de árbol.

9.- Cajón del sastre.
  • SAM: Security Account Management  (Administrador de cuentas de seguridad) es una base de datos que almacena el nombre de usuario y la contraseña de forma local en un equipo.
  • Cuando creamos un objeto se le asigna un identificador de seguridad llamado sid que es único para el dominio.
  • Existen limitaciones comerciales, como por ejemplo que un equipo sólo puede tener diez conexiones simultáneas.  
  • Cuando promocionamos un dominio con la instrucción “dcpromo” se crea un registro donde se almacenarán las cuentas y se elimina la SAM (administrador de cuentas de seguridad).
  • Para un buen diseño es necesario equilibrio de carga y tolerancia a fallos. Este puede ser de forma local o a distancia.  
  • Un pc en primera instancia no sabe quien es el controlador de dominio para conocerlo lo que hace es una consulta DNS. El DNS me da los registros con un listado de controladores de dominios.
  • Latencia del directorio activo: Todo el tiempo que transcurre hasta que se han actualizados todos los controladores de dominios con la misma información
  • Todos los usuarios pueden agregar a un usuario al dominio con un máximo de 10.
  • Los árboles de dominios pueden ser desactivados pero no borrados. 
  • No podemos tener 2 FQDN iguales. Dos rutas de LDAP no pueden ser iguales. 
  •  El controlador de dominio valida usuarios dentro de su dominio.
  • Si ponemos un dominio por cada sitio geográfico, podría suponer un gran carga de trabajo.
  • En un sistema operativo servidor solo entran administradores (el administrador o usuarios añadidos al grupo administrador).
  • El AD crea un registro de tipo SRV (que es el que pedimos al DNS).
  • El registro del catalogo global es un alias.
  •  Ipconfig /flushdns borra la cache de dns.
  • Añadir el servicio ADDS es el primer paso intermedio para ser DC. Luego ejecutamos dcpromo. En la práctica con el dcpromo es suficiente va implícito.
  • Lo que creamos en el esquema no lo podemos borrar solo lo podemos desactivar.
  • Cuando el pc se queda sin memoria el sistema operativo tira abajo los servicios.
  • La autenticación de usuarios entre dominios que tienen establecidos  confianzas se realiza con el protocolo NTML 2, la autenticación de usuarios dentro del dominio se realiza mediante el uso kerberos 5. El nombre de kerberos  debe ser único dentro del bosque.
  • Los métodos de bosque de AD/DS, lo que hace es una consulta LDAP.
  • Para verificar configuraciones es aconsejable hacer ping por ip y por Fqdn.






No hay comentarios:

Publicar un comentario