1 / 59

Windows Server 2008 R2 Active Directory

Código: HOL-WIN61. Windows Server 2008 R2 Active Directory. Francisco Nogal fnogal@informatica64.com. Agenda. Introducción El Servicio de Directorio Activo Los Controladores de Dominio RODC Novedades Windows Server 2008 R2 Seguridad Directorio Activo. Directorio Activo.

kalil
Télécharger la présentation

Windows Server 2008 R2 Active Directory

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Código: HOL-WIN61 Windows Server 2008 R2Active Directory Francisco Nogal fnogal@informatica64.com

  2. Agenda • Introducción • El Servicio de Directorio Activo • Los Controladores de Dominio • RODC • Novedades Windows Server 2008 R2 • Seguridad Directorio Activo

  3. Directorio Activo • Centraliza el control de los recursos de red • Centraliza y descentraliza la administración de recursos • Almacena objetos de manera segura en una estructura lógica • Optimiza el tráfico de red

  4. Estructura Lógica Árbol Dominio Dominio Dominio Dominio Objetos Dominio Dominio OU Dominio Unidad Organizativa OU OU Bosque

  5. Sitio Enlace WAN Controlador de dominio Sitio Estructura Física • Sitios • Controladores de dominio • Enlaces WAN

  6. Servicio de Directorio Domain OU1 Computers Computer1 Users User1 OU2 Users User2 Printers Printer1 Un repositorio organizado de información sobre personas y recursos

  7. Schema (I) • Definición formal de todos los objetos Directorio Activo y sus atributos • Cada tipo de objeto (clase) deriva de una clase principal TOP • Las clases heredan de otras clases su definición y comportamiento • Cada objeto dispone de atributos obligatorios y atributos opcionales

  8. Schema (II) • Símil con una tabla de BBDD Relacional • Clase => Definición en una fila de un objeto • Atributos => Columnas que definen una clase • Cada atributo a su vez puede verse como una colección de posibles valores • El Esquema se puede ver en la consola de Active Directory Schema • Se pueden ver/añadir/modificar clases y atributos por separado

  9. Schema (III)

  10. Catalogo Global (I) Solo Lectura Global Catalog Repositorio que contiene un subconjunto de atributos de todos los objetos del Directorio Activo

  11. Catálogo Global (II) • Dentro de un dominio, cada DC dispone de una copia completa de la base de datos • En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest • Servidores de Catálogo Global • Para disminuir tamaño sólo se almacenan los valores de ciertos atributos

  12. Catálogo Global (III) • Cualquier DC puede tomar el rol de Catálogo Global • El servidor de GC se usa para facilitar consultas en entornos multidominio • Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site

  13. Requisitos de Instalación DC • Una máquina ejecutando Windows Server 2008 R2 • 250 MB de espacio libre en una partición formateada en NTFS • Privilegios administrativos para la creación de un dominio • TCP/IP instalado y configurado para utilizar DNS

  14. Verificación de la Instalación • Verificar la creación de • SYSVOL • Base de datos del directorio y archivos de transacciones • Estructura básica del AD • Verificación del visor de sucesos

  15. SYSVOL • Es un recurso compartido que se genera en cada DC al realizar DCpromo. • Contiene: • Políticas de Sistema (Windows NT, 9X) • GPO para los miembros del dominio • Scripts de Logon y Logoff.

  16. Archivos de Datos y Logs

  17. Migración de AD • Tareas Previas • Credenciales • Revisión de hardware • Determinar tipo de migración

  18. Migración desde 2003

  19. Migracion

  20. Migracion

  21. Migracion

  22. Migracion

  23. Migracion

  24. Initiating a BPA Analysis • Desde el Administrador del Servidor Import-Module BestPractices Invoke-BpaModel Microsoft/Windows/DirectoryServices Get-BpaResult Microsoft/Windows/DirectoryServices • Desde PowerShell

  25. Reglas Best Practice Analyzer Topologia/conectividad Asignacion de roles FSMO Disponibilidad FSMO ServicioHorario • DNS Registro de recusros SRV/A/AAA • Recuperacion de desastres • Multiples DC por dominio • Backups • Replicacion • Un GC por sitio • KCC habilitado • Escenarios VM

  26. demo AD Best Practices

  27. DelegacionesRemotas Delegaciones

  28. Read-OnlyDomainControllerDesafíos de las delegaciones remotas • Los administradores se enfrentan a los siguientes desafíos a la hora de desplegar Controladores de Dominio en una delegación remota • El DC se coloca en una localización física insegura • El DC tiene una conexión de red poco fiable con el HUB • El personal de la delegación tiene pocos conocimientos o permisos para gestionar el DC, por lo que: • Los Domain Admins gestionan el DC remotamente, o • Los Domain Admins delegan privilegios al personal de la delegación • Para consolidar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero • Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla

  29. Read-OnlyDomainControllerSolución segura de Delegación remota Remedios del RODC

  30. Read-Only Domain ControllerMenor superficie de ataque para los DCs de delegaciones remotas • Por defecto, no hay contraseñas de usuarios o equipos almacenadas en un RODC • El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODC • Estado de Solo lectura con replicación unidireccional del AD y FRS/DFSR • Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas propias y distintas • La delegación del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte vía TS al RODC • Los DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el registro ilegal de nombres en DNS • Los RODCs tienen cuentas de estación de trabajo • No son miembros de los grupos Enterprise-DC o Domain-DC • Derechos muy limitados para escribir en el Directorio • Los RODC son totalmente compatibles con Server Core

  31. Read-OnlyDomainControllerModelos de Administración recomendados • Cuentas no cacheadas (por defecto) • A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticas • En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión • La mayor parte de las cuentas cacheadas • A Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la administrabilidad que la seguridad. • En contra: Más contraseñas expuestas potencialmente por el RODC • Solo una pocas contraseñas cacheadas • A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad de los demás • En Contra: Requiere una administración granular más fina • Mapear equipos por delegación • Requiere buscar manualmente el atributo Auth2 para identificar las cuentas

  32. Cacheo de secretos en el primer inicio de sesión Read-OnlyDomainControllerComo Funciona AS_Req enviado al RODC (TGT request) • RODC: No tiene las credenciales de este usuario Reenvía la petición al DC del Hub El DC del Hub autentica la petición Devuelve la petición de autenticación y el TGT al RODC El RODC da el TGT al usuario y encola una peticion de replicación de los secretos El DC del Hub comprueba la política de replicación de contraseñas para ver si la contraseña puede ser replicada

  33. Read-OnlyDomainController Lo que ve el atacante Perspectiva del Administrador del Hub

  34. Read-OnlyDomainControllerDespliegue paso a paso • Como desplegar un RODC a partir de un entorno de Windows Server 2003 • ADPREP /ForestPrep • ADPREP /DomainPrep • Promover un DC con Windows Server 2008 • Verificar que los modos funcionales del forest y del dominio son 2003 Nativo • ADPREP /RodcPrep • Verificar la lista de actualizaciones necesarias para la compatibilidad en los clientes • Promover el RODC No específico de un RODC Específico de un RODC Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promoción/promoción

  35. Read-Only Domain ControllerPromoción "Install-from-media” • NTDSUtil > IFM • Durante la creación del RODC IFM: • Los “Secretos” se eliminan • La base de datos DIT se defragmenta para ahorrar espacio en disco

  36. ReadOnlyDomainControlles

  37. PasswordReplicationPolicy

  38. Novedades • Active Directory Recycle Bin • Managed Service Accounts • Offline Domain Join • Active Directory PowerShell • Active Directory Administrative Center

  39. Papelera de reciclaje de Active Directory • Problemas: • Borrado accidental puede causar perdidas de tiempo • La restauracion del objeto es complicada • Solucion • Restauracion del objeto con todos sus atributos

  40. Recycle Bin for AD Object Life-cycle Windows Server 2008 No Recycle bin feature Delete Tombstone Object Auth Restore TombstoneLifetime 180 Days Windows Server 2008 R2 with Recycle Bin enabled Delete Live Object Live Object GarbageCollection GarbageCollection RecycledObject Deleted Object Undelete Deleted Object Lifetime 180 Days TombstoneLifetime 180 Days

  41. Consideraciones • Donde está la UI? • Que impactio tiene en el DIT? • Aumento de tamaño de un 5-10% cuando un nuevo DC es instalado • Crecimientos posteriores dependen de la frecuencia de borrado de objetos • Deleted Object Lifetime (DOL) • DOL = TSL = 180 dias(Por defecto) • Pueden ser modificados • Atributos: msDS-deletedObjectLifetime , tombstoneLifetime • Como puedo borrar un objeto permanentemente? Get-ADObject –Filter {} –IncludeDeletedObjects | Remove-ADObject

  42. Prerequisitos Nuevos terminos Requirements Nivel funcional del bosque Windows Server 2008 R2 Caracteristica De la Papelera de Reciclaje habilitada • Deleted Object • Objetos en la papelera de reciclaje • Recycled Object • Objetos que ya no se encuentran en la papelera • Equivalente a Tombstone

  43. Papelera de Reciclaje

  44. Agenda • Active Directory Recycle Bin • Managed Service Accounts • Offline Domain Join • Active Directory PowerShell • Active Directory Administrative Center

  45. Problemas con lascuentas de servicio • Cuentas de servicio son un problema de seguridad • Passwords se ponen una vez y no caducan • Cuentas de servicio tienen un tiempo de vida infinito • Cuentas de servicio a menudo tienen excesivos permisos

  46. Cuentas de servicioadministradas • MSA resuelven esos problemas • Nnueva caracteristica en Windows 7/Windows Server 2008 R2 • Passwords & SPNs administrados por el sistema

  47. MSA

  48. Agenda • Active Directory Recycle Bin • Managed Service Accounts • Offline Domain Join • Active Directory PowerShell • Active Directory Administrative Center

  49. I think a flowchart slide would be advantageous to this topic Union al dominio Offline • Problemas • Unir equipos al dominio requiere conectividad de red • Requiere reinicio para completar la accion • Solucion • Se habilita el preaprovisionamiento de cuentas de equipo • Informacion de cuenta de equipo es añadida a la maquina mientras esta offline • Procesos de la maquina añaden informacion al arranque y se convierte en miembro de dominio sin

  50. Modo offline

More Related