El Directorio Activo o AD (Active Directory) es una estructura
jerárquica que almacena información sobre objetos en red. Para
implementarlo Microsoft ha creado su propia versión del protocolo
LDAP (Lightweight Directory Access Protocol), proveniente de
otros entornos, mezclado con Kerberos, DNS y el servicio de dominio
propio de Windows.
Así Microsoft abandona otros protocolos propios como WINS o NTLM
(aunque pueden seguir usándose) para implementar protocolos
estándares como DHCP, SNTP, X.509 y los ya nombrados DNS y LDAP
(versiones 2 y 3).
Los protocolos imprescindibles para el funcionamiento de AD son DNS,
LDAP y KRB (Kerberos).
En AD desaparecen los antiguos PDCs (Primary Domain Controller)
y BDCs (Backup Domain Controller), pasando todos los
servidores de dominio a ser simplemente DCs (Domain
Controllers). Ahora los dominios son multimaestros, con toda la
información y los servicios replicados. Todos los DCs permiten
realizar cambios del AD y todo se replica automáticamente entre DCs.
El catálogo global es una excepción ya que solo se replica entre
los servidores que se indique12 en un proceso llamado KCC
(Knowledge Consistency Checker - Comprobador de coherencia de
conocimiento).
Elementos principales:
- Directorio Activo (AD): Servicio de directorio de Windows
2003. Es una implementación del protocolo LDAP utilizando además
DNS y Kerberos.
- Controlador de Dominio (DC): Servidor encargado de
implementar el AD.
- Controlador de Dominio Primario (PDC): si bien ya no
existen PDCs y BDCs, un DC por cada dominio simula ser un PDC para
mantener la compatibilidad con sistemas antiguos.
- Catálogo global: Subconjunto de atributos de todos los
objetos del AD utilizado para acelerar el acceso a los mismos. Permite
que un usuario inicie sesión en la red y que busque información en
el directorio.
- Esquema del Directorio: Definición de tipos de datos,
clases y atributos.
El principal protocolo de comunicaciones seguras en Windows 2003 es
Kerberos v5, que se utiliza siempre que se intercambia información
relativa a aspectos de seguridad y, en concreto, para autenticar
usuarios en el AD. Presenta numerosas ventajas sobre NTLM, utilizado
anteriormente, pero sólo es viable en la práctica si todas las
máquinas del dominio son Windows 2000 o superior. Además Windows
2003 todavía utiliza NTLM en los siguientes casos:
- Si el cliente se autentica usando una dirección IP.
- Si el cliente se autentica en un servidor de otro bosque del
directorio activo o no pertenece a ningún dominio o no existe
ningún dominio.
- Si un cortafuegos corta los puertos necesarios para usar Kerberos.
Los cortafuegos de los servidores pueden bloquear el dominio; basta que
bloqueen el DNS para que no funcione.
Los principales puertos que deben estar abiertos, tanto para TCP como
para UDP, son:
- LDAP 389
- DNS 53
- Kerberos 88 (otros puertos interesantes de KRB -utiliza muchos-
son 749-750)
- LDAPS 636 (*)
- RPC 135
- Directory Services 445
- Global Catalog 3268, 3269 (*)
(*) Solo utilizan TCP.
Notas al pie
- ... indique12
- Para indicar que un servidor
debe replicar el catálogo global hay que ir a la herramienta
``Sitios y servicios de AD'',
desplegar el sitio y seleccionar el servidor. Con el botón secundario
lanzamos ``Propiedades de NTDS'' y
seleccionamos ``Catálogo
global''.
Subsecciones
2009-05 http://guimi.net
Puede descargar una versión en PDF del documento:
Servidores Windows en PDF.
 2009-05 Güimi (http://guimi.net)
Está permitido copiar, distribuir y/o modificar los documentos bajo los términos de la licencia
"Reconocimiento-Compartir bajo la misma licencia 3.0 España" de Creative Commons.
Puede ver una copia de esta licencia completa.
|
administración de windows, modelo de seguridad, directorio activo, active directory, políticas de grupo, sistema de archivos distribuido (DFS)
