Embed Size (px)
Citation preview
Ramon Jiménez, MCSE 2000/2003PMP, CCA, ITIL CertifiedMVP Windows Server System – Infrastructure [email protected]
Mejores Prácticas en el diseño de Directorio Activo en Windows 2003
Requisitos
• Experiencia previa con servidores Windows
• Experiencia con redes en entornos Microsoft
• Conocimientos básicos de Directorio Activo
• Conocimientos básicos de DNS
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Bosques
• Esquema compartido
• Frontera de seguridad
• Identificar requerimientos
• Determinar cuántos bosques
Bosques
Diseño
de bosques
Entornos multi-bosque
emea.contoso.com
contoso.com
nala.contoso.com
fabrikam.com
filial1.fabrikam.com
Entornos multi-bosque: Razones
• Razones políticas/organizativas
• Razones jurídicas
• Razones técnicas
• Razones financieras
• Otras
Consideraciones
• Los requerimientos estrictos limitan las opciones
• Reserva tiempo para la negociación
• Haz balance coste/beneficio
• Evita que 2 organizaciones de IT compartan la gestión de infraestructura
• Evita externalización a múltiples proveedores
Cuentas Usuario
Servidores recursos
Clave
Modelo multi-bosque simple
Relación de confianza entre bosques
Bosque Org 1 Bosque Org 2
Bosque recursos
Bosque recursos
Modelo bosque de recursos
Bosque Organizacional
Cuentas Usuario
Servidores recursos
Clave
Cuentas de servicio
Cuentas alternativas
Rel. Conf.
Rel. Conf.
Cuentas Usuario
Servidores Recursos
Clave
Servidores con datos clasificados
Bosque acceso restringido
Bosque Organizacional
Modelo bosque acceso restringido
Rel. Conf.
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Factores que condicionan
Capacidad de la Red # de Usuarios
E1 34Mb
128K RDSI
Razones para múltiples dominios
• Consideraciones administrativas/políticas• Políticas únicas para cada dominio• Tráfico de red• Calidad de la conexión de red• Capacidad de los servidores• Diferencias regionales/internacionales• Migración de dominios existentes
Recomendaciones
Minimizar Número de dominios
Minimizar Profundidad de la jerarquía
Elegir Diseños que permitan reorganizar dominios
Desplegar Al menos dos (2) Controladores de Dominio por dominio
Desplegar Domains comodín durante migraciones (para no provocar disrupción de servicio)
Si no hay alternativa y debemos ir por múltiples dominios:
Modelo regional
contoso.com
bcn.contoso.com sev.contoso.commad.contoso.com
Modelo organizacional
Matriz
Equipos Hw LicenciasTraining
Equipo IT Central
Enterprise Admins
Domain Admins
Schema Admins
Equipo IT Training
Domain Admins
Equipo IT Equipos Hw
Domain Admins
Equipo IT Licencias
Domain Admins
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Dominio Único
Sitios
contoso.com
Madrid
Barcelona
Sevilla
Topologías típicas
Sitio Sitio
SitioSitio
Topología Anillo Topología Hub-and-Spoke
Sitio
Sitio
Sitio
Sitio
HubSitio
Topología compleja
HubHub Sitio
SitioSitio
¿Es bueno el Inicio de Sesión?
Cuándo poner un DC en un Sitio
Sí
¿Hay seguridad
física?
Poner un DC
No poner un DC
No
Sí Sí Sí
No
¿Hay Admin para los DCs?
No
¿Enlace WAN estable?
¿Se requiere 24x7?
Sí
No
No
¿Alguna aplicación
requiere un Catálogo
Global (GC)?
Cuándo poner un GC
No
Poner
GC
No No No
¿> 100 Usuarios?
Sí
¿Existe enlace WAN
a un GC?
¿Usuarios móbiles?
Sí
No poner
GC
Sí Sí
Poner DC y habilitar UGMC
FSMO’s
Servidor/Rol Regla
Todos Redes lo más fiables posibles
Primer Servidor En el sitio y lo más cerca posible del grupo de usuarios más numeroso
Stand-by Designar uno inmediatamente
Maestro Infraestructura
No colocarlo en un GC*
PDCe En el sitio y lo más cerca posible del grupo de usuarios más numeroso
Planning Operations Master Role Placement
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
DNS y Espacio de Nombres
• Planificación y elección apropiada del
espacio de nombres
• Integración con BIND existentes
• Coexistencia con BIND existentes
• Entorno DNS nativo
Integración con BIND
• El servidor BIND debe soportar
– Actualizaciones dinámicas
– Registros SRV
– Transferencia incremental de zonas (recomendado, no
obligatorio)
• Todos los clientes y servidores apuntan como
DNS’s los servidores BIND
• Última versión BIND 9.3.1Configuring Berkeley Internet Name Domain (BIND) to Support Active Directory
Coexistencia con BIND (1)
• El servidor BIND debe crear y delegar en DNS de Windows
2003 las siguientes zonas:
_udp.DNSDomainName
_tcp.DNSDomainName
_sites.DNSDomainName
_msdcs.DNSDomainName
Sustituir DNSDomainName por vuestro nombre (ej: contoso.com)
• 2 subdominios deben delegarse en el BIND para servidores
DNS basados en Windows 2003ForestDnsZones.ForestDNSName
DomainDnsZones.DNSDomainName
Coexistencia con BIND (y 2)
• Ejemplo de configuración en el BIND:
_TCP IN NS dc1.contoso.com
_UDP IN NS dc1.contoso.com
_MSDCS IN NS dc1.contoso.com
_SITES IN NS dc1.contoso.com
ForestDNSZones IN NS dc1.contoso.com
DomainDNSZones IN NS dc1.contoso.com
192.168.100.1 dc1.contoso.com # Win2K3 Domain Controller
192.168.100.1 A contoso.comIntegrating Windows 2000 DNS into an existing BIND or Windows NT 4.0-based DNS namespace
Recomendación: Usar DNS Windows 2003
• Integrado en Directorio Activo
• Permite actualizaciones seguras
• Replicación multi-master (basada en DA)
• Configuración muy sencilla de reenviadores condicionales,
Zonas Stub y reenviadores a DNS’s de ISP’s
CÓMO: Migrar una infraestructura DNS existente desde un servidor basado en BIND a un
DNS basado en Windows Server 2003
Agenda
• Entornos multi-bosque
• Entornos multi-dominio
• Entornos de dominio único. Unidades
Organizativas
• DNS y Espacio de nombres
• Seguridad
Seguridad (1)
• Asegurar la comunicación con los
Controladores de Dominio (IPSec y GPO’s)
• Forzar el uso cuentas Administrativas
diferentes a las de usuario.
• Limitar el número de cuentas administrativas
• Auditar el uso de cuentas administrativas
Seguridad (2)
• Endurecer la Directiva del Dominio (Complejidad de
contraseñas, bloqueos de cuentas y Kerberos)
• Endurecer la Directiva de Controladores de
Dominio (Derechos de usuario, auditorías y
seguridad)
• Deshabilitar mecanismos de autenticación no
seguros (LM: LanManager)
• Deshabilitar servicios no necesarios
Seguridad (y 3)
• Delegación controlada de administración de
tareas.
• Deshabilitar servicios no necesarios
• Instalar antivirus con las exclusiones
obligatorias
Demo: Revisión de conceptos y creación de OU’s clones
• Active Directory Best Practices
• Windows Server 2003 Deployment Kit: Designing and Deploying Directory and Security Services
• Planning Domain Controller Capacity
• DNS Step-by-Step Guide
• Multiple Forest Considerations in Windows 2000 and Windows Server 2003
• Schema Documentation Program for Servers Running Windows 2000 or Windows 2003 Server
• Active Directory Performance Testing Tool (ADTest.exe)
• Designing Distributed File Systems
• Active Directory Directory Service Product Operations Guide
Enlaces útiles (1)
• Best Practices for Delegating Active Directory Administration
• Best Practices for Delegating Active Directory Administration Appendices
• Best Practice Guide for Securing Active Directory Installations
• Server and Domain Isolation Using IPsec and Group Policy
• Windows Server 2003 Active Directory Branch Office Guide
• Active Directory in Networks Segmented by Firewalls
• Active Directory Migration Tool v3.0
• Best Practices for Deploying Printer Location with Active Directory
Enlaces útiles (2)
• Extending Your Active Directory Schema for New Features in Windows Server 2003 R2
• Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2
• Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 Download
• Windows Server 2003 R2 Branch Office: Frequently Asked Questions
• Windows Server 2003 R2: Support for Branch Offices
• BIND HomePage
Enlaces útiles (3)
¿Preguntas?
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker.
Sistemas http://www.microsoft.com/spain/servidores/windowsserver2003/seminarios/hol.aspx
Desarrollo http://www.microsoft.com/spanish/msdn/spain/eventos/hol/default.asp
• Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia.
• Tenerife, Málaga y Sevilla
Webcast en su versión grabada de Directorio Activo
• Active Directory - Usos y conceptos básicos del Directorio Activo
• Active Directory - Conceptos Avanzados de Directorio Activo
• Active Directory - La importancia del DNS para el Directorio Activo
• Active Directory - Replicación del Directorio Activo
• Active Directory - Uso avanzado de las politicas de Grupo
Más Acciones de Directorio Activo
• Active Directory - Mejores practicas en las operaciones de Directorio Activo.23 de Marzo.
• Active Directory - Migración desde Windows NT a Directorio Activo. 6 de Abril.
• Active Directory - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abril
• Active Directory - Gestión de Identidades (ADAM, MIIS)
• Para información adicional y registro:– http://www.microsoft.com/spain/technet/jornadas/
webcasts/default.asp
Más Acciones desde TechNet
• Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:– http://www.microsoft.com/spain/technet/jornadas/webcasts/web
casts_ant.asp• Para información y registro de Futuros Webcast de éste y otros
temas diríjase a:– http://www.microsoft.com/spain/technet/jornadas/webcasts/defa
ult.asp• Para mantenerse informado sobre todos los Eventos, Seminarios y
webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección:– http://www.microsoft.com/spain/technet/boletines/default.mspx
• Para estar informado sobre novedades vea nuestros It´s Showtime en: – http://www.microsoft.com/spain/technet/itsshowtime/default.asp
x• Para acceder a toda la información, betas, actualizaciones,
recursos, puede suscribirse a Nuestra Suscripción TechNet en:– http://www.microsoft.com/spain/technet/recursos/cd/default.msp
x
