Embed Size (px)
Citation preview
Servicios de Servicios de Directorio en Directorio en
Windows Windows Server 2003Server 2003
Servicios de Directorio en Servicios de Directorio en
Windows Server 2003Windows Server 2003Francisco RojoFrancisco RojoConsultor SeniorConsultor Senior Consulting Services Consulting ServicesGetronics IberiaGetronics [email protected]@getronics.comhttp://http://www.getronics.comwww.getronics.com
Cross Forest Trust and Management - Domain Rename - Cross Forest Trust and Management - Domain Rename - Deactivation of Attributes and Class Definitions in Schema Deactivation of Attributes and Class Definitions in Schema - Support for the inetOrgPerson Class - Install Replica from - Support for the inetOrgPerson Class - Install Replica from Media - Improved Replicacion of Group Membership - No Media - Improved Replicacion of Group Membership - No GC Logon for Remote Offices - Improved Performance GC Logon for Remote Offices - Improved Performance Features - Improved Synchronization Features - Increased Features - Improved Synchronization Features - Increased Dependability - Disabling Compression of Replication Dependability - Disabling Compression of Replication between Sites - Forest and Domain Functional Levels - between Sites - Forest and Domain Functional Levels - Forest and Domain Upgrade with ADPrep - Lightweight Forest and Domain Upgrade with ADPrep - Lightweight Directory Access Protocol - Metadirectory Support - Directory Access Protocol - Metadirectory Support - DirSync Control Improvements - WMI Providers for DirSync Control Improvements - WMI Providers for Replication and Trust Monitoring - Application Directory Replication and Trust Monitoring - Application Directory Partitions - Lingering Objects Removal Mechanism - Partitions - Lingering Objects Removal Mechanism - Prevent Overloading Domain Clusters - Remove non-X500 Prevent Overloading Domain Clusters - Remove non-X500 compliant RDN Restrictions - Improved Installation and compliant RDN Restrictions - Improved Installation and Configuration - Active Directory Migration Tool - Enhanced Configuration - Active Directory Migration Tool - Enhanced User Interface - Object Picker Enhancements - Saved User Interface - Object Picker Enhancements - Saved Queries - Multiple User Objects Edition- Resultant Set of Queries - Multiple User Objects Edition- Resultant Set of Policies (RSoP) - New Policies - Manage DNS using Group Policies (RSoP) - New Policies - Manage DNS using Group Policy - Software Restriction Policies - Administrative Policy - Software Restriction Policies - Administrative Templates Web View - WMI Filtering - Group Policy Templates Web View - WMI Filtering - Group Policy Management Console - GPO’s Cross-Forest Support - Management Console - GPO’s Cross-Forest Support - Software Restriction Policies - GPO’s WMI Filtering - Software Restriction Policies - GPO’s WMI Filtering - Enhancements to GPO-Based Software Distribution…Enhancements to GPO-Based Software Distribution…
Cross Forest Trust and Management - Domain Rename - Cross Forest Trust and Management - Domain Rename - Deactivation of Attributes and Class Definitions in Schema Deactivation of Attributes and Class Definitions in Schema - Support for the inetOrgPerson Class - Install Replica from - Support for the inetOrgPerson Class - Install Replica from Media - Improved Replicacion of Group Membership - No Media - Improved Replicacion of Group Membership - No GC Logon for Remote Offices - Improved Performance GC Logon for Remote Offices - Improved Performance Features - Improved Synchronization Features - Increased Features - Improved Synchronization Features - Increased Dependability - Disabling Compression of Replication Dependability - Disabling Compression of Replication between Sites - Forest and Domain Functional Levels - between Sites - Forest and Domain Functional Levels - Forest and Domain Upgrade with ADPrep - Lightweight Forest and Domain Upgrade with ADPrep - Lightweight Directory Access Protocol - Metadirectory Support - Directory Access Protocol - Metadirectory Support - DirSync Control Improvements - WMI Providers for DirSync Control Improvements - WMI Providers for Replication and Trust Monitoring - Application Directory Replication and Trust Monitoring - Application Directory Partitions - Lingering Objects Removal Mechanism - Partitions - Lingering Objects Removal Mechanism - Prevent Overloading Domain Clusters - Remove non-X500 Prevent Overloading Domain Clusters - Remove non-X500 compliant RDN Restrictions - Improved Installation and compliant RDN Restrictions - Improved Installation and Configuration - Active Directory Migration Tool - Enhanced Configuration - Active Directory Migration Tool - Enhanced User Interface - Object Picker Enhancements - Saved User Interface - Object Picker Enhancements - Saved Queries - Multiple User Objects Edition- Resultant Set of Queries - Multiple User Objects Edition- Resultant Set of Policies (RSoP) - New Policies - Manage DNS using Group Policies (RSoP) - New Policies - Manage DNS using Group Policy - Software Restriction Policies - Administrative Policy - Software Restriction Policies - Administrative Templates Web View - WMI Filtering - Group Policy Templates Web View - WMI Filtering - Group Policy Management Console - GPO’s Cross-Forest Support - Management Console - GPO’s Cross-Forest Support - Software Restriction Policies - GPO’s WMI Filtering - Software Restriction Policies - GPO’s WMI Filtering - Enhancements to GPO-Based Software Distribution…Enhancements to GPO-Based Software Distribution…
Prep Prep DirectorDirector
ProvideProvide catiocatio
Prep Prep DirectorDirector
ProvideProvide catiocatio
Usuarios y partners esperanUsuarios y partners esperanun servicio de directorio…un servicio de directorio…
¡¡¡…sin re-diseño de la ¡¡¡…sin re-diseño de la infraestructura Windows 2000!!!infraestructura Windows 2000!!!
¡¡¡…sin re-diseño de la ¡¡¡…sin re-diseño de la infraestructura Windows 2000!!!infraestructura Windows 2000!!!
……más fácil de implementar:más fácil de implementar:más flexible durante y despues del desplieguemás flexible durante y despues del desplieguemás eficaz en la sincronización y replicaciónmás eficaz en la sincronización y replicación
……más fácil de implementar:más fácil de implementar:más flexible durante y despues del desplieguemás flexible durante y despues del desplieguemás eficaz en la sincronización y replicaciónmás eficaz en la sincronización y replicación
……más global e interoperable:más global e interoperable:mas escalable y fiablemas escalable y fiable
más útil en escenarios Internet-extranetmás útil en escenarios Internet-extranet
……más global e interoperable:más global e interoperable:mas escalable y fiablemas escalable y fiable
más útil en escenarios Internet-extranetmás útil en escenarios Internet-extranet……más fácil de integrar…más fácil de integrar…
……con más aplicaciones y en más escenarios con más aplicaciones y en más escenarios que simplifique el Porting de aplicacionesque simplifique el Porting de aplicaciones
……más fácil de integrar…más fácil de integrar………con más aplicaciones y en más escenarios con más aplicaciones y en más escenarios
que simplifique el Porting de aplicacionesque simplifique el Porting de aplicaciones
Active Directory enActive Directory enWindows 2003 Server:Windows 2003 Server:
Mejoras en la ImplementaciónMejoras en la Implementación
Necesidad de servidores Necesidad de servidores adicionalesadicionales
¡¡¡Las oficinas remotas ¡¡¡Las oficinas remotas necesitan servidores GC!!!necesitan servidores GC!!!
¡¡¡Las oficinas remotas ¡¡¡Las oficinas remotas necesitan servidores GC!!!necesitan servidores GC!!!
Necesidad de servidores Necesidad de servidores adicionales (II)adicionales (II) Inconvenientes:Inconvenientes:
Replicación adicional Replicación adicional Mayores requerimientos de hardwareMayores requerimientos de hardware
Explicación: Los DCs necesitan Explicación: Los DCs necesitan contactar un GC...contactar un GC... ...para el Logon en modo nativo: ...para el Logon en modo nativo:
Soporte de Grupos UniversalesSoporte de Grupos Universales
Mejora: Mejora: Logon sin Global CatalogLogon sin Global Catalog
Los DCs pueden ahora guardar en Los DCs pueden ahora guardar en cachécaché la pertenencia a la pertenencia a Grupos UniversalesGrupos Universales El caché se carga durante el primer LogonEl caché se carga durante el primer Logon Los sucesivos logons ya no precisan Los sucesivos logons ya no precisan
contactar con un GCcontactar con un GC El caché se refresca periódicamente...El caché se refresca periódicamente... El caché se activa como un atributo del SiteEl caché se activa como un atributo del Site
Despliegue problemático de Despliegue problemático de nuevos DCSnuevos DCS
¡¡¡El despliegue de nuevos ¡¡¡El despliegue de nuevos DCS tarda horas o dias!!!DCS tarda horas o dias!!!
¡¡¡El despliegue de nuevos ¡¡¡El despliegue de nuevos DCS tarda horas o dias!!!DCS tarda horas o dias!!!
Despliegue problemático de Despliegue problemático de nuevos DCS (II)nuevos DCS (II)
Entornos de oficinasEntornos de oficinas Enlaces de alta latencia y bajo ancho de Enlaces de alta latencia y bajo ancho de
bandabanda Replicación inicial de AD lenta y costosaReplicación inicial de AD lenta y costosa Solución de compromiso: instalación en Solución de compromiso: instalación en
plataforma y envío al Siteplataforma y envío al Site
Mejora: Crear Réplica desde Mejora: Crear Réplica desde MediaMedia El origen de la replicacion inicial puede El origen de la replicacion inicial puede
ahora ser un fichero de backup ahora ser un fichero de backup Backup de DSBackup de DS Restore/copy de ficheros de backup al DCRestore/copy de ficheros de backup al DC Funciona para DCs y GCsFunciona para DCs y GCs
Todavía se requiere conectividad de Todavía se requiere conectividad de red!!!red!!!
No debe contemplarse como un No debe contemplarse como un mecanismo habitual de replicacion!!!mecanismo habitual de replicacion!!!
Replicación ineficaz de Replicación ineficaz de cambioscambios
¡¡¡Excesivo tráfico de ¡¡¡Excesivo tráfico de replicación!!!replicación!!!
¡¡¡Excesivo tráfico de ¡¡¡Excesivo tráfico de replicación!!!replicación!!!
Replicación ineficaz de Replicación ineficaz de cambios (II)cambios (II) El contenido de un Grupo se almacena El contenido de un Grupo se almacena
como un atributo multi-valorcomo un atributo multi-valor El contenido completo se replica cuando El contenido completo se replica cuando
se añade, borra o edita un usuario o un se añade, borra o edita un usuario o un grupogrupo
Consumo de recursos y de ancho de Consumo de recursos y de ancho de bandabanda
Pueden descartarse cambios durante la Pueden descartarse cambios durante la resolución de conflictos Multi-masterresolución de conflictos Multi-master
Mejora: Replicación por Mejora: Replicación por ValorValor Ahora los atributos multi-valor se Ahora los atributos multi-valor se
almacenan y replican por valoralmacenan y replican por valor Se replican los cambios individuales Se replican los cambios individuales
AD almacena meta-información de replicación AD almacena meta-información de replicación por valorpor valor
Desaparece la limitación de 5000 Desaparece la limitación de 5000 miembros por grupomiembros por grupo
Se activa a nivel de bosque como nivel Se activa a nivel de bosque como nivel funcional de 2003 Serverfuncional de 2003 Server
Limitaciones del Generador Limitaciones del Generador de Topologíade Topología
¡¡¡No se puede usar la ¡¡¡No se puede usar la Topología Automática!!!Topología Automática!!!¡¡¡No se puede usar la ¡¡¡No se puede usar la
Topología Automática!!!Topología Automática!!!
Limitaciones del Generador Limitaciones del Generador de Topología (II)de Topología (II) El Inter-site Topology Generator (ISTG) El Inter-site Topology Generator (ISTG)
no es útil por encima de 200 sitesno es útil por encima de 200 sites Solución de compromiso: topología Solución de compromiso: topología
manual manual Configuración manual de conexiones Configuración manual de conexiones
inter-site inter-site Seguimiento y re-configuración manual de Seguimiento y re-configuración manual de
DCs nuevos/retirados/offlineDCs nuevos/retirados/offline
Mejora: Generador de Mejora: Generador de Topología más escalableTopología más escalable
Escalabilidad mejorada del ISTGEscalabilidad mejorada del ISTG El límite de Sites que puede gestionar el El límite de Sites que puede gestionar el
ISTG salta desde 200 a 5000 ISTG salta desde 200 a 5000 Se activa a nivel de bosque como nivel Se activa a nivel de bosque como nivel
funcional de 2003 Serverfuncional de 2003 Server
Rigidez en el espacio de nombresRigidez en el espacio de nombres
¡¡¡Planificar los nombres de ¡¡¡Planificar los nombres de dominio a largo plazo es difícil!!!dominio a largo plazo es difícil!!!
¡¡¡Planificar los nombres de ¡¡¡Planificar los nombres de dominio a largo plazo es difícil!!!dominio a largo plazo es difícil!!!
Rigidez en el espacio de Rigidez en el espacio de nombres (II)nombres (II) Los nombres de las organizaciones Los nombres de las organizaciones
cambian por...cambian por... Fusiones y adquisicionesFusiones y adquisiciones Cambios en la política corporativa, en la Cambios en la política corporativa, en la
legislación, nombre legal y/o comerciallegislación, nombre legal y/o comercial
La decisión inicial pudo ser inadecuadaLa decisión inicial pudo ser inadecuada Insuficiente soporte de la direcciónInsuficiente soporte de la dirección Análisis inadecuado o incompletoAnálisis inadecuado o incompleto
Mejora: Renombrado de Mejora: Renombrado de Dominios Dominios Se permite el cambio de nombre dns y/o Se permite el cambio de nombre dns y/o
netbios de cualquier dominio... netbios de cualquier dominio... ...siempre que el bosque resultante esté bien-...siempre que el bosque resultante esté bien-
formado ...formado ... ……y en tanto no cambien el GUID y/o SIDy en tanto no cambien el GUID y/o SID Evaluar el impacto y las limitacionesEvaluar el impacto y las limitaciones
Cada DC en el bosque debe ser actualizado y reiniciadoCada DC en el bosque debe ser actualizado y reiniciado Cada máquina de un dominio renombrado debe ser Cada máquina de un dominio renombrado debe ser
reiniciada dos vecesreiniciada dos veces Puede renombrarse el Forest root, pero el Rol de forest Puede renombrarse el Forest root, pero el Rol de forest
root no puede moverseroot no puede moverse
Se activa a nivel de bosque como nivel funcional Se activa a nivel de bosque como nivel funcional de Windows 2003 Serverde Windows 2003 Server
Active Directory en Active Directory en Windows 2003 Server:Windows 2003 Server:
Integración de Aplicaciones Integración de Aplicaciones MejoradaMejorada
Rigidez en el EsquemaRigidez en el Esquema
¡¡¡Es dificil hacer que las ¡¡¡Es dificil hacer que las aplicaciones aprovechen AD!!!aplicaciones aprovechen AD!!!
¡¡¡Es dificil hacer que las ¡¡¡Es dificil hacer que las aplicaciones aprovechen AD!!!aplicaciones aprovechen AD!!!
Rigidez en el Esquema (II)Rigidez en el Esquema (II)
Reticencias a la hora de instalar Reticencias a la hora de instalar aplicaciones y/o servicios que hacen aplicaciones y/o servicios que hacen cambios al esquemacambios al esquema Los cambios son permanentesLos cambios son permanentes Trafico de sincronizacion adicionalTrafico de sincronizacion adicional La información se replica a todos los DCsLa información se replica a todos los DCs
Mejora: Esquema más Mejora: Esquema más flexibleflexible Redefinición de atributos y clasesRedefinición de atributos y clases
Preservando su identidadPreservando su identidad La desactivación es ahora reversibleLa desactivación es ahora reversible
Sincronización mejoradaSincronización mejorada No se requiere una sincronización completa del No se requiere una sincronización completa del
GC GC cuando se extiende el cuando se extiende el PASPAS Replicación selectiva de atributosReplicación selectiva de atributos
Solo atributos nuevos o cambiadosSolo atributos nuevos o cambiados Particiones de AplicaciónParticiones de Aplicación
Repositorio de información volátilRepositorio de información volátil Las réplicas se crean donde se necesitanLas réplicas se crean donde se necesitan No pueden contener No pueden contener security principalssecurity principals
Active Directory en Active Directory en Windows 2003 Server:Windows 2003 Server:
Active Directory como Active Directory como directorio globaldirectorio global
Demasiado orientado a Demasiado orientado a WindowsWindows
¡¡¡AD no está optimizado como ¡¡¡AD no está optimizado como directorio Internet-extranet!!!directorio Internet-extranet!!!
¡¡¡AD no está optimizado como ¡¡¡AD no está optimizado como directorio Internet-extranet!!!directorio Internet-extranet!!!
Demasiado orientado a Demasiado orientado a Windows (II)Windows (II) Necesidades intensivas de hardwareNecesidades intensivas de hardware Dependencias con WindowsDependencias con Windows Soporte limitado de estandaresSoporte limitado de estandares
Mejora: más interoperableMejora: más interoperable Soporte ampliado de estándares LDAPSoporte ampliado de estándares LDAP
Soporte para la clase inetOrgPersonSoporte para la clase inetOrgPerson Compatibilidad entre inetOrgPerson y userCompatibilidad entre inetOrgPerson y user
Soporte de Dynamic EntrySoporte de Dynamic Entry IETF estándar, RFC 2589IETF estándar, RFC 2589
Conexiones LDAP seguras con TLS Conexiones LDAP seguras con TLS IETF estándar, RFC 2830IETF estándar, RFC 2830
Soporte de autentificación Fast-Bind Soporte de autentificación Fast-Bind Sin información especifica de WindowsSin información especifica de Windows
Autentificación Digest-MD5Autentificación Digest-MD5 IETF estándar, RFC 2829IETF estándar, RFC 2829
Mejora: más escalableMejora: más escalable
Menores Requisitos de Menores Requisitos de almacenamientoalmacenamiento Unica Instancia de security descriptorUnica Instancia de security descriptor
Reutilización de Conexiones para...Reutilización de Conexiones para... ...queries en nombre de distintos usuarios...queries en nombre de distintos usuarios
Soporte de 64-bitSoporte de 64-bit El DS completo puede residir en memoriaEl DS completo puede residir en memoria
Active Directory en Active Directory en Windows 2003 ServerWindows 2003 Server
ActualizaciónActualización
Actualización a 2003 ServerActualización a 2003 Server
Desde Windows NT® Server 4.0Desde Windows NT® Server 4.0 Actualización In-Situ o Migración Actualización In-Situ o Migración
Desde Windows® 2000 Desde Windows® 2000 Actualización In-Situ simplificadaActualización In-Situ simplificada
adprep + forestprep / domainprepadprep + forestprep / domainprep
Mejoras en ADMT 2.0Mejoras en ADMT 2.0 Migración de PasswordsMigración de Passwords Soporte para Scripting y Linea de ComandosSoporte para Scripting y Linea de Comandos Puede usarse para la migración a W2K AD Puede usarse para la migración a W2K AD
Niveles FuncionalesNiveles Funcionales
Permiten implementar características Permiten implementar características solo disponibles en 2003 Serversolo disponibles en 2003 Server El nivel funcional se cambia cuando todos El nivel funcional se cambia cuando todos
los DCs han sido actualizadoslos DCs han sido actualizados Domain behavior versionDomain behavior version Forest behavior versionForest behavior version Todos los cambios se hacen via NTDSUTILTodos los cambios se hacen via NTDSUTIL
No se permite la vuelta atrasNo se permite la vuelta atras No se permite añadir DCs no 2003No se permite añadir DCs no 2003
Características y Características y Niveles FuncionalesNiveles Funcionales De forma inmediataDe forma inmediata
No-GC logonNo-GC logon Create replica from mediaCreate replica from media No-GC-full-syncNo-GC-full-sync App PartitionsApp Partitions DNS IntegrationDNS Integration Admin ToolsAdmin Tools DC RenamingDC Renaming DSRM password online DSRM password online
resetreset ADMT EnhancementsADMT Enhancements Reduced store Reduced store
requirementsrequirements
Nivel funcional de Nivel funcional de dominio 2003dominio 2003 2-stage DC renaming2-stage DC renaming
Nivel funcional de Nivel funcional de bosque 2003bosque 2003 Per-value replicationPer-value replication New ISTG algorithms New ISTG algorithms Domain RenamingDomain Renaming Schema Redefine Schema Redefine Compatibilidad LDAP Compatibilidad LDAP
mejoradamejorada
En definitiva...En definitiva... El feedback de clientes y partners ha El feedback de clientes y partners ha
jugado un papel fundamental...jugado un papel fundamental... ...abordando los principales problemas...abordando los principales problemas ...aumentando la flexibilidad antes y ...aumentando la flexibilidad antes y
despues del desplieguedespues del despliegue ...mejorando el soporte de aplicaciones ...mejorando el soporte de aplicaciones
directory-enableddirectory-enabled La actualización desde Windows 2000 La actualización desde Windows 2000
Server es sencilla y directa Server es sencilla y directa No se requiere ningún rediseñoNo se requiere ningún rediseño Windows 2000 Server y Windows 2003 Windows 2000 Server y Windows 2003
Server pueden inter-operar en entornos Server pueden inter-operar en entornos mixtos mixtos
