[WEBINAR] 10 cosas que debes saber sobre Active Directory

10 cosas que debes saber de Active Directory

Webinar: Diciembre 2012

Información General

EXP

ERIEN

CIA

Adrián Rivas • MS Active Directory • DNS • Exchange • Virtualización • Seguridad en end-point • Seguridad Antispam • Dirección de equipos de soporte

• Microsoft • Citrix • Trend Micro • Vmware • Hauri • Cyberoam

• Consultor de Seguridad en Software

Agenda

1. Objetivo

2. Temario

3. 10 cosas que tienes que saber de Active

Directory

4. Resumen

5. Recomendaciones

Ag

en

da

OB

JE

TIV

O

OBJETIVO

1. Objetivo

Exponer como diagnosticar y solucionar algunos

problemas comunes de Active Directory, con el fin de

minimizar las interrupciones en el negocio.

Tem

ario

TEMARIO

1. Introducción

2. 10 Puntos que debes saber sobre Active Directory a) Busque las soluciones simples primero

b) Compruebe que DNS funciona correctamente

c) Utiliza DCDIAG para diagnosticar

d) Eliminar metadatos extintos correctamente

e) Cuidado al utilizar ADSI Edit

f) Cuidado con los Snapshots en controladores

g) Active Directory, motor de almacenamiento extensible

h) Restauración autoritativa y no autoritativa

i) Compruebe los permisos NTFS

j) Respaldo de controladores de dominio

3. Resumen

4. Conclusiones

Dato

s s

obre

AD

10 Cosas que debes saber sobre Active Directory

Algunos datos de Active Directory

El 17 de Junio del año 2000.

Es una plataforma escalable y flexible.

Los iniciadores Novell y Banyan, posteriormente SUN.

Share MKT AD DS : 90% de las 2000 empresas más grandes del mundo.

Exchange 2000 primera aplicación.

Repositorio centralizado de usuarios y el mecanismo fundamental de autenticación.

12 años después, los administradores temen modificar el Schema.

Last man Standing, es considerado el producto más estable de MS.

Com

pone

nte

s

Componentes de AD DS

o Una Base de Datos multi-master

o Un Schema

o Un Catálogo Global

o Un mecanismo de indexado

o Un servicio de replicación

o Flexible Single Master Operations o FSMO

Introducción

Beneficios o Autenticación de inicio de sesión.

o Control de acceso a los recursos.

o Single Sign-on

o Organización y gestión jerárquica.

RO

LE

S

Flexible Single Master Operations

Roles FSMO

Schema Master: Controla las

actualizaciones al esquema.

Domain naming master: adición o

remoción de dominios en el bosque.

Infrastructure Master: actualizar los

SID de los objetos.

Relative ID (RID) Master: procesar

los requerimientos del pool de RID

PDC Emulator: sincroniza hora,

gestión de usuarios, edición y publicación

de políticas.

Pre

gu

nta

I

PREGUNTA

¿Qué tipo de problemas has tenido en tu ambiente de AD?

a) Replicación

b) Resolución de Nombres (DNS)

c) Seguridad (Usuarios)

d) Migración, actualización

e) SNTP

f) Auditoria

g) Delegación

1 S

olu

cio

ne

s s

imple

s


1. Busque las soluciones simples primero

¿Están ubicados los roles FSMO?

¿Se han borrado objetos accidentalmente?

¿La replicación opera correctamente?

¿La resolución DNS opera correctamente?

¿Es necesario una restauración?

¿Es un problema de red?

Asumir es la madre de todos los errores

Revise el visor de eventos en busca de evidencia.

Investigar, analizar, asegurar, corregir.

Pre

gu

nta

II

¿Qué tan crítico es Active Directory para la operación de tu negocio ?

a) Crítico

b) No es crítico

c) No se cuenta con un Active Directory

PREGUNTA

2 D

NS


2. Compruebe que DNS funciona correctamente

o Nombre de dominio (2000 y 2003, 2008)

o Resolución interna y externa

o Uso correcto de renviadores

o Respaldo de zonas

o Resolución inversa

o Verificar loops

A revisar:

Posibles consecuencias:

Lentitud en inicio de sesión

Tráfico de red

Problemas de acceso a Internet

Fallos de autenticación

Pre

gu

nta

III

¿Qué versión de Windows AD opera en tu organización?

• a) 2000

• b) 2003

• c) 2008

• d) 2008 R2

PREGUNTA

3 D

CD

IAG


3. Utiliza DCDIAG para diagnosticar

DCDIAG: Comando para diagnósticos

Analiza el estado de uno o todos los controladores de dominio.

o DNS (Reenviadores, root hints, forwarders,

reversa, IP Dinámica)

o Disponibilidad KDC.

o Transmisión y recepción de UDP

para DC

o Reloj de Sistema.

o Verifica estado de cuentas de

equipo de DC

Pre

gu

nta

IV

¿Tu Active Directory es auditado periódicamente?

a) Si

b) No

c) No aplica

PREGUNTA

Meta

da

tos


4. Eliminar metadatos extintos correctamente

A. Ntdsutil.exe puede ser utilizado para:

i. Mantenimiento de la base de datos.

ii. Remover metadatos dejados por

controladores extintos o mal

desinstalados.

Esta herramienta

debe ser usada por

administradores

expertos.

Posibles consecuencias:

Errores en replicación

Lentitud de inicios de sesión

Corrupción de AD

AD

SI E

dit


5. Cuidado al utilizar ADSI Edit

Active Directory® Service Interfaces Editor

Esta herramienta

debe ser usada por

administradores

expertos.

DC

Snap

sh

ots


6. Cuidado con los Snapshots en controladores

RECUERDA

A. Las transacciones están numeradas

B. El último que escribe un cambio gana.

Moto

r de A

lmacena

mie

nto

Exte

nsib

le


7. Active Directory, motor de almacenamiento

extensible

ESEUTIL puede reparar una base de datos, pero

hay que tener cuidado pues es posible perder

información.

Esta herramienta

debe ser usada por

administradores

expertos.

Resta

ura

ció

n


8. Restauración autoritativa y no autoritativa

Para restablecer la contraseña de administrador DSRM

En el símbolo del sistema de Ntdsutil:

set dsrm password.

reset password on server null

reset password on server nombreDeServidor

Restauración No Autoritativa:

- Default: No autoritativa

- Sincronización al finalizar

Restauración Autoritativa :

- Se anuncia como el DC más

actual

- Sincronización al finalizar Antes Después

TIP:

Esta herramienta

debe ser usada por

administradores

expertos.

Perm

isos N

TF

S


9: Compruebe los permisos NTFS

Error: Los servicios relacionados no inician.

o Permisos NTFS en raíz son

demasiado restrictivos.

o Permisos NTFS carpeta

demasiado restrictivos.

o Cambio en la letra de la

unidad de la BD de AD.

Esta configuración

debe ser usada por

administradores

expertos.

Respald

os


10. Respaldo de controladores de dominio

Respaldo de estado del sistema

A. Realice respaldos periódicos.

B. Dentro de su proceso de respaldo, realice pruebas de restauración.

5 Tipos

1. Seguridad

2. Diaria

3. Diferencial

4. Incremental

5. Normal

Pre

gu

nta

V

¿Qué tipo de respaldo realizas de tu Active Directory?

a) Normal

b) Incremental

c) Diferencial

d) Ninguno

PREGUNTA

En R

esum

en

Busque las soluciones simples primero

Compruebe que DNS funciona correctamente

Utiliza DCDIAG para diagnosticar

Eliminar metadatos extintos correctamente

Cuidado al utilizar ADSI Edit

Cuidado con los Snapshots en controladores

AD motor de almacenamiento extensible

Restauración autoritativa y no autoritativa

Compruebe los permisos NTFS

Respaldo de controladores de dominio

Resumen

10 cosas que tienes que saber sobre Active Directory

Nego

cio

Conclusiones

Impacto al negocio

Incidente

Diagnóstico

Corrección y/o recuperación

Análisis posterior al evento

Algunos Síntomas

• Fallos de autenticación

• Perdida de productividad

• Lentitud

• Distracción por consecuencias

• Perdida de información en AD

• Fuga de información

• Interrupción en el negocio

• Paro de operaciones

• Pérdida de información

• Fuga de información

Consecuencias

Check List

Preguntas

* e-mail:

[email protected]

www.smartekh.com

No

te q

ued

es c

on

nin

gu

na d

ud

a

Docum

enta

ció

n

REFERENCIAS

ROLES - Referencia: Aquí

DNS - Referencia: Aquí

AD DS - Referencia: Aquí

ADSI - Referencia: Aquí

NTDSUTIL & ESEUTIL - Referencia: Aquí y Aquí

DCDIAG - Referencia: Aquí

PERMISOS NTFS - Referencia: Aquí

REPLICACIÓN - Referencia: Aquí

RESPALDOS- Referencia: Aquí y Aquí

Para más información

http://technet.microsoft.com/en-us/library/cc786438(v=ws.10).aspx


http://social.technet.microsoft.com/wiki/contents/articles/699.active-directory-domain-services-ad-ds-overview.aspx


http://support.microsoft.com/kb/816120/en-us

http://searchwindowsserver.techtarget.com/tip/Troubleshooting-Active-Directory-database-errors

http://technet.microsoft.com/es-es/library/cc776854(v=ws.10).aspx



http://technet.microsoft.com/es-es/library/cc784306(v=ws.10).aspx

http://technet.microsoft.com/en-us/library/cc535164.aspx

ww

w.s

marte

kh.c

om

Tu seguridad informática es nuestra pasión

Technology

[WEBINAR] 10 cosas que debes saber sobre Active Directory