Pregunta ¿Qué es Active Directory Domain Services y cómo funciona?


Esto es un Pregunta canónica sobre Active Directory Domain Services (AD DS).

¿Qué es Active Directory? ¿Qué hace y cómo funciona?

¿Cómo se organiza Active Directory: bosque, dominio secundario, árbol, sitio o unidad organizativa?


Me encuentro explicando algo de lo que supongo que es de conocimiento común casi a diario. Esta pregunta servirá, con suerte, como una pregunta y respuesta canónicas para la mayoría de las preguntas básicas de Active Directory. Si cree que puede mejorar la respuesta a esta pregunta, elimínela.


136
2018-06-27 03:47


origen


No quiero parecer que soy representante de la prostitución, pero creo que vale la pena enlazar a una descripción no técnica de AD, también, si se encuentra en una situación en la que necesita describirla con menos detalles técnicos: serverfault.com/q/18339/7200 - Evan Anderson
Posibles enlaces para esta pregunta: serverfault.com/questions/568606/… - serverfault.com/questions/472562/… - serverfault.com/questions/21780/… - serverfault.com/questions/72878/… Sólo para nombrar unos pocos. Tal vez un canónico esté en orden @MDMarra - TheCleaner


Respuestas:


¿Qué es Active Directory?

Active Directory Domain Services es el Servidor de directorios de Microsoft. Proporciona mecanismos de autenticación y autorización, así como un marco dentro del cual se pueden implementar otros servicios relacionados (servicios de certificado AD, servicios federados AD, etc.). Es un LDAP Base de datos compatible que contiene objetos. Los objetos más utilizados son los usuarios, las computadoras y los grupos. Estos objetos se pueden organizar en unidades organizativas (OU) por cualquier número de necesidades lógicas o comerciales. Objetos de directiva de grupo (GPO) luego se puede vincular a las unidades organizativas para centralizar la configuración de varios usuarios o computadoras en una organización.

Cuando la gente dice "Active Directory", generalmente se refieren a "Servicios de dominio de Active Directory". Es importante tener en cuenta que existen otros roles / productos de Active Directory, como los Servicios de Certificate Server, Servicios de federación, Servicios de directorio ligero, Servicios de gestión de derechos, etc. Esta respuesta se refiere específicamente a los Servicios de dominio de Active Directory.

¿Qué es un dominio y qué es un bosque?

Un bosque es un límite de seguridad. Los objetos en bosques separados no pueden interactuar entre sí, a menos que los administradores de cada bosque separado creen un confianza entre ellos. Por ejemplo, una cuenta de administrador de empresa para domain1.com, que normalmente es la cuenta más privilegiada de un bosque, no tendrá ningún permiso en un segundo bosque llamado domain2.comIncluso si esos bosques existen dentro de la misma LAN, a menos que haya una confianza en su lugar.

Si tiene varias unidades de negocio disjuntas o necesita límites de seguridad separados, necesita varios bosques.

Un dominio es un límite de gestión. Los dominios son parte de un bosque. El primer dominio en un bosque se conoce como el dominio raíz del bosque. En muchas organizaciones pequeñas y medianas (e incluso algunas grandes), solo encontrará un único dominio en un solo bosque. El dominio raíz del bosque define el espacio de nombres predeterminado para el bosque. Por ejemplo, si el primer dominio en un nuevo bosque es nombrado domain1.com, entonces ese es el dominio raíz del bosque. Si tiene una necesidad comercial de un dominio secundario, por ejemplo, una sucursal en Chicago, puede nombrar el dominio secundario chi. los FQDN del dominio hijo sería chi.domain1.com. Puede ver que el nombre del dominio secundario estaba precedido del nombre del dominio raíz del bosque. Esto es típicamente cómo funciona. Puede tener espacios de nombres separados en el mismo bosque, pero eso es una lata de gusanos completamente separada por un tiempo diferente.

En la mayoría de los casos, querrá intentar hacer todo lo posible para tener un solo dominio de AD. Simplifica la administración, y las versiones modernas de AD hacen que sea muy fácil delegar el control basado en OU, lo que disminuye la necesidad de dominios secundarios.

Puedo nombrar mi dominio como yo quiera, ¿verdad?

Realmente no. dcpromo.exe, la herramienta que maneja la promoción de un servidor a un DC no es a prueba de idiotas. Le permite tomar malas decisiones con su nombre, así que preste atención a esta sección si no está seguro. (Editar: dcpromo está en desuso en el servidor 2012. Use el Install-ADDSForest Cmdlet de PowerShell o instale AD DS desde el Administrador del servidor.)

En primer lugar, no uses TLD inventados como .local, .lan, .corp, o cualquiera de esas otras basura. Esos TLD son no reservado. ICANN está vendiendo TLD ahora, por lo que su mycompany.corp que estás usando hoy en realidad podría pertenecer a alguien mañana. Si tienes mycompany.com, entonces lo más inteligente es usar algo como internal.mycompany.com o ad.mycompany.com para su nombre interno de AD. Si utiliza mycompany.com como un sitio web de resolución externa, debe evitar usarlo también como su nombre interno de AD, ya que terminará con un DNS de cerebro dividido.

Controladores de dominio y catálogos globales

Un servidor que responde a las solicitudes de autenticación o autorización es un controlador de dominio (DC). En la mayoría de los casos, un controlador de dominio tendrá una copia del Catálogo global. Un catálogo global (GC) es un conjunto parcial de objetos en todos Dominios en un bosque. Se puede buscar directamente, lo que significa que las consultas entre dominios generalmente se pueden realizar en un GC sin necesidad de una referencia a un DC en el dominio de destino. Si se consulta un DC en el puerto 3268 (3269 si se usa SSL), entonces se está consultando al GC. Si se consulta el puerto 389 (636 si se usa SSL), entonces se está utilizando una consulta LDAP estándar y los objetos existentes en otros dominios pueden requerir un remisión.

Cuando un usuario intenta iniciar sesión en una computadora que está unida a AD usando sus credenciales de AD, la combinación de nombre de usuario y contraseña con sal y hash se envía al DC tanto para la cuenta de usuario como para la cuenta de la computadora que está iniciando sesión. Sí, la La computadora también se conecta. Esto es importante, porque si algo le sucede a la cuenta de la computadora en AD, como si alguien restableciera la cuenta o la eliminara, puede obtener un error que diga que no existe una relación de confianza entre la computadora y el dominio. A pesar de que sus credenciales de red están bien, la computadora ya no es confiable para iniciar sesión en el dominio.

Problemas de disponibilidad del controlador de dominio

Escucho "Tengo un controlador de dominio primario (PDC) y deseo instalar un controlador de dominio de reserva (BDC)" con mucha más frecuencia que me gustaría creer. El concepto de PDC y BDC murió con Windows NT4. El último bastión para PDC estaba en un AD de modo mixto de transición de Windows 2000 cuando todavía tenía NT4 DCs alrededor. Básicamente, a menos que estés apoyando a una persona de 15 años o más Instalación que nunca se ha actualizado, realmente no tiene un PDC o un BDC, solo tiene dos controladores de dominio.

Varios DC son capaces de responder solicitudes de autenticación de diferentes usuarios y computadoras simultáneamente. Si uno falla, entonces los otros continuarán ofreciendo servicios de autenticación sin tener que hacer uno "primario" como habría tenido que hacer en los días de NT4. Es una buena práctica tener al menos Dos DCs por dominio. Estos controladores de dominio deben contener una copia del GC y deben ser servidores DNS que también tengan una copia de las zonas DNS integradas de Active Directory para su dominio.

Roles de FSMO

"Entonces, si no hay PDC, ¿por qué hay un rol de PDC que solo un DC puede tener?"

He oído esto muchas veces. Hay un Emulador de PDC papel. Es diferente a ser un PDC. De hecho, hay 5 roles de operaciones de maestro único flexible (FSMO). Estos también son llamados roles de Maestro de Operaciones también. Los dos términos son intercambiables. ¿Qué son y qué hacen? ¡Buena pregunta! Los 5 roles y su función son:

Maestro de nombres de dominio - Solo hay un maestro de nombres de dominio por bosque. El Domain Naming Master se asegura de que cuando se agrega un nuevo dominio a un bosque sea único. Si el servidor que tiene este rol está fuera de línea, no podrá realizar cambios en el espacio de nombres de AD, que incluye cosas como agregar nuevos dominios secundarios.

Maestro de esquema - Solo hay un maestro de operaciones de esquema en un bosque. Es responsable de actualizar el esquema de Active Directory. Las tareas que lo requieren, como preparar AD para una nueva versión de Windows Server que funciona como DC o la instalación de Exchange, requieren modificaciones de esquema. Estas modificaciones deben hacerse desde el Schema Master.

Maestro de infraestructura - Hay un maestro de infraestructura por dominio. Si solo tiene un único dominio en su bosque, realmente no necesita preocuparse por ello. Si tiene varios bosques, debe asegurarse de que este rol no está en manos de un servidor que también sea titular de un GC a menos que cada DC en el bosque sea un GC. El maestro de infraestructura es responsable de asegurarse de que las referencias de dominios cruzados se manejen correctamente. Si un usuario en un dominio se agrega a un grupo en otro dominio, el maestro de infraestructura para los dominios en cuestión se asegura de que se maneje correctamente. Esta función no funcionará correctamente si está en un catálogo global.

Maestro RID - El Relative ID Master (RID Master) es responsable de emitir grupos de RID a los controladores de dominio. Hay un maestro RID por dominio. Cualquier objeto en un dominio AD tiene un único Identificador de seguridad (SID). Esto se compone de una combinación del identificador de dominio y un identificador relativo. Cada objeto en un dominio dado tiene el mismo identificador de dominio, por lo que el identificador relativo es lo que hace que los objetos sean únicos. Cada DC tiene un conjunto de ID relativas para usar, de modo que cuando ese DC crea un nuevo objeto, agrega un RID que aún no ha usado. Dado que los DC se emiten conjuntos no superpuestos, cada RID debe seguir siendo único durante la vida del dominio. Cuando un DC llega a ~ 100 RID que quedan en su grupo, solicita un nuevo grupo del maestro RID. Si el maestro RID está fuera de línea durante un período prolongado de tiempo, la creación del objeto puede fallar.

Emulador de PDC- Finalmente, llegamos al rol más incomprendido de todos, el rol de emulador de PDC. Hay un emulador de PDC por dominio. Si hay un intento fallido de autenticación, se reenvía al Emulador de PDC. El emulador de PDC funciona como el "desempate" si una contraseña se actualizó en un DC y aún no se ha replicado en los demás. El Emulador de PDC también es el servidor que controla la sincronización de tiempo en todo el dominio. Todos los demás controladores de dominio sincronizan su tiempo desde el emulador de PDC. Todos los clientes sincronizan su tiempo desde el DC al que iniciaron sesión. Es importante que todo permanezca a 5 minutos de diferencia, de lo contrario Kerberos se rompe y cuando eso sucede, todos lloran.

Lo importante a recordar es que los servidores con los que se ejecutan estos roles no están escritos en piedra. Por lo general, es trivial mover estos roles, por lo que mientras algunos DC hacen un poco más que otros, si se apagan durante cortos períodos de tiempo, todo funcionará normalmente. Si están inactivos durante mucho tiempo, es fácil transferir los roles de forma transparente. Es mucho mejor que los días de NT4 PDC / BDC, así que deje de llamar a sus DC por esos nombres antiguos. :)

Entonces, um ... ¿cómo comparten los DC la información si pueden funcionar de manera independiente?

Replicación, por supuesto. De forma predeterminada, los controladores de dominio que pertenecen al mismo dominio en el mismo sitio replicarán sus datos entre sí en intervalos de 15 segundos. Esto asegura que todo esté relativamente actualizado.

Hay algunos eventos "urgentes" que activan la replicación inmediata. Estos eventos son: una cuenta está bloqueada por demasiados inicios de sesión fallidos, se realiza un cambio en la contraseña de dominio o en las políticas de bloqueo, se cambia el secreto de LSA, se cambia la contraseña en una cuenta de computadora de DC o se transfiere la función de Maestro RID a un nuevo DC. Cualquiera de estos eventos activará un evento de replicación inmediata.

Los cambios de contraseña caen en algún lugar entre urgente y no urgente y se manejan de forma única. Si la contraseña de un usuario se cambia en DC01 y un usuario intenta iniciar sesión en una computadora que se autentica contra DC02 antes de que ocurra la replicación, esperarías que esto fallara, ¿verdad? Afortunadamente eso no sucede. Supongamos que también hay un tercer DC aquí llamado DC03 que tiene el papel de emulador de PDC. Cuando DC01 se actualiza con la nueva contraseña del usuario, ese cambio se replica inmediatamente a DC03 además. Cuando el intento de autenticación en DC02 falla DC02 luego reenvía ese intento de autenticación DC03, que verifica que es, de hecho, bueno, y se permite el inicio de sesión.

Hablemos de DNS

DNS es fundamental para un AD que funcione correctamente. La línea oficial de Microsoft es que se puede usar cualquier servidor DNS si está configurado correctamente. Si intenta y usa BIND para alojar sus zonas AD, está alto. Seriamente. Manténgase con el uso de zonas DNS integradas de AD y use reenviadores condicionales o globales para otras zonas si es necesario. Todos sus clientes deben estar configurados para usar sus servidores AD DNS, por lo que es importante tener redundancia aquí. Si tiene dos controladores de dominio, solicíteles que ejecuten DNS y que configuren a sus clientes para que utilicen ambos para la resolución de nombres.

Además, querrá asegurarse de que si tiene más de un controlador de dominio, no se incluyan primero en la lista de resolución de DNS. Esto puede llevar a una situación en la que están en una "isla de replicación" donde se desconectan del resto de la topología de replicación de AD y no se pueden recuperar. Si tienes dos servidores DC01 - 10.1.1.1 y DC02 - 10.1.1.2, entonces su lista de servidores DNS debería configurarse así:

Servidor: DC01 (10.1.1.1)
  DNS primario - 10.1.1.2
  DNS secundario - 127.0.0.1

Servidor: DC02 (10.1.1.2)
  DNS primario - 10.1.1.1
  DNS secundario - 127.0.0.1

OK, esto parece complicado. ¿Por qué quiero usar AD en absoluto?

Porque una vez que sabes lo que estás haciendo, tu vida se vuelve infinitamente mejor. AD permite la centralización de la administración de usuarios y computadoras, así como la centralización del acceso y uso de los recursos. Imagina una situación en la que tienes 50 usuarios en una oficina. Si quisiera que cada usuario tuviera su propio inicio de sesión en cada computadora, tendría que configurar 50 cuentas de usuarios locales en cada PC. Con AD, solo tiene que crear la cuenta de usuario una vez y puede iniciar sesión en cualquier PC en el dominio de forma predeterminada. Si quisieras reforzar la seguridad, tendrías que hacerlo 50 veces. Una especie de pesadilla, ¿verdad? También imagina que tienes un recurso compartido de archivos al que solo quieres que llegue la mitad de esas personas. Si no está utilizando AD, deberá replicar su nombre de usuario y contraseñas a mano en el servidor para dar un acceso aparentemente, o tendrá que crear una cuenta compartida y dar a cada usuario el nombre de usuario y la contraseña. Una forma significa que usted conoce (y tiene que actualizar constantemente) las contraseñas de los usuarios. La otra forma significa que no tiene rastro de auditoría. No es bueno, ¿verdad?

También puede usar la Política de grupo cuando tiene AD configurado. La directiva de grupo es un conjunto de objetos que están vinculados a las unidades organizativas que definen la configuración de los usuarios y / o las computadoras en esas unidades organizativas. Por ejemplo, si desea hacer que "Shutdown" no esté en el menú de inicio para 500 equipos de laboratorio, puede hacerlo en una configuración de la Política de grupo. En lugar de pasar horas o días configurando las entradas de registro adecuadas a mano, crea un objeto de directiva de grupo una vez, lo vincula a la unidad organizativa o las unidades organizativas correctas y nunca tiene que volver a pensarlo. Hay cientos de GPO que pueden configurarse, y la flexibilidad de la Política de grupo es una de las razones principales por las que Microsoft es tan dominante en el mercado empresarial.


146
2018-06-27 03:47



Bien hecho, Mark. Impresionante control de calidad. - EEAA
@TheCleaner está de acuerdo, pero parte de la misión de Stack Exchange es ser el repositorio central de toda la información útil sobre un tema específico. Entonces, mientras que la información en Wikipedia suele ser muy correcta y relevante, no está impulsando a la gente aquí y "aquí" debería ser la ventanilla única para todo lo relacionado con la administración de sistemas. - MDMarra
@RyanBolger Todo esto es cierto, pero estas preguntas y respuestas están dirigidas a un novato. La compatibilidad es una gran preocupación, y Microsoft absolutamente no lo ayudará a resolver un problema de AD que podría estar relacionado con el DNS si está ejecutando BIND (o cualquier otra cosa). Es una configuración avanzada que no se recomienda para alguien que necesita hacer la pregunta "¿Qué es AD y cómo funciona?" Además de todo, el DNS es un rol de baja carga. Si ya tiene DC, es realmente difícil argumentar que no debe ejecutar DNS en ellos y tener un reenviador global para el resto de su infraestructura DNS. - MDMarra
@RyanBolger - de acuerdo con MDMarra. Si Fred ya tiene una infraestructura de DNS interna compleja y que funciona bien, entonces Fred no estaría publicando en SF preguntando: "Entonces, estoy a punto de instalar esta cosa de Active Directory. - mfinni
Su respuesta me acaba de recordar verificar el orden de búsqueda del servidor DNS en los controladores de dominio de una red que heredé ... ¡Sí, se referían a sí mismos! - myron-semack


Nota: Esta respuesta se fusionó en esta pregunta de una pregunta diferente que preguntaba sobre las diferencias entre bosques, dominios secundarios, árboles, sitios y unidades organizativas. Esto no fue escrito originalmente como una respuesta a esta pregunta específica.


Bosque

Desea crear un nuevo bosque cuando necesite un límite de seguridad. Por ejemplo, puede tener una red perimetral (DMZ) que desea administrar con AD, pero no desea que su AD interno esté disponible en la red perimetral por razones de seguridad. En este caso, desearía crear un nuevo bosque para esa zona de seguridad. También es posible que desee esta separación si tiene varias entidades que no confían entre sí, por ejemplo, una corporación shell que abarca negocios individuales que operan de manera independiente. En este caso, querría que cada entidad tenga su propio bosque.


Dominio infantil

Realmente, ya no los necesitas más. Hay algunos buenos ejemplos de cuándo desearía un dominio secundario. Una razón heredada se debe a los diferentes requisitos de la política de contraseñas, pero esto ya no es válido, ya que existen Políticas de contraseñas de grano fino disponibles desde el Servidor 2008. Realmente solo necesita un dominio secundario si tiene áreas con una conectividad de red pobre increíble y desea para reducir drásticamente el tráfico de replicación: un crucero con conectividad WAN satelital es un buen ejemplo. En este caso, cada crucero puede ser su propio dominio secundario, de modo que sea relativamente autónomo y al mismo tiempo pueda aprovechar los beneficios de estar en el mismo bosque que otros dominios de la misma compañía.


Árbol

Esta es una bola extraña. Los nuevos árboles se utilizan cuando desea mantener los beneficios de administración de un solo bosque pero tiene un dominio en un nuevo espacio de nombres DNS. Por ejemplo corp.example.com Puede ser la raíz del bosque, pero usted podría tener ad.mdmarra.com en el mismo bosque usando un nuevo árbol. Las mismas reglas y recomendaciones para los dominios secundarios se aplican aquí, utilícelas con moderación. Por lo general, no son necesarios en los anuncios modernos.


Sitio

Un sitio debe representar un límite físico o lógico en su red. Por ejemplo, sucursales. Los sitios se utilizan para seleccionar inteligentemente los socios de replicación para los controladores de dominio en diferentes áreas. Sin definir los sitios, todos los centros de datos se tratarán como si estuvieran en la misma ubicación física y se repliquen en una topología de malla. En la práctica, la mayoría de las organizaciones están configuradas de forma lógica, por lo que los sitios y servicios deben configurarse para reflejar esto.

Otras aplicaciones también utilizan Sitios y Servicios. DFS lo usa para referencias de espacio de nombres y selección de socios de replicación. Exchange y Outlook lo utilizan para buscar el catálogo global "más cercano" para realizar consultas. Sus computadoras unidas al dominio lo usan para ubicar los DC (s) más cercanos para autenticarse. Sin esto, su tráfico de replicación y autenticación es como el Salvaje Oeste.


Unidad organizacional

Estos deben crearse de una manera que refleje la necesidad de su organización de delegación de permisos y aplicación de políticas de grupo. Muchas organizaciones tienen una OU por sitio, porque aplican el GPO de esa manera; esto es una tontería, porque también puede aplicar el GPO a un sitio desde Sitios y Servicios. Otras organizaciones separan las unidades organizativas por departamento o función. Esto tiene sentido para muchas personas, pero realmente el diseño de la unidad organizativa debe satisfacer sus necesidades y es bastante flexible. No hay "una forma" de hacerlo.

Una empresa multinacional puede tener unidades organizativas de alto nivel de North America, Europe, Asia, South America, Africa De modo que puedan delegar privilegios administrativos basados ​​en el continente. Otras organizaciones pueden tener unidades organizativas de alto nivel de Human Resources, Accounting, Sales, etc. si eso tiene más sentido para ellos. Otras organizaciones tienen necesidades políticas mínimas y utilizan un diseño "plano" con solo Employee Users y Employee Computers. Realmente no hay una respuesta correcta aquí, es lo que satisface las necesidades de su empresa.


17
2018-01-28 17:06



Alguien sabe bastante bien su AD .. +1 - NickW
Las preguntas de @NickW AD son de donde provienen 72k de mi representante de 72.9k: D - MDMarra
Y sigue siendo un gran artículo de Technet para leer después de todo este tiempo: technet.microsoft.com/en-us/library/bb727030.aspx - Algunas partes han sido reemplazadas pero definitivamente vale la pena leerlas. - TheCleaner