active directory y win server 2003
DESCRIPTION
Documento sobre conceptos principales de windows server 2003 dhcp dns active directory son solo algunos de los temas que aqui se tratan esperamos sea de mucha utilidad para udsTRANSCRIPT
INTRODUCCION
Active Directory proporciona un método eficaz para compartir
organizar y distribuir recursos de red dentro de una organización,
a simple vista y cuando no se ha tenido experiencia en entornos
de informática en los que el numero de equipos supera los 10
equipos dicha solución es impractica e innecesaria pero a medida
las empresas evolucionan y adquieren mas y mas equipo la tarea
de administrarlos se vuelve insostenible, es ahí donde Windows
Server 2003 se vuelve una alternativa viable.
A continuaron presentamos una guía fácil de entender para
aquellas personas que vienen de redes peer to peer o redes punto
a punto que es la que invariablemente puede encontrarse dentro
de empresas pequeñas en numero de equipos, el ambiente
tradicional es que se posean computadoras corriendo con
Windows XP y se utilice la carpeta de documentos compartidos
para compartir archivos documentos hojas de calculo etc.
Como se dijo antes este esquema esta bien para organización con
menos de 10 computadoras pero cuando estas crecen un buen
administrador de red debe recurrir a herramientas que le
permitan centralizar el control de los equipos dentro de un red de
dominio.
Através del presente documento pretendemos que el lector
conozca en forma efímera cuales son las facilidades que Windows
Server 2003 ofrece y como puede utilizarlas sin mayor dificultad,
esperamos sea de su agrado.
OBJETIVOS
Brindar una idea principal de Active Directory y algunos de los
servicios que Windows Server 2003 integra para la fácil
administración de una red corporativa, así como ejemplos
prácticos y concretos en los que dichos servicios pueden utilizarse
dentro de la practica tangible.
Active Directory
Antecedentes de Active Directory
La Introducción de Active Directory se llevo a cabo con Windows
Server 2003 antes de esto el manejo de redes en el modelo
cliente/servidor se llevaba a cabo en servidores Windows NT, las
características principales de estos servidores era que no tenían
una organización jerárquica, por la que la administración era
ineficiente y tediosa además de poco escalable; cada vez que se
quería crear algún elemento había que ingresarlo a un solo nivel
es decir que estaba fundamentado en una arquitectura de tipo
plano, otro problema que existía es el de la replicación de datos,
este hacia que la base de datos principal se copiara a distintos
servidores para poder mantener actualizada toda la red y
permitir el acceso a los recursos de red
Primary Domain Controllers Y Backup Domain Controllers
En la tecnología de Windows NT originalmente existía lo que se
conocía como un PDC donde residía toda la información de
cuentas passwords y elementos de la red, también estaban los
BDC`s que no era mas que una copia del PDC principal para dar
acceso a usuarios de otros departamentos dentro de una
empresa.
Windows Server 2003 y Active Directory
Con la llegada de Windows Server 2003, se introdujo una nueva
forma de hacer las cosas basada fundamentalmente en jerarquías
de objetos y atributos, la principal ventaja de esto es que se
puede copiar la organización de una empresa dentro del Active
Directory, con todo su directorio tal y como es en la vida real, esto
es muy diferente a Windows NT pues cada objeto dentro del
Active Directory tiene una representación física en la realidad. Los
atributos no son mas que propiedades de objetos; un objeto
puede ser una persona una computadora un departamento de la
empresa un empresa dentro de un grupo de empresas con sus
sucursales etc.
una ejemplo muy ilustrativo para entender como esta organizado
el Active Directory es relacionar a un objeto con una casa dentro
de una colonia, una colonia es una unidad organizativa una
unidad organizativa puede a la vez pertenecer a una ciudad en
concreto lo que en terminología del Active Directory vendría a ser
una árbol; un árbol puede al mismo tiempo estar correlacionado
con otros árboles para forma lo que se conoce como un bosque lo
que seria equiparable a un municipio o departamento si tomamos
de ejemplo la organización política de nuestro país.
Organización Análoga del Active Directory
Schema
Otra ventaja de Active Directory es que puede extenderse la
schema tanto como se desee.
Schema es la información sobre los atributos de cada objeto que
puede almacenarse, por ejemplo tenemos creado en un Active
Directory un usuario que pertenece al departamento de ventas,
sobre este usuario pueden almacenarse multitud de información
como nombre apellido dirección correo electrónico dirección
particular numero de celular etc. etc.,
Incluso con Active Directory puede utilizarse programaticamente
esta información, esto es que a través de un lenguaje de
programación se pueda consultar la información sobre los objetos
que se encuentra almacenada en el Active Directory, se hace por
medio de una herramienta conocida como ADSI Active Directory
Services Interface
Ambiente tradicional de Redes
Para entender mejor por que se necesita una arquitectura de
dominio se debe entender primero cuales son los problemas que
se dan cuando dentro de una empresa se manejan redes punto a
punto.
Antes de la existencia de Active Directory o DPC las redes se
manejan en forma de punto a punto esto es que cada maquina
posee archivos propios y algunos recursos mas como impresoras
por ejemplo.
Cada recurso se comparte con los demás usuarios de la red, en
un principio puede parecer un modelo sencillo y fácil de manejar
sin embargo a medida la información dentro de la empresa va
creciendo se vuelve cada vez mas difícil de controlar.
Por ejemplo acciones de encontrar un determinado archivo una
impresora un documento o asignar seguridad se mueven tareas
sumamente complejas, manejar una red de esta forma puede
llegar a convertirse en un verdadero dolor de cabeza sobre todo
cuando los numero de puntos en la red llegan a 100 200 o 500
equipos, prácticamente es insostenible
Ambiente de dominio:
La diferencia de una red con dominio es el enfoque de
centralización que esta posee, con un Active Directory la
administración de la red y sus recursos como archivos
documentos impresoras políticas de acceso etc. se vuelve mas
practica y eficiente, todo se almacena dentro de un base de datos
central a la cual todas las terminales tiene acceso para entrar y
poder acceder a los recursos de red.
Definitivamente una red de dominio es mucho mas escalable que
una red punto a punto, a este sistema de administración se le
conoce como cliente/servidor; muchos clientes consultando a un
servidor sobre que recursos de red puede utilizar y bajo que
condiciones de seguridad y tipos de acceso (lectura escritura
edición etc.).
RID
RID se traduce como identificación relativa y es una de las claves
del Active Directory ya que permite identificar dentro de una red
de dominio con un solo nombre a cada objeto dentro del Active
Directory, ello significa que no pueden haber elemento duplicados
dentro de un dominio, cada objeto posee un identificador único e
irrevocable.
Cabe mencionar que el RID solo aplica dentro de un mismo
dominio en forma relativa a su jerarquía, como puede verse es
una manera efectiva de asignar políticas de acceso y seguridad a
cada objeto por individual.
RPC
Remote process control; es un protocolo de comunicación
utilizado por los servidores de dominio para comunicarse entre sí
y poder replicar el Active Directory en múltiples servidores espejo
ubicados quizá fuera de una oficina físicamente, como lo podría
ser una empresa con múltiples sucursales dentro del país
Es común que dentro de una empresa existan sucursales en
lugares físicamente remotos,
La pregunta es como hace una empresa para permitir al acceso
seguro desde una sucursal X a una matriz Y en forma segura y
bajo el enfoque de centralización que Active Directory
proporciona, la respuesta es RPC.
RPC ayuda a sincronizar efectivamente la información dentro los
Active Directory,
Este aspecto se puede configurar a través de dos formas básicas
que van depender del tipo de conexión de red que se posea; una
sirve para redes rápidas conocido como Intransite Replication y
el otro para redes lentas llamado Intersite Replication
Intrasite Replication usa simplemente una copia de datos
común y corriente para transferir la información de cuentas y
políticas de seguridad a sus servidores espejo; el Intersite
Replication utiliza métodos de compresión y optimización sobre
protocolo TCP/IP para transmitir, lo que lo vuelve optimo para
conexiones de baja transferencia como accesos telefónicos de 56k
DNS
Domain Name Server, es una manera efectiva de acceder a
recursos de red con un nombre y no con una dirección de red
TCP/IP.
Ejemplo de una dirección de red TCP/IP podría ser 24.133.155.7
en lugar de digitar este numero se puede acceder por medio de
un nombre como host.ventas.compañia.com.
Windows Server 2003 y Active Directory utilizan DNS para
localizar nombres de domino y recursos fácilmente, através del
constante almacenamiento de archivos con una dirección en
formato TCPI/IP asociada a ellos automáticamente.
Un aspecto importante del modelo DNS es que permite mantener
una base de datos distribuida en la red, en diferentes servidores;
si a un servidor le solicitan un recurso de red que no conoce este
transfiere esta petición a otro servidor para que talvez esta
responde si sabe la dirección correcta de dicho recurso de red
DNS también organiza y maneja los nombres en forma de
jerarquía tal y como Active Directory trabaja internamente, es
mucho mas fácil recordar un nombre que una dirección TCP/IP
como 192.32.2.1 por lo cual DNS facilita la tarea
Nombres de espacio o Domain Namespace
Si el mundo fuera una sola red probablemente este característica
no seria necesaria ya que como todos los recursos de una red
(Internet por ejemplo) estarían dentro de un mismo lugar bastaría
con digitar el nombre del recurso y asegurarse que dicho nombre
sea único para poder accederlo, sin embargo como en el mundo
real existen routers swicthes subredes etc. se debe acudir a una
nomenclatura de forma jerárquica para localizar un recurso dentro
de una red sobre todo si es una red enorme como Internet por
ejemplo.
Algunos ejemplos de recursos de red puede ser como:
empresa.com
ventas.empresa.com
compras.empresa.com
ingenieria.empresa.com
server1.ingeniria.empresa.com
server2.ingeniria.empresa.com
Este ultimo muestra como podría localizar un Host o equipo
dentro de una red bajo la nomenclatura jerárquica utilizada por
DNS, el nombre se detalla a continuación para entender mejor el
sistema de nomenclatura
Nombre de dominio superior:
Los nombres de dominio superior no son más que agrupaciones
superiores de computadoras dentro de una red existen múltiples
dominios de nivel superior para cada tipo de organización como
por ejemplo:
.com Organizaciones de tipo
comercial
.net Organizaciones
comerciales o de
cualquier otro tipo que
tienen algo que ver con
redes o Internet,
normalmente se utilizo
para proveedores de
servicios de Internet sin
embargo en la actualidad
ante la escasez de
dominios com se utilizo
también para empresas
de cualquier índole
comercial
.org Organización sin fines de
lucro
.edu Organizaciones
educativas
.gob Para organización de tipo
gobierno
.com.sv Organizaciones
comerciales
pertenecientes a el
salvador
DHCP
DHCP es una forma rápida de asignar la configuración de una red
a las estaciones de trabajo, a simple vista pareciera fácil
configurar cada maquina dentro de un red organizativa
manualmente introduciendo el numero de IP mascara de subred y
servidores DNS manualmente, sin embargo cuando se trata de
una red con 100, 200 0 500 terminales el trabajo de reconfigurar
cada maquina manualmente puede ser realmente tedioso.
Windows Server proporciona el servicio de DHCP Dynamic Host
Configuration Protocol que resuelve el problema de asignación
masiva de configuraciones de red con facilidad.
Imagine por ejemplo que por X o Y motivo los números de IPS de
los servidores DNS deben de ser cambiado en el servidor donde
se encuentra corriendo el servicio de DNS de la red de domino
con Active Directory, con DHCP basta con hacer unos cuanto
ajustes dentro del servidor DNS cambiar el numero de IP del
nuevo servidor DNS y dejar que la nueva configuración se
propague dentro de la red para cada uno de los equipos que la
conforman.
Alternativa a Directorio Activo
OpenLDAP Server+Ubuntu Server
LDAP es el acrónimo de Lightweight Directory Access Protocol,
que es una versión simple del protocolo x.500 desarrollado en la
universidad de Michigan para el acceso a recursos de un directorio
dentro de una red, actualmente es un estándar ocupado por
muchos desarrolladores de software como Microsoft Linux y
otros , internamente LDAP
Como funciona, OpenLDAP utiliza una base de datos separada que
contiene el directorio de configuración con la información
esquematizada en forma de árbol, se administra por medio de un
demonio (proceso oculto del sistema operativo Linux) llamado
como SLAPD.
El protocolo LDAP proporciona un mecanismo fácil de
comunicación entre los clientes que solicitan información
especifica como nombre de usuario pass Word permisos de
acceso correo electrónico etc.
Toda la información es almacenada en una base de datos
transaccional optimizada para operaciones de lectura y no tanto
de escritura organizada en entradas que representan un objeto
especifico como organizaciones personas grupos y locaciones,
cada uno de los cuales puede contener atributos especiales e
individuales usados para definir el acceso
Integración con Windows:
Las características de directorio activo de Windows Server
pueden ser fácilmente implementada en un entorno Linux
utilizando OpenLDAP Samba y Ubuntu Server , la integración es
totalmente transparente pudiéndose incluso implementar
entornos en los que el servidor sea un sistema operativo basado
en Linux y el cliente este basado en un sistema operativo como
Windows Xp y vista
Sobre WBSAgnitio
Esta es una herramienta de configuración integra todo lo
necesario para implementar una red de dominio como las que se
utilizan en entornos Windows Server y clientes Windows Xp y 98
sin necesidad de pagar el alto costo por licencias que ello implica
WBSAgnitio integra servicios como NTP, DHCP, servicios de
directorio LDAP, DNS, NT, Kerberos
De estos servicios el que mas destaca es el de NT ya que permite
a un cliente Windows autenticarse dentro de un servidor Linux en
forma totalmente transparente como lo haría con un servidor
Windows tradicional.
CONCLUSIONES
En conclusión a lo largo de este documento se ha podido
proporcionar una idea somera de lo que Windows Server 2003
ofrece al administrador de red, cada día aspectos de seguridad y
control de acceso son críticos para el buen funcionamiento del
equipo IT de una empresa, como futuros profesionales de
informática es necesario que se conozca la mayoría de
alternativas posibles para dar una solución a un problema como
este sobre todo en el área de seguridad de redes y control
organizativo; en este sentido se ha presentado una alternativa de
bajo costo en la parte final del documento que permite emular el
active Directory para poderlo correr sobre ambientes Linux o bien
en un ambiente mixto de servidores Linux y clientes Windows o
viceversa.
RECOMENDACIONES
Se recomienda al lector que ahonde mas en temas de
administración mixta entre Windows y SOS Linux ya que en la
practica estamos seguros que a futuro será el tipo de ambiente
informático que predominara a futuro, por lo tanto seria una
buena practica instalar probar e implementar herramienta como
la de WBSAgnitio que permite manejar un ambiente mixto,
dichos aspectos están fuera del alcance de este documento por lo
que consideramos de vital importación que el usuario investigue
mas.
BIBLIOGRAFIA
MCSE:Windows® Server 2003
Active Directory Planning,
Implementation, and
Maintenance
Study Guide
Second Edition
Robert Shimonski, James Chellis, Anil Desai
Terminal Services for Microsoft Windows Server 2003: Advanced Technical Design Guide
by Brian S. Madden and Ron Oglesby ISBN:0971151040
BrianMadden.com © 2004