código: hol-win61. ► introducción ► el servicio de directorio activo ► los controladores de...

Windows Server 2008 R2Active Directory

Francisco Nogalfnogal@informatica64.com

Código: HOL-WIN61

Agenda

►Introducción►El Servicio de Directorio Activo►Los Controladores de Dominio►RODC ►Novedades Windows Server 2008 R2►Seguridad Directorio Activo

Directorio Activo

►Centraliza el control de los recursos de red

►Centraliza y descentraliza la administración de recursos

►Almacena objetos de manera segura en una estructura lógica

►Optimiza el tráfico de red

DominioDominio

Dominio

Dominio

Dominio

DominioOU

OU OU

ÁrbolÁrbol

DominioDominio

BosqueBosque

Unidad OrganizativaUnidad Organizativa

ObjetosObjetos

Estructura Lógica

Estructura Física

►Sitios►Controladores de dominio►Enlaces WAN SitioSitio

Controlador de dominioControlador de dominio

Enlace WANEnlace WAN

SitioSitio

Domain

OU1Computers

Computer1

Users

User1

Users

User2

OU2

PrintersPrinter1

Servicio de Directorio

Un repositorio organizado de información sobre personas y recursos

KimYoshidaAtributos ValoresNombreEdificioPlanta

Kim Yoshida1171

Schema (I)

► Definición formal de todos los objetos Directorio Activo y sus atributos

► Cada tipo de objeto (clase) deriva de una clase principal TOP Las clases heredan de otras clases su definición y comportamiento

► Cada objeto dispone de atributos obligatorios y atributos opcionales

Schema (II)

► Símil con una tabla de BBDD Relacional Clase => Definición en una fila de un objeto Atributos => Columnas que definen una clase

► Cada atributo a su vez puede verse como una colección de posibles valores

► El Esquema se puede ver en la consola de Active Directory Schema Se pueden ver/añadir/modificar clases y atributos por separado

Schema (III)

Ejemplos de atributos

accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTofirstNamelastName

Catalogo Global (I)

Repositorio que contiene un subconjunto de atributos de todos los objetos del Directorio Activo

Global CatalogGlobal Catalog

Solo LecturaSolo Lectura

Catálogo Global (II)

► Dentro de un dominio, cada DC dispone de una copia completa de la base de datos

► En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest Servidores de Catálogo Global

► Para disminuir tamaño sólo se almacenan los valores de ciertos atributos

Catálogo Global (III)

► Cualquier DC puede tomar el rol de Catálogo Global

► El servidor de GC se usa para facilitar consultas en entornos multidominio

► Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site

Requisitos de Instalación DC

►Una máquina ejecutando Windows Server 2008 R2

►250 MB de espacio libre en una partición formateada en NTFS

►Privilegios administrativos para la creación de un dominio

►TCP/IP instalado y configurado para utilizar DNS

Verificar la creación de

SYSVOL

Base de datos del directorio y archivos de transacciones

Estructura básica del AD

Verificación del visor de sucesos

Verificar la creación de

SYSVOL

Base de datos del directorio y archivos de transacciones

Estructura básica del AD

Verificación del visor de sucesos

Verificación de la Instalación

SYSVOL

► Es un recurso compartido que se genera en cada DC al realizar DCpromo.

► Contiene:• Políticas de Sistema (Windows NT, 9X)• GPO para los miembros del dominio• Scripts de Logon y Logoff.

Archivo Descripción

Ntds.dit Archivo de datos del ADAlmacena información de objetos en el DCUbicación por defecto: systemroot\NTDS folder

Edb*.log Archivo de transacciones Archivo de transacciones por defecto: Edb.log

Edb.chk Archivo de comprobaciónGuarda información no escrita al archivo de BBDD

Res1.log Res2.log

Reserva de espacio para archivos de transacciones

Archivos de Datos y Logs

Migración de AD

►Tareas PreviasCredencialesRevisión de hardwareDeterminar tipo de migración

Migración desde 2003

Migracion

Migracion

Migracion

Migracion

Migracion

Initiating a BPA Analysis

Import-Module BestPractices

Invoke-BpaModel Microsoft/Windows/DirectoryServices

Get-BpaResult Microsoft/Windows/DirectoryServices

Desde el Administrador del Servidor

Desde PowerShell

Reglas Best Practice Analyzer

►DNS Registro de recusros SRV/A/AAA

►Recuperacion de desastres Multiples DC por dominio Backups

►Replicacion Un GC por sitio KCC habilitado Escenarios VM

►Topologia/conectividad Asignacion de roles FSMO Disponibilidad FSMO

►Servicio Horario

DEMO

AD Best Practices

►demo

Delegaciones Remotas

Delegaciones

Read-Only Domain ControllerDesafíos de las delegaciones remotas

►Los administradores se enfrentan a los siguientes desafíos a la hora de desplegar Controladores de Dominio en una delegación remota

El DC se coloca en una localización física insegura El DC tiene una conexión de red poco fiable con el HUB El personal de la delegación tiene pocos conocimientos o permisos para

gestionar el DC, por lo que:Los Domain Admins gestionan el DC remotamente, oLos Domain Admins delegan privilegios al personal de la delegación

►Para consolidar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero

Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla

Read-Only Domain ControllerSolución segura de Delegación remota

El atacante puedeRobar el RODC

Por defecto, no se cachean secretos

RO PAS evita la replicacion de datos al RODC

Comprometer el RODCBase de datos de solo lectura

Replicación Unidireccional

Interceptar las credencialesSeparacion de roles para reducir el

acceso al AD

REM

EDIO

S DEL R

OD

C

Read-Only Domain ControllerMenor superficie de ataque para los DCs de delegaciones remotas

► Por defecto, no hay contraseñas de usuarios o equipos almacenadas en un RODC► El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las

aplicaciones se repliquen al RODC► Estado de Solo lectura con replicación unidireccional del AD y FRS/DFSR► Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas

propias y distintas► La delegación del DCPROMO elimina la necesidad de que el Administrador del

dominio se conecte vía TS al RODC► Los DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el

registro ilegal de nombres en DNS► Los RODCs tienen cuentas de estación de trabajo

No son miembros de los grupos Enterprise-DC o Domain-DC Derechos muy limitados para escribir en el Directorio

► Los RODC son totalmente compatibles con Server Core

Secure Appliance DC

Admin Role

Separation

RODC

Server

Core

Read-Only Domain ControllerModelos de Administración recomendados►Cuentas no cacheadas (por defecto)

A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticas En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión

►La mayor parte de las cuentas cacheadas A Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la

administrabilidad que la seguridad. En contra: Más contraseñas expuestas potencialmente por el RODC

►Solo una pocas contraseñas cacheadas A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad

de los demás En Contra: Requiere una administración granular más fina

Mapear equipos por delegaciónRequiere buscar manualmente el atributo Auth2 para identificar las cuentas

Read-Only Domain Controller Como FuncionaCacheo de secretos en el primer inicio de sesión

Hub`

Read Only DCDC en el Hub

Delegación

2. RODC: No tiene las credenciales de este usuario

3. Reenvía la petición al DC del Hub

4. El DC del Hub autentica la petición

5. Devuelve la petición de autenticación y el TGT al RODC

6. El RODC da el TGT al usuario y encola una peticion de replicación de los

secretos

7. El DC del Hub comprueba la política de replicación de contraseñas para ver si la

contraseña puede ser replicada

1. AS_Req enviado al RODC (TGT request)

1

23

4

5

6

6

7

7

Read-Only Domain Controller

Perspectiva del Administrador del Hub

Lo que ve el atacante

Read-Only Domain ControllerDespliegue paso a paso

►Como desplegar un RODC a partir de un entorno de Windows Server 2003

1. ADPREP /ForestPrep2. ADPREP /DomainPrep3. Promover un DC con Windows Server 20084. Verificar que los modos funcionales del forest y del

dominio son 2003 Nativo5. ADPREP /RodcPrep6. Verificar la lista de actualizaciones necesarias para la

compatibilidad en los clientes7. Promover el RODC

No específico de un RODC

Específico de un RODC

Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promoción/promoción

Read-Only Domain ControllerPromoción "Install-from-media”

►NTDSUtil > IFM►Durante la creación

del RODC IFM: Los “Secretos” se

eliminan La base de datos

DIT se defragmenta para ahorrar espacio en disco

DEMO

Read Only Domain Controlles

DEMO

Password Replication Policy

Novedades

Active Directory Recycle Bin►Managed Service Accounts►Offline Domain Join►Active Directory PowerShell►Active Directory Administrative Center

Papelera de reciclaje de Active Directory

►Problemas:Borrado accidental puede causar perdidas de

tiempoLa restauracion del objeto es complicada

►SolucionRestauracion del objeto con todos sus atributos

Tombstone Object

Recycle Bin for AD Object Life-cycle

RecycledObject

Deleted Object

Windows Server 2008No Recycle bin feature

Windows Server 2008 R2 with Recycle Bin enabled

GarbageCollection

GarbageCollection

LiveObject

Auth Restore

Delete

Delete

Undelete Deleted Object Lifetime180 Days

TombstoneLifetime180 Days

TombstoneLifetime180 Days

LiveObject

Consideraciones

►Donde está la UI? ►Que impactio tiene en el DIT?

Aumento de tamaño de un 5-10% cuando un nuevo DC es instalado Crecimientos posteriores dependen de la frecuencia de borrado de objetos

►Deleted Object Lifetime (DOL) DOL = TSL = 180 dias(Por defecto) Pueden ser modificados Atributos: msDS-deletedObjectLifetime , tombstoneLifetime

►Como puedo borrar un objeto permanentemente?Get-ADObject –Filter {} –IncludeDeletedObjects | Remove-ADObject

Prerequisitos

Nuevos terminos►Deleted Object

Objetos en la papelera de reciclaje

►Recycled Object Objetos que ya no se encuentran

en la papeleraEquivalente a Tombstone

RequirementsNivel funcional del bosque

Windows Server 2008 R2 Caracteristica De la Papelera

de Reciclaje habilitada

DEMO

Papelera de Reciclaje

Agenda

►Active Directory Recycle BinManaged Service Accounts►Offline Domain Join►Active Directory PowerShell►Active Directory Administrative Center

Problemas con las cuentas de servicio

►Cuentas de servicio son un problema de seguridad►Passwords se ponen una vez y no caducan►Cuentas de servicio tienen un tiempo de vida infinito►Cuentas de servicio a menudo tienen excesivos permisos

Cuentas de servicio administradas

►MSA resuelven esos problemasNnueva caracteristica en Windows 7/Windows Server 2008 R2

►Passwords & SPNs administrados por el sistema

DEMO

MSA

Agenda

►Active Directory Recycle Bin►Managed Service AccountsOffline Domain Join►Active Directory PowerShell►Active Directory Administrative Center

Union al dominio Offline

►ProblemasUnir equipos al dominio requiere conectividad de

redRequiere reinicio para completar la accion

►SolucionSe habilita el preaprovisionamiento de cuentas de

equipoInformacion de cuenta de equipo es añadida a la

maquina mientras esta offline Procesos de la maquina añaden informacion al

arranque y se convierte en miembro de dominio sin

DEMO

Modo offline

Agenda

►Active Directory Recycle Bin►Managed Service Accounts►Offline Domain Join►Authentication AssuranceActive Directory PowerShell►Active Directory Administrative Center

Modulo Powershell para Active Directory

►Reemplaza numerosas herramientas de administracion

►Punto de entrada para tareas administrativas►Se Comunica con el AD a traves de Web Service

Web service esta disponible para DC con Windows Server 2008 R2

Ventajas PowerShell

►Vocabulario y sintaxisVerbos: Add, New, Get, Set, Remove, Clear…Nombres: ADObject, ADUser, ADComputer, ADDomain, ADForest, ADGroup, ADAccount, ADDomainController, etc

No necesitamos otras herramientas, utilidades o comandos

DEMO

Powershell Demo

Agenda

►Active Directory Recycle Bin►Managed Service Accounts►Offline Domain Join►Authentication Mechanism Assurance►Active Directory PowerShell►Active Directory Administrative Center

AD Administrative Center

►Nueva interfaz grafica para Active DirectoryBasada en tareas

►Todas las tareas graficas se ejecutan con AD PowerShell►Interfaz soporta multiples dominios y bosques

DEMO

ADAC Demo

TechNews de Informática 64

Suscripción gratuita en technews@informatica64.com

Contactos

►Informática 64http://www.informatica64.com

i64@informatica64.com

+34 91 146 20 00

►Francisco Nogalfnogal@informatica64.com