Mejores Prcticas en el diseo de Directorio Activo en Windows 2003

Ramon Jimnez, MCSE 2000/2003 PMP, CCA, ITIL Certified MVP Windows Server System Infrastructure Architect rjimenezm@hotmail.com

Requisitos
Experiencia previa con servidores Windows Experiencia con redes en entornos Microsoft Conocimientos bsicos de Directorio Activo Conocimientos bsicos de DNS

Agenda
Entornos multi-bosque

Entornos multi-dominio
Entornos de dominio nico. Unidades

Organizativas
DNS y Espacio de nombres

Seguridad

Bosques
Esquema compartido
Bosques

Frontera de seguridad

Identificar requerimientos
Diseo de bosques

Determinar cuntos bosques

Entornos multi-bosque
contoso.com
fabrikam.com

emea.contoso.com

nala.contoso.com

filial1.fabrikam.com

Entornos multi-bosque: Razones

Razones polticas/organizativas

Razones jurdicas
Razones tcnicas

Razones financieras
Otras

Consideraciones
Los requerimientos estrictos limitan las opciones Reserva tiempo para la negociacin Haz balance coste/beneficio Evita que 2 organizaciones de IT compartan la gestin de infraestructura Evita externalizacin a mltiples proveedores

Modelo multi-bosque simple

Clave
Relacin de confianza entre bosques

Cuentas Usuario

Bosque Org 1

Bosque Org 2

Servidores recursos

Modelo bosque de recursos

Clave
Rel. Conf.
Cuentas Usuario Servidores recursos Bosque Organizacional Bosque recursos Cuentas de servicio Cuentas alternativas
Bosque recursos

Modelo bosque acceso restringido

Clave
Cuentas Usuario Servidores Recursos
Bosque Organizacional

Servidores con datos clasificados

Bosque acceso restringido

Agenda
Entornos multi-bosque

Entornos multi-dominio
Entornos de dominio nico. Unidades

Organizativas
DNS y Espacio de nombres

Seguridad

Factores que condicionan

Capacidad de la Red # de Usuarios

128K RDSI

E1 34Mb

Razones para mltiples dominios

Consideraciones administrativas/polticas Polticas nicas para cada dominio Trfico de red Calidad de la conexin de red Capacidad de los servidores Diferencias regionales/internacionales Migracin de dominios existentes

Recomendaciones
Si no hay alternativa y debemos ir por mltiples dominios: Minimizar Minimizar Elegir Nmero de dominios Profundidad de la jerarqua Diseos que permitan reorganizar dominios

Desplegar
Desplegar

Al menos dos (2) Controladores de Dominio por dominio Domains comodn durante migraciones (para no provocar disrupcin de servicio)

Modelo regional
contoso.com

mad.contoso.com

bcn.contoso.com

sev.contoso.com

Modelo organizacional
Matriz
Equipo IT Central
Enterprise Admins Domain Admins

Schema Admins

Equipo IT Training

Equipo IT Equipos Hw

Equipo IT Licencias Domain Admins

Domain Admins

Domain Admins

Training

Equipos Hw

Licencias

Agenda
Entornos multi-bosque

Entornos multi-dominio
Entornos de dominio nico. Unidades

Organizativas
DNS y Espacio de nombres

Seguridad

Dominio nico

Sitios

contoso.com

Madrid

Sevilla

Barcelona

Topologas tpicas
Sitio Sitio Sitio Sitio Sitio

Sitio

Sitio Sitio

Hub
Sitio

Topologa Anillo

Topologa Hub-and-Spoke

Hub
Sitio

Hub
Sitio

Sitio

Topologa compleja

Cundo poner un DC en un Sitio

No No S S S

No poner un DC

Hay seguridad fsica?

Hay Admin para los DCs?

Enlace WAN estable?

Es bueno el Inicio de Sesin?

No
Se requiere 24x7?

No No

Poner un DC

Cundo poner un GC
No No No No

Alguna aplicacin requiere un Catlogo Global (GC)?

> 100 Usuarios?

Existe enlace WAN a un GC? S

Usuarios mbiles?

Poner DC y habilitar UGMC

S S

No poner GC Poner GC

FSMOs
Servidor/Rol Regla

Todos
Primer Servidor Stand-by Maestro Infraestructura PDCe

Redes lo ms fiables posibles

En el sitio y lo ms cerca posible del grupo de usuarios ms numeroso Designar uno inmediatamente No colocarlo en un GC* En el sitio y lo ms cerca posible del grupo de usuarios ms numeroso

Planning Operations Master Role Placement

Agenda
Entornos multi-bosque

Entornos multi-dominio
Entornos de dominio nico. Unidades

Organizativas
DNS y Espacio de nombres

Seguridad

DNS y Espacio de Nombres

Planificacin y eleccin apropiada del

espacio de nombres
Integracin con BIND existentes

Coexistencia con BIND existentes

Entorno DNS nativo

Integracin con BIND

El servidor BIND debe soportar
Actualizaciones dinmicas
Registros SRV Transferencia incremental de zonas (recomendado, no obligatorio)

Todos los clientes y servidores apuntan como

DNSs los servidores BIND

ltima versin BIND 9.3.1
Configuring Berkeley Internet Name Domain (BIND) to Support Active Directory

Coexistencia con BIND (1)

El servidor BIND debe crear y delegar en DNS de Windows

2003 las siguientes zonas:

_udp.DNSDomainName _tcp.DNSDomainName _sites.DNSDomainName _msdcs.DNSDomainName

Sustituir DNSDomainName por vuestro nombre (ej: contoso.com)

2 subdominios deben delegarse en el BIND para servidores DNS basados en Windows 2003
ForestDnsZones.ForestDNSName DomainDnsZones.DNSDomainName

Coexistencia con BIND (y 2)

Ejemplo de configuracin en el BIND:
_TCP _UDP _MSDCS _SITES ForestDNSZones DomainDNSZones 192.168.100.1 192.168.100.1 A IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com dc1.contoso.com # Win2K3 Domain Controller contoso.com

Integrating Windows 2000 DNS into an existing BIND or Windows NT 4.0-based DNS namespace

Recomendacin: Usar DNS Windows 2003

Integrado en Directorio Activo Permite actualizaciones seguras

Replicacin multi-master (basada en DA)

Configuracin muy sencilla de reenviadores condicionales, Zonas Stub y reenviadores a DNSs de ISPs

CMO: Migrar una infraestructura DNS existente desde un servidor basado en BIND a un DNS basado en Windows Server 2003

Agenda
Entornos multi-bosque

Entornos multi-dominio
Entornos de dominio nico. Unidades

Organizativas
DNS y Espacio de nombres

Seguridad

Seguridad (1)
Asegurar la comunicacin con los

Controladores de Dominio (IPSec y GPOs)

Forzar el uso cuentas Administrativas

diferentes a las de usuario.

Limitar el nmero de cuentas administrativas

Auditar el uso de cuentas administrativas

Seguridad (2)
Endurecer la Directiva del Dominio (Complejidad de

contraseas, bloqueos de cuentas y Kerberos)

Endurecer la Directiva de Controladores de Dominio (Derechos de usuario, auditoras y seguridad) Deshabilitar mecanismos de autenticacin no

seguros (LM: LanManager)

Deshabilitar servicios no necesarios

Seguridad (y 3)
Delegacin controlada de administracin de

tareas.
Deshabilitar servicios no necesarios

Instalar antivirus con las exclusiones

obligatorias

Demo: Revisin de conceptos y creacin de OUs clones

Enlaces tiles (1)

Active Directory Best Practices Windows Server 2003 Deployment Kit: Designing and Deploying Directory and Security Services Planning Domain Controller Capacity DNS Step-by-Step Guide Multiple Forest Considerations in Windows 2000 and Windows Server 2003 Schema Documentation Program for Servers Running Windows 2000 or Windows 2003 Server

Active Directory Performance Testing Tool (ADTest.exe)

Designing Distributed File Systems Active Directory Directory Service Product Operations Guide

Enlaces tiles (2)

Best Practices for Delegating Active Directory Administration Best Practices for Delegating Active Directory Administration Appendices Best Practice Guide for Securing Active Directory Installations Server and Domain Isolation Using IPsec and Group Policy Windows Server 2003 Active Directory Branch Office Guide Active Directory in Networks Segmented by Firewalls Active Directory Migration Tool v3.0

Best Practices for Deploying Printer Location with Active Directory

Enlaces tiles (3)

Extending Your Active Directory Schema for New Features in Windows Server 2003 R2
Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 Download

Windows Server 2003 R2 Branch Office: Frequently Asked Questions

Windows Server 2003 R2: Support for Branch Offices BIND HomePage

Preguntas?

Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecucin de laboratorios. Un tcnico por grupo imparte explicaciones tericas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duracin cada uno y 24 horas los seminarios de Contramedidas Hacker.

Sistemas Desarrollo

http://www.microsoft.com/spain/servidores/windowsserver 2003/seminarios/hol.aspx http://www.microsoft.com/spanish/msdn/spain/eventos/hol/ default.asp

Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia. Tenerife, Mlaga y Sevilla

Webcast en su versin grabada de Directorio Activo

Active Directory - Usos y conceptos bsicos del Directorio Activo Active Directory - Conceptos Avanzados de Directorio Activo Active Directory - La importancia del DNS para el Directorio Activo Active Directory - Replicacin del Directorio Activo Active Directory - Uso avanzado de las politicas de Grupo

Ms Acciones de Directorio Activo

Active Directory - Mejores practicas en las operaciones de Directorio Activo.23 de Marzo. Active Directory - Migracin desde Windows NT a Directorio Activo. 6 de Abril. Active Directory - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abril Active Directory - Gestin de Identidades (ADAM, MIIS) Para informacin adicional y registro: http://www.microsoft.com/spain/technet/jornadas/we bcasts/default.asp

Ms Acciones desde TechNet

Para ver los webcast grabados sobre ste tema y otros temas, dirjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcas ts_ant.asp Para informacin y registro de Futuros Webcast de ste y otros temas dirjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/defaul t.asp Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscrbase a nuestro boletn TechNet Flash en sta direccin: http://www.microsoft.com/spain/technet/boletines/default.mspx Para estar informado sobre novedades vea nuestros Its Showtime en: http://www.microsoft.com/spain/technet/itsshowtime/default.aspx Para acceder a toda la informacin, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripcin TechNet en: http://www.microsoft.com/spain/technet/recursos/cd/default.mspx