código: hol-win61. ► introducción ► el servicio de directorio activo ► los controladores de...
Post on 02-Apr-2015
123 Views
Preview:
TRANSCRIPT
Windows Server 2008 R2Active Directory
Francisco Nogalfnogal@informatica64.com
Código: HOL-WIN61
Agenda
►Introducción►El Servicio de Directorio Activo►Los Controladores de Dominio►RODC ►Novedades Windows Server 2008 R2►Seguridad Directorio Activo
Directorio Activo
►Centraliza el control de los recursos de red
►Centraliza y descentraliza la administración de recursos
►Almacena objetos de manera segura en una estructura lógica
►Optimiza el tráfico de red
DominioDominio
Dominio
Dominio
Dominio
DominioOU
OU OU
ÁrbolÁrbol
DominioDominio
BosqueBosque
Unidad OrganizativaUnidad Organizativa
ObjetosObjetos
Estructura Lógica
Estructura Física
►Sitios►Controladores de dominio►Enlaces WAN SitioSitio
Controlador de dominioControlador de dominio
Enlace WANEnlace WAN
SitioSitio
Domain
OU1Computers
Computer1
Users
User1
Users
User2
OU2
PrintersPrinter1
Servicio de Directorio
Un repositorio organizado de información sobre personas y recursos
KimYoshidaAtributos ValoresNombreEdificioPlanta
Kim Yoshida1171
Schema (I)
► Definición formal de todos los objetos Directorio Activo y sus atributos
► Cada tipo de objeto (clase) deriva de una clase principal TOP Las clases heredan de otras clases su definición y comportamiento
► Cada objeto dispone de atributos obligatorios y atributos opcionales
Schema (II)
► Símil con una tabla de BBDD Relacional Clase => Definición en una fila de un objeto Atributos => Columnas que definen una clase
► Cada atributo a su vez puede verse como una colección de posibles valores
► El Esquema se puede ver en la consola de Active Directory Schema Se pueden ver/añadir/modificar clases y atributos por separado
Schema (III)
Ejemplos de atributos
accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTofirstNamelastName
Catalogo Global (I)
Repositorio que contiene un subconjunto de atributos de todos los objetos del Directorio Activo
Global CatalogGlobal Catalog
Solo LecturaSolo Lectura
Catálogo Global (II)
► Dentro de un dominio, cada DC dispone de una copia completa de la base de datos
► En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest Servidores de Catálogo Global
► Para disminuir tamaño sólo se almacenan los valores de ciertos atributos
Catálogo Global (III)
► Cualquier DC puede tomar el rol de Catálogo Global
► El servidor de GC se usa para facilitar consultas en entornos multidominio
► Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site
Requisitos de Instalación DC
►Una máquina ejecutando Windows Server 2008 R2
►250 MB de espacio libre en una partición formateada en NTFS
►Privilegios administrativos para la creación de un dominio
►TCP/IP instalado y configurado para utilizar DNS
Verificar la creación de
SYSVOL
Base de datos del directorio y archivos de transacciones
Estructura básica del AD
Verificación del visor de sucesos
Verificar la creación de
SYSVOL
Base de datos del directorio y archivos de transacciones
Estructura básica del AD
Verificación del visor de sucesos
Verificación de la Instalación
SYSVOL
► Es un recurso compartido que se genera en cada DC al realizar DCpromo.
► Contiene:• Políticas de Sistema (Windows NT, 9X)• GPO para los miembros del dominio• Scripts de Logon y Logoff.
Archivo Descripción
Ntds.dit Archivo de datos del ADAlmacena información de objetos en el DCUbicación por defecto: systemroot\NTDS folder
Edb*.log Archivo de transacciones Archivo de transacciones por defecto: Edb.log
Edb.chk Archivo de comprobaciónGuarda información no escrita al archivo de BBDD
Res1.log Res2.log
Reserva de espacio para archivos de transacciones
Archivos de Datos y Logs
Migración de AD
►Tareas PreviasCredencialesRevisión de hardwareDeterminar tipo de migración
Migración desde 2003
Migracion
Migracion
Migracion
Migracion
Migracion
Initiating a BPA Analysis
Import-Module BestPractices
Invoke-BpaModel Microsoft/Windows/DirectoryServices
Get-BpaResult Microsoft/Windows/DirectoryServices
Desde el Administrador del Servidor
Desde PowerShell
Reglas Best Practice Analyzer
►DNS Registro de recusros SRV/A/AAA
►Recuperacion de desastres Multiples DC por dominio Backups
►Replicacion Un GC por sitio KCC habilitado Escenarios VM
►Topologia/conectividad Asignacion de roles FSMO Disponibilidad FSMO
►Servicio Horario
DEMO
AD Best Practices
►demo
Delegaciones Remotas
Delegaciones
Read-Only Domain ControllerDesafíos de las delegaciones remotas
►Los administradores se enfrentan a los siguientes desafíos a la hora de desplegar Controladores de Dominio en una delegación remota
El DC se coloca en una localización física insegura El DC tiene una conexión de red poco fiable con el HUB El personal de la delegación tiene pocos conocimientos o permisos para
gestionar el DC, por lo que:Los Domain Admins gestionan el DC remotamente, oLos Domain Admins delegan privilegios al personal de la delegación
►Para consolidar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero
Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla
Read-Only Domain ControllerSolución segura de Delegación remota
El atacante puedeRobar el RODC
Por defecto, no se cachean secretos
RO PAS evita la replicacion de datos al RODC
Comprometer el RODCBase de datos de solo lectura
Replicación Unidireccional
Interceptar las credencialesSeparacion de roles para reducir el
acceso al AD
REM
EDIO
S DEL R
OD
C
Read-Only Domain ControllerMenor superficie de ataque para los DCs de delegaciones remotas
► Por defecto, no hay contraseñas de usuarios o equipos almacenadas en un RODC► El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las
aplicaciones se repliquen al RODC► Estado de Solo lectura con replicación unidireccional del AD y FRS/DFSR► Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas
propias y distintas► La delegación del DCPROMO elimina la necesidad de que el Administrador del
dominio se conecte vía TS al RODC► Los DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el
registro ilegal de nombres en DNS► Los RODCs tienen cuentas de estación de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DC Derechos muy limitados para escribir en el Directorio
► Los RODC son totalmente compatibles con Server Core
Secure Appliance DC
Admin Role
Separation
RODC
Server
Core
Read-Only Domain ControllerModelos de Administración recomendados►Cuentas no cacheadas (por defecto)
A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticas En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión
►La mayor parte de las cuentas cacheadas A Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la
administrabilidad que la seguridad. En contra: Más contraseñas expuestas potencialmente por el RODC
►Solo una pocas contraseñas cacheadas A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad
de los demás En Contra: Requiere una administración granular más fina
Mapear equipos por delegaciónRequiere buscar manualmente el atributo Auth2 para identificar las cuentas
Read-Only Domain Controller Como FuncionaCacheo de secretos en el primer inicio de sesión
Hub`
Read Only DCDC en el Hub
Delegación
2. RODC: No tiene las credenciales de este usuario
3. Reenvía la petición al DC del Hub
4. El DC del Hub autentica la petición
5. Devuelve la petición de autenticación y el TGT al RODC
6. El RODC da el TGT al usuario y encola una peticion de replicación de los
secretos
7. El DC del Hub comprueba la política de replicación de contraseñas para ver si la
contraseña puede ser replicada
1. AS_Req enviado al RODC (TGT request)
1
23
4
5
6
6
7
7
Read-Only Domain Controller
Perspectiva del Administrador del Hub
Lo que ve el atacante
Read-Only Domain ControllerDespliegue paso a paso
►Como desplegar un RODC a partir de un entorno de Windows Server 2003
1. ADPREP /ForestPrep2. ADPREP /DomainPrep3. Promover un DC con Windows Server 20084. Verificar que los modos funcionales del forest y del
dominio son 2003 Nativo5. ADPREP /RodcPrep6. Verificar la lista de actualizaciones necesarias para la
compatibilidad en los clientes7. Promover el RODC
No específico de un RODC
Específico de un RODC
Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promoción/promoción
Read-Only Domain ControllerPromoción "Install-from-media”
►NTDSUtil > IFM►Durante la creación
del RODC IFM: Los “Secretos” se
eliminan La base de datos
DIT se defragmenta para ahorrar espacio en disco
DEMO
Read Only Domain Controlles
DEMO
Password Replication Policy
Novedades
Active Directory Recycle Bin►Managed Service Accounts►Offline Domain Join►Active Directory PowerShell►Active Directory Administrative Center
Papelera de reciclaje de Active Directory
►Problemas:Borrado accidental puede causar perdidas de
tiempoLa restauracion del objeto es complicada
►SolucionRestauracion del objeto con todos sus atributos
Tombstone Object
Recycle Bin for AD Object Life-cycle
RecycledObject
Deleted Object
Windows Server 2008No Recycle bin feature
Windows Server 2008 R2 with Recycle Bin enabled
GarbageCollection
GarbageCollection
LiveObject
Auth Restore
Delete
Delete
Undelete Deleted Object Lifetime180 Days
TombstoneLifetime180 Days
TombstoneLifetime180 Days
LiveObject
Consideraciones
►Donde está la UI? ►Que impactio tiene en el DIT?
Aumento de tamaño de un 5-10% cuando un nuevo DC es instalado Crecimientos posteriores dependen de la frecuencia de borrado de objetos
►Deleted Object Lifetime (DOL) DOL = TSL = 180 dias(Por defecto) Pueden ser modificados Atributos: msDS-deletedObjectLifetime , tombstoneLifetime
►Como puedo borrar un objeto permanentemente?Get-ADObject –Filter {} –IncludeDeletedObjects | Remove-ADObject
Prerequisitos
Nuevos terminos►Deleted Object
Objetos en la papelera de reciclaje
►Recycled Object Objetos que ya no se encuentran
en la papeleraEquivalente a Tombstone
RequirementsNivel funcional del bosque
Windows Server 2008 R2 Caracteristica De la Papelera
de Reciclaje habilitada
DEMO
Papelera de Reciclaje
Agenda
►Active Directory Recycle BinManaged Service Accounts►Offline Domain Join►Active Directory PowerShell►Active Directory Administrative Center
Problemas con las cuentas de servicio
►Cuentas de servicio son un problema de seguridad►Passwords se ponen una vez y no caducan►Cuentas de servicio tienen un tiempo de vida infinito►Cuentas de servicio a menudo tienen excesivos permisos
Cuentas de servicio administradas
►MSA resuelven esos problemasNnueva caracteristica en Windows 7/Windows Server 2008 R2
►Passwords & SPNs administrados por el sistema
DEMO
MSA
Agenda
►Active Directory Recycle Bin►Managed Service AccountsOffline Domain Join►Active Directory PowerShell►Active Directory Administrative Center
Union al dominio Offline
►ProblemasUnir equipos al dominio requiere conectividad de
redRequiere reinicio para completar la accion
►SolucionSe habilita el preaprovisionamiento de cuentas de
equipoInformacion de cuenta de equipo es añadida a la
maquina mientras esta offline Procesos de la maquina añaden informacion al
arranque y se convierte en miembro de dominio sin
DEMO
Modo offline
Agenda
►Active Directory Recycle Bin►Managed Service Accounts►Offline Domain Join►Authentication AssuranceActive Directory PowerShell►Active Directory Administrative Center
Modulo Powershell para Active Directory
►Reemplaza numerosas herramientas de administracion
►Punto de entrada para tareas administrativas►Se Comunica con el AD a traves de Web Service
Web service esta disponible para DC con Windows Server 2008 R2
Ventajas PowerShell
►Vocabulario y sintaxisVerbos: Add, New, Get, Set, Remove, Clear…Nombres: ADObject, ADUser, ADComputer, ADDomain, ADForest, ADGroup, ADAccount, ADDomainController, etc
No necesitamos otras herramientas, utilidades o comandos
DEMO
Powershell Demo
Agenda
►Active Directory Recycle Bin►Managed Service Accounts►Offline Domain Join►Authentication Mechanism Assurance►Active Directory PowerShell►Active Directory Administrative Center
AD Administrative Center
►Nueva interfaz grafica para Active DirectoryBasada en tareas
►Todas las tareas graficas se ejecutan con AD PowerShell►Interfaz soporta multiples dominios y bosques
DEMO
ADAC Demo
TechNews de Informática 64
Suscripción gratuita en technews@informatica64.com
Contactos
►Informática 64http://www.informatica64.com
i64@informatica64.com
+34 91 146 20 00
►Francisco Nogalfnogal@informatica64.com
top related