590 likes | 829 Views
Código: HOL-WIN61. Windows Server 2008 R2 Active Directory. Francisco Nogal fnogal@informatica64.com. Agenda. Introducción El Servicio de Directorio Activo Los Controladores de Dominio RODC Novedades Windows Server 2008 R2 Seguridad Directorio Activo. Directorio Activo.
E N D
Código: HOL-WIN61 Windows Server 2008 R2Active Directory Francisco Nogal fnogal@informatica64.com
Agenda • Introducción • El Servicio de Directorio Activo • Los Controladores de Dominio • RODC • Novedades Windows Server 2008 R2 • Seguridad Directorio Activo
Directorio Activo • Centraliza el control de los recursos de red • Centraliza y descentraliza la administración de recursos • Almacena objetos de manera segura en una estructura lógica • Optimiza el tráfico de red
Estructura Lógica Árbol Dominio Dominio Dominio Dominio Objetos Dominio Dominio OU Dominio Unidad Organizativa OU OU Bosque
Sitio Enlace WAN Controlador de dominio Sitio Estructura Física • Sitios • Controladores de dominio • Enlaces WAN
Servicio de Directorio Domain OU1 Computers Computer1 Users User1 OU2 Users User2 Printers Printer1 Un repositorio organizado de información sobre personas y recursos
Schema (I) • Definición formal de todos los objetos Directorio Activo y sus atributos • Cada tipo de objeto (clase) deriva de una clase principal TOP • Las clases heredan de otras clases su definición y comportamiento • Cada objeto dispone de atributos obligatorios y atributos opcionales
Schema (II) • Símil con una tabla de BBDD Relacional • Clase => Definición en una fila de un objeto • Atributos => Columnas que definen una clase • Cada atributo a su vez puede verse como una colección de posibles valores • El Esquema se puede ver en la consola de Active Directory Schema • Se pueden ver/añadir/modificar clases y atributos por separado
Catalogo Global (I) Solo Lectura Global Catalog Repositorio que contiene un subconjunto de atributos de todos los objetos del Directorio Activo
Catálogo Global (II) • Dentro de un dominio, cada DC dispone de una copia completa de la base de datos • En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest • Servidores de Catálogo Global • Para disminuir tamaño sólo se almacenan los valores de ciertos atributos
Catálogo Global (III) • Cualquier DC puede tomar el rol de Catálogo Global • El servidor de GC se usa para facilitar consultas en entornos multidominio • Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site
Requisitos de Instalación DC • Una máquina ejecutando Windows Server 2008 R2 • 250 MB de espacio libre en una partición formateada en NTFS • Privilegios administrativos para la creación de un dominio • TCP/IP instalado y configurado para utilizar DNS
Verificación de la Instalación • Verificar la creación de • SYSVOL • Base de datos del directorio y archivos de transacciones • Estructura básica del AD • Verificación del visor de sucesos
SYSVOL • Es un recurso compartido que se genera en cada DC al realizar DCpromo. • Contiene: • Políticas de Sistema (Windows NT, 9X) • GPO para los miembros del dominio • Scripts de Logon y Logoff.
Migración de AD • Tareas Previas • Credenciales • Revisión de hardware • Determinar tipo de migración
Initiating a BPA Analysis • Desde el Administrador del Servidor Import-Module BestPractices Invoke-BpaModel Microsoft/Windows/DirectoryServices Get-BpaResult Microsoft/Windows/DirectoryServices • Desde PowerShell
Reglas Best Practice Analyzer Topologia/conectividad Asignacion de roles FSMO Disponibilidad FSMO ServicioHorario • DNS Registro de recusros SRV/A/AAA • Recuperacion de desastres • Multiples DC por dominio • Backups • Replicacion • Un GC por sitio • KCC habilitado • Escenarios VM
demo AD Best Practices
DelegacionesRemotas Delegaciones
Read-OnlyDomainControllerDesafíos de las delegaciones remotas • Los administradores se enfrentan a los siguientes desafíos a la hora de desplegar Controladores de Dominio en una delegación remota • El DC se coloca en una localización física insegura • El DC tiene una conexión de red poco fiable con el HUB • El personal de la delegación tiene pocos conocimientos o permisos para gestionar el DC, por lo que: • Los Domain Admins gestionan el DC remotamente, o • Los Domain Admins delegan privilegios al personal de la delegación • Para consolidar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero • Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla
Read-OnlyDomainControllerSolución segura de Delegación remota Remedios del RODC
Read-Only Domain ControllerMenor superficie de ataque para los DCs de delegaciones remotas • Por defecto, no hay contraseñas de usuarios o equipos almacenadas en un RODC • El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODC • Estado de Solo lectura con replicación unidireccional del AD y FRS/DFSR • Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas propias y distintas • La delegación del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte vía TS al RODC • Los DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el registro ilegal de nombres en DNS • Los RODCs tienen cuentas de estación de trabajo • No son miembros de los grupos Enterprise-DC o Domain-DC • Derechos muy limitados para escribir en el Directorio • Los RODC son totalmente compatibles con Server Core
Read-OnlyDomainControllerModelos de Administración recomendados • Cuentas no cacheadas (por defecto) • A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticas • En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión • La mayor parte de las cuentas cacheadas • A Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la administrabilidad que la seguridad. • En contra: Más contraseñas expuestas potencialmente por el RODC • Solo una pocas contraseñas cacheadas • A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad de los demás • En Contra: Requiere una administración granular más fina • Mapear equipos por delegación • Requiere buscar manualmente el atributo Auth2 para identificar las cuentas
Cacheo de secretos en el primer inicio de sesión Read-OnlyDomainControllerComo Funciona AS_Req enviado al RODC (TGT request) • RODC: No tiene las credenciales de este usuario Reenvía la petición al DC del Hub El DC del Hub autentica la petición Devuelve la petición de autenticación y el TGT al RODC El RODC da el TGT al usuario y encola una peticion de replicación de los secretos El DC del Hub comprueba la política de replicación de contraseñas para ver si la contraseña puede ser replicada
Read-OnlyDomainController Lo que ve el atacante Perspectiva del Administrador del Hub
Read-OnlyDomainControllerDespliegue paso a paso • Como desplegar un RODC a partir de un entorno de Windows Server 2003 • ADPREP /ForestPrep • ADPREP /DomainPrep • Promover un DC con Windows Server 2008 • Verificar que los modos funcionales del forest y del dominio son 2003 Nativo • ADPREP /RodcPrep • Verificar la lista de actualizaciones necesarias para la compatibilidad en los clientes • Promover el RODC No específico de un RODC Específico de un RODC Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promoción/promoción
Read-Only Domain ControllerPromoción "Install-from-media” • NTDSUtil > IFM • Durante la creación del RODC IFM: • Los “Secretos” se eliminan • La base de datos DIT se defragmenta para ahorrar espacio en disco
Novedades • Active Directory Recycle Bin • Managed Service Accounts • Offline Domain Join • Active Directory PowerShell • Active Directory Administrative Center
Papelera de reciclaje de Active Directory • Problemas: • Borrado accidental puede causar perdidas de tiempo • La restauracion del objeto es complicada • Solucion • Restauracion del objeto con todos sus atributos
Recycle Bin for AD Object Life-cycle Windows Server 2008 No Recycle bin feature Delete Tombstone Object Auth Restore TombstoneLifetime 180 Days Windows Server 2008 R2 with Recycle Bin enabled Delete Live Object Live Object GarbageCollection GarbageCollection RecycledObject Deleted Object Undelete Deleted Object Lifetime 180 Days TombstoneLifetime 180 Days
Consideraciones • Donde está la UI? • Que impactio tiene en el DIT? • Aumento de tamaño de un 5-10% cuando un nuevo DC es instalado • Crecimientos posteriores dependen de la frecuencia de borrado de objetos • Deleted Object Lifetime (DOL) • DOL = TSL = 180 dias(Por defecto) • Pueden ser modificados • Atributos: msDS-deletedObjectLifetime , tombstoneLifetime • Como puedo borrar un objeto permanentemente? Get-ADObject –Filter {} –IncludeDeletedObjects | Remove-ADObject
Prerequisitos Nuevos terminos Requirements Nivel funcional del bosque Windows Server 2008 R2 Caracteristica De la Papelera de Reciclaje habilitada • Deleted Object • Objetos en la papelera de reciclaje • Recycled Object • Objetos que ya no se encuentran en la papelera • Equivalente a Tombstone
Agenda • Active Directory Recycle Bin • Managed Service Accounts • Offline Domain Join • Active Directory PowerShell • Active Directory Administrative Center
Problemas con lascuentas de servicio • Cuentas de servicio son un problema de seguridad • Passwords se ponen una vez y no caducan • Cuentas de servicio tienen un tiempo de vida infinito • Cuentas de servicio a menudo tienen excesivos permisos
Cuentas de servicioadministradas • MSA resuelven esos problemas • Nnueva caracteristica en Windows 7/Windows Server 2008 R2 • Passwords & SPNs administrados por el sistema
Agenda • Active Directory Recycle Bin • Managed Service Accounts • Offline Domain Join • Active Directory PowerShell • Active Directory Administrative Center
I think a flowchart slide would be advantageous to this topic Union al dominio Offline • Problemas • Unir equipos al dominio requiere conectividad de red • Requiere reinicio para completar la accion • Solucion • Se habilita el preaprovisionamiento de cuentas de equipo • Informacion de cuenta de equipo es añadida a la maquina mientras esta offline • Procesos de la maquina añaden informacion al arranque y se convierte en miembro de dominio sin