Conceptos Fundamentales de Active Directory
Dada la gran importancia que ha producido la incorporación de Windows 2000 y Active Directory, y los grandes cambios que tiene respecto de sus versiones anteriores es de fundamental importancia comprender este servicio de directorio. De por sí, puede llegar a ser más complejo para los que conocemos la versión anterior, porque traemos incorporados ciertos conceptos que no siempre se mantienen.
La apuesta fundamental de Microsoft fue desprenderse de la interfaz NetBIOS que viene desde los “antiguos sistemas”, aunque la sigue teniendo por razones de compatibilidad. En el caso de una red homogénea Windows 2000 y sin aplicaciones que la utilicen es posible directamente deshabilitar NetBIOS sobre TCP/IP, con lo cual bajaremos una parte sustancial del tráfico de red, y aliviaremos a algunos administradores.
Pero ¿cuál es el inconveniente de NetBIOS? El tema a tener en consideración es que NetBIOS es utilizado por todos los sistemas operativos Windows anteriores a Windows 2000, como mecanismo de encontrar los servicios en la red, como única alternativa. Y el espacio de direccionamiento NetBIOS es plano. Esto significa que cada servicio en la red es identificado por un nombre de hasta 16 caracteres (aunque se pueden especificar sólo 15), donde no es posible establecer sistemas jerárquicos. Esto trae aparejados dificultades en la administración de redes a medida que son más grandes.
Pero ya existía un sistema jerárquico de nombres, ampliamente aceptado, probado, normalizado: el espacio de nombres de DNS ¡la solución! La forma en que Windows 2000 encuentra los servicios de red es a través del espacio de nombres de DNS.
Esta estructura jerárquica plantea un campo de muchas más posibilidades en ambientes grandes y tiene las ventajas de ser un standard, pero también tiene algunos inconvenientes: en una estructura jerárquica hay nodos que dependen de un nivel superior, lo cual en algún momento puede presentar poca flexibilidad, como por ejemplo que el espacio debe construirse de arriba hacia abajo.
Active Directory es el servicio de directorios de Windows 2000, así que primero que nada definiremos muy sintéticamente la funcionalidad de un servicio de directorio: Permite organizar, administrar y controlar desde un punto los recursos de red. Además permite que los usuarios tengan un único inicio de sesión, a partir de lo cual pueden acceder a los recursos a los que está autorizado. Tengamos en cuenta que estamos tomando la definición de recurso de red en su acepción más amplia, esto es, no sólo carpetas y archivos, sino que los equipos, los servicios del directorio y los servicios de red están incluidos.
La menor unidad constructiva para poder utilizar Active Directory es el Dominio, que podemos definir de varias formas, entre ellas: un conjunto arbitrario de recursos de red bajo una administración común, tal que se cumpla:
- Límite de administración: Los administradores sólo tendrán poder de administración dentro de él
- Límite de seguridad: Los administradores definirán los requerimientos de seguridad en sus dominio
- Límite de replicación: La información sensitiva de los recursos de red no se replicará fuera de sus límites
Para crear un dominio, los requisitos básicos son tener instalado un Windows 2000, en cualquiera de sus 3 versiones de server (Server, Advanced Server o Datacenter Server), protocolo de red TCP/IP instalado y configurado manualmente (no obtención automática de dirección IP). Hay además un tercer requisito que es la presencia de un servidor de nombres DNS instalado y configurado en la red, pero podemos hacer que el sistema se encargue de instalarlo y configurarlo adecuadamente, preguntándonos sólo si queremos que lo instale y configure. Además debemos disponer más de 250MB de espacio libre en disco y por lo menos una partición debe estar formateada en NTFS, no necesariamente donde está instalado el sistema operativo.
Una vez que tenemos el server instalado con los requisitos anteriores, debemos ejecutar DCPROMO.EXE. Este asistente se encargará de instalar Active Directory, transformando un server(*) en Controlador de Dominio. Si lo ejecutamos sobre un Controlador de Dominio, lo volverá a server(*).
(*) En este caso server se refiere a un server miembro de dominio o a un server en grupo de trabajo
Es altamente recomendable que por cada domino existan por lo menos 2 Controladores de Dominio, ya que esto nos provee balance de carga y sobre todo tolerancia a fallas. Las funciones fundamentales de los Controladores de Dominio son proveer la validación de los usuarios y equipos; y la replicación de la información del directorio a otros Controladores de Dominio del mismo dominio.
De todas formas antes de ejecutar DCPROMO.EXE debemos tener en claro, si es necesario un único dominio, o si por el contrario necesitaremos una jerarquía de dominios. En general y lo recomendado para la mayoría de los casos es utilizar un único dominio, ya que esto disminuye los costos, facilita la administración y provee un sistema jerárquico interno que no dificultará la administración como era el caso de Windows NT 4.0, donde el administrador debía lidiar con un listado “plano” de todos los usuarios. Los motivos que pueden justificar la necesidad de más de un dominio son: diferentes Directivas de Grupo (Group Policies) para cuentas, disminución de tráfico sobre enlaces WAN y algunas consideraciones de administración descentralizada.
Entre los elementos que deberemos diseñar y tener en claro desde el principio son las estructuras Lógica y Física. Esta última es novedad total en Windows 2000, ya que las versiones previas no soportan ningún tipo de diseño físico de estructura.
Estructura Lógica
El caso más sencillo de estructura lógica es si hemos determinado que un único dominio cumple con nuestras necesidades. Pero como hemos visto, en algunos casos esto no va a ser posible. Si debemos instalar varios dominios, éstos se pueden agrupar en estructuras jerárquicas denominadas árboles (Trees)
Para poder construir un árbol (Tree) debemos comenzar por crear el primer dominio en la estructura, raiz.com en este caso. A partir de lo cual podemos crear los subdominios, hijoN.raiz.com en este caso.
Pero demos una definición más precisa de un árbol de dominios: es un conjunto jerárquico de dominios que comparten:
- Relaciones de confianza, creadas automáticamente con el dominio superior, de tipo bidireccional (A –> B y B –> A) y transitiva (A –> B –> C por lo tanto A –> C)
- Espacio contiguo de nombres. Cada subdominio debe incluir el nombre del dominio del cual “cuelga”, salvo el primero. No hay un límite teórico en cuanto a la cantidad de subdominios que puede tener cada uno, ni en cuanto a los niveles de hijos de cada uno
- Comparten la Configuración y el Esquema
- Comparten la información en el Catálogo Global (Global Catalog)
La Configuración es una partición del Active Directory, donde está almacenada la configuración común de todos los dominios como pueden ser los nombres y la ubicación de cada uno de ellos, relaciones de confianza, etc.
El Esquema, es la definición formal de los atributos y clases de objetos que forman el directorio. Una de las novedades más importantes de Windows 2000, es la posibilidad de crear nuevas clases de objetos o modificar clases existentes para adaptarlo a necesidades propias de la empresa. Este tema lo veremos en mayor profundidad en otra nota.
El Catálogo Global es un rol adicional que cumplen uno o más Controladores de Dominio en la estructura. Por omisión existe sólo uno pero un administrador puede (y debería) nombrar a por lo menos otro Controlador de Dominio. Los Controladores de Dominio nombrados Catálogo Global, reciben una réplica parcial, de todos los objetos del directorio. Se utilizan durante el inicio de sesión y cuando se hacen búsquedas de objetos en todo el directorio
Detalles importantes a tener en cuenta, es que esta estructura se crea “de arriba hacia abajo”, es decir, primero debemos crear el dominio raíz del árbol, a partir de cuyo establecimiento se pueden crear los que “cuelgan” del mismo. Además el dominio raíz tiene características particulares que no tiene ningún otro dominio, entre otras, el dominio raíz tiene el grupo con privilegios para modificar el esquema, y es el único dominio que tiene un grupo capaz de efectuar configuraciones que afectan a todo el directorio.
Esta estructura de árbol seguramente será suficiente para la mayoría de los casos, pero si se diera el caso de no poder mantener la continuidad en el espacio de nombres, como podría ser el caso de la fusión de empresas en donde se desee preservar el nombre de cada una, la solución sería armar un Bosque (Forest).
Un Bosque comparte las mismas características que el Árbol, salvo que el espacio de nombres no es contiguo.
Esta característica, como mencionamos puede ser útil en el caso de la fusión de 2 o más empresas preservando su identidad en el nombre de dominio. Aunque debemos tener en cuenta algo muy importante, se construye igual al árbol, esto es, a partir del dominio raíz es posible crear un Árbol o un Bosque. Pero no se pueden unir 2 Bosques ya establecidos. Hay un único dominio raíz que es el primero que se instala. Esto podría crear escenarios complejos en el caso de fusión de empresas que ya establecieron sus dominios con Windows 2000. No es imposible, pero se debería llevar a cabo un proceso de reestructuración de dominios que es mucho más complejo. Para estos casos hay herramientas gratis de Microsoft (ADMT: Active Directory Migration Tool) y pagas de terceros. Es importante que recordemos que cualquiera sea la estructura de dominios que utilicemos, sea Bosque o Árbol, hay un único dominio raíz (el primero creado). En el caso de utilizar un único dominio, éste es el dominio raíz.
Hasta ahora describimos las opciones “hacia fuera” que hacen a la escalabilidad con ambientes de múltiples dominios, pero también tenemos estructura jerárquica “hacia adentro”, esto es, dentro de cada dominio.
Al crear un dominio, el sistema crea una serie de contenedores predefinidos, y el administrador puede, y debería, crear una estructura jerárquica que facilite la administración. Esto es debería crear una estructura de contenedores, llamados Unidades Organizativas, que se adapte al entorno de trabajo y administración.
Las Unidades Organizativas son contenedores, es decir, que pueden contener otros objetos, como ser otras Unidades Organizativas, cuentas de Usuario y de Computadora, grupos, carpetas compartidas e impresoras. El concepto de contenedor es diferente del de grupo, ya que este último en realidad no es un contenedor. Un grupo contiene referencias (punteros) al objeto que contiene. En cambio un contenedor realmente lo contiene. Si borramos una Unidad Organizativa también borramos todo lo que contiene.
En una nota próxima hablaremos sobre el diseño de la jerarquía de Unidades Organizativas para facilitar la administración.
Un tema importante a tener en cuenta es que siempre que creamos un dominio, éste se instala en Modo Mixto ¿Qué significa esto? esto es, que se instala en un modo que es compatible con Controladores de Dominio Windows NT 4.0, lo cual en algunos casos es una ventaja, pero que no permite utilizar la nueva funcionalidad al 100%. El administrador deberá manualmente, cuando sea apropiado, cambiar el dominio a Modo Nativo.
La condición necesaria y suficiente para poder cambiar el dominio a Modo Nativo es que todos los Controladores de Dominio, en el dominio, deben ser Windows 2000. No los clientes, que pueden ser Windows en cualquiera de sus versiones.
Mientras el dominio esté en Modo Mixto, no se pueden aprovechar algunas ventajas del nuevo directorio, ya que no se puede replicar a un BDC (Backup Domain Controller) Windows NT 4.0 elementos que éste no sepa utilizar, como podrían ser los grupos de tipo Universal, relaciones de confianza transitivas, etc.
Volvamos al asistente para instalar el servicio de directorio (DCPROMO.EXE). Este nos dará un cuadro de bienvenida y luego ofrecerá las siguientes alternativas:
Puede ampliar la imágen haciendo click
Puede ampliar la imágen haciendo click
Creación del Dominio Raíz (1)
Es lo primero a crear. Debemos elegir: Crear nuevo dominio, Nuevo árbol, Nuevo Bosque. Para este caso debemos ser administradores del server donde lo ejecutemos.
Creación de un nuevo Árbol en Bosque existente (2)
Debemos elegir: Crear nuevo dominio, Nuevo Árbol, Árbol en Bosque existente. En este caso además de ser administrador del server nos pedirá las credenciales de un usuario con poderes sobre todo el Bosque (Enterprise Admins)
Creación de un subdominio (3)
Debemos elegir: Crear nuevo dominio, Nuevo subdominio. En este caso además de ser administrador del server nos pedirá las credenciales de un usuario con poderes sobre todo el Bosque (Enterprise Admins)
Agregar un Controlador de Dominio en un dominio existente (4)
Debemos elegir: Controlador de Dominio en dominio existente. En este caso además de ser administrador del server nos pedirá las credenciales de un administrador del dominio al cual deseamos agregar el controlador de dominio.
Remoción de Active Directory
Si ejecutáramos DCPROMO.EXE en un server que ya es controlador de dominio, nos ofrecerá como única opción desinstalar Active Directory de ese server, pidiéndonos por supuesto las credenciales apropiadas.
Estructura Física
Una de las novedades importantes de Windows 2000 en comparación con Windows NT 4.0 es que ahora el sistema es consciente que existe una infraestructura física de red. Todos los que hemos trabajado en ambiente Windows NT 4.0 en redes medianas o grandes con enlaces WAN en algún momento hemos sentido sus efectos. Cuando un cliente buscaba un servicio de red y había varios servers que lo proveían, consideraba que el mejor era el que respondía primero, sin importarle cuán lejos estaba.
En cambio a partir de Windows 2000 podemos configurar de acuerdo a la estructura física real de nuestra red, para que los clientes utilicen los servers que se encuentran más cerca. Por más cerca nos referimos a servers en la misma LAN y no en redes remotas.
Una de las herramientas administrativas provista al instalar Active Directory, permite crear Sitios, identificar las subredes que están en cada uno, definir los enlaces entre sitios y además podemos definir el protocolo de replicación a utilizar.
Primero debemos definir que es un Sitio, no sólo por que es importante para el diseño físico, sino porque Microsoft en diferentes productos usa distintas definiciones. Se ha comprometido a que toda su línea de productos utilizará la definición de Windows 2000.
Un Sitio es un conjunto de subredes “bien conectadas” ¿qué significa bien conectadas? conectividad permanente, confiable, barata y con suficiente ancho de banda. ¿Damos una definición más práctica? una o más LANs conectadas directamente.
Por eso cuando definimos un Sitio, el paso más importante es definir que subredes IP están en el Sitio. De esa forma cada cliente aprenderá dónde se encuentra y cuando busque servicios los buscará primero en el Sitio propio. El sistema crea un Sitio por omisión que originalmente contiene todas las subredes, y por lo tanto contendrá a todos los servers y clientes.
Luego deberemos definir los Enlaces que conectan los sitios. Estos deben incluir por lo menos dos sitios y deben reflejar nuestra topología de red. Por ejemplo si cada sucursal está conectada a la oficina central, deberemos definir un sitio para esta oficina central y uno para cada sucursal, a partir de lo cual crearemos los enlaces que unen cada sucursal con la central.
En estos Enlaces podremos definir: la frecuencia de replicación, días y horarios que se puede utilizar, y además un costo, que es un valor de preferencia. Si existieran varios caminos para replicar el sistema elegirá el de menor costo.
En cada enlace podremos definir el protocolo que se utilizará: RPC sobre IP, o SMTP. Este tema lo veremos en un tutorial más adelante, donde trataremos el esquema de replicación tanto dentro de un mismo sitio como entre sitios.
Lo importante a tener en cuenta es que al ser el sistema consciente de la estructura física, tratará de aprovecharla al máximo, sea cuando los clientes buscan los servicios de red, como para la replicación de la información entre los controladores de dominio.
Guillermo Delprato
MS-MVP - MCSE