módulo 9 y 10
TRANSCRIPT
-
7/22/2019 Mdulo 9 y 10
1/93
Mdulo 1
Implementacin de Active Directory Servicios de dominio
Active Directory Domain Services (AD DS) se instala como una funcin de servidor en Windows Server
2008 del sistema operativo. Tiene varias posibilidades para hacer al instalar AD DS y ejecutar el ActiveDirectory Domain Services Asistente para la instalacin. Usted debe elegir si desea crear un nuevodominio, o aadir un controlador de dominio para un dominio existente. Usted tambin tiene la opcin deinstalar AD DS en un servidor con Windows Server 2008 Server Core, o la instalacin de los controladoresde dominio de slo lectura. Despus de implementar los controladores de dominio, tambin debegestionar papeles especiales controlador de dominio, como el catlogo global y los maestros deoperaciones.
Leccin 1:
Instalacin de Servicios de Active Directory de dominio
Windows Server 2008 proporciona varias maneras de instalar y configurar AD DS. Esta leccin se describeel estndar de instalacin de AD DS, adems de describir algunas de las otras opciones que estndisponibles en el momento de realizar la instalacin.
Requisitos para la instalacin de AD DS
Para instalar AD DS, el servidor debe cumplir los siguientes requisitos:
Windows Server 2008 sistema operativo debe estar instalado. AD DS slo puede ser instalado enlos siguientes sistemas operativos Windows Server 2008:
o El Windows Server 2008 Standard sistema operativo
o El Windows Server 2008 Enterprise sistema operativo
o El Windows Server 2008 Datacenter sistema operativo
Nota: AD DS se puede instalar tanto en el de 64 bits y las ediciones 32-bit, y en la versin Server Core deWindows Server 2008. AD DS no se puede instalar en el Windows Server 2008 Web del sistema
-
7/22/2019 Mdulo 9 y 10
2/93
operativo.
A continuacin se enumeran las configuraciones de servidor requiere:
Configuracin del servidor Descripcin
El servidor debe estar configurado con una
configuracin de IP.
El servidor puede ser configurado como un Dynamic
Host Configuration Protocol (DHCP) si Domain NameSystem (DNS) no est instalado en el equipo, perose recomienda usar direcciones IP estticas.
El servidor debe estar configurado con un DomainName System (DNS) configuracin del cliente.
El ajuste se puede hacer referencia a otro servidorDNS o el servidor DNS local si se instala en l.Antes de agregar AD DS para crear un dominio obosque, asegrese de que su red tiene unainfraestructura DNS en su lugar. Debera tambinasegurarse de que el servidor DNS utilizado por loscontroladores de dominio de AD DS soporta elservicio (SRV) registros de recursos. registros SRVde recursos son los registros DNS que identifican losequipos que alojan servicios especficos en unequipo Windows Server 2008 de red. Al instalar ADDS, puede incluir la instalacin del servidor DNS sies necesario. Cuando se crea un nuevo dominio,una delegacin de DNS se crea automticamentedurante el proceso de instalacin.
Administrador de permisosPara instalar AD DS y ejecutar el Active Directory Domain Services Asistente para la instalacin,debe utilizar los permisos administrativos siguientes:
autorizacin administrativa Se utiliza para instalar
Administrador local El primer controlador de dominio en un bosque
Administrador de dominio controladores de dominio adicionales en un dominio
Enterprise Administrator Los dominios adicionales en un bosque
-
7/22/2019 Mdulo 9 y 10
3/93
Qu son los dominios y niveles funcionales del bosque?
En Windows Server 2008, los bosques y la funcionalidad de dominio proporciona una forma para que todoel bosque o en todo el dominio de Active Directory caractersticas en su entorno de red. Diferentes nivelesde bosque y la funcionalidad de dominio estn disponibles, en funcin de dominio y nivel funcional delbosque.
Windows Server 2008 es compatible con el dominio siguientes niveles funcionales:
Nota: En esta tabla se enumeran algunas de las caractersticas habilitadas en cada nivel funcional. Params detalles, vase el apndice de caractersticas funcionales que figuran en el nivel de lectura adicional.
Nivel funcional del
dominio caractersticas Activado
controlador de dominio de los
sistemas operativos compatibles
El Windows 2000 delsistema operativo
Los grupos universalesestn habilitados paragrupos de distribucin ygrupos de seguridadtanto
Grupo de anidacin
Windows 2000 Server
Windows Server 2003
Windows Server 2008
El Windows Server 2003del sistema operativo
Todas las funciones del dominiode Windows 2000 Server Nativenivel funcional, y las siguientescaractersticas:
Cambiar el nombre dedominio
Actualizacin del tiempode inicio de sesin sello
La capacidad de redirigira los usuarios y equiposde contenedores
Windows Server 2003
Windows Server 2008
-
7/22/2019 Mdulo 9 y 10
4/93
delegacin restringida
autenticacin selective
Windows Server 2008 Todas las caractersticas deWindows Server 2003 nivelfuncional de dominio, y lassiguientes caractersticas:
Sistema de archivosdistribuido de apoyo parala replicacin de volumendel sistema compartido(SYSVOL) la reproduccin
Servicios de cifradoavanzado (AES de 128 y256) soporte para elprotocolo Kerberos
ltima Inicio de sesininteractivo de informacin
de grano fino polticas decontraseas
Windows Server 2008
Windows Server 2008 es compatible con los niveles de bosque funcionales siguientes:
Nivel funcional del
bosque caractersticas Activado
los controladores de dominio
compatibles
Windows 2000 Todos los cdigos de ActiveDirectory caractersticas
Windows Server 2008
Windows Server 2003
Windows 2000 Server
Windows Server 2003 Forest Trust
Cambiar el nombre dedominio
Valor vinculadoreplicacin
La capacidad dedesplegar un controlador
de dominio de slolectura que se ejecutaWindows Server 2008
Mejora de replicacin deActive Directory para lasorganizaciones
Desactivacin y laredefinicin de losatributos y clases en el
Windows Server 2003
Windows Server 2008
-
7/22/2019 Mdulo 9 y 10
5/93
esquema con muchossitios
Windows Server 2008 Este nivel funcional ofrece todaslas caractersticas que estndisponibles en el WindowsServer 2003 nivel funcional delbosque, pero no hay
caractersticas adicionales. Todoslos dominios que se aadanulteriormente a la selva, sinembargo, funcionar conWindows Server 2008 nivelfuncional de dominio de formapredeterminada.
Windows Server 2008
Nota: Usted puede elevar el nivel funcional de dominio mediante el uso de Active Directory Usuarios yequipos o dominios de Active Directory y confianzas. Usted puede elevar el nivel funcional del bosquemediante el uso de dominios de Active Directory y confianzas. Una vez que aumentar el dominio o el nivel
funcional del bosque, no se puede revertir los cambios.
AD DS proceso de instalacin
Iniciar el asistente de instalacin de AD DSPara configurar un equipo con Windows Server 2008 controlador de dominio, debe instalar lafuncin de servidor de AD DS y ejecutar el Active Directory Domain Services Asistente para la
instalacin. Haga esto utilizando uno de los siguientes procesos:
Instale la funcin del servidor mediante el Administrador de servidores, a continuacin, ejecute elasistente de instalacin mediante la ejecucin de DCPromo o el asistente de instalacin de ServerManager.
Ejecutar DCPromo del comando Ejecutar ... o un smbolo del sistema. Esto instalar la funcin deservidor AD DS y luego iniciar el Asistente para la instalacin.
Elegir una configuracin de implementacinCuando se instala un controlador de dominio, puede optar por:
-
7/22/2019 Mdulo 9 y 10
6/93
Crear un nuevo dominio en un nuevo bosque - elija esta opcin si va a instalar el primercontrolador de dominio en un bosque.
Crear un nuevo dominio en un bosque existente - seleccione esta opcin si va a instalar un nuevodominio en un rbol de dominios ya existentes.
Crear un nuevo controlador de dominio en un dominio existente.
Cuando se crea un nuevo dominio en un bosque nuevo, se le pide que elija un bosque y nivel funcional dedominio. Cuando se crea un nuevo dominio en un bosque existente, y el bosque no est configurado en elWindows Server 2008 nivel funcional, se le pide que elija un nivel funcional de dominio.
Configuracin de las caractersticas adicionales de controlador de dominioPuede instalar las siguientes caractersticas adicionales controlador de dominio:
Caracterstica Cmo se instala
catlogo global Seleccionada por defecto y no puede serseleccionada para el primer controlador de dominioen un bosque, pero es opcional para loscontroladores de dominio adicional.
Dominio Nombre del servicio (DNS) Seleccionada por defecto si usted est instalando unnuevo bosque. Si va a instalar un nuevo dominio,tenga en cuenta que el servidor DNS casilla deverificacin tambin se selecciona si el asistentedetecta una infraestructura DNS en el dominioprincipal o, en el caso de un nuevo rbol dedominios, si detecta una infraestructura de DNS enla raz del bosque dominio. Si el asistente nodetecta una infraestructura de DNS, Servidor DNScasilla de verificacin est desactivada de formapredeterminada. La opcin puede ser desactivada si
no est utilizando el controlador de dominio comoun servidor DNS.
de dominio de slo lectura del controlador Si el nivel funcional del bosque no es WindowsServer 2003 o superior, o si un equipo con WindowsServer 2008 controlador de dominio de escritura noest disponible, esta opcin no est disponiblecuando se instala el primer controlador de dominioen un dominio.
Configuracin de la ubicacin del archivo
Puede seleccionar las ubicaciones de carpeta para el archivo de base de datos, los archivos de
registro de servicio de directorio y los archivos SYSVOL. Los archivos SYSVOL debe seralmacenada en un volumen formateado con sistemas de archivos NTFS. Como prcticarecomendada, almacenar estos archivos en volmenes separados que no contenganaplicaciones u otros archivos no-directorio.
Configuracin del servicio de directorio Restaurar contrasea del modo de
Los servicios de restauracin de contrasea se requiere el modo cuando reinicia un controladorde dominio en modo de restauracin de servicios de directorio. Usted debe configurar unacontrasea compleja y gurdelo en un lugar seguro. Puede cambiar la contrasea despus de lainstalacin mediante la herramienta NTDSUTIL
-
7/22/2019 Mdulo 9 y 10
7/93
Opciones avanzadas para la instalacin de AD DS
Algunos de los Servicios de dominio de Active Directory Asistente para la instalacin, pginas sloaparecen si selecciona la Utilice instalacin en modo avanzado casilla de verificacin en eBienvenida pgina del asistente, o ejecutando DCPromo con el interruptor adv /. Si no ejecuta elAsistente para la instalacin en el modo avanzado, el asistente utilizar las opciones por defecto que seaplican a la mayora de configuraciones.
Utilice las opciones de modo avanzado de instalacin cuando se debe realizar las siguientes opcionesdurante la instalacin:
Instalar un nuevo dominio con un espacio de nombres no contiguos en un bosque. Utilice una copia de seguridad de la base de datos de AD DS como la fuente de la informacin de
AD DS en un controlador de dominio nuevo. Con la instalacin de los medios de comunicacin, sepuede minimizar la replicacin de todos los datos del directorio en la red.
Utilice un controlador de dominio especfico existente como la fuente de replicacin para el nuevocontrolador de dominio durante la instalacin.
Modificar el dominio por defecto bsico de la red de entrada / salida (NetBIOS). De formapredeterminada, el nombre NetBIOS para el dominio es de los primeros 15 caracteres de laprimera parte del nombre de dominio DNS.
Definir una poltica de contraseas, la replicacin de un controlador de dominio de slo lectura(RODC). De forma predeterminada, el RODC no cach de las contraseas. Puede modificar estedurante la instalacin eligiendo una instalacin avanzada, o modificarlo despus de la instalacin.
-
7/22/2019 Mdulo 9 y 10
8/93
Instalacin de AD DS desde los medios de comunicacin
Antes de poder utilizar los medios de copia de seguridad como la fuente para la instalacin de uncontrolador de dominio, uso Ntdsutil.exe para crear el disco de instalacin.
Ntdsutil.exe puede crear cuatro medios diferentes tipos de instalacin, como se describe en la siguientetabla:
medios de instalacin tipo Comando
Descripcin de los
parmetros
Completo (o escritura)controlador de dominio
Crear completa nombredelacarpeta Crea medios de instalacin de uncontrolador de dominio grabable oun Active Directory LightweightDirectory Services (AD LDS) deinstancia.
Completo (o escritura)controlador de dominio con losdatos SYSVOL
Crear Sysvol nombredelacarpeta Crea medios de instalacin conSYSVOL de un controlador dedominio grabable o una instanciade AD LDS.
de dominio de slo lectura delcontrolador con los datos SYSVOL
Crear Sysvol RODCnombredelacarpeta
Crea medios de instalacin conSYSVOL de un RODC.
de dominio de slo lectura delcontrolador
Crear RODC nombredelacarpeta Crea medios de instalacin de unRODC.
Cuando se ejecuta el ifm ntdsutil comando en un controlador de dominio grabable o en un RODC paracrear medios de instalacin de un RODC, ntdsutil quita ningn secreto en cach, como contraseas,soporte de instalacin de RODC. Para generar medios de instalacin de un completo (o escritura)controlador de dominio, debe utilizar otro controlador de dominio de escritura como fuente.
Pasos para la creacin de medios de instalacin
Para crear medios de instalacin, inicie sesin en un controlador de dominio utilizando unacuenta que tiene permiso para hacer una copia de seguridad. Luego, completa los siguientespasos:
-
7/22/2019 Mdulo 9 y 10
9/93
1. Inicie un smbolo del sistema elevado.2. Tipo ntdsutilY, a continuacin, presione ENTRAR.
3. En el indicador ntdsutil, escriba activar ntds ejemploY, a continuacin, presione ENTRAR.
4. En el indicador ntdsutil, escriba ifmY, a continuacin, presione ENTRAR.
5. En la ifm: del sistema, escriba el comando para el tipo de medio de instalacin que desea crear y, acontinuacin, presione ENTRAR. Por ejemplo, para crear medios de comunicacin RODC instalacinque no incluye datos SYSVOL, escriba Crear RODC C: \ InstallationMedia, Y pulse ENTERPuede guardar el medio de instalacin a una carpeta compartida de red o cualquier otro tipo demedios extrables.
Al crear controladores de dominio adicionales en el dominio, puede hacer referencia a la carpetacompartida o un medio extrable donde se almacenan los medios de instalacin en el Instalar desde losmedios de comunicacin pgina en el dominio de Active Directory Asistente para instalacin deservicios, o mediante el/ ReplicationSourcePath parmetros durante una instalacin desatendida.
Para comprobar que se instala AD DS, completa la siguiente lista:
En el Administrador de servidores, haga clic en Funciones y compruebe que la funcin del servidor de AD
DS est instalado. Ver los servicios del sistema y verificar que todos los servicios necesarios se estnejecutando.
En Active Directory Usuarios y equipos, compruebe que el controlador de dominio se muestra en econtenedor Controladores de dominio. En sitios de Active Directory y servicios, compruebe que elcontrolador de dominio se muestra en el sitio adecuado.
En el Visor de sucesos, compruebe que no existen eventos que indica que la instalacin de AD DS falladoo cualquier error de replicacin de AD DS.
Abra el Explorador de Windows y vaya a C: \ Windows \ NTDS. Compruebe que el Ntds.dit y otrosarchivos se encuentra en la carpeta.
Si el controlador de dominio no es el primer controlador de dominio que se instalen en el dominio,repadmin utilizar para comprobar que todas las particiones se han replicado al controlador de dominionuevo.
-
7/22/2019 Mdulo 9 y 10
10/93
La actualizacin a Windows Server 2008 AD DS
Para instalar un nuevo Windows Server 2008 controlador de dominio en un equipo existente con Windows2000 Server o Windows Server 2003, siga estos pasos:
Si el controlador de dominio es el primero de Windows Server 2008 controlador de dominio delbosque, debe preparar el bosque para Windows Server 2008 mediante la ampliacin del esquemaen el maestro de operaciones de esquema. Para extender el esquema, ejecute adprep /forestprep. La herramienta adprep se encuentra en el servidor Windows 2008 de medios deinstalacin.
Si el controlador de dominio es el primero de Windows Server 2008 controlador de dominio en undominio de Windows 2000 Server, primero debe preparar el dominio mediante la ejecucin adprep/ domainprep / gpprep en el maestro de infraestructura. El interruptor gpprep aade la entradade control de acceso heredables (ACE) para los objetos de directiva de grupo (GPO) que seencuentran en la carpeta compartida SYSVOL y sincroniza la carpeta compartida SYSVOL entre loscontroladores en el dominio.
Si el controlador de dominio es el primero de Windows Server 2008 controlador de dominio en undominio Windows Server 2003, debe preparar el dominio mediante la ejecucin adprep /domainprep en el maestro de infraestructura.
Despus de instalar un controlador de dominio de escritura, puede instalar un RODC en el bosquede Windows Server 2003. Antes de hacer esto, debe preparar el bosque mediante la ejecucinadprep / rodcprep. Puede ejecutar adprep / rodcprep en cualquier equipo en el bosque. Si eRODC ser un servidor de catlogo global, debe ejecutar adprep / domainprep en todos losdominios del bosque, independientemente de si el dominio se ejecuta en Windows Server 2008controlador de dominio. Mediante la ejecucin de adprep / domainprep en todos los mbitos, eRODC puede replicar los datos de catlogo global de todos los dominios en el bosque y, acontinuacin se anuncian como un servidor de catlogo global.
Nota: La primera de Windows Server 2008 controlador de dominio creado en un equipo existente conWindows 2000 Server o Windows Server 2003 de dominio no puede ser creada como un RODC.
Instalacin de AD DS en un equipo Server Core
Para instalar AD DS en un equipo Windows Server 2008 Server Core equipo que ejecuta, debeutilizar una instalacin desatendida. Windows Server 2008 Server Core no proporciona unainterfaz grfica de usuario (GUI) para que no se puede ejecutar el Active Directory DomainServices Asistente para la instalacin.
-
7/22/2019 Mdulo 9 y 10
11/93
Para llevar a cabo una vigilancia AD DS instalar, utilizar un archivo de respuesta y la sintaxis siguiente conel comando Dcpromo:
Dcpromo / [respuesta:nombre de archivo], Donde nombre de archivo es el nombre del archivo derespuesta.
AD DS archivos de respuesta de instalacin
El archivo de respuesta es un archivo de texto plano con un cabezazo [DCInstall]. El archivo derespuesta define los parmetros de instalacin que usted elija o entrar en el dominio de ActiveDirectory Asistente para la instalacin de los Servicios.
El archivo de respuesta utiliza el formato expuesto en la siguiente lista. Puede utilizar este archivo derespuesta para instalar el controlador de dominio por primera vez en Europa, Oriente Medio y frica(EMEA). WoodgroveBank.com de dominio. Si un valor no se configura en el archivo de respuestaentonces el valor predeterminado para ese valor se utiliza. El formato del archivo de respuesta es lasiguiente:
[] DCInstall
InstallDNS = S
ConfirmGc = n
RebootOnCompletion = S
NewDomain = Nio
NewDomainDNSName = EMEA.WoodgroveBank.com
ParentDomainDNSName = WoodgroveBank.com
Nombre del nio = EMEA
DomainLevel = 2
SafeModeAdminPassword = Pa $ $ w0rd
SiteName = EMEA
UserDomain = WoodgroveBank.com
NombreUsuario = WoodgroveBank \ Administrador
Contrasea =*
Consejo: Puede simplificar el proceso de creacin del archivo de respuesta que requiere una instalacindesatendida, mediante la seleccin Exportar la configuracin en el Resumen Pgina del dominio deActive Directory Asistente para la instalacin de los Servicios. Al seleccionar esta opcin, las opciones deinstalacin que ha hecho en el asistente se guardan en un archivo de respuesta, que luego podr usar omodificar.
-
7/22/2019 Mdulo 9 y 10
12/93
Leccin 2:
Implementacin de dominio de slo lectura de controladoresUna de las novedades importantes de Windows Server 2008 es la opcin de utilizar loscontroladores de dominio lea-solamente (RODCs). RODCs proporcionan toda la funcionalidad quelos clientes requieren la vez que proporciona seguridad adicional para los controladores dedominio desplegadas en sucursales. Cuando RODCs configuracin, puede especificar que lascontraseas de cuentas de usuario se almacenan en cach en el servidor, y configurar delegadopermisos administrativos para el controlador de dominio. Esta leccin se describe cmo instalary configurar RODCs.
Qu es un controlador de dominio de slo lectura?
Un RODC es un nuevo tipo de controlador de dominio que Windows Server 2008 admite. Un RODC alojalas particiones de slo lectura de la base de datos de AD DS. Esto significa que no siempre los cambios sepueden hacer a la copia de base de datos almacenados por RODC, y todos los replicacin de AD DS utilizauna conexin unidireccional de un controlador de dominio que tiene una copia de base de datos puedeescribir a la RODC.
Escenarios de implementacin
RODCs estn diseados principalmente para los despliegues de la sucursal en la que nopodemos garantizar la seguridad fsica del RODC. Al implementar un RODC en una sucursal,puede proporcionar a los usuarios con un controlador de dominio local para asegurarse de quepuede iniciar la sesin y tienen polticas de grupo aplicadas incluso si la red de rea extensa(WAN) a la oficina principal no est disponible. Un controlador de dominio local tambin puedeasegurar un rpido inicio de sesin en comparacin con la tala a travs de una conexin de redlenta.
Tambin puede implementar RODCs en un escenario donde un controlador de dominio tiene otrosrequisitos administrativos especiales. Por ejemplo, una lnea de negocio (LOB) la aplicacin se puedeejecutar con xito slo si se instala en un controlador de dominio. O bien, el controlador de dominio puedeser el nico servidor de la sucursal y puede que alojar aplicaciones de servidor. En este escenario, los
-
7/22/2019 Mdulo 9 y 10
13/93
usuarios que no sean los administradores de dominio posible que tenga que iniciar sesin en el equipo conregularidad. Al implementar un RODC, puede proporcionar a los usuarios con permiso para iniciar sesin yadministrar el controlador de dominio, sin concederles los permisos administrativos en el dominio.
RODC limitaciones
Para ayudar a reducir los riesgos de seguridad y la administracin que requieren RODCs, algunasopciones de controlador de dominio que estn disponibles para los controladores de dominio deescritura no estn disponibles en un RODC. Un RODC no puede actuar como:
Un maestro de operaciones de papel titular. Operaciones de los titulares de la funcin de maestrodebe ser capaz de escribir algo de informacin para la base de datos de Active Directory. Debido ala naturaleza de slo lectura de Active el RODC la base de datos del repertorio, no puede actuarcomo titular de la funcin de maestro de operaciones.
Un servidor cabeza de puente. servidores cabeza de puente en concreto replicar los cambios deotros sitios. Porque RODCs realizar slo replicacin entrante, no puede actuar como un servidorcabeza de puente para un sitio.
De slo lectura controlador de dominio Caractersticas
RODCs proporcionar las siguientes caractersticas:
Caracterstica Descripcin
replicacin unidireccional Debido a los cambios de AD DS no se puede escribir directamente alRODC, sin cambios de replicacin se originan en el RODC. Esto significaque cualquier cambio o la corrupcin que un usuario malintencionadopodra hacer en las sucursales no pueden replicar en el RODC al bosque.
Esto tambin reduce la carga de trabajo de los servidores cabeza depuente en el centro, y el esfuerzo necesario para controlar la replicacin.replicacin unidireccional RODC se aplica tanto a AD DS y la replicacinDFS.
Credencial de almacenamientoen cach
el almacenamiento en cach de credenciales es el almacenamiento decontraseas de usuario o equipo. De forma predeterminada, un usuariono RODC no almacenar o credenciales de equipo. Las excepciones son elRODC cuenta de la computadora y una cuenta krbtgt especiales que cadaRODC tiene. De forma explcita debe permitir que ninguna otracredencial almacenamiento en cach en un RODC.
-
7/22/2019 Mdulo 9 y 10
14/93
Para cada RODC, puede definir una poltica de contraseas-replicacin.La directiva de contraseas de replicacin determina si las credencialesde un usuario o las credenciales de un equipo se pueden replicar en elcontrolador de dominio de escritura para el RODC. Si la contrasea dereplicacin de la poltica lo permite, el controlador de dominio grabablereplica las credenciales al RODC, y la cach RODC ellos. Si habilita elalmacenamiento en cach de credenciales, la contrasea del usuario sealmacena en cach despus de la de inicio de sesin xito de la primera.
funcin de administrador deseparacin Usted puede delegar permisos administrativos locales para un RODC a
cualquier usuario de dominio, sin conceder a ese usuario todos losderechos de usuario para el dominio u otros controladores de dominio.Esto permite que un usuario sucursal local para iniciar sesin en unRODC y realizar trabajos de mantenimiento en el servidor, tales como laactualizacin de un controlador. Sin embargo, el usuario sarmiento nopuede iniciar sesin en cualquier otro controlador de dominio o realizarcualquier otra tarea administrativa en el dominio.
DNS de slo lectura Puede instalar el servicio de servidor DNS en un RODC. Un RODC escapaz de replicar todas las particiones de directorio de aplicaciones DNS
que utiliza, incluyendo ForestDNSZones y DomainDNSZones. Si elservidor DNS est instalado en un RODC, los clientes pueden realizarconsultas sobre la resolucin de nombres slo les gusta consultarcualquier otro servidor DNS.
RODC filtrada conjunto deatributos
Algunas aplicaciones que usan AD DS como un almacn de datos podratener datos como credencial-(tales como contraseas, credenciales o lasclaves de cifrado) que no desea almacenar en un RODC en caso de quese vea comprometida. Para estas aplicaciones, puede configurar unconjunto de atributos en el esquema para los objetos de dominio que nose replicarn en un RODC. Este conjunto de atributos que se llama elRODC filtrada conjunto de atributos. Los atributos que defina en el RODC
filtrada conjunto de atributos no pueden replicar a cualquier RODCs en elbosque. No puede agregar atributos crticos del sistema a la RODCfiltrada conjunto de atributos. Un atributo es el sistema de crticos si esnecesario lo siguiente para que funcione correctamente: AD DS,Autoridad de seguridad local (LSA), cuentas de seguridad (SAM) yespecficas de Microsoft Security Service Provider Interfaces (SSPIs),como Kerberos.
-
7/22/2019 Mdulo 9 y 10
15/93
Preparacin para la instalacin del RODC
Antes de poder instalar un RODC, debe preparar el entorno de AD DS completando los pasos siguientes:
Paso Descripcin
Configurar el dominio y el nivelfuncional del bosque
nivel funcional del bosque debe ser Windows Server 2003, porlo que una valor de replicacin est disponible. El nivelfuncional de dominio debe ser Windows Server 2003, por lo queKerberos limitados delegacin est disponible. Delegacinlimitada permite realizar llamadas de seguridad que deben sersuplantado en el contexto de la persona que llama.
Plan de disponibilidad de WindowsServer 2008 controlador de dominio
Cada RODC requiere un controlador de dominio grabable queejecute Windows Server 2008 para el mismo dominio del que elRODC puede replicar directamente. RODCs puede replicarcambios en el esquema, la configuracin y las particiones de
aplicacin de un controlador de dominio de Windows Server2003, pero slo se puede replicar los cambios a la particin dedominio de un controlador de dominio de Windows Server2008. Esto significa que un controlador de dominio grabableque ejecute Windows Server 2008 deben ser colocados en elsitio ms cercano de la topologa.
Nota: RODCs estn diseados para ser colocados en sitiosque no tienen los controladores de dominio presentes. Sinembargo, puede instalar un RODC en un sitio que tieneotros controladores de dominio del mismo dominio odominios diferentes.
Preparar el bosque y el dominio Si est actualizando un equipo Windows Server 2003 o bosquede Windows 2000 Server, debe copiar el contenido de lacarpeta \ carpeta de fuentes de adprep \ en el servidorWindows 2008 DVD de instalacin para el maestro de esquema.A continuacin, ejecute el adprep / rodcprep de comandosantes de instalar la primera RODC. Este paso es necesario parapermitir RODC para replicar particiones DNS. No es necesario siest creando un nuevo bosque con controladores de dominioslo que ejecutan Windows Server 2008.
-
7/22/2019 Mdulo 9 y 10
16/93
Si el RODC ser un servidor de catlogo global, tambin debeejecutar adprep / domainprep en todos los dominios delbosque, independientemente de si el dominio se ejecuta enWindows Server 2008 controlador de dominio. Cuando seejecuta adprep / domainprep en todos los mbitos, el RODCpuede replicar los datos de catlogo global de todos losdominios en el bosque y, a continuacin se anuncian como unservidor de catlogo global.
Instalacin del RODC
La instalacin RODC es casi idntica a la instalacin de Active Directory en un controlador de dominio con
una copia de escritura de la base de datos. Al instalar el RODC, debe completar los siguientes pasos:
Instalacin paso Configuracin de la informacin
Elija la opcin de instalar un controlador dedominio adicional en un dominio existente.
Un RODC no puede ser un controlador de dominiode primer dominio.
Seleccione la opcin de instalar un RODC en elOpciones adicionales de controlador de
dominio Pgina del dominio de Active DirectoryAsistente para la instalacin de los Servicios.
En la misma pgina, tambin puede optar porinstalar DNS en el RODC y configurar el RODC comoun servidor de catlogo global.
Usar la instalacin en modo avanzado si deseaconfigurar la contrasea o configurar Directiva dereplicacin delegado permisos de administradorlocal durante la instalacin RODC.
Tambin puede configurar estas opciones despusde la instalacin del servidor.
Realizar una instalacin desatendida RODC
Uno de los escenarios de implementacin recomendada es instalar un RODC en un equipoWindows Server 2008 Server Core. Para realizar una instalacin desatendida RODC, incluyen lassiguientes lneas en el archivo de respuesta:
[] DCInstall
-
7/22/2019 Mdulo 9 y 10
17/93
OnDemandAllowed =groupnames. Esta configuracin de las listas el nombre del grupo olos nombres cuyas contraseas de los miembros se les permitir almacenar en cach enel RODC. Esta configuracin es opcional.
OnDemandDenied =groupnames. Esta configuracin de las listas el nombre del grupo olos nombres cuyas contraseas de los socios no se les permitir almacenar en cachen el RODC. Esta configuracin es opcional.
ReplicaDomainDNSName =de nombres de dominio. Este ajuste es necesario porque va a
instalar un controlador de dominio adicional en el dominio.
ReplicaOrNewDomain = ReadOnlyReplica. Este ajuste identifica esta instalacin como
una instalacin RODC.
ReplicationSourceDC =nombreDeServidor. Este valor indica el nombre de un controladorde dominio Windows Server 2008 en el mismo dominio. Esta configuracin es opcional.
Nota: Puede que tenga que incluir otras opciones en el archivo de respuesta en funcin de laimplementacin. Estos valores son los valores especficos RODC solamente.
La delegacin de la instalacin de RODC
Usted puede delegar la instalacin de un RODC mediante la realizacin de una instalacin en dos
fases:
Etapa Descripcin
Etapa 1: Creacinde la cuentaRODC
Para crear la cuenta RODC, haga clic en el Controladores de dominio unidadorganizativa en Active Directory Usuarios y equipos, y haga clic en Pre-creacindel dominio de slo lectura en cuenta Contralor. El Active Directory DomainServices Asistente para la instalacin comenzar, y registrar todas las opciones deinstalacin, incluyendo el nombre de cuenta de dominio de slo lectura delcontrolador y el sitio en el que se colocarn. Un miembro del grupo Administradoresde dominio debe llevar a cabo esta etapa.
Al crear la cuenta RODC, tambin puede especificar qu usuarios o grupos puedencompletar la siguiente etapa. Al hacer esto, puede delegar la instalacin a losusuarios que no son miembros del grupo Administradores de dominio. Si no seespecifica un delegado para completar la instalacin, slo un miembro del grupo
-
7/22/2019 Mdulo 9 y 10
18/93
Administradores de dominio o el grupo Administradores de empresa puede completarla instalacin.
Nota: Cuando delega el derecho de instalar el RODC a un usuario o grupo, eseusuario o grupo tendr permisos de administrador local en el RODC despus dela instalacin.
Etapa 2:Instalacin de ADDS en el servidorRODC
Para instalar AD DS en el servidor, asegrese de que el nombre de cuenta del equipocoincide con el nombre de cuenta de equipo en escena, y que la cuenta de equipo nose ha aadido a AD DS. A continuacin, iniciar el Active Directory Domain ServicesAsistente para la instalacin escribiendo dcpromo / UseExistingAccount:Conecte.
Como parte de la instalacin, el asistente detecta automticamente si el nombre delservidor coincide con el nombre de cualquier cuenta RODC que ya se han creado parael dominio. Cuando el asistente encuentre un nombre de cuenta que coincide, le pideal usuario para utilizar esa cuenta para completar la instalacin RODC.
El asistente instala AD DS en el servidor que se convertir en el RODC, y luegoasigna el servidor a la cuenta de dominio que fue creado para l con anterioridad.Durante esta etapa, todos los datos de Active Directory que reside a nivel local, comola base de datos y archivos de registro, se crea en el propio RODC.
Nota: Puede replicar la fuente de archivos de instalacin en el RODC de otrocontrolador de dominio a travs de la red, o puede utilizar la instalacin demedios de comunicacin (IFM) caracterstica.
Nota: Cuando delega permiso para instalar el RODC a un usuario o grupo, que cuenta tambin concedederechos de administrador para el RODC despus de la instalacin. Tambin puede delegar permisos de
administrador local a los usuarios o los grupos despus del RODC se instala mediante el dsmgmt.exe decomandos.
Cules son las polticas de replicacin de contrasea?
-
7/22/2019 Mdulo 9 y 10
19/93
Al implementar un RODC, puede configurar una contrasea para la Directiva de replicacin RODC. Lacontrasea Directiva de replicacin acta como una lista de control de acceso (ACL) que determina si unRODC se permite almacenar en cach una contrasea.
La contrasea Directiva de replicacin listas de las cuentas que estn explcitamente que permitealmacenar en cach, y los que no lo son. Las contraseas de cualquier cuenta en realidad no sonalmacenados en cach en el RODC hasta despus de la primera vez que se autentica el usuario o cuentade equipo a travs del RODC.
Nota: Usted debe incluir el usuario apropiado, el ordenador y las cuentas de servicio en la Poltica dereplicacin de contrasea para permitir el RODC para satisfacer solicitudes de autenticacin y servicio deentradas a nivel local. Si usted no incluye cuentas de equipo y servicio en la directiva, los usuarios nopuedan iniciar sesin en equipos y servicios de dominio puede fallar si un controlador de dominio deescritura no est disponible.
Elegir un modelo administrativo para la replicacin contrasea RODC
Al aplicar la Directiva de replicacin de una contrasea, debe equilibrar la comodidad del usuariocon problemas de seguridad. De forma predeterminada, no hay contraseas en cach en elRODC. Si usted no cambia el valor predeterminado, los usuarios no podrn iniciar sesin en elRODC si una conexin al servidor de Windows 2008 controlador de dominio puede escribir noest disponible. Si habilita el cach de contraseas para todas las cuentas, el impacto de unaumento de RODC violacin de seguridad.
Nota: Si la seguridad de un RODC se ve comprometida, debe quitar la cuenta de equipo RODC de AD DSy restablecer las contraseas de todas las cuentas de usuario que se almacenan en cach en el servidor.Cuando se elimina la cuenta RODC, se le da la oportunidad de exportar una lista de todas las cuentas enel RODC con credenciales almacenadas en cach.
Implementar una poltica de replicacin de contrasea
Al aplicar una directiva de replicacin de contrasea, usted tiene tres opciones:
Acepte la configuracin predeterminada para que no se almacenan en cach las credenciales en elservidor.
Explcitamente permitir o denegar el usuario o el ordenador credenciales para el cache en elservidor. Para ello, acceda a las propiedades de la cuenta RODC equipo en Active DirectoryUsuarios y equipos, y aadir usuarios, grupos o cuentas de equipo a la lista apropiada.
Configurar los grupos de replicacin RODC para configurar el almacenamiento en cach decredenciales. AD DS tiene dos grupos diseado para administrar el almacenamiento en cach decredenciales para RODC:
o Los animales domsticos RODC Contrasea replicacin Grupo incluye todas las cuentascuyas credenciales se pueden almacenar en cach en todos los RODCs en el dominio. Alagregar un usuario o grupo a esta lista, sus credenciales se almacenan en cach en todoslos RODCs. De forma predeterminada, este grupo no tiene ningn miembro.
o El RODC denegado Contrasea replicacin Grupo incluye todas las cuentas cuyascredenciales se les niega explcitamente el cache en todos los RODCs en el dominio. Deforma predeterminada, este grupo contiene todas las cuentas de administrador y todas lascuentas de controlador de dominio.
-
7/22/2019 Mdulo 9 y 10
20/93
Leccin 3:
Configuracin de AD DS funciones del controlador de dominioTodos controladores de dominio en un dominio son esencialmente iguales, lo que significa quetodos contienen los mismos datos y ofrecer los mismos servicios. Sin embargo, tambin puedeasignar funciones especiales a los controladores de dominio para ofrecer servicios adicionales, ola direccin de escenarios en los que slo un controlador de dominio debe garantizar los
servicios en cualquier momento dado. Esta leccin se describe cmo configurar y administrarservidores de catlogo global y los maestros de operaciones.
Qu son los servidores de catlogo global?
El catlogo global es un parcial, rplica de solo lectura de todas las particiones de directorio de dominio enun bosque. El catlogo global es una rplica parcial porque incluye slo un conjunto limitado de atributospara cada uno de los objetos del bosque. Al incluir slo los atributos que se buscan ms, la base de datosde un servidor de catlogo global solo puede representar a todos los objetos en cada dominio del bosque.
El servidor de catlogo global es un controlador de dominio que tambin alberga el catlogo global. AD DSconfigura el primer controlador de dominio de forma automtica en el bosque como un servidor decatlogo global. Usted puede agregar la funcionalidad de catlogo global a otros controladores de dominio,o cambiar la ubicacin predeterminada del catlogo global a otro controlador de dominio.
Por qu los servidores de catlogo global se requierenUn servidor de catlogo global realiza las siguientes funciones clave:
Funcin Descripcin
servidores de catlogo global se utilizan cuando losinicios de sesin de procesamiento del usuario.
Cada vez que un usuario inicia sesin en undominio, un servidor de catlogo global se pone encontacto. Esto se debe a los controladores decatlogo no global de dominio no contienen ningunainformacin acerca de la pertenencia al grupouniversal. Dado que la pertenencia al grupo
-
7/22/2019 Mdulo 9 y 10
21/93
universal es inmenso bosque, slo el catlogo globalpuede resolver la pertenencia al grupo. Paragenerar un token de seguridad precisas para elusuario la bsqueda de la autenticacin, el catlogoglobal deben ser contactadas para determinar lapertenencia del usuario grupo universal.
servidores de catlogo global tambin se requierenpara procesar los inicios de sesin de usuariocuando los usuarios utilizan un nombre universalprincipal (UPN) para iniciar sesin. UPN permiten alos usuarios iniciar sesin en los equipos decualquier dominio en un bosque mediante el uso deun nombre de usuario consistente.
El formato UPN es nombre de usuario @ dominio,Pero el nombre de dominio no tiene por qu ser eldominio que contiene la cuenta de usuario. Con elfin de identificar el dominio del usuario, la UPN debeser resuelto en el catlogo global.
servidores de catlogo global tambin se utilizanpara localizar la informacin del directorio,independientemente del dominio en el bosquecontiene realmente los datos.
Sin un catlogo global, las solicitudes de bsquedarecibidas por un controlador de dominio de unobjeto en un dominio diferente que requierereferencia a un controlador de dominio en eldominio objeto. Esta bsqueda slo ser posible sila consulta de bsqueda incluy el dominio donde seencuentra el objeto. Debido a que el catlogo globalcontiene una lista completa de todos los objetos enel bosque, el servidor de catlogo global puederesponder a cualquier consulta que utiliza unatributo que se ha replicado en el catlogo global,sin necesidad de referirse a otro controlador dedominio.
Importante: Los equipos cliente deben tener acceso a un servidor de catlogo global para iniciarsesin. Por lo tanto, en la mayora de los casos, debe tener al menos un servidor de catlogo global encada sitio. Tener al menos un servidor de catlogo global en cada sitio le permite tomar ventaja de los
beneficios de reducir al mnimo el trfico de red. Windows Server 2008 proporciona una funcinllamada cach de pertenencia al grupo universal que permite a un servidor de catlogo no global paraalmacenar en cach la pertenencia al grupo universal. Curso 6425A: Mdulo 4 se ofrece msinformacin sobre esta caracterstica.
-
7/22/2019 Mdulo 9 y 10
22/93
Modificacin del catlogo global
A veces es posible que desee personalizar el servidor de catlogo global para incluir atributos adicionales.De forma predeterminada, para cada objeto en el bosque, el servidor de catlogo global contiene losatributos ms comunes de un objeto. Las aplicaciones y los usuarios pueden consultar estos atributos. Porejemplo, usted puede encontrar un usuario por su nombre, apellido, direccin de correo electrnico, uotras propiedades comunes.
Consideraciones para la modificacin del catlogo globalPara decidir si desea aadir un atributo a un servidor de catlogo global, utilice estasconsideraciones:
Agregue slo los atributos que los usuarios o las aplicaciones en su organizacin con frecuencia deconsulta, o al que se refieren. Determinar la frecuencia con que un atributo se actualiza durante la replicacin. AD DS replica
todos los atributos que almacena el catlogo global para cada servidor de catlogo global en elbosque. Cuanto ms pequeo es el atributo, menor ser el impacto en la replicacin. Si el atributoes grande, pero rara vez cambia, tiene un impacto menor que la replicacin de un atributo que loscambios pequeos a menudo.
Adicin de atributos al catlogo global
El esquema determina si un atributo se replica en el catlogo global. El esquema identifica losatributos que se incluyen en el catlogo global como el conjunto de atributos parciales (PAS). ElisMemberOfPartialAttributeSetatributo identifica el PAS. Si este atributo se establece en true, el
atributo se incluir en el catlogo global.
Los administradores pueden agregar atributos al catlogo global utilizando el esquema de Active Directorycomplemento. Para aadir un atributo a la de catlogo global, el acceso a las propiedades de atributo enEsquema de Active Directory y seleccione la Replicar este atributo en el catlogo global opcin. Estoestablecer el valor de la isMemberOfPartialAttributeSetparmetro en el atributo verdadero.
Nota: La razn ms comn para la modificacin de los atributos que se replican en el catlogo global, esque si una aplicacin requiere la modificacin. Por ejemplo, si instala la funcionalidad de Exchange Server2007, muchos atributos adicionales se replican en el catlogo global para apoyar el correo electrnico,
-
7/22/2019 Mdulo 9 y 10
23/93
como la lista global de direcciones.
Cules son las funciones de maestro de operaciones?
Active Directory est diseado como un sistema de replicacin con varios maestros. Sin embargo, para lasoperaciones de cierto directorio, slo un servidor autorizado nico, es necesaria. Los controladores dedominio que realizan funciones especficas que se conoce como maestros de operaciones. Loscontroladores de dominio que desempean funciones de maestro de operaciones se han designado pararealizar tareas especficas para asegurar la consistencia y eliminar el potencial de conflicto en las entradasde la base de datos de Active Directory.
Operacin de las funciones de maestro
Las cinco funciones de maestro de operaciones de Active Directory son:
Papel Descripcin
Plan Maestro de El maestro de esquema es el nico controlador de dominio que tiene permisosde escritura al esquema del directorio. Para hacer cualquier cambio en elesquema de directorio, el administrador (que debe ser un miembro del grupo deseguridad Administradores de esquema,) debe estar conectado al maestro deesquema. Despus se realiza un cambio, las actualizaciones de esquema sereplican en todos los otros controladores de dominio en el bosque.
Maestro de nombres de
dominio
Los nombres de dominio principal controla la adicin o eliminacin de dominios y
las particiones de directorio en el bosque. El maestro de nombres de dominioimpide que varios dominios con el mismo nombre de dominio se unan al bosque.Cuando se utiliza el Active Directory Domain Services Installation Wizard paracrear o eliminar un dominio en un bosque existente, entra en contacto con elmaestro de nombres de dominio y pide a la adicin o supresin. Si el dominiomaestro de nombres no est disponible, no se puede agregar o quitar dominios.
Maestro RID Los identificadores relativos (RID), que administra el principal grupo de RIDpara crear los nuevos directores de seguridad tales como usuarios, grupos yequipos. Cada entidad de seguridad que se expida un RID, que es nico paracada entidad de seguridad, y un identificador de seguridad nico (SID) que
-
7/22/2019 Mdulo 9 y 10
24/93
incluye un identificador de dominio que es el mismo para todos los SID en eldominio. Debido a que los principales de seguridad se pueden crear en cualquiercontrolador de dominio con una copia del directorio de escritura, el maestro deRID se utiliza para asegurar que dos controladores de dominio no emita elmismo RID. El RID cuestiones dominar un bloque de identificadores relativos(RID), llamado el grupo de RID, en cada controlador de dominio en el dominio.
Emulador de PDC El controlador de dominio primario (PDC) emulador mantiene actualizaciones decontrasea. Todos los cambios de contrasea realizados en otros controladoresde dominio en el dominio se envan al emulador PDC utilizando la replicacinurgente. Si una falla de autenticacin de usuario en un controlador de dominioque no sea el emulador de PDC, se vuelve a intentar la autenticacin en elemulador PDC. El emulador PDC tambin sincroniza la hora en todos loscontroladores de dominio para su tiempo. Los equipos cliente en un dominiotambin se sincronicen su hora con el controlador de dominio que autentica elusuario.
Director deInfraestructuras
Las actualizaciones de maestro de infraestructura de referencias a objetos en sudominio que apuntan a objetos de otro dominio. Por ejemplo, el maestro deinfraestructura es responsable de actualizar las referencias cruzadas de dominiode grupo a los usuarios. Esta funcin de maestro de operaciones asegura quelos cambios realizados a los nombres de cuenta de usuario se reflejan en lainformacin de pertenencia de grupo para los grupos ubicados en un dominiodiferente.
Las dos primeras funciones, maestro de esquema y de nombres de dominio principal, se de cada bosqueroles. Esto significa que slo hay un maestro de esquema y el dominio de un solo maestro de nombrespara cada bosque. Las otras tres funciones sonpor dominio roles, lo que significa que es slo una de estasfunciones de maestro de operaciones para cada dominio del bosque. Al instalar AD DS y crear econtrolador de dominio de los bosques en primer lugar, se poseen las cinco de estos papeles. Del mismomodo, a medida que agrega los dominios del bosque, el primer controlador de dominio en cada dominionuevo que tambin adquiere las operaciones por las funciones de maestro de dominio. A medida que
agrega los controladores de dominio a un dominio, puede transferir estas funciones a otros controladoresde dominio.
Nota: La nica restriccin en la colocacin de la operacin principal es que si el bosque contiene variosdominios, y no todos los controladores de dominio tambin servidores de catlogo global, el papel demaestro de infraestructura no debe ser instalado en un servidor de catlogo global. Por defecto, el primercontrolador de dominio en un bosque es un servidor de catlogo global y el maestro de infraestructura. Alinstalar el controlador de dominio de segundo en el dominio, el Active Directory Domain ServicesAsistente para la instalacin le pregunta si desea mover el maestro de infraestructura para el controladorde dominio nuevos durante la instalacin de AD DS.
-
7/22/2019 Mdulo 9 y 10
25/93
Cmo funciona el servicio de hora de Windows Obras
El servicio de hora de Windows, tambin conocida como W32Time, sincroniza la fecha y hora para todos
los equipos que se ejecutan en una red Windows Server 2008. El servicio de hora de Windows utiliza elNetwork Time Protocol (NTP) para asegurar los ajustes de tiempo de alta precisin a travs de su red.Tambin puede integrar el servicio de hora de Windows con referencias externas.
Por qu es importante el tiempo de sincronizacin?
sincronizacin precisa del tiempo es importante para garantizar la seguridad de la autenticacinKerberos en un entorno de Active Directory. Para evitar ataques de repeticin, los tickets deKerberos que los clientes actuales de los controladores de dominio son una marca de tiempo. Loscontroles del controlador de dominio de autenticacin para asegurarse de que la marca detiempo es correcta, y que los tiempos en el cliente y el controlador de dominio se encuentrandentro de un sesgo de tiempo aceptable. De forma predeterminada, si el reloj del equipo clientees ms de cinco minutos que el tiempo de diferentes controlador de dominio, la solicitud del
cliente, ser rechazado.Nota: La diferencia mxima de tiempo permitido entre el controlador de dominio y los equipos clientepueden ser modificados a travs de polticas de grupo.
sincronizacin precisa del tiempo tambin se asegura la replicacin exacta entre controladores dedominio: todos los de replicacin entre controladores de dominio es una marca de tiempo. Si el tiempo enel controlador de dominio no est sincronizada, puede tener resultados inconsistentes replicacin.
Tiempo topologa de sincronizacin
Para garantizar los ajustes de tiempo sincronizada en todos los equipos en un bosque, el serviciode hora de Windows utiliza una relacin jerrquica que controla la autoridad y no permite bucles.
De forma predeterminada, los ordenadores basados en Windows utilizan la siguiente jerarqua:
Todos los equipos de escritorio cliente utilizan la autenticacin su controlador de dominio como suasociado de hora de ruedas. Todos los servidores miembro siguen el mismo proceso.
Los controladores de dominio que sincronicen su hora con el emulador PDC en su dominio.
Los controladores de dominio que aloja la funcin de emulador PDC sincronicen su hora con elemulador PDC en el dominio de orden superior en la jerarqua de los bosques.
-
7/22/2019 Mdulo 9 y 10
26/93
El emulador PDC de maestro de operaciones en la raz del bosque se convierte en la autoridad parala organizacin. El recurso de hora autorizado en la raz del bosque puede adquirir su tiempo alconectarse a un externo Protocolo de Tiempo de Red (NTP).
Nota: Para obtener informacin sobre cmo configurar el emulador PDC para sincronizar con un servidorNTP externo, consulte el artculo "Configurar el servicio de hora de Windows en el emulador PDC en elsitio web de Microsoft TechNet. Si mueve la funcin de emulador PDC de un controlador de dominio aotro, y ha configurado el emulador PDC para utilizar un recurso de hora externo, la sincronizacin de hora
externo no se mueve automticamente al nuevo emulador de PDC. Si mueve el emulador de PDC, eltiempo de servicio debe ser reconfigurado en el nuevo emulador de PDC y la configuracin manual debeser removido desde el original, emulador de PDC.
Mdulo 2
Configuracin de Servicio de nombres de dominio de Active Directory Servicios de dominio
Domain Name System (DNS) es una parte integral de Active Directory Servicios de dominio (AD DS) paraWindows Server 2008. Al comprender la relacin entre estas aplicaciones, puede solucionar AD DS, e
incrementar la seguridad, mientras que proporcionar a los clientes la funcionalidad completa de DNS.
Leccin 1:
Listado de servicios de Active Directory de dominio DNS y la IntegracinWindows Server 2008 requiere que la infraestructura DNS estar en su lugar antes de instalar ADDS. La comprensin de cmo absoluto de DNS y AD DS se integran, y cmo utilizar los equiposcliente DNS durante inicio de sesin, le ayudar a resolver problemas relacionados con el DNS,como las cuestiones de inicio de sesin de cliente.
AD DS e Integracin Espacio de nombres DNS
Dominios y equipos estn representados por los registros de recursos en el espacio de nombres DNS, ypor los objetos de Active Directory en el espacio de nombres de Active Directory. Todos los dominios deActive Directory debe tener dominios DNS correspondientes a nombres de dominio idnticos. Los clientes
-
7/22/2019 Mdulo 9 y 10
27/93
confan en DNS para resolver nombres de equipos host en direcciones IP, con el fin de localizar loscontroladores de dominio y otros equipos que proporcionan AD DS y otros servicios de red.
Active Directory requiere DNS, pero no cualquier tipo de servidor DNS. Por lo tanto, puede haber variosservidores de DNS diferente tipo.
Nombres DNS
El nombre de un equipo de host DNS es el mismo nombre que el aplicado a la cuenta del equipoque AD DS tiendas. El nombre de dominio DNS, tambin llamado el sufijo DNS principal, tiene elmismo nombre que el dominio de Active Directory al que pertenece el equipo. Por ejemplo, unequipo denominado servidor Web que pertenece al dominio de Active Directory llamadoWoodgrovebank.com, tiene el siguiente FQDN:
Webserver.Woodgrovebank.com
Nombres de dominio de Active Directory
Su nombre de AD DS no tiene por qu ser el mismo nombre que su nombre DNS pblico. Puedeintegrar su nombre de dominio de AD DS con el espacio de nombres externo mediante:
El mismo nombre Un subdominio del espacio de nombres externo
Un espacio de nombres diferentes donde el dominio y los servidores locales tienen nombresdiferentes
Por ejemplo, como lo demuestra la diapositiva, el nombre del dominio pblico Woodgrove Bank esWoodgroveBank.com, pero AD DS podra corresponder a un subdominio llamadoCorp.Woodgrovebank.com, o podra ser algo completamente diferente, como Corp.local.
Los registros de recursos de almacenamiento
Pblica y los registros privados de los recursos deben mantenerse separadas. Servidores DNSque lo expongan a Internet debe contener slo los registros de acogida para los equipos quesean accesibles al pblico. Por ejemplo, el servidor DNS pblico debera ser la sede de ladireccin de su servidor Web pblico, o Simple Mail Transfer Protocol (SMTP). Nunca se debepermitir que los registros internos de acogida a estar expuestos a Internet. Tcnicas como ladelegacin y la transmisin puede ser utilizado para integrar las estructuras de DNS interno yexterno.
Nota: Las organizaciones pueden decidir que sus registros de direcciones pblico organizado por untercero, como un proveedor de servicios Internet (ISP).
-
7/22/2019 Mdulo 9 y 10
28/93
Qu son las hojas de servicio Localizador?
Para AD DS para que funcione correctamente, los equipos cliente debe ser capaz de localizar los
servidores que proporcionan servicios especficos, tales como la autenticacin de inicio de sesinpeticiones, y que proporcionan Telnet o protocolo iniciado sesin (SIP) de servicios. AD DS clientes ycontroladores de dominio el uso de servicio (SRV) registros de recursos para determinar las direcciones IPde los equipos que prestan estos servicios. AD DS aplicaciones conscientes de esos lugares, tales comoMicrosoft Exchange, tambin utilizan los registros SRV de recursos.
Los registros de recursos SRV
registros SRV de recursos son los registros DNS en AD DS almacena informacin sobre laubicacin computadoras para los equipos que prestan estos servicios. registros SRV de recursosun servicio de enlace al nombre del equipo DNS del equipo que ofrece el servicio. Por ejemplo,un registro de recursos SRV puede contener informacin para ayudar a los clientes localizar uncontrolador de dominio en un dominio especfico o el bosque.
Cuando un controlador de dominio se inicia, registra los registros SRV de recursos y un registro dedireccin, que contiene su nombre de equipo DNS y su direccin IP. Un equipo de cliente DNS luego usaesa informacin combinada para localizar el servicio solicitado en el controlador de dominio adecuado.
Todos los registros de recursos SRV utilizar un formato estndar, que se compone de campos quecontienen informacin que AD DS utiliza para asignar un servicio de apoyo al equipo que presta eservicio. registros SRV de uso de recursos con el siguiente formato:
_Service_.Protocol.Name SRV Ttl clase de prioridad Peso puerto de destino
La siguiente tabla describe cada campo en un registro de recursos SRV:
Campo Descripcin
_Servicio Especifica el nombre del servicio, (como Lightweight Directory Access Protocol (LDAP), oKerberos), proporcionada por el servidor que registra este registro de recursos SRV.
_Protocol Especifica el tipo de protocolo de transporte, como TCP, o Protocolo de datagramas deusuario (UDP).
Nombre Especifica el nombre de dominio que las referencias de registro de recursos.
Ttl Especifica el perodo de vida (TTL) en segundos, que es un campo estndar en los registros
-
7/22/2019 Mdulo 9 y 10
29/93
de recursos DNS que especifica la longitud de tiempo que un registro se considera vlida.
Clase Especifica el recurso DNS estndar registro valor de la clase, que suele ser. IN. para elsistema de Internet. Esta es la nica clase que Windows Server 2008 DNS admite.
Prioridad Especifica la prioridad del servidor. Clientes intento de contacto con el host que tiene laprioridad ms baja.
Peso Denota un mecanismo de equilibrio de carga que los clientes usan la hora de seleccionar unhost de destino. Cuando el campo prioritario es el mismo para dos o ms registros en el
mismo dominio, los clientes eligen al azar los registros SRV de recursos que tienen mayorpeso.
Puerto Especifica el puerto donde el servidor est escuchando por este servicio.
Objetivo Especifica el nombre de dominio completo (FQDN) (tambin llamado el nombre completodel equipo,) del equipo que presta el servicio.
Cuando se crea el DNS del dominio raz de un nuevo bosque de Active Directory en un controlador dedominio basado en Windows Server 2008, dos zonas DNS se crean automticamente. Una primera zonaque se crea para el dominio raz del bosque, y se replica, por defecto, entre todos los controladores dedominio en ese dominio. La segunda zona se crea para el _msdcs. ForestName subdominio, y se almacenaen la particin de directorio DNS de todo el bosque de la aplicacin. La segunda zona (subdominio
_msdcs) acoge slo DNS los registros de recursos SRV que son registrados por los servicios basados enMicrosoft. El proceso de Netlogon crea dinmicamente estos registros en cada controlador de dominioEsta particin se replica en todos los controladores de dominio en el bosque que est ejecutando elservicio Servidor DNS de forma predeterminada. Esta replicacin hace que la zona de alta disponibilidaden cualquier lugar del bosque.
Cmo Servicio Localizador de registros de recursos se utilizan
Equipos del dominio de cliente utiliza el interfaz de la aplicacin de localizacin de programacin (API)para localizar un controlador de dominio mediante la consulta DNS. Si los registros de recursos SRV noestn disponibles para identificar los controladores de dominio, los inicios de sesin puede fallar. Todos losequipos, incluyendo estaciones de trabajo, como el sistema operativo Windows XP Professional yWindows Vista El sistema operativo y servidores como Windows Server 2003 y sistemas operativosde Windows Server 2008 sistemas operativos, utilice el mismo proceso para buscar controladores dedominio.
Localizacin de un controlador de dominio
Los pasos siguientes se describe cmo un cliente usa DNS para localizar un controlador dedominio:
-
7/22/2019 Mdulo 9 y 10
30/93
1. En el cliente, el localizador se inicia como una llamada a procedimiento remoto (RPC) para eservicio local de Netlogon. El servicio Netlogon implementa el Localizador DsGetDcName Llamadaa la API.
2. El cliente recopila la informacin necesaria para seleccionar un controlador de dominio, y luegopasa la informacin al servicio Netlogon con el DsGetDcName llamada.
3. El servicio Netlogon en el cliente utiliza la informacin recopilada para buscar un controlador dedominio para el dominio especificado. DsGetDcName llama a la DnsQuery Llamar para leer tantolos registros de recursos SRV, y la "A" los registros de DNS despus de que el nombre de dominio
se anexa a la cadena apropiada que especifica los registros de recursos SRV.
4. El servicio Netlogon enva un datagrama UDP a los equipos que registr el nombre.
5. Cada controlador de dominio disponible responde al datagrama para indicar que se esttrabajando, y devuelve la informacin a DsGetDcName.
6. El servicio Netlogon devuelve la informacin del controlador de dominio para el cliente y almacenaen cach para que las solicitudes posteriores no es necesario repetir el proceso de descubrimiento.El almacenamiento en cach de esta informacin fomenta el uso coherente del mismo controladorde dominio, y una vista coherente de AD DS.
La integracin de registros de mantenimiento y Sitios Localizador de AD DS
A partir de registros SRV de recursos para encontrar el controlador de dominio
Durante la bsqueda de un controlador de dominio, el Localizador de intentos de encontrar uncontrolador de dominio ms cercano en el sitio para el cliente. El controlador de dominio utilizala informacin almacenada en AD DS para determinar el lugar ms cercano. En la mayora de loscasos, el controlador de dominio que primero responde al cliente estar en el mismo sitio que e
cliente. Sin embargo, en los casos en que fsicamente un equipo se traslad a un sitio distinto, oel controlador de dominio en el sitio local no est disponible, hay un proceso para encontrar uncontrolador de dominio.
Durante el arranque de inicio de sesin de red, el servicio Net Logon en cada controlador de dominio seenumeran los objetos de sitio en el contenedor Configuracin. Net Logon utiliza la informacin del sitiopara construir una estructura en memoria que asigna direcciones IP a nombres de sitio.
Cmo un cliente busca un controlador de dominio
Cuando un cliente busca un controlador de dominio, DNS devolver una lista de todos loscontroladores de dominio. A pesar de que el registro de cliente almacena la informacin del sitio,
-
7/22/2019 Mdulo 9 y 10
31/93
un equipo de cliente podra no ser consciente de que se ha mudado a un nuevo lugar hasta queun controlador de dominio que dice en qu sitio se encuentra.
Los pasos siguientes se describe cmo un cliente busca un controlador de dominio:
1. El cliente comienza consultar los controladores de dominio a su vez, para averiguar qu controladorde dominio est disponible y apropiada.
2. AD DS intercepta la consulta, que contiene la direccin IP del cliente, y lo pasa al inicio de sesinde red en el controlador de dominio.
3. Net Logon mira la direccin de IP del cliente en su tabla de asignaciones de subred a sitio,encontrando la subred objeto que ms se acerque a la direccin IP del cliente y devuelve lasiguiente informacin:
El nombre del lugar en que se encuentre el cliente, o el sitio que ms se acerque a la direccin IPdel cliente.
El nombre del lugar en que se encuentre el controlador de dominio de responder.
Un poco que indica si el controlador de dominio de responder se encuentra en el sitio ms cercano
al cliente.4. El cliente inspecciona la informacin para determinar si se debe tratar de encontrar un controlador
de dominio mejor, y entonces toma la decisin basndose en lo siguiente:
Si el controlador de dominio que responde es en el lugar ms cercano, a continuacin, el clienteutiliza este controlador de dominio.
Si el cliente ya ha intentado encontrar un controlador de dominio del sitio en el que el controladorde dominio reclama el cliente se encuentra, el cliente utiliza el controlador de dominio deresponder.
Si el controlador de dominio no est en el lugar ms cercano, el cliente actualiza su informacin delsitio y enva una consulta DNS para encontrar un nuevo controlador de dominio nuevo en el sitioSi la segunda consulta tiene xito, el nuevo controlador de dominio se utiliza. Si falla la segundaconsulta, el original del controlador de dominio se utiliza de responder.
5. Si el cliente contacta con un controlador de dominio y la direccin IP del cliente no se puedeencontrar en la tabla de asignaciones de subred a sitio, el controlador de dominio devuelve unNULL nombre del sitio, y el cliente utiliza el controlador de dominio de responder.
Nota: Si un cliente se ve obligado a utilizar un controlador de dominio de un sitio diferente, las memoriascach de cliente que la informacin durante 15 minutos.
Leccin 2:
Configuracin de AD DS integrada de las zonasLa integracin de AD DS y zonas DNS puede simplificar la administracin DNS mediante lareplicacin de la informacin de zona DNS como parte de la replicacin de Active Directory.
Tambin proporciona beneficios como actualizaciones dinmicas seguras, y el envejecimiento yla compactacin de registros de recursos obsoletos.
-
7/22/2019 Mdulo 9 y 10
32/93
Cules son las zonas AD DS Integrado?
Uno de los beneficios de la integracin de DNS y AD es la capacidad para integrar las zonas DNS en una
base de datos de Active Directory. Una zona es una porcin del espacio de nombres de dominio que tieneuna agrupacin lgica de los registros de recursos, lo que permite las transferencias de zona de estosregistros para operar como una unidad.
El almacenamiento y la replicacin de zonas
Una vez instalado Active Directory, usted tiene dos opciones para almacenar y reproducir suszonas durante el uso del servidor DNS en el nuevo controlador de dominio:
Estndar de almacenamiento de la zona, utilizando un archivo de texto basado en: zonasalmacenadas de esta manera se encuentran en los archivos. DNS que se almacenan en el sistema \System32 \ Dns en cada equipo operativo de un servidor DNS.
zona de almacenamiento Directory integrado, utilizando la base de datos de Active Directory:
zonas almacenadas de esta manera se encuentran en el rbol de Active Directory en el dominio ola particin de directorio de aplicaciones. Cada zona integrada de directorio se almacena en unobjeto contenedor dnsZone que se identifica por el nombre que elija para la zona cuando se crea.
Es muy recomendable utilizar las zonas integradas en directorio principal, que proporcionan los siguientesbeneficios:
Beneficio Descripcin
Directorio dereplicacin es ms
rpido y ms eficienteque la replicacin DNSestndar
Debido a que Active procesamiento de replicacin de directorios se realiza enfuncin de cada propiedad, si no se propagan los cambios pertinentes. Esto
permite que menos datos para el uso y presentacin en las actualizaciones dedirectorios almacenados zonas. Active Directory almacena ahora reenviadorescondicionales.
Multimaestroactualizacin
En este modelo, cualquier servidor DNS con autoridad, como un controlador dedominio con un servidor DNS, se designa como una fuente primaria para lazona. El ejemplar para la zona principal se mantiene en la base de datos deActive Directory, que es replicado completamente en todos los controladores dedominio, servidores DNS para que funcionen a cualquiera de los controladoresdel dominio puede actualizar la zona.
-
7/22/2019 Mdulo 9 y 10
33/93
Con el modelo de actualizacin AD DSmultimaster, cualquiera de los servidoresprimarios de la zona integrada de directorio puede procesar las solicitudes de losclientes DNS para actualizar la zona, siempre y cuando un controlador dedominio est disponible y accesible en la red.
Incremento de laseguridad
zonas integradas en Active Directory apoyo actualizaciones dinmicas seguras.Al utilizar las zonas integradas en directorio, puede utilizar las listas de controlde acceso (ACL) para asegurar un contenedor de objeto de dnsZone en el rbol
de directorios. Esta caracterstica proporciona acceso a cualquiera de granuladode la zona o un registro de recursos especificado en la zona.
Apoyo para elexpediente deenvejecimiento y lacompactacin
Este modelo proporciona un mtodo para el envejecimiento y la compactacinregistros de recursos en una base de datos DNS. registros de recursos DNS quese almacenan en una base de datos DNS se asignan las marcas de tiempo queindica la ltima vez que se actualizaron los registros. El servidor DNS busca ensu base de datos peridicamente para los registros obsoletos, y los elimina deacuerdo a los parmetros a configurar. De forma predeterminada, elenvejecimiento y la compactacin caractersticas estn deshabilitadas en todoslos servidores DNS y cualquiera de sus zonas.
Nota: Una zona DNS puede ser AD DS-integrado, y al mismo tiempo una transferencia de zona en unarelacin primaria \ secundaria con los servidores DNS que no son controladores de dominio.
Nota: Slo las zonas principales se pueden almacenar en el directorio. Un servidor DNS no puedealmacenar zonas secundarias en el directorio, sino que debe guardarlos en archivos de texto estndar.El Directorio Activo con varios maestros de replicacin del modelo elimina la necesidad de zonassecundarias cuando todas las zonas se almacenan en AD DS.
Qu son las particiones de aplicacin en DS EA?
particiones principales en AD DS
Tres grandes particiones contienen la informacin de AD DS:
La particin de esquema, que reproduce la informacin del esquema a todo el bosque. La particin de configuracin, que reproduce informacin sobre la estructura fsica para todo el
bosque.
La particin de dominio, que replica la informacin de dominio en todos los controladores dedominio en un dominio dado.
-
7/22/2019 Mdulo 9 y 10
34/93
Aplicacin particiones
Puede crear otras particiones, particiones llama la aplicacin, para almacenar los datosespecficos de la aplicacin. Los desarrolladores pueden escribir aplicaciones para hacer uso deestas particiones. particiones de aplicaciones proporcionan dos beneficios principales:
Usted puede controlar el mbito de aplicacin de replicacin de datos, de forma que slo se replicaen los controladores de dominio donde los datos son de inters. Por ejemplo, una compaa globalpuede usar slo una aplicacin personalizada en un dominio especfico o del pas. Una particin deaplicacin que puede almacenar datos de aplicacin. Esa particin de aplicacin slo se replicar alos controladores de dominio que se asignan para mantener rplicas de la particin de aplicacinEsto ayuda a que los datos de alta disponibilidad con un mnimo de trfico de replicacin.
particiones de aplicaciones no se almacenan en el catlogo global. Utilice particiones de directoriode aplicaciones para Active Directory zonas DNS integradas para reducir tanto el trfico dereplicacin, y la cantidad de datos que almacena el catlogo global.
Al instalar el servicio DNS, dos particiones de aplicacin, se crear automticamente:
A todo el dominio absoluto de DNS particin de aplicacin A todo el bosque DNS particin de aplicacin
zonas DNS pueden almacenarse en el dominio de Active Directory o particiones de aplicaciones DNS.Tambin pueden ser almacenados en una particin de aplicacin personalizada. De forma predeterminada,la informacin de DNS se almacena en la particin de la aplicacin de todo el dominio.
Opciones para la configuracin de las particiones de aplicacin para DNS
Usted puede cambiar el mbito de la replicacin DNS cualquier momento utilizando el DNS de MicrosoftManagement Console (MMC), o la herramienta de lnea de comandos CMD del DNS. Cuando se utiliza eMMC de DNS, puede replicar a las opciones de replicacin siguientes:
Para todos los servidores DNS en este bosque. Para todos los servidores DNS en este dominio. (Esta es la ubicacin de almacenamiento
predeterminada.)
Para todos los controladores de dominio en este dominio. (Esta es la particin de informacin dedominio.)
-
7/22/2019 Mdulo 9 y 10
35/93
Para todos los controladores de dominio que aloja una particin de aplicacin en particular.
Consideraciones para el uso de DNS diferentes particiones:Usar la particin de aplicaciones DNS de todo el bosque cuando hay trfico considerable entredominios, y desea que los registros de recursos DNS para ser altamente disponible.
Usar la particin de la aplicacin de todo el dominio cuando se tiene una necesidad de la separacinde dominio para fines administrativos. Utilice una particin de aplicacin habitual cuando usted necesita para controlar la replicacin de la
informacin DNS para controladores de dominio especfico.
Tenga en cuenta que la informacin de DNS almacenadas en la particin de la informacin dedominio se replican en el catlogo global.
particin de aplicacin comandos CMD del DNS
Para crear una particin nueva aplicacin de DNS con el comando CMD del DNS, utilice lasiguiente sintaxis:
DnscmdServerName/CreateDirectoryPartitionFQDN
Para almacenar una base de datos DNS en una particin de aplicacin existente, utilice la siguientesintaxis:
DnscmdServerName/ EnlistDirectoryPartitionFQDN
Nota: De forma predeterminada, slo los miembros del grupo Administradores de organizacin puedencrear una aplicacin de DNS particin de directorio.
Nota: La solicitud debe ser particiones creadas con herramientas de lnea de comandos. Hay varias
empresas de servicios pblicos diferentes que se pueden utilizar para crear una particin de directorio deaplicaciones. Puede utilizar la herramienta de lnea de comandos NTDSUTIL, ADSIEDIT, o los comandosLDAP.
Cmo actualizaciones dinmicas de trabajo
-
7/22/2019 Mdulo 9 y 10
36/93
Las actualizaciones dinmicas permiten a los equipos cliente DNS para registrar y actualizardinmicamente sus registros de recursos con un servidor DNS cada vez que se produzcan cambios. Estoreduce la necesidad de administrar los registros de zona manualmente, especialmente para los clientesque se mueven frecuentemente o cambian de ubicacin, y que el uso Dynamic Host Configuration Protoco(DHCP) para obtener una direccin IP.
De forma predeterminada, los equipos que estn configurados estticamente para TCP / IP e intentar eregistro de su host (A) y de punteros (PTR) registros de recursos de forma dinmica por sus direccionesIP. Todos los equipos de registro de expedientes en base a su nombre de dominio completo (FQDN). Por
ejemplo, un ordenador con un nombre de dominio completo de Srv1.woodgrovebank.com y una direccinIP esttica de 10.10.0.100 se intenta aadir un nuevo registro de direccin para que el nombre y direccinen la base de datos DNS.
Qu provoca las actualizaciones dinmicas
Cualquiera de los siguientes eventos pueden desencadenar actualizaciones dinmicas:
El ordenador est encendido y arrancado. Una direccin IP es aadir, eliminar o modificar en las propiedades TCP / IP.
Un cambio de direccin IP de arrendamiento o renueva con el servidor DHCP. Por ejemplo, unaactualizacin dinmica se desencadena cuando el ipconfig /renovar comando se utiliza.
El ipconfig /registerdns comando se utiliza para forzar una actualizacin manual del registro denombre de cliente en DNS.
Un servidor miembro se promueve a un controlador de dominio.
Cuando uno de los eventos anteriores desencadena una actualizacin dinmica, el servicio Cliente DHCP(no el servicio Cliente DNS) enva las actualizaciones. Esto se ha diseado de modo que si un cambio en lainformacin de direccin IP se debe a DHCP, las actualizaciones correspondientes en DNS para sincronizarse realizan nombre a direccin para el equipo. El servicio de cliente DHCP realiza esta funcin en todas lasconexiones red que se utiliza en el sistema, incluidas las conexiones no configuradas para utilizar DHCP.
Las actualizaciones dinmicas se pueden enviar o se actualiza
Las actualizaciones dinmicas se envan o tambin actualizar en forma peridica. De formapredeterminada, los equipos envan una actualizacin una vez cada siete das. Si los resultadosde actualizacin en ningn cambio en los datos de zona, la zona permanece en su versin actual,y sin cambios por escrito son. Actualizaciones resultado en cambios reales o zona detransferencia de zona aument slo si los nombres o cambiar direcciones.
Desactivacin de actualizacin dinmica
Las actualizaciones dinmicas se puede desactivar en el cliente sobre una base por interfaz dered. En la avanzada de TCP / IP, en la pestaa DNS, puede configurar el cliente para no registrarla direccin en el DNS.
Nota: De forma predeterminada, la configuracin de actualizacin dinmica no est configurado parapermitir actualizaciones dinmicas no seguras.
Nota: De forma predeterminada, el cliente DNS no intenta actualizacin dinmica de ms de un serviciode acceso remoto (RAS) o red privada virtual (VPN). Para modificar esta configuracin, puede modificar laconfiguracin avanzada de TCP / IP de la conexin de red particular o modificar el Registro.
-
7/22/2019 Mdulo 9 y 10
37/93
Cmo actualizaciones seguras DNS dinmica de trabajo
Asegure las actualizaciones dinmicas de trabajo, como las actualizaciones dinmicas, con la siguienteexcepcin: el servidor de nombres con autoridad acepta slo las actualizaciones de los clientes yservidores que se autentican y se une al dominio de Active Directory en el que se encuentra el servidorDNS.
Como muestra de diapositivas, el primer cliente intenta una actualizacin no segura. Si ese intento falla,el cliente intenta negociar una actualizacin segura. Si el cliente se ha autenticado a AD DS, laactualizacin tendr xito.
Actualizaciones dinmicas seguras beneficios
actualizacin dinmica segura proporciona las siguientes ventajas:
Proteger las zonas y registros de recursos de ser modificado por los usuarios sin autorizacin. Le permite especificar exactamente qu usuarios y grupos pueden modificar las zonas y registros
de recursos.
seguridad de actualizacin de DNS est disponible slo para las zonas que se integran en AD DS. zonasintegradas en Active Directory tiene lista de control de acceso (ACL) funciones de edicin. Conactualizaciones dinmicas seguras, slo los equipos y usuarios que especifique en un ACL puede crear omodificar objetos de la zona dnsNode. De forma predeterminada, la ACL da permiso Crear para todos losmiembros del grupo de usuarios autenticados, que es el grupo de todos los equipos autenticados yusuarios en un bosque de Active Directory. Esto significa que cualquier usuario autenticado o unacomputadora puede crear un objeto nuevo en la zona. Adems, por defecto, el creador es dueo deobjeto nuevo y se le da el control total. Ajustes de seguridad aplicados a los registros de recursos sloafectan a las actualizaciones dinmicas, no derechos administrativos.
De forma predeterminada, Windows Server 2008 servidores DNS estn configurados para soportaractualizaciones seguras slo para las zonas integradas en Active Directory.
-
7/22/2019 Mdulo 9 y 10
38/93
Cmo Cargando Antecedentes Zona de Obras
organizaciones muy grandes con muy grandes zonas que almacenan sus datos DNS en AD DS vecesdescubrimos que el reinicio de un servidor DNS puede tardar una hora o ms, mientras que los datos DNSse recupera del servicio de directorio. El resultado es que el servidor DNS est efectivamente disponiblepara atender las solicitudes de clientes durante todo el tiempo que tarda en cargar las zonas AD DS-based.
Cargando AD DS en Windows Server 2008
Un servidor DNS de Windows Server 2008 datos de la zona carga de Active Directory AD DS ensegundo plano mientras se reinicia, para que pueda responder a solicitudes de datos de otraszonas. Cuando el servidor DNS se inicia, es el siguiente:
Enumera todas las zonas que se cargan.
Carga sugerencias de raz a partir de archivos o almacenamiento de AD DS.
Carga todas las zonas que se almacenan en archivos en lugar de en AD DS.
Comienza respondiendo a las consultas y llamadas a procedimiento remoto (RPC).
Desova uno o ms hilos para cargar las zonas que AD DS tiendas.
Porque hilos separados desempear las funciones de zonas de carga, el servidor DNS es capaz deresponder a las preguntas durante la carga de la zona est en curso. Si un cliente solicita los datos DNSde un host en una zona que ya est cargado, el servidor DNS responde con los datos como se esperaba.Si la solicitud es para un nodo que an no se ha cargado en la memoria, el servidor DNS lee los datos del
nodo de AD DS, y luego actualiza lista de registros del nodo en consecuencia. El servidor DNS puedeutilizar la zona de carga de fondo para empezar a responder a las preguntas casi de inmediato cuando sereinicia, en lugar de esperar hasta que las zonas se han cargado completamente.
Leccin 3:
Configuracin de zonas DNS de slo lecturaPuede proporcionar seguridad adicional mediante la configuracin de las zonas DNS de slolectura, ya que slo un administrador puede cambiar lea las zonas DNS de slo lectura. Mientrasque personal no autorizado no ser capaz de alterar los registros del controlador de dominio de
-
7/22/2019 Mdulo 9 y 10
39/93
slo lectura (RODC), los clientes todava tienen la funcionalidad completa de la resolucin denombres de Active Directory.
Qu DNS son de slo lectura las zonas?
Al instalar un Windows Server 2008 RODC, se le pide con opciones de instalacin del servidor DNS. Laopcin predeterminada es instalar una forma primaria de slo lectura del servidor DNS de forma local enel RODC, que reproduce la zona existente AD-integrada para el dominio especificado y agrega la direccinIP local como el servidor DNS preferido en el local de TCP / IP ajustes. Esto garantiza que el servidor DNSque se ejecutan en el RODC tiene una copia completa de slo lectura de todas las zonas DNS.
las zonas DNS de slo lectura beneficios
Beneficios de DNS de slo lectura zonas incluyen:
informacin necesaria para la resolucin de DNS de Active Directory es el nombre disponible para
clientes en el mismo sitio que el RODC. Los cambios no estn permitidos en la zona DNS de slo lectura, lo que aumenta la seguridad.
Cmo funciona el DNS de slo lectura de Obras
-
7/22/2019 Mdulo 9 y 10
40/93
Cuando un equipo se convierte en un RODC, replica una copia completa de slo lectura de todas lasparticiones de directorio de aplicaciones DNS que utiliza, incluyendo la particin de dominioForestDNSZones y DomainDNSZones. Esto garantiza que el servidor DNS que se ejecutan en el RODCtiene una copia completa de slo lectura de todas las zonas DNS almacenadas en un controlador dedominio ubicado en las particiones de directorio. El administrador de un RODC puede ver el contenido deuna zona primaria de slo lectura. Sin embargo, el administrador puede cambiar el contenido slocambiando la zona en un servidor DNS con una copia modificable de la base de datos DNS.
Si configura los clientes para usar el RODC para DNS, y ellos son clientes de actualizacin dinmica, se les
llama a un servidor DNS con una copia base de datos DNS de escritura para realizar la actualizacin.
Mdulo 9
Implementacin de un dominio de Active Directory Services Plan de Mantenimiento
Como Windows Server 2008 de administrador, una de sus tareas ser la de mantener la organizacin deActive Directory Servicios de dominio (AD DS) los controladores de dominio. Un componente importanteen el mantenimiento de los controladores de dominio es la gestin, la copia de seguridad y restauracinde la AD DS almacn de datos.
Leccin 1:
El mantenimiento de la AD DS controladores de dominioEl mantenimiento de la base de datos de AD DS es una importante tarea administrativa que regularmentedebe programar para que, en el caso de desastre, usted puede recuperar datos perdidos o corrompidos yreparar la base de datos de AD DS.
AD DS tiene su propia base de datos del motor, el motor de almacenamiento extensible (ESE), quegestiona el almacenamiento de todos los objetos de AD DS en una base de datos de AD DS. Al entendercmo los cambios a los atributos de AD DS se escriben en la base de datos, usted entender cmomodificacin de datos afecta al rendimiento de base de datos y la fragmentacin, y la integridad de losdatos.
Base de datos de AD DS y los archivos de registro
-
7/22/2019 Mdulo 9 y 10
41/93
El motor de base de datos de AD DS, ESE, tiendas de todos los objetos de AD DS. La ESE utilizatransacciones y archivos de registro para garantizar la integridad de la base de datos de AD DS.
Los archivos utilizados por AD DS almacenar datos
AD DS almacn de datos incluye los siguientes archivos:
Expediente Descripcin
Ntds.dit El AD DS base de datos almacena todos los objetos de AD DS en el controlador ddominio. La extensin. Dit se refiere al rbol de informacin de directorio. La ubicacipredeterminada es% systemroot% \ NTDS carpeta.
Edb *. logEl archivo de registro de transacciones tiene el registro de transacciones por defecto enombre del archivo Edb.log. Cada archivo de registro de transacciones es de 1megabytes (MB). AD DS registra cada operacin en uno o ms archivos de registro d
transacciones que se asocian con el archivo Ntds.dit. Cuando Edb.log est lleno, scambia el nombre de AD DS a Edbnnnnn. Log, donde nnnnn es un nmero cada vemayor que empieza en 1.
Edb.chk El archivo de controles que el motor de base de datos utiliza para realizar useguimiento de datos que an no se escribe en el archivo de base de datos de AD DS. Earchivo de controles es un puntero que mantiene el estado entre la memoria y el archivde base de datos en el disco. El archivo indica el punto de partida en el archivo deregistro que debe ser la informacin recuperada si se produce un error.
ebdres00001.jrs yebdres00002.jrs
Los archivos de registro de transacciones reservados. Este espacio reservado se utilizpara