Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trucos Directorio Activo
Trucos Directorio Activo
Alejandro Mezcua Responsable tcnico Zaltor Soluciones Informticas Microsoft MVP .NET amezcua@zaltor.com
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin
Conceptos
Conceptos
DNS (I)
Base de toda la infraestructura del Directorio Activo Se puede utilizar cualquier servidor de DNS para mantener la informacin Con servidores Windows se dispone de actualizaciones automticas Con servidores Windows se puede almacenar la informacin de zonas en el propio Directorio Activo y aprovechar la replicacin para propagar los cambios
Conceptos
DNS (II)
Los servicios se buscan realizando consultas de tipo SRV. Ej. Consulta para encontrar servidores de GC
C:\ C:\Documents and Settings\administrator.ZALTORMOVIL>nslookup Settings\ Default Server: gandalf.zaltormovil.local Address: 192.168.1.254 > set type=SRV > _gc._tcp.zaltormovil.local Server: gandalf.zaltormovil.local Address: 192.168.1.254 _gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = gandalf.zaltormovil.local _gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = hades.zaltormovil.local gandalf.zaltormovil.local internet address = 192.168.1.254 hades.zaltormovil.local internet address = 192.168.1.253 >
Conceptos
DNS (III)
Conceptos
Particiones (I)
Permiten disponer de secciones del Directorio Activo independientes que se pueden replicar de manera individual Por omisin se cuenta con:
Schema Naming Context Configuration Naming Context Domain Naming Context Denominados Application Naming Contexts o Application Directory Partitions Permitirn la replicacin bajo reglas propias definidas (p.e. replicados slo a ciertos DCs)
Conceptos
Particiones (II)
Conceptos
Particiones (III)
Conceptos
Particiones (IV)
Conceptos
Replicacin (I)
Copia de los objetos entre DCs del directorio activo AD Desde el punto de vista de la replicacin
Dominios
Engloba, bajo un mismo contexto de nombres y de seguridad, N equipos (clientes servidores) Reflejan la estructura fsica de la red. Una vez definidas, los servidores, segn su direccin IP, se unirn automticamente a los sites adecuados (en el momento de la instalacin)
Sites
Subredes
Conceptos
Replicacin (II)
Entre DCs de un site la replicacin es automtica Entre DCs de distintos sites hay que configurar conectores Los conectores llevan asociados costes dependiendo de las posibles conexiones fsicas
Conceptos
FSMO (I)
Conceptos
FSMO (II)
Emulador de PDC
Uno por dominio Da servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0 Sincroniza tiempos y sincroniza la creacin de polticas de grupo Domain Master Browser Se determina el servidor en:
Active Directory Users and Computers (botn derecho dominio) Men Operations Masters Tab PDC
Conceptos
FSMO (III)
Active Directory Users and Computers (botn derecho dominio) Men Operations Masters Tab RID
Conceptos
FSMO (IV)
Infrastructure Master
Uno por dominio Responsable de la comprobacin de pertenencia a grupos universales en entornos multidominio Responsable de la actualizacin de referencias de objetos de su dominio a otros dominios Se determina el servidor en:
Active Directory Users and Computers (botn derecho dominio) Men Operations Masters Tab Infrastructure
Conceptos
FSMO (V)
Active Directory Domains and Trusts (botn derecho en raz de la consola) Men Operations Master
Conceptos
FSMO (VI)
Schema Master
Uno por forest Controla cambios y actualizaciones del esquema Se determina el servidor en:
Registrar MMC de Active Directory Schema C:\>regsvr32 schmmgmt.dll C:\ Active Directory Schema (botn derecho en raz de la consola) Men Operations Master
Conceptos
FSMO (VII)
Los cambios de rol se pueden realizar tambin con Ntdsutil.exe Permite realizar mltiples operaciones
Conceptos
FSMO (VIII)
A travs de ntdsutil.exe
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin
Definicin formal de todos los objetos Directorio Activo y sus atributos Cada tipo de objeto (clase) deriva de una clase principal Top
Cada objeto dispone de atributos obligatorios y atributos opcionales Smil con una tabla de BBDD Relacional
Clase => Definicin en una fila de un objeto Atributos => Columnas que definen una clase
Cada atributo a su vez puede verse como una coleccin de posibles valores El Esquema se puede ver en la consola de Active Directory Schema
Cada objeto dispone de un RDN (Relative Distiguished Name) dentro de su mbito local (p.e. dentro de una OU) El DN de un objeto se compone de todos los RDN de l mismo y de todos sus contenedores
Ej. De DN
Cn=alex,ou=usuariosdemo,dc=zaltormovil,dc=local Common Name = alex Organizational Unit = usuariosdemo Domain Component = zaltormovil Domain Component = local
1. 2. 3. 4.
Objetos de tipo Security Principals (usuarios, grupos, equipos; objetos con acceso a recursos) adems disponen de SID
El nombre de un usuario o de un PC puede cambiar, pero su GUID no. EL GUID se puede ver con ADSI Edit
Atributo: objectGUID
Dentro de un dominio, cada DC dispone de una copia completa de la base de datos En un entorno multi-dominio se pueden multidesignar servidores que mantengan copias parciales de los datos de todo el forest
Cualquier DC puede tomar el rol de Catlogo Global El servidor de GC se usa para facilitar consultas en entornos multidominio Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site
En la consola (MMC) del esquema se puede indicar qu atributos se replican en el Catlogo Global
Define la raz de bsqueda en un servidor LDAP Muestra, entre otras cosas, las particiones bsicas a las que se puede conectar un cliente
Permite la bsqueda de un determinado valor en mltiples atributos simultneamente Se pone a disposicin de los usuarios un interface de bsqueda de gente
Se puede hacer una bsqueda en la casilla Nombre y se devolvern N resultados con diferentes coincidencias
Ejemplo:
Si se quiere que la gente pueda realizar una bsqueda por telfono mvil del usuario, se indexa el atributo mobile y se incluye en el ANR Uso de la consola de Schema de Directorio Activo
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin
Herramienta de soporte para realizar bsquedas LDAP Vale para cualquier tipo de servidor LDAP, no slo para AD
Pasos:
Conexin con un servidor LDAP
Por defecto devuelve RootDSE Opcin bind con usuario y contrasea Definir el mbito de la bsqueda (Base DN) Uso de filtros con sintaxis LDAP (Sintaxis LDAP) Profundidad de la bsqueda (En el mbito dado) Resultados a devolver (Qu atributos extraer)
Buscar
Base DN: cn=schema,cn=configuration,dc=zaltormovil,dc=local Filter: (&(objectCategory=attributeSchema)(isMemberOfPartialAttributeS et=TRUE)) Scope: Subtree Options - > Attributes: lDAPDisplayName
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin
Scripts
Windows pone a disposicin del sistema una librera que permite, entre otras cosas, acceder al Directorio Activo mediante cdigo
VBScript JScript
Scripts
Demo Script
Scripts
Technet Script Center
Coleccin de scripts que sirven como base para realizar tareas de administracin muy elaboradas Cientos de ejemplos agrupados por reas en TechNet Script Center
http://www.microsoft.com/technet/scriptcenter
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin
Por ejemplo MS Exchange aade nuevas pginas de propiedades a las propiedades de un usuario
En el apartado de configuracin
Determinan la localizacin o los idiomas en los que se mostrarn ciertos elementos de la consola de administracin
409 - ingls
Permite extender las propiedades de un usuario Dependiendo de los valores de sus atributos mostrar unas cosas u otras Atributo adminContextMenu
Men sencillo de ejemplo. Simplemente obtiene la informacin del objeto (path) y extrae su RDN
De esta forma se puede llamar a cualquier ejecutable que acepte parmetros por la lnea de comandos Ms informacin en:
http://msdn.microsoft.com/library/enhttp://msdn.microsoft.com/library/enus/netdir/ad/extending_the_user_interface_for_di rectory_objects.asp?frame=true
Men que obtiene el listado de grupos a los que pertenece un determinado usuario de manera recursiva.
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin
MMC que permite gestionar las polticas de manera mucho ms sencilla Interface muy intuitivo vlido para todo el forest Dispone de informes de aplicacin de GPO Permite aplicar GPOs por filtros de WMI (no slo por usuarios o grupos)
ADAM: Active Directory Application Mode Versin de Directorio Activo independiente de la infraestructura de la red Permite disponer de un Directorio Activo aislado y controlado til para aplicaciones independientes
No interfiere con AD de la red Sincronizable con AD de la red mediante Microsoft Identity Integration Server
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Bsquedas Scripts Extensin de la consola de administracin MMC Nuevas Utilidades Windows 2003 Herramientas de diagnstico y monitorizacin
Netdiag.exe
Realiza diversas comprobaciones de la red. til para trazar problemas de conectividad, DNS, LDAP, etc.
Dcdiag.exe
Dsastat.exe
Permite determinar si la estructura de DA de N servidores es igual (para verificar que se ha realizado la replicacin correctamente)
ReplMon.exe
Repadmin.exe
Utilidad muy extensa que permite trabajar con cmo est establecida la configuracin de replicacin
Referencias
www.microsoft.com/spain/TechNet/ www.zaltor.com