Directorio Activo de Windows.

Las pginas amarillas de la red.

Las normas que regulan la conexin fsica de los dispositivos implicados en la red slo resuelven el problema en su primer nivel. Una vez establecida la comunicacin hay que identificar a los elementos que van a utilizar la conexin, ofreciendo un nombre que sea ms cercano al hombre para hacer ms amigable esta identificacin de cara al usuario, para quien realmente se organiza esas vas de relacin. Las personas que utilizan la red son las que tienen que localizar servidores, impresoras, archivos, servicios, etc. En este sentido, cada sistema, cada fabricante, tiene completa libertad para establecer la identificacin de esos elementos, as como las propiedades que hay que definirle para que queden registrados y disponibles en su red, con la nica cortapisa de que sea una identidad exclusiva, lgicamente. Interesa, eso s, que sigan las recomendaciones de estos organismos para mantener cierta compatibilidad entre ellos. Dentro de una empresa, se tratar de homogeneizar los sistemas, las estrategias de nombres y la forma de acceder a los elementos disponibles, pero con la llegada de Internet y la promiscuidad de las conexiones que implica, la uniformidad de los sistemas desaparece y la exclusividad de los nombres peligra. Para organizar Internet evitando duplicaciones en las identidades de los ordenadores conectados a la Red surgi el IANA (Internet Addresing and Number Assignement) y otros organismos con la misin de encargarse de la asignacin de las direcciones IP y el Sistema de Nombres de Dominio (DNS) para marcar un orden en el nombre con el que cada entidad se da a conocer de cara al exterior. Estos organismos marcan un orden para evitar conflictos entre entidades pero es responsabilidad de cada corporacin la asignacin de nombres dentro del dominio que tiene registrado, disponiendo de completa libertad de establecer las normas que crea ms conveniente para la nomenclatura en su red. La funcin de los organismos rectores de Internet supone ms un arbitraje que una norma de conexin. Las posibilidades de intercambiar informacin de los elementos entre distintos sistemas, incluso de distintos fabricantes, no queda resuelta y puede ser un verdadero quebradero de cabeza para cualquier administrador que quiera facilitar a sus usuarios su relacin con otras entidades. Poder consultar nombres de servidores para obtener servicios o ficheros, disponer de informacin sobre telfonos y cargos de usuarios para una relacin ms efectiva entre las empresas, o en la misma empresa, en muchas ocasiones slo se consigue recurriendo a programas de bases de datos que mantengan la informacin que se considera til y pertinente, teniendo que planificar, adems, el acceso y mantenimiento de esos datos. Mantener la informacin de la red dentro del propio sistema de red y mantener la misma informacin con otras herramientas para su utilizacin por parte de los usuarios, se antoja una labor tediosa y dudosamente efectiva, a la que hay que dedicar, aunque sea mnimamente, unos recursos, humanos y materiales. Para resolver esta situacin, se hace imprescindible una plataforma comn entre sistemas que unifique la forma de identificar elementos y facilite su mantenimiento, publicacin e intercambio. Esta necesidad manifiesta en las comunicaciones

06/02/2006 | Valor aadido Danysoft | 902 123146 | www.danysoft.com | Pgina 1.7

Plan de Formacin

informticas fueron el punto de partida de los trabajos de la Universidad de Michigan para desarrollar una base universal en la que pudieran registrarse todos los elementos que se conectaran a la red. La sntesis de esos trabajos son lo que se conoce hoy como especificaciones X.500. Las especificaciones X.500 son, en realidad, un conjunto de recomendaciones que se agrupan bajo este nombre. X.500, X.501, X.511, X.519, X.520 y X.521, son las normas encaminadas a regir el desarrollo de un servicio que facilite la comunicacin entre entidades software y personas, permitiendo la bsqueda de elementos basndose en la coincidencia de unos atributos. Adems de estas facilidades para la comunicacin, este tipo de servicio tambin est tomando cierto auge en la actualidad por las posibilidades que ofrece como depsito de los certificados que son empleados para enlaces y transacciones seguras. Este servicio, segn lo define estas especificaciones, se apoya en una base de datos distribuida y consta de varios elementos. Por una parte se encuentra la Base de Informacin del Directorio (BID), donde reside la informacin relevante de los elementos de la red, usuarios, mquinas o programas. Por otra est los Agentes del Sistema de Directorio (ASD), que es el programa que se encarga de mantener la parte de la BID distribuida. Y por ltimo Agentes de Usuario para Directorio (AUD), que son los programas que permiten comunicarse con el Directorio. Con estos elementos, si un usuario o aplicacin quiere obtener alguna informacin sobre las propiedades definidas de otro elemento registrado en la BID, debe utilizar un AUD, que se encarga de traducir la peticin al Directorio utilizando el protocolo DAP (Directory Access Protocol). Como el Directorio es distribuido, objetivo que se consigue mediante los ASD, cuando se hace una consulta en local y la informacin no est reflejada en esa base, el propio ASD se encarga de solicitar la informacin a otros ASD, mediante el protocolo DSP (Directory System Protocol). Estos componentes manejan una informacin estructurada de forma jerrquica, o por niveles, cuya representacin lgica se denomina Arbol de Informacin de Directorio. Los elementos registrados en estas especificaciones, denominados objetos hoja o nodo, se inscriben con un nombre, representado por la abreviatura CN (Common Name), dentro de otros objetos que actan como agrupadores lgicos y que establecen la jerarqua. As, habr inicialmente una raz desde donde cuelgan los contenedores de primer nivel, el pas, representado por la abreviatura C(Country), utilizado para representar un rea geogrfica de mbito nacional. A continuacin, y dentro de este nivel, se localiza la organizacin, O (Organization), empleado para representar una entidad y en donde se ubican los contenedores de tercer nivel, las Unidades Organizativas, OU (Organization Unit), usados para representar grupos de trabajo, departamentos, proyectos, etc. Con esta estructura se puede representar el organigrama de cualquier organizacin con todo nivel de detalle. De esta forma, el nombre de un elemento estar formado por su denominacin ms la estructura jerrquica en la que est inscrito, formando lo que se conoce como Nombre Distinguido de ese elemento. As, el usuario Pepe, inscrito en el contenedor de Distribuidores de la empresa Danysoft en la divisin de Espaa, sera conocido en la red como CN=Pepe,OU=SP,O=Danysoft,C=Es. A nivel de programa se manejara esta nomenclatura, pero a nivel de usuario puede abreviarse omitiendo las siglas que identifican los tipos de objetos: Pepe,SP,Danysoft,Es en lo que se llama Nombre Distinguido Abreviado. La raz de este rbol, siempre se presupone y normalmente se omite, quedando representada por . en el caso de mencionarla. La ventaja inmediata de este sistema es la facilidad con la que pueden resolverse las duplicidades de nombres de usuario dentro de la red. Con esta
Pgina 2/7 | Servicios Profesionales Danysoft | www.danysoft.com | T. 902 343484

Area de Formacin Grupo Danysoft: Cursos de Formacin para la plataforma .NET

estructura puede haber en el sistema definido ms de un Pepe, pero no en el mismo contenedor. Aunque a primera vista este tratamiento de los elementos de la red parece ser estrictamente lgico, parejo a lo que es el organigrama de la empresa, lo cierto es que permite una completa estructuracin de la red a todos los niveles. Si en el mbito lgico se encarga de agrupar elementos, reflejar las dependencias organizativas, etc., al nivel fsico ayuda a planificar y establecer aspectos importantes como pueden ser las conexiones, el trfico de red o la distribucin de recursos. Adems, la filosofa de funcionamiento de este modo de operar en la red ofrece una serie de ventajas que refuerzan la operatividad del sistema ya que le dota de una tolerancia a fallos aadida que resulta vital en redes que se encuentran desplegadas en distintas ubicaciones fsicas y consigue, tambin, una gran flexibilidad muy a tener en cuenta para contemplar el soporte a los clientes que tienen una alta movilidad entre las distintas ubicaciones.
Los programadores tambin implicados. Aunque pueda parecer que los servicios de Directorio es un tema que slo incumbe a los tcnicos de sistema, no es as. Los tcnicos encargados de desarrollar software tienen que estar interesados en conocer y seguir la evolucin de este servicio y del protocolo LDAP. La razn no estriba slo en poder incorporar esta tecnologa a los desarrollos que se hagan, si no porque tambin implica toda una filosofa. El funcionamiento de este protocolo est fundamentado en la estructura que articula Internet. Conocer el protocolo es conocer La Red y no hay que olvidar que ste es el prximo escenario en donde se acomodar toda la informtica no pasando mucho tiempo.

As, disponiendo de una rplica de la Base de Informacin de Directorio en el servidor de cada ubicacin, los usuarios de cada red no necesitan tener que conectar con otra para registrar su sesin y podrn trabajar con independencia del estado operativo de los servidores del resto de localizaciones. Igualmente, los usuarios de una ubicacin que se desplacen a otra no necesitan tener que conectar directamente con su delegacin para poder trabajar en la red: los servidores disponen de la informacin necesaria para validar o rechazar las sesiones de usuario. Incluso, a una mala, si en alguna de las ubicaciones caen los servidores, y disponiendo de la conexin adecuada, los usuarios afectados pueden seguir utilizando los servicios disponibles de la red, conectando contra los servidores de la ubicacin en la que si hay operatividad. Todo esto redunda en una ms cmoda y flexible administracin en donde tienen cabida tanto los modelos centralizados como los descentralizados, acomodndose perfectamente a cualquier red con independencia de su envergadura. Para los administradores y los usuarios, la red resulta ms fcil y rpida de comprender para su mejor utilizacin, y, como ya se ha comentado, permite implementar ciertas medidas de tolerancia a fallos acordes con modestas expectativas de disponibilidad sin necesidad de recurrir a costosas y complejas soluciones. Supone, en definitiva, una importante reduccin de los costes de propiedad (TCO). Active Directory. Para Microsoft, las especificaciones X.500 se implementan a partir de Windows 2000 con el famoso Directorio Activo, piedra angular en la que se apoya el nuevo concepto de red de este fabricante, en donde la SAM de Windows NT 4.0 se sustituye por la DIT (Directory Information Tree). Esta es la Base de Informacin del
www.danysoft.com 902 123146 - Pgina 3/7

Plan de Formacin

Directorio para Windows 2000, una base implementada partiendo del motor de Microsoft Jet, ya empleado en Microsoft Exchange Server, producto ste cuya tecnologa ha inspirado muchas de las funciones contempladas en el nuevo sistema operativo. En esta base, DIT, se almacena la informacin que definen los elementos de la red, objetos hoja, que estarn asociados a un objeto contenedor que podrn ser un Dominio, DC, en un primer nivel, o una Unidad Organizativa, OU, para niveles inferiores. Los Dominios se agrupan jerrquicamente, formando espacios de nombre contiguos que se denominan rboles, un conjunto de dominios que confan entre s y que comparten una misma raz de nombre. En una red pueden existir distintos rboles, formando Bosques, que permite cubrir las distintas necesidades de nombres que pueda requerir una entidad. Una red W2000 estar formada por un Bosque que contendr uno o varios rboles. La Base de Informacin del Directorio en Windows 2000 es completamente distribuida puesto que cada controlador de dominio se ocupa de sostener los elementos registrados en su dominio. El nexo entre los distintos dominios lo proporciona el Catlogo Global que acta como un ndice de todos los objetos del Bosque, manteniendo slo un extracto de los atributos de stos. Este Catlogo Global acta como cach para acelerar y simplificar la localizacin de objetos a travs del Bosque sin necesidad de tener que acudir a los controladores de dominio a recabar la informacin solicitada. Vista la acomodacin de la base de informacin de directorio en Windows, queda ver como resuelve Microsoft el agente de servidor para el servicio de directorio. Este agente se ejecuta en los servidores de Windows 2000-2003 que son controladores de dominio. Es decir, la promocin de un servidor Windows a controlador de dominio, lleva implcita la creacin de la estructura de archivo en la que se aloja los servicios de directorio y la ejecucin del agente encargado de su manejo. Adems, de otros servicios o agentes, que se encargan de diversas tareas relacionadas con el sostenimiento del servicio, como puede ser Kerberos, para la seguridad de acceso, KDCC, para el descubrimiento de rutas de sincronizacin o NTFRS, para la sincronizacin de archivos. Para los clientes, el agente encargado de comunicar con el directorio de Windows se obtiene de distinta manera. Los clientes ms recientes a partir de Windows 2000, lo incorporan de serie, por decirlo de manera directa, integrado en el sistema operativo. Cualquier equipo que monte Windows 2000 Professional XP estn de por s perfectamente capacitados para trabajar con el Directorio Activo. No ocurre lo mismo con los clientes anteriores. Windows 9X, Millenium y NT no conocen la nueva estructura de dominio y para que puedan integrarse en igualdad de condiciones, es imprescindible instalar el agente que les permita participar en el Directorio Activo. Este software, DS Client, es de distribucin gratuita y se puede encontrar en el CDROM de Windows 2000 Server, junto a otras herramientas complementarias, como el soporte para el reciente protocolo de impresin por web IPP, Internet Print Protocol.
No es lo mismo. La instalacin del cliente de directorio en los equipos Windows9X-NT, significa que podrn operar bajo la estructura del nuevo dominio, pero no implica que se vayan a comportar de la misma manera a como lo hace Windows 2000 XP. No hay que perder de vista que las ltimas versiones de la familia Windows incorporan una serie de funcionalidades que no estn presentes en las ediciones anteriores y esta perspectiva es la que determinar que funciones pueden o no aplicarse. Un ejemplo son los parmetros de configuracin que se pueden definir mediante directivas, GPOs. No todos los parmetros disponibles se pueden configurar para equipos basados en Windows 9X.

Pgina 4/7 | Servicios Profesionales Danysoft | www.danysoft.com | T. 902 343484

Area de Formacin Grupo Danysoft: Cursos de Formacin para la plataforma .NET No obstante, la paz y tranquilidad del sistema en su conjunto est garantizada. Aquellos parmetros que en una determinada plataforma no soporta, simplemente se ignoran, no se aplican. Habr que tener en cuenta esta circunstancia para evaluar los resultados esperados.

La situacin ideal, lgicamente, es que todos los controladores de dominio existentes en la red sean de Windows 2000/2003 y los clientes Windows 2000/XP. Como no siempre esta situacin se produce, Microsoft contempla la posibilidad de que esos elementos obsoletos puedan operar con el Directorio Activo aunque no lo sepan manejar. En aquellos escenarios en los que deben convivir controladores de dominio de NT y del Directorio Activo, este ltimo opera en modo mixto, que es el modo en que promueven los controladores del Directorio Activo por defecto. En oposicin al modo nativo, en el que todos los controladores son Windows 2000/2003 y todos ellos saben manejar perfectamente las particularidades de este directorio. El paso de modo mixto a nativo es inmediato, mientras que el paso contrario no est permitido. En modo mixto, los controladores de NT slo pueden desempear el rol de BDC, puesto que el PDC se reserva para un controlador Windows 2000, el que tenga asignado el rol de PDC Emulator. Los controladores de NT, sincronizarn su dominio tomando como referencia al PDC Emulator y replican la informacin tal y como ellos la manejan. La posibilidad de mantener esta convivencia entre familias, permite que la transicin de NT a Windows 2000-2003 no resulte traumtica y pueda realizarse de forma escalonada. Otra novedad importante que se introduce en el dominio de Windows 2000 vigente, es la obligatoriedad de disponer de un servidor DNS en el que apoyarlo. Esa estructura de bosque y rbol comentada anteriormente, resulta, en la prctica, similar al espacio de nombres utilizado en Internet, lo que evidencia, por otro lado, la vocacin de Microsoft por mantener una coherente lnea de compatibilidad con el resto de la industria. El mecanismo que utiliza Internet para resolver los nombres de hosts y servicios no es otro que DNS. La resolucin de nombre que implementa Microsoft, es totalmente compatible con los estndares de la industria. Exchange, SQL y todos los dems. Si en la red la conjuncin de estos servicios y protocolos ofrece considerables ventajas, en los sistemas de mensajera electrnica este servicio se vuelve fundamental como facilidad aadida al trabajo de los usuarios. Implementando en el sistema basado en X.500 el servicio LDAP como apoyo del correo electrnico, la agenda de direcciones pblica de los usuarios toma una nueva dimensin sin que represente una trabajo extra para los administradores del sistema. stos segn hacen el mantenimiento de los elementos de la red, estn realizando, simultneamente, el mantenimiento de la agenda o directorio pblico que se emplea con el programa de correo que utilicen los usuarios, desde cualquier ubicacin, ya sea dentro de la oficina o cuando se conectan en remoto, e independiente del programa de correo que quieran utilizar. Es decir, ya no hay porque tener que mantener una base con los elementos de la red y otra base con los elementos a los que se puede dirigir correo, en el servidor de correo. Lgicamente, la informacin que se publica no tiene por qu ser toda la disponible. Hay informacin que por razones de seguridad, de discrecin y otros motivos interesa que determinados datos no se difundan de forma indiscriminada. Las implementaciones LDAP de los fabricantes tienen en cuanta esta consideracin y Microsoft no es menos, correspondiendo esta responsabilidad al administrador del sistema, cuando configura el servicio, o dentro de las propiedades de cada objeto,

www.danysoft.com 902 123146 - Pgina 5/7

Plan de Formacin

definir si se publicar o no un determinado elemento y en el caso de hacerse pblico que nivel de informacin sobre l se mostrar a propios y extraos. En Microsoft Exchange Server los nombres de las entidades a las que se pueden direccionar mensajes pueden ser publicadas utilizando LDAP. Para cada una de estas entidades se puede definir multitud de campos en los que especificar distintos datos: nombre, direccin, telfono de contacto, cargo, etc. Y toda esta informacin puede ser utilizada por los usuarios del correo para establecer parmetros de bsqueda que le permitan localizar los destinatarios de sus mensajes o, simplemente, informacin para resolver otra necesidad, desde cualquier programa de correo que pueda entender este tipo de servicio. En este programa estar disponible el acceso por este protocolo activndolo en el apartado de Protocolos y definiendo su funcionamiento en las propiedades. Desde el punto de vista del cliente, qu programa se encarga de proporcionar el servicio de Directorio carece de importancia. Slo importa el grado de cumplimiento que el servidor y el cliente tengan sobre el protocolo LDAP, sobre las RFCs correspondientes, para que se entiendan mejor o peor. Para utilizar la informacin que puede proporcionar el servidor del Directorio Windows, bastar con definir una cuenta para tal fin en el cliente. En Outlook Express se har mediante la opcin de men que se encuentra en Herramientas, Cuentas. Para Netscape Comunicator u otros, el proceso es muy similar. De esta forma, no slo los clientes propios pueden acceder a las lista de correo, tambin lo pueden hacer otros, ajenos por completo al sistema. El soporte del Directorio Activo en las nuevas versiones de Exchange es tan fuerte que no es posible montar una organizacin con este programa de mensajera si no existe desplegado y funcionando un Directorio Activo. Y los beneficios del Directorio Activo no se detienen aqu. Microsoft SQL Server, sigue una pauta similar para facilitar su implantacin en el mundo Windows. Aunque puede parecer que no tienen nada que ver, la gestin de usuarios. Otros servicios de red, DCHP, el acceso remoto va RAS, Terminal Server, la autenticacin RADIUS de IAS y un largo etctera de servicios y aplicaciones, tienen como base de operacin al Directorio Activo. Windows 2003 lo mejora. La irrupcin de Windows 2003 en el mercado, ha trado consigo una nueva versin del Directorio Activo, en donde las novedades hay que buscarlas ms en las funcionalidades y manejo que en su estructura conceptual. Ciertos aspectos de la funcionalidad con las que naci este servicio de directorio, han sido remozadas e incorporadas en Windows 2003. Ya se puede contar con un directorio que es ms escalable y ms veloz en la bsqueda de objetos, validacin y replicacin. As, ahora es posible abordar el cambio de nombre de dominio de una manera asequible, aunque nunca exenta de riesgos, cosa que antes era totalmente imposible de realizar sin desmontar la estructura existente, con todas las implicaciones que una operacin de tal envergadura supone. Un cambio que se plantea raramente, pero que puede ser necesario abordar, provocado por modificaciones en la estructura de la organizacin, como puede ser una fusin, o por diseos iniciales inadecuados, por un anlisis previo defectuoso o por falta de informacin correcta. Microsoft tambin ha conseguido que esta nueva versin sea ms compatible con los estndares de Internet, lo que le hace ser un directorio ms flexible y abierto

Pgina 6/7 | Servicios Profesionales Danysoft | www.danysoft.com | T. 902 343484

Area de Formacin Grupo Danysoft: Cursos de Formacin para la plataforma .NET

para interoperar con el resto de productos de otros fabricantes. Ahora es posible utilizar LDAP de forma ms segura mediante TLS, la autenticacin MD5, ya presente en Windows 2000, se ajusta completamente al estndar del IETF, RFC 2829, se ha incorporado la clase InetOrgPerson como objeto usuario, y un largo etc. que refuerzan esa compatibilidad. Y su manejo, tambin se ha visto mejorado con unas consolas de gestin que han ganado en capacidad. El coste de incorporar estas mejoras es reducido. En la prctica, montar dominios de Windows 2003 sigue resultando fcil, en aquellos entornos que disponen ya del Directorio Activo de Windows 2000, asimilar el nuevo dominio, no es inmediato y requiere de un anlisis y planificacin previa que permita una incorporacin sin estridencias. En cualquier caso, las ventajas que aporta el nuevo Directorio Activo, hace que merezca la pena la inversin de tiempo y esfuerzo para su incorporacin, sobre todo en aquellos sistemas que mantengan estructuras complejas o una fuerte relacin con el exterior.

Para ms informacin no dude en consultarnos en el 902 343484, o va email en sp@danysoft.com

www.danysoft.com 902 123146 - Pgina 7/7