Domain Name System

De Wikipedia, la enciclopedia libre

Saltar a navegacin, bsqueda Domain Name System (DNS)
Familia: Funcin: Familia de protocolos de Internet Resolucin de nombres de dominio 53/UDP, 53/TCP

Puertos:

Ubicacin en la pila de protocolos Aplicacin DNS Transporte TCP o UDP Red IP

Estndares:

RFC 1034 (1987) RFC 1035 (1987)

Domain Name System (o DNS, en espaol: sistema de nombre de dominio) es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. El DNS es una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de informacin a cada nombre, los usos ms comunes son la asignacin de nombres de dominio a direcciones IP y la localizacin de los servidores de correo electrnico de cada dominio. La asignacin de nombres a direcciones IP es ciertamente la funcin ms conocida de los protocolos DNS. Por ejemplo, si la direccin IP del sitio FTP de prox.mx es 200.64.128.4, la mayora de la gente llega a este equipo especificando ftp.prox.mx y no la direccin IP. Adems de ser ms fcil de recordar, el nombre es ms fiable. La direccin numrica podra cambiar por muchas razones, sin que tenga que cambiar el nombre.

Inicialmente, el DNS naci de la necesidad de recordar fcilmente los nombres de todos los servidores conectados a Internet. En un inicio, SRI (ahora SRI International) alojaba un archivo llamado HOSTS que contena todos los nombres de dominio conocidos (tcnicamente, este archivo an existe - la mayora de los sistemas operativos actuales todava pueden ser configurados para revisar su archivo hosts). El crecimiento explosivo de la red caus que el sistema de nombres centralizado en el archivo hosts no resultara prctico y en 1983, Paul Mockapetris public los RFCs 882 y 883 definiendo lo que hoy en da ha evolucionado hacia el DNS moderno. (Estos RFCs han quedado obsoletos por la publicacin en 1987 de los RFCs 1034 y 1035).

Contenido
[ocultar]

1 Componentes 2 Entendiendo las partes de un nombre de dominio 3 DNS en el mundo real 4 Jerarqua DNS 5 Tipos de servidores DNS 6 Software usado en servidores DNS 7 Tipos de resolucin de nombres de dominio 8 Tipos de registros DNS 9 Vase tambin 10 Enlaces externos

[editar] Componentes
Para la operacin prctica del sistema DNS se utilizan tres componentes principales:

Los Clientes DNS: Un programa cliente DNS que se ejecuta en la computadora del usuario y que genera peticiones DNS de resolucin de nombres a un servidor DNS (Por ejemplo: Qu direccin IP corresponde a nombre.dominio?); Los Servidores DNS: Que contestan las peticiones de los clientes. Los servidores recursivos tienen la capacidad de reenviar la peticin a otro servidor si no disponen de la direccin solicitada. Y las Zonas de autoridad, porciones del espacio de nombres de dominio que almacenan los datos. Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos ltimos no son delegados a otras zonas de autoridad.

[editar] Entendiendo las partes de un nombre de dominio

Un nombre de dominio usualmente consiste en dos o ms partes (tcnicamente etiquetas), separadas por puntos cuando se las escribe en forma de texto. Por ejemplo, www.mohamedalid.org o es.Wikipedia.org

A la etiqueta ubicada ms a la derecha se le llama dominio de nivel superior (ingls < Top Level Domain). Como org en www.mahomedalid.org o es en
www.Wikipedia.es

Cada etiqueta a la izquierda especifica una subdivisin o subdominio. Ntese que "subdominio" expresa dependencia relativa, no dependencia absoluta. En teora, esta subdivisin puede tener hasta 127 niveles, y cada etiqueta contener hasta 63 caracteres, pero restringido a que la longitud total del nombre del dominio no exceda los 255 caracteres, aunque en la prctica los dominios son casi siempre mucho ms cortos. Finalmente, la parte ms a la izquierda del dominio suele expresar el nombre de la mquina (en ingls hostname). El resto del nombre de dominio simplemente especifica la manera de crear una ruta lgica a la informacin requerida. Por ejemplo, el dominio es.Wikipedia.org tendra el nombre de la mquina "es", aunque en este caso no se refiere a una mquina fsica en particular.

El DNS consiste en un conjunto jerrquico de servidores DNS. Cada dominio o subdominio tiene una o ms zonas de autoridad que publican la informacin acerca del dominio y los nombres de servicios de cualquier dominio incluido. La jerarqua de las zonas de autoridad coincide con la jerarqua de los dominios. Al inicio de esa jerarqua se encuentra los servidores raz: los servidores que responden cuando se busca resolver un dominio de primer y segundo nivel.

[editar] DNS en el mundo real

Los usuarios generalmente no se comunican directamente con el servidor DNS: la resolucin de nombres se hace de forma transparente por las aplicaciones del cliente (por ejemplo, navegadores, clientes de correo y otras aplicaciones que usan Internet). Al realizar una peticin que requiere una bsqueda de DNS, la peticin se enva al servidor DNS local del sistema operativo. El sistema operativo, antes de establecer ninguna comunicacin, comprueba si la respuesta se encuentra en la memoria cach. En el caso de que no se encuentre, la peticin se enviar a uno o ms servidores dns. La mayora de usuarios domsticos utilizan como servidor DNS el proporcionado por el proveedor de servicios de Internet. La direccin de estos servidores puede ser configurada de forma manual o automtica mediante DHCP. En otros casos, los administradores de red tienen configurados sus propios servidores DNS.

En cualquier caso, los servidores DNS que reciben la peticin, buscan en primer lugar si disponen de la respuesta en la memoria cach. Si es as, sirven la respuesta; en caso contrario, iniciaran la bsqueda de manera recursiva. Una vez encontrada la respuesta, el servidor DNS guardar el resultado en su memoria cach para futuros usos y devuelve el resultado.

[editar] Jerarqua DNS

El espacio de nombres de dominio tiene una estructura arborescente. Las hojas y los nodos del rbol se utilizan como etiquetas de los medios. Un nombre de dominio completo de un objeto consiste en la concatenacin de todas las etiquetas de un camino. Las etiquetas son cadenas alfanumricas (con '-' como nico smbolo permitido), deben contar con al menos un carcter y un mximo de 63 caracteres de longitud, y deber comenzar con una letra (y no con '-') (ver la RFC 1035, seccin "2.3.1. Preferencia nombre de la sintaxis "). Las etiquetas individuales estn separadas por puntos. Un nombre de dominio termina con un punto (aunque este ltimo punto generalmente se omite, ya que es puramente formal). Un

FQDN correcto (tambin llamado Fully Qualified Domain Name), es por ejemplo este: www.example.com. (Incluyendo el punto al final) Un nombre de dominio debe incluir todos los puntos y tiene una longitud mxima de 255 caracteres. Un nombre de dominio se escribe siempre de derecha a izquierda. El punto en el extremo derecho de un nombre de dominio separa la etiqueta de la raz de la jerarqua (en ingls, root). Este primer nivel es tambin conocido como dominio de nivel superior (TLD). Los objetos de un dominio DNS (por ejemplo, el nombre del equipo) se registran en un archivo de zona, ubicado en uno o ms servidores de nombres.

[editar] Tipos de servidores DNS

Preferidos: Guardan los datos de un espacio de nombres en sus ficheros Alternativos: Obtienen los datos de los servidores primarios a travs de una transferencia de zona. Locales o Cach: Funcionan con el mismo software, pero no contienen la base de datos para la resolucin de nombres. Cuando se les realiza una consulta, estos a su vez consultan a los servidores secundarios, almacenando la respuesta en su base de datos para agilizar la repeticin de estas peticiones en el futuro continuo o libre.

[editar] Software usado en servidores DNS

Bind PowerDNS MaraDNS djbdns pdnsd MyDNS DNS (Windows 2000/2003/2008) dnsmasq

[editar] Tipos de resolucin de nombres de dominio

Existen dos tipos de consultas que un cliente puede hacer a un servidor DNS:

Recursiva Iterativa

En las consultas recursivas, consisten en la mejor respuesta que el servidor de nombres pueda dar. El servidor de nombres consulta sus datos locales (incluyendo su cach) buscando los datos solicitados. Las consultas iterativas, o resolucin iterativa el servidor no tiene la informacin en sus datos locales, por lo que busca un servidor raiz y repite el mismo proceso bsico (consultar a un servidor remoto y seguir a la siguiente referencia) hasta que obtiene la respuesta a la pregunta.

Cuando existe ms de un servidor autoritario para una zona, Bind utiliza el menor valor en la mtrica RTT (round-trip time) para seleccionar el servidor. El RTT es una medida para determinar cunto tarda un servidor en responder una consulta. El proceso de resolucin normal se da de la siguiente manera: 1. 2. 3. 4. 5. 6. 7. 8. 9. El servidor A recibe una consulta recursiva desde el cliente DNS. El servidor A enva una consulta iterativa a B. El servidor B refiere a A otro servidor de nombres, incluyendo a C. El servidor A enva una consulta iterativa a C. El servidor C refiere a A otro servidor de nombres, incluyendo a D. El servidor A enva una consulta iterativa a D. El servidor D responde. El servidor A regresa la respuesta al resolver. El resolver entrega la resolucin al programa que solicit la informacin.

(Domain Name System) Sistema de Nombres de Dominio. Conjunto de protocolos y servicios para la identificacin/conversin de una direccin de internet expresada en lenguaje natural por una direccin IP. Una URL (direccin para acceder a una pgina web) est compuesta por palabras separadas por puntos (ej: www.alegsa.com.ar), para acceder a la misma, slo se debe recordar estas palabras. Esta direccin URL est asociada a un nmero (direccin IP) que identifica el servidor que se ha de contactar para verla (por ej: 200.10.123.01). El servicio DNS se encarga de asociar una direccin URL a una direccin IP.

Active Directory
De Wikipedia, la enciclopedia libre
Saltar a navegacin, bsqueda Active Directory (AD) es el trmino utilizado por Microsoft para referirse a su implementacin de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, kerberos...). Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso.1

Contenido
[ocultar]

1 Estructura

2 Funcionamiento [2] o 2.1 Intercambio entre dominios 2.1.1 Confianza transitiva 2.1.2 Confianza explcita 2.1.3 Confianza de Acceso Directo 2.1.4 Confianza entre bosques o 2.2 Direccionamientos a recursos 3 Diferencias entre Windows NT y Active Directory 4 Interfaces de programacin[3] 5 Requisitos de instalacin[4] 6 Alternativas[5] 7 Referencias 8 Enlaces externos

[editar] Estructura
Active Directory esta basado en una serie de estndares llamados (X.500), aqu se encuentra una definicin lgica a modo jerrquico. Dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS, razn por la cual Active Directory requiere uno o ms servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lgicos de la red, como el listado de usuarios. Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, ser reconocido en todo el rbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios. A su vez, los rboles pueden integrarse en un espacio comn denominado bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relacin de trust o confianza entre ellos. De este modo los usuarios y recursos de los distintos rboles sern visibles entre ellos, manteniendo cada estructura de rbol el propio Active Directory.

[editar] Funcionamiento
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la informacin relativa a un dominio de autenticacin. La ventaja que presenta esto es la sincronizacin presente entre los distintos servidores de autenticacin de todo el dominio.

A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email, etctera, las impresoras de red tendrn campo nombre, campo fabricante, campo modelo, campo "usuarios que pueden acceder", etc). Toda esta informacin queda almacenada en Active Directory replicndose de forma automtica entre todos los servidores que controlan el acceso al dominio. De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administracin, los eventuales cambios sern visibles en todo el mbito. Para decirlo en otras palabras, Active Directory es un implementacin de servicio de directorio en una red distribuida centralizado que facilita el control, la administracin y la consulta de todos los elementos lgicos de una red (como pueden ser usuarios, equipos y recursos).

[editar] Intercambio entre dominios2

Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa un trust (en espaol, relacin de confianza). El trust es creado automticamente cuando se crean nuevos dominios. Los lmites del trust no son marcados por dominio, sino por el bosque al cual pertenece. Existen trust transitivos, donde los trust de Active Directory pueden ser un acceso directo (une dos dominios en rboles diferentes, transitivo, una o dos vas), bosque (transitivo, una o dos vas), reino (transitivo o no transitivo, una o dos vas), o externo (no transitivo, una o dos vas), para conectarse a otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque tambin soporta NTLM y usuarios webs mediante autenticacin SSL / TLS [editar] Confianza transitiva Las Confianzas transitivas son confianzas automticas de dos vas que existen entre dominios en Active Directory. [editar] Confianza explcita Las Confianzas explcitas son aquellas que establecen las relaciones de forma manual para entregar una ruta de acceso para la autenticacin. Este tipo de relacin puede ser de una o dos vas, dependiendo de la aplicacin. Las Confianzas explcitas se utilizan con frecuencia para acceder a dominios compuestos por ordenadores con Windows NT 4.0. [editar] Confianza de Acceso Directo La Confianza de acceso directo es, esencialmente, una confianza explcita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite

incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticacin. [editar] Confianza entre bosques La Confianza entre bosques permite la interconexin entre bosques de dominios, creando relaciones transitivas de doble va. En Windows 2000, las confianzas entre bosques son de tipo explcito, al contrario de Windows Server 2003.

[editar] Direccionamientos a recursos

Los direccionamientos a recursos de Active Directory son estndares con la Convencin Universal de Nombrado (UNC), Localizador Uniforme de Recursos (URL) y nombrado de LDAP. Cada objeto de la red posee un nombre de distincin (en ingls, Distinguished name (DN)), as una impresora llamada Imprime en una Unidad Organizativa (en ingls, Organizational Units, OU) llamada Ventas y un dominio foo.org, puede escribirse de las siguientes formas para ser direccionado:

en DN sera CN=Imprime,OU=Ventas,DC=foo,DC=org, donde o CN es el nombre comn (en ingls, Common Name) o DC es clase de objeto de dominio (en ingls, Domain object Class). En forma cannica sera foo.org/Ventas/Imprime

Los otros mtodos de direccionamiento constituyen una forma local de localizar un recurso

Distincin de Nombre Relativo (en ingls, Relative Distinguised Name (RDN)), que busca un recurso slo con el Nombre Comn (CN). Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es usado por Active Directory para buscar y replicar informacin

Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en ingls, User Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un directorio de la red. Su forma es objetodered@dominio

[editar] Diferencias entre Windows NT y Active Directory

A diferencia del anterior sistema de administracin de dominios de Windows NT Server, que prevea nicamente el dominio de administracin, Active Directory permite tambin crear estructuras jerrquicas de dominios y subdominios, facilitando la estructuracin de los recursos segn su localizacin o funcin dentro de la organizacin a la que sirven. Otra diferencia importante es el uso de estndares como X.500 y LDAP para el acceso a la informacin.

[editar] Interfaces de programacin3

Las interfaces de servicio de Active Directory (ADSI) entregan al programador una interfaz orientada a objetos, facilitando la creacin de programas de directorios mediante algunas herramientas compatibles con lenguajes de alto nivel, como Visual Basic, sin tener que lidiar con los distintos espacios de nombres. Mediante las ADSI se permite crear programas que realizan un nico acceso a varios recursos del entorno de red, sin importar si estn basados en LDAP u otro protocolo. Adems, permite generar secuencias de comandos para los administradores. Tambin se puede desarrollar la Interfaz de mensajera (MAPI), que permite generar programas MAPI.

[editar] Requisitos de instalacin4

Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados:

Tener cualquier versin Server de Windows 2000 o 2003 (Server, Advanced Server o Datacenter Server),en el caso de 2003 server, tener instalado el service pack 1 en la mquina. Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una direccin asignada por DHCP, Tener un servidor de nombre de DNS, para resolver la direccin de los distintos recursos fsicos presentes en la red Poseer ms de 250 MB en una unidad de disco formateada en NTFS.

Novedades de Active Directory

ltima Actualizacin: 9 de diciembre de 2002 En esta pgina Ventajas Mejoras y caractersticas nuevas Artculos Relacionados

El servicio Active Directory proporciona la capacidad de establecer un nico inicio de sesin y un repositorio central de informacin para toda su infraestructura, lo que simplifica ampliamente la administracin de usuarios y equipos y proporciona una obtencin de acceso superior a los recursos en red. Este artculo proporciona una introduccin a las ventajas, caractersticas nuevas y mejoras de Active Directory en Windows Server 2003.

Introduccin tcnica a Active Directory (en ingls) Presentacin de la familia de Windows Server 2003 Introduccin a la tecnologa .NET Servicios de directorio de Windows 2000 (en ingls)

Ventajas

Las mejoras en Active Directory proporcionan ventajas estratgicas clave para las empresas grandes y medianas y permiten una productividad mayor al administrador y a los usuarios. Ampliando las bases establecidas en Windows 2000, Windows Server 2003 mejora la versatilidad, la capacidad de administracin y la confiabilidad de Active Directory. Las organizaciones pueden beneficiarse de reducciones de costos adicionales a la vez que aumentan la eficacia en compartir y administrar los diversos elementos de la empresa. Ventaja Mayor flexibilidad Descripcin Active Directory introduce caractersticas nuevas importantes que aseguran que es una de las estructuras de directorios ms flexibles actualmente en el mercado. A medida que las aplicaciones compatibles con directorios aumentan su prevalencia, las organizaciones pueden utilizar las capacidades de Active Directory para administrar los entornos de red empresariales ms complicados. Desde los centros de datos de Internet a las grandes empresas distribuidas en sucursales, las mejoras que proporciona Windows Server 2003 simplifican la administracin y aumentan el rendimiento y la eficacia, lo que lo convierte en una solucin muy verstil. Active Directory ha sido mejorado para reducir el costo total de la propiedad (TCO) y el funcionamiento dentro de la empresa. Las nuevas caractersticas y mejoras han sido proporcionadas a todos los niveles del producto para ampliar la versatilidad, simplificar la administracin e incrementar la confiabilidad.

Costo total de la propiedad reducido

Mejoras y caractersticas nuevas

Windows Server 2003 aporta diversas mejoras a Active Directory y posibilita que su uso

sea aun ms verstil, confiable y econmico. Especficamente, Active Directory en Windows Server 2003 proporciona:

Una implementacin y administracin ms sencilla. Mayor seguridad. Mejoras en el rendimiento y la confiabilidad.

Una implementacin y administracin ms sencilla Windows Server 2003 mejora la posibilidad de que el administrador configure y administre de forma eficaz Active Directory incluso en grandes empresas con diversos bosques, dominios y sitios. Las herramientas mejoradas de migracin y administracin, junto con la posibilidad de renombrar dominios de Active Directory, hacen que la implementacin de Active Directory sea significativamente ms sencilla que la primera vez que se introdujo el servicio de directorio en Windows 2000 Server. Las mejores herramientas proporcionan capacidades de arrastrar y soltar, seleccin de objetos mltiples y la posibilidad de guardar consultas y volver a utilizarlas. Es ms, las mejoras en la Directiva de grupo facilitan y hacen que sea ms eficaz la administracin de grupos de usuarios y equipos en un entorno de Active Directory. Ventaja ADMT versin 2.0 Descripcin Ahora es ms fcil migrar a Active Directory a travs de diversas mejoras que han sido realizadas en la herramienta de migracin de Active Directory (ADMT). ADMT 2.0 permite ahora la migracin de contraseas de Microsoft Windows NT 4.0 a Windows 2000 y Windows Server 2003 o desde dominios de Windows 2000 a dominios de Windows Server 2003. Esta caracterstica es compatible con el cambio del Sistema de nombres de dominio (DNS) y/o los nombres de NetBIOS en dominios existentes en un bosque, de manera que el bosque resultante todava est "bien formado". Los administradores tienen una mayor flexibilidad para cambiar la estructura de Active Directory tras su implementacin. Las decisiones acerca del diseo ahora son reversibles, lo cual beneficia a las organizaciones que puedan estar involucradas en una fusin o en una reestructuracin importante. Se ha mejorado la flexibilidad de Active Directory para permitir la desactivacin de definiciones de atributos y clases en el esquema de Active Directory. Los atributos y las clases pueden volver a definirse si ha habido un error en la definicin original. Active Directory en modo de aplicacin (AD/AM) es una nueva capacidad de Active Directory que controla determinadas situaciones de implementacin relacionadas con aplicaciones compatibles con directorios. AD/AM se ejecuta como un servicio que no es un sistema operativo y, como tal, no requiere implementacin en un controlador

Cambio de nombre del dominio

Redefinir esquemas

AD/AM

de dominio. La ejecucin como servicio que no es un sistema operativo significa que las instancias mltiples de AD/AM pueden ejecutarse de forma simultnea en un nico servidor, siendo cada instancia configurable de forma independiente. Nota: AD/AM se publicar como componente independiente con Windows Server 2003. Mejoras de la Directiva de grupo Junto con Windows Server 2003, Microsoft publica una solucin de administracin de la Directiva de grupo que unifica la administracin de la Directiva de grupo. La Consola de administracin de directivas de grupo (GPMC) de Microsoft proporciona una nica solucin para administrar todas las tareas relacionadas con la Directiva de grupo. La GPMC permite que los administradores administren la Directiva de grupo para diversos dominios y sitios dentro de un bosque determinado, todo ello en una interfaz de usuario (UI) simplificada con compatibilidad para arrastrar y soltar. Entre las funciones destacables estn las funciones nuevas como la copia de seguridad, la restauracin, la importacin, la copia y la elaboracin de informes de objetos de Directiva de grupo (GPO). Estas operaciones permiten la creacin de secuencias de comandos, lo cual permite a los administradores personalizar y automatizar la administracin. Juntas, estas ventajas hacen que la Directiva de grupo sea mucho ms sencilla de utilizar y ayudan a administrar la empresa de una manera ms rentable.

Interfaz de Como principal medio para administrar relaciones, objetos e usuario mejorada identidades empresariales, las interfaces mejoradas aumentan la eficacia de la administracin y las capacidades de integracin. Los complementos de Microsoft Management Console (MMC) incluyen ahora capacidades de arrastrar y soltar, seleccin de objetos mltiples y la posibilidad de guardar consultas y volver a utilizarlas. Ahora, los administradores pueden modificar objetos mltiples de usuario de forma simultnea, restablecer los permisos de las listas de control de acceso (ACL) al valor predeterminado, mostrar permisos efectivos de una entidad principal de seguridad e indicar el elemento primario del que se hered el permiso. Mayor seguridad Las caractersticas de seguridad adicionales facilitan la administracin de las diversas relaciones de confianza entre bosques y entre dominios. Las relaciones de confianza entre bosques proporcionan un nuevo tipo de confianza de Windows para administrar la relacin de seguridad entre dos bosques, con lo que se simplifica enormemente la autenticacin y la administracin de seguridad entre bosques. Los usuarios pueden obtener un acceso seguro a los recursos de otros bosques sin tener que sacrificar las ventajas administrativas y del inicio de sesin nico de tener solamente un Id. de usuario y una contrasea que se mantienen en el bosque inicial del usuario. Esto proporciona la flexibilidad de contar con la necesidad de que algunas divisiones o reas tengan su propio bosque y continuar

manteniendo las ventajas de Active Directory. Adems, un nuevo administrador de credenciales proporciona un almacn seguro de credenciales del usuario y certificados X.509. Las directivas de restriccin de software permiten que los administradores eviten que se instalen programas no deseados en equipos a lo largo de la red. Ventaja Autenticacin entre bosques Descripcin La autenticacin entre bosques permite la obtencin de un acceso seguro a los recursos cuando la cuenta del usuario est en un bosque y la cuenta del equipo est en otro bosque. Esta caracterstica permite que los usuarios puedan obtener un acceso seguro a los recursos de otros bosques, utilizando Kerberos o NTLM, sin tener que sacrificar las ventajas administrativas y del inicio de sesin nico de tener solamente un Id. de usuario y una contrasea que se mantiene en el bosque inicial del usuario. La autorizacin entre bosques facilita a los administradores la seleccin de usuarios y grupos de bosques de confianza para su inclusin en grupos locales o ACL. Esta caracterstica mantiene la integridad de los lmites de seguridad del bosque y permite a la vez la confianza entre bosques. Permite que el bosque que otorga la confianza haga cumplir las limitaciones sobre aquello que los identificadores de seguridad (SID) aceptarn cuando los usuarios de los bosques que reciben la confianza intenten obtener acceso a los recursos protegidos. La caracterstica de relacin entre certificaciones del cliente de Windows Server 2003 se ha mejorado habilitando la capacidad de establecer relaciones entre certificaciones a nivel departamental y a nivel global. Por ejemplo, ahora WinLogon podr buscar relaciones entre certificaciones y descargarlas en el almacn de confianza de la empresa. A medida que se cree una cadena, se descargarn todas las relaciones entre certificados. Si los bosques de Active Directory estn en modo de relacin entre bosques con confianza bidireccional, el Servicio de autenticacin de Internet/Servicio de usuario de acceso telefnico de autenticacin remota (IAS/RADIUS) puede autenticar la cuenta del usuario en el otro bosque con esta caracterstica. Esto proporciona a los administradores la capacidad de integrar fcilmente nuevos bosques con servicios IAS/RADIUS ya existentes en su bosque. El administrador de credenciales proporciona un almacn seguro de credenciales de usuario, incluyendo contraseas y certificados X.509. Esto proporcionar un inicio de sesin nico coherente para los usuarios, incluidos los usuarios mviles. Por ejemplo, cuando un usuario obtiene acceso a una aplicacin de lnea de negocio dentro de la red de su empresa, el primero intento de obtencin de acceso a la

Autorizacin entre bosques

Mejoras entre certificaciones

IAS y la autenticacin entre bosques

Administrador de credenciales

aplicacin requiere la autenticacin, y se le solicita al usuario que proporcione una credencial. Despus de que el usuario proporcione este credencial, se le asociar con la aplicacin solicitante. Cuando vuelva a obtener acceso a la aplicacin, la credencial guardada volver a utilizarse sin solicitar ninguna informacin al usuario. Directivas de restriccin de software Las directivas de restriccin de software controlan la necesidad de regular el software desconocido o no confiable. Con las directivas de restriccin de software, puede proteger su entorno informtico de software no confiable, identificando y especificando el software que se permite ejecutar. Puede definir un nivel de seguridad predeterminado de no restringido o no permitido para un objeto de Directiva de grupo (GPO), de tal forma que se permita o no que el software se ejecute de forma predeterminada. Puede hacer excepciones a este nivel de seguridad predeterminado, mediante la creacin de normas para software especfico.

Mejoras en el rendimiento y la confiabilidad Windows Server 2003 administra con ms eficacia la replicacin y sincronizacin de la informacin de Active Directory. Los administradores pueden controlar mejor los tipos de informacin que se replican o sincronizan entre controladores de dominio que estn dentro de un dominio o entre dominios. Adems, Active Directory proporciona ms caractersticas para seleccionar de forma inteligente solamente la informacin modificada que debe replicarse; es decir, ya no es necesaria la actualizacin de porciones completas de cdigo del directorio. Ventaja Inicio de sesin ms sencillo para las oficinas remotas Descripcin Las sucursales con controladores de dominio pueden proporcionar inicios de sesin del usuario a travs de credenciales en la cach sin ponerse primero en contacto con el catlogo global, mejorando la solidez y el rendimiento del sistema a travs de redes de rea extensa (WAN) no confiables. La prdida de conectividad entre una sucursal y un catlogo global ya no afecta a la posibilidad de inicio de sesin de los usuarios de las sucursales. Puede proporcionarse soporte tcnico de una forma ms eficaz a las sucursales y se reduce el consumo de ancho de banda a travs de vnculos de WAN. A medida que se agregan, modifican o suprimen miembros de un grupo, nicamente se replican las modificaciones, una ventaja que reduce la carga en ancho de banda de red y uso del procesador. Esto elimina en gran manera la posibilidad de perder actualizaciones durante las actualizaciones simultneas. No es necesario que alguna informacin de directorio sea de libre disponibilidad. Esta caracterstica proporciona la capacidad de alojar

Mejoras en la replicacin de pertenencia a grupos Particiones de directorio de

aplicaciones

datos en Active Directory sin que ello afecte de forma significativa al rendimiento de la red, proporcionando control sobre el mbito de replicacin y la ubicacin de las rplicas. En lugar de replicar una copia completa de la base de datos de Active Directory a travs de la red, esta caracterstica permite a un administrador buscar el origen de la replicacin inicial a partir de archivos creados al realizar una copia de seguridad de un controlador de dominio o de un servidor de catlogo global existente. Active Directory incluye diversas caractersticas nuevas que aumentan la confiabilidad, como la supervisin de estado, que permite que los administradores verifiquen las replicaciones entre controladores de dominio, la replicacin de catlogo global mejorada y un generador de topologa entre sitios (ISTG) que realiza un escalado mejor mediante la compatibilidad con bosques con un mayor nmero de sitios que Windows 2000.

Instalar rplicas desde medios

Mejoras de confiabilidad