REPASO DE ACTIVE DIRECTORY

Conceptos y trminos

Estructura Lgica de Active Directory

AD se conforma de 2 partes muy importantes, una es la estructura lgica y otra que es la

estructura fsica y dentro de ellos hay ciertas reas o componentes que definen como funciona
nuestra solucin de AD.
ESTRUCTURA LOGICA
Tenemos componentes como

DOMINIO, es el contenedor bsico o ms simple dentro del AD, define una frontera
para todos los objetos que registramos dentro de l, un dominio es el directorio bsico
que se crea dentro del AD, dentro del dominio vamos a crear las cuentas de usuarios,
los grupos, polticas de grupos, restringsiones, configuraciones, impresoras
compartidas, carpetas compartidas publicadas a travs de AD, etc. Todos los objetos
que nosotros creamos en este dominio estn delimitados por esta frontera, es decir yo
puedo tener mltiples dominios en mi organizacin a travs de algunos otros
esquemas, pero los usuarios que estn relacionados con el Dominio1, no pertenecen y
pueden aplicar o recibir las configuraciones que nosotros definimos en el dominio2,
eso quiere decir que un dominio define una frontera de replicacin para los objetos
que se crean o pertenecen a este contenedor o componente de AD.
ARBOL, es cuando tenemos mltiples dominios que comparten o que tienen una
relacin jerrquica pero que estn compartiendo el mismo espacio de nombre de DNS,
es decir el Dominio principal o dominio1 podra llamarse EMPRESA.COM el dominio2
podra haberse definido para el departamento de ventas pero como pertenece al
mismo rbol, el nombre de este dominio debera de ser VENTAS.EMPRESA.COM y lo
mismo sucede para el dominio3 que es para el departamento de contabilidad, su
nombre debera de ser CONTABILIDAD.EMPRESA.COM es decir que este rbol est
compartiendo el mismo espacio de nombre de DNS o domino que es EMPRESA.COM
BOSQUE, est conformado por ms de un rbol, cuando implemento AD por primera
vez en la organizacin se crea un solo dominio que pertenece a un rbol, es decir
aunque yo maneje un solo dominio dentro de mi empresa, ese nico dominio reside
dentro de un bosque de AD, luego de haber creado mi primer dominio, yo puedo
empezar a crear mltiples arboles dentro de mi organizacin. La definicin de rbol es
todos aquellos dominios que comparten una estructura jerrquica y que al mismo
tiempo comparten el espacio de nombre de DNS es decir que en un rbol el espacio de
nombres es EMPRESAS.COM y en otro rbol podramos tener el espacio de nombres
MICROSOFT.COM, un bosque es la agrupacin de mltiples arboles de Dominio
definidos lgicamente a travs del AD

ESTRUCTURA FISICA
Este componente se obvia o no se le da bastante importancia en las mayoras de
implementaciones del AD, pues es algo que se auto configura cuando creo mi primer dominio,
esta autoconfiguracin es bsica y es indispensable que una vez que empiezo a crear mi
estructura lgica del AD, al mismo tiempo vaya diseando o modificando mi estructura fsica
segn la distribucin de mis equipos. La estructura Fsica como su nombre lo indica esta
intrnsecamente relacionada con la ubicacin geogrfica de los equipos o de mis servidores,
dentro de la organizacin.

SITIOS, nosotros los definimos a travs de la consola Site and Services y nos sirven para
decirles a los controladores de dominio, o a los servidores que administran nuestras
bases de datos de AD, como debe suceder la reaplicacion entre mltiples sitios, es
decir yo debo crea un sitio por cada ubicacin geogrfica donde tenemos un Domain
Controler, eso le sirve a nuestros controladores de dominios para saber cmo sucede
la replicacin dentro de un DC a otro por si existen limitaciones en cuanto a tiempo
seguridad, tipo de registro o prioridad para actualizar los cambios entre los mltiples
controladores de dominio en la organizacin. Ejemplo un sitio en Guatemala y otro
Sitio en Costa Rica
LINKS, es necesario que defina el vnculo o relacin que hay entre estos mltiples
sitios, dndole detalle como la caracterstica de Ancho de Banda, el nivel de utilizacin
que se maneja en estos enlaces, la confiabilidad que tiene los enlaces para transmisin
de datos, as como los calendarios y los horarios y prioridades, en las que podemos
replicar, para trasmitir el trfico de replicacin entre los mltiples AD.
SUBNETS o las pequeas redes por la definicin del TCP/IP los segmentos que
utilizamos en cada uno de nuestros sitios.

Otros conceptos que debemos de tomar en cuenta dentro del AD, son las Unidades
Organizacionales, que son pequeos contenedores que residen dentro de cada sitio del Ad, y
que nos sirven para agrupar usuarios o copiar la estructura organizacional de mi empresa.
Las particiones de Ad, funcionan detrs del escenario, existen muchos procesos, componentes
y objetos que no vemos, estas particiones son de alta importancia para el funcionamiento del
Ad, por que definen el que, el cmo y que se puede hacer dentro de mi dominio.

HERRAMIENTAS DE SOPORTE
Estas herramientas de soporte no vienen instaladas por default con el sistema operativo hay
que instalarla manualmente desde el men inicio en la carpeta Windows support tools al
instalarse las herramientas de soporte tenemos acceso a una lnea de comandos personalizada
que nos lleva directamente a la carpeta donde se instalaron directamente al comando DIR Y
podemos ver algunos o el listado de estas herramientas disponibles, tambin hay disponible
una herramienta de ayuda que tiene el listado o el ndice de herramientas donde nos muestra
el listado de todas esas herramientas. En esta consola de ayuda nos muestra un listado en
orden alfabtico basado en las tareas que necesitamos ejecutar.
Dos herramientas
Adsiedit. Msc
Replmon
En esa consola nos lleva a administrar las particiones del dominio del AD lo cual nos muestra
directamente estar conectados, y es administrado de las distintas particiones del AD

Particin de dominio
De esquema
Configuracin

PARTICIN DE DOMINIO
En estas se almacenan los objetos que pertenecas a ese dominio objetos de usuario, de grupo
polticas de grupo al expandir se encuentran mltiples contenedores el prefijo de estos
contenedores eje. OU unidad organizacional y ac dentro de cada una de estas se pueden ir
viendo las jerarquas de cada unidad organizacin de que se tiene definida dentro del AD.
En este caso se tiene una unidad organizacional alpine se tiene otras unidades anidadas y
dentro de estas esta la OU contractor, los usuarios son contenedores porque estos contiene
atributos o propiedades especificas ej. Daniela guaita y ese usuario tiene propios atributos

propios caractersticas atributos como nombre de usuarios, display name, primer apellido,
logon server, mail server etc. utilizando el filtro se muestran solamente los atributos que estn
definidos.
PARTICION DE CONFIGURACION
Es la que almacena y administra las reglas del juego para AD donde se replica y mantiene y
administra los registros de AD por ej. Un factor importante es el concepto de sitios que es
parte de la configuracin de sitios ac tenemos tambin contenedores los cuales representan
los vnculos o links existen del AD y tambin un objeto de subnet los cuales tienen registradas
las los segmentos de direcciones IP los cuales se relacionan con cada una de las ubicaciones
geogrficas o fsicos.
PARTICIN DE ESQUEMA
En esta se tiene la estructura de todas las tablas y propiedades de cada uno de los objetos del
AD ac no se guardan registros o propiedades solo se definen tablas y campos que llevan esas
tablas dentro de la base de datos del AD veamos por eje. El objeto usuario buscando el
contenedor usuario dentro del cual estn todos los posibles atributos o valores que pueden ir
agregando o editando a una cuenta de tipo usuario dentro del AD de la misma forma podemos
definir seguridad para determinar que usuarios pueden acceder o que grupos pueden acceder
y administrar estos registros y modificar estos objetos en AD.
PROCESOS DE REPLICACION Y ADMINISTRACION
Utilizando la herramienta de REPLMON el primer paso es darle un clic derecho y agregar el
servidor que queremos monitorear en este caso yo quiero extraer datos o analizar cmo ha
sido el comportamiento de replicacin del domain controller con el nombre sid-dc1 el primer
valor de importancias es el time stand o fecha en que se gener este reporte y que determina
cual fue es el status de replicacin a esta fecha ac lo que se ven son las diferentes particiones
que administra el servidor SYD-DC1 tenemos la particin de dominio la particin de
configuracin y particiones de esquema y la particin de aplicacin automticamente estas dos
son creadas y se utilizan para la replicacin de los datos de las zonas de DNS integradas con
AD. Vayamos a la particin de dominio y veamos que ac nos dice que el servidor SYD-DC1
actualmente replica la particin de dominio adatum.com con el servidor controlador de
dominio SYD-DC2 en la ventana del lado derecho podemos ver el status de replicacin cual ha
sido el resultado de la replicacin entre el servidor SYD-DC1 y SYD-DC2 por fecha y hora me va
a decir ac la fecha y la hora el nmero de serie de actualizacin de este servidor y el status si
fue exitoso o fallido de ese intento replicacin si se dan cuenta tenemos mltiples instancias
de replicacin para estos servidores en diferentes horarios y en diferentes fechas en estas
consolas va mucho ms all esta consola de replication monitor abarca o tiene un subset de
herramientas que permiten por ejemplo buscar informacin de los errores que ha habido de
replicacin a lo largo de la vida funcional del AD a travs de esta consola. Vamos a ver ac una
ejecucin de bsqueda oca lo nico que necesitamos es ingresar el nombre de nuestro
dominio fqln o de nuestro dominio AD el reporte ha sido completado con xito y ac tenemos
registros de fallas de replicacin entre servidor SYD-DC1 y SYD-DC2 fallo la replicacin de
particin de dominio, configuracin y de esquema ac el cdigo de error y tambin una
columna con descripcin un poco ms detallada de cual pudo haber sido la causa de la falla de
replicacin. Otras herramientas que tenemos ac por ejemplo es obtener informacin
instantnea del funcionamiento o comportamiento del AD por ejemplo ac status de los
objetos de las polticas de grupo de nuestro dominio o bien por ejemplo un listado de todas
los servidores de que ejecutan las funciones de catlogo global en nuestra organizacin de AD
vamos a utilizar otra de las herramientas muy tiles de replication monitor que es la

generacin de un reporte de status vamos a almacenar este reporte en la carpeta de

documentos y le vamos a poner un nombre cualquiera eje. Status presentamos una consola
para definir qu tipo de detalles se quiere en ese reporte se ha finalizado el reporte y luego se
va al contenedor de mis documentos para ver la bitcora que se acaba de crear y los detalles
que hay se inicia con la fecha y hora en que se gener el reporte y tambin el nombre del
servidor al que se ejecut el reporte ac dice que el SYD-DC1 administra las particiones que ya
conocemos la particin de dominio y configuracin de esquema y dos particiones de aplicacin
que utilizamos replicar datos de las zonas de DNS integrados con de AD y de la misma forma
me va da informacin sobre la conexin o de los objetos conectores de replicacin as como el
status detallado de los intentos de replicacin con los partners o con los otros domain
controlers la hora y fecha o bien si han habido fallas cuantas han existido y de ser posible
tambin un cdigo de error para esa falla. Ya Conocimos entonces una herramienta de
replmon ya conocimos la herramienta de adsiedit que son herramientas que son muy
importantes que debemos utilizar nosotros no solo en proceso de diagnstico de fallas sino de
forma proactiva es decir ejecutarlas regularmente en un calendario bimestral o trimestral en
nuestra organizacin para poder predecir posibles fallas o malos funcionamientos de solucin
de AD.
INTEGRACION DE EXCHANGE 2007 CON AD
Como Exchange server 2007 utiliza active directory
Estructura bsicas que define el funcionamiento del AD
BOSQUE
se define un bosque funcional el cual se utiliza como suceda en el 2003 solo se tena una
organizacin Exchange por cada forest funcional del AD pudiendo reutilizar mi organizacin de
Exchange para dar correo a mltiples dominio de forest que residen dentro de mi forest pero
no puedo montar dos organizaciones de Exchange dentro del mismo forest funcional de AD as
que la relacin es de uno a uno donde por cada forest podemos tener como mximo una
organizacin de Exchange y de la misma manera una organizacin de Exchange solo le puede
dar cobertura a un forest.
ESQUEMA
o particin de esquema de AD es ac donde se define la estructura bsica de base de datos
que tipos de objetos se pueden crear y los atributos de esos objetos y la relacin que tiene
Exchange server con particin de esquema AD es que ac dentro de esta particin Exchange
server 2007 esta particin va a almacenar o definir nuevos atributos estos nuevos atributos
son el definicin mail box en que servidor de Exchange se almacena el buzn del usuario,
restriccin de envi tamao, de seguridad y preferencias del usuario en cuanto a la solucin de
mensajera como su rea de smtp o si maneja otra rea o si le vamos acceso a otras area de
mensajera como pop3 imax4 etc.
CONFIGURACION
Exchange server 20007 utiliza esta particin para almacenar la informacin as como lo hace
AD para ver cmo est configurado a los niveles de seguridad de acceso para los servidores
delegacin de control para mltiples reas de la organizacin o mltiples roles de
organizacin de Exchange server 2007 y configuracin de polticas y el manejo de los email
address y las listas de direccin de correo todo eso lo almacena Exchange server 2007 dentro
de la particin de configuracin.
DOMINIO
Lo que Exchange server 2007 va almacenar son los buzones de los usuarios que cuentas
usuarios que ya existen en la cuenta de dominio, ya tienen habilitado las caractersticas de

mensajera quienes tienen un buzn o quienes simplemente tiene habilitado para enviar
correo, grupos de seguridad con direccin de correo grupos de distribucin etc. Esto se
almacena dentro de la particin de dominio.
GLOBAL CATALOG
Que es un ndice rpido de los servicios u objetos del active directory, el global catalog guarda
entonces un ndice rpido de todos los objetos que se utilizan con mayor frecuencia como
aquellos que se requieren utilizar y tienen que estar disponibles tanto para los servidores
como para los usuarios o clientes, para que utiliza global ctalog Exchange server 2007 para
ubicar por eje. Todos los usuarios que tienen correo habilitado de las listas de distribucin y de
la misma forma no solo los servidor de Exchange server 2007 requieren global catalog sino
tambin los clientes de mensajera que utilizan Outlook o que utilizan Outlook Access
requieren tambin tener acceso o poder contactar a los servidores de global catalog aunque
una diferencia trascendental con versiones anteriores de la solucin de mensajera es que
Exchange server 2007 funciona como un proxy para esas conexiones de esas solicitudes que
generan los usuarios hacia el servidor del global catalog es decir que ahora los usuarios o los
clientes de Outlook ya no contactan con los servidores de global catalog de AD sino que
contactan al servidor de Exchange server 2007 para que este en nombre de ellos haga la
solicitud y devuelva la respuesta a los usuarios esto con el afn de mejorar los niveles de
seguridad y prevenir o minimizar los accesos que no son indispensables a servicios
fundamentales tanto en nuestra organizacin como los servicios de global catalog.
ROLES DE EXCHANGE
ROL DE SERVIDOR CONCENTRADOR DE TRANSPORTE
O hub transport su funcin principal es administrar todo el transporte de la mensajera
dentro de la organizacin de Exchange server 2007.
ROL DE SERVIDOR DE BUZONES
O mail box server este rol es el ms parecido al de Exchange server 2003 que conocamos
este rol se va a encargar nica y especficamente de administrar las bases de datos donde
se almacenan los correos electrnicos de los usuarios y las carpetas pblicas o la base de
datos de carpetas pblicas es decir el servidor de mail box es el nico que tiene acceso a
Los registros o a los correos electrnicos o la base de datos donde se almacena toda esa
informacin de los usuarios que tienen correo o tiene buzn habilitado en la solucin de
mensajera.
ROL DE SERVIDOR TRANSPORTE PERIMETRAL
Este rol no es obligatorio en el servicio de mensajera este es uno de los roles ms
innovadores que ofrece el servicio de mensajera de Exchange server 2007, este rol de
transporte perimetral se encarga de toda la seguridad de virus dentro de la organizacin
de correo o bien todos los controles de higiene de mensajera o bien controles de
antispam pero la principal diferencia comparado con las soluciones de Exchange server
2003 es que este rol debe estar completamente despegado del dominio AD es decir debe
ser una maquina completamente estndar o que no pertenezca al dominio de AD porque
es un dispositivo que es vulnerable o susceptible de ataques y generalmente se coloca al
frente de la organizacin o al permetro obviamente estamos hablando de la mdz o la red
perimetral donde ubicamos los servidores pblicos que dan la cara hacia internet esta rol
de transporte perimetral no tiene contacto directo con los servicios internos de AD ni con
los servicios de Exchange server 2007 nicamente puede contactar travs de una
suscripcin especifica al servidor de hub transport y de all tener acceso hacer el ruteo de
los mensajes hacia dentro de la organizacin de Exchange server 2007 es decir es un

control adicional de seguridad es un nivel extra de seguridad que podemos implementar

en nuestra organizacin a diferencia de los otros 4 roles concentrador de transporte,
servidor de buzones, acceso de cliente, mensajera unificada, el rol transporte perimetral
es el nico que no puede ser instalado en el mismo hardware fsico en el que exista
cualquiera de los otros 4 roles concentrador de transporte, servidor de buzones,
transporte perimetral, acceso de cliente, mensajera unificada, pueden ser instalados en el
mismo hardware o el mismo servidor la nica limitacin seria los recursos de hardware
sobre los cuales se va a instalar.
ROL DE SERVIDOR ACCESO AL CLIENTE
Este rol se encarga de la conectividad de todos los usuarios de mensajera hacia el servidor de
buzones porque es necesario un rol adicional esto para segmentar completamente la
seguridad y poder aplicar mltiples servidores cubriendo este rol y garantizar alta
disponibilidad o bien utilizar segmentacin para seguridad y administracin o delegacin de
administracin a nivel de los mltiples roles, el rol entonces de acceso de cliente se encarga de
otorgar o limitar el acceso de los clientes de mensajera hacia los servicios internos de
Exchange server 2007 por eje. Un cliente de pop3 necesita acceder o conectar al servidor que
tiene o que ejecuta el rol de acceso cliente para tener acceso al servidor de buzones de
mensajes para poder ver o enviar un mensaje los cliente ya no contactan directamente al
servidor de buzones sino que lo hacen contactan directamente al acceso de clientes la nica
excepcin a esta regla son los cliente Outlook que utilizan por default el protocolo mapi
recordemos que este es el protocolo propietario de Microsoft que se utiliza para la transmisin
de envo de mensajes entre los cliente de Outlook y Exchange server 2003 es decir que los
cliente que utilicen Outlook 2003,outlook xp y outlook 2007 si pueden contactar
directamente con el servidor de mail box o al servidor de buzones y acceder a sus correos
electrnicos pero una vez que estos usuarios requieran otro tipo de acceso como owa pop3 o
pop4, imax4 o los servicios de active Exchange think requiere hacer la conexin a travs de
acceso clientes.
ROL DE SERVIDOR MENSAJERIA UNIFICADA
Este rol similar o de la misma forma que el rol de transporte perimetral no es obligatorio que
lo instalemos ni tampoco es requerido para el funcionamiento de la organizacin de
mensajera pero si le da una gama de caractersticas adicionales o nuevas caractersticas a
nuestro organizacin de mensajera de que se encarga entonces el rol la mensajera unificada
de ofrecer servicios de fax o de administracin de fax y ofrecer a los clientes un punto nico o
central para tener acceso a su informacin ese punto central su seria su cliente de mensajera
Outlook 2007 para tener acceso tanto a sus correo como servicios de fax y tambin mensajera
de voz a travs del rol de mensajera unificada podemos integrar nuestros servicios de correo
electrnico con una planta que nosotros tengamos en la organizacin basada en ip que puede
ser una planta ip-pbx y ofrecerle a nuestros usuarios la administracin de su mensajera de voz
a travs de un cliente ya conocido como es el cliente de Outlook.
MESSAGE ROUTING UTILIZA LOS SITIOS DE ACTIVE DIRECTORY
Recordemos que en la plataforma de Exchange server 2003 si yo tenia una
Como Exchange server accede a informacin del dominio