10 cosas que debes saber de Active Directory

Webinar: Diciembre 2012

Adrin Rivas

MS Active Directory
DNS
Exchange
Virtualizacin
Seguridad en end-point
Seguridad Antispam
Direccin de equipos de soporte

Microsoft
Citrix
Trend Micro
Vmware
Hauri
Cyberoam

Consultor de Seguridad en Software

EXPERIENCIA

Informacin General

Agenda

Agenda

1. Objetivo
2. Temario
3. 10 cosas que tienes que saber de Active
Directory

4. Resumen
5. Recomendaciones

1. Objetivo
Exponer como diagnosticar y solucionar algunos
problemas comunes de Active Directory, con el fin de
minimizar las interrupciones en el negocio.

OBJETIVO

OBJETIVO

Temario

TEMARIO

1. Introduccin
2. 10 Puntos que debes saber sobre Active Directory
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)

Busque las soluciones simples primero

Compruebe que DNS funciona correctamente
Utiliza DCDIAG para diagnosticar
Eliminar metadatos extintos correctamente
Cuidado al utilizar ADSI Edit
Cuidado con los Snapshots en controladores
Active Directory, motor de almacenamiento extensible
Restauracin autoritativa y no autoritativa
Compruebe los permisos NTFS
Respaldo de controladores de dominio

3. Resumen
4. Conclusiones

Algunos datos de Active Directory

El 17 de Junio del ao 2000.
Es una plataforma escalable y flexible.
Los iniciadores Novell y Banyan, posteriormente SUN.
Share MKT AD DS : 90% de las 2000 empresas ms grandes del mundo.

Exchange 2000 primera aplicacin.

Repositorio centralizado de usuarios y el mecanismo fundamental de autenticacin.
12 aos despus, los administradores temen modificar el Schema.
Last man Standing, es considerado el producto ms estable de MS.

Datos sobre AD

10 Cosas que debes saber sobre Active Directory

Componentes de AD DS
o Una Base de Datos multi-master
o Un Schema

o Un Catlogo Global
o Un mecanismo de indexado
o Un servicio de replicacin
o Flexible Single Master Operations o FSMO

Beneficios
o
o
o
o

Autenticacin de inicio de sesin.

Control de acceso a los recursos.
Single Sign-on
Organizacin y gestin jerrquica.

Componentes

Introduccin

Roles FSMO
Schema

Master:

Controla

las

actualizaciones al esquema.

Domain naming master:

adicin o
remocin de dominios en el bosque.

Infrastructure Master:

actualizar los

SID de los objetos.

Relative ID (RID) Master:

procesar

los requerimientos del pool de RID

PDC

Emulator:

sincroniza hora,
gestin de usuarios, edicin y publicacin
de polticas.

ROLES

Flexible Single Master Operations

Qu tipo de problemas has

tenido en tu ambiente de AD?
a)

Replicacin

b) Resolucin de Nombres (DNS)

c)

Seguridad (Usuarios)

d) Migracin, actualizacin
e) SNTP
f)

Auditoria

g)

Delegacin

Pregunta I

PREGUNTA

1. Busque las soluciones simples primero

Estn ubicados los roles FSMO?

Se han borrado objetos accidentalmente?
La replicacin opera correctamente?
La resolucin DNS opera correctamente?
Es necesario una restauracin?
Es un problema de red?

Investigar, analizar, asegurar, corregir.

Revise el visor de eventos en busca de evidencia.

Asumir es la madre de todos los errores

1 Soluciones simples

10 Cosas que debes saber sobre Active Directory

Qu tan crtico es Active Directory para la

operacin de tu negocio ?
a) Crtico
b) No es crtico
c) No se cuenta con un Active Directory

Pregunta II

PREGUNTA

2. Compruebe que DNS funciona correctamente

A revisar:
o Nombre de dominio (2000 y 2003, 2008)
o Resolucin interna y externa
o Uso correcto de renviadores
o Respaldo de zonas
o Resolucin inversa

o Verificar loops
Posibles consecuencias:
Lentitud en inicio de sesin
Trfico de red
Problemas de acceso a Internet
Fallos de autenticacin

2 DNS

10 Cosas que debes saber sobre Active Directory

Pregunta III

PREGUNTA

Qu versin de Windows AD
opera en tu organizacin?

a) 2000
b) 2003
c) 2008
d) 2008 R2

3. Utiliza DCDIAG para diagnosticar

DCDIAG: Comando para diagnsticos
Analiza el estado de uno o todos los controladores de dominio.

o DNS (Reenviadores, root hints, forwarders,

reversa, IP Dinmica)

o Disponibilidad KDC.
o Transmisin y recepcin de UDP
para DC
o Reloj de Sistema.
o Verifica estado de cuentas de
equipo de DC

3 DCDIAG

10 Cosas que debes saber sobre Active Directory

Pregunta IV

PREGUNTA

Tu Active Directory es
auditado peridicamente?
a) Si
b) No
c) No aplica

4. Eliminar metadatos extintos correctamente

A. Ntdsutil.exe puede ser utilizado para:
i.

Mantenimiento de la base de datos.

ii.

Remover metadatos dejados por

controladores extintos o mal
desinstalados.

Esta herramienta
debe ser usada por
administradores
expertos.

Posibles consecuencias:
Errores en replicacin
Lentitud de inicios de sesin
Corrupcin de AD

Metadatos

10 Cosas que debes saber sobre Active Directory

ADSI Edit

10 Cosas que debes saber sobre Active Directory

5. Cuidado al utilizar ADSI Edit

Active Directory Service Interfaces Editor

Esta
herramienta
debe ser usada por
administradores
expertos.

6. Cuidado con los Snapshots en controladores

RECUERDA
A. Las transacciones estn numeradas

B. El ltimo que escribe un cambio gana.

DC Snapshots

10 Cosas que debes saber sobre Active Directory

7. Active Directory, motor de almacenamiento

extensible
ESEUTIL puede reparar una base de datos, pero
hay que tener cuidado pues es posible perder
informacin.

Esta herramienta
debe ser usada por
administradores
expertos.

Motor de Almacenamiento Extensible

10 Cosas que debes saber sobre Active Directory

8. Restauracin autoritativa y no autoritativa

Restauracin No Autoritativa:
-

Default: No autoritativa
Sincronizacin al finalizar

Restauracin Autoritativa :
-

Se anuncia como el DC ms
actual
Sincronizacin al finalizar

Antes

Despus

TIP:
Para restablecer la contrasea de administrador DSRM
En el smbolo del sistema de Ntdsutil:
set dsrm password.
reset password on server null
reset password on server nombreDeServidor

Esta herramienta
debe ser usada por
administradores
expertos.

Restauracin

10 Cosas que debes saber sobre Active Directory

9: Compruebe los permisos NTFS

Error: Los servicios relacionados no inician.
Esta configuracin
debe ser usada por
administradores
expertos.

Permisos NTFS en raz son

demasiado restrictivos.

Permisos NTFS carpeta

demasiado restrictivos.

Cambio en la letra de la
unidad de la BD de AD.

Permisos NTFS

10 Cosas que debes saber sobre Active Directory

10. Respaldo de controladores de dominio

Respaldo de estado del sistema
A. Realice respaldos peridicos.
B. Dentro de su proceso de respaldo, realice pruebas de restauracin.

5 Tipos
1.
2.
3.
4.
5.

Seguridad
Diaria
Diferencial
Incremental
Normal

Respaldos

10 Cosas que debes saber sobre Active Directory

Pregunta V

PREGUNTA

Qu tipo de respaldo realizas

de tu Active Directory?
a) Normal
b) Incremental
c) Diferencial
d) Ninguno

10 cosas que tienes que saber sobre Active Directory

Busque las soluciones simples primero

Compruebe que DNS funciona correctamente
Utiliza DCDIAG para diagnosticar
Eliminar metadatos extintos correctamente
Cuidado al utilizar ADSI Edit
Cuidado con los Snapshots en controladores
AD motor de almacenamiento extensible
Restauracin autoritativa y no autoritativa
Compruebe los permisos NTFS
Respaldo de controladores de dominio

En Resumen

Resumen

Negocio

Conclusiones

Impacto al negocio
Algunos Sntomas

Fallos de autenticacin
Perdida de productividad
Lentitud
Distraccin por consecuencias
Perdida de informacin en AD
Fuga de informacin

Check List
Consecuencias

Interrupcin en el negocio
Paro de operaciones
Prdida de informacin
Fuga de informacin

Incidente
Diagnstico

Correccin y/o recuperacin

Anlisis posterior al evento

No te quedes con ninguna duda

Preguntas

www.smartekh.com
* e-mail:
arivas@smartekh.com

REFERENCIAS
ROLES - Referencia: Aqu
DNS - Referencia: Aqu
AD DS - Referencia: Aqu
ADSI - Referencia: Aqu
NTDSUTIL & ESEUTIL - Referencia: Aqu y Aqu
DCDIAG - Referencia: Aqu
PERMISOS NTFS - Referencia: Aqu
REPLICACIN - Referencia: Aqu
RESPALDOS- Referencia: Aqu y Aqu

Documentacin

Para ms informacin

www.smartekh.com

Tu seguridad informtica es nuestra pasin