Header Ads Widget

Ticker

6/recent/ticker-posts

Controladores de dominio en Active Directory

 controlador de dominio


Los controladores de dominio son la pieza clave de la infraestructura de red del directorio activo, ya que son responsables de autenticar a todos los usuarios y equipos del dominio. El servicio de nombres de dominio o DNS es una pieza fundamental para respaldar el proceso de inicio de sesión y autenticación. Dos tipos de controladores de dominio son de solo lectura y de lectura y escritura. La versión de solo lectura contiene una copia de la base de datos ADDS que es de solo lectura. Como su nombre lo indica, los controladores de dominio de lectura y escritura también tienen la capacidad de escribir en la base de datos ADDS.

Componentes clave de un controlador de dominio

  • Aloje la base de datos de AD conocida como NTDS.DIT ​​y SYSVOL
  • Utilice la autenticación Kerberos
  • Debe tener al menos dos controladores de dominio para la redundancia

El controlador de dominio almacena el archivo NTDS.DIT ​​que contiene toda la información sobre cada objeto en ese dominio. La carpeta SYSVOL también está en el controlador de dominio. SYSVOL se usa para almacenar plantillas para usar con la directiva de grupoCualquier controlador de dominio de la red puede realizar cambios en la base de datos a menos que sea un controlador de dominio de solo lectura. Active Directory luego usa un proceso conocido como replicación para mantener todos los controladores de dominio actualizados y sincronizados entre sí. Active Directory también proporciona autenticación Kerberos para usuarios y equipos. Este servicio utiliza el Centro de distribución de claves para emitir TGT para que las computadoras inicien sesión en el dominio. Algunos controladores de dominio también tendrán una copia del catálogo global. Es una buena práctica tener al menos dos controladores de dominio para la redundancia. Si solo tiene un controlador de dominio y hay una falla, toda la red se verá afectada.

El Catálogo Global

  • Contiene un conjunto de atributos parcial para otros dominios del bosque.
  • Admite consultas de objetos en todo el bosque
  • Normalmente en el primer controlador de dominio del dominio raíz del bosque

La replicación del NTDS.DIT ​​está contenida dentro del dominio. Como tal, debe haber un método para permitir la búsqueda más allá de un dominio en el bosque y esto es lo que proporciona el catálogo global. Esta base de datos distribuida o cada objeto de todos los dominios es lo que lo hace posible. Dado que el catálogo global necesita realizar un seguimiento de una gran cantidad de objetos, no contiene todos los atributos de cada objeto. El catálogo global utiliza un conjunto reducido de atributos que probablemente serían los más útiles para los usuarios que intentan buscar recursos en la red. Si el catálogo global tuviera que mantener todos los atributos, sería demasiado intensivo en recursos y replicación. Los atributos comunes que se pueden buscar incluyen nombre, nombre para mostrar y ubicación.

Iniciar sesión en el dominio

  • Utiliza un proceso de dos pasos
  • El usuario proporciona el nombre de usuario y la contraseña y, si el nombre de usuario y la contraseña se validan con la base de datos de AD DS, el usuario se autentica y el controlador de dominio emite un TGT. El usuario aún no tiene acceso a ningún recurso.
  • Un proceso secundario envía el TGT al controlador de dominio para solicitar acceso a la computadora local. Se emite un ticket de servicio al usuario, que luego puede utilizar la computadora local. El usuario ahora está autenticado en AD DS e iniciado sesión en la máquina local.

Al iniciar sesión en el dominio, los registros SRV se utilizan para encontrar el controlador de dominio más cercano. Los registros de recursos de servicio contienen información sobre los servicios disponibles y están en DNS en todos los controladores de dominio. El uso de esta búsqueda de DNS proporciona a los clientes el controlador de dominio más adecuado para atender la solicitud de inicio de sesión. Una vez que el usuario o la computadora inician sesión, se otorga un token de acceso que contiene los SID para el usuario y sus grupos de miembros. Es con este token que se otorgan derechos y permisos al usuario a través del dominio. Los usuarios, las computadoras y los grupos tienen un SID único.

Sitios de Active Directory

When a client uses SRV records to find a domain controller, it will use a local site as the first option. Sites are defined in ADDS by administrators usually based on network connectivity and bandwidth availability. A remote office that is connected via a less than reliable wide area network connection would be an example of a location that should be defined as its own site.

Operations Masters

All domain controllers are not created equal. Well, they are mostly equal but some tasks are completed only via single master and this is where different types of operations masters come into play. These are named operations masters, single masters, or flexible single master operations. I know, confusing, right?

The forest contains one schema master
El bosque contiene un maestro de nombres de dominio
El dominio tiene un maestro RID
El dominio tiene un maestro de infraestructura
El dominio tiene un emulador de PDC

The schema master is the domain controller where schema changes are made. A user needs to be a member of Schema Admins as well as Enterprise Admins in order to make changes. The domain naming master is the domain controller responsible for adding or removing a domain or making any DNS changes. The RID master handles the replication ID and ensures that no domain controller will accidentally assign the same SID to two different objects. The infrastructure master role is a service that handles cross-domain object references such as group membership. When you view the member of the information of an object, what is really happening is a SID lookup. The infrastructure master maintains the integrity of these associations. Lastly, you have on PDC emulator or primary domain controller emulator master. The PDC handles time for the domain. PDC’s across domains in a forest synchronize to the PDC in the forest root domain. This PDC in the forest root domain is configured to sync with an external atomic time source. Password changes are routed through the PDC emulator as well as for use with the editing of Group Policy Objects.

Publicar un comentario

0 Comentarios