Post Top Ad

Your Ad Spot

martes, 8 de septiembre de 2020

Controladores de dominio en Active Directory

 controlador de dominio

Los controladores de dominio son la pieza clave de la infraestructura de red del directorio activo, ya que son responsables de autenticar a todos los usuarios y computadoras en el dominio. El servicio de nombres de dominio o DNS es una pieza fundamental para respaldar el proceso de inicio de sesión y autenticación. Dos tipos de controladores de dominio son de solo lectura y de lectura y escritura. La versión de solo lectura contiene una copia de la base de datos ADDS que es de solo lectura. Como su nombre lo indica, los controladores de dominio de lectura y escritura también tienen la capacidad de escribir en la base de datos ADDS.

Componentes clave de un controlador de dominio

  • Aloje la base de datos de AD conocida como NTDS.DIT ​​y SYSVOL
  • Utilice la autenticación Kerberos
  • Debe tener al menos dos controladores de dominio para la redundancia

El controlador de dominio almacena el archivo NTDS.DIT ​​que contiene toda la información sobre cada objeto en ese dominio. La carpeta SYSVOL también está en el controlador de dominio. SYSVOL se usa para almacenar plantillas para usar con la directiva de grupoCualquier controlador de dominio de la red puede realizar cambios en la base de datos a menos que sea un controlador de dominio de solo lectura. Active Directory luego usa un proceso conocido como replicación para mantener todos los controladores de dominio actualizados y sincronizados entre sí. Active Directory también proporciona autenticación Kerberos para usuarios y equipos. Este servicio utiliza el Centro de distribución de claves para emitir TGT para que las computadoras inicien sesión en el dominio. Algunos controladores de dominio también tendrán una copia del catálogo global. Es una buena práctica tener al menos dos controladores de dominio para la redundancia. Si solo tiene un controlador de dominio y hay una falla, toda la red se verá afectada.

El Catálogo Global

  • Contiene un conjunto de atributos parcial para otros dominios del bosque.
  • Admite consultas de objetos en todo el bosque
  • Normalmente en el primer controlador de dominio del dominio raíz del bosque

La replicación del NTDS.DIT ​​está contenida dentro del dominio. Como tal, debe haber un método para permitir la búsqueda más allá de un dominio en el bosque y esto es lo que proporciona el catálogo global. Esta base de datos distribuida o cada objeto de todos los dominios es lo que lo hace posible. Dado que el catálogo global necesita realizar un seguimiento de una gran cantidad de objetos, no contiene todos los atributos de cada objeto. El catálogo global utiliza un conjunto reducido de atributos que probablemente serían los más útiles para los usuarios que intentan buscar recursos en la red. Si el catálogo global tuviera que mantener todos los atributos, sería demasiado intensivo en recursos y replicación. Los atributos comunes que se pueden buscar incluyen nombre, nombre para mostrar y ubicación.

Iniciar sesión en el dominio

  • Utiliza un proceso de dos pasos
  • El usuario proporciona el nombre de usuario y la contraseña y, si el nombre de usuario y la contraseña se validan con la base de datos de AD DS, el usuario se autentica y el controlador de dominio emite un TGT. El usuario aún no tiene acceso a ningún recurso.
  • Un proceso secundario envía el TGT al controlador de dominio para solicitar acceso a la computadora local. Se emite un ticket de servicio al usuario, que luego puede utilizar la computadora local. El usuario ahora está autenticado en AD DS e iniciado sesión en la máquina local.

Al iniciar sesión en el dominio, los registros SRV se utilizan para encontrar el controlador de dominio más cercano. Los registros de recursos de servicio contienen información sobre los servicios disponibles y están en DNS en todos los controladores de dominio. El uso de esta búsqueda de DNS proporciona a los clientes el controlador de dominio más adecuado para atender la solicitud de inicio de sesión. Una vez que el usuario o la computadora inician sesión, se otorga un token de acceso que contiene los SID para el usuario y sus grupos de miembros. Es con este token que se otorgan derechos y permisos al usuario a través del dominio. Los usuarios, las computadoras y los grupos tienen un SID único.

Sitios de Active Directory

Cuando un cliente usa registros SRV para encontrar un controlador de dominio, usará un sitio local como primera opción. Los administradores definen los sitios en ADDS, generalmente en función de la conectividad de red y la disponibilidad de ancho de banda. Una oficina remota que está conectada a través de una conexión de red de área amplia poco confiable sería un ejemplo de una ubicación que debería definirse como su propio sitio.

Maestros de operaciones

No todos los controladores de dominio son iguales. Bueno, en su mayoría son iguales, pero algunas tareas se completan solo a través de un maestro único y aquí es donde entran en juego diferentes tipos de maestros de operaciones. Estos son maestros de operaciones con nombre, maestros únicos u operaciones de maestro único flexible. Lo sé, confuso, ¿verdad?

El bosque contiene un maestro de esquema
El bosque contiene un maestro de nombres de dominio
El dominio tiene un maestro RID
El dominio tiene un maestro de infraestructura
El dominio tiene un emulador de PDC

El maestro de esquema es el controlador de dominio donde se realizan los cambios de esquema. Un usuario debe ser miembro de Schema Admins y Enterprise Admins para poder realizar cambios. El maestro de nombres de dominio es el controlador de dominio responsable de agregar o eliminar un dominio o realizar cambios en el DNS. El maestro RID maneja el ID de replicación y garantiza que ningún controlador de dominio asignará accidentalmente el mismo SID a dos objetos diferentes. El rol de maestro de infraestructura es un servicio que maneja referencias de objetos entre dominios, como la pertenencia a grupos. Cuando ve el miembro de la información de un objeto, lo que realmente está sucediendo es una búsqueda de SID. El maestro de infraestructura mantiene la integridad de estas asociaciones. Por último, tiene un emulador de PDC o un maestro de emulador de controlador de dominio principal. El PDC maneja el tiempo del dominio. Los PDC en todos los dominios de un bosque se sincronizan con el PDC en el dominio raíz del bosque. Este PDC en el dominio raíz del bosque está configurado para sincronizarse con una fuente de tiempo atómica externa. Los cambios de contraseña se enrutan a través del emulador de PDC y se utilizan con la edición de objetos de política de grupo.

No hay comentarios.:

Publicar un comentario

Dejanos tu comentario para seguir mejorando!

outbrain

Páginas