Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

WINDOWS 2008 SERVER Y ACTIVE DIRECTORY

SITIOS, REPLICACIÓN, COPIAS DE SEGURIDAD Y DIRECTIVAS DEL ACTIVE DIRECTORY
by

Tomás Sánchez Paredes

on 8 February 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of WINDOWS 2008 SERVER Y ACTIVE DIRECTORY

Índice Introducción Método de trabajo Fundamentos teóricos Conclusión . Sitios y replicación Funcionalidad de los Sitios. Herramienta administrativa para la configuración de Sitios. Configurar y administrar los sitios Requisitos para la definición de sitios. Planificación de los sitios. Configurar subredes asociadas a los sitios. Asignación y administración de controladores de dominio asociados a los sitios. Programación de las replicaciones en los sitios. Copias de seguridad Descripción de la funcionalidad. Requisitos para su ejecución. Herramienta administrativa para las copias de seguridad. Planificación de las copias de seguridad. Archivos implicados en las copias de seguridad del Active Directory. Tipos de restauración del Active Directory. Directivas de grupo Descripción y funcionalidad. Herramienta administrativa para su configuración. Implementación y administración Edición de las directivas de grupo. Tipos de directivas de grupo. Almacenamiento de las directivas de grupo. Configuración y administración de la Replicación entre controladores de dominio. Tipos de restauración del Active Directory. Almacenamiento de las directivas de grupo. Directivas de grupo Copias de seguridad Introducción Sitios y replicación Conclusión Fundamentos teóricos Método de trabajo Funcionalidad de los Sitios. Herramienta administrativa para la configuración de Sitios. Configurar y administrar los sitios Requisitos para la definición de sitios. Planificación de los sitios. Configurar subredes asociadas a los sitios. Asignación y administración de controladores de dominio asociados a los sitios. Programación de las replicaciones en los sitios. Comandos de supervisión de los sitios. Descripción de la funcionalidad. Requisitos para su ejecución. Herramienta administrativa para las copias de seguridad. Planificación de las copias de seguridad. Archivos implicados en las copias de seguridad del Active Directory. Descripción y funcionalidad. Herramienta administrativa para su configuración. Implementación, configuración y administración. Edición de las directivas de grupo. Descripción, prioridad y funcionalidad de sus Ámbitos. Tipos de directivas de grupo. Reuniones Los 6 miembros del grupo se han reunido en tres ocasiones para tratar los siguientes aspectos:

Análisis del tema a tratar y método de trabajo a seguir.

Puesta en común de la información encontrada y elección del método de diseño a utilizar.

Ultimación de detalles y aceptación del resultado final. Diseño y maquetación El diseño y la maquetación a sido realizada por los 6 miembros del grupo de forma remota utilizando la edición cooperativa en prezi y servicios de mensajería instantánea. Los administradores responsables de la administración del bosque completo pueden usar Sitios y servicios de Active Directory para administrar la topología de replicación entre sitios para el bosque. Los administradores responsables de los servicios de aplicación pueden tener delegada la responsabilidad de los contenedores de servicios en los que se publican los objetos específicos de la aplicación. Los sitios permiten la replicación de los datos del directorio tanto dentro de los sitios como entre ellos. Active Directory replica la información dentro de un sitio con más frecuencia que entre sitios, lo que significa que los controladores de dominio mejor conectados reciben primero las actualizaciones. Los controladores de dominio de otros sitios reciben todas las actualizaciones efectuadas en el directorio, pero para reducir los requisitos de ancho de banda de las conexiones de red lentas, las actualizaciones están programadas para que se produzcan con menor frecuencia. Para configurar un controlador de dominio adicional como asociado de replicación

1. Haga clic en el botón Inicio, en Ejecutar, escriba DCPromo y, a continuación, haga clic en Aceptar.

2. Cuando aparezca el Asistente para instalación de Active Directory, haga clic en Siguiente para empezar a utilizarlo.

3. Consulte la información Compatibilidad de sistema operativo y, después, haga clic en Siguiente para continuar.

4. En la página Tipo de controlador de dominio, seleccione Controlador de dominio adicional para un dominio existente y, a continuación, haga clic en Siguiente para continuar con la instalación de Active Directory.

5. En el cuadro Credenciales de red, escriba Administrador como nombre de usuario, no escriba ninguna contraseña, escriba el nombre de dominio como Contoso.com y, después, haga clic en Siguiente.

6. En la página Controlador de dominio adicional, escriba vancouver.contoso.com como nombre de dominio y, después, haga clic en Siguiente para continuar.

7. En el cuadro Nombre de dominio NetBIOS, acepte el valor predeterminado de VANCOUVER y, a continuación, haga clic en Siguiente.

8. En la página Ubicación de la base de datos, acepte los valores predeterminados y, a continuación, haga clic en Siguiente.

9. En la página Volumen del sistema compartido, acepte los valores predeterminados y, después, haga clic en Siguiente.

10. En la página Contraseña de administrador del Modo de restauración de servicios de directorio, escriba la contraseña para Contraseña de modo de restauración yconfirme la contraseña. Haga clic en Siguiente para continuar.


11. Confirme las opciones seleccionadas en la página Resumen (Figura 2) y, a continuación, haga clic en Siguiente para iniciar la configuración de Active Directory.
a la hora de realizar una planificación de los sitio en nuestro active directory (directorio activo) debemos tener en cuenta las siguientes cuestiones:

>La situación geográfica de los componentes de nuestra red que se van a replicar.

>Que objetos queremos replicar.

>Cual queremos que sea el modo de replicación, si queremos que se repliquen todos con todos, en cascada, en anillo....

>La topología de nuestra red puesto que debido a esta nos convendría un modelo de replicación u otro

>El ancho de banda que tengamos contratado.

>La velocidad de la red. El controlador de dominio es el centro neurálgico de un dominio Windows, . Los controladores de dominio tienen una serie de responsabilidades. Una de ellas es la autenticación. La autenticación es el proceso de garantizar o denegar a un usuario el acceso a recursos compartidos o a otra máquina de la red, normalmente a través del uso de una contraseña. No es que les permita a los usuarios validar para ser partes de clientes.

Cada controlador de dominio usa un security account manager (SAM), o NTDS en Windows 2003 Server (que es la forma promovida de la SAM, al pasar como Controlador de Dominio), para mantener una lista de pares de nombre de usuario y contraseña. El controlador de dominio entonces crea un repositorio centralizado de passwords, que están enlazados a los nombres de usuarios (un password por usuario), lo cual es más eficiente que mantener en cada máquina cliente centenares de passwords para cada recurso de red disponible.

En un dominio Windows, cuando un cliente no autorizado solicita un acceso a los recursos compartidos de un servidor, el servidor actúa y pregunta al controlador de dominio si ese usuario está autentificado. Si lo está, el servidor establecerá una conexión de sesión con los derechos de acceso correspondientes para ese servicio y usuario. Si no lo está, la conexión es denegada.
1-vamos a sitios y servicios de active directory.

2-en las propiedades del sitio elegimos las opciones de replicación que deseemos. • Configurar un dominio secundario Unidad Organizativa .- Es un objeto contenedor de Active Directory que se utiliza en los dominios. Las Unidades Organizativas son contenedores lógicos en los que pueden colocarse usuarios, grupos, equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su dominio principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de Grupo. Las GPO se almacenan en el sistema de archivos en la base de datos de AD.

Los valores de la GPO se almacenan en el sistema de archivos de todos los DC dentro de la carpeta SysVol. Esta carpeta se comparte en todos los DC. Cada GPO de dominio tiene su correspondiente carpeta ubicada dentro de sysvol\dominio\Policies. Los requisitos previos para usar Copias de seguridad de Windows Server son los siguientes:

- Para obtener acceso a Windows RE, debe tener un disco de recuperación de Windows o el medio de instalación DVD o CD de Windows Server 2008 de la compilación que va a restaurar.

- Las credenciales administrativas necesarias para realizar la copia de seguridad y recuperación de AD DS son:

- Para realizar copias de seguridad no programadas, debe ser miembro del grupo Administradores o del grupo Operadores de copia de seguridad.

- Para programar copias de seguridad de AD DS, debe ser miembro del grupo Administradores.

- Para restaurar un controlador de dominio, necesita la contraseña del modo de restauración de servicios de directorio (DSRM).

- Almacene copias de seguridad en algún tipo de medio de instalación como: Disco duro fijo o extraible, DVD o un recurso compartido de red (sólo copias de seguridad no programadas). - Esta funcionalidad de Windows Server 2008 no se instala de forma predeterminada

Existen tres modos de recuperación:
- Recuperación de servidor completo.
- Recuperación de estado del sistema.
- Recuperación de archivos/carpetas.

Si no se iniciara el servidor, deberiamos realizar una recuperación de servidor completo.. Un miembro del grupo Administradores puede usar Copias de seguridad de Windows Server o la herramienta de línea de comandos wbadmin.exe para programar copias de seguridad. Las copias programadas deben realizarse en una unidad física local que no hospede ningún volumen imprescindible. Como las copias de seguridad programadas vuelven a dar formato a la unidad de destino que hospeda los archivos de copias de seguridad, se recomienda usar un volumen de copia de seguridad dedicado. NTDS.DIT Edb.chk El archivo de punto de control.
El archivo Edb.chk almacena el punto de control de base de datos, que identifica el punto donde el motor de la base de datos necesita repetir los registros, generalmente en el momento de la recuperación o la inicialización. Copia de seguridad del estado del sistema Realizar copias de seguridad de los controladores de dominio es un requisito crítico en cualquier entorno. Las copias de seguridad protegen de posibles pérdidas de datos en caso de se produzca un error en el controlador de dominio o un error administrativo. Si se produjera, sería necesario revertir el estado del controlador de dominio a un punto en el tiempo anterior al error. El método admitido para la restauración de un controlador de dominio a un estado correcto es usar una aplicación de copia de seguridad compatible con Active Directory, como Copias de seguridad de Windows Server. 1 Seleccionamos los elementos a los cuales realizaremos el Buckup, damos click en agregar elementos 3 Especificamos la frecuencia y ejecución de la copia de seguridad, indicando que sea una vez al día, establecemos la hora teniendo en cuenta que debe ser un horario donde el trafico de la red no este reducido. 2 4 Indicamos el destino para el backup. Al utilizar una carpeta compartida remota como destino, nos indica que cada copia borrara la copia anterior, estando solo disponible la mas reciente Para realizar el Backup del Active Directory, seleccionamos la opción Estado del sistema, donde encontramos el directorio NTDS Y SYSVOL . 5 Nos pide identificación del usuario administrador. 7 Nos confirma y nos da un resumen, indicándonos todo lo que hemos configurado para la copia de seguridad del estado del sistema En el Interface de copias de seguridad de Windows nos muestra los detalles que se han configurado para el Backup. 8 9 Iniciamos el asistente para configurar la ejecución programadas de copias de seguridad. 0 Especificamos la ruta donde se guardara la copia de seguridad. 6 Base de Datos del Active Directory, es un fichero que por defecto se ubica en la carpeta %sysemroot%\Ntds de los controladores de dominio, que guarda toda la información de los objectos del dominio, usuarios,equipos,grupos etc. Edb.log es el archivo de registro actual.
Cuando se realiza un cambio en la base de datos, se escribe en el archivo Edb.log. Cuando el archivo Edb.log está lleno de transacciones, su nombre cambia a Edbxxxxx.log. (Comienza en 00001 y continúa incrementando mediante la notación hexadecimal). Dado que Active Directory usa el registro circular, los archivos de registro antiguos se eliminan en cuanto se han escrito en la base de datos. En cualquier momento, tendrá el archivo Edb.log y posiblemente uno o varios archivos Edbxxxxx.log. Res1.log y Res2.log son “marcadores de posición”, diseñados para reservar (en este caso) los últimos 20 MB de espacio en disco en la unidad. Esto proporciona a los archivos de registro suficiente espacio para un cierre correcto si se consume todo el otro espacio en disco. Ntds.dit. Base de datos.
Edbxxxxx.log. Registros de transacción.
Edb.chk. Archivo de punto de control.
Res1.log y Res2.log. Archivos de registro reservados. Ntds.dit crece según se rellene la base de datos. No obstante, los registros tienen un tamaño fijo de 10 MB. Cualquier cambio realizado en la base de datos también se agrega al archivo de registro actual, y su imagen de disco siempre se mantiene actualizada. SYSVOL El Sys tem Vol ume (Sysvol) es una responsabilidad compartida directorio que almacena la copia del servidor del dominio de los archivos públicos que deben ser compartidos para el acceso común y la replicación a través de un dominio. El término SYSVOL se refiere a un conjunto de archivos y carpetas que se encuentran en el local de disco duro de cada controlador de dominio en un dominio y que se replican por el servicio de replicación de archivos (FRS). Los clientes de red acceder a los contenidos del árbol SYSVOL mediante las carpetas NETLOGON y SYSVOL compartidos. SYSVOL utiliza puntos de unión - una ubicación física en un disco duro que apunta a los datos que se encuentra en otra parte del disco u otro dispositivo de almacenamiento - para gestionar un almacén de instancia única. RECUPERACIÓN COPIA DE SEGURIDAD Primaria (primary): Este tipo de restauración se realiza cuando tenemos un único Controlador de Dominio.

Normal (non-authoritative): consiste en restaurar la base de datos del active directory pero de manera que no se replicaran a otros controladores de dominio.

Autoritativa (Authoritative restore): Con este procedimiento los cambios se replicaran a los otros controladores de dominio. Para realizar este procedimiento debemos de realizar primero una restauración no autoritativa y luego mediante la utilidad NTDSUTIL realizar una restauración autoritativa. Este procedimiento se suele realizar cuando queremos restaurar algún complemento del Sistema Operativo como una cuenta de usuario, equipo, DC… • Maryory Johanna Cataño Tavera
• Antonio Jesus Gallego Calvo
• Miguel Angel García Fernández
• Miguel Angel Martín Lozano
• Tomás Sánchez Paredes
• Sergio Trenado Miguel El Active Directory es un servicio importante ya que con este podemos utilizar los servicios compartidos de una red de una forma rápida y eficaz. En esta presentación vamos a tratar: Directivas de grupo, Sitios y replicación y Copias de Seguridad del Active Directory, tanto en su definición como en la implementación. The Active Directory service is important because with this we can use the shared services from a network quickly and efficiently. In this presentation we will try: Group Policies, Sites and Replication and Backup of Active Directory, both in its definition and the implementation. Sitio .- Podemos definir un sitio como un conjunto de equipos en una o varias subredes IP. Los sitios suelen representar la estructura física de la red. Dominio .- Un dominio tiene un nombre único y permite el acceso a las cuentas de usuario y de grupo centralizadas mantenidas por el administrador del dominio. Cada dominio tiene sus propias directivas de seguridad y relaciones de seguridad con otros dominios, y representa límite de seguridad en una red Windows 2000. Active Directory está compuesto de uno o varios dominios, cada uno de los cuales puede abarcar más de una ubicación física. Los dominios representan la estructura lógica de la organización. Sitios y servicios de Active Directory es un complemento de Microsoft Management Console (MMC) del sistema operativo Windows Server 2008 R2 que puede usar para administrar la replicación de los datos de directorio entre todos los sitios de un bosque de los Servicios de dominio de Active Directory (AD DS). El objetivo principal del complemento Sitios y servicios de Active Directory de Windows Server 2008 R2 es administrar la topología de replicación de un entorno empresarial en un sitio de una LAN y entre sitios de una WAN. Los sitios controlan la replicación de la información del dominio y ayudan a determinar la proximidad de los recursos. Por ejemplo, una estación de trabajo seleccionará un controlador de dominio dentro de su sitio para realizar la autenticación. Un sitio está delimitado por una subred y, generalmente, está limitado geográficamente. El concepto de sitio difiere del concepto de dominio basado en Windows Server 2003 en que los sitios abarcan varios dominios y un dominio puede abarcar varios sitios. Los sitios no forman parte del espacio de nombres de un dominio, pero controlan la replicación de información del dominio y ayudan a determinar la proximidad de los recursos. Por ejemplo, una estación de trabajo seleccionará un controlador de dominio dentro de su sitio para realizar la autenticación. Las Directivas de Grupo permiten definir diversas configuraciones del usuario que accede al sistema o del equipo desde el cual se accede, de modo que el administrador del servidor Windows Server 2008 determina cuales le serán aplicadas a cada usuario y/o equipo encuadrado en un sitio, dominio o unidad organizativa. Entre las directivas que pueden especificarse, por ejemplo, podemos citar a las que se refieren a los programas que deseemos se encuentren disponibles para nuestros usuarios cuando trabajan en un equipo del dominio, la configuración de su perfil, las opciones del navegador, etc. •La dirección o direcciones de red. Estas direcciones forman los nombres de los objetos de subred cuando se crean subredes.
•Un vínculo a sitios. Para crear un sitio, debe agregar el nuevo sitio a un vínculo a sitios existente.
•El protocolo de transporte que está disponible para la replicación a través del vínculo a sitios. Cuando un vínculo de red de área extensa (WAN) está disponible entre los sitios, use el transporte IP. o Configuración de Windows. Incluye opciones de configuración como la creación de variables de entorno, creación de accesos directos, unidades de red, etc.

o Configuración del panel de control. Incluye opciones de configuración como, por ejemplo, la instalación de dispositivos e impresoras, usuarios y grupos locales, opciones de energía, tareas programadas, servicios, etc. Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las opciones de configuración del perfil del usuario en caso de que se cree un conflicto. 1. En primer lugar se aplica el objeto de Directiva de Grupo local único.

2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden especificado administrativamente.

3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden especificado administrativamente.

4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas, de Unidad Organizativa principal a secundaria, y en orden especificado administrativamente en el nivel de cada Unidad Organizativa.

5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando las directivas son incoherentes. Sin embargo, si no hay incoherencias de configuración, tanto las directivas anteriores como las posteriores contribuyen a la directiva efectiva, es decir, se suman las configuraciones de las distintas directivas asociadas al objeto en cuestión. Las Directivas de Grupo no pueden ser asociadas a un grupo de usuarios o grupos de equipos (sólo a Sitios, Dominios o Unidades Organizativas), aunque el resultado de su aplicación afecte únicamente a los usuarios y a los equipos de Active Directory. • La configuración del equipo agrupa todas las políticas o parámetros de configuración que pueden establecerse a nivel de equipo. Las GPO que afectan a un equipo se aplican cada vez que se reinicia el equipo. • La configuración de usuario agrupa todas las políticas o parámetros de configuración que pueden establecerse a nivel de usuario. Las GPO que afectan a un usuario se aplican cada vez que el usuario inicia sesión en cualquier equipo del dominio. Las directivas de seguridad se clasifican en dos grandes grupos: Internamente, cada subcategoría se divide en: o Configuración de software. Permite la instalación automática de software.

o Configuraciones de Windows, incluyendo entre otros aspectos configuración de seguridad y ejecución de scripts.

o Plantillas administrativas que incluyen aquellas políticas basadas en la configuración de los elementos más importantes del equipo (componentes de Windows, impresoras, panel de control, red y sistema). • Directivas • Preferencias Microsoft Management Console Group Policy Management Editor Lanzamos Administrador del servidor en un DC. Extendemos Roles.

Extendemos Servicios de Dominio de Active Directory.

Extendemos Sitios y servicios de Active Directory.
Clic derecho en el contenedor Sites y pinchamos en Nuevo Sitio.

Escribimos el nombre del sitio y seleccionamos cualquier enlace existente de sitio, le damos al Aceptar para crearlo.

Puede que aparezca una ventana flotante, con las indicaciones de las tareas necesarias para completar la creación del sitio. Leerla, tomar nota si es necesario y le damos aAceptar.

Repetiremos los pasos por cada Sitio que necesite crearse. Group Policy Management Console Las directivas se aplican en este orden: Teniendo en cuenta lo expuesto anteriormente, concluimos que una buena administración de los puntos: Directivas de grupo, Sitios y replicación y Copias de Seguridad, permitirá la eficacia de nuestro Active Directory y la seguridad de tener un respaldo ante cualquier perdida de datos. Esperamos que os halla gustado. Sitios, Copias de Seguridad y GPO Como crear Directivas asociadas a una Unidad organizativa Después la podemos modificar con editar. Podemos bloquear la herencia de directivas Podemos indicar a que grupos se aplican las directivas También podemos elegir con cual servidor nos queremos replicar Si en nuestros sitios queremos administrar para que se repliquen los sitios manualmente de manera que cada uno de los sitios se replique con el que queramos pinchamos con el boton derecho encima del sitio deseado y elegimos Después elegimos el sitio con el cual queremos replicarnos Comprobamos que nos aparece el sitio a replicar Editor de directivas de grupo Algunas de las opciones que permiten cambiar las directivas Configuración típica de las directivas Configuración del fondo de escritorio Contenido de la carpeta SYSVOL Contenido de la carpeta NTDS En el sistema operativo Windows Server 2008 se incluye una nueva aplicación de copia de seguridad llamada Copias de seguridad de Windows Server. Como en las versiones anteriores de Active Directory, podemos realizar una recuperación del estado del sistema sólo con el inicio del controlador de dominio en el modo de restauración de servicios de directorio (DSRM). Podemos usar Bcdedit.exe para alternar el modo de inicio predeterminado entre normal y DSRM.

- Para iniciar el servidor en DSRM con Bcdedit.exe: bcdedit /set safeboot dsrepair
- Para reiniciar el servidor de forma normal: bcdedit /deletevalue safeboot Windows Server 2008 admite los siguientes tipos de copias de seguridad: Un miembro del grupo Administradores o del grupo Operadores de copias de seguridad puede iniciar una copia de seguridad manual mediante Copias de seguridad de Windows Server o la herramienta de línea de comandos Wbadmin.exe. Si el volumen de destino no está incluido en el conjunto de copias de seguridad, podemos hacer copias de seguridad manuales en un recurso compartido de red remoto o en un volumen en un disco duro local. Copia de seguridad manual Copia de seguridad programada Para programar las replicaciones tenemos multiples opciones en la pestañita de cambiar configuracion Una vez por hora Una vez cada 30 minutos Nunca Cada 15 minutos (por defecto)
Full transcript