QUE ES EL DIRECTORIO ACTIVO?
Es el termino utilizado por microsoft para referirse a su imple4mentacion de servicios de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP Y KERBEROS), su estructura jerarquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, como grupos de usuaros, permisos y asignacion de recursos y politicas de acceso.
el directorio activo esta basado en una serie de estandares llamados (x.500), aqui se encuentra una definicion logica de modo jerarquico.
PARA QUE SIRVE?
Su funcionamiento es similar a otras estructuras LDAP (lightweight directory access protocol) ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la imformacion relativa a un dominio de autenticacion. La ventaja que presenta esto es la sincronizacion presente entre los distintos sevidores de autenticacion de todo el dominio.
Devido a esta centralizacion, se pueden crear varios objetos que afectaran los recursos y los usuarios que accedan a la red.
QUE SERVICIOS PROVEE?
* DHCP
* DNS
* SNTP
* LDAP
* KERBEROS
* CERTIFICADOS
LA INFRAESTRUCTURA LOGICA?
* BOSQUE
* ARBOL
* DOMINIOS
* UNIDADES ORGANIZATIVAS
* OBJETOS
CONTROL DE DOMINIO:
Las maquinas MS windows interactuan entre si de dos formas distintas, con otros servidores y con los controladores de dominio: Bien como sistema aislados, normalmente llamados de grupo de trabajo o como integrantes completos de un sistema de seguridad, nomalmente llamados miembros de dominio.
EL DIRECTORIO ACTIVO Y DNS:
El directorio activo DNS son espacios de nombre. Podemos entender un espacio de nombres como un area delimitada en la cual un nombre puede ser resuelto. La resolucion de nombres es el proceso de traduccion de un nombre en un objeto o informacion que lo presenta.Por ejemplo, el sistema de ficheros NTFS puede ser considerado un espacio de nombres en el cual un fichero puede ser resuelto en el fichero propiamente dicho.
COMO CONCLUSION DIREMOS QUE DIRECTORIO ACTIVO UTILIZA DNS, PARA TRES FUNCIONES PRINCIPALES:
A. RESOLUCION DE NOMBRES:
DNS permite realizar la resolucion de nombresal convertir los nombres de host a direciones ip.
B. DEFINICION DEL ESPACIO DE NOMBRES:
Directorio activo utiliza las convenciones de nomnclatura de DNS para asignar nombres a los dominios
C. BUSQUEDA DE LOS COMPONENTES FISICOS DE AD:
Para iniciar una sesionde red y realizar consultas en directorio activo, un equipo con windows 2000 debe encontrar primero un controlador de dominio o servidor de catalogo global para procesar la autenticacion de inicio de sesion o la consulta. la base de datos DNS almacena informacion acerca de que equipo realizan estas funciones para que se puedan entender.
ROLES DE MAESTROS EN EL DIRECTORIO ACTIVO
En el directorio activo, todos las controladores de dominio son iguales (al menos lo eran hasta server 2008) a diferencia de NT4 en que un servidor era el principal (PDC) y el resto eran copias de solo lectura de la base de datos del dominio ( los BDC.
* ENMULADOR PDC: Realiza todas aquellas tareas que los equipos anteriores a windows que los equipos anteriores a windows 2000 esperaban que se realizaran en un PDC de NT4. Cuando un DC recibe una modificacion de la contraseña de un suaruio, el primero que lo replica es al pdc , quien ademas ejerce de arbitro cuando se produce una autenticacion incorrecta de la contraseña de un usuario (antes de generar el mensaje de error, el dc en que se valida la contraseña erronca la pregunta al pdc por sa este ya hubiera un cambio de la contraseña.
* ESQUEMA: Es el dc que dirige todas las operaciones de cambio en el esquema del AD ( la definicion de clase de objetos, co sus atributos. cuando se hace una modificacion al esquema, siempre se realiza sobre el maestro de esquema (aunque la consola la lansemos desde otro DC).
* NOMBRES DE DOMINIOS: El DC que obstenta este el rol es el que controla los nombres propuestos para nuevos dominios en el bosque no estan en uso y ademas que la topologia de nombres sea la correcta ( por ejemplo si tenemos un arbol como un dominio de nombres "españa.es, no podremos crear otro arbol de nombres "sevilla.españa.es" si no que tendra que ser un subdominio de la anterior
* MAESTRO RID: En cualquier DC del dominio se pueden crear objetos de AD. al crear un objeto tipo usuario grupoo equpo se le asigna un identificador unico de seguridad. en el dominio (SID). este identificador consta de una parte unica para todo el dominio y de otra variable dentro del mismo, que le asigna el DC en que se crea el objeto. para evitar que dos DCS distintos generan el mismo SID para un objeto, el DC que hace de rid asigna el resto de dcs del dominio un numero de ides (un rip pool), de tal forma que son distintos en cada dcs. cuando un dc se le esta acabando el numero de ides disponibles, solicita el rid que le asigne un nuevo pool de rids.
* INFRAESTRUCTURA: Es el dc responsable de actualizar en otros dominios de su mismo bosque aquellos objetos de otros dominios. ejemplo: podemos tener un grupo de usuarios en un dominio, al que pertenece cuentas de usuario de otro dominios. si en un momento dado cambiamos el nombre al grupo, el maestro de infraestructura es el encargado de notificar a los de otros dominios sobre los cambios de este tipo.