Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Mejores Practicas en Diseno de Directorio Activo en Windows Server 2003

    Încărcat de

    o0Tatan0o
    37 vizualizări43 pagini

    Titlu original

    38746533 Mejores Practicas en Diseno de Directorio Activo en Windows Server 2003

    Drepturi de autor

    © Attribution Non-Commercial (BY-NC)

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    37 vizualizări43 pagini

    Mejores Practicas en Diseno de Directorio Activo en Windows Server 2003

    Încărcat de

    o0Tatan0o

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 43

    Mejores Prcticas en el diseo de Directorio Activo en Windows 2003

    Ramon Jimnez, MCSE 2000/2003 PMP, CCA, ITIL Certified MVP Windows Server System Infrastructure Architect rjimenezm@hotmail.com

    Requisitos
    Experiencia previa con servidores Windows Experiencia con redes en entornos Microsoft Conocimientos bsicos de Directorio Activo Conocimientos bsicos de DNS

    Agenda
    Entornos multi multi-bosque Entornos multimulti-dominio Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad

    Bosques
    Esquema compartido
    Bosques

    Frontera de seguridad

    Identificar requerimientos
    Diseo de bosques

    Determinar cuntos bosques

    Entornos multimulti-bosque
    contoso.com fabrikam.com

    emea.contoso.com

    nala.contoso.com

    filial1.fabrikam.com

    Entornos multimulti-bosque: Razones


    Razones polticas/organizativas Razones jurdicas Razones tcnicas Razones financieras Otras

    Consideraciones
    Los requerimientos estrictos limitan las opciones Reserva tiempo para la negociacin Haz balance coste/beneficio Evita que 2 organizaciones de IT compartan la gestin de infraestructura Evita externalizacin a mltiples proveedores

    Modelo multimulti-bosque simple


    Clave
    Relacin de confianza entre bosques

    Cuentas Usuario

    Bosque Org 1

    Bosque Org 2

    Servidores recursos

    Modelo bosque de recursos


    Rel. Conf. Clave
    Cuentas Usuario Servidores recursos Bosque recursos Cuentas de servicio Cuentas alternativas
    Bosque recursos

    Bosque Organizacional

    Modelo bosque acceso restringido


    Clave
    Cuentas Usuario Servidores Recursos
    Bosque Organizacional Servidores con datos clasificados

    Bosque acceso restringido

    Agenda
    Entornos multimulti-bosque Entornos multi multi-dominio Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad

    Factores que condicionan


    Capacidad de la Red # de Usuarios

    128K RDSI

    E1 34Mb

    Razones para mltiples dominios


    Consideraciones administrativas/polticas Polticas nicas para cada dominio Trfico de red Calidad de la conexin de red Capacidad de los servidores Diferencias regionales/internacionales Migracin de dominios existentes

    Recomendaciones
    Si no hay alternativa y debemos ir por mltiples dominios: dominios: Minimizar Minimizar Elegir Desplegar Desplegar Nmero de dominios Profundidad de la jerarqua Diseos que permitan reorganizar dominios Al menos dos (2) Controladores de Dominio por dominio Domains comodn durante migraciones (para no provocar disrupcin de servicio)

    Modelo regional
    contoso.com

    mad.contoso.com

    bcn.contoso.com

    sev.contoso.com

    Modelo organizacional
    Matriz
    Equipo IT Central Enterprise Admins Domain Admins Schema Admins

    Equipo IT Training

    Equipo IT Equipos Hw

    Equipo IT Licencias Domain Admins

    Domain Admins

    Domain Admins

    Training

    Equipos Hw

    Licencias

    Agenda
    Entornos multimulti-bosque Entornos multimulti-dominio Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad

    Dominio nico

    Sitios

    contoso.com

    Madrid

    Sevilla

    Barcelona

    Topologas tpicas
    Sitio Sitio Sitio Sitio Sitio

    Sitio

    Sitio

    Hub
    Sitio

    Sitio

    Topologa Anillo

    Topologa HubHub-andand-Spoke
    Sitio Sitio Topologa compleja

    Hub
    Sitio

    Hub

    Replicacin Directorio Activo


    Madrid DCDC -1 DCDC -2

    DCDC -3

    Barcelona

    Replicacin Intrasite (LAN) Replication Intersite (WAN) DCDC -4 DCDC -5

    Cundo poner un DC en un Sitio


    No No S S S S

    No poner un DC

    Hay seguridad fsica?

    Hay Admin para los DCs?

    Enlace WAN estable?

    Es bueno el Inicio de Sesin?

    No
    Se requiere 24x7?

    No No

    Poner un DC

    Cundo poner un GC
    No No No No

    Alguna aplicacin requiere un Catlogo Global (GC)?

    > 100 Usuarios?

    Existe enlace WAN a un GC? S

    Usuarios mbiles?

    Poner DC y habilitar UGMC

    No poner GC Poner GC

    FSMOs
    Servidor/Rol Todos Primer Servidor StandStand -by Maestro Infraestructura PDCe Regla Redes lo ms fiables posibles En el sitio y lo ms cerca posible del grupo de usuarios ms numeroso Designar uno inmediatamente No colocarlo en un GC* En el sitio y lo ms cerca posible del grupo de usuarios ms numeroso

    Planning Operations Master Role Placement

    Agenda
    Entornos multimulti-bosque Entornos multimulti-dominio Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad

    DNS y Espacio de Nombres


    Planificacin y eleccin apropiada del espacio de nombres Integracin con BIND existentes Coexistencia con BIND existentes Entorno DNS nativo

    Integracin con BIND


    El servidor BIND debe soportar
    Actualizaciones dinmicas Registros SRV Transferencia incremental de zonas (recomendado, no obligatorio)

    Todos los clientes y servidores apuntan como DNSs los servidores BIND ltima versin BIND 9.3.1
    Configuring Berkeley Internet Name Domain (BIND) to Support Active Directory

    Coexistencia con BIND (1)


    El servidor BIND debe crear y delegar en DNS de Windows 2003 las siguientes zonas:
    _udp.DNSDomainName _tcp.DNSDomainName _sites.DNSDomainName _msdcs.DNSDomainName

    Sustituir DNSDomainName por vuestro nombre (ej: contoso.com)

    2 subdominios deben delegarse en el BIND para servidores DNS basados en Windows 2003
    ForestDnsZones.ForestDNSName DomainDnsZones.DNSDomainName

    Coexistencia con BIND (y 2)


    Ejemplo de configuracin en el BIND:
    _TCP _UDP _MSDCS _SITES ForestDNSZones DomainDNSZones 192.168.100.1 192.168.100.1 A IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com IN NS dc1.contoso.com dc1.contoso.com # Win2K3 Domain Controller contoso.com

    Integrating Windows 2000 DNS into an existing BIND or Windows NT 4.04.0-based DNS namespace

    Recomendacin: Usar DNS Windows 2003


    Integrado en Directorio Activo Permite actualizaciones seguras Replicacin multimulti-master (basada en DA) Configuracin muy sencilla de reenviadores condicionales, Zonas Stub y reenviadores a DNSs de ISPs
    CMO: Migrar una infraestructura DNS existente desde un servidor basado en BIND a un DNS basado en Windows Server 2003

    Agenda
    Entornos multimulti-bosque Entornos multimulti-dominio Entornos de dominio nico. Unidades Organizativas DNS y Espacio de nombres Seguridad

    Seguridad (1)
    Asegurar la comunicacin con los Controladores de Dominio (IPSec y GPOs) Forzar el uso cuentas Administrativas diferentes a las de usuario. Limitar el nmero de cuentas administrativas Auditar el uso de cuentas administrativas

    Seguridad (2)
    Endurecer la Directiva del Dominio (Complejidad de contraseas, bloqueos de cuentas y Kerberos) Endurecer la Directiva de Controladores de Dominio (Derechos de usuario, auditoras y seguridad) Deshabilitar mecanismos de autenticacin no seguros (LM: LanManager) Deshabilitar servicios no necesarios

    Seguridad (y 3)
    Delegacin controlada de administracin de tareas. Deshabilitar servicios no necesarios Instalar antivirus con las exclusiones obligatorias

    Demo: Revisin de conceptos y creacin de OUs clones

    Enlaces tiles (1)


    Active Directory Best Practices Windows Server 2003 Deployment Kit: Designing and Deploying Directory and Security Services Planning Domain Controller Capacity DNS Step Step-by by-Step Guide Multiple Forest Considerations in Windows 2000 and Windows Server 2003 Schema Documentation Program for Servers Running Windows 2000 or Windows 2003 Server Active Directory Performance Testing Tool (ADTest.exe) Designing Distributed File Systems Active Directory Directory Service Product Operations Guide

    Enlaces tiles (2)


    Best Practices for Delegating Active Directory Administration Best Practices for Delegating Active Directory Administration Appendices Best Practice Guide for Securing Active Directory Installations Server and Domain Isolation Using IPsec and Group Policy Windows Server 2003 Active Directory Branch Office Guide Active Directory in Networks Segmented by Firewalls Active Directory Migration Tool v3.0 Best Practices for Deploying Printer Location with Active Directory

    Enlaces tiles (3)


    Extending Your Active Directory Schema for New Features in Windows Server 2003 R2
    Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 Download Windows Server 2003 R2 Branch Office: Frequently Asked Questions Windows Server 2003 R2: Support for Branch Offices BIND HomePage

    Preguntas?

    Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecucin de laboratorios. Un tcnico por grupo imparte explicaciones tericas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duracin cada uno y 24 horas los seminarios de Contramedidas Hacker.

    Sistemas Desarrollo

    http://www.microsoft.com/spain/servidores/windowsserver 2003/seminarios/hol.aspx http://www.microsoft.com/spanish/msdn/spain/eventos/hol/ default.asp

    Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia. Tenerife, Mlaga y Sevilla

    Webcast en su versin grabada de Directorio Activo


    Active Directory - Usos y conceptos bsicos del Directorio Activo Active Directory - Conceptos Avanzados de Directorio Activo Active Directory - La importancia del DNS para el Directorio Activo Active Directory - Replicacin del Directorio Activo Active Directory - Uso avanzado de las politicas de Grupo

    Ms Acciones de Directorio Activo

    Active Directory - Mejores practicas en las operaciones de Directorio Activo.23 de Marzo. Active Directory - Migracin desde Windows NT a Directorio Activo. 6 de Abril. Active Directory - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abril Active Directory - Gestin de Identidades (ADAM, MIIS) Para informacin adicional y registro: http://www.microsoft.com/spain/technet/jornadas/we bcasts/default.asp

    Ms Acciones desde TechNet


    Para ver los webcast grabados sobre ste tema y otros temas, dirjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcas ts_ant.asp Para informacin y registro de Futuros Webcast de ste y otros temas dirjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/defaul t.asp Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscrbase a nuestro boletn TechNet Flash en sta direccin: http://www.microsoft.com/spain/technet/boletines/default.mspx Para estar informado sobre novedades vea nuestros It Its Showtime en: http://www.microsoft.com/spain/technet/itsshowtime/default.aspx Para acceder a toda la informacin, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripcin TechNet en: http://www.microsoft.com/spain/technet/recursos/cd/default.mspx

    S-ar putea să vă placă și