Active Directory es el núcleo principal de la infraestructura de TI de cada empresa en el mundo y la primera capa para crear seguridad, cumplimiento y automatización de usuarios y computadoras. Para crear la infraestructura correcta no es necesario ser un mago, pero es importante conocer algunos trucos para evitar problemas de configuración y seguridad.
¿Qué es Active Directory?
Active Directory nació hace más de 18 años con Windows 2000 Server para consolidar un modelo introducido en Windows NT4. La idea de AD es tener una base de datos con toda la información sobre usuarios, grupos, computadoras y otros elementos para simplificar el acceso a los recursos. Al igual que una base de datos, las aplicaciones y los roles de Windows pueden leer las propiedades, los permisos y muchos otros detalles.
Una característica importante de Active Directory es la posibilidad de extender el esquema para agregar nuevas columnas, propiedades y valores. Algunas aplicaciones, como Exchange Server, usan Active Directory para agregar sus componentes y características para leer propiedades y evitar usar sistemas diferentes.
Antes de comenzar con la configuración, es fundamental aprender un par de términos sobre Active Directory, ya que son parte del modelo, y conocerlos es fundamental para crear la configuración correcta y comprender cómo realizar la solución de problemas.
Bosque
Cuando crea el primer controlador de dominio, es necesario crear el nombre del bosque que también es el primer Nombre de Dominio (por ejemplo, contoso.com). El nombre del bosque es único y no debe cambiarse, a menos que haya un modelo simple y no haya cambios realizados por otro software como Exchange Server. Cada bosque no puede hablar con otro bosque a menos que haya un Fideicomiso; Este es el método para establecer conexiones entre diferentes compañías o cuando hay una fusión entre diferentes infraestructuras. El Trust permite leer información entre dominios y asignar permisos sin crear los objetos dos veces.
Dominio
El nombre de dominio es el corazón de todo. Cuando construya el primer controlador de dominio, elija el nombre de dominio y esa etiqueta se agregará a todos los recursos de su infraestructura. Se admite el cambio de nombre de dominio, a menos que exista un modelo complejo o una aplicación que no admita esta tarea, como Exchange Server. Para dividir la administración o crear un área lógica separada, existe la posibilidad de crear un Nombre de Dominio Secundario (por ejemplo, it.contoso.com); cada subdominio necesita un Controlador de Dominio separado y la administración está delegada a ellos. En este caso, la confianza entre el dominio principal y el subdominio se crea automáticamente y esto significa leer información en todas las áreas.
FSMO
La Operación de un solo maestro flexible son las 5 funciones en las que se da la vuelta a todo el AD. Cuando desea agregar un nuevo controlador de dominio o sincronizar la hora o crear nuevos elementos (por ejemplo, Grupos o Usuarios), uno de estos roles se llama en acción. De manera predeterminada, los roles FSMO se crean en el primer DC, pero se pueden dividir en dos o tres máquinas (depende de su infraestructura). Los 5 roles son:
- Schema Master (bosque)
- Maestro de nombres de dominio (Bosque)
- Controlador de dominio principal (dominio))
- Maestro de Infraestructura (Dominio)
- RID (Dominio)
Si pierde un Controlador de Dominio con uno de estos roles, algunas funcionalidades se pueden ver limitadas. Por ejemplo, sin el Controlador de Dominio Principal, la infraestructura no puede recibir actualizaciones de contraseña cuando las contraseñas se cambian para el ordenador y para las cuentas de usuario. Para obtener más información sobre las funciones de FSMO y cómo optimizar la ubicación, consulte el artículo de Microsoft: Ubicación y optimización de FSMO en los controladores de dominio de Active Directory.
Catalogo Global
Un catálogo global es un catálogo de múltiples dominios que permite una búsqueda más rápida de objetos sin la necesidad de un nombre de dominio. Ayuda a localizar un objeto de cualquier dominio mediante el uso de su réplica parcial de solo lectura almacenada en un controlador de dominio. Dado que utiliza solo información parcial y un conjunto de atributos que se utilizan más comúnmente para la búsqueda, los objetos de todos los dominios, incluso en un gran bosque, pueden representarse mediante una única base de datos de un servidor de catálogo global.
El sistema de replicación de AD DS crea y mantiene un catálogo global. Los atributos predefinidos que se copian en un catálogo global se conocen como el Conjunto de atributos parciales. Los usuarios pueden agregar o eliminar los atributos almacenados en un catálogo global y, por lo tanto, cambiar el esquema de la base de datos. La mejor práctica es agregar el GC en cada controlador de dominio de su infraestructura, pero en la mayoría de los casos es mejor evitar esto.
DNS
El Domain Name System incluye un árbol de nombres de dominio. El DNS asigna nombres de dominio y asigna los nombres a las direcciones IP al designar un servidor de nombres autorizado para cada dominio. Estos servidores son responsables de dominios particulares y pueden asignar los servidores de nombres autorizados a subdominios. Sin DNS, todo el Active Directory falla y una configuración incorrecta de un registro puede bloquear la comunicación de los servidores. Desde el lado del cliente, la resolución de DNS es responsable de iniciar y secuenciar las consultas que conducen a la resolución completa de los recursos buscados. Estas consultas son recursivas o no recursivas.
Cada controlador de dominio debe tener habilitada la función DNS para aumentar la tolerancia a fallos. Cuando hay un problema con la resolución, es necesario verificar los registros para comprender si la réplica entre los controladores de dominio funciona bien.
Construir la infraestructura de Active Directory
Crear una infraestructura AD es muy fácil porque hay un gran asistente. El primer paso es agregar las funciones llamadas Servicios de dominio de Active Directory y Servidor DNS: figura 1.
Cuando finaliza la instalación, podemos promover que el servidor sea un Controlador de Dominio – figura 2.
Desde Windows Server 2012, el antiguo dcpromo.exe está en desuso, porque hay un nuevo asistente de configuración. Seleccione Agregar un Nuevo Bosque -figura 3- e ingrese el Nombre de dominio Raíz.
El segundo paso es seleccionar el Nivel Funcional de Bosque/Dominio; esto es muy importante porque no se puede degradar después de la implementación, pero se puede elevar. El nivel mínimo debe ser Windows Server 2012 porque Windows Server 2008 y 2008 R2 están cerca del final de su vida útil; No olvide que algunas aplicaciones, como Exchange Server 2019, requieren un nivel hasta Windows Server 2012 R2. Por cierto, elevar el nivel no es un problema, se admite en modo directo, pero debe planificarse en caso de que su infraestructura sea compleja. El orden de actualización es siempre el mismo: Bosque y luego el Dominio.
Como puede ver en la figura 4, el primer controlador de dominio debe tener habilitado el rol de Global Catalog y DNS. Ingrese la contraseña del modo de restauración de servicios de directorio y haga clic en siguiente.
El asistente continúa con el nombre de NETBIOS, que debe ser el mismo del dominio o, en caso de que el nombre del dominio sea demasiado largo, una versión corta.
La ruta es muy importante cuando crea su DC, ya que debe configurarse perfectamente. Cuando utiliza una máquina virtual, podría ser mejor configurar otro disco (tamaño fijo) con un tamaño de al menos 5 GB (el tamaño depende de qué tan grande es la infraestructura). Formatea el volumen como NTFS y asigna una letra; recuerda que ReFS no es compatible. Si planea instalar un antivirus, configure la exclusión de carpetas para evitar daños en la base de datos. En el Asistente de configuración de ADDS, seleccione la nueva ruta y siga adelante.
La pestaña “Opciones de revisión” muestra el resumen de los pasos anteriores y nos da la posibilidad de corregir errores potenciales, pero también permite generar el script de PowerShell en caso de que desee utilizar la línea de comandos en lugar de la GUI.
La “Comprobación de requisitos previos” verifica si hay un problema que pueda bloquear la configuración. Si está creando el primer controlador de dominio, todos los errores se pueden omitir. Haga clic en el botón Instalar para iniciar el procedimiento; El tiempo de ejecución puede cambiar por la infraestructura y el modelo de complejidad. Después del reinicio, su máquina estará lista para ser utilizada como controlador de dominio.
Buenas Prácticas
Cuando planea construir una infraestructura de Active Directory, es bueno conocer algunos trucos para evitar problemas de seguridad y configuración:
Renombrar administrador de dominio: el primer usuario que se usa para iniciar un ataque es administrador, por lo que su primer paso es cambiar el nombre de administrador de dominio predeterminado; use un nombre completamente diferente de los estándares, como AdminContosoAD
Contraseña segura para el administrador de dominio : ¡Seguridad, seguridad, seguridad! El administrador del dominio debe tener una contraseña segura y las credenciales deben estar reservadas.
Credenciales dedicadas para TI: una de las primeras reglas es separar las credenciales predeterminadas de la administración para evitar la escalada de seguridad en caso de un ataque externo.
Asigne el permiso correcto: si tiene administradores múltiples en su infraestructura, es fundamental asignar el permiso correcto y las credenciales individuales para cada usuario. Nadie debe estar sobre los administradores de dominio para evitar la posibilidad de cambiar el esquema de AD o modificar el modelo de bosque.
Configurar GPO: configuración de la directiva de grupo por usuarios y computadora, esto permite una granularidad perfecta. Recuerde evitar demasiado GPO pero también consolidar muchas configuraciones en un solo GPO. ¡No uses la GPO de la política de dominio predeterminada!
Contraseña segura para los usuarios: no solo el administrador de dominio, todos los usuarios deben seguir la complejidad de la contraseña. Si usa Windows 10, una idea es configurar Windows Hello for Business para simplificar el método de autenticación, sin reducir la seguridad.
Habilitar la papelera de reciclaje: la Papelera de reciclaje se introdujo en Windows Server 2008 R2 y es la manera perfecta de restaurar un elemento en pocos segundos, sin ejecutar una restauración de AD.
Al menos dos controladores de dominio: no importa si su infraestructura no es una empresa, debe tener dos controladores de dominio para evitar fallas críticas.
Eliminar elementos obsoletos: no olvide limpiar su infraestructura de los usuarios y las computadoras donde no estén más presentes o sean necesarios. Esto evita problemas o problemas de seguridad.
Un controlador de dominio no es una ordenador: ¡No instale nada dentro de un controlador de dominio! Sin software, sin aplicaciones de terceros, sin roles, ¡nada! Un DC debe estar limpio!
Regla de convención de nombres: defina una convención de nombres antes de construir su infraestructura, sobre usuarios, clientes, servidores, dispositivos y recursos (grupos, recursos compartidos, más). Esto te ayudará a simplificar la gestión y la escalabilidad.
Parchee sus controladores de dominio: los atacantes son rápidos para explotar vulnerabilidades conocidas, esto significa que siempre debe mantener actualizada su máquina. Planifique el horario adecuado para instalar las actualizaciones de Windows..
Auditoría: implemente una solución de auditoría para saber quién realiza los cambios. Esto no es un requisito de GDPR pero también es una forma de prevenir problemas de seguridad.