Hoy en día, los ordenadores existentes en cualquier organización se encuentran formando parte de redes de ordenadores, de forma que pueden intercambiar información. Desde el punto de vista de la administración de sistemas, la mejor forma de aprovechar esta característica es la creación de un dominio de sistemas, en donde la información administrativa y de seguridad se encuentra centralizada en uno o varios servidores, facilitando así la labor del administrador. Windows 2003 utiliza el concepto de directorio para implementar dominios de sistemas Windows 2003.
En el ámbito de las redes de ordenadores, el concepto de directorio (o almacén de datos) es una estructura jerárquica que almacena información sobre objetos en la red, normalmente implementada como una base de datos optimizada para operaciones de lectura y que soporta búsquedas de grandes datos de información y con capacidades de exploración.
Active Directory es el servicio de directorio de una red de Windows 2003. Este servicio de directorio es un servicio de red que almacena información acerca de los recursos de la red y permite el acceso de los usuarios y las aplicaciones a dichos recursos, de forma que se convierte en un medio de organizar, controlar y administrar centralizadamente el acceso a los recursos de la red.
Como veremos, al instalar el Directorio Activo en uno o varios sistemas Windows 2003 (Server) de nuestra red, convertimos a dichos ordenadores en los servidores del dominio, o más correctamente, en los denominados Controladores de Dominio (Domain Controllers) o simplemente "DCs". El resto de los equipos de la red pueden convertirse entonces en los clientes de dicho servicio de directorio, con lo que reciben toda la información almacenada en los controladores. Esta información incluye no sólo las cuentas de usuario, grupo, equipo, etc., sino también los perfiles de usuario y equipo, directivas de seguridad, servicios de red, etc. El Directorio Activo se convierte así en la herramienta fundamental de administración de toda la organización.
Una de las ventajas fundamentales del Directorio Activo es que separa la estructura lógica de la organización (dominios) de la estructura física (topología de red). Ello permite, por una parte, independizar la estructuración de dominios de la organización de la topología de la(s) red(es) que interconectan los sistemas; y, por otra parte, permite administrar la estructura física explícitamente cuando es necesario, de forma independiente de la administración de los dominios. Más adelante en este capítulo se exponen ambas estructuras detalladamente.
A diferencia de su antecesor NT 4.0, Windows 2003 proporciona compatibilidad con un buen número de protocolos y estándares existentes, ofreciendo interfaces de programación de aplicaciones que facilitan la comunicación con otros servicios de directorio. Entre ellos, podemos destacar los siguientes:
DHCP (Dynamic Host Configuration Protocol). Protocolo de configuración dinámica de ordenadores, que permite la administración desatendida de direcciones de red.
DNS (Domain Name System). Servicio de nombres de dominio que permite la administración de los nombres de ordenadores. Este servicio constituye el mecanismo de asignación y resolución de nombres (traducción de nombres simbólicos a direcciones IP) en Internet.
SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que permite disponer de un servicio de tiempo distribuido.
LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden y modifican la información existente en el directorio.
Kerberos V5. Protocolo utilizado para la autenticación de usuarios y máquinas..
Certificados X.509. Estándar que permite distribuir información a través de la red de una forma segura.
De entre todos ellos, es imprescindible que el administrador conozca en detalle la relación entre el Directorio Activo y DNS. A continuación se exponen los aspectos fundamentales de esta relación.
El Directorio Activo y DNS son espacios de nombres. Podemos entender un espacio de nombres como un área delimitada en la cual un nombre puede ser resuelto. La resolución de nombres es el proceso de traducción de un nombre en un objeto o información que lo representa. Por ejemplo, el sistema de ficheros NTFS puede ser considerado un espacio de nombres en cual un fichero puede ser resuelto en el fichero propiamente dicho.
DNS es el sistema de nombres de facto para redes basadas en el protocolo TCP/IP y el servicio de nombres que se usa para localizar equipos en Internet. Windows 2003 utiliza DNS para localizar equipos y controladores de dominio. Una estación de trabajo o servidor miembro busca un controlador de dominio preguntando a DNS.
Cada dominio de Windows 2003 se identifica unívocamente mediante
un nombre DNS (por ejemplo, miempresa.com) y
cada equipo basado en Windows 2003 que forma parte de un dominio
tiene un nombre DNS cuyo sufijo es precisamente el nombre DNS de
dicho dominio (siguiendo con el ejemplo,
pc0100.miempresa.com). De esta forma vemos que
dominios y equipos se representan como objetos en Active Directory
y como nodos en DNS. Por tanto resulta fácil confundir ambos
espacios de nombres ya que comparten idénticos nombres de
dominio. La diferencia es que aunque comparten la misma
estructura, almacenan información diferente: DNS almacena zonas y
registros de recursos y el Directorio Activo guarda dominios y
objetos de dominio.
Como conclusión diremos que Directorio Activo utiliza DNS, para tres funciones principales:
Resolución de nombres: DNS permite realizar la resolución de nombres al convertir los nombres de host a direcciones IP.
Definición del espacio de nombres: Directorio Activo utiliza las convenciones de nomenclatura de DNS para asignar nombre a los dominios.
Búsqueda de los componentes físicos de
AD: para iniciar una sesión de red y realizar
consultas en Directorio Activo, un equipo con Windows 2003
debe encontrar primero un controlador de dominio o servidor de
catálogo global para procesar la autenticación de inicio de
sesión o la consulta. La base de datos DNS almacena
información acerca de qué equipos realizan estas funciones
para que se pueda atender la solicitud adecuadamente. En
concreto, esto se lleva a cabo mediante registros de recursos
SRV que especifican el servidor (o
servidores) del dominio que proporcionan los servicios de
directorio correspondientes.
La estructura lógica del Directorio Activo se centra en la administración de los recursos de la red organizativa, independientemente de la ubicación física de dichos recursos, y de la topología de las redes subyacentes. Como veremos, la estructura lógica de la organización se basa en el concepto de dominio, o unidad mínima de directorio, que internamente contiene información sobre los recursos (usuarios, grupos, directivas, etc.) disponibles para los ordenadores que forman parte de dicho dominio. Dentro de un dominio es posible subdividir lógicamente el directorio mediante el uso de unidades organizativas, que permiten una administración independiente sin la necesidad de crear múltiples dominios. Sin embargo, si la organización desea estructurarse en varios dominios, también puede hacerlo, mediante los conceptos de árbol y bosque; ambos son jerarquías de dominios a distintos niveles, en función de si los dominios comparten o no un espacio de nombres común. A continuación se presentan todos estos conceptos de forma más detallada.
La unidad central de la estructura lógica del Directorio Activo es el dominio. Un dominio es un conjunto de equipos que comparten una base de datos de directorio común. Dentro de una organización, el Directorio Activo se compone de uno o más dominios, cada uno de ellos soportado, al menos, por un controlador de dominio. Como hemos visto, cada dominio se identifica unívocamente por un nombre de dominio DNS, que debe ser el sufijo DNS principal de todos los ordenadores miembros del dominio, incluyendo el o los controladores.
El uso de dominios permite conseguir los siguientes objetivos:
Delimitar la seguridad. Un dominio Windows 2003 define un límite de seguridad. Las directivas de seguridad, los derechos administrativos y las listas de control de acceso (Access Control Lists, ACLs) no se comparten entre los dominios. Active Directory puede incluir uno o más dominios, teniendo cada uno sus propias directivas de seguridad.
Replicar información. Un dominio es una partición del directorio, las cuales son unidades de replicación. Cada dominio almacena solo la información sobre los objetos localizados en este dominio. Active Directory utiliza un modelo de replicación con varios maestros. Todos los controladores de dominio del dominio pueden recibir cambios realizados sobre los objetos, y pueden replicar estos cambios a todos los controladores de dominio en el dominio.
Aplicar Políticas (o Directivas) de Grupo. Un dominio define un posible ámbito para las políticas. Al aplicar un objeto de política de grupo (GPO) al dominio, este establece como los recursos del dominio se configuran y se usan. Estas políticas se aplican dentro del dominio y no a través de los dominios.
Delegar permisos administrativos. En las redes que ejecutan Windows 2003, se puede delegar a medida la autoridad administrativa tanto para unidades organizativas (OUs) individuales como a dominios individuales, lo cual reduce el número de administradores necesarios con amplios permisos administrativos. Ya que un dominio representa un límite de seguridad, los permisos administrativos se limitan al dominio.
Existen muchos casos en los que es interesante disponer de varios dominios de ordenadores Windows 2003 en la misma organización (distribución geográfica o departamental, distintas empresas, etc.). El Directorio Activo permite almacenar y organizar la información de directorio de varios dominios de forma que, aunque la administración de cada uno sea independiente, dicha información esté disponible para todos los dominios.
Según los estándares de nombres DNS, los dominios de Active Directory se crean dentro de una estructura de árbol invertida, con la raíz en la parte superior. Además, esta jerarquía de dominios de Windows 2003 se basa en relaciones de confianza, es decir, los dominios se vinculan por relaciones de confianza entre dominios.
Cuando se instala el primer controlador de dominio en la organización se crea lo que se denomina el dominio raíz del bosque, el cual contiene la configuración y el esquema del bosque (compartido por todos los dominios de la organización). Más adelante, podemos agregar dominios como subdominios de dicha raíz (árbol de dominios) o bien crear otros dominios "hermanos" de la raíz (bosque de dominios), debajo del cual podemos crear subdominios, y así sucesivamente.
Un árbol es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo. Si existe más de un dominio, estos se disponen en estructuras de árbol jerárquicas.
El primer dominio creado es el dominio raíz del primer árbol. Cuando se agrega un dominio a un árbol existente este pasa a ser un dominio secundario (o hijo). Un dominio inmediatamente por arriba de otro dominio en el mismo árbol de dominio es su padre. Todos los dominios que tengan un dominio raíz común se dice que forman un espacio de nombres contiguo.
Los dominios secundarios (hijos) pueden representar entidades geográficas (valencia, madrid, barcelona), entidades administrativas dentro de la organización (departamento de ventas, departamento de desarrollo ...), u otras delimitaciones específicas de una organización, según sus necesidades.
Los dominios que forman un árbol se enlazan mediante relaciones de confianza bidireccionales y transitivas. La relación padre-hijo entre dominios en un árbol de dominio es simplemente una relación de confianza. Los administradores de un dominio padre no son automáticamente administradores del dominio hijo y el conjunto de políticas de un dominio padre no se aplican automáticamente a los dominios hijo.
Por ejemplo, en la Universidad Politécnica de Valencia cuyo
dominio actual de Active Directory es
upv.es se crean dos nuevos departamentos:
DSIC y DISCA. Con el fin de permitir la administración de los
dominios por parte de los técnicos de los respectivos
departamentos, se decide agregar dos nuevos dominios a su
árbol de dominios existente en lugar de crear dos unidades
organizativas en el dominio existente. Los dominios
resultantes, dsic.upv.es y
disca.upv.es forman un espacio de nombres
contiguo, cuya raíz es upv.es. El
administrador del dominio padre (upv.es)
puede conceder permisos para recursos a cuentas de cualquiera
de los tres dominios del árbol, pero por defecto no los puede
administrar.
Un bosque es un grupo de árboles que no comparten un espacio de nombres contiguo, conectados a través de relaciones de confianza bidireccionales y transitivas. Un dominio único constituye un árbol de un dominio, y un árbol único constituye un bosque de un árbol. Los árboles de un bosque aunque no forman un espacio de nombres común, es decir, están basados en diferentes nombres de dominio raíz de DNS, comparten una configuración, un esquema de directorio común y el denominado catálogo global.
Es importante destacar que, aunque los diferentes árboles de un bosque no comparten un espacio de nombres contiguo, el bosque tiene siempre un único dominio raíz, llamado precisamente dominio raíz del bosque; dicho dominio raíz será siempre el primer dominio creado por la organización.
Añadir nuevos dominios a un bosque es fácil. Sin embargo, existen ciertas limitaciones que hemos de tener en cuenta al respecto:
No se pueden mover dominios de Active Directory entre bosques.
Solamente se podrán eliminar dominios de un bosque si este no tiene dominios hijo.
Después de haber establecido el dominio raíz de un árbol, no se pueden añadir dominios con un nombre de nivel superior al bosque.
No se puede crear un dominio padre de un dominio existente.
En general, la implementación de bosques y árboles de dominio permite mantener convenciones de nombres tanto contiguos como discontiguos, lo cual puede ser útil en organizaciones con divisiones independendientes que quieren mantener sus propios nombres DNS.
Finalmente, debemos relacionar estos conceptos con el procedimiento para crear un dominio. Esto se hace mediante la ejecución de un asistente denominado dcpromo en el sistema Windows 2003 Server que queramos promocionar a controlador de dominio. En concreto, este asistente nos permite elegir entre las siguientes opciones de instalación:
DC adicional de un dominio existente o DC para un dominio nuevo (creación de un dominio).
En el segundo caso, el dominio (nuevo) puede ser un dominio secundario de otro dominio existente (es decir, un subdominio en un árbol de dominios ya creado), o bien el dominio principal (raíz) de un nuevo árbol de dominios.
En este segundo caso, el dominio raíz puede ser de un bosque existente (agregamos una raíz nueva a un bosque) o de un nuevo bosque (creación del bosque). Por tanto, el primer dominio que creemos en una organización siempre será un dominio nuevo de un árbol nuevo de un bosque nuevo.
La funcionalidad de los dominios de Windows 2003 es diferente de la que tenían sistemas anteriores de la misma familia (Windows NT4 y Windows 2000). Tanto Windows 2000 como Windows 2003 pueden configurarse en diferentes niveles funcionales ("modos de dominio" en Windows 2000) para que puedan ser compatibles con sistemas anteriores.
En concreto, Windows Server 2003 soporta cuatro niveles funcionales de dominio y tres niveles funcionales de bosque, explicados a continuación.
Un dominio Windows 2003 puede estar en cuatro niveles funcionales:
Windows 2000 mixto. Este es el nivel funcional por defecto cuando se crea un nuevo dominio (o cuando se actualiza de un sistema anterior). En este nivel, los DCs de Windows 2003 son compatibles dentro del mismo dominio con DCs Windows NT4 y Windows 2000. Por este motivo, un conjunto significativo de opciones de configuración no están disponibles (como por ejemplo el anidamiento de grupos, el cambio de ámbito de grupo y los grupos universales).
Windows 2000 nativo. En este nivel funcional, los DCs de Windows 2003 son compatibles dentro del mismo dominio con DCs que ejecuten Windows 2000 pero no Windows NT4. Se tiene una funcionalidad completa del Directorio Activo a nivel de Windows 2000, aunque se excluyen las nuevas opciones que Windows 2003 ha introducido en los dominios (entre las cuales destaca la posibilidad de cambiar de nombre a un DC sin necesidad de despromocionarlo previamente).
Windows Server 2003 provisional. En este nivel funcional, los DCs de Windows 2003 son compatibles dentro del mismo dominio con DCs que ejecuten Windows NT4 pero no Windows 2000. Se trata de un nivel funcional reservado únicamente para migraciones directas de NT4 a Windows 2003, y se supone que es completamente transitorio.
Windows Server 2003. En este nivel funcional, los DCs de Windows 2003 son compatibles únicamente entre sí (sólo puede configurarse si todos los DCs del dominio son Windows Server 2003). Este nivel ofrece la funcionalidad completa de dominios, incluyendo todas las características definidas en Windows 2000 más las nuevas incluidas en Windows Server 2003.
Por otro lado, un bosque de dominios Windows 2003 puede estar en tres niveles funcionales:
Windows 2000. Este es el nivel por defecto al crear un nuevo bosque (o actualizar desde un sistema anterior). En este nivel funcional, los DCs de Windows 2003 son compatibles dentro del bosque con DCs que ejecuten Windows 2000 o Windows NT4. Se tiene una funcionalidad completa del bosque a nivel de Windows 2000, aunque se excluyen las nuevas opciones que Windows 2003 ha introducido a este nivel (incluyendo mejoras en la replicación, las relaciones de confianza entre bosques y la posibilidad de renombrar dominios en lugar de eliminarlos y volverlos a crear).
Windows Server 2003 provisional. En este nivel funcional, los DCs de Windows 2003 son compatibles dentro del bosque con DCs que ejecuten Windows NT4 pero no Windows 2000. Se trata de un nivel funcional reservado únicamente para la migración directa de NT4 a Windows 2003 en el primer dominio del bosque, y se supone que es completamente transitorio.
Windows Server 2003. En este nivel funcional, los DCs de Windows 2003 son compatibles únicamente entre sí (sólo puede configurarse si todos los DCs del bosque son Windows Server 2003). Este nivel ofrece la funcionalidad completa para los bosques, incluyendo todas las características definidas en Windows 2000 más las nuevas incluidas en Windows Server 2003.
Por tanto, por defecto al crear un nuevo bosque, éste se sitúa en el nivel funcional "Windows 2000", y al crear un nuevo dominio, éste se sitúa en el nivel funcional "Windows 2000 mixto", manteniendo, en ambos casos, la compatibilidad completa con sistemas anteriores.
Tanto a nivel de dominio como de bosque, la transición entre niveles funcionales sólo es posible elevando el nivel actual, es decir, pasando a un nivel con mayor funcionalidad (a excepción de los niveles provisionales, reservados para casos poco frecuentes). La elevación de nivel funcional es, por tanto, un paso irreversible, y sólo debe hacerse cuando se está seguro de que no van a añadirse sistemas anteriores como DCs al dominio, o al bosque. La elevación del nivel funcional de dominio o de bosque se realiza desde la herramienta "Dominios y Confianzas de Active Directory".
Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio y a los administradores definir los permisos y derechos de usuario para los usuarios del otro dominio.
Windows Server 2003 soporta varios tipos de relaciones de confianza, que veremos posteriormente. Al margen de su uso, los diferentes tipos de relaciones se diferencian en función de tres rasgos característicos:
Método de creación: algunos tipos de relaciones de confianza se crean de forma automática (implícita) y otros de forma manual (explícita).
Dirección: algunos tipos de relaciones son unidireccionales y otros bidireccionales. Si la relación es unidireccional, los usuarios del dominio A (de confianza) pueden utilizar los recursos del dominio B (que confía), pero no al revés. En una relación bidireccional, ambas acciones son posibles.
Transitividad: algunos tipos de relaciones son transitivas y otras no. Una relación de confianza transitiva es aquella que permite que si un dominio A confía en otro B, y éste confía en un tercero C, entonces de forma automática, A confía en C. En las relaciones no transitivas, la confianza entre A y C tendría que añadirse explícitamente.
Después de ver las características de las relaciones de confianza, se explican a continuación los tipos de relaciones de confianza válidos en dominios y bosques Windows Server 2003:
Confianza raíz de árbol. Esta relación se establece de forma automática entre los dominios raíz del mismo bosque. Es bidireccional y transitiva.
Confianza principal-secundario. Esta relación se establece de forma automática entre un dominio dado y cada uno de sus subdominios (o dominios secundarios). Es bidireccional y transitiva.
Confianza de acceso directo. Este tipo de relación debe establecerse de forma manual, y tiene como objetivo mejorar la eficiencia en los inicios de sesión remotos. Si los usuarios de un dominio A necesitan acceder frecuentemente a los recursos de un dominio B, y ambos dominios se encuentran "lejos" entre sí (con muchos dominios intermedios), la confianza permite una relación directa que acorta el tiempo necesario para la autentificación de los usuarios. Es transitiva y unidireccional (si se necesita en ambos sentidos, deben crearse dos relaciones de confianza).
Confianza externa . Este tipo de relación se crea manualmente y permite a usuarios de un dominio Windows 2003 acceder a recursos ubicados en dominios de otro bosque, o bien dominios Windows NT4. Es unidireccional e intransitiva.
Confianza de bosque . Este tipo de relación debe crearse de forma manual entre los dominios raíz de dos bosques distintos, y permite a los usuarios de cualquier dominio de un bosque acceder a los recursos de cualquier dominio del otro bosque. Es unidireccional y sólo es transitiva entre dos bosques. Este tipo de relaciones sólo están disponibles si ambos bosques se sitúan en el nivel funcional "Windows Server 2003".
Confianza de territorio . Este tipo de relación debe crearse de forma manual entre un dominio Windows 2003 y un territorio (realm) Kerberos (versión 5) que no sea Windows, y permite interoperabilidad entre ambos. Es unidireccional y puede ser transitiva o no.
Por tanto, las relaciones de confianza automáticas (implícitas) se crean por defecto al ir añadiendo dominios al bosque, y mantienen relacionados todos esos dominios de forma bidireccional y transitiva. El efecto de estas relaciones es que de forma automática, los usuarios de cualquier dominio del bosque son conocidos (y pueden acceder a los recursos) en todos los dominios de dicho bosque. Las relaciones de confianza manuales (explícitas) están reservadas para casos en donde se busca mejorar la eficiencia o permitir interactuar con otros bosques o con dominios que no son Windows 2003.
Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Es decir, es un contenedor de otros objetos, de forma análoga a una carpeta o directorio en un sistema de archivos tradicional. En concreto, dentro de una unidad de este tipo pueden crearse cuentas de usuario, de grupo, de equipo, de recurso compartido, de impresora compartida, etc., además de otras unidades organizativas. Es decir, mediante unidades organizativas podemos crear una jerarquía de objetos en el directorio (lo cual se asemeja otra vez a un sistema de archivos típico de Windows). Los objetos ubicados dentro de una unidad organizativa pueden moverse más tarde a otra, si fuera necesario. Sin embargo, un objeto no puede copiarse: cada objeto es único en el directorio, y su existencia es independiente de la unidad organizativa a la que pertenece.
Por tanto, el objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos del directorio, agrupándolos de foma coherente. En el Directorio Activo, las unidades organizativas permiten:
Delegar la administración. Cada unidad organizativa puede administrarse de forma independiente. En concreto, se puede otorgar la administración total o parcial de una unidad organizativa a un usuario o grupo de usuarios cualquiera. Esto permite delegar la administración de subconjuntos estancos del dominio a ciertos usuarios que posean el nivel de responsabilidad adecuada.
Establecer de forma centralizada comportamientos distintos a usuarios y equipos. A cada unidad organizativa pueden vincularse políticas de grupo, que aplican comportamientos (generalmente en forma de restricciones) a los usuarios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, podemos aplicar restricciones distintas a subconjuntos de usuarios y equipos del dominio, en función exclusivamente de la unidad organizativa donde se ubican. Por ejemplo, podemos limitar a los usuarios del departamento de contabilidad para que sólo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informática.
En muchos sentidos, el concepto de unidad organizativa se puede utilizar en Windows 2003 de la misma forma que se entendía el concepto de dominio en versiones anteriores de Windows NT, es decir, conjunto de usuarios, equipos y recursos administrados independientemente. En realidad, en Windows 2003 el concepto de dominio viene más bien asociado a la distribución de los sitios (topología de red) y a la implementación de DNS que exista (o quiera crearse) en la empresa.
De este modo, en muchas organizaciones de pequeño o medio tamaño resulta más adecuado implementar un modelo de dominio único con múltiples unidades organizativas que un modelo de múltiples dominios. Si es necesario, cada unidad puede administrarse independientemente, con uno o varios administradores delegados y comportamientos (políticas) diferentes.
En Active Directory, la estructura lógica está separada de la estructura física. La estructura lógica se utiliza para organizar los recursos de red mientras que la estructura física se utiliza para configurar y administrar el tráfico de red. En concreto, la estructura física de Active Directory se compone de sitios y controladores de dominio.
La estructura física de Active Directory define dónde y cuándo se producen el tráfico de replicación y de inicio de sesión. Una buena comprensión de los componentes físicos de Active Directory permite optimizar el tráfico de red y el proceso de inicio de sesión, así como solventar problemas de replicación.
Un sitio es una combinación de una o varias subredes IP que están conectadas por un vínculo de alta velocidad. Definir sitios permite configurar la topología de replicación y acceso a Active Directory de forma que Windows 2003 utilice los vínculos y programas más efectivos para el tráfico de inicio de sesión y replicación.
Normalmente los sitios se crean por dos razones principalmente:
Para optimizar el tráfico de replicación.
Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexión confiable de alta velocidad.
Es decir, los sitios definen la estructura física de la red, mientras que los dominios definen la estructura lógica de la organización.
Un controlador de dominio (Domain Controller, DC) es un equipo donde se ejecuta Windows 2003 Server y que almacena una replica del directorio. Los controladores de dominio ejecutan el servicio KDC, que es responsable de autenticar inicios de sesión de usuario.
La información almacenada en cada controlador de dominio se divide en tres categorías (particiones): dominio, esquema y datos de configuración. Estas particiones del directorio son las unidades de replicación:
Partición del directorio de esquema: contiene todos los tipos de objetos y atributos que pueden ser creados en Active Directory. Estos datos son comunes a todos los dominios en el bosque. Por tanto los datos del esquema se replican a todos los controladores de dominio del bosque.
Partición de directorio de configuración: contiene la estructura de los dominios y la topología de replicación. Estos datos son comunes a todos los dominios en el bosque, y se replican a todos los controladores de dominio en el bosque.
Partición de directorio de dominio: contiene todos los objetos del directorio para este dominio. Dichos datos se replican a todos los controladores de ese dominio, pero no a otros dominios.
Partición de directorio de aplicaciones: contiene datos específicos de aplicación. Estos datos pueden ser de cualquier tipo excepto principales de seguridad (usuarios, grupos y equipos). En este caso, se tiene un control fino sobre el ámbito de la replicación y la ubicación de las réplicas. Este tipo de partición es nuevo de Windows Server 2003.
Además de estas cuatro particiones de directorio de escritura, existe una cuarta categoría de información almacenada en un controlador de dominio: el catálogo global. Un catálogo global es un controlador de dominio que almacena las particiones de directorio de escritura, así como copias parciales de sólo lectura de todas las demás particiones de directorio de dominio del bosque.
Las versiones anteriores de Windows NT Server usaban múltiples controladores de dominio y sólo se permitía que uno de ellos actualizase la base de datos del directorio. Este esquema de maestro único exigía que todos los cambios se replicasen desde el controlador de dominio principal (Primary Domain Controller, PDC) a los controladores de dominio secundarios o de reserva (Backup Domain Controllers, BDCs).
En Windows 2003, todos los controladores de dominio admiten cambios, y estos cambios se replican a todos los controladores de dominio. Las operaciones de administración de usuarios, grupos y equipos son operaciones típicas de múltiples maestros. Sin embargo no es práctico que algunos cambios se realicen en múltiples maestros debido al tráfico de replicación y a los posibles conflictos en las operaciones básicas. Por estas razones, las funciones especiales, como la de servidor de catálogo global y operaciones de maestro único, se asignan sólo a determinados controladores de dominio. A continuación veremos estas funciones.
El catálogo global es un depósito de información que contiene un subconjunto de atributos para todos los objetos de Active Directory (partición de directorio de dominio). Los atributos que se almacenan en el catálogo global son los que se utilizan con más frecuencia en las consultas. El catálogo global contiene la información necesaria para determinar la ubicación de cualquier objeto del directorio.
Un servidor de catálogo global es un controlador de dominio que almacena una copia del catálogo y procesa las consultas al mismo. El primer controlador de dominio que se crea en Active Directory es un servidor de catálogo global. Se pueden configurar controladores de dominio adicionales para que sean servidores de catálogo global con el fin de equilibrar el tráfico de autenticación de inicios de sesión y la transferencia de consultas.
El catálogo global cumple dos funciones importantes en el directorio:
Permite que un usuario inicie una sesión en la red mediante el suministro de la información de pertenencia a grupos universales a un controlador de dominio cuando inicia un proceso de sesión.
Permite que un usuario busque información de directorio en todo el bosque, independiente de la ubicación de los datos.
Un maestro de operaciones es un controlador de dominio al que se le ha asignado una o varias funciones de maestro único en un dominio o bosque de Active Directory. Los controladores de dominio a los que se les asignan estas funciones realizan operaciones que no pueden ocurrir simultáneamente en otros controladores de dominio de la red. La propiedad de estas operaciones de maestro único puede ser transferida a otros controladores de dominio.
Todos los bosques de Active Directory deben tener controladores de dominio que cumplan dos de las cinco funciones de operaciones de maestro único. Las funciones para todo el bosque son:
Maestro de esquema. El controlador de dominio maestro de esquema controla todas las actualizaciones y modificaciones del esquema. Para actualizar el esquema de un bosque, debe tener acceso al maestro de esquema.
Maestro de nombres de dominio. El controlador de dominio maestro de esquema controla las operaciones de agregar o quitar dominios del bosque, asegurando que los nombres de dominio sean únicos en el bosque.
Todos los dominios de Active Directory deben tener controladores de dominio que cumplan tres de las cinco funciones de operaciones de maestro único:
Maestro de identificadores relativos (RID). El controlador de dominio maestro de identificadores relativos (RID) asigna secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio.
Cuando un controlador de dominio crea un objeto de usuario, grupo o equipo, asigna al objeto un identificador de seguridad único (SID). Este identificador está formado por un identificador de seguridad de dominio, que es el mismo para todos los que se crean en el dominio, y un identificador relativo que es único para cada identificador de seguridad que se crea en el dominio.
Emulador de controlador de dominio principal (PDC). Para mantener la compatibilidad con servidores basados en Windows NT que puedan funcionar como controladores de dominio de reserva (BDC) en dominios de Windows 2003 en modo mixto, pero todavía requieren un controlador principal de dominio (PDC), se asigna a un controlador de dominio específico basado en Windows 2003, la función de emular a un PDC. A este controlador de dominio lo ven los servidores basados en NT como un PDC.
Maestro de infraestructuras. Cuando los objetos se mueven o se eliminan, un controlador de dominio de cada dominio, el maestro de infraestructura, es el responsable de actualizar los identificadores de seguridad y nombres completos en las referencias de objetos de dominio cruzado de ese dominio.