ACTIVE DIRECTORY

INTRODUCCIN

Active Directory es un servicio de directorio extensible que permite

manejar recursos de red eficientemente.

AD almacena informacin detallada de cada recurso de red, lo que

hace fcil proveer bsqueda bsica y autenticacin.

Ser capaz de almacenar grandes cantidades de informacin es un

objetivo clave de un servicio de directorio, pero la informacin tambin
debe ser organizada de manera que se busca y se recupera
fcilmente.
INTRODUCCIN

AD proporciona bsqueda autenticada y recuperacin de informacin,

dividiendo las estructuras fsicas y lgicas del directorio en capas
separadas.

La comprensin de la estructura fsica de Active Directory es

importante para entender cmo funciona un servicio de directorio.

La comprensin de la estructura lgica de Active Directory es

importante para la implementacin y gestin de un servicio de
directorio .
ARQUITECTURA FSICA

La capa fsica de AD controla las siguientes caractersticas:

Como la informacin del directorio es accedida.

Como la informacin del directorio es almacenada en el disco

duro del servidor.
ARQUITECTURA FSICA

Desde una perspectiva fsica o de maquina, Active Directory es parte

del subsistema de seguridad.

El subsistema de seguridad se ejecuta en modo usuario.

Aplicaciones en modo usuario no tienen acceso directo al sistema

operativo o hardware.

Los requerimientos de aplicaciones en modo usuario tienen que pasar

a travs de la capa de servicios ejecutivos y deben ser validados antes
de ser ejecutada.
ARQUITECTURA FSICA
ARQUITECTURA FSICA

Cada recurso en AD es representado como un objeto.

Cualquiera que trate de tener acceso a un objeto debe ser previamente

autorizado.

La lista de permisos que describe quien o que puede acceder un objeto

son referidos como Acces Control List (ACLs).

Cada objeto en el directorio tiene asociado un ACL.

ARQUITECTURA FSICA

Se puede restringir los permisos a travs de un alcance ms amplio

mediante el uso de Polticas de Grupo (Group Policy).

La infraestructura de seguridad de AD usa polticas para imponer

modelos de seguridad en varios objetos que son agrupados
lgicamente.
ACTIVE DIRECTORY DENTRO DE LA AUTORIDAD DE
SEGURIDAD LOCAL

Dentro del subsistema de seguridad, AD es un subcomponente de la

Autoridad de Seguridad Local (Local Security Authority :LSA).

La LSA consiste de muchos componentes que proporcionan

caracterstica de seguridad de Windows server y aseguran que el
control de acceso y la autenticacin funcionen como debieran.

La LSA no solo gestiona la poltica de seguridad local, sino que

tambin realiza las siguientes funciones:
Genera identificadores de seguridad.

Proporciona el proceso interactivo de inicio de sesin.

Gestiona la auditoria.
ACTIVE DIRECTORY DENTRO DE LA AUTORIDAD DE
SEGURIDAD LOCAL
ACTIVE DIRECTORY DENTRO DE LA AUTORIDAD DE
SEGURIDAD LOCAL

Cuando se trabaja a travs del subsistema de seguridad, se

encuentran las tres siguientes reas clave:

Mecanismos de autenticacin:

NTLM (Msv1.0.dll) usado para autenticacin Windows NT LAN

Manager (NTLM).

Kerberos (Kerberos.dlll) y Key Distribution Center (Kdcsv.dll)

usados para autenticacin Kerberos V5.

SSL (Schannel.dll) usado para autenticacin Secure Sockets

Layer (SSL).

Proveedor de autenticacin (Secur32.dll) usado para manejar

autenticacin.
ACTIVE DIRECTORY DENTRO DE LA AUTORIDAD DE
SEGURIDAD LOCAL

Inicio de Sesin/mecanismos de control de acceso

NET LOGON (Netlogon.dll) usado para inicio de sesin iterativo

va NTML.

LSA Server (Lsasrv.dll) usado para hacer cumplir las polticas de

seguridad para Kerberos y SSL.

Security Accounts Manager (Samsrv.dll) usado para hacer

cumplir las polticas de seguridad para NTLM.
ACTIVE DIRECTORY DENTRO DE LA AUTORIDAD DE
SEGURIDAD LOCAL

Componente de Servicio de Directorio.

Servicio de directorio (Ntdsa.dll) usado para proporcionar servicios

de directorio para Windows Server.

Este es el modulo actual que permite ejecutar bsquedas

autenticadas y recuperar informacin
ACTIVE DIRECTORY DENTRO DE LA AUTORIDAD DE
SEGURIDAD LOCAL

Los usuarios son autenticados antes de que puedan trabajar con el

componente servicio de directorio.

La autenticacin es manejada pasando los credenciales de seguridad

del usuario a un controlador de dominio.

Despus de que el usuario es autenticado en la red, pueden trabajar

con recursos y ejecutar acciones de acuerdo a los permisos y
derechos que se le ha concedido en le directorio.
ACTIVE DIRECTORY DENTRO DE LA AUTORIDAD DE
SEGURIDAD LOCAL

En una red que no utiliza AD o cuando se accede localmente en una

mquina que no sea un controlador de dominio, no se utiliza el
servicio de directorio.

En su lugar, la autenticacin y control de acceso se manejan a travs

del Administrador de cuentas de seguridad (SAM).

Aqu, la informacin de los recursos se almacena en el SAM, que a su

vez se almacena en el registro.
ACTIVE DIRECTORY DENTRO DE LA AUTORIDAD DE
SEGURIDAD LOCAL
ARQUITECTURA DEL SERVICIO DE DIRECTORIO

Las solicitudes entrantes se pasan a travs del subsistema de

seguridad para el componente de servicio de directorio.

El componente de servicio de directorio est diseado para aceptar las

solicitudes de los diferentes tipos de clientes.

Estos clientes usan protocolos especficos para interactuar con Active

Directory.
ARQUITECTURA DEL SERVICIO DE DIRECTORIO
PROTOCOLOS E INTERFACES CLIENTE

El principal protocolo para acceder a Active Directory es Lightweight

Directory Access Protocol (LDAP).

LDAP es un protocolo estndar en la industria para acceso a

directorios que se ejecuta sobre TCP/IP.

Active Directory soporta LDAP versin 2 y 3.

Los clientes pueden usar LDAP para consultar y manejar informacin

de directorio, dependiendo del nivel de permisos que tienen
concedidos, estableciendo una conexin TCP a un controlador de
dominio.

Por defecto el puerto TCP usado por los clientes LDAP es 389 para
comunicaciones estndar y 636 para SSL.
DIRECTORY SISTEM AGENT Y LA CAPA DE BASE DE DATOS

Los clientes y otros servidores usan las interfaces LDAP, REPL, MAPI
y SAM para comunicarse con el componente de servicio de directorio
(Ntdsa.dll) en un controlador de dominio.

Desde una perspectiva abstracta, el componente de servicio de

directorio consiste en lo siguiente:

Directory System Agent (DSA), el cual proporciona las interfaces

a travs de las cuales los clientes y otros servidores se
conectan.

Capa de base de datos, que proporciona una interfaz de

programacin de aplicaciones (API) para trabajar con el
almacn de datos de Active Directory
DIRECTORY SISTEM AGENT Y LA CAPA DE BASE DE DATOS

Desde un punto de vista fsico, el DSA es realmente el componente

servicio de directorio, y la capa de base de datos reside dentro de el.

La razn para la separacin de los dos es que la capa de base de

datos realiza una abstraccin vital.

Sin esta abstraccin, la base de datos fsica en el disco no sera

protegido de las aplicaciones con las que interacta el DSA.
DIRECTORY SISTEM AGENT Y LA CAPA DE BASE DE DATOS

Por otra parte, la jerarqua basada en objetos utilizados por Active

Directory no sera posible.

Por qu? Debido a que el almacn de datos es un simple archivo de

datos utilizando una estructura plana (basada en registros), mientras
que la capa de base de datos se utiliza para representar los registros
de archivos planos como objetos dentro de una jerarqua de
contenedores.

Como una carpeta que puede contener archivos, as como otras

carpetas, un contenedor es simplemente un tipo de objeto que puede
contener otros objetos, as como otros contenedores.
DIRECTORY SISTEM AGENT Y LA CAPA DE BASE DE DATOS

Cada objeto en el almacn de datos tiene un nombre con relacin al

contenedor en el que se almacena.

Este nombre es acertadamente llamado relative distinguished name

del objeto (RDN).

El nombre completo de un objeto, tambin conocido como nombre

distintivo de un objeto (Distinguished name: DN), describe la serie de
contenedores, desde el ms alto hasta el ms bajo, de la que el objeto
es una parte.
DIRECTORY SISTEM AGENT Y LA CAPA DE BASE DE DATOS

Para asegurarse de cada objeto almacenado en Active Directory es

verdaderamente nico, cada objeto tambin tiene un identificador nico
global (GUID), que se genera cuando se crea el objeto.

A diferencia del RDN o DN de un objeto, que pueden ser cambiados

renombrando un objeto o movindolo a otro contenedor, el GUID no se
puede cambiar.

Es asignado a un objeto por el DSA, y nunca cambia.

DIRECTORY SISTEM AGENT Y LA CAPA DE BASE DE DATOS

El DSA es responsable de asegurar que el tipo de informacin

asociada a un objeto se adhiere a un conjunto especfico de reglas.

Este conjunto de reglas se conoce como el esquema.

El esquema se almacena en el directorio y contiene las definiciones de

todas las clases de objetos y describe sus atributos.

En Active Directory, el esquema es el conjunto de reglas que

determinan el tipo de datos que se pueden almacenar en la base de
datos, el tipo de informacin que se puede asociar con un objeto en
particular, las convenciones de nomenclatura para los objetos, etc.
DIRECTORY SISTEM AGENT Y LA CAPA DE BASE DE DATOS

La DSA tambin es responsable de hacer cumplir las restricciones de

seguridad.

Lo hace mediante la lectura de los identificadores de seguridad (SIDs)

en el token de acceso de un cliente y comparndolos con los SIDs de
un objeto.

Si un cliente tiene permisos de acceso apropiados, se le concede

acceso a un objeto.

Si un cliente no tiene permisos de acceso adecuados, se le niega el

acceso.
DIRECTORY SISTEM AGENT Y LA CAPA DE BASE DE DATOS

Finalmente, el DSA se utiliza para iniciar la replicacin.

La replicacin es la funcionalidad esencial que garantiza que la

informacin almacenada en los controladores de dominio es correcta y
coherente con los cambios que se han hecho.

Sin rplica adecuada, los datos en los servidores estar

desactualizada.
MOTOR DE ALMACENAMIENTO EXTENSIBLE

El Motor de Almacenamiento Extensible (Extensible Storage Engine:

ESE) es usado por AD para recuperar informacin desde y escribir
informacin hacia el almacn de datos.

El ESE utiliza almacenamiento indexado y secuencial con

procesamiento transaccional, de la siguiente manera:

Almacenamiento indexadado

Indexacin del almacn de datos permite al ESE acceder a los datos

rpidamente sin tener que buscar en toda la base de datos. De esta
manera, la ESE puede rpidamente recuperar, escribir y actualizar los
datos.
MOTOR DE ALMACENAMIENTO EXTENSIBLE

Almacenamiento secuencial

Almacenar secuencialmente datos significa que la ESE escribe datos

como un flujo de bits y bytes. Esto permite que los datos se lean desde
y escriban en ubicaciones especficas.

Procesamiento transaccional

El Procesamiento transaccional asegura que los cambios a la base de

datos se aplican como operaciones discretas que se pueden revertir si
es necesario.
MOTOR DE ALMACENAMIENTO EXTENSIBLE

Cualquier dato que se modifica en una transaccin se copia a un

archivo de base de datos temporal.

Esto da dos puntos de vista de los datos que se estn cambiando: una
visin para el proceso cambiando los datos, y una vista de los datos
originales que est disponible para otros procesos hasta que se
termine la transaccin.

Una transaccin permanece abierto mientras se procesan los cambios.

Si se produce un error durante el procesamiento, la transaccin se
puede revertir para devolver el objeto que est siendo modificada a su
estado original.

Si Active Directory termina el procesamiento de cambios sin que se

produzcan errores, la transaccin puede ser comprometida (COMMIT)
MOTOR DE ALMACENAMIENTO EXTENSIBLE

Al igual que con la mayora de las bases de datos que utilizan el

procesamiento transaccional, Active Directory mantiene un registro de
transacciones.

Un registro de la transaccin se escribe primero a una copia en

memoria de un objeto, a continuacin en el registro de la transaccin, y
finalmente a la base de datos.

La copia en memoria de un objeto se almacena en el almacn de

versiones.

El almacn de versiones es un rea de memoria fsica (RAM) que se

utiliza para el procesamiento de cambios. Tpicamente, el almacn de
versiones es el 25 por ciento de la RAM fsica.
MOTOR DE ALMACENAMIENTO EXTENSIBLE

El registro de transacciones sirve como un registro de todos los cambios que an no se

han comprometido all archivo de base de datos.

La transaccin se escribe primero en el registro de transacciones para garantizar que,

incluso si la base de datos se apaga inmediatamente despus, el cambio no se pierda y
pueda tomar efecto.

Para asegurar esto, Active Directory utiliza un archivo de controles (checkpoint) para
rastrear el punto hasta el cual las transacciones en el archivo de registro se han
comprometido (committed) en el fichero de base de datos.

Despus de que una transaccin se confirma (committed) en el fichero de base de datos,

se puede borrar del registro de transacciones.
MOTOR DE ALMACENAMIENTO EXTENSIBLE

La actualizacin real de la base de datos se escribe de la copia en memoria del objeto

en el almacn de versiones y no del registro de transacciones.

Esto reduce el nmero de operaciones de E/S de disco y ayuda a asegurar que las
actualizaciones pueden seguir el ritmo de los cambios.

Cuando se hacen muchos cambios, sin embargo, el almacn de versiones puede llegar
a un punto en el que se siente abrumado.

Esto sucede cuando el almacn de versiones alcanza el 90 por ciento de su tamao

mximo.

Cuando esto sucede, la ESE temporalmente detiene las operaciones de procesamiento

de limpieza que se utilizan para devolver espacio despus de un objeto se modifica o
elimina de la base de datos.
MOTOR DE ALMACENAMIENTO EXTENSIBLE

Aunque la creacin de ndices podra afectar el rendimiento del controlador de dominio

en las versiones anteriores de Windows Server, Windows Server 2012 permite diferir la
creacin del ndice hasta un momento en que es ms conveniente.

Al aplazar la creacin de ndices a un punto designado en el tiempo, en lugar de crear

ndices, segn sea necesario, puede asegurarse de que los controladores de dominio
pueden realizar tareas relacionadas durante horas no pico, lo que reduce el impacto de
la creacin del ndice.

Cualquier atributo que est en un estado de ndice diferido ser registrado en el registro
de eventos cada 24 horas. Busque identificadores de evento 2944 y 2945. Cuando se
crean ndices, evento ID 1137 se registra.
MOTOR DE ALMACENAMIENTO EXTENSIBLE

En grandes entornos de Active Directory, aplazar la creacin del ndice es til para evitar
que los controladores de dominio lleguen a estar fuera de servicio debido a la
construccin de los ndices despus de cambios de esquema.

Antes de poder utilizar la creacin de ndices diferida, debe habilitar la caracteristica en

el dominio raz del bosque.

Esto se hace utilizando el atributo DSHeuristics del objeto Directory Service para el
dominio.

Establezca el bit 18 de este atributo a 1.

Debido a que el dcimo bit de este atributo tpicamente tambin se establece en 1 (si el
atributo se establece en un valor), el atributo normalmente se establece a lo siguiente:
000000000100000001.

Puede modificar el atributo DSHeuristics usando ADSI Edit o Ldp.exe.

MOTOR DE ALMACENAMIENTO EXTENSIBLE

Una vez que el cambio se replica en todos los controladores de dominio

del bosque, van a aplazar la creacin de ndices automticamente.

A continuacin, debe activar la creacin de ndices manualmente

reiniciando los controladores de dominio, los cuales reconstruyen el cach
de esquema y los ndices diferidos, o mediante la activacin de una
actualizacin de esquema para el RootDSE.

En ADSI Edit, puede iniciar una actualizacin conectndose al RootDSE.

Para ello, mantenga pulsada o haga clic derecho en el nodo raz y
seleccione Conectar a. En el cuadro de dilogo Configuracin de
conexin, seleccione la opcin Select A Well Known Naming Context.En la
lista de seleccin relacionados, seleccione RootDSE y luego toque o haga
clic en Aceptar.

En ADSI Edit, pulse y mantenga o haga clic en el nodo RootDSE y luego

seleccione Actualizar esquema ahora.
MOTOR DE ALMACENAMIENTO EXTENSIBLE

Para permitir la recuperacin de objetos y para la replicacin de

eliminaciones de objetos, un objeto que se elimina de la base de datos
se elimina lgicamente en lugar de ser eliminado fsicamente.

Las forma del trabajo de eliminacin depende de si la papelera de

reciclaje(Recycle Bin) de Active Directory est activada o desactivada.
ELIMINACIN SIN PAPELERA DE RECICLAJE

Cuando la papelera de reciclaje de AD est deshabilitada, la mayora

de los atributos del objeto se eliminan y el atributo Deleted del objeto
se establece a true para indicar que ha sido eliminado.

El objeto entonces se mueve a un contenedor de Objetos Eliminados

oculto, donde su eliminacin puede ser replicada en otros
controladores de dominio.

En este estado, se dice que el objeto que se ha desechado.

ELIMINACIN SIN PAPELERA DE RECICLAJE
ELIMINACIN SIN PAPELERA DE RECICLAJE

Para permitir que el estado desechado se replique en todos los

controladores de dominio, y as sea eliminado de todas las copias de la
base de datos, un atributo llamado tombstoneLifetime tambin se
establece en el objeto.

El atributo tombstoneLifetime especifica cunto tiempo el objeto

desechado debe permanecer en el contenedor de Objetos
Eliminados.

La tiempo de vida predeterminado es de 180 das.

ELIMINACIN SIN PAPELERA DE RECICLAJE

La ESE utiliza un proceso de recoleccin de basura para limpiar

objetos desechados despus de que haya expirado el tiempo de vida
de desecho, y realiza una desfragmentacin automtica en lnea de la
base de datos despus de la recoleccin de basura.

Por defecto, la recoleccin de basura se produce cada 12 horas.

ELIMINACIN CON PAPELERA DE RECICLAJE

Cuando la papelera de reciclaje de Active Directory est habilitada, los

objetos no son desechados cuando se eliminen en un principio, ni se
quitan sus atributos.

En lugar de ello, el proceso de eliminacin se produce en etapas.

ELIMINACIN CON PAPELERA DE RECICLAJE

En la primera etapa de la eliminacin, se dice que el objeto va ser

eliminado lgicamente.

En este caso, el atributo Deleted del objeto se establece en TRUE para

indicar que ha sido eliminado.

El objeto se mueve entonces, con sus atributos y nombre preservados,

a un contenedor de Objetos Eliminados oculto donde su eliminacin
puede ser replicada en otros controladores de dominio.
ELIMINACIN CON PAPELERA DE RECICLAJE
ELIMINACIN CON PAPELERA DE RECICLAJE

Para permitir que el estado eliminado lgicamente se replique en todos

los controladores de dominio, y por lo tanto eliminar de todas las
copias de la base de datos, un atributo llamado ms-
DeletedObjectLifetime tambin se establece en el objeto.

El atributo ms-DeletedObjectLifetime especifica el tiempo que el objeto

borrado lgicamente debe permanecer en el contenedor Objetos
eliminados.

La duracin predeterminada del objeto eliminado es de 180 das.

ELIMINACIN CON PAPELERA DE RECICLAJE

Cuando el tiempo de vida del objeto eliminado expire, Active Directory

elimina la mayor parte de los atributos del objeto, cambia el nombre
distinguido para que el nombre del objeto no pueda ser reconocido, y
establece el atributo tombstoneLifetime del objeto.

Este efectivamente desecha el objeto.

ELIMINACIN CON PAPELERA DE RECICLAJE

El objeto reciclado permanece en el contenedor Objetos eliminados

hasta que el tiempo de vida del objeto reciclado expira y se dice que
esta en el estado reciclado.

El tiempo de vida de desecho por defecto es de 180 das.

Al igual que con la eliminacin sin la Papelera de reciclaje, la ESE

utiliza un proceso de recoleccin de basura para limpiar objetos
desechados despus de que haya expirado el tiempo de vida de
desecho.
ARQUITECTURA DE ALMACENAMIENTO DE DATOS

El almacn de datos tiene un archivo de datos principal y varios otros

tipos de archivos relacionados, incluyendo los archivos de trabajo y los
registros de transacciones.
ARQUITECTURA DE ALMACENAMIENTO DE DATOS
ARQUITECTURA DE ALMACENAMIENTO DE DATOS

Estos archivos se utilizan de la siguiente manera:

Primay data file (Ntds.dit)

Archivo de base de datos fsico que mantiene el contenido del
almacn de datos de Active Directory

Checkpoint file (Edb.chk)

Archivo de checkpoint que rastrea el punto hasta el cual las
transacciones en el archivo de log se han
comprometido(commited) al archivo de base de datos

Temporary data (Tmp.edb)

Espacio de trabajo temporal para el procesamiento de
transacciones
ARQUITECTURA DE ALMACENAMIENTO DE DATOS

Primary log file (Edb.log)

Archivo de log primario que contiene un registro de todos los
cambios que an no se han comprometido (commited) al
archivo de base de datos

Secondary log files(Edb00001.log, EDB00002.LOG, ...)

Archivos de log adicionales que se utilizan segn sea necesario

Reserve log files (EdbRes00001.jrs, EdbRes00002.jrs, ...)

Archivos que se utilizan para reservar espacio para archivos de
log adicionales si el archivo de log principal se llena.
ARQUITECTURA DE ALMACENAMIENTO DE DATOS

El archivo de datos principal contiene tres tablas indexadas:

Active Directory data table

La tabla de datos contiene un registro para cada objeto en el
almacn de datos.

Active Directory link table

La tabla de vinculos se utiliza para representar atributos
vinculados.

Un atributo vinculado es un atributo que se refiere a otros

objetos en el Active Directory.
ARQUITECTURA DE ALMACENAMIENTO DE DATOS

Active Directory security descriptor table

La tabla de descriptores de seguridad contiene los descriptores
de seguridad heredados de cada objeto en el almacn de
datos.

Windows Server utiliza esta tabla para que los descriptores de

seguridad heredados no tengan que duplicarse en cada objeto.
ARQUITECTURA DE ALMACENAMIENTO DE DATOS

La tabla de datos tiene filas y columnas; la interseccin de una fila y

una columna es un campo.

Las filas de la tabla se corresponden a instancias individuales de un

objeto.

Las columnas de la tabla se corresponden a los atributos definidos en

el esquema.

Los campos de la tabla estn poblados slo si un atributo contiene un

valor.

Los campos pueden ser de longitud fija o variable.

ARQUITECTURA DE ALMACENAMIENTO DE DATOS

Los registros en la tabla de datos se almacenan en las pginas de

datos que tienen un tamao fijo de 8 kilobytes (KBs, o 8192 bytes).

Cada pgina de datos tiene un encabezado de pgina, las filas de

datos, y el espacio libre que puede contener row offsets.

El encabezado de la pgina utiliza los primeros 96 bytes de cada

pgina, dejando a 8096 bytes para los datos y row offsets.

Rows offsets indican el orden lgico de las filas en una pgina.

ARQUITECTURA DE ALMACENAMIENTO DE DATOS

El archivo de log principal tiene un tamao fijo de 10 megabytes (MBs).

Cuando este log se llena, Active Directory crea archivos de log

adicionales (secundarios), segn sea necesario.

Los archivos de log secundarios tambin se limitan a un tamao fijo de

10 MB.

Active Directory utiliza los archivos de log de reserva para reservar

espacio en disco para los archivos de log que necesitan ser creados
ARQUITECTURA DE ALMACENAMIENTO DE DATOS

Por defecto, el archivo de datos principal, archivos de trabajo, y los

logs transaccionales se almacenan en la misma ubicacin.

En el volumen del sistema de un controlador de dominio, encontrar

estos archivos en la carpeta %SystemRoot%\NTDS.