Active Directory

Funcionamiento

Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la información relativa a un dominio de autenticación. La ventaja que presenta esto es la sincronización presente entre los distintos servidores de autenticación de todo el dominio.

A su vez, cada uno de estos objetos tendrá atributos que permiten identificarlos en modo unívoco (por ejemplo, los usuarios tendrán campo «nombre», campo «email», etcétera, las impresoras de red tendrán campo «nombre», campo «fabricante», campo «modelo», campo "usuarios que pueden acceder", etc). Toda esta información queda almacenada en Active Directory replicándose de forma automática entre todos los servidores que controlan el acceso al dominio.

De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administración, los eventuales cambios serán visibles en todo el ámbito. Para decirlo en otras palabras, Active Directory es una implementación de servicio de directorio centralizado en una red distribuida que facilita el control, la administración y la consulta de todos los elementos lógicos de una red (como pueden ser usuarios, equipos y recursos).

Intercambio entre dominios

Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa un trust (en español, relación de confianza). El trust es creado automáticamente cuando se crean nuevos dominios. Los límites del trust no son marcados por dominio, sino por el bosque al cual pertenece. Existen trust transitivos, donde los trust de Active Directory pueden ser un acceso directo (une dos dominios en árboles diferentes, transitivo, una o dos vías), bosque (transitivo, una o dos vías), reino (transitivo o no transitivo, una o dos vías), o externo (no transitivo, una o dos vías), para conectarse a otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque también soporta NTLM y usuarios webs mediante autenticación SSL / TLS

C

Confianza de Acceso Directo

La Confianza de acceso directo es, esencialmente, una confianza explícita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticación.

Confianza entre bosques

La Confianza entre bosques permite la interconexión entre bosques de dominios, creando relaciones transitivas de doble vía. En Windows 2000, las confianzas entre bosques son de tipo explícito, al contrario de Windows Server 2003.

Active Directory (AD) es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos(principalmente LDAP, DNS, DHCP, Kerberos...)

Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.

Estructura

Active Directory está basado en una serie de estándares llamados (X.500), aquí se encuentra una definición lógica a modo jerárquico.

Dominios y subdominios se identifican utilizando la misma notación de las zonas DNS, razón por la cual Active Directory requiere uno o más servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lógicos de la red, como el listado de usuarios.

Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, será reconocido en todo el árbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios.

A su vez, los árboles pueden integrarse en un espacio común denominado bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relación de «trust» o confianza entre ellos. De este modo los usuarios y recursos de los distintos árboles serán visibles entre ellos, manteniendo cada estructura de árbol el propio Active Directory.

Direccionamientos a recursos

Los direccionamientos a recursos de Active Directory son estándares con la Convención Universal de Nombrado (UNC), Localizador Uniforme de Recursos (URL) y nombrado de LDAP.

Cada objeto de la red posee un nombre de distinción (en inglés, Distinguished name (DN)), así una impresora llamada Imprime en una Unidad Organizativa (en inglés, Organizational Units, OU) llamada Ventas y un dominio foo.org, puede escribirse de las siguientes formas para ser direccionado:

§  en DN sería CN=Imprime,OU=Ventas,DC=foo,DC=org, donde

§  CN es el nombre común (en inglés, Common Name)

§  DC es clase de objeto de dominio (en inglés, Domain object Class).

§  En forma canónica sería foo.org/Ventas/Imprime

Los otros métodos de direccionamiento constituyen una forma local de localizar un recurso

§  Distinción de Nombre Relativo (en inglés, Relative Distinguised Name (RDN)), que busca un recurso sólo con el Nombre Común (CN).

§  Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es usado por Active Directory para buscar y replicar información

Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en inglés, User Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un directorio de la red. Su forma es objetodered@dominio

Diferencias entre Windows NT y Active Directory

A diferencia del anterior sistema de administración de dominios de Windows NT Server, que preveía únicamente el dominio de administración, Active Directory permite también crear estructuras jerárquicas de dominios y subdominios, facilitando la estructuración de los recursos según su localización o función dentro de la organización a la que sirven. Otra diferencia importante es el uso de estándares como X.500 y LDAP para el acceso a la información.

Interfaces de programación

Las interfaces de servicio de Active Directory (ADSI) entregan al programador una interfaz orientada a objetos, facilitando la creación de programas de directorios mediante algunas herramientas compatibles con lenguajes de alto nivel, como Visual Basic, sin tener que lidiar con los distintos espacios de nombres.

Mediante las ADSI se permite crear programas que realizan un único acceso a varios recursos del entorno de red, sin importar si están basados en LDAP u otro protocolo. Además, permite generar secuencias de comandos para los administradores.

También se puede desarrollar la Interfaz de mensajería (MAPI), que permite generar programas MAPI.

Requisitos de instalación

Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados:

§  Tener cualquier versión Server de Windows 2000, 2003 (Server, Advanced Server o Datacenter Server) o Windows 2008, en el caso de 2003 server, tener instalado el service pack 1 en la máquina.

§  Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una dirección asignada por DHCP,

§  Tener un servidor de nombre de DNS, para resolver la dirección de los distintos recursos físicos presentes en la red

§  Poseer más de 250 MB en una unidad de disco formateada en NTFS.

windows 2003 server

•      Es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año 2003. Está basada en tecnología NT y su versión del núcleo NT es la 5.2.

•      En términos generales, Windows Server 2003 se podría considerar como un Windows XP modificado para labores empresariales, no con menos funciones, sino que estas están deshabilitadas por defecto para obtener un mejor rendimiento y para centrar el uso de procesador en las características de servidor; por ejemplo, la interfaz gráfica denominada Luna de Windows XP viene desactivada por lo que sólo se utiliza la interfaz clásica de WINDOWS.

ponente	Descripción
Hardware de Servidor	• Procesador Intel Pentium III o compatible • 512 MB de RAM • 550 MB de espacio de disco disponibles

Sus características más importantes son:

•      Sistema de archivos NTFS:

•      cuotas

•      cifrado y compresión de archivos, carpetas y no unidades completas.

•      permite montar dispositivos de almacenamiento sobre sistemas de archivos de otros dispositivos al estilo unix

•      Gestión de almacenamiento, backups... incluye gestión jerárquica del almacenamiento, consiste en utilizar un algoritmo de caché para pasar los datos menos usados de discos duros a medios ópticos o similares más lentos, y volverlos a leer a disco duro cuando se necesitan.

•      Windows Driver Model: Implementación básica de los dispositivos más utilizados, de esa manera los fabricantes de dispositivos sólo han de programar ciertas especificaciones de su hardware.

•      ActiveDirectory Directorio de organización basado en LDAP, permite gestionar de forma centralizada la seguridad de una red corporativa a nivel local.

•      Autentificación Kerberos5

•      DNS con registro de IP's dinámicamente

•      Políticas de seguridad

Ventajas

Fácil de implementar, administrar y usar (SERVIDORES)
Gracias a su interfaz familiar, Windows Server 2003 es fácil de usar. Los nuevos asistentes simplificados facilitan la configuración de funciones específicas de servidor y de las tareas habituales de administración de servidores, de tal forma que incluso los servidores que no disponen de un administrador dedicado son fáciles de administrar.
Infraestructura segura
Una informática de red eficiente y segura es más importante que nunca para que las empresas sigan siendo competitivas. Windows Server 2003 permite que las organizaciones aprovechen sus inversiones ya existentes en tecnologías de la información, y que amplíen las ventajas de este aprovechamiento a sus asociados, clientes y proveedores
Confiabilidad, disponibilidad, escalabilidad y rendimiento de nivel empresarial
Se ha mejorado la confiabilidad mediante una gama de funciones nuevas y mejoradas, como el reflejo de memoria, la Memoria agregada en caliente y la detección de estado en Internet Information Services (IIS) 6.0. Para tener una mayor disponibilidad, el servicio Microsoft Cluster admite ahora clústeres de hasta ocho nodos y nodos separados geográficamente.
Menor TCO gracias a la consolidación de la tecnología más moderna
Windows Server 2003 proporciona muchos avances técnicos que ayudan a las organizaciones a disminuir el costo total de la propiedad (TCO). El Administrador de recursos de Windows
Creación fácil de sitios Web de Internet e intranet dinámicos
IIS 6.0, el servidor Web incluido en Windows Server 2003, proporciona una seguridad avanzada y una arquitectura confiable que ofrece aislamiento para las aplicaciones y un rendimiento muy mejorado.

Desventajas

•      Como es de esperarse en la familia Microsoft el costo de las licencias. Por otra parte, a pesar de la publicidad que pueda hacerle Microsoft a su sistema de servidor, este es uno de los Servers con mas bugs o fallos de seguridad conocidos; probablemente por ser la familia de sistemas operativos mas popular en el mundo.En cuestiones de manejo e instalación, es un sistema que requiere altísimos conocimientos para poderle configurar a tope, también contrario a lo que afirma Microsoft con su facilidad de adaptación, es decir que aparte de comprar un sistema servidor de alto costo, el usuario debe pagar por un personal altamente especializado, lo cual desde luego no es tan económico.

Apple talk

Appletalk es un conjunto de protocolos desarrollados por Apple Inc. para la conexión de redes. Fue incluido en un Macintosh en 1984 y actualmente está en desuso en los Macintoshen favor de las redes TCP/IP






Su Diseño 

El diseño de Appletalk se basa en el modelo OSI pero a diferencia de otros de los sistemas LAN no fue construido bajo el sistema Xerox XNS, no tenía Ethernet y tampoco tenía direcciones de 48 bit para el encaminamiento.

Una de las mayores diferencias de Appletalk respecto a otros sistemas era que contenía dos protocolos dirigidos a la auto-configuración del sistema. El primero era AppleTalk Address Resolution Protocol (AARP), que le permitía generar sus propias direcciones de red, el segundo era Name Binding Protocol (NBP) que era un sistema de DNS's dinámicos que daba direcciones de red a los nombres de usuario. Ha habido sistemas similares a AARP, como VINES de Banyan, pero hasta hace poco no ha habido nada como NBP.

Protocolos

Protocolos de Appletalk en el modelo OSI

Capas-OSI	Protocolos AppleTalk
7			AFP	PAP
6
5	ZIP		ASP		ADSP
4		ATP				AEP	NBP	RTMP
3	DDP
2		LLAP	ELAP	TLAP	FDDI	←AARP
1		LocalTalk	Ethernet	Token Ring	FDDI

AARP -> AppleTalk Address Resolution Protocol

ADSP -> AppleTalk Data Stream Protocol

AFP -> Apple Filling Protocol

ASP -> AppleTalk Session Protocol

ATP -> AppleTalk Transaction Protocol

AEP -> AppleTalk Echo Protocol

DDP -> Datagram Delivery Protocol

NBP -> Name Binding Protocol

PAP -> Printer Access Protocol

RTMP -> Routing Table Maintenance Protocol

ZIP -> Zone Information Protocol