Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
: JAZMIN VALDIVIESO A
: FERNANDO ALMANZA
ACTIVE DIRECTOY
DNS
¿QUÉ ES DNS?
• Las zonas DNS son las “hojas” en las que está la información de cada dominio.
Una zona no es más que un fichero de texto en el servidor (exactamente igual
que uno que podrías crear con un bloc de notas) pero con un formato específico,
que le permite al servidor DNS interpretar la información que hay en ella.
• Así, si un servidor DNS tiene información para 500 dominios, tendrá 500 ficheros
de texto cada uno con la información de uno de esos dominios; es decir, tendrá
500 Zonas DNS.
• Se denomina Zona a la configuración de un dominio dentro del DNS y es un
conjunto de entradas llamadas Resource record o RR.
TIPO DE REGISTRO
A = Dirección (address). Este registro se usa para traducir nombres de servidores de
alojamiento a direcciones IPv4.
AAAA = Dirección (address). Este registro se usa en IPv6 para traducir nombres de
hosts a direcciones IPv6.
ANY = Toda la información de todos los tipos que exista. (No es un tipo de
registro, sino un tipo de consulta)
SÍNTOMAS DE PROBLEMAS CON UN SERVIDOR DNS
• El servidor DHCP escucha las solicitudes de los clientes y almacena las tablas con las
posibles direcciones IP a asignar. Cuando un cliente DHCP se conecta a la red envía una
solicitud en forma de mensaje de broadcast o difusión. Todos los posibles servidores DHCP
que han recibido la solicitud responden al cliente proponiéndole una IP. el cliente acepta una
de ellas (la primera que recibe) y le comunica al servidor elegido, el cual le contesta con un
mensaje que incluye la cabecera MAC del cliente, la dirección IP y la
máscara de subred asignada, la dirección IP del servidor y el período de validez (lease o
concesión) de la dirección IP. Esta información continúa asociada al cliente mientras
éste no desactive su interfaz de red o no finalice el tiempo de asignación (lease time).
MECANISMO DE FUNCIONAMIENTO
• El lease time es el tiempo en que un cliente DHCP mantiene como propias los datos
de direcciones que le asignó el servidor. Se negocia como parte del protocolo, y una
vez ha
finalizado el tiempo el servidor puede renovar la información del cliente y
asignarle una nueva dirección o ampliar la concesión manteniendo la misma
información. Antes de que se consuma el período de validez el cliente envía una
solicitud de renovación al servidor, que será atendida o no. Si llega a expirar
completamente el tiempo de validez ha de pedir una nueva dirección IP.
TIPOS DE MENSAJES DHCP
• Cliente y servidor intercambian mensajes con el protocolo DHCP, algunos de los
cuales son:
• DHCPDISCOVER - Mensaje de difusión o broadcast del cliente para detectar (Descubrir) los servidores DHCP
activos.
• DHCPOFFER - mensaje de un servidor al cliente como respuesta a un DHCPDISCOVER que incluye una
propuesta de configuración (parámetros)
• DHCPREQUEST - mensaje del cliente a un servidor en el que acepta la propuesta del servidor, confirma los
datos recibidos desde el servidor y acepta el contrato con una dirección IP determinada.
• DHCPACK - mensaje del servidor DHCP hacia el cliente enviando la confirmación de los parámetros de la
configuración asignada con la dirección IP.
• DHCPNAK - mensaje del servidor DHCP al cliente indicando que la lease ha terminado o que la dirección IP
asignada no es válida (por ejemplo se ha modificado la conexión y se ha pasado a otra máquina).
• DHCPRELEASE - mensaje del cliente al servidor DHCP indicando que libera la dirección IP asignada y
termina con el contrato establecido.
• DHCPDECLINE (el cliente le anuncia al servidor que la dirección ya está en uso)
DHCPRELEASE (el cliente libera su dirección IP)
DHCPINFORM (el cliente solicita parámetros locales, ya tiene su dirección IP)
Los servidores ofrecen la dirección IP y la información de configuración
Recoge ofertas y selecciona una
Solicitar configuración del servidor seleccionado
solicitud de reconocimiento
el cliente esta configurado
el tiempo de arrendamiento se acerca al vencimiento
solicitar la renovación del contrato de arrendamiento
solicitud de reconocimiento
cliente terminó con dirección ip
liberar dirección ip
EL PROCESO DE ASIGNACIÓN DE UNA DIRECCIÓN IP A
UN CLIENTE ES EL SIGUIENTE:
DHCPDISCOVER
Sourse IP Address 0.0.0.0
Des. IP Address 255.255.255.255
Hardware Addr: 08A0B
2. Los servidores activos responden al cliente enviando un mensaje DHCPOFFER
que incluye una propuesta de configuración incluido un valor IP disponible,
junto con otros datos como la MAC de la interfaz del cliente, dirección IP del servidor
que lanza el mensaje y datos de la concesión. Es posible que el cliente reciba más
de un mensaje DHCPOFFER (uno por servidor).
3. EL CLIENTE ENVÍA UN MENSAJE DE SOLICITUD DHCPREQUEST
QUE INCLUYE QUÉ ES EL SERVIDOR SELECCIONADO. EL RESTO DE
SERVIDORES RETIRAN SU OFERTA DE IP AL CLIENTE.
DHCPREQUEST
Source IP Address 0.0.0.0
Dest. IP Addres 255.255.255.255
• Los protocolos de red que utiliza Active Directory son principalmente LDAP, DHCP,
KERBEROS y DNS. Básicamente tendremos una especie de base de datos en la que
se almacena información en tiempo real acerca de las credenciales de autenticación
de los usuarios de una red. Esto permite que todos los equipos estén sincronizados
bajo un elemento central. Veamos por ejemplo que hace Active Directory cuando un
usuario de esta base de datos se registra en un equipo:
CÓMO FUNCIONA ACTIVE DIRECTORY
• En el servidor Active Directory tendremos un usuario (objeto) compuesto por los típicos atributos que
denotan su presencia, como son, el campo “Nombre”, el campo “Apellido”, “Email”, etc.
• Pero es que además este usuario pertenecerá a un grupo determinado, el cual tiene determinados
privilegios como el acceso a impresores de red que están almacenadas con un campo “Nombre”,
“Fabricante”, etc.
• El equipo cliente, está en comunicación con este servidor, así que el usuario, cuando arranca el
equipo encontrará una pantalla de bloqueo como si de cualquier sistema se tratase. Cuando ponga su
usuario y contraseña, este no estará físicamente en el equipo, sino que estará ubicado en este
servidor.
• El cliente solicitará las credenciales al servidor Active Directory para que este las verifique, y si
existen, enviará la información relativa al usuario al equipo cliente.
• En este momento el usuario iniciará sesión de forma aparentemente normal en su equipo. tendrá sus
archivos personales típicos almacenados en el disco duro. Pero según el grupo al que pertenezca,
también tendrá acceso a recursos de la red como la impresora.
•
¿QUÉ PASA SI EL EQUIPO DONDE TRABAJO SE ROMPE?
• La confianza es la relación existente entre dos dominios, dos árboles o dos bosques. Existen
diversos tipos:
• Confianza transitiva: son las confianzas automáticas que existen entre dominios de AD. Existen
tanto hacia un lado como hacia el otro A <-> B
• Confianza de acceso directo: es una confianza explícita que se define para dos dominios, de
forma que podamos acceder directamente de uno a otro.
• Objeto
OBJETO
• Un objeto es el nombre genérico que utilizamos para referirnos cualquier
componente dentro de un directorio. Los objetos se dividen en tres tipos distintos:
• Usuarios: son las credencias de acceso a estaciones de trabajo.
• Recursos: serán los elementos a los que cada usuario podrá acceder según sus
permisos. Pueden ser carpetas compartidas, impresores, etc.
• Servicios: son las funcionalidades a las que cada usuario puede acceder, por
ejemplo, el correo electrónico.
•
UNIDAD ORGANIZATIVA
• Una unidad organizativa en Active Directory es un contenedor de objetos como
impresoras, usuarios, grupos etc., organizados mediante subconjuntos
estableciendo así una jerarquía.
• Con las unidades organizativas podremos ver de un vistazo la jerarquía de
nuestro dominio y poder asignar permisos fácilmente según los objetos contenidos.
•
ÁRBOL
• Un árbol es un conjunto de dominios, los cuales dependen de una raíz
común y están organizados en una determinada jerarquía, también llamada
DNS común.
Mediante un árbol, podremos dividir en partes un Directorio Activo para
una mejor gestión de los recursos. Un usuario que pertenezca a un dominio,
también será reconocido por los dominios que pertenezcan al dominio
principal.
BOSQUE
• Por otro lado, debemos tener presente que Active directorio es un sistema de
dominio con licencia de pago perteneciente a Microsoft. Existen aplicaciones
gratuitas que también ofrecen este tipo funcionalidades como per
ejemplo Open LDAP, Mandriva Directory Server o incluso Samba. Y es por
esto que las empresas cada vez más están optando por estas soluciones para
no tener la necesidad de pagar licencias de software.