martes, 18 de junio de 2013

The Master of Disaster. Catálogo Global y FSMO Windows Server 2012.

Para comprender el funcionamiento básico de un dominio Active Directory tenemos que conocer el funcionamiento de los maestros de operaciones, que podríamos definir como particiones que albergan información del dominio.


Es necesario conocer las estrategias de colocación de dichos maestros de operaciones en nuestra infraestructura de dominio para garantizar la disponibilidad de todos los elementos y configurar un acceso ágil y seguro para la replicación entre controladores de dominio.

Los 5 +1 maestros de operaciones disponibles en Active Directory son:

Maestro de esquema. Solo existe uno para todo el bosque.
Maestro de nombres de dominio. Solo existe uno para todo el bosque.
Maestro ID relativo (RID). Disponible para cada dominio.
Emulador PDC. Disponible para cada dominio.
Maestro de infraestructura. Disponible para cada dominio.
Catálogo Global

Al promocionar un servidor a controlador de dominio en una nueva infraestructura, todos los maestros de operaciones recaen sobre ese servidor. Para comprobar la ubicación de los maestros de operaciones en un bosque o dominio podemos usar el comando PowerShell. Netdom Query FSMO.


Otro elemento vital para un dominio Active Directory es el Catálogo Global o CG. El CG es una copia de ciertos atributos de una clase en objetos Active Directory y es el componente encargado de proporcionar validez a los mecanismos de Login del dominio. Cuando examinamos la red para detectar impresoras y equipos, recursos estamos consultando al CG. Cuando tenemos una instalación de Exchange Server y queremos consultar los buzones de un usuario...etc etc etc.

No toda la información del dominio se almacena en el Catálogo Global, no tendría sentido. Se almacena solo una copia de lectura de ciertos atributos "importantes" de nuestro Schema Ldap en entornos multidominio, y una copia de lectura y escritura de atributos completos del dominio en el que se encuentra.


En un bosque o dominio Active Directory puede haber tantos CG como controladores de dominio existan, pero hay que tener en cuenta que la tasa de replicación entre CG es alta, por lo que si bien tener varios CG en un mismo Site garantiza el correcto y rápido proceso de Login de los equipos, estaremos cargando la red de tráfico de replicación de los CG. Pero si es necesario en un entorno multi-site ( varias delegaciones conectadas por un enlace WAN) que al menos exista un CG en cada Site para evitar el tráfico Wan.

El puerto encargado de la comunicación de los CG es el 3268 como identifica el standard LDAP. En caso de usar mecanismos SSL-Ldap las consultas se realizarían al puerto 3269.

Service Name UDP TCP
LDAP

3268 (global catalog)
LDAP

3269 (global catalog Secure Sockets Layer [SSL])
LDAP
389
389
LDAP

636 (SSL)
RPC/REPL

135 (endpoint mapper)
Kerberos
88
88
DNS
53
53
SMB over IP
445
445

Como comentaba más arriba, en entornos multi dominio ( miempresa.com / tuempresa.com) un Catálogo Global ubicado en el controlador de dominio del dominio miempresa.com tendrá cierta información perteneciente al dominio tuempresa.com, pero mentes inquietas... qué atributos?
Imaginemos que habéis seguido la práctica del artículo Dynamic Access para proporcionar un sistema de control documental de nuestros archivos. Imaginemos que extendemos el schema de Active Directory, o simplemente usamos un campo "no habitual" de la ficha de usuario para realizar una clasificación de los ficheros ( recomiendo leer el artículo que os indico ). Seguimos imaginando, y todo esto se efectúa en un bosque multi-dominio. Puede ser que ese atributo de Active Directory no se replique entre Catálogos Globales y tengamos problemas para ver/clasificar documentos entre dominios. Los problemas no van a ser de caída de servicio, sino de aumento de tráfico entre la estación de usuario y el controlador de dominio que ubica el catálogo global completo del dominio en cuestión.

Vamos a comprobar que atributos se están replicando entre CG y como modificar /añadir atributos. Algo peligroso no, lo siguiente, pero es necesario conocer un poco la estructura interna de Active Directory.

Lo primero que vamos a hacer es instalar el Snap In o complemento para nuestra MMC (Microsoft Management Console) de Esquema de Active Directory. Si ejecutamos MMC -> Control + M  no aparecerá disponible este componente para su administración ( al igual que ocurría con versiones anteriores en las que había que instalarlo desde las Support Tools). Para poder añadir dicho complemento debemos registrar la librería mediante: regsvr32 schmmgmt.dll
Ya podemos agregar nuestro complemento a la MMC.


Vamos a comprobar un atributo de la clase USER, denominado Car License que nos permite guardar el número de licencia de conducir de un empleado, para ver si se replica en el Catálogo Global.
Imagina una empresa de nivel nacional de transporte. Mediante el número de licencia de conducir establecemos que los empleados con un número de licencia inferior a 5.000 ( más viejos) pueden ver ciertos documentos y los empleados con un número de licencia superior a 5.001 no pueden ver todos los documentos. Necesitaremos este atributo LDAP replicándose entre Catálogos globales.
Buscamos la clase USER y el atributo, pinchamos botón derecho y propiedades. Añadimos el campo: isMemberOfPartialAttributeSet que es el que identifica que objetos serán replicados entre Catálogos Globales.


Ya sabemos algo más sobre el Catálogo Global y su arquitectura básica. Ahora vamos a comprobar su ubicación. Ejecutamos la consola de administración de Sitios y Servicios de Active Directory.


Expandimos las ramas dentro del Site, hasta llegar al controlador de dominio que queremos habilitar como Catálogo Global y hacemos botón derecho--> propiedades.


Marcando o desmarcando simplemente podemos habilitar/Deshabilitar el Catálogo Global para ese Controlador de Dominio.

Según lo comentado en este artículo, y según el diseño de tu infraestructura A. Directory deberías habilitar al menos un segundo CG en tu dominio.

Espero que os haya gustado este primer capítulo sobre FSMO (Flexible Single Master Operations).

Como siempre, gracias por leerme.