ACTIVE DIRECTORY Concepto: Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso.Un Active Directory almacena informacin de una organizacin en una base de datos central, organizada y accesible. Utiliza distintos protocolos (principalmente LDAP, GLIB, DNS, DHCP, Kerberos...).Los objetos se enmarcan en tres grandes categoras. recursos (p.ej. impresoras), servicios (p.ej. correo electrnico), y usuarios (cuentas, o usuarios y grupos). El AD proporciona informacin sobre los objetos, los organiza, controla el acceso y establece la seguridad.Cada uno de estos objetos tendr atributos que permiten identificarlos en modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email, etctera, las impresoras de red tendrn campo nombre, campo fabricante, campo modelo, campo "usuarios que pueden acceder", etc.). Toda esta informacin queda almacenada en Active Directory replicndose de forma automtica entre todos los servidores que controlan el acceso al dominio.Active Directory permite tambin crear estructuras jerrquicas de dominios y subdominios.Uso de estndares como X.500 y LDAP para el acceso a la informacin.Requisitos de instalacin: Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados: Tener cualquier versin Server de Windows 2000, 2003 (Server, Advanced Server o Datacenter Server) o Windows 2008 Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una direccin asignada por DHCP, Tener un servidor de nombre de DNS, para resolver la direccin de los distintos recursos fsicos presentes en la red Poseer ms de 250 MB en una unidad de disco formateada en NTFS de WindowsInstalacin:Instalar Active Directory en Windows Server 2008 Active DirectorySon los servicios de directorios en una red distribuida de ordenadores de tipo Microsoft Windows.

Cosas a tomar en cuenta: Primero debemos pensar en un nombre de dominio. En mi caso ser elhacker.net Debemos configurar el protocolo TCP/IP Hay que destacar que tambin se instalara el servidor DNS, ya que es necesario para implementar el Active Directory.

Empezar la Instalacin

Para instalarlo podemos ir al Administrador del Servidor, hacer clic derecho sobre Funciones y seleccionar Agregar Funciones, ah elegimos Servicios de dominio de Active Directory:

Vamos a la consola (Menu Inicio / Smbolo del Sistema) y escribimos:dcpromo

Esto nos lanzara la instalacin de Active Directory. Durante unos instantes estar instalando los binarios y despus nos saldr el asistente de instalacin:

Hacemos clic en siguiente, nos mostrara unas advertencias sobre la compatibilidad de Windows Server 2008 con versiones anteriores. Hacemos clic en siguiente.

A continuacin nos preguntara si queremos crear un nuevo bosque o unirnos a uno ya existente. Hacemos clic en Crear un dominio nuevo en un bosque nuevo.

En la siguiente pantalla agregamos el nombre que tendr nuestro nuevo dominio:

Seguidamente tendremos que establecer el nivel funcional del bosque, esto es mas o menos la compatibilidad que tendr con otros servidores Windows Server. Si por ejemplo elegimos Windows Server 2003 solo se podr agregar a nuestro bosque los servidores que ejecuten Windows Server 2003 o posterior.

En la siguiente pantalla establecemos el nivel funcional del dominio, seleccionamos Windows Server 2003 como en el paso anterior:

Hacemos clic en siguiente y el instalador examinara la configuracin DNS, nos preguntara los componentes adicionales que queramos instalar, el servidor DNS es indispensable:

En algunos casos nos advierte que nuestra IP es configurada dinmicamente:

Hacemos clic en Si, el equipo usara una IP asignada dinmicamente y procedemos con la instalacin del servidor DNS.

En la pantalla siguiente tenemos que configurar las rutas donde se guardaran las bases de datos del servicio DNS. Lo dejamos todo por defecto en nuestro caso.

Elegimos una contrasea de administrador:

Hacemos clic en siguiente, en la siguiente pantalla podemos exportar la configuracin, por si luego volveremos a usarla.

Despus de hacer clic en siguiente empezar la instalacin:

Al acabar la instalacin nos pedir que reiniciemos, procedemos a reiniciar el servidor.

Ya tenemos nuestro Active Directory instalado, podemos ir al Administrador del Servidor

Desplegar el men de Funciones:

SERVICIOS:A continuacin mostramos un listado de las herramientas avanzadas para configuracin y administracin de los controladores de dominio Microsoft Windows Server 2008: Herramientas de AD DS: Centro de administracin de Active Directory: permite navegar, examinar y administrar objetos de equipo y de usuario en el directorio. Dcpromo.exe: permite agregar o quitar funcionalidades de controlador de dominio a un servidor mediante el Asistente para la instalacin de AD DS. Dominios y confianzas de Active Directory: permite administrar confianzas, los niveles funcionales de dominio y de bosque, y los sufijos de nombre principal del usuario (UPN). Editor ADSI: permite consultar, ver y editar objetos y atributos en el directorio. Ldp.exe: permite realizar operaciones LDAP en el directorio, como conectar, enlazar, buscar, modificar, agregar y eliminar. Netdom.exe: permite administrar cuentas de equipo, dominios y relaciones de confianza. Ntdsutil.exe: permite realizar el mantenimiento de bases de datos en el almacn de AD DS, configurar los puertos de AD LDS y ver las instancias de AD LDS. Repadmin.exe: permite solucionar y diagnosticar problemas de replicacin entre controladores de dominio. Sitios y servicios de Active Directory: permite administrar la replicacin de los datos del directorio entre todos los sitios del directorio. Usuarios y equipos de Active Directory: permite administrar y publicar informacin en el directorio. Herramientas de servicios de directorio: Dcdiag.exe: permite diagnosticar el estado de mantenimiento de controladores de dominio, bosques de directorios e instancias de AD LDS. Dsacls.exe: permite ver y modificar descriptores de seguridad en objetos de directorio. Dsadd.exe: permite agregar tipos especficos de objetos, como usuarios, grupos y equipos, al directorio. Dsdbutil.exe: permite realizar el mantenimiento del almacn de AD DS, configurar los puertos de comunicacin de AD LDS y ver las instancias de AD LDS. Dsget.exe: permite ver las propiedades seleccionadas de un objeto especfico, como un usuario o equipo, en el directorio. Dsmgmt.exe: permite administrar particiones de aplicacin y roles de maestro de operaciones, y quitar metadatos de instancias abandonadas. Dsmod.exe: permite modificar un objeto existente de un tipo especfico, como un usuario o equipo, en el directorio. Dsmove.exe: permite mover un objeto a una nueva ubicacin de un dominio o cambiar el nombre de un objeto existente del directorio. Dsquery.exe: permite consultar si existe un tipo de objeto especfico en el directorio siguiendo criterios especificados. Dsrm.exe: permite eliminar un objeto de un tipo especfico o cualquier objeto general del directorio. Mdulo de Active Directory para Windows PowerShell: permite usar el entorno de Windows PowerShell para administrar el directorio. Redes y otras herramientas: GPfixup.exe: permite reparar dependencias de nombres de dominio en vnculos y objetos de directiva de grupo tras una operacin de cambio de nombre de dominio. Ksetup.exe: permite configurar un cliente de modo que use el dominio Kerberos V5 en lugar de un dominio de AD DS. Ktpass.exe: permite configurar un servicio Kerberos (no Windows) como entidad de seguridad en AD DS. Nltest.exe: permite realizar tareas de solucin de problemas como la consulta del estado de replicacin y la comprobacin de las relaciones de confianza. Nslookup.exe: permite ver informacin de servidores de nombres para diagnosticar problemas de infraestructura DNS. W32tm.exe: permite ver opciones, administrar la configuracin y diagnosticar problemas con Horario de Windows. IISPlataforma de servicios que soporta contenido web, windows server 2008 incluye IIS 7.0 con mejoras de administracin, escalabilidad y confiabilidad, incluye ademas compatibilidad con sitios web creados con versiones anteriores a IIS 7.0. Puede agregar componentes o quitarlos los que son llamados mdulos.

Ventajas:-Se controlan los mdulos necesarias para el servidor.-Personalizacin de servidor para una funcin esoecifica.-Uso de mdulos personalizados para reemplazar reemplazar existentes y agregar nuevas caracteristicas.-Mejora seguridad y disminuye administracin reduciendo ataques (hacking), optimiza la memoria y se elimina la administracin de caracteristicas no necesarias.Una instalacin exitosa de IIS se basa en la configuracion correcta dependiendo del requerimiento del usuario y desarrollador.

AdministracinSe eliminan ventanas y cajas de cambio. Se incluye una nueva administracin que gestiona opciones disponibles y ajustes, ademas es amigable para la administracion de sistemas y desarrolladores.

SeguridadPor defecto se habilita un grupo bsico de funcionalidades. El administrador debe habilitar los servicios adicionales y caracteristicas.

Troubleshooting (Diagnostico y solucin de problemas)Es de vital importancia detectar y resolver cualquier error, para asi tener una continuidad operativa del servidor. Las nuevas herramientas permiten detectar dichos problemas y entregar detalles necesarios para solucionarlos

NUEVAS CARACTERISTICASAdministracin de la configuracin centralizada: el que provee un metodo simple para compartir informacin de configuracin en los servidores. Soporta delegacin separando tareas de administracin por motivos de seguridad y administracin con permisos granulares. Backward compatibility: Sitios web y app creadas en versiones anteriores de IIS seguiran siendo compatibles incluyendo la herramienta de administracin IIS 6

Instalacin1.- Configuration WIzard2.- CLI: ServerManagerCmd.exe -install Web-Server3.- PkgMgr.exe (en conjunto con otros caracteres)

Configuration Wizard:

ServerManagerCmd.exe -query muestra caracteristicas instaladas.

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Modulos IISIIS es una arquitectura basada en mdulos, incluye componentes y caracteristicas que pueden ser usadas por soportar distintos tipos de contenido y aplicaciones, solo el administrador pueder habilitar los componentes en el servidor.Role Services son caracteriticas y opciones para su uso en un servidor web. Cuando se instala IIS estos roles pueden ser agregador o quitados usando la consola Server Manager.

Roles por defecto:

Common HTTP FeaturesLa funcin mas importante de un servidore es disponibilizar paginas HTML usando el protocolo HTTP.

Common HTTP Features:Static content: coloca disponibles paginas Web estticas, enviadas generalmente al usuario sin procesos server-ide.Default document: permite retornar automaticamente un archivo cuando no es especificado. Por ej: si un usuario escribe www.duoc.cl el servidor web se podr configurar para que responda con la pgina default.aspxDirectory browsing: Listado de directorio, al habilitar se envia informacion de archivos y directorios de un sitio web a un usuario, pero no recomendado para produccin y sitios pblicos. Si Defaul Documen se encuentra habilitado y existe "match" los usuarios no podrn listar los archivos del sitio.Http errors: Mensajes de error que IIS permite personalizar, por ejemplo se puede incluir el contacto del administrador del sitio para resolver problemas.Http redirection: Permite redireccionar requests de un sitio a otro.

Application developmentLos sitios de produccin requieeren soporte para servicios Web dinmicos y para aplicaciones Web.ASP.NET: plataforma de desarrollo para servidores Microsoft Web, basado en Freamwork de .Net (paginas .aspx).NET Extensibility: necesario para asp.net permitiendo cambiar y extender funcionalidades del servidor web y las nuevas solicitudes.ASP: Predesesor a ASP.NET el que provee un metodo basado en script de desarrollo de aplicaciones web. Se ejecuta y genera contenido html el cual se envia por medio de IIS. Soporta compatibilidad para aplicaciones que aun no se han actualizado a ASP.NETCGI: Common gateway interface es un standard el cual define como el servidor web enva informacin a script programados, requerido por componentes que se se ejecutan en el servidor (server-side), un ejemplo de esto es PHP.ISAPI extensions: Internet Server APlication Programming Interface es por el cual los desarrolladores crean sus propios controladores de contenido los que interactuan con los aspectos de IIS. El estndar ISAPI proporciona escalabilidad para soportar multiples solicitudes, lo que lo hace mas rpido que CGI.ISAPI filters: Es cdigo personalizado que procesa solicitudes espcecificas. El contenido que devuelve depende de la programacin por parte del servidor. Son usados para modificar o mejorar las funcionalidades de IIS.Server side inludes: Da la posibilidad de insertar contenido comn en todas las pginas web. Por ejemplo: una cabecera, elementos de navegacin y pie de pginas. Archivos .stm, .shtm, y .shtml. Esta funcin se encuentra deshabilitada por defecto por razones de seguridad.

Healt and Diagnostics FeaturesLos administradores deben aislar y solucionar los problemas que puedan ocurrir. Esta caractrsticas ayudan a la coleccin y anlisis de los requerimientos Web.HTTP logging: registros de los requerimientos HTTP en texto plano. Por defecto se registran algunos eventos pero esto se puede cambiar. La carpeta de estos log se ubica en %SystemDrive%InetpubLogsLogFilesLogging tolls: permite acceso simple para analizar los log. Estos en algunas ocasiones pueden ser de gran tamao imposibilitando su lectura. El tamao minimo de uno de estos Log dependiendo la configuracin si es por da, horas expecificas, etc. es de 1 GB.Request Monitor: permite ver en tiempo real la actividad del sitio web, adems permite diagnosticar problemas de performance.Tracing: Habilita rastreo de peticiones fallidas a un procesos especifico durante un tiempo predeterminado. Cuando un error es detectado es muy importante recopilar toda la informacin posible.Custom logging: Crea modulos propios basados en COM. Se debe construir el modulo de registro y luego registrarlo en IIS para que almacene los datos.ODBC Logging: Permite grabar registros de Log en formato disponible para la conexin ODBC (base de datos). Causa overhead de recursos.

Security FeaturesMantiene la seguridad de los servidores web. Dependiendo de la aplicacin se pueden habilitar una amplica variedad de mecanismos de seguridad.Basic authentication: las mas usada, perola informacin no es cifrada por lo que se recomienda usar ssl. Requiere usuario y contrasea de Windows.Windows auhentication: autentifica usando NTLM o Kerberos. Recomendado para intranet. La autentificacion es a traves del dominio Active Directory.Digest authentication: Autentifica a los clientes enviando un hash de la contrasea hacia un DC Windows.Client Certificate Mapping Authentication: Autentifica contra un certificado asignado a una cuenta Acive Directory.URL authorization: Permite crear reglas que restringen acceso a contenido web especifico.Request filtering: Permite crear reglas para bloquear peticiones web. Haciendo filtros disminuye la posibilidad de ataques (hack)IP security: Habilita y deniega contenido en funcin de direcciones IP de origen y nombre del dominio de la solicitud.

Performance FeaturesLa arquitectura de IIS hace que el servicio de solicitudes web sea mas eficiente.Static Content Compression: HTTP ofrece un mtodo para comprimir las pginas estticas (html) antes de que se enven al browser. Reduce el trfico en la red con un costo mnimo de CPU. Adems IIS puede guardar en la memoria las pfinas mas frecuentes (cach).Dynamic Content Compression: el contenido dinmico es diferente para cada peticin web. Est deshabilitado por defecto y se puede habilitar para reducir el trfico de red.El ancho de banda en general es mas limitado que el de procesamiento de servidores, por lo que se recomienda que la compresin de contenido se encuentre habilitada.

Management ToolsHerramientas de administracin de IIS.IIS Management Console: Soporta administracin del servidor Web local y remoto.IIS Management scripts and Tools: Administra un servidor local con script de configuracin.Management Service: Permite que el servidor Web sea administrado de forma remotaIIS 6 Management Compatibility: Permite administracin de IIS 7 con APIs o script de IIS 6.0

Intenet Information Services Manager, es la herramienta numero uno utilizada para la configuracin y administracin de sitios web, la cual se instala por defecto al momento de agregar el rol de IIS.

AppCmd.exe es una va simple para ejecutar tareas comunes de un administrador. Los parmetros de hoy se encuentran diseador para administrar sitios web, Aplicaciones web y directorios virtuales.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Seguridad IIS

La implementacin de seguridad es un tema relevante en toda el area IT, pero especificamente en aplicaciones que manejan informacin de vital importancia y aplicaciones a las cuales acceden un gran nmero de usuarios/clientes. IIS reduce el rea de ataque al ser capaz de deshabilitar o remover caracteristicas innecesarias.

Jerrquias de objetos: IIS 7 fue diseado para que utilice jerarqua de objetos en sitios web y aplicaciones. Se pueden aplicar ajustes en el servidorr para sitios web, aplicaciones, directorios virtuales, archivos y carpetas especificas.

Defensa de profundidad: Enfoque se seguridad de mltiples capas. Las opciones de seguridad pueden ser autenticacin, autorizacin, permisos de archivos y algunas oras configuraciones de acceso. Esto trabaja en conjunto para que solo personal auorizado tenga acceso al sistema.

Cuentas de seguridad IIS: Por defecto se crea una cuenta estndar llamada IUSRS y un grupo de seguridad local llamado IIS_IUSRS. Las contraseas de estas cuentas son manejadas internamente por lo que los administradores no necesitan tener conocimientos o modificaciones de dichas cuentas.

Permisos en sistema de archivos: Permisos de un contenido web a traves de permisos NTFS. Puede ser administrador directamente con Windows explorer.

Administracin remota: Se debe habilitar la caracteristica en el rol IIS (IIS Management Service), trabaja en HTTP o HTTPS bajo el puerto 8172 por defecto (recordamos que este puerto puede ser cambiado). Para poder realizar cambios primero debemos detener el servicio de Administracin remota. Esta administracin es til para trabajar con mltiples administradores y mejorar la performance desde mltiples locaciones.

Administracin de usuarios IIS: por defecto solo permite cuentas con autenticacin Windows pero esto puede modificarse facilmente. Se pueden crear cuentas locales para la administracin del servicio IIS no necesitando una cuenta Windows.

Definir permisos de administracin: Los permisos de administracin solo en los niveles de Web Site y Web Applications. No se puede configurar a nivel de servidor lo que asegura que los administradores remotos solo administren esos niveles. Por defeco los permisos del primer nivel se heredan a los hijos, pero siempre es posible denegar permisos en niveles especificos.

Configurar delegacin de caracteristicas: La definicin de usuarios y permisos solo es aplicable para el contenido web. Se pueden habilitar caracteristicas que se pueden ver y configurar, la delegacin de caracteristicas por defecto est configurada a nivel se servidor dependiendo de las que se encuentren instaladas. La mayoria tienen opciones Read Only o Read/Write, teniendo opciones de configuracin para ellas.

Administracin de autenticacin de IIS: Es el procesos por el cual un usuario o equipo provee identidad por seguridad. El mas comn es el que se entrega un usuario y contrasea. Por defecto el contenido de un sitio Web est permitido para usuarios annimos.

Autenticacin annima: Est diseado para que el contenido est disponible para todos los usuarios que se conecten al servidor web. El cliente no debe entregar autenticacin para acceder. El acceso al contenido por defecto es delegado a la cuenta IUSR, pero puede ser cambiada al usuario que ejecuta el Application Pool.

Autenticacin por formulario: Es el mas usado en internet ya que no tiene requisitos especificos del navegador web. generalmente los desarrolladores web normalmente construyen su propia pgina de inicio de sesin. Estos inicios de sesin suelen ser validados contra la informacin almacenada en la base de datos de los sitios de internet o contra el dominio de Active Directory.

Autentificacin basada: Se puede acceder al menos a una pgina por defecto sin necesidad de autenticacin. Cuando se habilita IIS por defecto la autenticacin annima est habilitada para el sisito web predeterminado y su contenido web. La autenticacin est diseada para proporcionar acceso disponible para todos los usuarios que pueden conectarse al servidor web. Un ejemplo claro es la web predeterminada para IIS, cuando iis recibe una solicitud de contenido, se utiliza automticamente una identidad especfica para completar la soliciud, de forma predeterminada la autenticacin annima utiliza la cuenta incorporada IUSR (Contenido de la pgina 6-20 del libro para la prueba). Esa cuenta tiene permiso para acceder al contenido basado en permisos NTFS.El comando Set sirve para proporcionar usuario y contrasea para una cuenta diferemte, esto es til cuando se va a utilizar diferentes permisos NTFS para distintos contenidos web. Adems existe la opcin de utilizar la identidad del grupo de aplicaciones, esto indica que IIS puede utilizar las mismas credenciales que se aplican al grupo de aplicaciones utilizadas por el Website o por las Web Applicationn.