¿Cuál es la diferencia entre un controlador de dominio y Active Directory?
Active Directory es el servicio de directorio de Microsoft para redes de dominio de Windows. Cuando se introdujo en Windows 2000 Server, Active Directory se utilizaba únicamente para gestionar la administración centralizada de dominios. Sin embargo, con la llegada de Windows Server 2008, Active Directory se transformó en un conjunto de servicios de directorio, de los cuales el controlador de dominio es solo uno., Otras funciones de Active Directory incluyen Lightweight Directory Services, Certificate Services (para infraestructura de cifrado de Clave Pública), Federation Services (para inicio de sesión único) y Rights Management Services (para administración de derechos de información, que controla el acceso a datos específicos).
en este esquema, el servidor que ejecuta Active Directory se conoce como controlador de dominio. Una instancia de Active Directory incluye tanto una base de datos como un código ejecutable (denominado agente del sistema de directorios) para ejecutar la base de datos y atender las solicitudes de los usuarios., La base de datos se estructura utilizando objetos, que se organizan en tres niveles: bosques, árboles y dominios.
los controladores de dominio de Active Directory usan confianzas para otorgar a los usuarios de un dominio acceso a otros. Las confianzas existen en el bosque de la base de datos, que se crea automáticamente cada vez que se crea un dominio., Los tipos de confianza incluyen una confianza unidireccional (en la que los usuarios de un dominio tienen acceso a otro dominio, pero no viceversa), una confianza bidireccional (en la que se permite el acceso a dos dominios entre sí), una confianza transitiva (que puede extenderse más allá de dos dominios), una confianza explícita (creada por un administrador del sistema), una confianza de bosque (que se aplica a todo un bosque) y una confianza externa (que permite la conexión a dominios no de Active Directory).
Un controlador de dominio de Active Directory permite a los administradores de sistemas establecer directivas para ayudar a garantizar la complejidad adecuada de las contraseñas., Por motivos de seguridad, una contraseña de Active Directory no puede contener el nombre de usuario ni el nombre completo del usuario. Además, Microsoft le permite requerir que una contraseña incluya caracteres de ciertas categorías como letras mayúsculas, letras minúsculas, números, símbolos (por ejemplo,#%%) y Unicode.
Active Directory también le permite establecer una longitud mínima de contraseña: cuanto más larga sea una contraseña, más difícil será descifrarla utilizando técnicas de fuerza bruta., De forma predeterminada, Windows 10 Active Directory requiere que una contraseña tenga caracteres de al menos tres de las categorías mencionadas anteriormente y tenga una longitud no inferior a ocho caracteres. Estas especificaciones producen 218,340,105,584,896 diferentes posibilidades totales que los hackers tendrían que probar con métodos de fuerza bruta. Cuanto más sensible sea la información que está tratando de proteger, más sólidos deben ser sus requisitos de contraseña.
¿cuántos controladores de dominio necesita?,
en su implementación original de Windows, los controladores de dominio se dividieron en dos categorías: controlador de dominio primario y controlador de dominio de copia de seguridad (DC). Un DC principal es el controlador de dominio de primera línea que maneja las solicitudes de autenticación de usuario. Solo un DC primario puede ser designado. De acuerdo con las mejores prácticas de seguridad y confiabilidad, el servidor que alberga el DC primario debe estar dedicado exclusivamente a los servicios de dominio. Debido a su importancia central para la red, el servidor DC principal no debe ejecutar archivos, aplicaciones o servicios de impresión, lo que podría ralentizarlo o arriesgarse a bloquearlo.,
existe un controlador de dominio de copia de seguridad como a prueba de fallos en caso de que el controlador de dominio principal se caiga. Puede haber varios controladores de dominio de copia de seguridad para la redundancia. Tener un DC de respaldo dedicado es una precaución sabia. Si el DC principal falla y no hay copia de seguridad, los usuarios no podrán obtener acceso a la red. Cuando un usuario intenta iniciar sesión, el software se pone en contacto con el DC principal. Si el DC principal no está disponible, se pone en contacto con el DC de copia de seguridad. La copia de seguridad se puede promover al rol principal en caso de que el primario esté permanentemente fuera de servicio., Tenga en cuenta que las actualizaciones de dominio (como usuarios adicionales, contraseñas nuevas o cambios en grupos de usuarios) solo se pueden realizar en el DC principal. Luego se propagan en las bases de datos de copia de seguridad de DC. Esta es una forma de la estructura de replicación maestro-esclavo, con el DC primario siendo el maestro y el DCS secundario siendo los esclavos.
hoy en día, sin embargo, la arquitectura de controlador de dominio principal y de copia de seguridad ha sido obsoleta. Cuando Active Directory se introdujo en Windows 2000, se diseñó con una estructura de replicación multimaster., Esto significa que los privilegios de la cuenta de usuario se almacenan de forma redundante entre un grupo de controladores de dominio, y cada miembro del grupo puede actualizar todos los demás. Cuando se agrega un nuevo usuario a un controlador de dominio, por ejemplo, la replicación multimaster envía el cambio a los otros controladores. En contraste con la arquitectura maestro-esclavo, la replicación multimaster produce una mayor confiabilidad (el fallo de un solo maestro no es catastrófico), una mayor flexibilidad y un rendimiento más rápido.,
en suma, ya sea en su implementación primaria / copia de seguridad original o en el marco de Active Directory actual, el controlador de dominio sigue siendo una parte crítica de una red contemporánea. Cuanto mayor sea el número de controladores de dominio que tenga, más fácil será garantizar el tiempo de actividad para los usuarios que buscan acceso a la red.
para obtener más información sobre controladores de dominio y Active Directory, lea nuestros artículos de blog relacionados.