{"id":3252,"date":"2016-10-26T15:01:00","date_gmt":"2016-10-26T18:01:00","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3252"},"modified":"2018-01-16T15:54:15","modified_gmt":"2018-01-16T18:54:15","slug":"windows-server-2016-ad-ds-active-directory-domain-services-parte1","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3252","title":{"rendered":"Windows Server 2016 AD DS {Active Directory Domain Services} –Parte1-"},"content":{"rendered":"

\"www.radians.com.ar\"<\/a> Como ya vimos, Windows Server 2016 brida soporte Azure (la nube de Microsoft), pero no por eso deja de ser util o tener mejoras para los roles primordiales que son la base de nuestra arquitectura, como es el caso de Directory Services (Active Directory). Algunas de estas mejoras son en lo relativo a los AD DS (Active Directory Domain Services), los Servicios de Federacion o el Time Synchronization; solo por mencionar algunos.<\/p>\n

Directory Services o AD DS (Active Directory Domain Services) es uno de los servicios m\u00e1s utilizados nuestras compa\u00f1\u00edas ya que es el pilar fundamental de los entornos corporativos, que brindan servicios b\u00e1sicos de autenticaci\u00f3n (autorizaci\u00f3n) para nuestras aplicaciones y servicios.<\/p>\n

Con Windows Server 2016 tenemos nuevas funcionalidades para nuestros roles de Active Directory Domain Services (AD DS) y Active Directory Federation Services (AD FS), muchas de estas caracter\u00edsticas apuntan a \"www.radians.com.ar\"<\/a>aplicaciones en la nube, ya sean p\u00fablicas, privadas o h\u00edbridas. Esto ya no es una novedad, Microsoft esta tendiendo a volcar todos sus productos hacia la nube y sus variantes, y brindarnos mayor integraci\u00f3n hacia ese modelo.<\/p>\n

En AD DS por ejemplo, Windows Server 2016 nos da soporte para los \u201cgroup membership expirations\u201d, lo que permite agregar un usuario a un grupo durante un determinado per\u00edodo de tiempo. Esto es \u00fatil para muchas aplicaciones, tales como proporcionar privilegios de administrador por un tiempo limitado con el fin de instalar una aplicaci\u00f3n, o por ejemplo al agregar a un equipo de trabajo y su manager en los grupos adecuados para un periodo determinado. Una desventaja esta funcionalidad es que requiere que el nivel funcional de Windows Server 2016, algo que es muy dif\u00edcil para las grandes organizaciones para poner en pr\u00e1ctica debido a la necesidad de actualizar los controladores de dominio en toda la empresa. Aunque tenemos un workaround para las organizaciones que no puedan realizar la actualizaci\u00f3n, Microsoft recomienda una soluci\u00f3n que implica un bosque AD DS \u201cShadow\u201d con forest-trust junto con grupos de seguridad universal con el fin de conseguir esta funcionalidad. En resumen, este bosque AD DS \u201cShadow\u201d en el nivel funcional de Windows Server 2016 manejara las pertenencias a grupos junto con sus vencimientos. A su vez estos grupos universales tienen su pertenencia a los grupos legacy de AD DS.<\/p>\n

Respecto a la sincronizacion de tiempo, algo no menor y que hemos visto que nos trae mas de un dolor de cabeza, con Windows Server 2016 tenemos varias mejoras: la eliminaci\u00f3n de errores de redondeo, haciendo los ajustes m\u00e1s frecuentes, y mejorando la precisi\u00f3n de los 100 de milisegundos a los 10 ‘s de microsegundos.<\/p>\n

Microsoft est\u00e1 invirtiendo fuertemente en su estrategia de identidad, no s\u00f3lo en en las instalaciones servicios como Servicios de dominio de Active Directory y Servicios de federaci\u00f3n de Active Directory, sino tambi\u00e9n Azure AD y sus aplicaciones en la nube con las que se puede integrar. Las identidades corporativas son una gran inversi\u00f3n que ya han hecho muchas empresas, sobre todo aquellas que tienen certificaciones ISO e ISAE. <\/p>\n

Respecto a los servicios de federacion que hemos comentado, sirve principalmente (y a grandes rasgos) c\u00f3mo se permite que las aplicaciones y servicios en la nube para autenticarse en el directorio local. Para empezar, AD FS en Windows Server 2016 apoyar\u00e1 cualquier directorio LDAP v3, no s\u00f3lo aquellos que ejecutan AD DS. Esto nos permite que nuestras empresas que utilizan un directorio LDAP v3 de terceros federan sus identidades contra Azure AD y Office 365, entre otras cosas. <\/p>\n

El login ID puede ser cualquier atributo \u00fanico del forest, y el alcance de autenticaci\u00f3n se puede limitar a una unidad organizativa (OU). Con el soporte a LDAP v3, incluso podemos permitir hacerlo contra un forest que no tiene relaci\u00f3n de confianza, algo sumamente \u00fatil cuando nuestra empresa compro a otra y tenemos que fusionar nuestra arquitectura con otra.<\/p>\n

Una de las caracter\u00edstica mas importante de Windows Server 2016 AD FS es referido al control de acceso. Ahora podemos configurar los requisitos, tales como la resistencia a trav\u00e9s de la autenticaci\u00f3n de m\u00faltiples factores, verificar si un equipo es compliance, la identidad del usuario, la pertenencia al grupo, o varios otros factores. Estos requisitos se pueden establecer en funci\u00f3n de cada aplicaci\u00f3n, por lo que es f\u00e1cil de requerir una mayor seguridad para las aplicaciones empresariales sensibles, o simplificar los requisitos para aplicaciones que no necesitan los mayores niveles de seguridad.<\/p>\n

Control de acceso condicional se puede utilizar incluso para permitir que s\u00f3lo los dispositivos que se han unido a la instancia de AD Azure corporativa o dispositivos que est\u00e1n siendo gestionado por Microsoft Intune. Con el Control de Acceso Condicional de forma autom\u00e1tica e inmediatamente se revoca el acceso a los dispositivos que pierden el cumplimiento de su pol\u00edtica de autenticaci\u00f3n, lo que requiere el usuario para completar el proceso de inicio de sesi\u00f3n de nuevo con el fin de recuperar el acceso.<\/p>\n

Tambi\u00e9n disponemos de soporte para OpenID Connect y Oauth, este soporte para la autenticaci\u00f3n basada en est\u00e1ndares, hace que la integraci\u00f3n de sus identidades existentes con aplicaciones web que mucho m\u00e1s f\u00e1cil.<\/p>\n

La migraci\u00f3n de AD FS de Windows Server 2012 R2 es tan simple como a\u00f1adir nuevos servidores de Windows Server 2016 a la granja de servidores de AD FS. Una vez que sus servidores AD FS est\u00e1n totalmente actualizados, podemos actualizar la versi\u00f3n de la granja a la AD FS 2016.<\/p>\n

Debido a que la conexi\u00f3n entre AD FS y Azure AD es tan cr\u00edtica, Microsoft introduce AD \u200b\u200bAzure Conectar la Salud, que proporciona telemetr\u00eda en las solicitudes de autenticaci\u00f3n basada en la aplicaci\u00f3n, los tipos de autenticaci\u00f3n, ubicaci\u00f3n de red o errores de autenticaci\u00f3n, incluso informaci\u00f3n sobre los usuarios con contrase\u00f1as d\u00e9biles. Azure AD Connect Health nos permite no s\u00f3lo identificar las \u00e1reas problem\u00e1ticas, sino tambien predecir las necesidades de capacidad en funci\u00f3n del uso de la aplicaci\u00f3n.<\/p>\n

Espero que les sea de interes. Roberto Di Lello<\/p>\n

Les comparto algunas capturas del proceso de creacion de nuestro domain controller en Windows Server 2016. El dia viernes estare publicando la primera parte del video.<\/p>\n

\"www.radians.com.ar\"<\/a> \"www.radians.com.ar\"<\/a> \"www.radians.com.ar\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Como ya vimos, Windows Server 2016 brida soporte Azure (la nube de Microsoft), pero no…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[281,325],"tags":[217,290],"class_list":["post-3252","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-281","category-directory-services","tag-ad-domain-services","tag-windows-server-2016"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3252"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3252\/revisions"}],"predecessor-version":[{"id":3253,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3252\/revisions\/3253"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}