Fundamentos del control del dominio

Durante años, la percepción pública de qué es realmente el control de l dominio ha tomado una naturaleza casi mística. Antes de desglosar otros elementos, un breve resumen del control del dominio, hay tres tipos tipos fundamentales de controladores de dominio.

Tipos de controladores de dominio

El Controlador Primario de Dominio o PDC juega un importante papel en MS Windows NT4. En la arquitectura de Control de Dominio Windows 200x este papel lo realizan los Controladores de dominio. Existe la creencia generalizada que debido a su papel en las redes MS Windows, el controldor de dominio debería ser la mejor y más potenta máquina de la red. Por extraño que pueda parecer lo mejor es que la estrucura de la red esté balanceada. Es recomendable invertir más en servidores independientes (miembreos del dominio) que en controladores de dominio.

En el caso de los dominios estilo NT4, es el PDC quien inicia una nueva base de datos de control del dominio. Esto constituye una parte del registro de Windows llamada Getión de cuentas de seguridad (Security Account Manager, SAM). Esto juega un papel clave en los dominios estilo NT-4 en la validación y sincronización de de la base de datos de autenticación con BDC (controladores secundarios de dominio).

Con servidores MS Windows 200x basados en dominios Active Directory, un controlador de dominio inicia una jerarquía potencial de controladores de dominio, cada uno con su propia área de control delegado. El controlador principal del dominio tiene la posibilidad de superponerse a cualquier controlador inferior, pero culaquier controlador descendiente tiene control sobre sus descendientes. Con Samba-3, esta funcionalidad se puede desarrollar usando el sistema de validación de cuentas LDAP y cuentas de máquina.

Samba-3 incorpora la posibilidad de usar una base de datos que recoge el mismo tipo de datos que la base de datos SAM al estilo NT-4 (uno de los ficheros del registro)[1].

El BDC juega un papel clave en las peticiones de autenticación en los servicios de red. El BDC está pensado para responder a las respuestas de conexión (logon) antes que el PDC. En un segmento de red que tiene un PDC y un BDC, el BDC probablemente servirá probablemente las peticiones de conexón a servicios de red. El PDC responderá cuando el BDC esté muy ocupado (carga alta). Un BDC puede promocionar a PDC. Si el PDC está activo mientas el BCD promociona a PDC, el anterior PDC se degrada automáticamente a BDC. Con SAmba-3 esto no es una operación automática; el PDC y el BCD se tienen que configurar manualmente.

Con MS Windows NT4, la decisión del tipo de máquina que será el servidor se realiza durante la instalación. Es posible promocionar un BDC a PDC y viceversa. La única manera de convertir un controlador de dominio en un servidor miembro del dominio o serviodor independiente es reinstalarlo. Las opciones de instalación admisibles son:

Con MS Windows 2000, la configuración del control del dominio se realiza tras la instalación del servidor. Samba-3 capaz de actuar como servidor miembro nativo deun dominio W200x Active Directory de un servidor Windows 200x.

También aparece como novedad en Samba-3 la capacidad de actuar completamente como un controlador de dominio estilo NT-4, excluyendo los componentes de replicación SAM. Sin embargo, por favor tenga en cuenta que Samba-3 también admite los protocolos de control de dominio MS Windows 200x.

En este momento, cualquier apariencia de que Samba-3 pueda actuar como un Contladoar de dominio en modo ADS nativo es limitado y experimental. Esta funcionalidad no se debería hasta que el Samba Team ofrezca soporte formal. En ese momento, se revisará la documentación para reflejar todas las configuraciones y requisitos de gestión. Samba puede actuar como controlador de dominio NT-4 en un entorno Windows 2000/XP, sim embargo hay ciertos aspectos que hay que resaltar:



Preparación para el control del dominio

Las máquinas MS Windows interactúan entre sí de dos formas distintas, con otros servidores y con los controladores de dominio: bien como sistemas aislados, normalmente llamados miembros de grupo de trabajo o como integrantes completos de un sistema de seguridad, normalmente llamdados miembros de dominio.

Hay que tener en cuenta que ser miembro de un grupo de trabajo no implica una configuración especial distinta a la habitual de red con nombre del grupo de trabajo. No es extraño usar el nombre WORKGROUP para esta configuración. En esta modo de configuración no hay cuentas de confianza de máquina ni cualquier concepto de miembro, que está limitado al hecho de que todas ellas aparezcan juntas en el entorno de red. De nuevo, para dejarlo claro: el modo de trabajo en grupo no implica cuentas de seguridad de máquina.

Las máquinas miembros del dominio tienen una cuenta de máquina en la base de datos de cuentas del dominio. Se debe seguir un procedimiento especial en cada máquina para que la pertenencia al dominio tenga efecto. Este procedimiento, que sólo se puede hacer usando la cuenta de administrador de la máquina local, crea la cuenta de máquina del dominio (si no existe) e inicializa la cuenta. Cuando el cliente se conecta por primera vez en el dominio se realiza un cambio de contraseña de máquina.

Observaciones

Cuando se configura Samba como controlador de dominio, las operaciones de red seguras exigen que todos los clientes MS Windows NT4/200x/XP Professional se deberían configurar como miembros del dominio. Si una máquina no es miembro del dominio entonces operará como maquina de grupo de trabajo (independiente): Por favor, consulte el capítulo Pertenencia al dominio dondepodráencontrar más detalles.

Lo siguiente es necesario para configurar Samba-3 como un PDC estilo MS Windows NT4 para clientes NT4/200x/XP:

Las siguientes aspectos son necesarios para servir clientes MS Windows 9x/Me:


Observaciones

Los perfiles móviles y las políticas de sistema/red son temas avanzados de administración de redes que se trtan en los capítulos de gestión de perfiles y Políticas de sistema y cuentas. Sin embargo esto no es específico de de un PDC Samba por mucho quue estén relacionados a los conceptos de redes NT.

Un controladoar de dominio es un servidor SMB/CIFS que:

Es bastante fácil configurar Samba para cumplir estas condiciones. Cada controlador de dominio Samba tiene que proporcionar el servicio NETLOGON que Samba llama la funcionalidad domain logons (tras el nombre del parámetro en el fichero smb.conf). Además, un servidor en un dominio Samba-3 tiene que anunciarse como Examinador Principal del dominio (Domain Master Browser) [3]. Esto hace que el PDC solicite un nombre NetBIOS específico del dominio que lo identifica como Examinador Principal del Dominio o grupo de trabajo. Los examinadoares locales del mismo dominio o grupo de trabajo en subredes aisladas de broadcast solicitan una copia completa de la lista de recursos de toda la red. Entonces, Los clientes examinadores clientes con su examinador local principal y reciben la lista de todo el dominio, en lugar de la lista del broadcast corresondiente a la subred.