Active Directory: Dualidad DNS y AD.
Al principio fue el nombre, de dominio, claro. Eso ocurría en el reino de Torto, un viejo pc con un Windows 2003 Server r2, para los que no leyeron el post anterior. En nuetro camino hacia una instalación de Sharepoint y su configuración, necesitamos adquirir muchos conceptos propios del campo que mircrosoft denomina Tech.
En concreto Sharepoint, necesita de una infraestructura de red para su existencia, vamos uno o varios servidores que soporten las aplicaciones que Sharepoint supone, aplicaciones web se entiende. Pero no quiero adelantar nada de lo que Sharepoint es porque antes que la modernidad estaba la edad media así que vamos a ver algunos conceptos Tech que me han llevado a una curiosa situación, el estudiar el concepto del Dominio según Microsoft.
Al principio no es que fuera un nombre, al principio fue un cable que conecto una máquina con otra, y un invento (hub, switch ,…) que a modo de ladrón de corriente, me conectaba no sólo una máquina con otra, sino dos, o tres o más máquina,… así, se hizo una net. Ahora bien, todo esto estaba muy bien, pero para qué queríamos la red, es decir, tenemos una tecnología que seguro sirve para algo. La clave estaba en almacenar ficheros con registros que en ocasiones tienen sentido (y en otras muchas veces, no), en algunas máquinas y, claro, desde otras máquinas poder consultar estos ficheros. Además había que evitar al curioso que quiere saber para qué vale eso de ordenadores en red, y al curioso que quiere saber qué hay en esos ficheros. Al mismo tiempo los hijos del primer hub se multiplicaron y los ordenadores no paraban de conectarse a la red, de manera que en poco el sistema para saber quién es quién en la red (el ordenador uno es el número 1, el ordenador dos es el número 2, …, anda una impresora!) dejo de ser lógico para ser caótico.
Ahora sí, el DOMINIO fue una idea que se le ocurrió a un becario de la universidad de Berkeley, pero esto no lo sabe nadie. El caso es que este ser inteligente dijo vamos a ponerles nombre en cristiano (cristiano americano, por lo que los de la península y los de Bilbao no nos enteramos mucho así que interpretamos, que es otra opción), las máquinas dejaban de llamarse 1, 2, 3,… para convertirse en títulos de nobleza, Servidor de la UCLA para datos de Alumnos.edu (edu debió ser el becario), pero claro había que agrupar ordenadores y poner nombres más cortitos porque si no uno al final no se enteraba si estaba accediendo al fichero que yo quería en el ordenador que yo quería o ese fichero era el de configuración de una impresora. El caso es que se agrupó y ahí nació el Dominio. Dominio como concepto, porque luego cada cual hizo de dominio lo que quiso. Con este concepto surgieron enseguida otros conceptos (por eso de fomentar la investigación y reunirse en congresos en donde dan cafés de catering algunos un poco aguados y fríos) y surgió el concepto de DIRECTORIO, que era el almacén de la información que queríamos compartir. Y los grupos de investigación inventaron los servidores de nombres de dominio (DNS) un sistema de nombrar a todos los ordenadores por nombres sin que todos tengamos que saber el número que identifica un nombre (esto es porque como lo del becario no gustaba, se hizo pero se dejaron los numeritos de cada ordenador…) .
Microsoft estaba hecha un lio, así que cogió todo y dijo: Sea Active Directory, y así fue, que implementa el concepto de dominio, que permite, por tanto, hacer que los ordenadores se sumen al dominio o se hagan miembros o vasallos o cualquier relación de membresía, para poder compartir información entre ellos, que un único administrador diga quién y para qué se puede conectar un ordenador y que un guardia nos diga quién inicia sesión y quién no. Bueno pues esto es Active Directory. Un almacén de datos que permite centralizar la manera de acceder a información que está distribuida (bueno y también servicios), este almacén es el directorio, y la información que guardamos es de usuarios, grupos y máquinas, y por supuesto controlamos los recursos de esas máquinas (servicios e información). Todo queda muy organizadito en una base de datos de objetos (usuarios, grupos y máquinas) jerárquica, es decir, y se puede agrupar de manera lógica en Unidades organizativas (ejemplo: si mi dominio es basoa.org, podría tener dos divisiones o unidades organizativas basoa.org/tesoreros, basoa.org/comerciantes, y organizar usuarios y grupos que pertenezcan a esas dos unidades).
Claro a cada uno de los miembros de un dominio va a tener un nombre, y como Microsoft se había metido en el berenjenal del DNS (elegante pero berenjenal) pues se dijo, yo le doy un nombre, el que me salga, a cada uno de los objetos de mi directorio (SID) y luego voy creando sistemas de nombrado que para cada nombre del esquema de cada sistema me de mi SID, que de ese si controlo. El caso es que yo puedo tener un usuario que se llama adimen, del dominio basoa.org, pues podré llamarlo como adimen@basoa.org caso de la nomenclatura DNS, y el mismo llamarse basoa /adimen caso de la nomenclatura NETBios esto es legal. Un único id, el SID, y varios sistemas de nombrado y localización (DNS, NETBios,…) . Para darle un nombre al dominio ( baso.org) usaremos el esquema de DNS, que ya hemos comentado y un servidor de DNS que nos proporciona Windows. Hala ya lo tenemos todo.
Bueno la cosa no es tan sencilla, puesto que dentro de un dominio podemos hacer agrupaciones distintas a las de las unidades organizativas, los subdominios, a lo que Microsoft ha llamado árboles (por ejemplo en lugar de las unidades organizativas tesoreros y comerciantes podemos tener subdominios de basoa.org, tesoreros.basoa.org y comerciantes.basoa.org), estableciendo restricciones a los objetos (usuarios, grupos y máquinas) de un subdominio para acceder a otro, a esto se le llama relaciones (y las hay de muchos tipos, de yo confío en ti, pero tú en mi no, todos confiamos en todos, si yo confío en ti, tú confías en él, yo confío en él,… menudo culebrón). También podemos establecer relaciones de confianza (a todo,esto se llaman trust) entre dominios distintos. A este concepto se le llama bosque. Por ejemplo podemos establecer relaciones entre basoa.org y el domino ohiana.org (son dos dominios distintos pero podemos hacer que los usuarios de uno accedan a los recursos de otro, si establecemos algún tipo de relación, en este caso los dos dominios, formarían un bosque.)
Claro el concepto de dominio supone agrupar ordenadores bajo un nombre, pero quién controla todo eso. La información está distribuida, es decir, los recursos y servicios que nos da cada máquina se distribuye en el domino, la máquina que tiene el recurso la comparte (o no) con los ordenadores del dominio, pero hay un ordenador que controla qué máquina es miembro del dominio y qué maquina no lo es, y qué usuarios tienen acceso a qué máquinas y de qué manera, y qué recursos pueden compartir y cuáles no. Esta máquina es el Controlador de dominio. Así un administrador desde una máquina puede implementar toda la política de una empresa, como una combinación de máquinas que tenemos, servicios y recursos que esas máquinas ofrecen, usuarios que acceden a esas máquinas y permisos que les podemos conceder, de manera individual o por grupos.
¿Cómo se hace todo esto? Pues aparentemente fácil, necesitamos un Windows 2003 server y hacer que esa máquina sea un Controlador de Dominio, para lo caul necesitamos un servidor dns (aunque la herramienta que nos ayuda a instalar AD, en nuestro dns, que sí que no viene por defecto, ni el dns y el ad), y una partición aparte para guardar todos archivos relativos al dns. Para llegar a todo ello, sólo tenemos que ejecutar la herramienta en línea de comandos DCPROMO y seguir el wizard que nos guía, pero MUCHO CUIDADO, porque una vez que hemos dicho que una máquina sea controladora de un dominio, no lo podemos cambiar y la única salida que tenemos es formaterarla.
En los siguientes post, voy a contar mis aventuras para montar una estructura de dominio, con máquinas que pertenecen a ese dominio y usuarios que pertenecen a esas máquinas, y maneras de compartir recursos y servicios. Así describiremos algunos servicios interesantes y necesarios, y quizá podamos compartir algún truco que nos facilite el camino hacia una estructura de Sharepoint.