Mdulo 1

Implementacin de Active Directory Servicios de dominio

Active Directory Domain Services (AD DS) se instala como una funcin de servidor en Windows Server 2008 del sistema operativo. Tiene varias posibilidades para hacer al instalar AD DS y ejecutar el Active Directory Domain Services Asistente para la instalacin. Usted debe elegir si desea crear un nuevo dominio, o aadir un controlador de dominio para un dominio existente. Usted tambin tiene la opcin de instalar AD DS en un servidor con Windows Server 2008 Server Core, o la instalacin de los controladores de dominio de slo lectura. Despus de implementar los controladores de dominio, tambin debe gestionar papeles especiales controlador de dominio, como el catlogo global y los maestros de operaciones. Leccin 1:

Instalacin de Servicios de Active Directory de dominio

Windows Server 2008 proporciona varias maneras de instalar y configurar AD DS. Esta leccin se describe el estndar de instalacin de AD DS, adems de describir algunas de las otras opciones que estn disponibles en el momento de realizar la instalacin.

Requisitos para la instalacin de AD DS

Para instalar AD DS, el servidor debe cumplir los siguientes requisitos: Windows Server 2008 sistema operativo debe estar instalado. AD DS slo puede ser instalado en los siguientes sistemas operativos Windows Server 2008: o El Windows Server 2008 Standard sistema operativo o o El Windows Server 2008 Enterprise sistema operativo El Windows Server 2008 Datacenter sistema operativo

Nota: AD DS se puede instalar tanto en el de 64 bits y las ediciones 32-bit, y en la versin Server Core de Windows Server 2008. AD DS no se puede instalar en el Windows Server 2008 Web del sistema

operativo. A continuacin se enumeran las configuraciones de servidor requiere:

Configuracin del servidor

El servidor debe estar configurado con una configuracin de IP.

Descripcin
El servidor puede ser configurado como un Dynamic Host Configuration Protocol (DHCP) si Domain Name System (DNS) no est instalado en el equipo, pero se recomienda usar direcciones IP estticas. El ajuste se puede hacer referencia a otro servidor DNS o el servidor DNS local si se instala en l. Antes de agregar AD DS para crear un dominio o bosque, asegrese de que su red tiene una infraestructura DNS en su lugar. Debera tambin asegurarse de que el servidor DNS utilizado por los controladores de dominio de AD DS soporta el servicio (SRV) registros de recursos. registros SRV de recursos son los registros DNS que identifican los equipos que alojan servicios especficos en un equipo Windows Server 2008 de red. Al instalar AD DS, puede incluir la instalacin del servidor DNS si es necesario. Cuando se crea un nuevo dominio, una delegacin de DNS se crea automticamente durante el proceso de instalacin.

El servidor debe estar configurado con un Domain Name System (DNS) configuracin del cliente.

Administrador de permisos Para instalar AD DS y ejecutar el Active Directory Domain Services Asistente para la instalacin, debe utilizar los permisos administrativos siguientes: autorizacin administrativa
Administrador local Administrador de dominio Enterprise Administrator

Se utiliza para instalar

El primer controlador de dominio en un bosque controladores de dominio adicionales en un dominio Los dominios adicionales en un bosque

Qu son los dominios y niveles funcionales del bosque?

En Windows Server 2008, los bosques y la funcionalidad de dominio proporciona una forma para que todo el bosque o en todo el dominio de Active Directory caractersticas en su entorno de red. Diferentes niveles de bosque y la funcionalidad de dominio estn disponibles, en funcin de dominio y nivel funcional del bosque. Windows Server 2008 es compatible con el dominio siguientes niveles funcionales: Nota: En esta tabla se enumeran algunas de las caractersticas habilitadas en cada nivel funcional. Para ms detalles, vase el apndice de caractersticas funcionales que figuran en el nivel de lectura adicional.

Nivel funcional del dominio

El Windows 2000 del sistema operativo

caractersticas Activado
Los grupos universales estn habilitados para grupos de distribucin y grupos de seguridad tanto Grupo de anidacin

controlador de dominio de los sistemas operativos compatibles

Windows 2000 Server Windows Server 2003 Windows Server 2008

El Windows Server 2003 Todas las funciones del dominio del sistema operativo de Windows 2000 Server Native nivel funcional, y las siguientes caractersticas: Cambiar el nombre de dominio Actualizacin del tiempo de inicio de sesin sello La capacidad de redirigir a los usuarios y equipos de contenedores

Windows Server 2003 Windows Server 2008

 Windows Server 2008

delegacin restringida autenticacin selective Windows Server 2008

Todas las caractersticas de Windows Server 2003 nivel funcional de dominio, y las siguientes caractersticas: Sistema de archivos distribuido de apoyo para la replicacin de volumen del sistema compartido (SYSVOL) la reproduccin Servicios de cifrado avanzado (AES de 128 y 256) soporte para el protocolo Kerberos ltima Inicio de sesin interactivo de informacin de grano fino polticas de contraseas

Windows Server 2008 es compatible con los niveles de bosque funcionales siguientes: Nivel funcional del bosque
Windows 2000

caractersticas Activado
Todos los cdigos de Active Directory caractersticas

los controladores de dominio compatibles

Windows Server 2008 Windows Server 2003 Windows 2000 Server Windows Server 2003 Windows Server 2008

Windows Server 2003

Forest Trust Cambiar el nombre de dominio Valor vinculado replicacin La capacidad de desplegar un controlador de dominio de slo lectura que se ejecuta Windows Server 2008 Mejora de replicacin de Active Directory para las organizaciones Desactivacin y la redefinicin de los atributos y clases en el

esquema con muchos sitios Windows Server 2008 Este nivel funcional ofrece todas las caractersticas que estn disponibles en el Windows Server 2003 nivel funcional del bosque, pero no hay caractersticas adicionales. Todos los dominios que se aadan ulteriormente a la selva, sin embargo, funcionar con Windows Server 2008 nivel funcional de dominio de forma predeterminada. Windows Server 2008

Nota: Usted puede elevar el nivel funcional de dominio mediante el uso de Active Directory Usuarios y equipos o dominios de Active Directory y confianzas. Usted puede elevar el nivel funcional del bosque mediante el uso de dominios de Active Directory y confianzas. Una vez que aumentar el dominio o el nivel funcional del bosque, no se puede revertir los cambios.

AD DS proceso de instalacin

Iniciar el asistente de instalacin de AD DS Para configurar un equipo con Windows Server 2008 controlador de dominio, debe instalar la funcin de servidor de AD DS y ejecutar el Active Directory Domain Services Asistente para la instalacin. Haga esto utilizando uno de los siguientes procesos:
Instale la funcin del servidor mediante el Administrador de servidores, a continuacin, ejecute el asistente de instalacin mediante la ejecucin de DCPromo o el asistente de instalacin de Server Manager. Ejecutar DCPromo del comando Ejecutar ... o un smbolo del sistema. Esto instalar la funcin de servidor AD DS y luego iniciar el Asistente para la instalacin.

Elegir una configuracin de implementacin Cuando se instala un controlador de dominio, puede optar por:

Crear un nuevo dominio en un nuevo bosque - elija esta opcin si va a instalar el primer controlador de dominio en un bosque. Crear un nuevo dominio en un bosque existente - seleccione esta opcin si va a instalar un nuevo dominio en un rbol de dominios ya existentes. Crear un nuevo controlador de dominio en un dominio existente.

Cuando se crea un nuevo dominio en un bosque nuevo, se le pide que elija un bosque y nivel funcional de dominio. Cuando se crea un nuevo dominio en un bosque existente, y el bosque no est configurado en el Windows Server 2008 nivel funcional, se le pide que elija un nivel funcional de dominio.

Configuracin de las caractersticas adicionales de controlador de dominio Puede instalar las siguientes caractersticas adicionales controlador de dominio: Caracterstica
catlogo global

Cmo se instala
Seleccionada por defecto y no puede ser seleccionada para el primer controlador de dominio en un bosque, pero es opcional para los controladores de dominio adicional. Seleccionada por defecto si usted est instalando un nuevo bosque. Si va a instalar un nuevo dominio, tenga en cuenta que el servidor DNS casilla de verificacin tambin se selecciona si el asistente detecta una infraestructura DNS en el dominio principal o, en el caso de un nuevo rbol de dominios, si detecta una infraestructura de DNS en la raz del bosque dominio. Si el asistente no detecta una infraestructura de DNS, Servidor DNS casilla de verificacin est desactivada de forma predeterminada. La opcin puede ser desactivada si no est utilizando el controlador de dominio como un servidor DNS. Si el nivel funcional del bosque no es Windows Server 2003 o superior, o si un equipo con Windows Server 2008 controlador de dominio de escritura no est disponible, esta opcin no est disponible cuando se instala el primer controlador de dominio en un dominio.

Dominio Nombre del servicio (DNS)

de dominio de slo lectura del controlador

Configuracin de la ubicacin del archivo Puede seleccionar las ubicaciones de carpeta para el archivo de base de datos, los archivos de registro de servicio de directorio y los archivos SYSVOL. Los archivos SYSVOL debe ser almacenada en un volumen formateado con sistemas de archivos NTFS. Como prctica recomendada, almacenar estos archivos en volmenes separados que no contengan aplicaciones u otros archivos no-directorio. Configuracin del servicio de directorio Restaurar contrasea del modo de Los servicios de restauracin de contrasea se requiere el modo cuando reinicia un controlador de dominio en modo de restauracin de servicios de directorio. Usted debe configurar una contrasea compleja y gurdelo en un lugar seguro. Puede cambiar la contrasea despus de la instalacin mediante la herramienta NTDSUTIL

Opciones avanzadas para la instalacin de AD DS

Algunos de los Servicios de dominio de Active Directory Asistente para la instalacin, pginas slo aparecen si selecciona la Utilice instalacin en modo avanzado casilla de verificacin en el Bienvenida pgina del asistente, o ejecutando DCPromo con el interruptor adv /. Si no ejecuta el Asistente para la instalacin en el modo avanzado, el asistente utilizar las opciones por defecto que se aplican a la mayora de configuraciones. Utilice las opciones de modo avanzado de instalacin cuando se debe realizar las siguientes opciones durante la instalacin: Instalar un nuevo dominio con un espacio de nombres no contiguos en un bosque. Utilice una copia de seguridad de la base de datos de AD DS como la fuente de la informacin de AD DS en un controlador de dominio nuevo. Con la instalacin de los medios de comunicacin, se puede minimizar la replicacin de todos los datos del directorio en la red. Utilice un controlador de dominio especfico existente como la fuente de replicacin para el nuevo controlador de dominio durante la instalacin. Modificar el dominio por defecto bsico de la red de entrada / salida (NetBIOS). De forma predeterminada, el nombre NetBIOS para el dominio es de los primeros 15 caracteres de la primera parte del nombre de dominio DNS. Definir una poltica de contraseas, la replicacin de un controlador de dominio de slo lectura (RODC). De forma predeterminada, el RODC no cach de las contraseas. Puede modificar este durante la instalacin eligiendo una instalacin avanzada, o modificarlo despus de la instalacin.

Instalacin de AD DS desde los medios de comunicacin

Antes de poder utilizar los medios de copia de seguridad como la fuente para la instalacin de un controlador de dominio, uso Ntdsutil.exe para crear el disco de instalacin. Ntdsutil.exe puede crear cuatro medios diferentes tipos de instalacin, como se describe en la siguiente tabla:

medios de instalacin tipo Comando

Completo (o escritura) controlador de dominio

Descripcin de los parmetros

Crear completa nombredelacarpeta Crea medios de instalacin de un controlador de dominio grabable o un Active Directory Lightweight Directory Services (AD LDS) de instancia. Crear Sysvol nombredelacarpeta Crea medios de instalacin con SYSVOL de un controlador de dominio grabable o una instancia de AD LDS. Crea medios de instalacin con SYSVOL de un RODC. Crea medios de instalacin de un RODC.

Completo (o escritura) controlador de dominio con los datos SYSVOL

de dominio de slo lectura del Crear Sysvol RODC controlador con los datos SYSVOL nombredelacarpeta de dominio de slo lectura del controlador Crear RODC nombredelacarpeta

Cuando se ejecuta el ifm ntdsutil comando en un controlador de dominio grabable o en un RODC para crear medios de instalacin de un RODC, ntdsutil quita ningn secreto en cach, como contraseas, soporte de instalacin de RODC. Para generar medios de instalacin de un completo (o escritura) controlador de dominio, debe utilizar otro controlador de dominio de escritura como fuente.

Pasos para la creacin de medios de instalacin Para crear medios de instalacin, inicie sesin en un controlador de dominio utilizando una cuenta que tiene permiso para hacer una copia de seguridad. Luego, completa los siguientes pasos:

1. Inicie un smbolo del sistema elevado. 2. Tipo ntdsutilY, a continuacin, presione ENTRAR. 3. En el indicador ntdsutil, escriba activar ntds ejemploY, a continuacin, presione ENTRAR. 4. En el indicador ntdsutil, escriba ifmY, a continuacin, presione ENTRAR. 5. En la ifm: del sistema, escriba el comando para el tipo de medio de instalacin que desea crear y, a continuacin, presione ENTRAR. Por ejemplo, para crear medios de comunicacin RODC instalacin que no incluye datos SYSVOL, escriba Crear RODC C: \ InstallationMedia , Y pulse ENTER. Puede guardar el medio de instalacin a una carpeta compartida de red o cualquier otro tipo de medios extrables. Al crear controladores de dominio adicionales en el dominio, puede hacer referencia a la carpeta compartida o un medio extrable donde se almacenan los medios de instalacin en el Instalar desde los medios de comunicacin pgina en el dominio de Active Directory Asistente para instalacin de servicios, o mediante el / ReplicationSourcePath parmetros durante una instalacin desatendida. Para comprobar que se instala AD DS, completa la siguiente lista: En el Administrador de servidores, haga clic en Funciones y compruebe que la funcin del servidor de AD DS est instalado. Ver los servicios del sistema y verificar que todos los servicios necesarios se estn ejecutando. En Active Directory Usuarios y equipos, compruebe que el controlador de dominio se muestra en el contenedor Controladores de dominio. En sitios de Active Directory y servicios, compruebe que el controlador de dominio se muestra en el sitio adecuado. En el Visor de sucesos, compruebe que no existen eventos que indica que la instalacin de AD DS fallado o cualquier error de replicacin de AD DS. Abra el Explorador de Windows y vaya a C: \ Windows \ NTDS. Compruebe que el Ntds.dit y otros archivos se encuentra en la carpeta. Si el controlador de dominio no es el primer controlador de dominio que se instalen en el dominio, repadmin utilizar para comprobar que todas las particiones se han replicado al controlador de dominio nuevo.

La actualizacin a Windows Server 2008 AD DS

Para instalar un nuevo Windows Server 2008 controlador de dominio en un equipo existente con Windows 2000 Server o Windows Server 2003, siga estos pasos: Si el controlador de dominio es el primero de Windows Server 2008 controlador de dominio del bosque, debe preparar el bosque para Windows Server 2008 mediante la ampliacin del esquema en el maestro de operaciones de esquema. Para extender el esquema, ejecute adprep / forestprep. La herramienta adprep se encuentra en el servidor Windows 2008 de medios de instalacin. Si el controlador de dominio es el primero de Windows Server 2008 controlador de dominio en un dominio de Windows 2000 Server, primero debe preparar el dominio mediante la ejecucin adprep / domainprep / gpprep en el maestro de infraestructura. El interruptor gpprep aade la entrada de control de acceso heredables (ACE) para los objetos de directiva de grupo (GPO) que se encuentran en la carpeta compartida SYSVOL y sincroniza la carpeta compartida SYSVOL entre los controladores en el dominio. Si el controlador de dominio es el primero de Windows Server 2008 controlador de dominio en un dominio Windows Server 2003, debe preparar el dominio mediante la ejecucin adprep / domainprep en el maestro de infraestructura. Despus de instalar un controlador de dominio de escritura, puede instalar un RODC en el bosque de Windows Server 2003. Antes de hacer esto, debe preparar el bosque mediante la ejecucin adprep / rodcprep. Puede ejecutar adprep / rodcprep en cualquier equipo en el bosque. Si el RODC ser un servidor de catlogo global, debe ejecutar adprep / domainprep en todos los dominios del bosque, independientemente de si el dominio se ejecuta en Windows Server 2008 controlador de dominio. Mediante la ejecucin de adprep / domainprep en todos los mbitos, el RODC puede replicar los datos de catlogo global de todos los dominios en el bosque y, a continuacin se anuncian como un servidor de catlogo global.

Nota: La primera de Windows Server 2008 controlador de dominio creado en un equipo existente con Windows 2000 Server o Windows Server 2003 de dominio no puede ser creada como un RODC.

Instalacin de AD DS en un equipo Server Core Para instalar AD DS en un equipo Windows Server 2008 Server Core equipo que ejecuta, debe utilizar una instalacin desatendida. Windows Server 2008 Server Core no proporciona una interfaz grfica de usuario (GUI) para que no se puede ejecutar el Active Directory Domain Services Asistente para la instalacin.

Para llevar a cabo una vigilancia AD DS instalar, utilizar un archivo de respuesta y la sintaxis siguiente con el comando Dcpromo: Dcpromo / [respuesta:nombre de archivo], Donde nombre de archivo es el nombre del archivo de respuesta.

AD DS archivos de respuesta de instalacin El archivo de respuesta es un archivo de texto plano con un cabezazo [DCInstall]. El archivo de respuesta define los parmetros de instalacin que usted elija o entrar en el dominio de Active Directory Asistente para la instalacin de los Servicios.
El archivo de respuesta utiliza el formato expuesto en la siguiente lista. Puede utilizar este archivo de respuesta para instalar el controlador de dominio por primera vez en Europa, Oriente Medio y frica (EMEA). WoodgroveBank.com de dominio. Si un valor no se configura en el archivo de respuesta, entonces el valor predeterminado para ese valor se utiliza. El formato del archivo de respuesta es la siguiente: [] DCInstall InstallDNS = S ConfirmGc = n RebootOnCompletion = S NewDomain = Nio NewDomainDNSName = EMEA.WoodgroveBank.com ParentDomainDNSName = WoodgroveBank.com Nombre del nio = EMEA DomainLevel = 2 SafeModeAdminPassword = Pa $ $ w0rd SiteName = EMEA UserDomain = WoodgroveBank.com NombreUsuario = WoodgroveBank \ Administrador Contrasea =* Consejo: Puede simplificar el proceso de creacin del archivo de respuesta que requiere una instalacin desatendida, mediante la seleccin Exportar la configuracin en el Resumen Pgina del dominio de Active Directory Asistente para la instalacin de los Servicios. Al seleccionar esta opcin, las opciones de instalacin que ha hecho en el asistente se guardan en un archivo de respuesta, que luego podr usar o modificar.

Leccin 2:

Implementacin de dominio de slo lectura de controladores Una de las novedades importantes de Windows Server 2008 es la opcin de utilizar los controladores de dominio lea-solamente (RODCs). RODCs proporcionan toda la funcionalidad que los clientes requieren la vez que proporciona seguridad adicional para los controladores de dominio desplegadas en sucursales. Cuando RODCs configuracin, puede especificar que las contraseas de cuentas de usuario se almacenan en cach en el servidor, y configurar delegado permisos administrativos para el controlador de dominio. Esta leccin se describe cmo instalar y configurar RODCs. Qu es un controlador de dominio de slo lectura?

Un RODC es un nuevo tipo de controlador de dominio que Windows Server 2008 admite. Un RODC aloja las particiones de slo lectura de la base de datos de AD DS. Esto significa que no siempre los cambios se pueden hacer a la copia de base de datos almacenados por RODC, y todos los replicacin de AD DS utiliza una conexin unidireccional de un controlador de dominio que tiene una copia de base de datos puede escribir a la RODC.

Escenarios de implementacin RODCs estn diseados principalmente para los despliegues de la sucursal en la que no podemos garantizar la seguridad fsica del RODC. Al implementar un RODC en una sucursal, puede proporcionar a los usuarios con un controlador de dominio local para asegurarse de que puede iniciar la sesin y tienen polticas de grupo aplicadas incluso si la red de rea extensa (WAN) a la oficina principal no est disponible. Un controlador de dominio local tambin puede asegurar un rpido inicio de sesin en comparacin con la tala a travs de una conexin de red lenta.
Tambin puede implementar RODCs en un escenario donde un controlador de dominio tiene otros requisitos administrativos especiales. Por ejemplo, una lnea de negocio (LOB) la aplicacin se puede ejecutar con xito slo si se instala en un controlador de dominio. O bien, el controlador de dominio puede ser el nico servidor de la sucursal y puede que alojar aplicaciones de servidor. En este escenario, los

usuarios que no sean los administradores de dominio posible que tenga que iniciar sesin en el equipo con regularidad. Al implementar un RODC, puede proporcionar a los usuarios con permiso para iniciar sesin y administrar el controlador de dominio, sin concederles los permisos administrativos en el dominio.

RODC limitaciones Para ayudar a reducir los riesgos de seguridad y la administracin que requieren RODCs, algunas opciones de controlador de dominio que estn disponibles para los controladores de dominio de escritura no estn disponibles en un RODC. Un RODC no puede actuar como:
Un maestro de operaciones de papel titular. Operaciones de los titulares de la funcin de maestro debe ser capaz de escribir algo de informacin para la base de datos de Active Directory. Debido a la naturaleza de slo lectura de Active el RODC la base de datos del repertorio, no puede actuar como titular de la funcin de maestro de operaciones. Un servidor cabeza de puente. servidores cabeza de puente en concreto replicar los cambios de otros sitios. Porque RODCs realizar slo replicacin entrante, no puede actuar como un servidor cabeza de puente para un sitio.

De slo lectura controlador de dominio Caractersticas

RODCs proporcionar las siguientes caractersticas: Caracterstica

replicacin unidireccional

Descripcin
Debido a los cambios de AD DS no se puede escribir directamente al RODC, sin cambios de replicacin se originan en el RODC. Esto significa que cualquier cambio o la corrupcin que un usuario malintencionado podra hacer en las sucursales no pueden replicar en el RODC al bosque. Esto tambin reduce la carga de trabajo de los servidores cabeza de puente en el centro, y el esfuerzo necesario para controlar la replicacin. replicacin unidireccional RODC se aplica tanto a AD DS y la replicacin DFS.

Credencial de almacenamiento el almacenamiento en cach de credenciales es el almacenamiento de contraseas de usuario o equipo. De forma predeterminada, un usuario en cach no RODC no almacenar o credenciales de equipo. Las excepciones son el RODC cuenta de la computadora y una cuenta krbtgt especiales que cada RODC tiene. De forma explcita debe permitir que ninguna otra credencial almacenamiento en cach en un RODC.

Para cada RODC, puede definir una poltica de contraseas-replicacin. La directiva de contraseas de replicacin determina si las credenciales de un usuario o las credenciales de un equipo se pueden replicar en el controlador de dominio de escritura para el RODC. Si la contrasea de replicacin de la poltica lo permite, el controlador de dominio grabable replica las credenciales al RODC, y la cach RODC ellos. Si habilita el almacenamiento en cach de credenciales, la contrasea del usuario se almacena en cach despus de la de inicio de sesin xito de la primera. funcin de administrador de separacin Usted puede delegar permisos administrativos locales para un RODC a cualquier usuario de dominio, sin conceder a ese usuario todos los derechos de usuario para el dominio u otros controladores de dominio. Esto permite que un usuario sucursal local para iniciar sesin en un RODC y realizar trabajos de mantenimiento en el servidor, tales como la actualizacin de un controlador. Sin embargo, el usuario sarmiento no puede iniciar sesin en cualquier otro controlador de dominio o realizar cualquier otra tarea administrativa en el dominio. Puede instalar el servicio de servidor DNS en un RODC. Un RODC es capaz de replicar todas las particiones de directorio de aplicaciones DNS que utiliza, incluyendo ForestDNSZones y DomainDNSZones. Si el servidor DNS est instalado en un RODC, los clientes pueden realizar consultas sobre la resolucin de nombres slo les gusta consultar cualquier otro servidor DNS. Algunas aplicaciones que usan AD DS como un almacn de datos podra tener datos como credencial-(tales como contraseas, credenciales o las claves de cifrado) que no desea almacenar en un RODC en caso de que se vea comprometida. Para estas aplicaciones, puede configurar un conjunto de atributos en el esquema para los objetos de dominio que no se replicarn en un RODC. Este conjunto de atributos que se llama el RODC filtrada conjunto de atributos. Los atributos que defina en el RODC filtrada conjunto de atributos no pueden replicar a cualquier RODCs en el bosque. No puede agregar atributos crticos del sistema a la RODC filtrada conjunto de atributos. Un atributo es el sistema de crticos si es necesario lo siguiente para que funcione correctamente: AD DS, Autoridad de seguridad local (LSA), cuentas de seguridad (SAM) y especficas de Microsoft Security Service Provider Interfaces (SSPIs), como Kerberos.

DNS de slo lectura

RODC filtrada conjunto de atributos

Preparacin para la instalacin del RODC

Antes de poder instalar un RODC, debe preparar el entorno de AD DS completando los pasos siguientes:

Paso
Configurar el dominio y el nivel funcional del bosque

Descripcin
nivel funcional del bosque debe ser Windows Server 2003, por lo que una valor de replicacin est disponible. El nivel funcional de dominio debe ser Windows Server 2003, por lo que Kerberos limitados delegacin est disponible. Delegacin limitada permite realizar llamadas de seguridad que deben ser suplantado en el contexto de la persona que llama. Cada RODC requiere un controlador de dominio grabable que ejecute Windows Server 2008 para el mismo dominio del que el RODC puede replicar directamente. RODCs puede replicar cambios en el esquema, la configuracin y las particiones de aplicacin de un controlador de dominio de Windows Server 2003, pero slo se puede replicar los cambios a la particin de dominio de un controlador de dominio de Windows Server 2008. Esto significa que un controlador de dominio grabable que ejecute Windows Server 2008 deben ser colocados en el sitio ms cercano de la topologa. Nota: RODCs estn diseados para ser colocados en sitios que no tienen los controladores de dominio presentes. Sin embargo, puede instalar un RODC en un sitio que tiene otros controladores de dominio del mismo dominio o dominios diferentes.

Plan de disponibilidad de Windows Server 2008 controlador de dominio

Preparar el bosque y el dominio

Si est actualizando un equipo Windows Server 2003 o bosque de Windows 2000 Server, debe copiar el contenido de la carpeta \ carpeta de fuentes de adprep \ en el servidor Windows 2008 DVD de instalacin para el maestro de esquema. A continuacin, ejecute el adprep / rodcprep de comandos antes de instalar la primera RODC. Este paso es necesario para permitir RODC para replicar particiones DNS. No es necesario si est creando un nuevo bosque con controladores de dominio slo que ejecutan Windows Server 2008.

Si el RODC ser un servidor de catlogo global, tambin debe ejecutar adprep / domainprep en todos los dominios del bosque, independientemente de si el dominio se ejecuta en Windows Server 2008 controlador de dominio. Cuando se ejecuta adprep / domainprep en todos los mbitos, el RODC puede replicar los datos de catlogo global de todos los dominios en el bosque y, a continuacin se anuncian como un servidor de catlogo global.

Instalacin del RODC

La instalacin RODC es casi idntica a la instalacin de Active Directory en un controlador de dominio con una copia de escritura de la base de datos. Al instalar el RODC, debe completar los siguientes pasos:

Instalacin paso
Elija la opcin de instalar un controlador de dominio adicional en un dominio existente. Seleccione la opcin de instalar un RODC en el Opciones adicionales de controlador de dominio Pgina del dominio de Active Directory Asistente para la instalacin de los Servicios. Usar la instalacin en modo avanzado si desea configurar la contrasea o configurar Directiva de replicacin delegado permisos de administrador local durante la instalacin RODC.

Configuracin de la informacin
Un RODC no puede ser un controlador de dominio de primer dominio. En la misma pgina, tambin puede optar por instalar DNS en el RODC y configurar el RODC como un servidor de catlogo global. Tambin puede configurar estas opciones despus de la instalacin del servidor.

Realizar una instalacin desatendida RODC Uno de los escenarios de implementacin recomendada es instalar un RODC en un equipo Windows Server 2008 Server Core. Para realizar una instalacin desatendida RODC, incluyen las siguientes lneas en el archivo de respuesta:
[] DCInstall

OnDemandAllowed =groupnames. Esta configuracin de las listas el nombre del grupo o los nombres cuyas contraseas de los miembros se les permitir almacenar en cach en el RODC. Esta configuracin es opcional. OnDemandDenied =groupnames. Esta configuracin de las listas el nombre del grupo o los nombres cuyas contraseas de los socios no se les permitir almacenar en cach en el RODC. Esta configuracin es opcional. ReplicaDomainDNSName =de nombres de dominio. Este ajuste es necesario porque va a instalar un controlador de dominio adicional en el dominio. ReplicaOrNewDomain = ReadOnlyReplica. Este ajuste identifica esta instalacin como una instalacin RODC. ReplicationSourceDC =nombreDeServidor. Este valor indica el nombre de un controlador de dominio Windows Server 2008 en el mismo dominio. Esta configuracin es opcional. Nota: Puede que tenga que incluir otras opciones en el archivo de respuesta en funcin de la implementacin. Estos valores son los valores especficos RODC solamente.

La delegacin de la instalacin de RODC

Usted puede delegar la instalacin de un RODC mediante la realizacin de una instalacin en dos fases: Etapa Descripcin
Etapa 1: Creacin Para crear la cuenta RODC, haga clic en el Controladores de dominio unidad de la cuenta organizativa en Active Directory Usuarios y equipos, y haga clic en Pre-creacin RODC del dominio de slo lectura en cuenta Contralor. El Active Directory Domain Services Asistente para la instalacin comenzar, y registrar todas las opciones de instalacin, incluyendo el nombre de cuenta de dominio de slo lectura del controlador y el sitio en el que se colocarn. Un miembro del grupo Administradores de dominio debe llevar a cabo esta etapa. Al crear la cuenta RODC, tambin puede especificar qu usuarios o grupos pueden completar la siguiente etapa. Al hacer esto, puede delegar la instalacin a los usuarios que no son miembros del grupo Administradores de dominio. Si no se especifica un delegado para completar la instalacin, slo un miembro del grupo

Administradores de dominio o el grupo Administradores de empresa puede completar la instalacin. Nota: Cuando delega el derecho de instalar el RODC a un usuario o grupo, ese usuario o grupo tendr permisos de administrador local en el RODC despus de la instalacin. Etapa 2: Instalacin de AD DS en el servidor RODC Para instalar AD DS en el servidor, asegrese de que el nombre de cuenta del equipo coincide con el nombre de cuenta de equipo en escena, y que la cuenta de equipo no se ha aadido a AD DS. A continuacin, iniciar el Active Directory Domain Services Asistente para la instalacin escribiendo dcpromo / UseExistingAccount: Conecte. Como parte de la instalacin, el asistente detecta automticamente si el nombre del servidor coincide con el nombre de cualquier cuenta RODC que ya se han creado para el dominio. Cuando el asistente encuentre un nombre de cuenta que coincide, le pide al usuario para utilizar esa cuenta para completar la instalacin RODC. El asistente instala AD DS en el servidor que se convertir en el RODC, y luego asigna el servidor a la cuenta de dominio que fue creado para l con anterioridad. Durante esta etapa, todos los datos de Active Directory que reside a nivel local, como la base de datos y archivos de registro, se crea en el propio RODC. Nota: Puede replicar la fuente de archivos de instalacin en el RODC de otro controlador de dominio a travs de la red, o puede utilizar la instalacin de medios de comunicacin (IFM) caracterstica.

Nota: Cuando delega permiso para instalar el RODC a un usuario o grupo, que cuenta tambin concede derechos de administrador para el RODC despus de la instalacin. Tambin puede delegar permisos de administrador local a los usuarios o los grupos despus del RODC se instala mediante el dsmgmt.exe de comandos.

Cules son las polticas de replicacin de contrasea?

Al implementar un RODC, puede configurar una contrasea para la Directiva de replicacin RODC. La contrasea Directiva de replicacin acta como una lista de control de acceso (ACL) que determina si un RODC se permite almacenar en cach una contrasea. La contrasea Directiva de replicacin listas de las cuentas que estn explcitamente que permite almacenar en cach, y los que no lo son. Las contraseas de cualquier cuenta en realidad no son almacenados en cach en el RODC hasta despus de la primera vez que se autentica el usuario o cuenta de equipo a travs del RODC. Nota: Usted debe incluir el usuario apropiado, el ordenador y las cuentas de servicio en la Poltica de replicacin de contrasea para permitir el RODC para satisfacer solicitudes de autenticacin y servicio de entradas a nivel local. Si usted no incluye cuentas de equipo y servicio en la directiva, los usuarios no puedan iniciar sesin en equipos y servicios de dominio puede fallar si un controlador de dominio de escritura no est disponible.

Elegir un modelo administrativo para la replicacin contrasea RODC Al aplicar la Directiva de replicacin de una contrasea, debe equilibrar la comodidad del usuario con problemas de seguridad. De forma predeterminada, no hay contraseas en cach en el RODC. Si usted no cambia el valor predeterminado, los usuarios no podrn iniciar sesin en el RODC si una conexin al servidor de Windows 2008 controlador de dominio puede escribir no est disponible. Si habilita el cach de contraseas para todas las cuentas, el impacto de un aumento de RODC violacin de seguridad.
Nota: Si la seguridad de un RODC se ve comprometida, debe quitar la cuenta de equipo RODC de AD DS y restablecer las contraseas de todas las cuentas de usuario que se almacenan en cach en el servidor. Cuando se elimina la cuenta RODC, se le da la oportunidad de exportar una lista de todas las cuentas en el RODC con credenciales almacenadas en cach.

Implementar una poltica de replicacin de contrasea Al aplicar una directiva de replicacin de contrasea, usted tiene tres opciones:
Acepte la configuracin predeterminada para que no se almacenan en cach las credenciales en el servidor. Explcitamente permitir o denegar el usuario o el ordenador credenciales para el cache en el servidor. Para ello, acceda a las propiedades de la cuenta RODC equipo en Active Directory Usuarios y equipos, y aadir usuarios, grupos o cuentas de equipo a la lista apropiada. Configurar los grupos de replicacin RODC para configurar el almacenamiento en cach de credenciales. AD DS tiene dos grupos diseado para administrar el almacenamiento en cach de credenciales para RODC: o Los animales domsticos RODC Contrasea replicacin Grupo incluye todas las cuentas cuyas credenciales se pueden almacenar en cach en todos los RODCs en el dominio. Al agregar un usuario o grupo a esta lista, sus credenciales se almacenan en cach en todos los RODCs. De forma predeterminada, este grupo no tiene ningn miembro. El RODC denegado Contrasea replicacin Grupo incluye todas las cuentas cuyas credenciales se les niega explcitamente el cache en todos los RODCs en el dominio. De forma predeterminada, este grupo contiene todas las cuentas de administrador y todas las cuentas de controlador de dominio.

Leccin 3:

Configuracin de AD DS funciones del controlador de dominio Todos controladores de dominio en un dominio son esencialmente iguales, lo que significa que todos contienen los mismos datos y ofrecer los mismos servicios. Sin embargo, tambin puede asignar funciones especiales a los controladores de dominio para ofrecer servicios adicionales, o la direccin de escenarios en los que slo un controlador de dominio debe garantizar los servicios en cualquier momento dado. Esta leccin se describe cmo configurar y administrar servidores de catlogo global y los maestros de operaciones.

Qu son los servidores de catlogo global?

El catlogo global es un parcial, rplica de solo lectura de todas las particiones de directorio de dominio en un bosque. El catlogo global es una rplica parcial porque incluye slo un conjunto limitado de atributos para cada uno de los objetos del bosque. Al incluir slo los atributos que se buscan ms, la base de datos de un servidor de catlogo global solo puede representar a todos los objetos en cada dominio del bosque. El servidor de catlogo global es un controlador de dominio que tambin alberga el catlogo global. AD DS configura el primer controlador de dominio de forma automtica en el bosque como un servidor de catlogo global. Usted puede agregar la funcionalidad de catlogo global a otros controladores de dominio, o cambiar la ubicacin predeterminada del catlogo global a otro controlador de dominio.

Por qu los servidores de catlogo global se requieren Un servidor de catlogo global realiza las siguientes funciones clave: Funcin Descripcin

servidores de catlogo global se utilizan cuando los Cada vez que un usuario inicia sesin en un inicios de sesin de procesamiento del usuario. dominio, un servidor de catlogo global se pone en contacto. Esto se debe a los controladores de catlogo no global de dominio no contienen ninguna informacin acerca de la pertenencia al grupo universal. Dado que la pertenencia al grupo

universal es inmenso bosque, slo el catlogo global puede resolver la pertenencia al grupo. Para generar un token de seguridad precisas para el usuario la bsqueda de la autenticacin, el catlogo global deben ser contactadas para determinar la pertenencia del usuario grupo universal. servidores de catlogo global tambin se requieren para procesar los inicios de sesin de usuario cuando los usuarios utilizan un nombre universal principal (UPN) para iniciar sesin. UPN permiten a los usuarios iniciar sesin en los equipos de cualquier dominio en un bosque mediante el uso de un nombre de usuario consistente. servidores de catlogo global tambin se utilizan para localizar la informacin del directorio, independientemente del dominio en el bosque contiene realmente los datos. El formato UPN es nombre de usuario @ dominio, Pero el nombre de dominio no tiene por qu ser el dominio que contiene la cuenta de usuario. Con el fin de identificar el dominio del usuario, la UPN debe ser resuelto en el catlogo global.

Sin un catlogo global, las solicitudes de bsqueda recibidas por un controlador de dominio de un objeto en un dominio diferente que requiere referencia a un controlador de dominio en el dominio objeto. Esta bsqueda slo ser posible si la consulta de bsqueda incluy el dominio donde se encuentra el objeto. Debido a que el catlogo global contiene una lista completa de todos los objetos en el bosque, el servidor de catlogo global puede responder a cualquier consulta que utiliza un atributo que se ha replicado en el catlogo global, sin necesidad de referirse a otro controlador de dominio.

Importante: Los equipos cliente deben tener acceso a un servidor de catlogo global para iniciar sesin. Por lo tanto, en la mayora de los casos, debe tener al menos un servidor de catlogo global en cada sitio. Tener al menos un servidor de catlogo global en cada sitio le permite tomar ventaja de los beneficios de reducir al mnimo el trfico de red. Windows Server 2008 proporciona una funcin llamada cach de pertenencia al grupo universal que permite a un servidor de catlogo no global para almacenar en cach la pertenencia al grupo universal. Curso 6425A: Mdulo 4 se ofrece ms informacin sobre esta caracterstica.

Modificacin del catlogo global

A veces es posible que desee personalizar el servidor de catlogo global para incluir atributos adicionales. De forma predeterminada, para cada objeto en el bosque, el servidor de catlogo global contiene los atributos ms comunes de un objeto. Las aplicaciones y los usuarios pueden consultar estos atributos. Por ejemplo, usted puede encontrar un usuario por su nombre, apellido, direccin de correo electrnico, u otras propiedades comunes.

Consideraciones para la modificacin del catlogo global Para decidir si desea aadir un atributo a un servidor de catlogo global, utilice estas consideraciones:
Agregue slo los atributos que los usuarios o las aplicaciones en su organizacin con frecuencia de consulta, o al que se refieren. Determinar la frecuencia con que un atributo se actualiza durante la replicacin. AD DS replica todos los atributos que almacena el catlogo global para cada servidor de catlogo global en el bosque. Cuanto ms pequeo es el atributo, menor ser el impacto en la replicacin. Si el atributo es grande, pero rara vez cambia, tiene un impacto menor que la replicacin de un atributo que los cambios pequeos a menudo.

Adicin de atributos al catlogo global El esquema determina si un atributo se replica en el catlogo global. El esquema identifica los atributos que se incluyen en el catlogo global como el conjunto de atributos parciales (PAS). El isMemberOfPartialAttributeSet atributo identifica el PAS. Si este atributo se establece en true, el atributo se incluir en el catlogo global.
Los administradores pueden agregar atributos al catlogo global utilizando el esquema de Active Directory complemento. Para aadir un atributo a la de catlogo global, el acceso a las propiedades de atributo en Esquema de Active Directory y seleccione la Replicar este atributo en el catlogo global opcin. Esto establecer el valor de la isMemberOfPartialAttributeSet parmetro en el atributo verdadero. Nota: La razn ms comn para la modificacin de los atributos que se replican en el catlogo global, es que si una aplicacin requiere la modificacin. Por ejemplo, si instala la funcionalidad de Exchange Server 2007, muchos atributos adicionales se replican en el catlogo global para apoyar el correo electrnico,

como la lista global de direcciones.

Cules son las funciones de maestro de operaciones?

Active Directory est diseado como un sistema de replicacin con varios maestros. Sin embargo, para las operaciones de cierto directorio, slo un servidor autorizado nico, es necesaria. Los controladores de dominio que realizan funciones especficas que se conoce como maestros de operaciones. Los controladores de dominio que desempean funciones de maestro de operaciones se han designado para realizar tareas especficas para asegurar la consistencia y eliminar el potencial de conflicto en las entradas de la base de datos de Active Directory.

Operacin de las funciones de maestro Las cinco funciones de maestro de operaciones de Active Directory son: Papel
Plan Maestro de

Descripcin
El maestro de esquema es el nico controlador de dominio que tiene permisos de escritura al esquema del directorio. Para hacer cualquier cambio en el esquema de directorio, el administrador (que debe ser un miembro del grupo de seguridad Administradores de esquema,) debe estar conectado al maestro de esquema. Despus se realiza un cambio, las actualizaciones de esquema se replican en todos los otros controladores de dominio en el bosque.

Maestro de nombres de Los nombres de dominio principal controla la adicin o eliminacin de dominios y dominio las particiones de directorio en el bosque. El maestro de nombres de dominio impide que varios dominios con el mismo nombre de dominio se unan al bosque. Cuando se utiliza el Active Directory Domain Services Installation Wizard para crear o eliminar un dominio en un bosque existente, entra en contacto con el maestro de nombres de dominio y pide a la adicin o supresin. Si el dominio maestro de nombres no est disponible, no se puede agregar o quitar dominios. Maestro RID Los identificadores relativos (RID), que administra el principal grupo de RID para crear los nuevos directores de seguridad tales como usuarios, grupos y equipos. Cada entidad de seguridad que se expida un RID, que es nico para cada entidad de seguridad, y un identificador de seguridad nico (SID) que

incluye un identificador de dominio que es el mismo para todos los SID en el dominio. Debido a que los principales de seguridad se pueden crear en cualquier controlador de dominio con una copia del directorio de escritura, el maestro de RID se utiliza para asegurar que dos controladores de dominio no emita el mismo RID. El RID cuestiones dominar un bloque de identificadores relativos (RID), llamado el grupo de RID, en cada controlador de dominio en el dominio. Emulador de PDC El controlador de dominio primario (PDC) emulador mantiene actualizaciones de contrasea. Todos los cambios de contrasea realizados en otros controladores de dominio en el dominio se envan al emulador PDC utilizando la replicacin urgente. Si una falla de autenticacin de usuario en un controlador de dominio que no sea el emulador de PDC, se vuelve a intentar la autenticacin en el emulador PDC. El emulador PDC tambin sincroniza la hora en todos los controladores de dominio para su tiempo. Los equipos cliente en un dominio tambin se sincronicen su hora con el controlador de dominio que autentica el usuario. Las actualizaciones de maestro de infraestructura de referencias a objetos en su dominio que apuntan a objetos de otro dominio. Por ejemplo, el maestro de infraestructura es responsable de actualizar las referencias cruzadas de dominio de grupo a los usuarios. Esta funcin de maestro de operaciones asegura que los cambios realizados a los nombres de cuenta de usuario se reflejan en la informacin de pertenencia de grupo para los grupos ubicados en un dominio diferente.

Director de Infraestructuras

Las dos primeras funciones, maestro de esquema y de nombres de dominio principal, se de cada bosque roles. Esto significa que slo hay un maestro de esquema y el dominio de un solo maestro de nombres para cada bosque. Las otras tres funciones son por dominio roles, lo que significa que es slo una de estas funciones de maestro de operaciones para cada dominio del bosque. Al instalar AD DS y crear el controlador de dominio de los bosques en primer lugar, se poseen las cinco de estos papeles. Del mismo modo, a medida que agrega los dominios del bosque, el primer controlador de dominio en cada dominio nuevo que tambin adquiere las operaciones por las funciones de maestro de dominio. A medida que agrega los controladores de dominio a un dominio, puede transferir estas funciones a otros controladores de dominio. Nota: La nica restriccin en la colocacin de la operacin principal es que si el bosque contiene varios dominios, y no todos los controladores de dominio tambin servidores de catlogo global, el papel de maestro de infraestructura no debe ser instalado en un servidor de catlogo global. Por defecto, el primer controlador de dominio en un bosque es un servidor de catlogo global y el maestro de infraestructura. Al instalar el controlador de dominio de segundo en el dominio, el Active Directory Domain Services Asistente para la instalacin le pregunta si desea mover el maestro de infraestructura para el controlador de dominio nuevos durante la instalacin de AD DS.

Cmo funciona el servicio de hora de Windows Obras

El servicio de hora de Windows, tambin conocida como W32Time, sincroniza la fecha y hora para todos los equipos que se ejecutan en una red Windows Server 2008. El servicio de hora de Windows utiliza el Network Time Protocol (NTP) para asegurar los ajustes de tiempo de alta precisin a travs de su red. Tambin puede integrar el servicio de hora de Windows con referencias externas.

Por qu es importante el tiempo de sincronizacin? sincronizacin precisa del tiempo es importante para garantizar la seguridad de la autenticacin Kerberos en un entorno de Active Directory. Para evitar ataques de repeticin, los tickets de Kerberos que los clientes actuales de los controladores de dominio son una marca de tiempo. Los controles del controlador de dominio de autenticacin para asegurarse de que la marca de tiempo es correcta, y que los tiempos en el cliente y el controlador de dominio se encuentran dentro de un sesgo de tiempo aceptable. De forma predeterminada, si el reloj del equipo cliente es ms de cinco minutos que el tiempo de diferentes controlador de dominio, la solicitud del cliente, ser rechazado.
Nota: La diferencia mxima de tiempo permitido entre el controlador de dominio y los equipos cliente pueden ser modificados a travs de polticas de grupo. sincronizacin precisa del tiempo tambin se asegura la replicacin exacta entre controladores de dominio: todos los de replicacin entre controladores de dominio es una marca de tiempo. Si el tiempo en el controlador de dominio no est sincronizada, puede tener resultados inconsistentes replicacin.

Tiempo topologa de sincronizacin Para garantizar los ajustes de tiempo sincronizada en todos los equipos en un bosque, el servicio de hora de Windows utiliza una relacin jerrquica que controla la autoridad y no permite bucles.
De forma predeterminada, los ordenadores basados en Windows utilizan la siguiente jerarqua: Todos los equipos de escritorio cliente utilizan la autenticacin su controlador de dominio como su asociado de hora de ruedas. Todos los servidores miembro siguen el mismo proceso. Los controladores de dominio que sincronicen su hora con el emulador PDC en su dominio. Los controladores de dominio que aloja la funcin de emulador PDC sincronicen su hora con el emulador PDC en el dominio de orden superior en la jerarqua de los bosques.

El emulador PDC de maestro de operaciones en la raz del bosque se convierte en la autoridad para la organizacin. El recurso de hora autorizado en la raz del bosque puede adquirir su tiempo al conectarse a un externo Protocolo de Tiempo de Red (NTP).

Nota: Para obtener informacin sobre cmo configurar el emulador PDC para sincronizar con un servidor NTP externo, consulte el artculo "Configurar el servicio de hora de Windows en el emulador PDC en el sitio web de Microsoft TechNet. Si mueve la funcin de emulador PDC de un controlador de dominio a otro, y ha configurado el emulador PDC para utilizar un recurso de hora externo, la sincronizacin de hora externo no se mueve automticamente al nuevo emulador de PDC. Si mueve el emulador de PDC, el tiempo de servicio debe ser reconfigurado en el nuevo emulador de PDC y la configuracin manual debe ser removido desde el original, emulador de PDC.

Mdulo 2 Configuracin de Servicio de nombres de dominio de Active Directory Servicios de dominio Domain Name System (DNS) es una parte integral de Active Directory Servicios de dominio (AD DS) para Windows Server 2008. Al comprender la relacin entre estas aplicaciones, puede solucionar AD DS, e incrementar la seguridad, mientras que proporcionar a los clientes la funcionalidad completa de DNS.

Leccin 1:

Listado de servicios de Active Directory de dominio DNS y la Integracin Windows Server 2008 requiere que la infraestructura DNS estar en su lugar antes de instalar AD DS. La comprensin de cmo absoluto de DNS y AD DS se integran, y cmo utilizar los equipos cliente DNS durante inicio de sesin, le ayudar a resolver problemas relacionados con el DNS, como las cuestiones de inicio de sesin de cliente.

AD DS e Integracin Espacio de nombres DNS

Dominios y equipos estn representados por los registros de recursos en el espacio de nombres DNS, y por los objetos de Active Directory en el espacio de nombres de Active Directory. Todos los dominios de Active Directory debe tener dominios DNS correspondientes a nombres de dominio idnticos. Los clientes

confan en DNS para resolver nombres de equipos host en direcciones IP, con el fin de localizar los controladores de dominio y otros equipos que proporcionan AD DS y otros servicios de red. Active Directory requiere DNS, pero no cualquier tipo de servidor DNS. Por lo tanto, puede haber varios servidores de DNS diferente tipo.

Nombres DNS El nombre de un equipo de host DNS es el mismo nombre que el aplicado a la cuenta del equipo que AD DS tiendas. El nombre de dominio DNS, tambin llamado el sufijo DNS principal, tiene el mismo nombre que el dominio de Active Directory al que pertenece el equipo. Por ejemplo, un equipo denominado servidor Web que pertenece al dominio de Active Directory llamado Woodgrovebank.com, tiene el siguiente FQDN:
Webserver.Woodgrovebank.com

Nombres de dominio de Active Directory Su nombre de AD DS no tiene por qu ser el mismo nombre que su nombre DNS pblico. Puede integrar su nombre de dominio de AD DS con el espacio de nombres externo mediante:
El mismo nombre Un subdominio del espacio de nombres externo Un espacio de nombres diferentes donde el dominio y los servidores locales tienen nombres diferentes

Por ejemplo, como lo demuestra la diapositiva, el nombre del dominio pblico Woodgrove Bank es WoodgroveBank.com, pero AD DS podra corresponder a un subdominio llamado Corp.Woodgrovebank.com, o podra ser algo completamente diferente, como Corp.local.

Los registros de recursos de almacenamiento Pblica y los registros privados de los recursos deben mantenerse separadas. Servidores DNS que lo expongan a Internet debe contener slo los registros de acogida para los equipos que sean accesibles al pblico. Por ejemplo, el servidor DNS pblico debera ser la sede de la direccin de su servidor Web pblico, o Simple Mail Transfer Protocol (SMTP). Nunca se debe permitir que los registros internos de acogida a estar expuestos a Internet. Tcnicas como la delegacin y la transmisin puede ser utilizado para integrar las estructuras de DNS interno y externo.
Nota: Las organizaciones pueden decidir que sus registros de direcciones pblico organizado por un tercero, como un proveedor de servicios Internet (ISP).

Qu son las hojas de servicio Localizador?

Para AD DS para que funcione correctamente, los equipos cliente debe ser capaz de localizar los servidores que proporcionan servicios especficos, tales como la autenticacin de inicio de sesin peticiones, y que proporcionan Telnet o protocolo iniciado sesin (SIP) de servicios. AD DS clientes y controladores de dominio el uso de servicio (SRV) registros de recursos para determinar las direcciones IP de los equipos que prestan estos servicios. AD DS aplicaciones conscientes de esos lugares, tales como Microsoft Exchange, tambin utilizan los registros SRV de recursos.

Los registros de recursos SRV registros SRV de recursos son los registros DNS en AD DS almacena informacin sobre la ubicacin computadoras para los equipos que prestan estos servicios. registros SRV de recursos un servicio de enlace al nombre del equipo DNS del equipo que ofrece el servicio. Por ejemplo, un registro de recursos SRV puede contener informacin para ayudar a los clientes localizar un controlador de dominio en un dominio especfico o el bosque.
Cuando un controlador de dominio se inicia, registra los registros SRV de recursos y un registro de direccin, que contiene su nombre de equipo DNS y su direccin IP. Un equipo de cliente DNS luego usa esa informacin combinada para localizar el servicio solicitado en el controlador de dominio adecuado. Todos los registros de recursos SRV utilizar un formato estndar, que se compone de campos que contienen informacin que AD DS utiliza para asignar un servicio de apoyo al equipo que presta el servicio. registros SRV de uso de recursos con el siguiente formato: _Service_.Protocol.Name SRV Ttl clase de prioridad Peso puerto de destino La siguiente tabla describe cada campo en un registro de recursos SRV:

Campo
_Servicio _Protocol Nombre Ttl

Descripcin
Especifica el nombre del servicio, (como Lightweight Directory Access Protocol (LDAP), o Kerberos), proporcionada por el servidor que registra este registro de recursos SRV. Especifica el tipo de protocolo de transporte, como TCP, o Protocolo de datagramas de usuario (UDP). Especifica el nombre de dominio que las referencias de registro de recursos. Especifica el perodo de vida (TTL) en segundos, que es un campo estndar en los registros

de recursos DNS que especifica la longitud de tiempo que un registro se considera vlida. Clase Prioridad Peso Especifica el recurso DNS estndar registro valor de la clase, que suele ser. IN. para el sistema de Internet. Esta es la nica clase que Windows Server 2008 DNS admite. Especifica la prioridad del servidor. Clientes intento de contacto con el host que tiene la prioridad ms baja. Denota un mecanismo de equilibrio de carga que los clientes usan la hora de seleccionar un host de destino. Cuando el campo prioritario es el mismo para dos o ms registros en el mismo dominio, los clientes eligen al azar los registros SRV de recursos que tienen mayor peso. Especifica el puerto donde el servidor est escuchando por este servicio. Especifica el nombre de dominio completo (FQDN) (tambin llamado el nombre completo del equipo,) del equipo que presta el servicio.

Puerto Objetivo

Cuando se crea el DNS del dominio raz de un nuevo bosque de Active Directory en un controlador de dominio basado en Windows Server 2008, dos zonas DNS se crean automticamente. Una primera zona que se crea para el dominio raz del bosque, y se replica, por defecto, entre todos los controladores de dominio en ese dominio. La segunda zona se crea para el _msdcs. ForestName subdominio, y se almacena en la particin de directorio DNS de todo el bosque de la aplicacin. La segunda zona (subdominio _msdcs) acoge slo DNS los registros de recursos SRV que son registrados por los servicios basados en Microsoft. El proceso de Netlogon crea dinmicamente estos registros en cada controlador de dominio. Esta particin se replica en todos los controladores de dominio en el bosque que est ejecutando el servicio Servidor DNS de forma predeterminada. Esta replicacin hace que la zona de alta disponibilidad en cualquier lugar del bosque.

Cmo Servicio Localizador de registros de recursos se utilizan

Equipos del dominio de cliente utiliza el interfaz de la aplicacin de localizacin de programacin (API) para localizar un controlador de dominio mediante la consulta DNS. Si los registros de recursos SRV no estn disponibles para identificar los controladores de dominio, los inicios de sesin puede fallar. Todos los equipos, incluyendo estaciones de trabajo, como el sistema operativo Windows XP Professional y Windows Vista El sistema operativo y servidores como Windows Server 2003 y sistemas operativos de Windows Server 2008 sistemas operativos, utilice el mismo proceso para buscar controladores de dominio.

Localizacin de un controlador de dominio Los pasos siguientes se describe cmo un cliente usa DNS para localizar un controlador de dominio:

1. En el cliente, el localizador se inicia como una llamada a procedimiento remoto (RPC) para el servicio local de Netlogon. El servicio Netlogon implementa el Localizador DsGetDcName Llamada a la API. 2. El cliente recopila la informacin necesaria para seleccionar un controlador de dominio, y luego pasa la informacin al servicio Netlogon con el DsGetDcName llamada. 3. El servicio Netlogon en el cliente utiliza la informacin recopilada para buscar un controlador de dominio para el dominio especificado. DsGetDcName llama a la DnsQuery Llamar para leer tanto los registros de recursos SRV, y la "A" los registros de DNS despus de que el nombre de dominio se anexa a la cadena apropiada que especifica los registros de recursos SRV. 4. El servicio Netlogon enva un datagrama UDP a los equipos que registr el nombre. 5. Cada controlador de dominio disponible responde al datagrama para indicar que se est trabajando, y devuelve la informacin a DsGetDcName. 6. El servicio Netlogon devuelve la informacin del controlador de dominio para el cliente y almacena en cach para que las solicitudes posteriores no es necesario repetir el proceso de descubrimiento. El almacenamiento en cach de esta informacin fomenta el uso coherente del mismo controlador de dominio, y una vista coherente de AD DS.

La integracin de registros de mantenimiento y Sitios Localizador de AD DS

A partir de registros SRV de recursos para encontrar el controlador de dominio Durante la bsqueda de un controlador de dominio, el Localizador de intentos de encontrar un controlador de dominio ms cercano en el sitio para el cliente. El controlador de dominio utiliza la informacin almacenada en AD DS para determinar el lugar ms cercano. En la mayora de los casos, el controlador de dominio que primero responde al cliente estar en el mismo sitio que el cliente. Sin embargo, en los casos en que fsicamente un equipo se traslad a un sitio distinto, o el controlador de dominio en el sitio local no est disponible, hay un proceso para encontrar un controlador de dominio.
Durante el arranque de inicio de sesin de red, el servicio Net Logon en cada controlador de dominio se enumeran los objetos de sitio en el contenedor Configuracin. Net Logon utiliza la informacin del sitio para construir una estructura en memoria que asigna direcciones IP a nombres de sitio.

Cmo un cliente busca un controlador de dominio Cuando un cliente busca un controlador de dominio, DNS devolver una lista de todos los controladores de dominio. A pesar de que el registro de cliente almacena la informacin del sitio,

un equipo de cliente podra no ser consciente de que se ha mudado a un nuevo lugar hasta que un controlador de dominio que dice en qu sitio se encuentra.
Los pasos siguientes se describe cmo un cliente busca un controlador de dominio: 1. El cliente comienza consultar los controladores de dominio a su vez, para averiguar qu controlador de dominio est disponible y apropiada. 2. AD DS intercepta la consulta, que contiene la direccin IP del cliente, y lo pasa al inicio de sesin de red en el controlador de dominio. 3. Net Logon mira la direccin de IP del cliente en su tabla de asignaciones de subred a sitio, encontrando la subred objeto que ms se acerque a la direccin IP del cliente y devuelve la siguiente informacin: El nombre del lugar en que se encuentre el cliente, o el sitio que ms se acerque a la direccin IP del cliente. El nombre del lugar en que se encuentre el controlador de dominio de responder. Un poco que indica si el controlador de dominio de responder se encuentra en el sitio ms cercano al cliente.

4. El cliente inspecciona la informacin para determinar si se debe tratar de encontrar un controlador de dominio mejor, y entonces toma la decisin basndose en lo siguiente: Si el controlador de dominio que responde es en el lugar ms cercano, a continuacin, el cliente utiliza este controlador de dominio. Si el cliente ya ha intentado encontrar un controlador de dominio del sitio en el que el controlador de dominio reclama el cliente se encuentra, el cliente utiliza el controlador de dominio de responder. Si el controlador de dominio no est en el lugar ms cercano, el cliente actualiza su informacin del sitio y enva una consulta DNS para encontrar un nuevo controlador de dominio nuevo en el sitio. Si la segunda consulta tiene xito, el nuevo controlador de dominio se utiliza. Si falla la segunda consulta, el original del controlador de dominio se utiliza de responder.

5. Si el cliente contacta con un controlador de dominio y la direccin IP del cliente no se puede encontrar en la tabla de asignaciones de subred a sitio, el controlador de dominio devuelve un NULL nombre del sitio, y el cliente utiliza el controlador de dominio de responder. Nota: Si un cliente se ve obligado a utilizar un controlador de dominio de un sitio diferente, las memorias cach de cliente que la informacin durante 15 minutos.

Leccin 2:

Configuracin de AD DS integrada de las zonas La integracin de AD DS y zonas DNS puede simplificar la administracin DNS mediante la replicacin de la informacin de zona DNS como parte de la replicacin de Active Directory. Tambin proporciona beneficios como actualizaciones dinmicas seguras, y el envejecimiento y la compactacin de registros de recursos obsoletos.

Cules son las zonas AD DS Integrado?

Uno de los beneficios de la integracin de DNS y AD es la capacidad para integrar las zonas DNS en una base de datos de Active Directory. Una zona es una porcin del espacio de nombres de dominio que tiene una agrupacin lgica de los registros de recursos, lo que permite las transferencias de zona de estos registros para operar como una unidad.

El almacenamiento y la replicacin de zonas Una vez instalado Active Directory, usted tiene dos opciones para almacenar y reproducir sus zonas durante el uso del servidor DNS en el nuevo controlador de dominio:
Estndar de almacenamiento de la zona, utilizando un archivo de texto basado en: zonas almacenadas de esta manera se encuentran en los archivos. DNS que se almacenan en el sistema \ System32 \ Dns en cada equipo operativo de un servidor DNS. zona de almacenamiento Directory integrado, utilizando la base de datos de Active Directory: zonas almacenadas de esta manera se encuentran en el rbol de Active Directory en el dominio o la particin de directorio de aplicaciones. Cada zona integrada de directorio se almacena en un objeto contenedor dnsZone que se identifica por el nombre que elija para la zona cuando se crea.

Es muy recomendable utilizar las zonas integradas en directorio principal, que proporcionan los siguientes beneficios:

Beneficio
Directorio de replicacin es ms rpido y ms eficiente que la replicacin DNS estndar Multimaestro actualizacin

Descripcin
Debido a que Active procesamiento de replicacin de directorios se realiza en funcin de cada propiedad, si no se propagan los cambios pertinentes. Esto permite que menos datos para el uso y presentacin en las actualizaciones de directorios almacenados zonas. Active Directory almacena ahora reenviadores condicionales. En este modelo, cualquier servidor DNS con autoridad, como un controlador de dominio con un servidor DNS, se designa como una fuente primaria para la zona. El ejemplar para la zona principal se mantiene en la base de datos de Active Directory, que es replicado completamente en todos los controladores de dominio, servidores DNS para que funcionen a cualquiera de los controladores del dominio puede actualizar la zona.

Con el modelo de actualizacin AD DSmultimaster, cualquiera de los servidores primarios de la zona integrada de directorio puede procesar las solicitudes de los clientes DNS para actualizar la zona, siempre y cuando un controlador de dominio est disponible y accesible en la red. Incremento de la seguridad zonas integradas en Active Directory apoyo actualizaciones dinmicas seguras. Al utilizar las zonas integradas en directorio, puede utilizar las listas de control de acceso (ACL) para asegurar un contenedor de objeto de dnsZone en el rbol de directorios. Esta caracterstica proporciona acceso a cualquiera de granulado de la zona o un registro de recursos especificado en la zona. Este modelo proporciona un mtodo para el envejecimiento y la compactacin registros de recursos en una base de datos DNS. registros de recursos DNS que se almacenan en una base de datos DNS se asignan las marcas de tiempo que indica la ltima vez que se actualizaron los registros. El servidor DNS busca en su base de datos peridicamente para los registros obsoletos, y los elimina de acuerdo a los parmetros a configurar. De forma predeterminada, el envejecimiento y la compactacin caractersticas estn deshabilitadas en todos los servidores DNS y cualquiera de sus zonas.

Apoyo para el expediente de envejecimiento y la compactacin

Nota: Una zona DNS puede ser AD DS-integrado, y al mismo tiempo una transferencia de zona en una relacin primaria \ secundaria con los servidores DNS que no son controladores de dominio. Nota: Slo las zonas principales se pueden almacenar en el directorio. Un servidor DNS no puede almacenar zonas secundarias en el directorio, sino que debe guardarlos en archivos de texto estndar. El Directorio Activo con varios maestros de replicacin del modelo elimina la necesidad de zonas secundarias cuando todas las zonas se almacenan en AD DS.

Qu son las particiones de aplicacin en DS EA?

particiones principales en AD DS Tres grandes particiones contienen la informacin de AD DS:

La particin de esquema, que reproduce la informacin del esquema a todo el bosque. La particin de configuracin, que reproduce informacin sobre la estructura fsica para todo el bosque. La particin de dominio, que replica la informacin de dominio en todos los controladores de dominio en un dominio dado.

Aplicacin particiones Puede crear otras particiones, particiones llama la aplicacin, para almacenar los datos especficos de la aplicacin. Los desarrolladores pueden escribir aplicaciones para hacer uso de estas particiones. particiones de aplicaciones proporcionan dos beneficios principales:
Usted puede controlar el mbito de aplicacin de replicacin de datos, de forma que slo se replica en los controladores de dominio donde los datos son de inters. Por ejemplo, una compaa global puede usar slo una aplicacin personalizada en un dominio especfico o del pas. Una particin de aplicacin que puede almacenar datos de aplicacin. Esa particin de aplicacin slo se replicar a los controladores de dominio que se asignan para mantener rplicas de la particin de aplicacin. Esto ayuda a que los datos de alta disponibilidad con un mnimo de trfico de replicacin. particiones de aplicaciones no se almacenan en el catlogo global. Utilice particiones de directorio de aplicaciones para Active Directory zonas DNS integradas para reducir tanto el trfico de replicacin, y la cantidad de datos que almacena el catlogo global.

Al instalar el servicio DNS, dos particiones de aplicacin, se crear automticamente: A todo el dominio absoluto de DNS particin de aplicacin A todo el bosque DNS particin de aplicacin

zonas DNS pueden almacenarse en el dominio de Active Directory o particiones de aplicaciones DNS. Tambin pueden ser almacenados en una particin de aplicacin personalizada. De forma predeterminada, la informacin de DNS se almacena en la particin de la aplicacin de todo el dominio.

Opciones para la configuracin de las particiones de aplicacin para DNS

Usted puede cambiar el mbito de la replicacin DNS cualquier momento utilizando el DNS de Microsoft Management Console (MMC), o la herramienta de lnea de comandos CMD del DNS. Cuando se utiliza el MMC de DNS, puede replicar a las opciones de replicacin siguientes: Para todos los servidores DNS en este bosque. Para todos los servidores DNS en este dominio. (Esta es la ubicacin de almacenamiento predeterminada.) Para todos los controladores de dominio en este dominio. (Esta es la particin de informacin del dominio.)

Para todos los controladores de dominio que aloja una particin de aplicacin en particular.

Consideraciones para el uso de DNS diferentes particiones: Usar la particin de aplicaciones DNS de todo el bosque cuando hay trfico considerable entre dominios, y desea que los registros de recursos DNS para ser altamente disponible.
Usar la particin de la aplicacin de todo el dominio cuando se tiene una necesidad de la separacin de dominio para fines administrativos. Utilice una particin de aplicacin habitual cuando usted necesita para controlar la replicacin de la informacin DNS para controladores de dominio especfico. Tenga en cuenta que la informacin de DNS almacenadas en la particin de la informacin de dominio se replican en el catlogo global.

particin de aplicacin comandos CMD del DNS Para crear una particin nueva aplicacin de DNS con el comando CMD del DNS, utilice la siguiente sintaxis:
Dnscmd ServerName/CreateDirectoryPartitionFQDN Para almacenar una base de datos DNS en una particin de aplicacin existente, utilice la siguiente sintaxis: Dnscmd ServerName/ EnlistDirectoryPartitionFQDN Nota: De forma predeterminada, slo los miembros del grupo Administradores de organizacin pueden crear una aplicacin de DNS particin de directorio. Nota: La solicitud debe ser particiones creadas con herramientas de lnea de comandos. Hay varias empresas de servicios pblicos diferentes que se pueden utilizar para crear una particin de directorio de aplicaciones. Puede utilizar la herramienta de lnea de comandos NTDSUTIL, ADSIEDIT, o los comandos LDAP.

Cmo actualizaciones dinmicas de trabajo

Las actualizaciones dinmicas permiten a los equipos cliente DNS para registrar y actualizar dinmicamente sus registros de recursos con un servidor DNS cada vez que se produzcan cambios. Esto reduce la necesidad de administrar los registros de zona manualmente, especialmente para los clientes que se mueven frecuentemente o cambian de ubicacin, y que el uso Dynamic Host Configuration Protocol (DHCP) para obtener una direccin IP. De forma predeterminada, los equipos que estn configurados estticamente para TCP / IP e intentar el registro de su host (A) y de punteros (PTR) registros de recursos de forma dinmica por sus direcciones IP. Todos los equipos de registro de expedientes en base a su nombre de dominio completo (FQDN). Por ejemplo, un ordenador con un nombre de dominio completo de Srv1.woodgrovebank.com y una direccin IP esttica de 10.10.0.100 se intenta aadir un nuevo registro de direccin para que el nombre y direccin en la base de datos DNS.

Qu provoca las actualizaciones dinmicas Cualquiera de los siguientes eventos pueden desencadenar actualizaciones dinmicas:
El ordenador est encendido y arrancado. Una direccin IP es aadir, eliminar o modificar en las propiedades TCP / IP. Un cambio de direccin IP de arrendamiento o renueva con el servidor DHCP. Por ejemplo, una actualizacin dinmica se desencadena cuando el ipconfig /renovar comando se utiliza. El ipconfig /registerdns comando se utiliza para forzar una actualizacin manual del registro de nombre de cliente en DNS. Un servidor miembro se promueve a un controlador de dominio.

Cuando uno de los eventos anteriores desencadena una actualizacin dinmica, el servicio Cliente DHCP (no el servicio Cliente DNS) enva las actualizaciones. Esto se ha diseado de modo que si un cambio en la informacin de direccin IP se debe a DHCP, las actualizaciones correspondientes en DNS para sincronizar se realizan nombre a direccin para el equipo. El servicio de cliente DHCP realiza esta funcin en todas las conexiones red que se utiliza en el sistema, incluidas las conexiones no configuradas para utilizar DHCP.

Las actualizaciones dinmicas se pueden enviar o se actualiza Las actualizaciones dinmicas se envan o tambin actualizar en forma peridica. De forma predeterminada, los equipos envan una actualizacin una vez cada siete das. Si los resultados de actualizacin en ningn cambio en los datos de zona, la zona permanece en su versin actual, y sin cambios por escrito son. Actualizaciones resultado en cambios reales o zona de transferencia de zona aument slo si los nombres o cambiar direcciones. Desactivacin de actualizacin dinmica Las actualizaciones dinmicas se puede desactivar en el cliente sobre una base por interfaz de red. En la avanzada de TCP / IP, en la pestaa DNS, puede configurar el cliente para no registrar la direccin en el DNS.
Nota: De forma predeterminada, la configuracin de actualizacin dinmica no est configurado para permitir actualizaciones dinmicas no seguras. Nota: De forma predeterminada, el cliente DNS no intenta actualizacin dinmica de ms de un servicio de acceso remoto (RAS) o red privada virtual (VPN). Para modificar esta configuracin, puede modificar la configuracin avanzada de TCP / IP de la conexin de red particular o modificar el Registro.

Cmo actualizaciones seguras DNS dinmica de trabajo

Asegure las actualizaciones dinmicas de trabajo, como las actualizaciones dinmicas, con la siguiente excepcin: el servidor de nombres con autoridad acepta slo las actualizaciones de los clientes y servidores que se autentican y se une al dominio de Active Directory en el que se encuentra el servidor DNS. Como muestra de diapositivas, el primer cliente intenta una actualizacin no segura. Si ese intento falla, el cliente intenta negociar una actualizacin segura. Si el cliente se ha autenticado a AD DS, la actualizacin tendr xito.

Actualizaciones dinmicas seguras beneficios actualizacin dinmica segura proporciona las siguientes ventajas:
Proteger las zonas y registros de recursos de ser modificado por los usuarios sin autorizacin. Le permite especificar exactamente qu usuarios y grupos pueden modificar las zonas y registros de recursos.

seguridad de actualizacin de DNS est disponible slo para las zonas que se integran en AD DS. zonas integradas en Active Directory tiene lista de control de acceso (ACL) funciones de edicin. Con actualizaciones dinmicas seguras, slo los equipos y usuarios que especifique en un ACL puede crear o modificar objetos de la zona dnsNode. De forma predeterminada, la ACL da permiso Crear para todos los miembros del grupo de usuarios autenticados, que es el grupo de todos los equipos autenticados y usuarios en un bosque de Active Directory. Esto significa que cualquier usuario autenticado o una computadora puede crear un objeto nuevo en la zona. Adems, por defecto, el creador es dueo del objeto nuevo y se le da el control total. Ajustes de seguridad aplicados a los registros de recursos slo afectan a las actualizaciones dinmicas, no derechos administrativos. De forma predeterminada, Windows Server 2008 servidores DNS estn configurados para soportar actualizaciones seguras slo para las zonas integradas en Active Directory.

Cmo Cargando Antecedentes Zona de Obras

organizaciones muy grandes con muy grandes zonas que almacenan sus datos DNS en AD DS veces descubrimos que el reinicio de un servidor DNS puede tardar una hora o ms, mientras que los datos DNS se recupera del servicio de directorio. El resultado es que el servidor DNS est efectivamente disponible para atender las solicitudes de clientes durante todo el tiempo que tarda en cargar las zonas AD DSbased.

Cargando AD DS en Windows Server 2008 Un servidor DNS de Windows Server 2008 datos de la zona carga de Active Directory AD DS en segundo plano mientras se reinicia, para que pueda responder a solicitudes de datos de otras zonas. Cuando el servidor DNS se inicia, es el siguiente:
Enumera todas las zonas que se cargan. Carga sugerencias de raz a partir de archivos o almacenamiento de AD DS. Carga todas las zonas que se almacenan en archivos en lugar de en AD DS. Comienza respondiendo a las consultas y llamadas a procedimiento remoto (RPC). Desova uno o ms hilos para cargar las zonas que AD DS tiendas.

Porque hilos separados desempear las funciones de zonas de carga, el servidor DNS es capaz de responder a las preguntas durante la carga de la zona est en curso. Si un cliente solicita los datos DNS de un host en una zona que ya est cargado, el servidor DNS responde con los datos como se esperaba. Si la solicitud es para un nodo que an no se ha cargado en la memoria, el servidor DNS lee los datos del nodo de AD DS, y luego actualiza lista de registros del nodo en consecuencia. El servidor DNS puede utilizar la zona de carga de fondo para empezar a responder a las preguntas casi de inmediato cuando se reinicia, en lugar de esperar hasta que las zonas se han cargado completamente. Leccin 3:

Configuracin de zonas DNS de slo lectura Puede proporcionar seguridad adicional mediante la configuracin de las zonas DNS de slo lectura, ya que slo un administrador puede cambiar lea las zonas DNS de slo lectura. Mientras que personal no autorizado no ser capaz de alterar los registros del controlador de dominio de

slo lectura (RODC), los clientes todava tienen la funcionalidad completa de la resolucin de nombres de Active Directory.

Qu DNS son de slo lectura las zonas?

Al instalar un Windows Server 2008 RODC, se le pide con opciones de instalacin del servidor DNS. La opcin predeterminada es instalar una forma primaria de slo lectura del servidor DNS de forma local en el RODC, que reproduce la zona existente AD-integrada para el dominio especificado y agrega la direccin IP local como el servidor DNS preferido en el local de TCP / IP ajustes. Esto garantiza que el servidor DNS que se ejecutan en el RODC tiene una copia completa de slo lectura de todas las zonas DNS.

las zonas DNS de slo lectura beneficios Beneficios de DNS de slo lectura zonas incluyen:
informacin necesaria para la resolucin de DNS de Active Directory es el nombre disponible para clientes en el mismo sitio que el RODC. Los cambios no estn permitidos en la zona DNS de slo lectura, lo que aumenta la seguridad.

Cmo funciona el DNS de slo lectura de Obras

Cuando un equipo se convierte en un RODC, replica una copia completa de slo lectura de todas las particiones de directorio de aplicaciones DNS que utiliza, incluyendo la particin de dominio, ForestDNSZones y DomainDNSZones. Esto garantiza que el servidor DNS que se ejecutan en el RODC tiene una copia completa de slo lectura de todas las zonas DNS almacenadas en un controlador de dominio ubicado en las particiones de directorio. El administrador de un RODC puede ver el contenido de una zona primaria de slo lectura. Sin embargo, el administrador puede cambiar el contenido slo cambiando la zona en un servidor DNS con una copia modificable de la base de datos DNS. Si configura los clientes para usar el RODC para DNS, y ellos son clientes de actualizacin dinmica, se les llama a un servidor DNS con una copia base de datos DNS de escritura para realizar la actualizacin.

Mdulo 9 Implementacin de un dominio de Active Directory Services Plan de Mantenimiento Como Windows Server 2008 de administrador, una de sus tareas ser la de mantener la organizacin de Active Directory Servicios de dominio (AD DS) los controladores de dominio. Un componente importante en el mantenimiento de los controladores de dominio es la gestin, la copia de seguridad y restauracin de la AD DS almacn de datos. Leccin 1:

El mantenimiento de la AD DS controladores de dominio

El mantenimiento de la base de datos de AD DS es una importante tarea administrativa que regularmente debe programar para que, en el caso de desastre, usted puede recuperar datos perdidos o corrompidos y reparar la base de datos de AD DS. AD DS tiene su propia base de datos del motor, el motor de almacenamiento extensible (ESE), que gestiona el almacenamiento de todos los objetos de AD DS en una base de datos de AD DS. Al entender cmo los cambios a los atributos de AD DS se escriben en la base de datos, usted entender cmo modificacin de datos afecta al rendimiento de base de datos y la fragmentacin, y la integridad de los datos.

Base de datos de AD DS y los archivos de registro

El motor de base de datos de AD DS, ESE, tiendas de todos los objetos de AD DS. La ESE utiliza transacciones y archivos de registro para garantizar la integridad de la base de datos de AD DS.

Los archivos utilizados por AD DS almacenar datos

AD DS almacn de datos incluye los siguientes archivos:

Expediente
Ntds.dit

Descripcin
El AD DS base de datos almacena todos los objetos de AD DS en el controlador de dominio. La extensin. Dit se refiere al rbol de informacin de directorio. La ubicacin predeterminada es% systemroot% \ NTDS carpeta. El archivo de registro de transacciones tiene el registro de transacciones por defecto el nombre del archivo Edb.log. Cada archivo de registro de transacciones es de 10 megabytes (MB). AD DS registra cada operacin en uno o ms archivos de registro de transacciones que se asocian con el archivo Ntds.dit. Cuando Edb.log est lleno, se cambia el nombre de AD DS a Edb nnnnn. Log, donde nnnnn es un nmero cada vez mayor que empieza en 1. El archivo de controles que el motor de base de datos utiliza para realizar un seguimiento de datos que an no se escribe en el archivo de base de datos de AD DS. El archivo de controles es un puntero que mantiene el estado entre la memoria y el archivo de base de datos en el disco. El archivo indica el punto de partida en el archivo de registro que debe ser la informacin recuperada si se produce un error.

Edb *. log

Edb.chk

ebdres00001.jrs y Los archivos de registro de transacciones reservados. Este espacio reservado se utiliza ebdres00002.jrs para almacenar las transacciones slo si el disco duro tiene espacio suficiente para crear nuevos registros de transacciones. Cuando AD DS intenta crear un registro de transacciones nuevas, y no puede por razones de espacio en disco, que va a escribir todas las transacciones no confirmadas de los archivos de registro reservados, y detener el servicio de controlador de dominio. Cada archivo de registro de transacciones reservados es de 10 MB.

Cmo la base de datos de AD DS es Modificado

Los puntos clave del proceso de datos de AD DS-modificacin son los siguientes: Un transaccin es un conjunto de cambios realizados en la base de datos de AD DS y los metadatos asociados. El proceso de modificacin de datos de base se compone de seis pasos: 1. La solicitud de escribir inicia una transaccin. 2. AD DS escribe la transaccin en el bfer de transacciones en la memoria. 3. AD DS escribe la transaccin en el registro de transacciones. 4. AD DS escribe la operacin desde el bfer de memoria de la base de datos. 5. AD DS se compara la base de datos y archivos de registro para garantizar que la transaccin se ha comprometido a la base de datos. 6. AD DS actualiza el archivo de controles. El almacenamiento en cach y el registro de base de datos mejora el rendimiento al permitir a AD DS para procesar transacciones adicionales antes de escribir a la base de datos.

bases de datos transaccionales

bases de datos transaccionales para proporcionar apoyo atmicas, coherentes, aisladas y durables (ACID) la semntica de las transacciones. En una transaccin, una o un nmero de cambios. O todos o ninguno de los cambios realizados dentro de una transaccin tenga xito. Los archivos de registro guardar los cambios que hace una transaccin, hasta que cambie la operacin tuvo xito se aplican directamente a la base de datos.

Los registros de registro de transacciones todos los pasos en una transaccin antes de que se aplica a la base de datos. Si la base de datos se detiene de repente, puede utilizar el registro de transacciones para aplicar los cambios que de otro modo se perdera.

Gestin de la AD DS base de datos mediante la herramienta NTDSUTIL

Ntdsutil.exe es una herramienta de lnea de comandos que puede utilizar para administrar AD DS. Puede realizar muchas tareas de mantenimiento que no se puede hacer en la interfaz grfica de usuario (GUI), incluyendo la desfragmentacin de bases de datos en lnea, moviendo la base de datos y su registro de transacciones, retirar y restaurar los objetos eliminados de AD DS, la incautacin de maestro de operaciones (tambin conocido como nico flexible de maestro de operaciones o FSMO), y administrar las instantneas de la base de datos. Tambin puede incluir estos comandos en un archivo por lotes.

La siguiente tabla muestra todas las tareas que puede realizar utilizando ntdsutil.exe:

Tarea Activar Instancia

Se utiliza para: Conjunto de servicios de directorio NT (NTDS) o un especfico de Active Directory Lightweight Directory Services (AD LDS) como instancia de la instancia activa. Enfoque en, y el uso, una instantnea de la base de datos en paralelo con otras instancias de Active Directory. De forma autorizada restaurar la base de datos de AD DS. Establecer una edad, copia de seguridad restaurada de AD DS como la ms reciente "autoritaria" de versiones. Esto permite que las copias de seguridad mayores que se replican en otros controladores de dominio. Cambiar el nombre de AD LDS servicio de cuenta y contrasea. Cambiar el nombre de usuario y contrasea que el DS AD utiliza para iniciar sesin. Administrar la configuracin configurables.

Restauracin autoritativa

Cambiar la cuenta en el servidor Ajustes configurables

 Comportamiento DS Archivos Grupo de Evaluacin de miembros IFM

Ayuda en la modificacin del tiempo de vida (TTL) los valores de los datos dinmicos almacenados en AD DS. Ver y modificar el comportamiento de AD LDS. Permitir o negar contraseas a travs de una conexin no segura. Administrar archivos AD LDS. Evaluar los identificadores de seguridad (SID) en seal de un determinado usuario o grupo. Descubra lo que los identificadores de seguridad (Miembros del grupo) que tiene un usuario. Crear Instale rplica de Medios de Comunicacin (IFM) medios de comunicacin. Crear medios de instalacin que contiene slo los archivos crticos para restaurar una copia de seguridad de AD DS en una nueva ubicacin, creando as un nuevo controlador de dominio. Administrar Lightweight Directory Access Protocol (LDAP) polticas. Crear medios de instalacin que contiene slo los archivos crticos para restaurar una copia de seguridad de AD DS en una nueva ubicacin, creando as un nuevo controlador de dominio. Especificar los lmites de funcionamiento para diversas operaciones LDAP, permitiendo a los controladores de dominio para mantener una garanta especfica de nivel de servicio. Configurar puerto LDAP para una instancia de AD LDS. Cambie el puerto LDAP de la predeterminada, lo que permite mltiples instancias de AD LDS se ejecuten simultneamente en el mismo servidor. Lista de todas las instancias de AD LDS en este equipo. Lista de todas las instancias de Servicios de Active Directory Lightweight Directory en el equipo. Administra locales dominio de slo lectura del controlador (RODC) funciones. Administrar el RODC funciones. Limpie los objetos de los servidores fuera de servicio. Eliminar objetos de base de datos que representan los servidores que ya no existen fsicamente. Administrar particiones de directorio. Designar un rea especfica de la base de datos de AD DS para la solicitud de utilizar. Tambin designar los controladores de dominio especfico al que la particin de aplicacin debe ser replicado. Desactivar las ventanas emergentes.

LDAP Polticas

Puerto LDAP LDS casos Local Roles Limpieza de metadatos Gestin de particiones

Pop-ups de

Deshabilitar comandos ntdsutil de pedir confirmacin antes de continuar. Esto es til cuando se ejecuta en ntdsutil un archivo por lotes. Habilitar los pop-ups. Salga de la utilidad. ntdsutil salida o salida a nivel de mando anterior. Administrar NTDS fichas papel titular. Transferencia o apoderarse de los papeles de maestro nico operaciones. Administrar cuentas de seguridad de base de datos - duplicar la limpieza SID. Buscar y eliminar objetos con la misma seguridad de identificacin. til si una funcin de maestro de operaciones fue capturado mientras que el papel de titular originario se encuentra conectado pero no est disponible temporalmente. los directores de Seguridad podra ser creado inadvertidamente con SID duplicados. Compruebe la semntica. Comprobar la integridad de los contenidos de base de datos de AD DS. Establezca el Modo de restauracin de servicio de directorio (DSRM) contrasea de administrador. Restaurar la base de datos de AD DS si usted perdi la contrasea de administrador DSRM. Administrar las instantneas. Crear, lista, montar, desmontar o instantneas (copias) de AD DS o AD LDS. Set Secure Socket Layer (SSL) de puerto para una instancia de AD LDS. D a cada instancia de AD DS y AD LDS un puerto diferente para la gestin de SSL a travs de conexiones seguras.

Pop-ups en Dejar de

Roles Gestin de la Seguridad de la cuenta

Anlisis Semntico de base de datos Establecer contrasea DSRM Instantnea Puerto SSL

Qu es una base de datos de AD DS desfragmentacin?

Con el tiempo, la fragmentacin se produce como registros en la base de datos de AD DS se suprimen y se aaden nuevos registros o ampliadas. Cuando los registros se fragmentan, el equipo debe buscar en el disco para encontrar y volver a montar todas las piezas cada vez que la base de datos se abre. Si muchos cambios en la base de datos de AD DS se hacen, la fragmentacin puede reducir el rendimiento de la misma.

Qu es la desfragmentacin?
La desfragmentacin es el proceso de reescritura de registros en la base de datos de AD DS contiguos (sectores del disco de lado a lado). Esto aumenta el acceso y la velocidad de recuperacin, y ayuda a optimizar el rendimiento de base de datos.

Desfragmentacin en lnea
AD DS de forma automtica realiza una desfragmentacin en lnea cada 12 horas durante el proceso de recoleccin de basura, y cuando una copia de seguridad de AD DS se lleva a cabo. Los registros se reorganiz para ser contiguos, pero el espacio no utilizado de base de datos se deja en su lugar.

Fuera de lnea desfragmentacin

Si se est agotando el espacio en disco, puede recuperar los sectores no utilizados al realizar una desfragmentacin sin conexin con la herramienta de lnea de comandos, ntdsutil.exe. Una copia contiguos se crea en un directorio temporal. Esta copia es luego utilizada para sobrescribir el original fragmentado. Al ejecutar una desfragmentacin sin conexin, puede recuperar espacio en blanco la base de datos y reducir el tamao del archivo de base de datos global de. A continuacin se muestra una lista de ejemplos de cundo es posible que desee realizar una desfragmentacin sin conexin: Est funcionando muy poco espacio en disco y no est preparado para mover la base de datos a una unidad ms grande. El controlador de dominio en un tiempo fue un servidor de catlogo global de un bosque con varios dominios, pero ya no necesita el espacio necesario considerables para ejercer esta funcin. Un gran nmero de objetos han sido removidos de la base de datos de AD DS.

El controlador de dominio una vez alberg a una AD DS integrada Domain Name System (DNS), pero esa zona se ha trasladado a un servidor DNS estndar.

Consideraciones
En primer lugar, debe dejar de AD DS, ya sea por detener el servicio manualmente, o por reiniciar en Modo de restauracin de servicios de directorio. Al detener el servicio manualmente, no slo ahorra tiempo, permite que otros servicios se ejecuten. Para realizar la desfragmentacin, la unidad de base de datos actual debe tener espacio libre equivalente al menos al 15 por ciento del tamao de base de datos actual, para el almacenamiento temporal durante el proceso de reconstruccin del ndice. Adems, la unidad de base de datos de destino debe tener espacio libre equivalente a por lo menos el tamao de la base de datos actual para el almacenamiento del archivo de base de datos compactada.

Cules son reiniciables Servicios dominio de Active Directory?

AD DS en Windows Server 2008 se puede detener y reiniciar mientras la mquina est arrancado. En las versiones anteriores, si un administrador quera empezar un controlador de dominio sin cargar AD DS, el servidor tuvo que ser reiniciado en Modo de restauracin de Active Directory. Esto arranca el servidor como un servidor independiente, sin AD DS. A continuacin, puede realizar tareas en lnea de mantenimiento, como una desfragmentacin sin conexin, o mover la base de datos y archivos de registro. Con Windows Server 2008, el servicio de directorio puede ser tomado fuera de lnea mientras la mquina est en funcionamiento, con una interrupcin mnima a otros servicios.

Los tres estados posibles para un controlador de dominio con Windows Server 2008 son:

Estado

Cmo funciona:

DS anuncio En este estado, AD DS se ha iniciado. Para los clientes y otros servicios que se ejecutan en el servid comenz Windows Server 2008 controlador de dominio que ejecutan en este estado es el mismo que un contr que ejecutan Windows 2000 Server o Windows Server 2003. AD DS Detenido

En este estado, AD DS est detenido. Si bien este mtodo es nico, el servidor tiene algunas caracters controlador de dominio en el modo de restauracin de servicios de directorio, y un dominio-se uni al s

Al igual que con DSRM, la base de datos de AD DS (Ntds.dit) en el controlador de dominio local no e controlador de dominio puede ser contactado para inicio de sesin si uno est disponible. Si no controlador de dominio puede ser contactado, puede utilizar la contrasea DSRM para iniciar sesin en dominio local.

Al igual que con un servidor miembro, el servidor se une al dominio. Esto significa que la directiva valores que se sigue aplicando a la computadora. Sin embargo, un controlador de dominio no debe pe estado por un tiempo prolongado, porque en este estado no puede atender las solicitudes de inicio de con otros controladores de dominio.

Este modo (o Estado) no ha cambiado desde Windows Server 2003. En DSRM, el servicio de AD DS Servicios de modo que puede restaurar la base de datos de AD DS de copia de seguridad. directorio Modo de restauracin de Algunos ejemplos de los procedimientos de mantenimiento que requieren el servicio de directorio que se incluyen en lnea: Restaurar la base de datos de AD DS de copia de seguridad. La base de datos se puede restaurar la copia de seguridad slo en DSRM. Realizar una desfragmentacin sin conexin Traslado de la base de datos de AD DS o archivos de registro

Beneficios Beneficios de la AD DS reiniciables incluyen:

Reduccin del tiempo para las operaciones en lnea. Mejora de la disponibilidad de otros servicios en CC cuando AD DS est detenido. Reduccin general de CC con necesidades de servicios de Server Core.

Consideraciones Parada de la AD DS tambin detener los servicios dependientes siguientes:

Centro de distribucin de claves Kerberos (KDC) Mensajera entre sitios Servicio de replicacin de archivos (FRS) Servidor DNS

Bloquear servicios de un controlador de dominio de AD DS

Como parte de un plan integral de seguridad, puede aumentar la seguridad de un controlador de dominio mediante la eliminacin de todos los servicios innecesarios y caractersticas. Esto reduce tanto la superficie de ataque, y mejora el rendimiento.

Los servicios mnimos necesarios para AD DS Los siguientes son los servicios mnimos que AD DS necesita para funcionar correctamente:
Servicios de Active Directory de dominio Cliente DNS NetLogon TCP / IP NetBIOS Helper De hora de Windows Puesto de trabajo Sistema de archivos distribuido Servidor DNS Servicio de replicacin de archivos Centro de distribucin de claves Kerberos Mensajera entre sitios Llamada a procedimiento remoto (RPC)

Asistente para configuracin de seguridad

La forma ms fcil de cerrar el controlador de dominio es utilizar el Asistente para configuracin de seguridad (SCW), que detecta y muestra todos los servicios que se ejecutan en la actualidad. Cuando elija la funcin deseada (s) para el servidor, el asistente eliminar los servicios y la configuracin que el papel no requiere. Tambin puede deshacer los cambios que se han hecho.

Beneficios del uso de SCW

Los beneficios de usar SCW son: Fcilmente eliminar los servicios innecesarios y de protocolos, sin la necesidad de comprender o de forma manual elegir las dependencias de la funcin deseada (s). Fcilmente deshacer los cambios indeseables de configuracin. Configurar el Firewall de Windows mediante la creacin de una poltica de seguridad.

Consideraciones
Usted debe ser un administrador en el servidor local para usar SCW. Asegrese de probar el resultado de sus opciones a fondo antes de implementar el controlador de dominio en un entorno de produccin. Documentar el estado actual de su controlador de dominio antes de ejecutar el SCW. El bloqueo de los servicios usando el MAP debe ser parte de una ms grande, plan de seguridad ms amplio-. Leccin 2: Realizar copias de seguridad de Active Directorio de Servicios de dominio Debido a la importancia de AD DS para la mayora de las organizaciones, es fundamental que pueda restaurar la funcionalidad de AD DS en el caso de corrupcin de bases de datos, fallos del servidor, o de una catstrofe ms grave, como la falta de un centro de datos que contiene varios servidores. Para prepararse para la recuperacin de desastres, debe implementar una poltica consistente en hacer copias de seguridad de la informacin AD DS en los controladores de dominio.

Introduccin a las copias de seguridad de AD DS

Puede utilizar Windows Server Backup para copias de seguridad de AD DS. Windows Server Backup no est instalado de forma predeterminada. Debe instalar con Agregar caractersticas en el Administrador de servidores para poder utilizar la herramienta de lnea de comandos Wbadmin.exe herramienta Copia de seguridad o en Herramientas administrativas.

Copia de seguridad de datos de estado del sistema

En Windows Server 2008, debe hacer copia de seguridad de los datos del estado del sistema en un controlador de dominio, realizar copias de seguridad de AD DS almacn de datos. Los componentes del sistema que forma los datos del estado del sistema depende de las funciones de servidor instalado en el equipo, y los volmenes que alojan los archivos crticos que el sistema operativo y las funciones instaladas uso. los datos del estado del sistema incluye por lo menos los siguientes datos, ms datos adicionales dependiendo de las funciones de servidor que se instalan: Registro COM + Class Registration database Archivos de arranque, como se describe anteriormente en este tema Active Directory Certificate Server de base de datos AD DS base de datos SYSVOL directorio informacin de servicio de Cluster Server Microsoft Internet Information Services (IIS) metadirectorio Sistema de archivos que se encuentran bajo la proteccin de recursos de Windows

Con la herramienta de copia de seguridad de Windows Server Si utiliza la herramienta Copia de seguridad de administracin de Windows Server, no se puede copia de seguridad o recuperar slo los datos del estado del sistema; debe realizar una copia de

seguridad de volmenes crticos, que incluir los datos del sistema estatal. volmenes crticos incluyen:
El volumen del sistema: Este alberga los ficheros de arranque, que consiste en el archivo Bootmgr y la configuracin de inicio de Datos (BCD) tienda. El volumen de inicio: Este contiene el sistema operativo Windows y el Registro. El volumen que aloja el rbol de SYSVOL. El volumen que aloja la base de datos de AD DS (Ntds.dit). El volumen que aloja los archivos de registro de AD DS base de datos.

Utilizar el comando Wbadmin herramienta Si utiliza la herramienta de lnea de comandos Wbadmin, puede copia de seguridad y restaurar slo los datos del estado del sistema en un controlador de dominio. Para copias de seguridad slo los datos del estado del sistema, ejecute el siguiente comando: Wbadmin Systemstatebackup Inicio -backuptarget:E: Cuando -backuptarget: E: es la letra de unidad para almacenar los archivos de copia de seguridad.

Caractersticas de Windows Backup Server

Windows Server Backup es la nueva utilidad de copia de seguridad de Windows Server 2008 proporciona. Para utilizar Windows Server Backup, deber instalarlo como una caracterstica. Si desea utilizar las herramientas de copia de seguridad de Windows Server de lnea de comandos, tambin debe instalar la caracterstica de Windows PowerShell.

Caractersticas Copia de seguridad de Windows Server proporciona las siguientes caractersticas:

copias de seguridad ms rpido: Copia de seguridad usa Volume Shadow Copy Service (VSS) y el bloqueo a nivel de la tecnologa de copia de seguridad para respaldar y recuperar el sistema operativo, archivos y carpetas, y volmenes. Despus de la primera copia de seguridad completa se crea, puede configurar el respaldo para ejecutarse automticamente copias de seguridad incrementales, guardando slo los datos que ha cambiado desde la ltima copia de seguridad. Incluso si usted decide realizar copias de seguridad completa cada vez, su copia de seguridad tardar menos tiempo del que se haca en versiones anteriores de Windows. restauracin simplificado: Puede restaurar elementos eligiendo una copia de seguridad, y luego seleccionar temas concretos para restaurar desde esa copia de seguridad. Puede recuperar archivos especficos de una carpeta, o todos los contenidos de la carpeta. la recuperacin simplificada de su sistema operativo: las obras de copia de seguridad con las nuevas herramientas de recuperacin de Windows para que sea ms fcil para usted para recuperar su sistema operativo. Puede recuperarse al mismo servidor, o si el hardware falla, podr recuperar la capacidad de un servidor independiente que no tiene ningn sistema operativo. Administracin remota: Copia de seguridad utiliza un complemento de Microsoft Management Console (MMC)-para darle una experiencia familiar y consistente para la gestin de copias de seguridad. Puede utilizar el complemento de MMC para administrar copias de seguridad en otros servidores haciendo clic en el Accin men y, a continuacin, haciendo clic Conectar a otro equipo. Gestin automtica de disco de uso: Despus de configurar un disco para una copia de seguridad programada, de copia de seguridad se encargar de la utilizacin del disco de forma automtica. Por lo tanto, no deben preocuparse ms por la falta de espacio en disco despus de copias de seguridad repetido. Copia de seguridad automtica reutilizar el espacio al crear copias de seguridad antiguas nuevas copias de seguridad. La herramienta de gestin muestra las copias de seguridad que estn disponibles, y la informacin en disco de uso. Esto puede ayudarle a planear para el aprovisionamiento de almacenamiento adicional para satisfacer sus objetivos de tiempo de recuperacin. Amplio soporte de lnea de comandos: viene de copia de seguridad con un amplio apoyo de lnea de comandos y la documentacin, que le permiten realizar la mayora de las mismas tareas que puede realizar mediante el complemento de copia de seguridad. Tambin puede utilizar secuencias de comandos para automatizar las actividades de copia de seguridad.

tipos de copia de seguridad

Windows Server 2008 admite los siguientes tipos de copia de seguridad:

tipo de copia de seguridad

Descripcin

Manual de copia de seguridad

Usted puede iniciar una copia de seguridad manual mediante el uso de Windows Server de copia de seguridad o la herramienta de lnea de comandos Wbadmin.exe en cualquier momento. Si el volumen de destino no est incluido en el conjunto de copia, usted puede hacer copias de seguridad manuales en un recurso compartido de red remota, o en un volumen en un disco duro local. Puede utilizar la copia de seguridad de Windows Server o la herramienta Wbadmin.exe lnea de comandos para programar copias de seguridad. Las copias de seguridad programadas se realizarn en una unidad local, fsica, que no aloja ningn volumen crtico. Debido a copias de seguridad programadas a formatear la unidad de destino que aloja los archivos de copia de seguridad, debe utilizar un volumen de copia de seguridad dedicado.

copia de seguridad programada

Windows Server Backup es compatible con los siguientes medios de copia de seguridad: Disco Recursos compartidos de archivos DVD o CD Las unidades USB

Copia de seguridad de Windows Server no es compatible con los cartuchos de cinta magntica, un volumen dinmico como un objetivo de copia de seguridad, o las unidades flash USB. Leccin 3:

Restauracin de Servicios de dominio de Active Directorio Despus de implementar un sistema de copia de seguridad de AD DS, puede mover a la planificacin y ejecucin de AD DS restaurar. En Windows Server 2008, tiene varias opciones disponibles para restaurar la informacin de AD DS. Esta leccin describe cundo y cmo utilizar cada opcin. Listado de Restauracin de AD DS En Windows Server 2008, tiene varias opciones disponibles para la restauracin de AD DS. La opcin que usted elija depende de la situacin de recuperacin de desastres que es preciso abordar.
Windows Server 2008 permite las siguientes opciones para la restauracin de DS AD: Restaurar opcin Descripcin

Normal restauracin

Una normal (no autoritarias) restablecer el servicio de directorio devuelve a su estado en el momento en que la copia de seguridad se ha creado. Los datos luego se actualiza a travs del proceso de replicacin normal. Realizar una restauracin normal slo cuando se desea restaurar un nico controlador de dominio a un estado previamente conocido bien. Una restauracin autoritaria proporciona un mtodo para recuperar los objetos y contenedores que han sido eliminados de AD DS. Para realizar una restauracin autoritaria, de llevar a cabo una restauracin normal, y luego marcar los datos especficos que los actuales para prevenir la replicacin de sobrescribir los datos. Los datos de autoridad a continuacin, se replica en todo el dominio. Realizar restauracin autoritaria para restaurar los objetos individuales en un dominio que tiene varios controladores de dominio. Al realizar una restauracin autoritaria, se pierden todos los cambios en el objeto restaurado que ocurri despus de la copia de seguridad.

Restauracin autoritativa

Completa restauracin del servidor

Utilizar un servidor completo de restauracin para restaurar un controlador de dominio no. La restauracin total servidor realiza una restauracin metal desnudo del sistema y los volmenes de datos a un punto en el tiempo antes de que se produjo el error. Una recuperacin completa del servidor recupera todos los volmenes del servidor. Al hacer una restauracin completa del servidor, reformatea copia de seguridad y reparticiones todos los discos que estn conectados al servidor. Utilice este escenario, si desea recuperar un controlador de dominio en un nuevo hardware, o si todos los dems intentos de recuperar el servidor en el hardware existente han fracasado. Usar la Ubicacin alternativa de restauracin para instalar los nuevos controladores de dominio. Para obtener ms informacin acerca de Ubicacin alternativa de restauracin, vea Curso 6425A: Configuracin de Windows Server 2008 Servicios de

Variante Ubicacin restauracin

dominio de Active Directory, Mdulo 1: Instalacin de Active Directory Servicios de dominio.

Qu es un DS de AD no autoritarias de restauracin?

Puede utilizar una copia de seguridad para realizar una restauracin no autoritativa de un controlador de dominio. Una restauracin no autoritativa devuelve el servicio de directorio a su estado en el momento de la copia de seguridad se ha creado. Despus de la operacin de restauracin completa, AD DS actualizaciones de replicacin del controlador de dominio con los cambios que han ocurrido desde el momento en que la copia de seguridad se ha creado. De esta manera, el controlador de dominio se recupera a un estado actual.

Realizacin de restauracin no autoritativa de AD DS Para realizar una restauracin no autoritativa de AD DS, usted necesita tener una copia de seguridad crticos volumen disponible. Una copia de seguridad crticos volumen incluye todos los volmenes que contienen informacin relacionada con AD DS. Puede utilizar una copia de seguridad completa del servidor de restauracin no autoritativa si usted no tiene una copia de seguridad crticos volumen.
Nota: Una copia de seguridad completa del servidor en general es ms grande que una copia de seguridad crticos volumen. Restaurar una copia de seguridad completa del servidor, no slo se deshace de datos en AD DS para el momento de la copia de seguridad, pero tambin se deshace todos los datos en otros volmenes. Revertir esta informacin adicional no es necesario para alcanzar restauracin no autoritativa de AD DS.

Realizacin de una restauracin no autoritativa Para realizar una restauracin no autoritativa, debe iniciar el controlador de dominio en DSRM. Cuando el controlador de dominio se inicia en DSRM, debe proporcionar la contrasea DSRM. Al reiniciar el controlador de dominio Para reiniciar el controlador de dominio en modo de recuperacin de desastres, puede realizar una de las siguientes opciones:

Prensa F8, Despus de la opcin de men de inicio, y luego seleccione la opcin de DSRM. Abra un smbolo del sistema, escriba el comando siguiente y, a continuacin, presione ENTRAR: bcdedit / set DSREPAIR SafeBoot

Si utiliza el comando Bcdedit.exe herramienta de lnea para que el servidor reinicie en DSRM, debe utilizar Bcdedit.exe que reiniciar el servidor normalmente despus de completar la operacin de recuperacin. Para hacer esto despus de completar la AD DS restaurar, escriba el comando siguiente y presione ENTRAR: bcdedit / valor eliminar DSREPAIR SafeBoot Despus de arrancar el equipo en DSRM, utiliza el MMC de Windows Server de copia de seguridad o una herramienta de lnea de comandos para restaurar la informacin de AD DS. Despus de restaurar los datos, reinicie el controlador de dominio. Despus de reiniciar el controlador de dominio, los datos de AD DS en el controlador de dominio ser actualizada a travs de la replicacin con otros controladores de dominio.

Qu es una restauracin autoritativa de AD DS?

Una restauracin autoritaria proporciona un mtodo para recuperar los objetos y contenedores que han sido eliminados de AD DS. Cuando un objeto se marca para la restauracin autoritaria, su nmero de versin se cambia para que sea ms alto que el nmero de la versin existente del objeto (borrado) en el sistema de replicacin de AD DS. Este cambio se asegura que cualquier dato que restaure autoritariamente se replica desde el controlador de dominio restaurado a los controladores de los bosques de dominio.

Proceso para realizar una restauracin autoritaria Para realizar una restauracin autoritativa de AD DS objetos, primero debe realizar una restauracin no autoritativa. Sin embargo, no debe reiniciar el controlador de dominio normalmente despus de la restauracin no autoritativa procedimiento. En su lugar, despus de realizar la restauracin, debe marcar los objetos eliminados que usted necesita para restaurar como autoridad antes de reiniciar el servidor.
Para marcar un objeto individual o subrbol como autoridad:

1. En el Modo de restauracin de servicios de directorio, haga clic en Empezar, Haga clic en Ejecutar, Escriba ntdsutilY, a continuacin, presione ENTRAR. 2. En el ntdsutil:, escriba restauracin autoritativaY, a continuacin, presione ENTRAR. 3. Para restaurar un objeto individual o subrbol, escriba uno de los siguientes comandos, segn proceda, a continuacin, presione ENTRAR: Para restaurar un subrbol (por ejemplo, una unidad de organizacin y todos los objetos secundarios): restaurar distinguishedName subrbol Para restaurar un nico objeto: restauracin de objetos distinguishedName Nota: Algunos objetos, como los usuarios y grupos de seguridad, tienen vnculos hacia delante y atrs. Estos objetos requieren que usted o bien realizar una restauracin autoritativa dos veces, o que restaure el usuario elimina o cuentas de grupo, y luego utilizar Ldifde.exe para restaurar miembros de grupos de seguridad.

Cul es la base de datos de herramientas de montaje?

La base de datos de herramientas de montaje ( Dsamain.exe) Permite a los administradores ver y comparar los datos en las instantneas de bases de datos (copias de seguridad) sin tener que restaurar las copias de seguridad. Esto ahorra el tiempo de inactividad y acelerar el proceso de dominio de recuperacin.

Cmo funciona Dsamain.exe Dsamain.exe acta como un servidor LDAP, exponiendo los datos de una instantnea de AD DS que el Volume Shadow Copy Service crea. Se puede usar para comparar varias instantneas de forma simultnea en el mismo equipo. Esto es particularmente til cuando se desea recuperar objetos eliminados.
Nota: Dsamain.exe no se puede utilizar para restaurar los datos. Slo se puede utilizar para ver los atributos de un objeto que han sido eliminados de AD DS, pero estn

disponibles en una instantnea anterior de la tienda de AD DS de datos. A continuacin, debe utilizar una herramienta como Ldp.exe para restaurar los valores de los atributos.

Consideraciones Considere lo siguiente cuando utilice Dsamain.exe:

Dsamain.exe no contiene en s mismo un espectador, lo que deber usar una herramienta de LDAP, como Ldp.exe, para ver los objetos mientras se est ejecutando dsamain.exe. Si al mismo tiempo montar varias instantneas en un servidor, cada instantnea debe utilizar otro LDAP, LDAP con SSL, catlogo global, y el puerto de catlogo global-SSL. De forma predeterminada, slo los miembros del grupo Administradores de dominio y Administradores de organizacin tienen permiso para ver las instantneas, ya que contienen datos sensibles de AD DS. Programar una tarea para crear instantneas peridicas de la base de datos de AD DS. Esto le permite llevar un registro detallado de los datos de AD DS, ya que cambia con el tiempo, sin dedicar tanto tiempo y espacio de almacenamiento en Windows Server Backup necesita para copias de seguridad crticos volumen. Salvaguardar la AD DS instantneas del acceso no autorizado, as como a proteger las copias de seguridad de AD DS. Un usuario malintencionado que tenga acceso a las instantneas pueden utilizar para revelar datos confidenciales que AD DS pueden almacenar.

Mdulo 10 Solucin de problemas de AD DS, DNS y Problemas de replicacin Como Windows Server 2008 administrador del sistema operativo, es probable que sean llamados a solucionar problemas relacionados con Active Directory Servicios de dominio (AD DS). Cuando AD DS est bien diseado e implementado, proporciona un directorio muy estable infraestructura de servicios. Sin embargo, incluso en los ambientes ms estables, de vez en cuando se necesita solucionar problemas de AD DS cuestiones relacionadas con la autenticacin, autorizacin, la replicacin, o el Domain Name System (DNS) de configuracin. Leccin 1: Solucin de problemas de Active servicios de dominio de Directorio Siempre que los usuarios no pueden autenticarse en la red o no puede obtener acceso a recursos de red, debe determinar si la causa del problema es una cuestin de AD DS. El problema puede ser la conectividad de red, un error de la red de servicios, o un problema de AD DS. En esta leccin aprenderemos cmo identificar y solucionar problemas de AD DS.

Introduccin a la solucin de problemas de AD DS

AD DS es un sistema distribuido consta de diferentes servicios que depende para funcionar correctamente. Cuando la solucin de problemas de AD DS, es necesario identificar la fuente del problema, y luego resolver el problema especfico. En la mayora de los casos, la solucin de problemas de AD DS se inicia cuando se detecta uno de los siguientes: Un evento de reconocimiento en un registro de eventos. Una alerta generada por un sistema de supervisin, tales como Microsoft System Center Operations Manager 2007. Un problema reportado por un usuario, o por cuenta de personal de TI.

La necesidad de un control Para evitar los graves problemas de AD DS que podra interrumpir una actividad en curso, se debe supervisar de forma proactiva AD DS. Asegrese de que el personal de TI tienen los derechos y permisos, as como las herramientas que necesitarn para solucionar problemas de AD DS. Como una mejor prctica, el uso de un sistema global de seguimiento para su entorno, como System Center Operations Manager y el Active Directory Management Pack (ADMP). Discusin: Cmo solucionar problemas de AD DS

Errores comunes de acceso de usuario

Hay muchas posibles razones por las que un usuario no puede acceder a recursos de red. Estas razones se pueden dividir en tres categoras bsicas: Red de errores en el acceso Autenticacin de los errores Autorizacin de los errores

Red de errores en el acceso Un enfoque tpico para solucionar los errores de acceso a la red incluye:
1. Verificacin de la conexin fsica. Para verificar la conectividad fsica, trate de hacer ping al equipo por problemas de protocolo de Internet (IP), o desde el ordenador, pruebe hacer ping a otros equipos por direccin IP. 2. Verificacin de la resolucin de nombres. Compruebe que el equipo puede resolver los nombres DNS para servidores en la red haciendo ping a los equipos con su nombre de dominio completo, o utilizando nslookup para comprobar que los registros DNS son correctos. 3. Verificar que los firewalls basados en el cliente no estn afectando la conectividad de red.

Autenticacin de los errores Los usuarios a menudo se producen errores de autenticacin por escribir mal el nombre de usuario y / o contrasea, por casualidad con el Bloq Mays en, o volver a intentar una contrasea suficientes veces como para bloquear su cuenta. Algunos usuarios tambin pueden ser confundidas acerca de la diferencia entre un local y un inicio de sesin de dominio. Si los usuarios estn usando el nombre de usuario y la contrasea correctos, compruebe que el servicio (SRV) registros de recursos para todos los controladores de dominio existentes en el DNS. Autorizacin de los errores Todos los objetos de una red de Windows Server 2008 estn protegidos mediante listas de control de acceso (ACL). Si un usuario puede autenticarse en la red, pero no puede obtener acceso a un recurso especfico, comprobar que el usuario tiene permisos en la ACL adecuada. Dado que los usuarios pueden tener acceso tanto a travs de asignacin directa ya travs de grupos, asegrese de miembros en ningn grupo o negar entradas interferir con autorizacin.

La siguiente es una tabla de cuestiones comunes de acceso de usuario y las herramientas y los mtodos para solucionar problemas:

Problema aspectos fsicos de la red

Solucin de problemas de Directrices

Uso Ipconfig para verificar la direccin IP del usuario, la mscara de subred, puerta de enlace y servidores de nombres. Compruebe que el cliente puede hacer ping al servidor por su direccin IP. Compruebe que el cliente puede hacer ping al servidor por su nombre. Utilice el Administrador de DNS o nslookup para comprobar que el servidor DNS es correcta la resolucin de nombres. Compruebe que el servidor DNS ha corregir los registros de recursos SRV para todos los controladores de dominio. Compruebe que ningn mtodo de resolucin de nombres indebida, como un archivo de host incorrecto, se est utilizando. Uso Ipconfig en el cliente para vaciar la cach correcta. Uso NetDiag para verificar que el cliente puede comunicarse con su controlador de dominio. El uso de Active Directory Usuarios y equipos, o Administracin de equipos para verificar que el nombre de usuario / contrasea es correcta. Compruebe que el dominio correcto o nombre del equipo local se ha elegido. Verificar el token certificado de tarjeta inteligente o configuracin. Utilice Usuarios y equipos de AD para verificar que la cuenta de usuario no est bloqueada, o no dispone de tiempo y restricciones ubicacin. Uso gpresult o AD Conjunto resultante de directivas (RSoP) para comprobar que el cliente est utilizando la vez que el protocolo de autenticacin correcta. Utilice el NET TIME comando para verificar la sincronizacin de tiempo entre el cliente y el controlador de dominio. Uso Repadmin para verificar que los cambios de cuenta de usuario se han replicado en el controlador de dominio de procesar la solicitud de inicio de sesin.

cuestiones de resolucin de nombres

Nombre de cuestiones

servidor no disponible o servicio

Utilice el Panel de control Servicios Applet o el Visor de sucesos para comprobar que el servicio se est ejecutando y no se ha estancado. Compruebe que los otros pueden conectarse al mismo servicio. Compruebe los permisos en el recurso del ligamento cruzado anterior, incluyendo el TDA permisos DS. Compruebe Miembros del grupo de usuarios. Verificar la correcta configuracin de cuenta de usuario, cliente, servidor, servicios y dispositivos de red. Compruebe que no hay ningn cliente / servidor / servidor de seguridad dispositivo intermedio bloqueando la conexin. Uso gpresult.exeO AD RSoP para identificar la directiva de grupo y los problemas de inicio de sesin guin. Uso gpupdtate.exe para actualizar la poltica en el cliente sin necesidad de reiniciar.

Recursos de control de acceso lista de restricciones

Configuracin de las cuestiones

Directiva de grupo

Solucin de problemas Problemas del controlador de dominio de rendimiento

Como un servicio distribuido, AD DS depende de los servicios interdependientes muchos que se distribuyen a travs de muchos dispositivos y muchos lugares remotos. A medida que aumenta el tamao de su red para tener ventaja de AD DS escalabilidad, el rendimiento del controlador de dominio podra convertirse en un problema.

Problemas de rendimiento Los problemas de rendimiento primario en los controladores de dominio son la CPU y el uso de la red. En las organizaciones pequeas, los controladores de dominio se han configurado con las funciones de servidor adicionales, tales como la funcin de servidor de archivos. Incluso en las grandes organizaciones que utilizan dedicada controladores de dominio, los servidores todava debe realizar mltiples funciones, incluidas la autenticacin, autorizacin, los servicios DNS, y el clculo de la topologa de replicacin. Muchas de estas tareas son el procesador y intensivo de la red, en lugar de disco o memoria intensiva. Solucin de problemas de rendimiento del controlador de dominio
Para solucionar problemas de rendimiento del controlador de dominio, siga estos pasos:

Paso

Descripcin

Proactivamente crear una lnea La base de referencia el rendimiento puede ser muy til de base de rendimiento en todos cuando la solucin de problemas de rendimiento del controlador de dominio, ya que la lnea de base proporciona los controladores de dominio. informacin sobre el funcionamiento normal del servidor. Al comparar el rendimiento actual contra la lnea de base, a menudo se puede identificar el problema. Identificar los procesos con una Si la CPU del servidor es muy utilizado, trate de identificar alta utilizacin de CPU. qu procesos son el uso excesivo de la CPU. En algunos casos, los antivirus o software de copia de seguridad puede ser la causa del problema. Si es posible, considere la programacin de procesos que no son especficas de AD DS, a las horas de menor demanda. Monitor de recursos del servidor Aunque la memoria y el disco E / S rara vez ser el principal de otros como la memoria y cuello de botella en el servidor de controlador de dominio disco de entrada / salida (I / O). entregados, estos recursos del servidor puede ser sobreutilizada por otras aplicaciones en el servidor. Monitor de red especfica de la aplicacin del trfico. Si la utilizacin de la red es el cuello de botella del servidor, a continuacin, controlar la conexin de red. Las conexiones de red en los controladores de dominio que tambin actan como servidores DNS o realizar otras funciones de servidor puede ser utilizado tan fuertemente en el desempeo de los otros papeles, que AD DS rendimiento puede verse afectado. Si el controlador de dominio est llevando a cabo varias funciones o ejecutar otras aplicaciones, considere la posibilidad de mover el papel o aplicaciones a otro servidor en la red.

Mueva las aplicaciones o servicios a otro servidor.

Distribuir AD DS y funciones entre varios servidores DNS.

Mientras que las zonas DNS de AD DS-integradas proporcionan varios beneficios, que ejecuten tanto los servicios de AD DS y servicios de DNS en un nico equipo puede causar problemas de rendimiento. Al distribuir la carga de estos servicios, usted puede ser capaz de minimizar el impacto en el rendimiento del servidor. Por ejemplo, puede configurar Dynamic Host Configuration Protocol (DHCP) para asignar a dos servidores DNS diferente que el servidor DNS principal por dos tipos de clientes en la oficina. Tambin puede configurar un controlador de dominio como el maestro de operaciones para todas las funciones AD DS, y luego configurar otro controlador de dominio como el servidor DNS principal para todos los equipos cliente.

Revisar y modificar la topologa En las grandes organizaciones con miles de sitios, el clculo de replicacin. de la topologa de replicacin puede consumir los recursos del procesador en el controlador de dominio que est teniendo el efecto de Inter-Site Generador de topologa. Considere la posibilidad de disminuir el nmero de sitios en la organizacin, dedicando servidores cabeza de puente, o siguiendo las recomendaciones de otros en el Windows Server 2003 Active Directory Sucursal Gua de planeamiento e implementacin. Implemente los controladores de Si el tamao de base de datos de AD DS es superior a 2 dominio con el hardware de 64 gigabytes (GB), ordenadores con 64 bits de hardware bits. proporcionan importantes mejoras de rendimiento en los controladores de dominio con 32-bits de hardware.

Leccin 2: Solucin de problemas de DNS Integracin con Active Directory Domain Services

AD DS no puede funcionar sin DNS. Los clientes y servidores de aplicaciones como Microsoft Exchange Server utiliza DNS para buscar controladores de dominio y los servicios. Los controladores de dominio y servidores de catlogo global utilizan DNS para buscar entre s, y luego repetir el uno al otro. Debido a esta estrecha integracin de AD DS y DNS, que a menudo comienzan su anuncio de solucin de problemas DS, por la solucin de problemas de DNS.

Listado de DNS y AD DS Solucin de problemas

Una de las razones ms comunes para los problemas del rendimiento del anuncio DS es un problema con la infraestructura DNS. En particular, debe comenzar la solucin de problemas de DNS cuando vea los siguientes temas en su entorno de AD DS:

Cuestin Los usuarios no pueden iniciar sesin en AD DS

Descripcin Si est seguro de que los controladores de dominio en su entorno son funcionales, pero los usuarios no pueden iniciar sesin, el problema puede ser un error de configuracin de DNS. Si los registros SRV correcta de los recursos no estn en absoluto de DNS, los clientes no sern capaces de localizar un controlador de dominio funcional. Si la replicacin de AD DS est fallando, pero todas las conexiones de red entre localizaciones de la compaa estn disponibles, consulte la informacin de DNS. Los controladores de dominio debe resolver el controlador de dominio de destino la direccin IP como el primer paso en el repliegue de los datos AD DS.

Replicacin de AD DS est incurriendo en omisiones

AD DS instalacin falla La razn ms comn de errores al ejecutar el Active Directory Domain Services Asistente para la instalacin, es que el nuevo controlador de dominio no puede encontrar un controlador de dominio existentes en el dominio. El asistente de instalacin utiliza la configuracin del cliente DNS para intentar localizar el servidor DNS autorizado para el dominio.
AD DS funcionalidad depende de la configuracin adecuada de la infraestructura DNS. Esto incluye lo siguiente:

Infraestructura DNS Descripcin

Configuracin del cliente DNS

configuracin de DNS de clientes incluye controladores de dominio, los miembros del dominio, y otros equipos. Para los controladores de dominio a registrar sus registros de recursos en DNS, el equipo controlador de dominio debe estar configurado con la direccin IP de un servidor DNS que es autoritativo para la zona DNS y que admite actualizaciones dinmicas. Para los equipos cliente para localizar los registros DNS, que debe estar configurado con la direccin IP del servidor DNS correcto. El servicio de cliente DHCP es necesaria para registrar los registros de host en DNS. Los controladores de dominio deben registrar sus registros de recursos SRV en DNS. Si el registro falla, los dems equipos no ser capaz de localizar los controladores de dominio.

Servicio al cliente DHCP Registro de nombres DNS

DNS de replicacin de Si AD DS est trabajando correctamente para los usuarios que utilizan zona un DNS, pero no funciona para los usuarios que utilizan otro servidor DNS, entonces el problema es casi seguro que la replicacin de zona DNS o las transferencias de zona. Todos los servidores DNS deben tener la misma informacin para las zonas DNS.

Solucin de problemas de resolucin de nombres DNS

Para comprobar que los clientes pueden resolver los nombres y los registros, haga lo siguiente: Compruebe la conectividad de red en todos los equipos. Uso Ipconfig para asegurarse de que todos los equipos, incluidos los clientes, los servidores miembro, controladores de dominio y servidores DNS, se utiliza un servidor DNS que es autoritativo para el dominio de AD DS. A veces las computadoras son manualmente configurados

correctamente y utilizar el servidor DNS incorrecta, como una cach de Internet del servidor o un servidor DNS del ISP. Uso NetDiag para probar la conectividad de DNS. Asegrese de que el servidor DNS funciona correctamente. Puede realizar las simple auto-test en las propiedades del servidor DNS para comprobar que la base de datos est respondiendo. Borrar la cach del servidor DNS, as, para asegurar que el cach no est contaminada, y que tiene la ltima informacin de la zona. Uso ipconfig / flushdns borrar la memoria cach del cliente de resolucin de DNS. Si la zona parece estar daado, restaurar copia de seguridad. Si es necesario, desactive cualquier registro dinmico de la zona de DNS, y reconstruir la base de datos. Compruebe el registro del servidor DNS en el Visor de sucesos para errores. Utilice DNSLint o NSlookup para ver qu resultados devuelve el servidor DNS. Los registros DNS se requieren los siguientes para la correcta funcionalidad de AD DS.

Servicio PDC GC

Tipo SRV SRV

DNS de registros _ldap._tcp.pdc._msdcs. <NombreDeDominioDNS> _ldap._tcp.gc._msdcs. <NombreDeBosqueDNS>

Requerimientos Uno por dominio Por lo menos uno por cada servidor de catlogo global Por lo menos uno por cada servidor de catlogo global Uno por controlador de dominio Al menos un controlador de dominio para Al menos un controlador de dominio para Uno por controlador de dominio (controladores de dominio que tienen

GcIpAddress Un

_gc._msdcs. <NombreDeBosqueDNS>

DsaCname

CNAME

<DsaGuide>. _msdcs. <NombreDeBosqueDNS>

KDC

SRV

_kerberos._tcp.dc._msdcs. <NombreDeDominioDNS>

DC

SRV

_ldap._tcp.dc._msdcs. <NombreDeDominioDNS>

DC

Un

<DomainControllerFQDN>

mltiples direcciones IP puede tener ms de un registro de recursos.) Solucin de problemas de registro de DNS Nombre

Todos los servidores deben tener al menos una A (host), y, posiblemente, PTR (bsqueda inversa) los registros de DNS. Adems, todos los controladores de dominio debe tener sus registros de recursos SRV en DNS actualizada. Las siguientes listas qu servicio es el responsable de la actualizacin dinmica de DNS: Un registros se actualizan a travs del servicio de la computadora del cliente DNS. PTR registros estn configurados manualmente. SRV registros se actualizan por el servicio del controlador de dominio Netlogon.

Solucin de problemas de procedimiento

1. Compruebe que todos los equipos est usando el servidor DNS preferido en propiedades de TCP / IP. Este servidor debe alojar una copia modificable de la zona DNS. 2. Uso NSlookup o el complemento Administrador de DNS para comprobar que el servidor DNS es funcional y responder a solicitudes de clientes. 3. Verifique que A y registros de recursos SRV para todos los controladores de dominio existentes en todas las copias de la zona DNS. Si falta alguno, la replicacin de la fuerza entre los servidores DNS. 4. Asegrese de que la zona DNS permite actualizaciones dinmicas. Si es necesario, de manera temporal permitir a ambas seguros y no seguros actualizaciones dinmicas. 5. Para comprobar que un controlador de dominio puede registrar con xito sus registros A en DNS, en el smbolo del sistema, escriba dcdiag /test:registerindns /dnsdomain:<de dominio FQDN> / V

6. Para registrar los registros SRV, reinicie el servicio Netlogon del controlador de dominio.

Leccin 3: Troubleshooting AD DS Replication AD DS utiliza una topologa de varios maestros de replicacin que depende de todos los controladores de dominio de la red est disponible. La rplica es importante asegurarse de que todos los usuarios experimentan una respuesta coherente de los controladores de dominio, independientemente de qu controlador de dominio que el usuario est conectado.
En esta leccin, obtendr informacin sobre cmo solucionar problemas de replicacin de AD DS.

AD DS requisitos de replicacin

Los siguientes requisitos deben cumplirse para la replicacin de AD DS que se produzca con xito:

Requisito Infraestructura IP enrutable

Descripcin Para la replicacin para que funcione correctamente en entornos distribuidos, debe tener conectividad de red. Lo ideal sera que todos los controladores de dominio podra ser conectada por alta velocidad y LAN redundantes o enlaces WAN, esto es raramente el caso. Siempre asegrese de que su topologa de la red est documentado y probado para asegurar que se encuentre conectada. Hay muchas herramientas que puede utilizar para verificar la conectividad, tales como ping y tracert. Todos los controladores de dominio debe ser capaz de resolver los nombres DNS para sus asociados de replicacin directos.

La resolucin de nombres DNS

Llamada a procedimiento AD controladores de dominio DS utilizar RPC o SMTP para replicar la remoto (RPC) o simple informacin. RPC se puede utilizar para replicar todas las particiones de transferencia de de dominio, mientras que SMTP se puede utilizar para replicar todas mensajes SMTP las particiones excepto la particin de dominio. Si los controladores (Protocolo) de la de dominio estn separados por servidores de seguridad, asegrese conectividad de que los servidores de seguridad estn configurados para permitir que estos protocolos entre controladores de dominio. Autenticacin Kerberos v5 Los controladores de dominio debe autenticarse mediante el uso de Kerberos antes de que iniciar la replicacin. Asegrese de que el cortafuegos no est bloqueando los puertos necesarios para Kerberos entre controladores de dominio. Al instalar un nuevo controlador de dominio, los controladores de dominio debe ser capaz de comunicarse mediante LDAP. Asegrese de que el cortafuegos no est bloqueando los puertos necesarios para LDAP.

Lightweight Directory Access Protocol (LDAP) de la conectividad

Servicio de replicacin Para replicar la carpeta SYSVOL entre controladores de dominio, FRS de archivos (FRS) o o DFSR se debe permitir que entre los controladores de dominio. Sistema de archivos distribuido de replicacin (DFSR) conectividad Puertos de red utilizados por la replicacin de AD DS
Los siguientes puertos deben estar habilitadas entre controladores de dominio para asegurar la replicacin de AD DS.

Protocolo
LDAP

Puerto
udp 389 tcp 389

LDAP (SSL)

udp 636 tcp 636

Kerberos

udp 88 tcp 88

DNS

udp 53
tcp 53

SMB sobre IP

udp 445 tcp 445

Servidor de catlogo global

tcp 3269 tcp 3268

Nota: En las versiones de servidor de Windows anteriores a Windows Server 2008, la replicacin DFS no es compatible con la replicacin de SYSVOL. No intente configurar la replicacin DFS en SYSVOL mediante la desactivacin de FRS, y luego la creacin de un grupo de replicacin para SYSVOL. Continuar utilizando FRS para la replicacin SYSVOL en los controladores de dominio con Windows Server 2003 R2. FRS y la replicacin DFS pueden coexistir en el mismo servidor miembro o controlador de dominio. Con Windows Server 2008, SYSVOL pueden ser replicados utilizando DFSR siempre y cuando todos los controladores de dominio ejecutan Windows Server 2008, y siempre y cuando el bosque se est ejecutando en un equipo Windows Server 2008 nivel funcional.

Problemas comunes de replicacin

Cuando se encuentra con problemas de replicacin de AD DS, el primer paso es identificar los sntomas y posibles causas.

Los sntomas y sus posibles causas En la tabla siguiente se enumeran los sntomas ms comunes y sus posibles causas comunes: Sntoma La replicacin no se acaba o se producen Las posibles causas Los sitios que contienen los controladores de dominio no estn conectados por vnculos a sitios a los controladores de dominio en otros sitios de la red. No existe un servidor cabeza de puente en el sitio. Esto puede ser un problema si ha configurado manualmente los servidores cabeza de puente, y

los servidores no estn disponibles. Si los horarios de replicacin entre sitios son demasiado cortos, entonces las colas de replicacin puede ser demasiado grande para procesarla en el tiempo que es requerida por el esquema de replicacin saliente. La replicacin es lenta La topologa de vnculos de sitio y el horario causar la replicacin de la informacin para pasar de serie a travs de muchos sitios antes de las actualizaciones de replicacin de todos los sitios. La autenticacin de equipos cliente lo solicite, informacin, y servicios de un controlador de dominio a travs de una conexin de bajo ancho de banda. No hay controlador de dominio est en lnea en el sitio del cliente. No hay suficientes controladores de dominio para satisfacer las demandas de las estaciones de trabajo. Replicacin de red aumenta el El ancho de banda actual es insuficiente para controlar la trfico cantidad de trfico de replicacin. La topologa del sitio es incorrecta.

Los equipos cliente experimentan una respuesta lenta para la autenticacin, la informacin del directorio, u otros servicios

Qu es la herramienta Repadmin?

Utiliza la herramienta Repadmin.exe de lnea de comandos para ver la topologa de replicacin desde la perspectiva de cada controlador de dominio. Tambin puede utilizar Repadmin.exe para crear

manualmente la topologa de replicacin, eventos forzar la replicacin entre controladores de dominio, y ver los metadatos de replicacin, que es informacin acerca de los datos, y el estado hasta al da de los vectores.

Repadmin sintaxis
Para ejecutar el repadmin de comandos, utilice la siguiente sintaxis: repadmin argumentos del comando [/Usted:[dominio \] usuario /PW:(Contrasea | *)]

Repadmin ejemplos
Los siguientes ejemplos utilizan algunos de los argumentos de comandos disponibles para el comando repadmin: 1. Para mostrar los asociados de replicacin del controlador de dominio llamado DC1, utilice la sintaxis: repadmin / showreps DC1.woodgrovebank.com 2. Para mostrar el ms alto nmero de secuencia de actualizacin (USN) en el controlador de dominio denominado DC2, utilice la sintaxis: repadmin / showvector woodgrovebank DC = DC = com DC2.woodgrovebank.com 3. Para mostrar los objetos de conexin para el controlador de dominio denominado DC1, utilice la sintaxis: repadmin / showconn DC1.woodgrovebank.com 4. Para iniciar un suceso de replicacin entre dos asociados de replicacin, utilice la sintaxis: repadmin / repeticin DC2.woodgrovebank.com DC1.woodgrovebank.com DC = Microsoft DC = com 5. Para iniciar un evento de replicacin para una particin de directorio especificado con todos sus asociados de replicacin, utilice la sintaxis: repadmin / dc syncall DC1.woodgrovebank.com = woodgrovebank, dc = com Nota: Para obtener ms informacin acerca de los argumentos que puede utilizar con la repadmin comando, en el smbolo del sistema, ejecute repadmin /? y luego leer la declaracin de uso.

Qu es la herramienta DCDiag?

El dcdiag.exe herramienta realiza una serie de pruebas para verificar los diferentes aspectos del sistema. Estas pruebas incluyen la conectividad, la replicacin, la integridad topologa, y la salud entre sitios.

DCDiag sintaxis
En un smbolo del sistema, escriba dcdiag argumentos del comando [/ V / f: LogFile / ferr: errlog]. Si escribe DCDiag /s:Servername, La herramienta se ejecutar todos los tests.The controlador de dominio siguiente tabla se describen tres interruptores comunes que se pueden utilizar con el comando DCDiag:

Interruptor /en

Descripcin Proporciona resultados detallados. Cuando se utiliza / V, La salida de DCDiag proporciona una amplia gama de informacin que puede ayudarle a solucionar un problema. Redirige la salida a un archivo de registro especificado. Redirige la salida de error fatal para un archivo de registro independiente.

/f: LogFile /ferr: errlog

Especifica el servidor en el que se ejecutar el comando. /s: nombreDeServidor

Nota: Para obtener ms informacin acerca de los argumentos que puede utilizar con la DCDiag comando, en el smbolo del sistema, ejecute dcdiag /? y luego leer la declaracin de uso.

DCDiag pruebas
Las siguientes son algunas de las pruebas que se pueden ejecutar utilizando DCDiag:

Prueba Conectividad

Descripcin Comprueba si los controladores de dominio estn registrados en DNS, puede hacer ping, y han LDAP / conectividad RPC. Los controles para la replicacin oportuna y errores de replicacin entre controladores de dominio. Comprueba que los privilegios de inicio de sesin adecuados existen para permitir la replicacin de proceder. Comprueba si hay errores que impidan o temporal con capacidad de replicacin entre sitios, y trata de predecir cunto tiempo tomar antes de que el Comprobador de coherencia (KCC) es capaz de recuperarse. Los resultados de esta prueba a menudo no son vlidas, especialmente en un sitio tpico, en configuraciones de KCC, o en el Windows Server 2008 nivel funcional del bosque. Comprueba que el controlador de dominio puede comunicarse con un Centro de distribucin de claves (KDC), un servidor de tiempo, un servidor de Tiempo preferido, un controlador de dominio primario (PDC), y un servidor de catlogo global. Esta prueba no probar cualquiera de los servidores para funciones de maestro de operaciones. Comprueba si el controlador de dominio adecuado de servicios se estn ejecutando. Comprueba que el KCC es completar sin errores. Comprueba que el KCC ha generado una topologa totalmente conectada para todos los controladores de dominio.

Replicaciones

NetLogons

Entre sitios.

FSMOCheck

Servicios

Kccevent Topologa

Errores de identificacin de la causa de la replicacin

AD problemas de replicacin de DS pueden tener diversas fuentes. Por ejemplo, problemas de DNS, problemas de red, o problemas de seguridad pueden causar la replicacin de AD DS a fallar. Puede realizar las pruebas utilizando el Repadmin.exe y herramientas DCDiag.exe lnea de comandos para determinar la causa raz del problema. En la tabla siguiente se enumeran las posibles causas, as como uno o ms mtodos de prueba que puede utilizar para determinar la causa raz del problema.

Posible causa

Mtodo de ensayo

Los sitios no estn Compruebe que la topologa generada est completamente conectadas por enlaces de conectada para todos los controladores de dominio utilizando la sitios. sintaxis: dcdiag / test: Topologa / v No existe servidor cabeza Muestra la lista de servidores cabeza de puente actual utilizando la de puente en el sitio. sintaxis: repadmin /bridgeheads domaincontroller1.contoso.msft /en La topologa del sitio y el horario son ineficientes. Mostrar los objetos de conexin para el controlador de dominio llamado domaincontroller1 utilizando la sintaxis: repadmin /latencia domaincontroller1.contoso.msft /en No hay controlador de dominio no est en lnea en el sitio. Compruebe si los controladores de dominio estn registrados en DNS, puede hacer ping, y han LDAP / RPC conectividad utilizando la sintaxis:

dcdiag /prueba: Conectividad /en Tambin puedes ver a tiempo para la replicacin entre controladores de dominio mediante el uso de la sintaxis: dcdiag /prueba: Replicacin /en No existen controladores Ver los siguientes sistemas supervisar contadores NTDS: de dominio suficiente para KDC como las solicitudes: El nmero de solicitudes que los satisfacer la demanda de servicios de AS KDC, por segundo. Los clientes utilizan como los equipos cliente. solicitudes para obtener un boleto de la concesin de ticket (TGT). Pide TGS KDC: El nmero de billetes concesin de servicio (TGS) Intercambio pide que los servicios KDC por segundo. Los clientes utilizan la TGS peticiones de cambio de obtener un boleto a un recurso. Kerberos Autenticaciones: El nmero de veces por segundo que los clientes usan un boleto a un controlador de dominio, para autenticar en el controlador de dominio. La topologa del sitio es incorrecta. Vea el programa de vnculo de sitio mediante el uso de sitios de Active Directory y Servicios. Compruebe si hay fallos que impiden o retrasan la replicacin entre sitios mediante el uso de la sintaxis repadmin / latencia.

Solucin de problemas Problemas de replicacin de archivos distribuido

contenidos carpeta SYSVOL se replican en cada controlador de dominio en un dominio. Si el dominio est en Windows Server 2003 o un menor nivel funcional, el FRS se encarga de reproducir el contenido de la carpeta SYSVOL entre controladores de dominio. Al actualizar el nivel funcional de Windows Server 2008, DFSR se utiliza para replicar el contenido de la carpeta SYSVOL. En ambos casos, la topologa de objeto de conexin y horario que el KCC crea para la replicacin de AD DS se utiliza para administrar la replicacin entre controladores de dominio. Ambos FRS y DFR requieren LDAP y conectividad RPC entre controladores de dominio. Para solucionar problemas de replicacin de FRS, utiliza el ntfrsutl y los comandos FRSDiag. Para solucionar problemas de replicacin DFSR, utilice la herramienta DFRSAdmin. La siguiente tabla muestra algunos de los comandos tiles disponibles con las siguientes herramientas:

Comando Ntfrsutl conjuntos nombreDeServidor Ntfrsutl forcerepl nombreDeServidor / R SetName / P DNSName

Explicacin Muestra informacin detallada sobre las rplicas FRS operan en el controlador de dominio. Fuerzas de un intento de inmediato en la replicacin de FRS en el controlador de dominio. El servidor intentar tirar de cualquier cambio de la rplica que figuran en el SetName desde el servidor identificado por el DNSName. FRSDiag proporciona una interfaz grfica de usuario para recopilar informacin detallada sobre el desempeo de FRS y los problemas, y analiza los resultados para identificar FRS y problemas en comn AD DS. Proporciona informacin detallada sobre el estado actual de la replicacin DFSR en el dominio.

FRSDiag

Dfsradmin la salud

Mdulo 5 Recursos Los sitios web que aparecen a continuacin ofrecen recursos en lnea adicionales para este mdulo. Usted puede utilizar Active Directory Federacin de Servicios (AD FS) para crear un altamente extensible, escalable a Internet, y una solucin de acceso seguro a la identidad que puede operar en mltiples plataformas, incluyendo Windows y entornos no-Windows. En este tema se proporciona una visin general de las mejoras en la AD FS. Para obtener ms informacin acerca de las mejoras, consulte Papel de Servicios de Active Directory Federation. Informacin general de las mejoras en AD FS Para Windows Server 2008, AD FS incluye una nueva funcionalidad que no estaba disponible en Windows Server 2003 R2. Esta nueva funcin est diseada para aliviar la sobrecarga administrativa y por ampliar el soporte de aplicaciones clave:

Instalacin mejorada: AD FS se incluye en Windows Server 2008 como una funcin de servidor, y hay nuevas comprobaciones de validacin en el servidor en el asistente de instalacin.

Mejor soporte de aplicaciones: AD FS es ms estrecha integracin con Microsoft Office SharePoint Server 2007 y Active Directorio de Servicios de Gestin de Derechos (AD RMS).

Una mejor experiencia administrativa al establecer confianzas federadas : Mejora de la confianza poltica de importacin y exportacin funcionalidad ayuda a minimizar los problemas de configuracin basado en pareja-que se asocian comnmente con el establecimiento de la confianza federada.

Federacin de escenarios Federacin de Servicios de Active Directory (ADFS) es compatible con la identidad federada escenarios que utilizan los servicios Web de la Federacin (WS-Federation), de WS-Federation pasivo solicitante Perfil (PRP WS-F), y WS-Federation pasivo solicitante especificaciones de interoperabilidad perfil. La solucin ADFS ayuda a lidiar con los administradores de gestin de identidades federadas desafos al permitir que las organizaciones compartan de forma segura la identidad del usuario la informacin ms Federacin confa en. Los siguientes tres descripciones de escenarios de despliegue ilustran cmo se puede utilizar Funciones de servidor de ADFS para federar las identidades, en funcin de las necesidades de su organizacin. Federados Web SSO La Web de ADFS Federados sistemas Single-Sign-On (SSO) escenario implica una comunicacin segura que a menudo abarca varios firewalls, redes perimetrales y servidores de resolucin de nombres, adems de la totalidad de Internet la infraestructura de enrutamiento. Comunicacin en un entorno Web SSO federado puede ayudar a fomentar ms eficiente y segura las transacciones en lnea entre las organizaciones que estn unidas por relaciones de confianza de federacin. Como se muestra en la siguiente ilustracin, una relacin de confianza federacin puede establecerse entre dos empresas. En este escenario, los servidores de federacin de enrutar las solicitudes de autenticacin de cuentas de usuario en Tailspin Toys a las aplicaciones basadas en Web que se encuentran en la red de minorista en lnea.

Federacin de servidores autenticar las solicitudes de socios de confianza sobre la base de las credenciales de los socios. Las representaciones de las credenciales que se intercambian en forma de tokens de seguridad.

Para mayor seguridad, proxies federacin servidor puede ser utilizado para retransmitir peticiones a los servidores de federacin que no son accesibles directamente desde Internet. Federados Web SSO con Forest Trust El ADFS SSO Web federado con confianza Bosque escenario incluye dos bosques de Active Directory en una sola organizacin, como se muestra en la ilustracin siguiente. Uno de los bosques se encuentra en la red perimetral de la organizacin (tambin conocida como zona desmilitarizada, extranet o subred filtrada). El otro bosque se encuentra en la red interna. A un solo sentido, la confianza del bosque se ha establecido de manera que el bosque en la red perimetral confa en el bosque en la red interna. Federacin de servidores se implementan en ambas redes. Un fideicomiso se establece la federacin para que las cuentas en el bosque interno puede ser utilizado para acceder a una aplicacin basada en Web en la red perimetral, si las cuentas de acceso al sitio desde el bosque de la intranet o de internet.

En este escenario, los usuarios externos, como clientes, pueden acceder a la aplicacin Web mediante la autenticacin en el servidor de federacin de la cuenta externa, que se encuentra en la red perimetral. Los usuarios externos tienen cuentas de usuario en el bosque con el permetro de red de Active Directory. Los usuarios internos, como los empleados, tambin pueden acceder a la aplicacin Web mediante la autenticacin en el servidor de federacin de la cuenta interna, que se encuentra en la red interna. Los usuarios internos tienen cuentas en el interior de bosque de Active Directory. Si la aplicacin basada en Web es una aplicacin de Windows NT basada en tokens, el ADFS agente web que se ejecuta en el servidor de aplicaciones Web intercepta las peticiones y crea tokens de seguridad de Windows NT, que son requeridos por la aplicacin Web para tomar decisiones de autorizacin. Para los usuarios externos, esto es posible porque el servidor Web que aloja la aplicacin de Windows NT basada en tokens se une al dominio del bosque externo. Para los usuarios internos, esto es posible gracias a la relacin de confianza que existe entre los bosques del bosque permetro y el bosque interior. Si la aplicacin basada en Web es una aplicacin de reclamaciones-aware, el Agente Web de ADFS que se ejecuta en el servidor de aplicaciones Web no tiene por qu crear Windows NT tokens de seguridad para el usuario. El agente Web de ADFS puede exponer las reivindicaciones

que vienen de dimetro, que permite la aplicacin para tomar decisiones de autorizacin basado en el contenido del token de seguridad que es proporcionada por el servidor de federacin cuenta. Como resultado de ello cuando se despliega aplicaciones de reclamaciones-aware, el servidor Web no tiene que ser unido al dominio, y la confianza externa entre bosques a internos del bosque no es necesario. Web SSO En el escenario SSO Web de ADFS, los usuarios deben autenticarse una sola vez para acceder a mltiples aplicaciones basadas en Web. En este escenario todos los usuarios son externos, y no existe la confianza de federacin. Debido a que los servidores web de Internet debe ser accesible y tambin se uni al dominio de Active Directory, se conectan a dos redes, es decir, que son multitarjeta. La primera red de Internet se enfrenta (la red perimetral) para proporcionar la conectividad necesaria. La segunda red contiene el bosque de Active Directory (la red protegida), que no es directamente accesible en Internet. El proxy de servidor de federacin tambin es multitarjeta para proporcionar la conectividad necesaria para el servidor de federacin y de Internet. En este escenario, colocando el servidor de federacin en una red que no es directamente accesible desde Internet reduce enormemente el riesgo para el servidor de federacin.

Usted puede utilizar Active Directory Federacin de Servicios (AD FS) para crear un altamente extensible, escalable a Internet, y una solucin de acceso seguro a la identidad que puede operar en mltiples plataformas, incluyendo Windows y entornos no-Windows. En este tema se proporciona una visin general de las mejoras en la AD FS. Para obtener ms informacin acerca de las mejoras, consulte Papel de Servicios de Active Directory Federation. Informacin general de las mejoras en AD FS Para Windows Server 2008, AD FS incluye una nueva funcionalidad que no estaba disponible en Windows Server 2003 R2. Esta nueva funcin est diseada para aliviar la sobrecarga administrativa y por ampliar el soporte de aplicaciones clave:

Instalacin mejorada: AD FS se incluye en Windows Server 2008 como una funcin de servidor, y hay nuevas comprobaciones de validacin en el servidor en el asistente de instalacin.

Mejor soporte de aplicaciones: AD FS es ms estrecha integracin con Microsoft Office SharePoint Server 2007 y Active Directorio de Servicios de Gestin de Derechos (AD RMS).

Una mejor experiencia administrativa al establecer confianzas federadas : Mejora de la confianza poltica de importacin y exportacin funcionalidad ayuda a minimizar los problemas de configuracin basado en pareja-que se asocian comnmente con el establecimiento de la confianza federada.

Papel de Servicios de Active Directory Federation Active Directory Federacin de Servicios (AD FS) es una funcin de servidor en el Windows Server 2008 sistema operativo que puede utilizar para crear un altamente extensible, escalable a Internet, y una solucin de acceso seguro a la identidad que puede operar en mltiples plataformas, incluyendo tanto Windows y no entornos Windows. Las siguientes secciones proporcionan informacin acerca de AD FS en Windows Server 2008, incluyendo informacin acerca de la funcionalidad adicional en AD FS en Windows Server 2008 en comparacin con la versin de AD FS en Windows Server 2003 R2 del sistema operativo. Para obtener informacin adicional acerca de AD FS, consulte Servicios de federacin de Active Directory Visin general (http://go.microsoft.com/fwlink/?LinkId=87272). Para obtener ms informacin acerca de cmo configurar una prueba de AD FS entorno de laboratorio, consulte el Paso a paso Gua para AD FS en Windows Server 2008 (http://go.microsoft.com/fwlink/? LinkID=85685). Quin estar interesado en esta funcin? AD FS est diseado para ser desplegado en medianas y grandes que tienen el siguiente:

Al menos un servicio de directorio: o dominio de Active Directory Services (AD DS) o Active Directory Lightweight Directory Services (AD LDS) (anteriormente conocido como Active Directory Application Mode (ADAM))

Los equipos que ejecutan sistemas operativos diferentes plataformas Unido al dominio computadoras Los equipos que estn conectados a Internet Una o ms aplicaciones basadas en Web

Revise esta informacin, junto con la documentacin adicional acerca de AD FS, si usted pertenece a alguna de las siguientes:

Una tecnologa de la informacin (IT) profesionales que se encarga de apoyar una infraestructura de AD FS existentes Un planificador de TI, analista o arquitecto que est evaluando los productos de federacin de identidades

Hay alguna consideracin especial? Si ya dispone de una infraestructura de AD FS, hay algunas consideraciones especiales que debe conocer antes de empezar a actualizar los servidores de federacin, la federacin proxies de servidor, y AD FS-habilitado servidores Web que ejecutan Windows Server 2003 R2 a Windows Server 2008. Estas consideraciones se aplican slo cuando haya servidores AD FS que se han configurado manualmente para usar cuentas de servicio nicos. AD FS usa la cuenta Servicio de red como la cuenta predeterminada, tanto para el agente web de AD FS y Servicio de autenticacin de la identidad del grupo de aplicaciones ADFSAppPool. Si configurado manualmente uno o ms servidores AD FS en su implementacin existente de AD FS para utilizar una cuenta de servicio que no sea la cuenta predeterminada del servicio de red, va que de los servidores AD FS utilizar estas cuentas de servicio nica y registrar el nombre de usuario y contrasea para cada cuenta de servicio. Cuando se actualiza un servidor a Windows Server 2008, el proceso de actualizacin automticamente restaura todas las cuentas de servicio a sus valores predeterminados originales. Por lo tanto, debe introducir la informacin de servicio de cuenta de nuevo de forma manual para cada servidor de aplicacin despus de que Windows Server 2008 se instala completamente. Qu nuevas funcionalidades proporciona esta funcin? Para Windows Server 2008, AD FS incluye nuevas funcionalidades que no estaba disponible en Windows Server 2003 R2. Esta nueva funcin est diseada para aliviar la sobrecarga administrativa y por ampliar el soporte de aplicaciones clave:

Mejora de la instalacin-AD FS se incluye en Windows Server 2008 como una funcin de servidor, y hay nuevas comprobaciones de validacin en el servidor en el asistente de instalacin.

Mejor soporte de aplicaciones-AD FS es ms estrecha integracin con Microsoft Office SharePoint Server 2007 y Active Directorio de Servicios de Gestin de Derechos (AD RMS).

Una mejor experiencia administrativa cuando se establece la importacin federadosMejora la confianza confa en la poltica y la funcionalidad de exportacin ayuda a minimizar los problemas de configuracin basado en pareja-que se asocian comnmente con el establecimiento de la confianza federada.

Instalacin mejorada AD FS en Windows Server 2008 trae varias mejoras a la experiencia de instalacin. Para instalar AD FS en Windows Server 2003 R2, se tena que utilizar Agregar o quitar programas para encontrar e instalar el componente de AD FS. Sin embargo, en Windows Server 2008, puede instalar AD FS como una funcin de servidor utilizando el Administrador de servidores. Puede utilizar mejor AD FS pginas del asistente de configuracin para realizar los controles de servidor de validacin antes de continuar con la instalacin de AD FS funcin de servidor. Adems, el Administrador del servidor instala automticamente las listas y todos los servicios que depende de AD FS durante la instalacin de AD FS funcin de servidor. Estos servicios

incluyen Microsoft ASP.NET 2.0 y otros servicios que forman parte del servidor web (IIS) funcin de servidor. Mejor soporte de aplicaciones AD FS en Windows Server 2008 incluye mejoras que aumentan su capacidad de integrar con otras aplicaciones, como Office SharePoint Server 2007 y AD RMS. La integracin con Office SharePoint Server 2007 Office SharePoint Server 2007 aprovecha al mximo las capacidades de SSO que se integran en esta versin de AD FS. AD FS en Windows Server 2008 incluye una funcionalidad para apoyo de Office SharePoint Server 2007 miembros y los proveedores de papel. Esto significa que efectivamente puede configurar Office SharePoint Server 2007 como una aplicacin consciente de las reclamaciones en AD FS, y se puede administrar cualquier Office SharePoint Server 2007 mediante la adhesin y el control de acceso basado en roles. El nmero de miembros y los proveedores de papel que se incluyen en esta versin de AD FS son para el consumo slo por Office SharePoint Server 2007. Integracin con AD RMS AD RMS y AD FS se han integrado de tal manera que las organizaciones pueden aprovechar las existentes relaciones de confianza federada a colaborar con socios externos y compartir contenidos con derechos protegidos. Por ejemplo, una organizacin que ha implementado AD RMS puede configurar la federacin con una organizacin externa mediante el uso de AD FS. La organizacin puede usar esta relacin para compartir contenidos con derechos protegidos a travs de las dos organizaciones, sin necesidad de una implementacin de AD RMS en ambas organizaciones. Mejor experiencia administrativa al establecer confianzas federadas En tanto en Windows Server 2003 R2 y Windows Server 2008, AD FS administradores pueden crear una confianza federada entre dos organizaciones que utilizan ya sea un proceso de importacin y exportacin de archivos de poltica o de un proceso manual que implica el intercambio mutuo de valores asociados, como Uniform Resource Indicators (URI), los tipos de reclamo, las asignaciones de crdito, nombres de pantalla, y as sucesivamente. El proceso manual requiere que el administrador que reciba este tipo de datos a todos los datos recibidos en las pginas apropiadas en el Asistente para Aadir Partner, lo que puede dar lugar a errores tipogrficos. Adems, el proceso manual requiere que el administrador asociado de cuenta para enviar una copia del certificado de verificacin para el servidor de federacin para el administrador del socio de recursos para que el certificado se puede agregar a travs del asistente. Aunque la capacidad de importar y exportar archivos de poltica estaba disponible en Windows Server 2003 R2, la creacin de fideicomisos federadas entre las organizaciones asociadas es ms fcil en Windows Server 2008 como resultado de una mayor exportacin basada en polticas y la funcionalidad de importacin. Estas mejoras se hicieron para mejorar la experiencia administrativa al permitir una mayor flexibilidad para la funcionalidad de importacin en el Asistente para Aadir Partner. Por ejemplo, cuando una pareja se importa la poltica, el administrador puede utilizar el Asistente para Aadir socio a cualquier modificacin de los valores que se importen con anterioridad el proceso del asistente se ha completado. Esto incluye la capacidad de especificar un socio certificado de verificacin de cuenta diferente y la capacidad para asignar crditos de entrada o salida entre los socios.

Mediante el uso de la exportacin e importacin de las caractersticas que se incluyen con AD FS en Windows Server 2008, los administradores slo pueden exportar sus configuraciones de directiva de confianza a un archivo. Xml y luego enviar el archivo al administrador de partners. Este intercambio de archivos de poltica socio proporciona todas las URIs, tipos de demanda, las asignaciones de crdito, y otros valores y los certificados de verificacin que son necesarios para crear una confianza federada entre las dos organizaciones asociadas. En la siguiente ilustracin y las instrucciones adjuntas muestran como un exitoso intercambio de polticas entre los socios-en este caso, iniciado por el administrador en la cuenta de socio de la organizacin pueden ayudar a agilizar el proceso para establecer una confianza federada entre dos organizaciones de ficcin: A. Datum Corporation y Trey Research.

El administrador especifica el socio de cuenta Poltica de Exportacin de Socio Bsico opcin, haga clic en el Confianza Poltica carpeta y las exportaciones un archivo de poltica socio que contiene el URI, nombre para mostrar, la federacin servidor proxy Uniform Resource Locator (URL), y el certificado de verificacin de A. Datum Corporation. El administrador del socio en cuenta a continuacin, enva el archivo de directivas asociadas (por correo electrnico u otros medios) al administrador del socio de recursos. El administrador del socio de recursos crea una cuenta nueva pareja utilizando el Asistente para Agregar cuenta de socios y selecciona la opcin para importar un archivo de poltica socio

cuenta. Los ingresos de recursos socio administrador especificar la ubicacin del archivo de poltica socio y verificar que todos los valores que se presentan en cada uno de los asistente de pginas que se rellena previamente como resultado de la poltica de importacin-son exactas. El administrador luego completa el asistente. El administrador del socio de recursos, podr configurar las reclamaciones adicionales o la poltica de ajustes de seguridad que son especficos para ese socio cuenta. Despus de esta configuracin se ha completado, el administrador especifica el Poltica de Exportacin opcin, haga clic en el socio de A. Datum Corporation cuenta. El recurso de las exportaciones de socio administrador de un archivo de poltica socio que contiene valores como la URI, la federacin servidor proxy URL, nombre de presentacin, tipos de demanda, y reclamar las asignaciones para la organizacin Trey Research. El administrador del socio de recursos a continuacin, enva la poltica socio archivo en el administrador asociado de cuenta. El administrador crea una cuenta de socio socio nuevo recurso utilizando el Asistente para Aadir Recursos Socio y selecciona la opcin para importar un archivo de poltica socio de recursos. El administrador asociado cuenta especifica la ubicacin del archivo de recursos socio poltica y verifica que todos los valores que se presentan en cada uno de los asistente de pginas que se rellena previamente como resultado de la poltica de importacin-son exactas. El administrador luego completa el asistente. Cuando se completa este proceso, una confianza de federacin de xito entre ambos socios est establecido. administradores de recursos de pareja tambin puede iniciar el proceso de importacin y la poltica de exportacin, aunque ese proceso no se describe aqu. Qu configuraciones se han agregado o cambiado? Configura Windows NT token Web basado en la configuracin del agente con el Administrador de IIS complemento. Para apoyar la nueva funcionalidad que se incluye con Internet Information Services (IIS) 7.0, Windows Server 2008 AD FS incluye interfaz de usuario (UI) para el servicio de actualizaciones de AD FS papel Agente Web. En la tabla siguiente se muestran los diferentes lugares en el Administrador de IIS para IIS 6.0 o IIS 7.0 para cada una de las pginas Web de AD FS propiedad agente, segn la versin de IIS que se utiliza.
IIS 6.0 pgina de propiedades Antiguo lugar AD FS agente web prdida AD FS agente web prdida <COMPUTERNAME\> Sitios web IIS 7.0 pgina de propiedades Federacin URL del servicio AD FS agente web

Nueva ubicacin <COMPUTERNAME> (En el Otro seccin del panel central) <COMPUTERNAME> Sitios Web \ \ <Sitio o un directorio virtual> (En el IIS \ Authentication seccin del panel central)

<COMPUTERNAME> Sitios Web \ \ <Sitio o un directorio virtual>

Comprensin de Reclamaciones Grupo de Organizacin

He creado una lista de temas ayer por la noche que creo que ser til para poner aqu ... Ir en cualquier tipo de orden ser demasiado difcil para m (perezoso) y me temo que frenara la produccin de mi blog. Por favor, hgamelo saber si usted le gustara ver algo especfico. De lo contrario, slo voy a tratar de mantener poner cosas en orden aleatorio. Si no est familiarizado con las reclamaciones en ADFS - te sugiero esta corto leer en TechNet antes de seguir adelante. Como se dar cuenta con la mayora de mis blogs - que ser til para obtener de Nick paso a paso en marcha y funcionando para que pueda seguir adelante. En este documento, voy a ir a travs de los pasos para crear una organizacin Grupo de Reclamacin y el mapa desde el socio cuenta para el socio de recursos y luego enviarlo a una aplicacin. Si bien esta informacin puede no ser til e interesante para todos, me encuentro pasando a varias personas que hablo acerca de ADFS. La mayora de las personas que han inferiores en un 90% del camino

- pero no son sper claras en todos los pasos y por qu los toma. Voy a seguir esto con un blog ms a fondo que analiza los tres tipos de demanda con algunos ejemplos del mundo real de cmo deben ser las cosas de configuracin. reclamaciones personalizadas y cmo utilizarlas es slo un tema que sin duda vendra bien algo de ms explicaciones. Yo no entenda las reclamaciones 100% para m desde hace mucho tiempo (tal vez todava no -, pero creo que puedo fingir ahora). No hay una manera correcta o equivocada con el orden en que lo hace (aparte de la reclamacin de organizacin se deben crear por primera vez en ambos lados), as que slo voy a decir a mi manera.

Las medidas que tomamos son las siguientes: Inicio en la cuenta de Socio 1. Crear reclamaciones del grupo de organizacin de la Cuenta secundarios 2. Haga clic en la cuenta de la tienda y hacer un nuevo grupo de Reclamacin de extraccin 3. Haga clic en el socio de recursos y hacer un nuevo reclamo de salida Grupo Cartografa Siguiente - ir al socio de recursos 1. Crear un Grupo de organizacin de reclamacin y lo asocian con un grupo de seguridad de Windows en el grupo de recursos ficha 2. Haga clic en el socio de cuenta y seleccione Nuevo entrante Grupo de Cartografa de la reivindicacin 3. Resalte la aplicacin en la que desea recibir esta reclamacin y permitir elegir Hay un par de cosas para ayudarle a recordar esto 1. Usted necesita visitar / configure el crdito en tres lugares de cada lado 2. El orden anterior es muy similar a cmo los flujos de la demanda cuando un usuario accede a una aplicacin
Un error muy comn que veo es la asociacin de la demanda con un grupo de Windows en el lado cuenta con la ficha grupo de recursos (como se hace en el lado de recursos). Esto no es correcto - no lo impiden trabajar, pero es un paso innecesario. Por el lado de la cuenta - la demanda est asociado al grupo de Windows a travs de la extraccin de reclamaciones del grupo (paso 2) mtodo. Puesto que es el lado en cuenta (sin aplicacin) - no es necesario asociar a la reclamacin del grupo a un grupo de Windows - slo tenemos que extraer el reclamo de la cuenta de la tienda (otra forma de decirlo - tenemos que entender que los usuarios obtener este crdito)

Vamos a pasar por todo de principio a fin y esperemos que se aclarar. 1. Crear reclamaciones del grupo de organizacin de la Cuenta secundarios

Notificacin de la ficha Resource Group no tiene nada configurado

2. Hacer un grupo de extraccin de nuevo reclamo de su tienda cuenta. Aqu es donde usted est diciendo - si usted es un miembro de este grupo de Windows - Quiero que tiene esta reivindicacin Grupo

3. Mapa del grupo de reclamacin por hacer una nueva cartografa de reclamaciones del grupo saliente en el socio de recursos. El nombre del grupo afirman saliente debe coincidir exactamente cuando complete los pasos en el socio de recursos. Personalmente, yo uso todo en minsculas y guiones para ayudar a minimizar los errores aqu. Adems, piensa en lo que el nombre de la cartografa - usted no quiere llamar a este "ejemplo-saliente-mapping", porque eso no tendra sentido al escribir ese nombre en el lado de los recursos. Por el lado de los recursos - que ser una asignacin de grupos reclamo entrante. Esto es slo una sugerencia para ayudar a mantener las cosas manejables - cualquier nombre funcionar siempre y cuando coincidan en ambos lados.

Eso es todo por el lado de la cuenta - ahora vamos al servidor de federacin de recursos para configurar el resto de la asignacin de crdito. 1. Crear un Grupo de organizacin de reclamacin - es importante tener en cuenta que este nombre reclamacin no tiene que coincidir con el nombre del grupo de reclamacin que hemos configurado para el lado de la cuenta. De hecho - el nombre ser diferente en la mayora de los casos. El nombre que aqu debe ser algo lgico que el administrador del lado de los recursos - imagnese 200 o 300 reclamaciones grupo - desea que el nombre para mostrar a significar algo para ti.

Ahora - vaya a la pestaa grupo de recursos y asociar un grupo de Windows a este reclamo. Aqu es donde usted dice - si un usuario entra a mi solicitud con este reclamo grupo - que desea asociar con este grupo de Windows. Normalmente, este grupo est vaco. El SID de grupo de Windows se escriben en el servidor web (por aplicaciones basadas en token) y la aplicacin va a pensar que se trata de un usuario comn con esta participacin en el grupo para acceder a l.

2. Recuerde, usted debe tener al menos una reivindicacin de identidad - entonces usted puede tener uno o ms de los grupos o crditos personalizados aqu. La afirmacin de la identidad personal es la nica regla que no puede ser quebrantada. Note cmo todas mis afirmaciones aparecen cuando resaltar blog de Aplicaciones - pero slo UPN reivindicacin de identidad y de recursos de reclamacin Ejemplo Grupo se destacan (habilitado)

3. Cree la asignacin de grupos afirman que llega de la pareja cuenta. Recuerde - tenemos que tener una coincidencia exacta en el nombre de la cartografa reclamacin.

Eso es todo! Hemos completado la creacin de una asignacin de reclamaciones del grupo para un escenario WebSSO federados.