Conectar El Equipo A Un Dominio

Conectar el equipo a un dominio
Se aplica a las siguientes ediciones de Windows 7: Professional, Ultimate, Enterprise

Un dominio es una coleccin de equipos de una red con reglas y procedimientos comunes, y que se administran como una unidad. Cada dominio tiene un nombre nico. Generalmente, los dominios se usan en redes de reas de trabajo. Para conectar el equipo a un dominio, deber conocer el nombre del dominio y disponer de una cuenta de usuario vlida en dicho dominio. 1. Para abrir istema, haga clic en el botn Inicio , haga clic con el botn secundario en Equipo y, a continuacin, haga clic en Propiedades. 2. !n Configuracin de nombre, dominio grupo de traba!o del equipo, haga clic en Cambiar la configuracin. i se le solicita una contrase"a de administrador o una con#irmacin, escriba la contrase"a o proporcione la con#irmacin. 3. $aga clic en la #icha "ombre del equipo y, a continuacin, en Cambiar. %ambi&n puede hacer clic en Id# de red para usar el asistente para unirse a un dominio o grupo de trabajo con el #in de automati'ar el proceso de cone(in a un dominio y de creacin de una cuenta de usuario de dominio en el equipo. ). !n Miembro del, haga clic en Dominio. Cuadro de dilogo Cambios en el dominio o
5.
el nombre del equipo !scriba el nombre del dominio al que desea unirse y, a continuacin, haga clic en $ceptar. e le pedir que escriba su nombre de usuario y contrase"a para el dominio. *espu&s de unirse satis#actoriamente al dominio, se le pedir que reinicie el equipo. *ebe reiniciar el equipo para que la nueva con#iguracin surta e#ecto. i el equipo era miembro de un grupo de trabajo antes de unirse al dominio, se quitar del grupo de trabajo.
+ota
%&iferencias entre un dominio, un grupo de traba!o Se aplica Windows 7
un grupo en el 'ogar(
,os dominios, los grupos de trabajo y los grupos en el hogar representan di#erentes #ormas de organi'ar equipos en las redes. ,a di#erencia principal entre ellos es la #orma de administrar los equipos y otros recursos de las redes. ,os equipos que ejecutan -indo.s en una red deben ser parte de un grupo de trabajo o de un dominio. ,os equipos que ejecutan -indo.s en redes dom&sticas tambi&n pueden ser parte de un grupo en el hogar, pero no es un requisito. Generalmente, los equipos de redes dom&sticas #orman parte de un grupo de trabajo y, probablemente, de un grupo en el hogar, y los equipos de redes del lugar de trabajo #orman parte de un dominio.
"ota
,os grupos en el hogar no estn disponibles en -indo.s erver /001 2/.
Para comprobar si el equipo est en un grupo de trabajo o un dominio

1. Para abrir istema, haga clic en el botn Inicio , haga clic con el botn secundario en Equipo y, a continuacin, haga clic en Propiedades. /. !n Configuracin de nombre, dominio y grupo de trabajo del equipo, se podr ver Grupo de trabajo o *ominio, seguido del nombre.
,a con#iguracin de nombre, dominio y grupo de trabajo del equipo
Para comprobar si el equipo pertenece a un grupo en el hogar

1. Para abrir Centro de redes y de recursos compartidos, haga clic en el botn Inicio y, a continuacin, en Panel de control. !n el cuadro de bsqueda, escriba red y, a continuacin, haga clic en Centro de redes recursos compartidos. /. i se especi#ica Unido junto a Grupo $ogar, el equipo pertenece a un grupo en el hogar.
!l rea de estado Grupo $ogar del Centro de redes y recursos compartidos
!n un grupo de trabajo3

%odos los equipos se encuentran en el mismo nivel, ninguno tiene el control sobre otro. Cada equipo dispone de un conjunto de cuentas de usuario. Para iniciar sesin en cualquier equipo del grupo de trabajo, debe disponer de una cuenta en equipo. +ormalmente, no hay ms de veinte equipos. Un grupo de trabajo no est protegido con contrase"a. %odos los equipos deben encontrarse en la misma red local o subred.
!n un grupo en el hogar3

,os equipos de una red dom&stica pueden pertenecer a un grupo de trabajo, pero tambi&n pueden pertenecer a un grupo en el hogar. Un grupo en el hogar permite compartir #cilmente imgenes, msica, v4deos, documentos e impresoras con otras personas de una red dom&stica. !l grupo en el hogar est protegido con contrase"a, pero solo es necesario escribir la contrase"a una ve', al agregar el equipo al grupo en el hogar.
!n un dominio3
Uno o ms equipos son servidores. ,os administradores de red utili'an los servidores para controlar la seguridad y los permisos de todos los equipos del dominio. 5s4 resulta ms sencillo e#ectuar cambios, ya que &stos se aplican automticamente a todos los equipos. ,os usuarios de dominio deben proporcionar una contrase"a o algn otro tipo de credencial cada ve' que accedan al dominio. i dispone de una cuenta de usuario en el dominio, puede iniciar sesin en cualquier equipo del dominio sin necesidad de disponer de una cuenta en dicho equipo. Probablemente solo podr hacer cambios limitados a la con#iguracin de un equipo porque los administradores de red con #recuencia desean garanti'an un nivel de homogeneidad entre los equipos. Un dominio puede incluir miles de equipos. ,os equipos pueden encontrarse en di#erentes redes locales.
Configurar Usuario de Dominio como dministrador !ocal

Una de las dudas que nos han planteado con relativa #recuencia, es la de conseguir que un usuario del directorio activo 65ctive *irectory7 o lo que es lo mismo, un usuario de un del dominio basado en -indo.s erver, se convierta en 5dministrador ,ocal de su equipo. Pues bien, en este tutorial vamos a intentar e(plicar que con#iguraciones hay que hacer para lograrlo. %odas las con#iguraciones que van a ser mostradas a continuacin deben reali'arse en la mquina cliente, es decir, en la mquina en la que el usuario se convertir en administrador local. 8tro apunte ms, es que este tutorial es vlido para cualquier versin de -indo.s, ya sea -indo.s 9P, -indo.s :ista, -indo.s ;, etc... ,o primero ser hacer clic en el botn de <nicio y pulsar con el botn derecho sobre =i PC, en el caso de -indo.s 9P, o sobre !quipo, en el caso de -indo.s :ista o -indo.s ;, y pulsar en 5dministrar. Una ve' se abra la pantalla de >Administracin de Equipos>, hay que dirigirse a Herramientas del Sistema -> Usuarios y Grupo Locales -> Grupos. *entro de Grupos, pinchar con el botn derecho sobre >5dministradores> y hacer clic en Propiedades. e abrir una ventana que muestra las propiedades del grupo > Administradores>. Una ve' all4, hay que hacer clic en >Agregar...>. ? se abrir una pantalla como la que se muestra en la siguiente imagen3
Una ve' apare'ca esta pantalla, hay que asegurarse, que en el campo > Desde esta u icacin>, se muestre el nombre del dominio al que pertenece el usuario que vamos al que se le va a dar permisos de administrador local. i no aparece el nombre del dominio, pulsar sobre ubicaciones y elegir el dominio. ,gicamente, para que apare'ca, el equipo debe de haber sido integrado al dominio previamente. %ras elegir el dominio ya se puede escribir el nombre del usuario en el campo > Escri a los nom res de o !eto que desea seleccionar> o buscarlos a trav&s de la pantalla que aparecer si se hace clic sobre el botn > "pciones a#an$adas...>. Cuando el usuario o usuarios estn a"adidos, se aceptan todas las pantallas, y ya estar todo listo para que tengan permisos de administrador sobre este equipo.
Crear un Controlador de Dominio en Windows 2003 er!er
"lta de m#quina Windows $ como cliente de un dominio de Windows 200%

%al como coment& hace unos d4as en este mismo @log, he tenido un problema por el que he perdido todos mis laboratorios. ,a ventaja de esto es que al volver a empe'ar de nuevo tenemos la opcin de ir documentndolo todo. $oy vamos a ver el proceso para convertir una mquina independiente instalada con =icroso#t -indo.s ; para que sea cliente de un dominio de 5ctive *irectory. !n este art4culo partimos de la premisa de que el usuario conoce las #unciones de este tipo de servicios por lo que no entraremos en ms detalle. !n caso de no tener conocimientos a este respecto se recomienda la lectura de este enlace3 'ttp:))tec'net#microsoft#com)en* us)librar )cc77+,-./WS#0+1#asp2 ,a operativa es bastante sencilla aunque he de decir que los mens que deberemos usar estn un poco ms escondidos en -indo.s ; de lo que lo estaban en -indo.s 9p. !n realidad es el mismo procedimiento. ,o primero que debemos hacer es acceder a las propiedades del equipo para lo que iremos a A<nicio B !quipoC y sobre este icono haremos clic en el botn derecho y seleccionaremos APropiedadesC.
continuaci"n seleccionaremos la opci"n #Configuraci"n a$an%ada del sistema&.
'n la $entana de #Propiedades del sistema& seleccionamos la pesta(a #)ombre de equipo&.
ntes de acceder a cambiar el nombre del equipo* puede ser mu+ recomendable cambiar la #Descripci"n del equipo&. ,e le puede dar el nombre que se desee* como por ejemplo* uno descripti$o de la tarea que desempe(a -'j. .rdenador de Director/* pero +o personalmente prefiero ponerle el nombre del equipo -'j. 01ultimate221/.
Una $e% situados en esta pesta(a seleccionamos #3d. de red4& que nos lle$ar al asistente para unirse al dominio* tal como se puede leer en la propia e5plicaci"n de la $entana de propiedades.
'n esta $entana buscamos el campo #)ombre del equipo& -el primero/ + escribimos el nombre que deseemos usar. 'n este ejemplo se le ha puesto un nombre que indica el tipo de sistema operati$o usado* seguido de un n6mero identificati$o. Prefiero usar este tipo de nombres en $e% de usar los t7picos de 383,* 9 8:'* etc. por moti$os de practicidad +a que con una sola pasada se $e que tipo de sistema es o el uso que se le da. Una $e% cambiado el nombre* deberemos hacer clic en # ceptar&.
'sta acci"n requiere el reinicio de la mquina cliente* por lo que se nos mostrar el siguiente mensaje. ;acemos clic en # ceptar& para cerrar la $entana.
Cuando hagamos clic en #Cerrar& se mostrar un mensaje que nos dar la opci"n de reiniciar en este momento o ms tarde. Decidimos que queremos hacer + continuamos.
'n el comien%o de sesi"n* a6n podemos $er que la mquina es independiente + usa usuarios locales + no del dominio.
<ol$emos a acceder a las propiedades del equipo para lo que iremos a #3nicio = 'quipo& + sobre este icono haremos clic en el bot"n derecho + seleccionaremos #Propiedades&. continuaci"n seleccionaremos la opci"n #Configuraci"n a$an%ada del sistema&. 'n la $entana de #Propiedades del sistema& seleccionamos la pesta(a #)ombre de equipo&. 'n esta $entana nos situamos en #9iembro del& + como queremos hacerlo miembro del dominio seleccionamos esa opci"n + escribimos el nombre del dominio al que lo queremos unir. Una $e% hecho esto hacemos clic en # ceptar&.
'n este momento se nos abre una $entana de $alidaci"n del dominio pidiendo que introdu%camos los datos de un usuario pri$ilegiado en el dominio. !os introducimos + hacemos clic en # ceptar&.
,i todo $a bien* pasado un momento $eremos un mensaje que nos da la bien$enida al dominio.
continuaci"n se nos a$isa de que necesitaremos reiniciar nue$amente el PC.
'n este momento +a podemos $er que el dominio est reflejado en las propiedades del sistema. Cuando hagamos clic en #Cerrar& nos pedir nue$amente el reinicio.
,i ahora accedemos a la consola de administraci"n de # cti$e Director+ Users and Computers& podremos $er que la mquina +a ha sido incluida en el dominio.
Cuando arranquemos nue$amente la mquina cliente $eremos que +a se $alida contra el dominio.
;a+ una forma de hacer esto de una manera distinta en un dominio de 0indo>s 222? 82* es mediante lo que se llama # lta offline&* pod@is $er c"mo hacerlo en este otro PostA &ttp'((ya!eces&astafunciona)blogspot)com(20*0(*0(windows+200%+r2+alta+offline+en+el)&tml Un saludo
Cmo se encuentran los controladores de dominio en Windows

<d. de art4culo3 /);1DD E ,er los productos a los que se aplica este art-culo
+ota acerca de su sistema operativo!ste art4culo se aplica a una versin de -indo.s distinta la que est
utili'ando. Puede que el contenido en este art4culo no sea relevante para usted. 3isite el Centro de soluciones de Windows 7 !ste art4culo se public anteriormente con el nmero !/);1DD ./pandir todo F Contraer todo
'n esta pgina 8esumen

!n este art4culo se describe el mecanismo utili'ado por -indo.s para encontrar un controlador de dominio en un dominio basado en -indo.s. !n este art4culo se e(plica el proceso de encontrar un dominio por su nombre estilo *+ y por su nombre plano 6+et@<8 7. !l nombre plano se utili'a por compatibilidad con versiones anteriores. !n todos los dems casos deben utili'arse nombres estilo *+ . !n este art4culo tambi&n se e(plica cmo solucionar problemas en el proceso de encontrar controladores de dominio. ,ol!er al principio F .n!iar comentarios
9s informaci"n
!sta secuencia describe cmo el Ubicador busca un controlador de dominio3 !n el cliente 6el equipo que est buscando el controlador de dominio7, se inicia el Ubicador como una llamada a procedimiento remoto 62PC7 en el servicio local de <nicio de sesin de red. !l servicio de <nicio de sesin de red implementa la llamada *sGet*c+ame de la inter#a' de programacin de aplicaciones 65P<7 del Ubicador. !l cliente recopila la in#ormacin necesaria para seleccionar un controlador de dominio y pasa dicha in#ormacin al servicio de <nicio de sesin de red mediante la llamada *sGet*c+ame. !l servicio de <nicio de sesin de red del cliente utili'a de dos #ormas posibles la in#ormacin recopilada para buscar un controlador para el dominio especi#icado3 o !n el caso de un nombre *+ , <nicio de sesin de red consulta *+ utili'ando el Ubicador compatible con <PG*+ H es decir, *sGet*c+ame reali'a la llamada a *nsIuery para leer los registros de 2ecursos de servicio 6 2:7 y los registros >5> de *+ despu&s de ane(ar el nombre de dominio a la cadena apropiada que especi#ica los registros 2:. o Una estacin de trabajo que inicia sesin en un dominio basado en -indo.s consulta si hay registros 2: en *+ con el #ormato general3 Jservicio.Jprotocolo.+ombre*ominio*ns ,os servidores de 5ctive *irectory o#recen el servicio Protocolo ligero de acceso a directorios 6,*5P7 a trav&s del protocolo %CP. Por tanto, para buscar un servidor ,*5P los clientes consultan si en *+ hay un registro con el #ormato3 Jldap.Jtcp.+ombre*ominio*ns o !n el caso de un nombre +et@<8 , <nicio de sesin de red reali'a el descubrimiento de los controladores de dominio mediante el Ubicador compatible con =icroso#t -indo.s +% ).0 6es decir, mediante el mecanismo espec4#ico del transporte, por ejemplo -<+ 7. !n -indo.s +% ).0 y versiones anteriores, el >descubrimiento> es un proceso para encontrar un controlador de dominio con #ines de autenticacin, ya sea en el dominio principal o en un dominio de con#ian'a. !l servicio de <nicio de sesin de red env4a un datagrama a los equipos que registraron el nombre. !n el caso de los nombres de dominio +et@<8 , el datagrama se implementa como un mensaje de correo. Para los nombres de dominio *+ , el datagrama se implementa como una bsqueda ,*5P del Protocolo de datagramas de usuario 6U*P7. 6U*P es el protocolo de transporte de datagramas sin cone(in que #orma parte del conjunto de protocolos %CPG<P. %CP es un protocolo de transporte orientado a cone(iones.7 Cada controlador de dominio disponible responde al datagrama para indicar que est operativo en ese momento y devuelve la in#ormacin a *sGet*c+ame. %enga en cuenta que U*P permite a un programa de un equipo enviar un datagrama a un programa de otro equipo. U*P incluye un nmero de puerto de protocolo, que permite al remitente distinguir entre varios destinos 6programas7 en el equipo remoto. Cada controlador de dominio disponible responde al datagrama para indicar que est operativo en ese momento y devuelve la in#ormacin a *sGet*c+ame.
!l servicio de <nicio de sesin de red almacena en cach& la in#ormacin del controlador de dominio, de manera que las solicitudes subsiguientes no tengan que repetir el proceso de descubrimiento. !l almacenamiento en cach& de esta in#ormacin #omenta el uso coherente del mismo controlador de dominio y una vista coherente de 5ctive *irectory. Cuando un cliente inicia sesin o se une a la red, debe ser capa' de encontrar un controlador de dominio. !l cliente env4a una consulta *+ a *+ para buscar controladores de dominio, pre#eriblemente en la propia subred del cliente. Por tanto, para buscar un controlador de dominio los clientes consultan si en *+ hay un registro con el #ormato3 J,*5P.J%CP.dc.Jmsdcs.nombre*ominio Una ve' que el cliente encuentra un controlador de dominio, establece la comunicacin mediante el uso de ,*5P para tener acceso a 5ctive *irectory. Como parte de dicha negociacin, el controlador de dominio identi#ica en qu& sitio de la subred <P est el cliente. i el cliente se est comunicando con un controlador de dominio que no est en el sitio ms cercano 6ms optimo7, el controlador de dominio devolver el nombre del sitio del cliente. i el cliente ya ha intentado buscar controladores de dominio en ese sitio 6por ejemplo, cuando el cliente env4a a *+ una consulta *+ para buscar controladores de dominio en la subred del cliente7, el cliente utili'a el controlador de dominio que no es ptimo. *e lo contrario, el cliente reali'a de nuevo una consulta *+ espec4#ica del sitio con el nuevo nombre del sitio ptimo. !l controlador de dominio utili'a cierta in#ormacin del servicio de directorio para identi#icar sitios y subredes. Cuando el cliente encuentra un controlador de dominio, se almacena en memoria cach& la entrada del controlador. i el controlador de dominio no est en el sitio ptimo, el cliente vac4a la memoria cach& despu&s de quince minutos y descarta la entrada de la cach&. *espu&s intenta buscar un controlador de dominio ptimo en el mismo sitio que el cliente. Una ve' que el cliente ha establecido una ruta de comunicaciones con el controlador de dominio, puede establecer las credenciales de inicio de sesin y de autenticacin y, si es necesario para los equipos basados en -indo.s, puede con#igurar un canal seguro. !l cliente ya est en condiciones de reali'ar consultas normales y buscar in#ormacin en el directorio. !l cliente establece una cone(in ,*5P con un controlador de dominio para iniciar sesin. !l proceso de inicio de sesin utili'a el 5dministrador de cuentas de seguridad. Como la ruta de comunicaciones utili'a la inter#a' ,*5P y el cliente est autenticado por un controlador de dominio, la cuenta de cliente se comprueba y se pasa a trav&s del 5dministrador de cuentas de seguridad al agente del servicio de directorio, despu&s a la capa de base de datos y, #inalmente, a la base de datos en el motor de 5lmacenamiento e(tensible 6! !7.
Solucionar problemas del proceso de ubicacin de dominios

Para solucionar problemas del proceso de ubicacin de dominios3 1. Consulte el :isor de sucesos tanto en el cliente como en el servidor. ,os registros de sucesos pueden contener mensajes de error que indiquen que hay algn problema. Para ver el :isor de sucesos, haga clic en Inicio, seleccioneProgramas, seleccione 4erramientas administrati5as y, a continuacin, haga clic en 3isor de sucesos. Consulte el registro del sistema tanto en el cliente como en el servidor. Consulte tambi&n los registros del servicio de directorio en el servidor y los registros de *+ en el servidor *+ . 2. Compruebe la con#iguracin de <P mediante el comando ipconfig )all en un s4mbolo del sistema. K. !mplee la utilidad Ping para comprobar la conectividad de red y la resolucin de nombres. $aga ping tanto a la direccin <P como al nombre del servidor. Puede que tambi&n desee hacer ping al nombre de dominio. ). Utilice la herramienta +etdiag para determinar si los componentes de red estn #uncionando correctamente. Para enviar el resultado detallado a un archivo de te(to, utilice el comando siguiente3 netdiag Gv Bprueba.t(t !(amine el archivo de registro, busque si hay problemas e investigue cualquier componente implicado. !ste archivo tambi&n contiene otros detalles de con#iguracin de la red. 5. Para resolver problemas menores, utilice la herramienta +etdiag con la sinta(is siguiente3 netdiag )fi2 . B. Utilice el comando nltest )dsgetdc: nom reDeDominio para comprobar que se puede encontrar un controlador para un dominio espec4#ico. ;. Utilice la herramienta + ,ooLup para comprobar que las entradas de *+ estn registradas correctamente en *+ . Compruebe que se pueden resolver los registros de host del servidor y los registros GU<* 2:. Por ejemplo, para comprobar los registros, utilice los comandos siguientes3 nsloo6up nom re del ser#idor # secundario del dominio ra%$ # dominio ra%$ #com 1. nsloo6up guid#7msdcs# dominio ra%$ #com i ninguno de estos comandos #unciona, utilice uno de los m&todos siguientes para volver a registrar los registros en *+ 3 o Para #or'ar el registro de host, escriba ipcon#ig Gregisterdns .
Para #or'ar el registro de los servicios del controlador de dominio, detenga e inicie el servicio de <nicio de sesin de red. M. Para detectar problemas en el controlador de dominio, ejecute la utilidad *Cdiag desde un s4mbolo del sistema. ,a utilidad lleva a cabo una serie de pruebas para comprobar que un controlador de dominio est #uncionando correctamente. Utilice este comando para enviar los resultados a un archivo de te(to3 dcdiag Gv Bdcdiag.t(t D0. Utilice la herramienta ,dp.e(e para conectarse y enla'arse al controlador de dominio con el #in de comprobar la conectividad ,*5P apropiada. 11. i sospecha que un determinado controlador de dominio tiene problemas, puede ser til activar el registro de depuracin de <nicio de sesin de red. !scriba este comando para emplear la utilidad +,%est3 nltest )dbflag:+28+++ffff. ,a in#ormacin se registra entonces en la carpeta *ebug, en el archivo +etlogon.log. D/. i todav4a no ha aislado el problema, utilice =onitor de red para supervisar el tr#ico de red entre el cliente y el controlador de dominio. Para obtener in#ormacin acerca de cmo instalar =onitor de red, consulte el art4culo siguiente en =icroso#t Nno.ledge @ase3 2032$0 $o. to <nstall +et.orL =onitor in -indo.s /000 o
Instalar un controlador de dominio adicional usando la interfa9 de Windows

Personas que lo han encontrado til3 1 de M E 3alorar este tema 5ctuali'ado3 julio de /0D0 e aplica a3 -indo.s erver /001, -indo.s erver /001 2/ ,a inter#a' de -indo.s proporciona dos asistentes que gu4an al usuario por el proceso de instalacin de los ervicios de dominio de 5ctive *irectory 65* * 7. !l primer asistente es el 5sistente para agregar roles, al que se puede acceder en 5dministrador del servidor. !l segundo asistente es el 5sistente para la instalacin de los ervicios de dominio de 5ctive *irectory, al que se puede acceder de las siguientes maneras3 5l completar el 5sistente para agregar roles, haga clic en el v4nculo para abrir el 5sistente para la instalacin de los ervicios de dominio de 5ctive *irectory. $aga clic en Inicio, luego en E!ecutar, escriba dcpromo#e2e y, a continuacin, haga clic en $ceptar.
i usa las opciones avan'adas del 5sistente para la instalacin de los ervicios de dominio de 5ctive *irectory, puede controlar la manera en que se instala 5* * en el servidor, ya sea con el m&todo de instalacin desde un medio 6<O=7 o por replicacin. <O=3 se puede indicar una ubicacin para los medios de instalacin que cre con +tdsutil.e(e o que restaur a partir de una copia de seguridad de un controlador de dominio similar en el mismo dominio. i crea los medios de instalacin con +tdsutil, puede optar por crear medios de instalacin seguros para el controlador de dominio de solo lectura 628*C7. !n este caso, +tdsutil.e(e quita secretos en cach&, como contrase"as, de los medios de instalacin. Para obtener ms in#ormacin, vea Instalar $& &S desde medios. 2eplicacin3 se puede especi#icar un controlador de dominio en el dominio desde el cual desea replicar 5* * .
Credenciales administrati5as Para reali'ar este procedimiento, debe ser miembro del grupo 5dmins. del dominio en el dominio en el que se instala el controlador de dominio.
Para instalar un controlador de dominio en un dominio e(istente mediante la inter#a' de -indo.s 1. 5bra 5dministrador de servidores. $aga clic en Inicio, en 4erramientas administrati5as y, a continuacin,
haga clic en $dministrador de ser5idores. 2. !n :esumen de roles, haga clic en $gregar roles. 3. i es necesario, revise la in#ormacin en la pgina $ntes de comen9ar y, a continuacin, haga clic en Siguiente. ). !n la pgina Seleccionar roles de ser5idor, haga clic en la casilla Ser5icios de dominio de $cti5e &irector y, a continuacin, haga clic en Siguiente.
1ota
'n un ser$idor que ejecuta 0indo>s ,er$er 222? 82* qui% deba hacer clic en "gregar caracter-sticas re de .)': Crame>orD 3.5.1 antes de poder hacer clic en iguiente. 5.
i es necesario, revise la in#ormacin en la pgina Ser5icios de dominio de $cti5e &irector y, a continuacin, haga clic en Siguiente.
B. !n la pgina Confirmar selecciones de instalacin, haga clic en Instalar. 1. !n la pgina :esultados de la instalacin, haga clic en Cierre este asistente e inicie el $sistente para la
instalacin de los Ser5icios de dominio de $cti5e &irector /dcpromo#e2e1.
?. !n la pgina $sistente para la instalacin de los Ser5icios de dominio de $cti5e &irector , haga clic
en Siguiente. i desea reali'ar una instalacin desde un medio, identi#icar el controlador de dominio de origen para la replicacin de 5* * o especi#icar la directiva de replicacin de contrase"as 6P2P7 para un 28*C como parte de la instalacin del controlador de dominio adicional, seleccione Usar la instalacin en modo a5an9ado. E. !n la pgina Compatibilidad de sistema operati5o, revise la advertencia acerca de la con#iguracin de seguridad predeterminada para -indo.s erver /001 y los controladores de dominio de -indo.s erver /001 2/ y, a continuacin, haga clic en Siguiente. 12. !n la pgina Elegir una configuracin de implementacin, haga clic en ;osque e2istente, haga clic en $gregar un controlador de dominio a un dominio e2istentey, a continuacin, haga clic en Siguiente. 11. !n la pgina Credenciales de red, escriba el nombre de un dominio e(istente en el bosque donde planea instalar el controlador de dominio adicional. !n Especifique las credenciales de cuenta que se usar<n para la instalacin, haga clic en =is credenciales de inicio de sesin actuales o haga clic en Credenciales alternati5as y, a continuacin, haga clic en Establecer. !n el cuadro de dilogo Seguridad de Windows, escriba el nombre de usuario y la contrase"a para una cuenta que pueda instalar el controlador de dominio adicional. Para instalar un controlador de dominio adicional, debe ser miembro del grupo 5dministradores de empresas o del grupo 5dministradores de dominio. Cuando termine de proporcionar las credenciales, haga clic en Siguiente. 12. !n la pgina Seleccione un dominio, seleccione el dominio del nuevo controlador de dominio y, a continuacin, haga clic en Siguiente. 13. !n la pgina Seleccione un sitio, seleccione un sitio de la lista o la opcin del sitio que corresponda a la direccin pciones adicionales del controlador de dominio, realice las siguientes selecciones y, a continuacin, haga clic en Siguiente3 o Ser5idor &"S3 esta opcin est activada de #orma predeterminada para que el controlador de dominio pueda #uncionar como un servidor de istema de nombres de dominio 6*+ 7 i no desea que el controlador de dominio sea un servidor *+ , desactive esta opcin.
1ota
,i selecciona la opci"n para instalar el ser$idor D),* es posible que reciba un mensaje que le indiq ser$idor no se pudo crear + que debe crearla manualmente en el ser$idor D), para asegurar una res un controlador de dominio adicional +a sea en el dominio ra7% del bosque o en un dominio ra7% del delegaci"n D),. 'n este caso* haga clic en - + no tenga en cuenta este mensaje.
o Cat<logo global3 esta opcin est activada de #orma predeterminada. 5grega el catlogo global y las particiones del directorio de solo lectura al controlador de dominio, y activa la #uncionalidad de bsqueda del catlogo global. Controlador de dominio de solo lectura3 esta opcin no est activada de #orma predeterminada. $ace que el controlador de dominio adicional sea de solo lectura, es decir, convierte el controlador de dominio en un 28*C.
i no tiene direcciones estticas <Pv) e <PvP asignadas a los adaptadores de red, puede aparecer un mensaje de advertencia que le indicar que debe establecer direcciones estticas para ambos protocolos antes de continuar. i asign una direccin esttica <Pv) al adaptador de red, y su organi'acin no usa <PvP, puede pasar por alto este mensaje y hacer clic en S?, el equipo usar< una direccin IP asignada en forma din<mica /no se recomienda1#
2mportante
,e recomienda no deshabilitar el protocolo 3P$B. 15. i activa Usar la instalacin en modo a5an9ado en la P<gina principal, aparece la pgina Instalar desde
el medio. Puede proporcionar la ubicacin de los medios de instalacin que se usarn para crear el controlador de dominio y con#igurar 5* * , o puede reali'ar la replicacin a trav&s de la red. %enga en cuenta que algunos datos se replicaran a trav&s de la red incluso si reali'a la instalacin desde un medio. Para obtener in#ormacin acerca de cmo usar este m&todo para instalar el controlador de dominio, vea el tema acerca de la Instalar $& &S desde medios. 1B. i seleccion Usar la instalacin en modo a5an9ado en la pgina de ;ien5enida, aparece la pgina Controlador de dominio de origen. $aga clic en &e!ar que el asistente eli!a el controlador de dominio adecuado o en Usar este controlador de dominio espec?fico para especi#icar un controlador de dominio que desee proporcionar como origen para la replicacin para crear el nuevo controlador de dominio y, a continuacin, haga clic en Siguiente. i no opta por reali'ar la instalacin desde un medio, todos los datos se replicarn desde este controlador de dominio de origen. 11. !n la pgina Ubicacin de la base de datos, los arc'i5os de registro S@S3>A, escriba o busque las ubicaciones de la carpeta y el volumen para el archivo de base de datos, los archivos de registro del servicio de directorio y los archivos de volumen del sistema 6 ? :8,7 y, a continuacin, haga clic en Siguiente. ,a #uncin Copias de seguridad de -indo.s erver hace una copia de seguridad del servicio de directorio segn el volumen. Para que las copias de seguridad y la recuperacin sean e#icaces, almacene estos archivos en volmenes independientes que no tengan aplicaciones u otros archivos que no est&n en el directorio. 1?. !n la pgina ContraseBa de admin# del modo de restauracin de ser5icios de directorio , escriba y con#irme la contrase"a del modo de restauracin y, a continuacin, haga clic en Siguiente. !sta contrase"a se debe usar para iniciar 5* * en el modo de restauracin del servicio de directorio 6* 2=7 para tareas que se deben reali'ar sin cone(in. 1E. !n la pgina :esumen, revise las selecciones reali'adas. $aga clic en $tr<s para cambiar cualquier seleccin, si #uera necesario. Para guardar la con#iguracin que seleccion en un archivo de respuesta que pueda usar para automati'ar operaciones de 5* * subsiguientes, haga clic en E2portar configuracin. !scriba el nombre del archivo de respuesta y, a continuacin, haga clic en Cuardar. Cuando est& seguro de que las selecciones reali'adas son precisas, haga clic en Siguiente para instalar 5* * . 22. !n la pgina Dinali9acin del $sistente para la instalacin de los Ser5icios de dominio de $cti5e &irector , haga clic en Dinali9ar. /D. Puede seleccionar la casilla :einiciar al completar para reiniciar el servidor automticamente o puede reiniciarlo para completar la instalacin de 5* * cuando se le solicite.
Uso de herramientas de diagnstico para un Controlador de Dominio
Uso de herramientas de diagnstico para un Controlador de Dominio para Windows 2000, Windows 2003 o Windows 2008, A continuacin de describen recursos y herramientas de los que un administrador de sistemas dispone a mano para poder llevar a cabo ante determinadas circunstancias tareas tan necesarias como pueden ser la verificacin de las rplicas entre Controladores de Dominio, repaso de la sincronizacin horaria, chequeo de puertos necesarios para el Directorio Activo, registros necesarios en un servidor DNS, etc !l documento es orientativo y hay que destacar siempre que su uso puede depender de las diferentes circunstancias y situaciones que se puedan dar a la hora de tener que realizar diagnsticos, chequeos y diferentes operaciones de mantenimiento sobre nuestro Directorio Activo y Controladores de Dominio que lo mantienen
Qu saber antes de empe ar! bre"e introduccin al Directorio #cti"o Antes de poder montar una infraestructura de red basada en los servicios de directorio de "icrosoft #Directorio Activo$, es necesario tener claro los conceptos y funciones principales que hacen posible que dicha tecnolog%a sirva para implementar una solucin y no un problema !s por eso que hay que conocer muy bien los conceptos b&sicos que se interrelacionan entre s% a la hora de hacer funcionar el Directorio Activo A continuacin se e'pone una breve lista y una peque(a descripcin de lo que una persona debe conocer antes de implementar una solucin con el Directorio Activo) ser%a muy recomendable que se repasaran dichos trminos*tecnolog%as en la propia ayuda del sistema o en la +eb de "icrosoft para poder comprender me,or el funcionamiento de lo que se va a e'plicar-
Directorio #cti"o, $%u es& !l Directorio Activo es el servicio de directorio de "icrosoft.pero, /qu es un servicio de directorio0 1n servicio de directorio es como una base de datos para guardar gran cantidad de informacin y poder consultarla, agruparla, modificarla, etc ) haciendo un e,emplo, es como si fuera una agenda donde vamos a guardar y organizar la informacin que para nosotros es necesaria y 2til 3or tanto, en el Directorio Activo guardaremos la informacin 2til para la empresa, y despus poder hacer diversos tipos de acciones sobre dicha informacin D'( !l servicio de DNS sirve para la resolucin de nombres de m&quina a una direccin 43 y viceversa Adem&s, para el Directorio Activo, es su base, o me,or dicho, son sus cimientos) si el DNS no est& bien configurado o tiene problemas, entonces nuestro dise(o de Directorio Activo no funcionar& adecuadamente y nos dar& m&s problemas que soluciones, ya que el Directorio Activo usa el servicio de DNS para poder de,ar informacin que despus las estaciones de traba,o tendr&n que poder consultar para interactuar correctamente con el servicio de directorio #validacin, consultas, b2squedas, etc $
)aestros de *peraciones +,()*- . /lobal Catalog A pesar de que a partir de 5indo+s 6777 Server se ha cambiado el modelo de rplicas basado en 8maestro9esclavo: como hab%a en N;< #el servidor que hac%a de 3DC actualizaba los cambios y despus replicaba a los =DC que pudiera haber$ a 8multimaestro: #cualquier DC puede actualizar los datos y despus replicarlos con el resto de DC>s$, hay que tener en cuenta que ciertas operaciones 8cr%ticas: e incluso cotidianas slo pueden ser llevadas a cabo por determinados DC que lleven alguno
de los roles especiales !sos roles sirven para concretar unas funciones espec%ficas a llevar a cabo por un DC, por lo tanto, es muy importante comprender la funcin de stos y las consecuencias que puede haber en caso de una ca%da #en el apartado A ? 4mplicaciones de un DC, @S"A o Blobal Catalog ca%do se puede ver m&s detaalladamente una lista de posibles implicaciones$ A continuacin podemos ver una serie de enlaces donde se e'plican y detallan estos roles especiales-
(itios +sites1n site es simplemente una agrupacin de subredes lgicas, mediante la cual, el servicio de directorio ser& capaz de generar internamente y de manera transparante la topolog%a de replicacin entre servidores de subredes con buena comunicacin entre s%, dar la posibilidad de establecer horarios e intervalos de replicacin entre DC>s de diferentes subredes que no tengan tan buena comunicacin y aprovechar as% me,or el ancho de banda, o para poder resolver me,or las peticiones de un cliente #as%, por e,emplo, es posible que un cliente quiera consultar un servidor que sea Blobal Catalog) seg2n la subred a la que pertenezca el cliente, y si est& est& definida en alg2n site, el servicio de directorio ser& capaz de proporcionar a ese cliente una respuesta inform&ndole de los servidores de Blobal Catalog a los que m&s 8f&cil y r&pidamente: puedan conectar para llevar a cabo su peticin, y evitar as%, por e,emplo, responderle con un BC que pudiera estar en una subred con un ancho de banda muy ba,o$
Digamos que estos < puntos descritos son los pilares b&sicos que deben conocerse y entenderse para poder llevar a cabo una correcta implementacin basada en una solucin de Directorio Activo #por supuesto, por deba,o hay mucho m&s que se puede ver mirando muchos de los enlaces o documentacin aqu% ad,unta o en la +eb de "icrosoft$ Si alguna funcin o parte de estos < puntos falla, por la causa que sea, supondr& un problema ya que podremos empezar a e'perimentar ciertos y diversos 8comportamientos e'tra(os: con nuestro Directorio Activo 3roblemas tan diversos como la imposibilidad de que un usuario inicie sesin, que un DC de,e de replicar con otro, no poder abrir una consola de gestin, o que no podamos unir m&quinas al dominio pueden darse si no implementamos correctamente nuestro Directorio Activo !s importante recalcar que la mayor parte de los problemas m&s comunes o cotidianos, se suelen deber en gran parte a una mala configuracin DNS, tanto del servidor como en la parte cliente, de ah% que sea necesario recalcar que si no entendemos bien el funcionamiento de un DNS ni su implicacin y relacin estrech%sima con el Directorio Activo, tendremos entonces muchos problemas en muchas partes que afecten a los clientes) por e,emplo, no se aplicar&n correctamente las pol%ticas de grupo) los clientes no podr%an localizar servidores para hacer consultas y peticiones como puede ser un servidor para el inicio de sesin) la rplica entre DC>s falla debido a que no son capaces de conectar correctamente entre s%, etc Ca definicin de sites tambin es important%sima, ya que con ella podemos evitar que un cliente de una sede, por e,emplo, se valide en un DC de otra sede de otro pa%s teniendo un DC en su misma subred u otra m&s accesible A evitar que un DC de una sede replique con otro de otra sede en horas de traba,o, restando y degradando as% el ancho de banda, seguramente m&s necesario a esas horas para otro tipo de operaciones !s com2n tambin pensar que si en una subred remota no hay ning2n DC, no es necesario definirla porque no va a afectar a nuestro dise(o ya que mucha gente piensa que los sites slo son 2tiles de cara a los DC>s para replicar entre s% Nada m&s le,os de la realidad Como hemos e'plicado, los sites no slo sirven para que los DC>s repliquen a horas e intervalos establecidos.si no para que clientes de esa subred puedan localizar servicios en subredes m&s pr'imas o con me,or ancho de banda que otras posibles que pueda haber sin tener que generar tr&fico de red innecesario o siquiera obtener una respuesta adecuada 1n e,emplo claro como hemos dicho antes, puede ser una oficina peque(a de D puestos de traba,o, que no tengan ning2n DC en esa oficina 3ara iniciar sesin tendr&n que localizar un DC, y por tanto, preguntar&n al DNS por un servidor v&lido para ello) si no hay una definicin de sites correcta, es posible que el DNS le responda
cualquier servidor que pueda estar en una sede remota con un ancho de banda psimo.con lo cual ya tenemos un problema grave) en cambio, si hay una definicin de Sites adecuada, el DNS habr& registrado mediante el servicio de directorio qu DC>s pueden ser los m&s 8ptimos: para esa peque(a red remota a la hora de proporcionarles el inicio de sesin 1 otro e,emplo menos visto puede darse en el acceso a un recurso de D@S que puede estar replicado en varios servidores Con la definicin de sites, un cliente podr& saber qu servidor es el m&s 8pr'imo: o propicio para acceder a dicho D@S) sin la definicin de sites y subredes, no Se pueden dar much%simos m&s casos, y es por ello que a continuacin se describen una serie de herramientas y procedimientos que podemos usar para intentar detectar y solventar los problemas que se nos puedan presentar 0eali ar un diagnstico del DC Ante alg2n posible fallo relacionado con el AD, lo primero que podemos mirar es el resultado que se produce al e,ecutar las siguientes herramientas de diagnstico para el servicio de directorio #para poder hacer uso de ellas es necesario instalar las support tools del CD de 5indo+s 677?$-
12 DCD3#/ !sta herramienta sirve para hacer una serie de test a los DC>s del dominio o bosque con el fin de poder encontrar alg2n error entre ellos 1n e,emplo de un dcdiag de un DC que est funcionando correctamente puede ser el siguiente-
Domain Controller Diagnosis 3erforming initial setupDone gathering initial info Doing initial required tests ;esting server- Default9@irst9Site9NameEDCCA=F Starting test- Connectivity DCCA=F passed test Connectivity Doing primary tests ;esting server- Default9@irst9Site9NameEDCCA=F Starting test- Geplications DCCA=F passed test Geplications Starting test- NCSecDesc DCCA=F passed test NCSecDesc Starting test- NetCogons DCCA=F passed test NetCogons Starting test- Advertising DCCA=F passed test Advertising Starting test- Hno+sAfGoleIolders DCCA=F passed test Hno+sAfGoleIolders Starting test- Gid"anager DCCA=F passed test Gid"anager Starting test- "achineAccount DCCA=F passed test "achineAccount Starting test- Services 4smServ Service is stopped on JDCCA=FK DCCA=F failed test Services Starting test- Ab,ectsGeplicated DCCA=F passed test Ab,ectsGeplicated Starting test- frssysvol DCCA=F passed test frssysvol Starting test- frsevent DCCA=F passed test frsevent Starting test- Lccevent DCCA=F passed test Lccevent Starting test- systemlog DCCA=F passed test systemlog Starting test- MerifyGeferences DCCA=F passed test MerifyGeferences Gunning partition tests on - @orestDnsNones Starting test- CrossGefMalidation @orestDnsNones passed test CrossGefMalidation
Starting test- ChecLSDGefDom @orestDnsNones passed test ChecLSDGefDom Gunning partition tests on - DomainDnsNones Starting test- CrossGefMalidation DomainDnsNones passed test CrossGefMalidation Starting test- ChecLSDGefDom DomainDnsNones passed test ChecLSDGefDom Gunning partition tests on - Schema Starting test- CrossGefMalidation Schema passed test CrossGefMalidation Starting test- ChecLSDGefDom Schema passed test ChecLSDGefDom Gunning partition tests on - Configuration Starting test- CrossGefMalidation Configuration passed test CrossGefMalidation Starting test- ChecLSDGefDom Configuration passed test ChecLSDGefDom Gunning partition tests on - laboratorio Starting test- CrossGefMalidation laboratorio passed test CrossGefMalidation Starting test- ChecLSDGefDom laboratorio passed test ChecLSDGefDom Gunning enterprise tests on - laboratorio test Starting test- 4ntersite laboratorio test passed test 4ntersite Starting test- @smoChecL laboratorio test passed test @smoChecL
1na opcin interesante para chequear con sta herramienta es que el DC haya registrado correctamente en los DNS los registros necesarios para que sea reconocido y anunciado en el AD como un DC v&lidodcdiag *test-registerindns *dnsdomain-@ODN *v e,dcdiag *test-registerindns *dnsdomain-Caboratorio test *v
Ca salida del comando si est& correcto ser&-
!n caso de que el resultado no sea correcto habr%a que repasar los DNS que tiene configurado a nivel de la cone'in de red para verificar que son los adecuados
22 '45D3#/ !sta herramienta sirve para hacer una serie de test a nivel de red y cone'iones en el DC que se lanza 1n e,emplo de un netdiag puede ser el siguiente-=
Computer Name- DCCA=F DNS Iost Name- dclabF laboratorio test System info - 5indo+s 6777 Server #=uild ?PQ7$ 3rocessor - 'RS @amily FD "odel 6 Stepping Q, Benuine4ntel Cist of installed hotfi'es H=RFQSQS H=R6?FR6 H=R6??D? H=R6?DDQ H=R6<F7D H=R6<F<F H=R6<FDF H=R6DFFQ H=R6R7?D H=R6RP<F H=R??QRP H=R?<P7P H=R?DP?6 H=R?P77F H=R?QS<? H=R?QS<D H=R<7?FD H=R<7?P< H=R<7QRP H=R<F?DS H=R<FD?? H=RSP<S7 H=RSPR7F H=RP??PS OF<P666 OR6R76S Netcard queries test 3er interface resultsAdapter - CAN9Desarrollo Netcard queries test Iost Name 43 Address Subnet "asL Default Bate+ay Dns Servers - 3assed - dclabF - FQ6 FSR F76 F7F - 6DD 6DD 6DD 7 - FQ6 FSR F76 F - 6F? FS? D F?P - 3assed - 3assed
AutoConfiguration results
Default gate+ay test - @ailed No gate+ay reachable for this adapter Net=; name test - 3assed J5AGN4NBK At least one of the T77U V5orLStation ServiceV, T7?U V"essenger ServiceV, T67U V54NSV names is missing 54NS service test - SLipped ;here are no 54NS servers configured for this interface Adapter - MirtualW4nterna Netcard queries test Iost Name 43 Address Subnet "asL Default Bate+ay Dns Servers - 3assed - dclabF - F7 F F F - 6DD 6DD 6DD 7 - F7 F F F F7 F F 6 - 3assed
AutoConfiguration results
Default gate+ay test - SLipped J5AGN4NBK No gate+ays defined for this adapter Net=; name test - 3assed J5AGN4NBK At least one of the T77U V5orLStation ServiceV, T7?U V"essenger ServiceV, T67U V54NSV names is missing No remote names have been found 54NS service test - SLipped ;here are no 54NS servers configured for this interface Blobal resultsDomain membership test - 3assed
Net=; transports test - 3assed Cist of Net=t transports currently configuredNet=;W;cpipWXQFRP?@!Q96@SF9<!6F9Q<PC9!QQ@?QA=@SD!Y Net=;W;cpipWX=RDSQRCD9RQ=C9<!QR9=6AS9=D@FSFSPR?!!Y 6 Net=t transports currently configured Autonet address test 43 loopbacL ping test Default gate+ay test - 3assed - 3assed - @ailed
J@A;ACK NA BA;!5AZS AG! G!ACIA=C! Zou have no connectivity to other net+orL segments 4f you configured the 43 protocol manually then you need to add at least one valid gate+ay Net=; name test - 3assed J5AGN4NBK Zou donVt have a single interface +ith the T77U V5orLStation ServiceV, T7?U V"essenger ServiceV, T67U V54NSV names defined 5insocL test - 3assed
DNS test - 3assed J5AGN4NBK Cannot find a primary authoritative DNS server for the name VdclabF laboratorio test V J!GGAGW;4"!A1;K ;he name VdclabF laboratorio test V may not be registered in DNS J5AGN4NBK ;he DNS entries for this DC cannot be verified right no+ on DNS server 6F? FS? D F?P, !GGAGW;4"!A1; 3ASS 9 All the DNS entries for DC are registered on DNS server VF7 F F FV and other DCs also have some of the names registered 3ASS 9 All the DNS entries for DC are registered on DNS server VF7 F F 6V and other DCs also have some of the names registered Gedir and =ro+ser test - 3assed Cist of Net=t transports currently bound to the Gedir Net=;W;cpipWXQFRP?@!Q96@SF9<!6F9Q<PC9!QQ@?QA=@SD!Y Net=;W;cpipWX=RDSQRCD9RQ=C9<!QR9=6AS9=D@FSFSPR?!!Y ;he redir is bound to 6 Net=t transports Cist of Net=t transports currently bound to the bro+ser Net=;W;cpipWXQFRP?@!Q96@SF9<!6F9Q<PC9!QQ@?QA=@SD!Y Net=;W;cpipWX=RDSQRCD9RQ=C9<!QR9=6AS9=D@FSFSPR?!!Y ;he bro+ser is bound to 6 Net=t transports DC discovery test DC list test ;rust relationship test Herberos test CDA3 test =indings test - 3assed - 3assed - SLipped - 3assed - 3assed - 3assed
5AN configuration test - SLipped No active remote access connections "odem diagnostics test - 3assed
43 Security test
- SLipped
Note- run [netsh ipsec dynamic sho+ *0[ for more detailed information ;he command completed successfully
32 046#D)3' !sta herramienta sirve para comprobar las rplicas entre los servidores A continuacin se muestra un e,emplo en el que se ven las rplicas establecidas y llevadas a cabo por el servidor 8server1:repadmin *sho+repl serverF microsoft com 3ress !nter and the follo+ing output is displayed-
repadmin *sho+repl serverF microsoft com =uildingPaEserverF DC Aptions - 4SWBC Site A3tions- #none$ DC ob,ect B14D - <7Ddb7PP9le6R9<R6D9b66D9cDbbQafSfD7b DC invocation4D- <7Ddb7PP9le6R9<R6D9b66D9cDbbQafSfD7b \\\\ 4N=A1ND N!4BI=AGS \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ CN\Schema,CN\Configuration,DC\microsoft,Dc\com =uildingPbEserver6 via G3C ob,ectBuid- eDDcScPD9PDbb9<RDa9a7d?9767a<<c?afeP last attempt ] 677697Q97Q F6-6D ?D +as successful
CN\Configuration,DC\microsoft,Dc\com =uildingPbEserver6 via G3C ob,ectBuid- eDDcScPD9PDbb9<RDa9a7d?9767a<<c?afeP last attempt ] 677697Q97Q F6-6D F7 +as successful
DC\microsoft,Dc\com =uildingPbEserver6 via G3C ob,ectBuid- eDDcScPD9PDbb9<RDa9a7d?9767a<<c?afeP last attempt ] 677F97Q97Q F6-6D FF +as successful
72 0468)*' !s la utilidad gr&fica del repadmin, y tiene las mismas funcionalidades pero de un modo m&s intuitivo y f&cil de hacer e interpretar) puede comprobar el estado de la rplica entre las diferentes particiones del AD entre los diferentes DC>s implicados) forzar la sincronizacin entre ellos, ver errores de rplica o hacer testeos de los @S"A A continuacin se detallan las opciones m&s comunes y el uso de dicha herramienta 3ara arrancarla basta ir a 8StartRun: replmon:-
3ara a(adir un DC y empezar a hacer los diagnsticos, con el botn derecho sobre Monitored Servers elegimos la opcin para a(adir un DC-
Nos preguntar& por cmo queremos a(adir o buscar el DC, si por el nombre o a travs del directorio) en nuestro e,emplo ser& a partir del directorio-
A continuacin elegiremos el site del que forme parte el DC a chequear y al propio Dc como tal-
;ras ello veremos que aparece en pantalla el DC elegido y colgando de l todas las particiones del Directorio Activo que mane,a y replica con el resto de DC>s implicados-
Si e'pandimos cada una de las zonas podremos ver el resultado de la 2ltima sincronizacin que se haya efectuado con el resto de DC>s) si la sincronizacin es correcta aparecer& una imagen de un servidor en gris) si no ha sido as%, aparecer& marcado con un aspa ro,a) podemos ver un e,emplo de ello a continuacin-
Si pinchamos sobre alguna de las particiones con error en la rplica podremos ver el log con el resultado de la operacin-
Si queremos complementar m&s informacin sobre posibles errores entre los DC>s podemos mirar tambin el visor de sucesos para buscar m&s datos al respecto A parte, puede ser interesante en circunstancias determinadas activar a nivel de registro que los datos a recolectar en el visor de eventos sean m&s detallados 3ara elloIo+ to configure Active Directory diagnostic event logging in 5indo+s Server &ttp'((support)microsoft)com(default)asp/3scid45b6en+us63*07%08sd4tec&
Si lo que queremos es forzar la rplica de alguna de las particiones del AD con alg2n DC, basta con elegir dicha particin y con el botn derecho sobre ella seleccionar la opcin de sincronizar con el DC elegido-
1na vez forzada la rplica podremos ver como hemos indicado antes en el log el resultado de la misma
3ara ver los controladores de dominio presentes, seleccionamos nuestro DC y con el botn derecho sobre l elegimos la opcin para mostrar los DC>s
3ara ver los DC>s que sean adem&s Blobal Catalog, hacemos lo mismo que anteriormente pero seleccionando dicha opcin-
Si tuviramos varios sitios y quisiramos saber los DC>s designados como cabezas de puente para la replicacin entre ellos podemos hacerlo de ste modo-
Si no hay ninguno #como en ste e,emplo$ el mensa,e que se devuelve ser&-
Si queremos ver los roles #si es que tiene$ el DC o hacer testeos de los @S"A en el directorio, editamos las propiedades del Server monitorizado-
3ara testear los @S"A, nos situamos en su pesta(a y damos al botn del test-
3ulsamos en Ouery
Si queremos ver qu 8roles: o funciones definidas lleva ste DC, nos situamos sobre la pesta(a de Server Flags-
Si queremos ver las replicaciones Intra-Site de ste DC con otros, nos situamos sobre la pesta(a de Inbound Replication Connection:
Si queremos chequear que el HCC #el cual se encarga de generar y mantener el estado de las rplicas tanto intra como inter9site$ est funcionando adecuadamente-
Si queremos ver si hay alg2n error de ob,etos sin replicar entre los DC>s, tambin podemos ir al men2 de 8ActionDomainSearch DC or Replication !rrors:-
Nos aparecer& la siguiente ventana en la que deberemos pulsar sobre el botn Run Search para que comience el test-
4ndicamos el nombre del dominio ^ [AH[,
Si hubiera alg2n error de rplicas aparecer%a en la pantalla anterior-
92 6*05Q0: !sta herramienta sirve para comprobar la conectividad entre los servidores mediante puertos ;C3 y 1D3 3or e,emplo, para verificar la conectividad al puerto F?D de un Serverportqry *n F7 FQ? ?S 6F7 *p udp *e F?D
Ouerying target system calledF7 FQ? ?S 6F7 Attempting to resolve 43 address to a name 43 address resolved to GH;CA=DC6 1D3 port F?D #epmap service$- C4S;!N4NB or @4C;!G!D Ouerying !ndpoint "apper Database ServerVs response114D- a77c76Fc96be69FFd69bSPR97777fRPaRfRe 3!G@"AN S!GM4C! ncacnWnp-EEEEGH;CA=DC6JEEpipeEE77777?bR 777K
114D- d7<QbFRS9RF<f9FFdF9Qa?c977c7<fcQb6?6 Nt@rs A34 ncacnWnp-EEEEGH;CA=DC6JEEpipeEE77777?bR 777K ;otal endpoints found- SQ \\\\ !nd of G3C !ndpoint "apper query response \\\\ 1D3 port F?D is C4S;!N4NB
A parte-
IA5 ;A- 1se 3ortqry to ;roubleshoot Active Directory Connectivity 4ssues- &ttp'((support)microsoft)com(default)asp/3scid45b6.1+9 6%*:*03
;2 '(8**<U6 Se usa para hacer test de resolucin de nombres en un servidor de DNS !s muy recomendable hacer la verificacin de que los registros de tipo SGM necesarios para que el AD funcione adecuadamente estn correctamente registrados en el DNS 3ara ello, en un C"D escribimos nsloo"up, y a continuacin set #$SR% ;ras ello &ldap'&tcp'dc'&msdcs'ActiveDirector(Domain)ame 1n e,emplo de elloC-EnslooLup
Default Server- dcF e'ample microsoft com Address- F7 7 7 F< set type\srv Wldap Wtcp dc Wmsdcs e'ample microsoft com Server- dcF e'ample microsoft com Address- F7 7 7 F< Wldap Wtcp dc Wmsdcs e'ample microsoft com SGM service locationpriority \7 +eight \7 port \ ?RQ svr hostname \ dcF e'ample microsoft com Wldap Wtcp dc Wmsdcs e'ample microsoft com SGM service locationpriority \7 +eight \7 port \ ?RQ svr hostname \ dc6 e'ample microsoft com dcF e'ample microsoft com internet address \ F7 7 7 F< dc6 e'ample microsoft com internet address \ F7 7 7 FD
=2 D(#(5#5 !sta herramienta sirve para comparar y detector diferencias entre las bases de datos de directorio de los DC>s que pueda haber Sirve de complemento a las anteriores 3or e,emplo, para ver las diferencias que pueda haber entre 6 DC>s #dclab1 y dclab*, del dominio laboratorio'test$, e,ecutaremos lo siguiente en un C"DDsastat _s-dclabF)dclab6 _b-DC\laboratorio,DC\test
!l resultado ser&Stat9Anly mode 1nsorted mode Apening connections dclabF success Connecting to dclabF reading `Ù nt"i'edDomain \ 7 reading `Ù Aptions \ Setting server as JdclabFK as server to read Config 4nfo dclab6 success Connecting to dclab6 reading `Ù nt"i'edDomain \ 7 reading `Ù Aptions \ ignored attr;ype \ 7'?, b4sGepl 6 D < ? ignored attr;ype \ 7'b, b4sGepl 6 D < FF =!B4N- Betting all special metadata attr info
99U Adding special meta attrs, #?, cn$ 99U Adding special meta attrs, #S, c$ 99U Adding special meta attrs, #F?PS6RF, dc$ 99U Adding special meta attrs, #P, l$ 99U Adding special meta attrs, #DQFD66, ms;A349uid$ 99U Adding special meta attrs, #F7, o$ 99U Adding special meta attrs, #FF, ou$ !ND- Betting all special metadata attr info No attributes in schema \ F7P7 No attributes in replicated \ F7FD No attributes in 3AS \ FDF Beneration Domain Cist on server dclabF U Searching server for BC attribute partial set on property attribute4d U Searching server for BC attribute partial set on property ldapDisplayName Getrieving statistics 3aged result search 3aged result search SvrJdclabFK !ntries \ S< SvrJdclab6K !ntries \ S< SvrJdclabFK !ntries \ S< SvrJdclab6K !ntries \ S< SvrJdclabFK !ntries \ S< SvrJdclab6K !ntries \ S< SvrJdclabFK !ntries \ S< D7 entries processed #P msg queued, 7 ob, stored, 7 ob, deleted$ F77 entries processed #P msg queued, 7 ob, stored, 7 ob, deleted$ FD7 entries processed #P msg queued, 7 ob, stored, 7 ob, deleted$ 677 entries processed #P msg queued, 7 ob, stored, 7 ob, deleted$ 6D7 entries processed #P msg queued, 7 ob, stored, 7 ob, deleted$ ?77 entries processed #P msg queued, 7 ob, stored, 7 ob, deleted$ ?D7 entries processed #P msg queued, 7 ob, stored, 7 ob, deleted$ <77 entries processed #P msg queued, 7 ob, stored, 7 ob, deleted$ SvrJdclab6K !ntries \ S< SvrJdclabFK !ntries \ S SvrJdclab6K !ntries \ S #;erminated query to dclabF TNo result present in messageU$ #;erminated query to dclab6 TNo result present in messageU$ <D7 entries processed #? msg queued, 7 ob, stored, 7 ob, deleted$ D77 entries processed #? msg queued, 7 ob, stored, 7 ob, deleted$ 99U SvrJdclabFK has returned 6DS ob,ects 99U SvrJdclab6K has returned 6<< ob,ects 9\UUa``` DSA Diagnostics ``àTT\9 Ab,ects per serverAb,*Svr builtinDomain classStore computer container dfsConfiguration dnsNode dnsNone domainDNS domain3olicy fileCinL;racLing foreignSecurity3rincipal group group3olicyContainer infrastructure1pdate ipsec@ilter ipsec4SAH"33olicy ipsecN@A ipsecNegotiation3olicy ipsec3olicy linL;racLAb,ect"ove;able linL;racLMolume;able lostAnd@ound mS"OConfiguration msDS9OuotaContainer n;@GS"ember n;@GSGeplicaSet n;@GSSettings n;@GSSubscriber n;@GSSubscriptions organizational1nit r4D"anager r4DSet rpcContainer samServer secret user 999 ;otal-
dclabF dclab6 ;otal F F ? RP F DQ S F F ?6 6 R ? F F F ? RP F DQ S F F F < ?6 ? F 6 ? R S ? F F F F F 6 F F 6 6 6 F 6 F F < FD 6S6 6 6 S FP< 6 FFR F6 F 6 6 < S< ? F < ? FS S S F F 6 F F 6 F F 6 6 6 6 < 6 6 R ?7 D6<
6 R S 6 S F6 6 6 6 6 < 6 6 < < <
F 6 F F < FD 6S6
=ytes per ob,ectAb,ect
=ytes
builtinDomain ??< classStore ?66 computer <?R< container ?6SQ< dfsConfiguration ?S6 dnsNode FQ?6R dnsNone 6766 domainDNS ??D7 domain3olicy ?P7 fileCinL;racLing ??6 foreignSecurity3rincipal FD6R group 6DF?R group3olicyContainer FS<6 infrastructure1pdate ?SS ipsec@ilter F?SR ipsec4SAH"33olicy FSF< ipsecN@A <DFR ipsecNegotiation3olicy <67R ipsec3olicy 6?SR linL;racLAb,ect"ove;able <6< linL;racLMolume;able ?Q7 lostAnd@ound <7< mS"OConfiguration 6FS6 msDS9OuotaContainer <F6 n;@GS"ember F66< n;@GSGeplicaSet <?6 n;@GSSettings <FS n;@GSSubscriber F<DS n;@GSSubscriptions PDS organizational1nit QP< r4D"anager ?FR r4DSet DS< rpcContainer ?<7 samServer ?FR secret FS6< user RRP7
=ytes per serverServer dclabF dclab6
=ytes S?SSS S?SSS
ChecLing for missing replies No missing repliesb4N@A- Server sizes are equal ``` 4dentical Directory 4nformation ;rees ``` 9\UU 3ASS TT\9 closing connections dclabF) dclab6)
5areas peridicas a lle"ar a cabo en un DC Si nuestro Directorio Activo sufre cont%nuos cambios en la base de datos del metadirectorio #por e,emplo, adicin*eliminacin constante de cuentas de usuario, m&quinas, pol%ticas, etc$ ser%a muy aconse,able una vez al mes llevar a cabo una defragmentacin offline Si no es as%, no es necesario a cabo nada en este respecto ya que la defragmentacin online ser& suficiente Si no hay muchos DC>s o sites configurados, deber%a bastar una vez al mes realizar un diagnstico de los DC>s empleando las herramientas de dcdiag, netdiag . replmon como se ha e'plicado arriba para hacer un chequeo del estado de las rplicas, @S"A>s y Blobal Catalog Comprobar al menos una vez a la semana que el DC con el rol de 3DC!mulator encargado de sincronizar la hora lo haga adecuadamente
Comprobar al menos una vez al mes con la herramienta dsastat que los DC>s entre s% no tengan diferencias en los ob,etos replicados.
Comprobar al menos una vez al mes que no hay errores con 4D DPP<, DPPD y DPRF por el servicio Netlogon en la parte de Sistema !sos 4D pueden suponer que el DC no ha registrado correctamente en el DNS los registros necesarios para anunciarse y actuar como DC 3ara ello seguir el procedimiento siguiente) Gepasar al menos una vez al mes que los DC>s est&n al d%a en cuanto de parches de seguridad se refiere.
Si nuestro DC tiene soft+are de antivirus, repasar diariamente que se encuentra actualizado adecuadamente
'*5#! la periodicidad puede variar en funcin de muchas circunstancias y situaciones, por lo que se ha especificado es slo a modo orientativo
3roblemas comunes relacionados y tareas que podemos revisar A continuacin se hace una relacin de los problemas m&s comunes que se suelen dar y las posibles soluciones o tareas que podemos llevar a cabo para intentar resolverlos Cabe recalcar que son los problemas m&s comunes y las soluciones m&s comunes, lo cual quiere decir que puede ser que se produzcan por otros motivos diferentes #en cuyo caso podemos hacer uso de las herramientas e'plicadas para intentar detectar el punto de fallo y obrar en consecuencia, o podemos siempre acudir a los foros de soporte gratuito de "S &ttp'((www)microsoft)com(spanis&(msdn(gruposnoticias)asp &ttp'((www)microsoft)com(spain(tec&net(comunidad(grupos(default)asp $ Cos clientes 5indo+s 6777 en adelante tardan en validarse mucho tiempo para el inicio de sesin
Ca causa m&s com2n se deriva de una mala implementacin o configuracin del DNS, ya sea en el propio servidor o en la estacin de traba,o Iay que repasar que los DC>s en su configuracin de ;C3*43 tienen los servidores DNS adecuados, y los adecuados son servidores de DNS internos en los cuales el Directorio Activo registra sus registros necesarios para el correcto funcionamiento de ste Nunca deber& aparecer la 43 de un DNS que no tenga este ob,etivo #por e,emplo, el de un 4S3$, ya que para eso deben configurarse los reenviadores Cas pol%ticas de grupo no se aplican
Ca causa m&s com2n suele ser tambin la descrita en el punto anterior Si no fuera el caso, aunque no sea la tem&tica de este documento #las pol%ticas de grupo o B3A necesitan su propio documento debido a que tambin dan mucho ,uego$, se de,an a continuacin algunos enlaces que pueden ser de ayuda u orientacin Cos DC>s de diferentes Sites, y del mismo dominio de,an de replicar
Co primero que deberemos verificar es que entre dichos DC>s haya conectividad por el puerto F?D ;C3 3ara ello podemos usar la herramienta6ort%uer. !s importante tener en cuenta que los DC>s que lleven m&s de S7 d%as sin replicar ya no podr&n hacerlo Si hay conectividad por el puerto F?D ;C3, deberemos entonces repasar que hay resolucin de
nombres por el DNS, la sincronizacin horaria est& correcta y repasar el visor de eventos para m&s informacin al respecto y ver si alguna de las herramientas descritas puede ayudar a averiguar m&s Cos usuarios no inician sesin
1n usuario necesita acceder a un DC que sea Blobal Catalog para poder iniciar sesin #a partir de 5indo+s Server 677? ya no es imperativo) se necesita un DC que tenga habilitada la posibilidad del cacheo de membres%a a grupos universales y que el usuario haya hecho logon a travs de dicho DC$ ;ambin es importante repasar que la sincronizacin horaria es la adecuada entre la estacin cliente y un DC de su dominio Cos clientes validan o acceden a recursos de servidores de otra subred en lugar de acceder a los de la suya
Deberemos repasar que su subred est asociada al Site adecuado, y en caso de no ser as%, definirlo cuanto antes 1n DC con un @S"A ha ca%do y no puede volverse a poner en red
!l procedimiento adecuado en estos casos pasa primero por forzar el traspaso del @S"A de dicho DC a otro ;ras ello, es importante eliminar la referencia de dicho DC en la metabase del Directorio Activo, ya que de lo contrario afectar& al rendimiento y funcionamiento de nuestro servicio de directorio 1na vez que se haya replicado este cambio, podemos verificar con la herramienta de 0eplmon que los cambios se han llevado a cabo satisfactoriamente
!liminacin de metadatos en el AD
Ante la ca%da de un DC en un dominio dado y si no ha. posibilidad ninguna de restaurarlo debido por e,emplo a que el servidor ha sufrido una averigua irrecuperable, o simplemente el contenido de los discos se ha degradado, seguiremos el siguiente procedimiento Iaga clic en 3nicio, seleccione 6rogramas, #ccesorios y, a continuacin, haga clic en (>mbolo del sistema !n el s%mbolo del sistema, escriba ntdsutil y, a continuacin, presione !N;GAG !scriba metadata cleanup y, a continuacin, presione !N;GAG Seg2n las opciones dadas, el administrador puede realizar la eliminacin) pero para que ello sea posible se deben especificar par&metros de configuracin adicionales !scriba connections y presione !N;GAG !ste men2 se usa para conectar el servidor espec%fico donde se produzcan los cambios Si el usuario que ha iniciado sesin no tiene permisos administrativos, se pueden suministrar credenciales diferentes especificando las credenciales que hay que usar antes de realizar la cone'in 3ara ello, escriba set creds nombre de dominionombre de usuariocontrasea y, a continuacin, presione !N;GAG 3ara escribir una contrase(a nula, escriba null en el par&metro correspondiente a la contrase(a !scriba connect to ser"er nombre de servidor y, a continuacin, presione !N;GAG Debe recibir la confirmacin de que la cone'in se ha establecido correctamente Si se produce un error, compruebe que el controlador de dominio que se usa en la cone'in est& disponible y que las credenciales que ha suministrado tienen permisos administrativos en el servidor 'ota Si intenta conectar el mismo servidor que desea eliminar, cuando intente eliminar el servidor
al que se hace referencia en el paso FD, puede aparecer un mensa,e de error similar al siguiente!rror 67Q< No se puede eliminar el ob,eto DSA !scriba %uit y, a continuacin, presione !ntrar Aparece el men2 )etadata Cleanup !scriba select operation target y presione !N;GAG !scriba list domains y presione !N;GAG Se muestra una lista de dominios en el bosque, cada uno con un n2mero asociado !scriba select domain nmero y, a continuacin, presione !N;GAG, donde n+mero es el n2mero asociado con el dominio del que es miembro el servidor que est& quitando !l dominio que seleccione se usa para determinar si el servidor que se est& quitando es el 2ltimo controlador de dominio de ese dominio !scriba list sites y presione !N;GAG Se muestra una lista de sitios, cada uno con un n2mero asociado !scriba select site nmero y, a continuacin, presione !N;GAG, donde n+mero es el n2mero asociado con el sitio del que es miembro el servidor que est& quitando Deber%a recibir una confirmacin que enumere el sitio y el dominio que eli,a !scriba list ser"ers in site y presione !N;GAG Se muestra una lista de los servidores del sitio, cada uno con un n2mero asociado !scriba select ser"er nmero, donde n+mero es el n2mero asociado con el servidor que desea quitar Aparece una confirmacin donde se indica el servidor seleccionado, su nombre de host de Servidor de nombres de dominio #DNS$ y la ubicacin de la cuenta de equipo del servidor que desea quitar !scriba %uit y presione !N;GAG Aparece el men2 )etadata Cleanup !scriba remo"e selected ser"er y presione !N;GAG Debe recibir la confirmacin de que la eliminacin se ha completado correctamente Si aparece el mensa,e de error siguiente-
!rror R<FQ #7'67!?$ No se encontr el ob,eto DSA el ob,eto de configuracin N;DS puede haberse quitado ya de Active Directory porque lo haya quitado otro administrador o como consecuencia de la replicacin de la eliminacin con 'ito del ob,eto despus de e,ecutar la utilidad DC3GA"A 'ota ;ambin puede ver este error cuando intenta enlazar con el controlador de dominio que se va a quitar Ntdsutil tiene que enlazar con otro controlador de dominio distinto al que se va a quitar con la limpieza de metadatos !scriba %uit en cada men2 para salir de la utilidad Ntdsutil Debe aparecer la confirmacin de que la descone'in se ha completado correctamente Ouite el registro cname de la zona Wmsdcs dominio ra,- del bos#ue en DNS Suponiendo que el controlador de dominio #DC$ se va a reinstalar y se va a volver a promover, se crea un nuevo ob,eto de configuracin N;DS con un nuevo B14D y un registro cname coincidente en DNS !s me,or que los DC que e'istan no usen el registro cname antiguo !s aconse,able eliminar el nombre de host y otros registros DNS Si se supera el tiempo de concesin que queda en la direccin de 3rotocolo de configuracin din&mica de host #DIC3, D(namic .ost Con iguration /rotocol$ asignada al servidor sin cone'in, otro cliente puede obtener la direccin 43 del DC problem&tico Ahora que se ha eliminado el ob,eto de configuracin N;DS, puede eliminar la cuenta de equipo, el ob,eto miembro @GS, el registro cname #o Alias$ del contenedor Wmsdcs, el registro A #o Iost$ en DNS, el ob,eto trustDomain para un dominio secundario eliminado y el controlador de dominio 1se ADS4!dit para eliminar la cuenta de equipo 3ara ello, siga estos pasoso 4nicie ADS4!dit o !'panda el contenedor Domain 'C o !'panda DC?su dominio, DC?C*), 603, 8*C#8, '45 o !'pand *U?Domain Controllers
Iaga clic con el botn secundario del mouse #ratn$ en C'?nombre de controlador de dominio y, despus, haga clic en4liminar
Si aparece el error [No se puede eliminar el ob,eto DSA[ cuando intenta eliminar el ob,eto, cambie el valor de 1serAccountControl 3ara cambiar el valor de 1serAccountControl, haga clic con el botn secundario del mouse en el controlador de dominio en ADS4!dit y, despus, haga clic en6roperties !n (elect a propert. to "iew, seleccione User#ccountControl Iaga clic en Clear, cambie el valor por <7QS y, despus, haga clic en (et Za puede eliminar el ob,eto 'ota !l ob,eto de suscriptor @GS se elimina cuando se elimina el ob,eto de equipo porque es un ob,eto secundario de la cuenta de equipo 1se ADS4!dit para eliminar el ob,eto de miembro @GS 3ara ello, siga estos pasoso 4nicie ADS4!dit o !'panda el contenedor Domain 'C o !'panda DC?su dominio, DC?C*), 603, 8*C#8, '45 o !'panda C'?(.stem o !'panda C'?,ile 0eplication (er"ice o !'panda C'?Domain (.stem @olume +(:(@*8 shareo Iaga clic con el botn secundario del mouse en el controlador de dominio que est& quitando y, a continuacin, haga clic en4liminar !n la consola DNS, use ""C de DNS para eliminar el registro A en DNS !l registro A tambin se conoce como registro Iost 3ara eliminar el registro A, haga clic con el botn secundario del mouse en l y, despus, haga clic en 4liminar !limine igualmente el registro cname #tambin conocido como Alias$ en el contenedor Amsdcs 3ara ello, e'panda el contenedor Amsdcs, haga clic con el botn secundario del mouse en el registro cname y, despus, haga clic en 4liminar 3mportante Si ste era un servidor DNS, quite la referencia a este DC deba,o de la ficha (er"idores de nombres 3ara ello, en la consola DNS haga clic en el nombre de dominio en Bonas de bCs%ueda in"ersa y, despus, quite este servidor de la ficha (er"idores de nombres 'ota Si tiene zonas de b2squeda inversas, quite tambin el servidor de esas zonas Si el equipo eliminado era el 2ltimo controlador de dominio de un dominio secundario y ste tambin se elimin, use ADS4!dit para eliminar el ob,eto trustDomain del ob,eto secundario 3ara ello, siga estos pasoso 4nicie ADS4!dit o !'panda el contenedor Domain 'C o !'panda DC?su dominio, DC?C*), 603, 8*C#8, '45 o !'panda C'?(.stem o Iaga clic con el botn secundario del mouse en el ob,eto Dominio de conDian a y, a continuacin, haga clic en 4liminar 1se Sitios y servicios de Active Directory para quitar el controlador de dominio 3ara ello, siga estos pasoso 4nicie Sitios y servicios de Active Directory o !'panda (itios o !'panda el sitio del servidor !l sitio predeterminado es 'ombreEpredeterminadoE primerEsitio o !'panda (er"idor o Iaga clic con el botn secundario del mouse en el controlador de dominio y, a continuacin, haga clic en 4liminar
Adem&s, deberemos tener en cuenta lo siguienteSi el DC eliminado era un BC, habr%a que evaluar si alg2n servidor de aplicaciones que apuntara al BC ca%do deba configurarse o 8re9apuntar: a un BC que est presente y funcionando
Si el DC eliminado era un BC, habr%a que evaluar a(adir*promocionar un nuevo BC en el Site, dominio, o bosque Si el DC eliminado era responsable de alg2n @S"A, transferir dicha funcin a otro DC Si el DC eliminado era un servidor de DNS, actualizar la configuracin de los clientes DNS en todas las estaciones de traba,o, servidores miembro, u otros DC>s que pudieran hacer uso del servidor ca%do para la resolucin de nombres Si se requiere, modificar el &mbito de DIC3 para refle,ar el borrado del servidor DNS ca%do Si el DC eliminado era un servidor de DNS, actualizar la configuracin de los Geenviadotes y de las Delegaciones en cualquier otro servidor DNS que pudiera estar apuntando al DC eliminado para la resolucin de nombres
;ransferir los @S"A mediante ntdsutil Ante la ca%da de un DC en un dominio dado y si no ha. posibilidad ninguna de restaurarlo, . despus de haber le>do el punto anterior , seguiremos el siguiente procedimiento !n cualquier controlador de dominio, haga clic en 3nicio, haga clic en 4Fecutar, escriba ntdsutil en el cuadro #brir y, a continuacin, haga clic en #ceptar
'*5#- "icrosoft recomienda que utilice el controlador de dominio que va a asumir las funciones @S"A !scriba roles y, a continuacin, presione !N;GAG
'*5#- para ver una lista de los comandos disponibles en cualquiera de los s%mbolos del sistema de la herramienta Ntdsutil, escriba & y, a continuacin, presione !N;GAG !scriba connections y, a continuacin, presione !N;GAG !scriba connect to ser"er nombre del servidor , donde nombre del servidor es el nombre del servidor que desea utilizar y presione !N;GAG !n el s%mbolo de ser"er connections!, escriba % y, a continuacin, presione !N;GAG de nuevo !scriba sei e funcin , donde unci0n es la funcin que desea asumir 3ara ver una lista de las funciones que puede asumir, escriba & en el s%mbolo de ,smo maintenance! y presione !N;GAG o consulte la lista de funciones que aparece al principio de este art%culo 3or e,emplo, para asumir la funcin "aestro G4D escribir%a sei e maestro rid Ca 2nica e'cepcin es la funcin !mulador 3DC, cuya sinta'is ser%a [seize pdc[ y no [seize emulador pdc[
'*5#- las cinco funciones deben estar en el bosque Si el primer controlador de dominio est& fuera del bosque, asuma todas las funciones Determine qu funciones van a estar en cada uno de los controladores de dominio restantes de forma que las cinco funciones no estn en un 2nico servidor "icrosoft recomienda que slo asuma todas las funciones cuando el otro controlador de dominio no vuelve al dominio) de lo contrario, repare con las funciones el controlador de dominio que no funciona Si el controlador de dominio original que tiene las funciones @S"A sigue en cone'in, transfiera las funciones !scriba transDer funcin Despus de asumir o transferir las funciones, haga clic en % y presione !N;GAG hasta que salga de la herramienta Ntdsutil
'*5#- no ponga la funcin "aestro de infraestructuras en el mismo controlador de dominio que el cat&logo global 4n el caso de nuestro domino, gctiberica2local, esto nos es indiDerente, pudiendo estar el
/C en el mismo DC %ue el )aestro de 3nDraestructuras sin ningCn problema2 3ara comprobar si un controlador de dominio es un servidor de cat&logos globales Iaga clic en 3nicio, seleccione 6rogramas, seleccione Gerramientas administrati"as y, a continuacin, haga clic en (itios . ser"icios de #cti"e Director. Iaga doble clic en (itios en el panel izquierdo y vaya hasta el sitio apropiado o haga clic en 'ombreEpredeterminadoEprimerEsitio si no hay ning2n otro sitio disponible Abra la carpeta (er"idores y haga clic en el controlador de dominio !n la carpeta del controlador de dominio, haga doble clic en ConDiguracin de '5D( !n el men2 #ccin, haga clic en 6ropiedades !n la ficha /eneral, busque la casilla de verificacin CatHlogo global para ver si est& activada
+++ bu,arra com 9 Ictor Ierrero 9 nheobug]bu,arra com 9 v F 7
Aulas en red, aplicaciones y servicios. Windows

,ol!er al -ndice
Perfiles de Usuarios

9suarios y ;rupos
Creacin de 9suarios <erfiles de 9suarios ;rupos de 9suarios "cti!idades
Podemos definir el perfil de un usuario como el entorno cargado por el sistema cuando un usuario inicia una sesin en un equipo. Incluye todos los valores de configuracin de usuario especficas del entorno Windows Server 2008, como elementos de programa, conexiones de red, conexiones de impresoras, escritorio, documentos, etc. Dichos perfiles de usuario se crean automticamente la primera vez que un usuario inicia una sesin en el sistema. i en las propiedades del usuario en cuestin se le ha asociado una unidad de red del servidor como ruta de acceso a su perfil, estamos definiendo un perfil denominado perfil mvil, y que se caracteriza porque el perfil de usuario de servidor se descarga desde el servidor en el equipo local cuando un usuario inicia una sesin, y se actualiza tanto localmente como en el servidor cuando el usuario cierra la sesin. !os perfiles de usuarios mviles estn disponi"les en el servidor cuando se inicie una sesin como usuario del dominio. !os perfiles mviles, a no ser que se indique lo contrario, almacenarn los cam"ios en la configuracin del perfil indicados por el usuario #este tipo de perfil ser el utilizado por los profesores de nuestro centro$, tales como los archivos almacenados en Mis Documentos o los iconos existentes en el Escritorio, por e%emplo. !os alumnos de nuestro centro tam"i&n dispondrn de un perfil mvil, pero que no se actualiza cuando el usuario cierra la sesin, denominado perfil o"ligatorio, y que se descarga cada vez que el usuario inicia sesin. !os perfiles o"ligatorios son creados por un administrador y asignados a uno o varios usuarios a fin de crear perfiles de usuario invaria"les. Para poder definir perfiles mviles #o"ligatorios para los alumnos y dinmicos para los profesores$, lo primero que hemos de hacer es crear una carpeta compartida donde almacenemos la totalidad de los perfiles de los usuarios del centro. Para ello crearemos en la unidad E: de nuestro servidor Windows Server 2008 una carpeta de nom"re Perfiles, y posteriormente pulsaremos so"re ella con el "otn derecho del ratn y seleccionaremos la opcin Propiedades en el desplega"le correspondiente, u"icndonos so"re la pesta'a Compartir tal y como vemos en la imagen inferior, y una vez en dicha pesta'a pulsaremos so"re el "otn Uso compartido avanzado.
(n la nueva ventana mostrada activaremos en este instante la casilla )ompartir esta carpeta, y en la ca%a de texto Nombre del recurso compartido indicamos el nom"re Perfiles * tras ello pulsaremos so"re el "otnPermisos.
(l m"olo +,+ tras el nom"re de una carpeta compartida, configura dicha carpeta para que no sea mostrada a los usuarios cuando &stos intentan o"tener la lista de carpetas compartidas del + (-.ID/-+Windows Server 2008. (n la nueva ventana mostrada como resultado de la accin anterior, asignaremos al grupo !odos los permisosControl !otal, Cambiar y "eer, tal y como vemos en la imagen inferior, tras lo cual completaremos el proceso pulsando so"re el "otn Aceptar.
(l grupo !odos de"e disponer de todos los permisos para que cada usuario pueda gra"ar su perfil en su carpeta* esto permitira, potencialmente ha"lando, que cualquier usuario podra gra"ar lo que quisiera en la raz de la carpeta Perfiles si sa"e de su existencia, de ah el hecho de incluir el sm"olo +,+ en el nom"re asignado al recurso para que no sea visi"le por los usuarios* esta situacin no genera un grave pro"lema de seguridad, pues nunca ning0n usuario podr acceder a visualizar el contenido de otra carpeta de perfiles que no sea la suya propia. De vuelta a la ventana anterior pulsaremos so"re el "otn Aceptar, y luego so"re Cerrar para proceder a cerrar la ventana de Propiedades de la carpeta Perfiles. 1na vez creada la carpeta donde u"icaremos la carpeta de perfiles de los usuarios, vamos a proceder a crear un perfil o"ligatorio que ser asociado a los alumnos de nuestro centro. Para crear un perfil o"ligatorio, lo primero que hemos de tener en cuenta es que no de"emos tener asignada ninguna ruta de acceso al perfil en los usuarios a los que
vamos a asociarles el perfil o"ligatorio #los usuarios alumnos de (. ./.$* si so"re pulsamos con el "otn derecho del ratn so"re alguno de dichos usuarios, y seleccionamos la opcin Propiedades, al situarnos so"re la pesta'a Perfil compro"aremos que la ca%a de texto #uta de acceso al perfil est vaca, tal y como se ve en la imagen inferior con el usuario +2( /342+.
1na vez compro"ado que no existe asociada ruta de acceso al perfil alguna para el usuario en cuestin, de"eremos tener presente llegado este punto, si vamos a crear un perfil o"ligatorio que de"a aplicarse enWindows XP Professional #o Windows 2000 Professional, pues el perfil sera com0n$, o "ien en Windows 7 #oWindows Vista, pues el perfil sera com0n$ pues en funcin del operativo del que partamos para crear el perfil correspondiente, los pasos a llevar a ca"o varan ligeramente. .amos en primer lugar a analizar como se llevara a ca"o la creacin de un perfil o"ligatorio para Windows XP Professional #el cual insistimos tam"i&n ser vlido para Windows 2000 Professional$. (n primer lugar iniciaremos sesin en una estacin de tra"a%o del dominio Windows XP Professional con la cuenta del dominio del usuario para el cual deseamos crear el perfil o"ligatorio #por e%emplo, iniciando sesin con el usuario $E%&A'$ en el dominio ()CEN!#&$.
5ras validarnos correctamente en el sistema, procederemos a modificar en dicha sesin el entorno de tra"a%o, de modo que personalicemos el perfil que deseamos le sea mostrado a nuestros alumnos de (. ./.* una vez que hayamos completado la totalidad de los cam"ios deseados, cerraremos la sesin de tra"a%o del usuario en cuestin #recordemos, $E%&A'$ en este caso$, procediendo a autenticarnos en la misma mquina como un administrador del dominio #no el administrador de la mquina local$, tal y como vemos en la imagen inferior.
1na vez autenticados con las credenciales del 3dministrador del dominio, iremos a )nicio Panel de control #endimiento y mantenimiento %istema, y una vez all nos situaremos en la pesta'a &pciones Avanzadas, para pulsar a continuacin so"re el "otn Confi*uraci+n del apartado Perfiles de Usuario.
(n la nueva ventana mostrada, seleccionamos el perfil ()CEN!#&,$E%&A'$, tal y como vemos en la siguiente imagen.
(l siguiente paso consistir en pulsar so"re el "otn Copiar a en la ventana de la imagen anterior, indicando como ruta de destino ,,%E#-).&#,Perfiles ,alumno.man en la ca%a de texto correspondiente, tal y como vemos en la imagen inferior.
6emos especificado alumno.man como nom"re para el perfil mvil o"ligatorio en vez de$E%&A'$.man, de"ido a que dicho perfil ser utilizado por todos los alumnos de (. ./., por lo cual hemos optado por darle un nom"re descriptivo ms general.
3dems en dicha ventana pulsaremos so"re el "otn Cambiar para especificar que el perfil puede ser utilizado por el usuario !odos, tecleando dicho usuario en la ca%a de texto destinada a tal defecto mostrada como resultado de dicha accin, tal y como vemos en la siguiente ventana. 7inalmente pulsaremos en la ventana de la imagen inferior so"re el "otn Aceptar.
De vuelta a la ventana anterior, ya aparecern especificados los usuarios a los que les estar permitido usar dicho perfil, momento en el que pulsaremos so"re el "otn Aceptar en dicha ventana para concluir con la copia del perfil al servidor.
1na vez completado el proceso anterior, ya podemos cerrar sesin en la estacin de tra"a%o donde hemos realizado el proceso descrito. (n este instante en la carpeta E:,Perfiles del equipo + (-.ID/-+ dispondremos de una carpeta de nom"realumno.man que contiene el perfil o"ligatorio que asociaremos a todos los usuarios alumnos de (. ./. de nuestro centro.
(l siguiente paso consiste en acceder al servidor Windows Server 2008, y una vez en &l, situarnos so"re la carpeta E:,Perfiles,alumno.man, pulsando en ella con el "otn derecho del ratn y seleccionando la opcin Propiedades en el desplega"le correspondiente. )omo resutado de dicha accin se nos mostrar la siguiente ventana, en la que nos u"icaremos so"re la pesta'a %e*uridad, y tras ello nos situaremos so"re el grupo!odos para pulsar posteriormente so"re el "otn Editar a fin poder modificar los permisos asociados a dicho grupo.
(n la nueva ventana mostrada, de%aremos asociados a dicho grupo 0nicamente los permisos de "ectura y e/ecuci+n, (ostrar el contenido de la carpeta y "ectura, tal y como vemos en la siguiente imagen, y tras ello pulsaremos so"re el "otn Aceptar.
3l realizar la operacin anterior evitamos que un usuario pueda realizar una conexin de red y eliminar el contenido del perfil o"ligatorio, con el consiguiente per%uicio para el resto de usuarios que hagan uso de ese perfil, pues los usuarios tan slo podrn leer del mismo, pero no "orrar ni gra"ar nada en &l. 1na vez completada la accin anterior, de"emos pulsar so"re el "otn &pciones Avanzadas y u"icarnos so"re el grupo !odos, haciendo do"le clic so"re el mismo, confirmando en la ventana mostrada que se encuentran activadas las siguientes casillas8 #ecorrer carpeta0E/ecutar arc1ivo , (ostrar carpeta0"eer datos, "eer atributos, "eer atributos e2tendidos y Permisos de lectura, tal y como vemos en la imagen inferior.
(stos cam"ios se propagan automticamente a las su"carpetas que cuelgan de alumno.man, de modo que los usuarios a los que se les asigne el perfil o"ligatorio, podrn acceder a leer de &l, pero nunca podrn modificar nada, ni siquiera accediendo por medio de una conexin de red al perfil o"ligatorio. Iremos cerrando todas las ventanas que tuvi&ramos a"iertas pulsando so"re sus respectivos "otones Aceptar. 3dems, para forzar a que el perfil de los usuarios sea o"ligatorio, tenemos que acceder a la carpetaE:,Perfiles,alumno.man y renom"rar el fichero oculto N!U%E#..A! a N!U%E#.(AN. Para llevar a ca"o el proceso descrito en el prrafo anterior, en primer lugar de"emos permitir la visualizacin de los ficheros ocultos, lo cual conseguiremos situndonos so"re la carpeta alumno.man, y a continuacin seleccionando la opcin &pciones de carpeta del men0 3erramientas. )omo resultado de dicha accin pasar a mostrarse la siguiente ventana en la que nos situaremos so"re la pesta'a -er, momento en el cual procedemos a activar el radio "otn (ostrar todos los arc1ivos y carpetas ocultos , tal y como vemos en la imagen inferior, para pulsar posteriormente en dicha ventana so"re el "otn Aceptar.
3 continuacin a"riremos la carpeta alumno.man, pasando a visualizarse el fichero ntuser.dat, que anteriormente no se mostra"a en la carpeta alumno.man* seg0n lo indicado anteriormente procedemos a cam"iarle su extensin, de modo que su nuevo nom"re sea ntuser.man, momento en el cual se nos muestra la siguiente ventana que nos informa de que el cam"io en la extensin del fichero puede provocar que quede inutiliza"le, pese a lo cual pulsaremos so"re el "otn %4 para confirmar el cam"io realizado.
(n este instante podemos compro"ar como el fichero ntuser.dat ha sido renom"rado a ntuser.man.
6emos visto anteriormente como llevar a ca"o la creacin de un perfil o"ligatorio para Windows XP Professional#el cual tam"i&n ser vlido para Windows 2000 Professional$, pero dicho perfil no ser vlido cuando el usuario en cuestin se valide en el dominio en un equipo que tenga instalado Windows 7 #o Windows Vista$. (l proceso de creacin de una carpeta de perfil para un usuario o"ligatorio en Windows 7 #el cual insistimos tam"i&n ser vlido para Windows Vista$ es prcticamente similar al proceso realizado para un equipo con sistema operativo Windows XP Professional, salvo que el nom"re de la carpeta donde almacenemos el perfil de"er completarse con la cadena de texto +..9+* de este modo ha"ra en la carpeta donde se almacenan los perfiles dos carpetas de perfiles o"ligatorios para nuestros alumnos, una de ellas, la que aca"amos de crear con el nom"re alumno.man, y otra que crearemos a continuacin de nom"re alumno.man.-5+* cuando el alumno se validara en el dominio desde un equipo cliente Windows XP Professional #o Windows 2000 Professional$ se aplicara el perfil existente en alumno.man* por contra si el alumno se valida en el dominio desde un equipo cliente Windows 7 #o Windows Vista$ se aplicara el perfil existente en alumno.man.-5. 3s pues a continuacin vamos a proceder a crear un perfil o"ligatorio de Windows 7 #vlido tam"i&n paraWindows Vista$ para nuestros alumnos. Para ello, en primer lugar iniciaremos sesin en una estacin de tra"a%o del dominio Windows 7 con la cuenta del dominio del usuario para el cual deseamos crear el perfil o"ligatorio #por e%emplo, iniciando sesin con el usuario $E%&A'$ en el dominio ()CEN!#&$.
5ras validarnos correctamente en el sistema, procederemos a modificar en dicha sesin el entorno de tra"a%o, de modo que personalicemos el perfil que deseamos le sea mostrado a nuestros alumnos de (. ./.* una vez que hayamos completado la totalidad de los cam"ios deseados, cerraremos la sesin de tra"a%o del usuario en cuestin #recordemos, $E%&A'$ en este caso$, procediendo a autenticarnos en la misma mquina como un administrador del dominio #no el administrador de la mquina local$, tal y como vemos en la imagen inferior.
1na vez autenticados con las credenciales del 3dministrador del dominio, iremos a )nicio Panel de Control %istema y %e*uridad %istema* una vez all pulsaremos so"re el enlace Confi*uraci+n avanzada del sistema mostrado en la zona superior izquierda de la ventana correspondiente.
(n la ventana mostrada como resultado de la accin anterior, nos situaremos en la pesta'a &pciones avanzadas, para pulsar finalmente so"re el "otn Confi*uraci+n del apartado Perfiles de Usuario, pasando a ser mostrada la siguiente ventana de Perfiles de usuario, en la que seleccionaremos el perfil()CEN!#&,$E%&A'$, tal y como vemos en la siguiente imagen.
(n este instante se nos presenta un pro"lema, pues en Windows 7 #esto :/ ocurre en Windows Vista$ el "otnCopiar a slo se activa para el Perfil predeterminado, o lo que es lo mismo, no se encuentra activo para el perfil del usuario $E%&A'$, tal y como vemos en la imagen superior. Podemos solucionar este pro"lema utilizando la herramienta Enabler, que nos permitir activar aquellos "otones que hayan sido desactivados por el sistema #el "otn Copiar a de Windows 7 en este caso$. (n el momento de ela"orar esta documentacin poda ser descargada la herramienta Enabler desde la direccin 1ttps:00www.evilfin*ers.com0tools0enabler.p1p. 3s pues descargaremos dicha herramienta de la direccin especificada, y tras ello descomprimiremos el ficheroenabler.zip, o"teniendo el fichero enabler.e2e, que copiaremos al (scritorio del equipo Windows 7 donde queremos activar el "otn Copiar a. 1na vez copiado el fichero enabler.e2e al (scritorio del equipo Windows 7, y con la ventana donde se muestra desactivado el "otn Copiar a, e%ecutaremos el fichero enabler.e2e haciendo do"le clic so"re el mismo, pasando ser mostrada la siguiente ventana, en la que pulsaremos so"re el "otn Enable.
)omo resultado de la accin anterior pasar a ser mostrada la siguiente ventana, en la que pulsaremos so"re el "otn Aceptar, mostrndose ya activo el "otn Copiar a en la ventana Perfiles de usuario.
5ras confirmar que el "otn Copiar a se encuentra activo para el perfil del usuario $E%&A'$, eliminaremos el fichero enabler.e2e del (scritorio del equipo Windows 7. 3hora que ya tendremos disponi"le el "otn Copiar a para el perfil del usuario $E%&A'$, situados so"re dicho perfil de usuario, procederemos a pulsar so"re el "otn Copiar a, pasando a ser mostrada como resultado de dicha accin la siguiente ventana, en la que indicaremos como ruta de destino,,%E#-).&#,Perfiles ,alumno.man.-5, tal y como vemos en la imagen inferior.
3dems en dicha ventana pulsaremos so"re el "otn Cambiar para especificar en la ventana correspondiente que el perfil puede ser utilizado por el usuario !odos, tecleando dicho usuario en la ca%a de texto destinada a tal efecto, tal y como vemos en la imagen inferior, tras lo cual pulsaremos en dicha ventana so"re el "otnAceptar.
De vuelta de la ventana anterior ya aparecern especificados los usuarios a los que les estar permitido usar dicho perfil, tal y como vemos en la siguiente imagen, momento en el que pulsaremos so"re el "otn Aceptar.
1na vez completado el proceso anterior, ya podemos cerrar sesin en la estacin de tra"a%o donde hemos realizado el proceso descrito. (n este instante en la carpeta E:,Perfiles del equipo + (-.ID/-+ dispondremos de dos carpetas, una de nom"re alumno.man que contiene el perfil o"ligatorio para Windows XP Professional #y Windows 2000 Professional$, y otra de nom"re alumno.man.-5 que contiene el perfil o"ligatorio para Windows 7 #y Windows Vista$.
(l siguiente paso consiste en acceder al servidor Windows Server 2008, y una vez en &l, situarnos so"re la carpeta E:,Perfiles,alumno.man.-5, pulsando en ella con el "otn derecho del ratn y seleccionando la opcin Propiedades en el desplega"le correspondiente. )omo resultado de dicha accin se nos mostrar la siguiente ventana, en la que nos u"icaremos so"re la pesta'a %e*uridad, y tras ello nos situaremos so"re el grupo!odos para pulsar posteriormente so"re el "otn Editar a fin poder modificar los permisos asociados a dicho grupo.
(n la nueva ventana mostrada, de%aremos asociados a dicho grupo 0nicamente los permisos de "ectura y e/ecuci+n, (ostrar el contenido de la carpeta y "ectura, tal y como vemos en la siguiente imagen, y tras ello pulsaremos so"re el "otn Aceptar.
3l realizar la operacin anterior evitamos que un usuario pueda realizar una conexin de red y eliminar el contenido del perfil o"ligatorio, con el consiguiente per%uicio para el resto de usuarios que hagan uso de ese perfil, pues los usuarios tan slo podrn leer del mismo, pero no "orrar ni gra"ar nada en &l. 1na vez completada la accin anterior, de"emos pulsar so"re el "otn &pciones Avanzadas y u"icarnos so"re el grupo !odos, haciendo do"le clic so"re el mismo, confirmando en la ventana mostrada que se encuentran activadas las siguientes casillas8 #ecorrer carpeta0E/ecutar arc1ivo , (ostrar carpeta0"eer datos, "eer atributos, "eer atributos e2tendidos y Permisos de lectura, tal y como vemos en la imagen inferior.
(stos cam"ios se propagan automticamente a las su"carpetas que cuelgan de alumno.man, de modo que los usuarios a los que se les asigne el perfil o"ligatorio, podrn acceder a leer de &l, pero nunca podrn modificar nada, ni siquiera accediendo por medio de una conexin de red al perfil o"ligatorio. Iremos cerrando todas las ventanas que tuvi&ramos a"iertas pulsando so"re sus respectivos "otones Aceptar. 3dems, para forzar a que el perfil de los usuarios sea o"ligatorio, tenemos que acceder a la carpetaE:,Perfiles,alumno.man.-5 y renom"rar el fichero oculto N!U%E#..A! a N!U%E#.(AN. Para llevar a ca"o el proceso descrito en el prrafo anterior, en primer lugar de"emos permitir la visualizacin de los ficheros ocultos, lo cual conseguiremos situndonos so"re la carpeta alumno.man.-5, y a continuacin seleccionando la opcin &pciones de carpeta del men0 3erramientas. )omo resultado de dicha accin pasar a mostrarse la siguiente ventana en la que nos situaremos so"re la pesta'a -er, momento en el cual procedemos desmarcar la casilla &cultar arc1ivos prote*idos del sistema operativo 6recomendado7.
:ada ms desactivar la casilla indicada en el prrafo anterior, se nos presentar la siguiente ventana, que nos indica que no es una "uena prctica mostrar los archivos protegidos del sistema operativo, pese a lo que pulsaremos en ella so"re el "otn %4 para confirmar que deseamos realizar dicha operacin.
De vuelta a la ventana &pciones de carpeta pulsaremos so"re el "otn Aceptar, momento a partir del que podremos visualizar el fichero ntuser.dat u"icado dentro de la carpeta E:,Perfiles,alumno.man.-5. 3s pues a"riremos la carpeta alumno.man, pasando a visualizarse el fichero ntuser.dat, que anteriormente no se mostra"a en la carpeta alumno.man* seg0n lo indicado anteriormente procedemos a cam"iarle la extensin a dicho fichero, de modo que su nuevo nom"re sea ntuser.man, momento en el cual se nos mostrar la siguiente ventana que nos informa de que el cam"io en la extensin del fichero puede provocar que quede inutiliza"le, pese a lo cual pulsaremos en ella so"re el "otn %4 para confirmar el cam"io realizado.
1na vez el sistema nos pide confirmacin para realizar el cam"io de extensin, dada la importancia que tiene el cam"io de extensin de un fichero .D35, y de nuevo daremos el consentimiento al cam"io de extensin pulsando en la ventana de la imagen inferior so"re el "otn %4.
1na vez efectuado el cam"io de extensin del fichero correspondiente, podremos compro"ar como el ficherontuser.dat ha sido renom"rado a ntuser.man, tal y como vemos en la imagen inferior.
!legados a este punto ya tenemos definida la carpeta raz de la que colgarn los perfiles de los usuarios de nuestro dominio, y tam"i&n hemos creado colgando de dicha carpeta, el perfil mvil o"ligatorio para nuestros alumnos* as pues el siguiente paso es asociar a los usuarios alumnos de (. ./. creados anteriormente, la ruta correspondiente de acceso a su perfil. Para ello en el equipo + (-.ID/-+ Windows Server 2008 lanzaremos Usuarios y e8uipos de Active .irectory, y nos u"icaremos en primer lugar so"re el usuario $E%&A'$ que se encuentra u"icado en la carpeta Users, pulsando so"re el mismo con el "otn derecho del ratn para seleccionar la opcin Propiedades en el desplega"le correspondiente. )omo resultado de dicha accin pasar a ser mostrada la ventana siguiente en la cual nos situaremos so"re la pesta'a Perfil, para una vez all especificar como #uta de acceso al perfil la ruta ,,%E#-).&#,Perfiles ,alumno.man, tal y como vemos en la imagen inferior, tras lo cual pulsaremos en dicha ventana so"re el "otn Aceptar.
-ealizaremos un proceso similar al anterior para asociar la misma ruta de perfil de usuario #,,%E#-).&#,Perfiles ,alumno.man$ al resto de alumnos de (. ./., es decir, a los usuarios +2( /349+, +;( /D4<+ y +;( /)2=+. 6emos de indicar que pese a que la carpeta de perfil de usuario o"ligatorio para Windows XP sea alumno.many la de Windows 7 sea alumno.man.-5, cuando configuramos la ruta de acceso al perfil de un usuario o"ligatorio #+2( /342+ en nuestro caso$, la ruta de acceso a la carpeta del perfil slo de"e indicar la extensin .>3:, no la extensin ..9, porque con independencia de que el usuario se valide en el sistema desde un equipo con Windows XP Professional o con Windows 7, "uscar el nom"re de carpeta que le corresponda, esto es, si se valida desde un equipo con Windows XP Professional #o Windows 2000 Professional$ "uscar la carpeta en la ruta especificada #,,%E#-).&#,Perfiles ,alumno.man$, y si se validara desde Windows 7 #o Windows Vista$, a'adir automticamente la cadena ..9 a la ruta especificada #,,%E#-).&#,Perfiles ,alumno.man.-5$ y "uscar el perfil en dicha ruta. 3s pues nunca de"emos especificar como ruta de acceso al perfil ,,%E#-).&#,Perfiles ,alumno.man.-5, aunque tengamos garanta de que el usuario siempre se va a validar desde un equipo con Windows 7, pues no encontrara su perfil y dara un error en el acceso al sistema. 1na vez que hemos creado el perfil o"ligatorio para nuestros alumnos, si deseamos modificar alg0n aspecto del mismo, como por e%emplo incluir un fichero en la ventana
inicio o un nuevo acceso directo en el (scritorio, no necesitamos realizar todo el la"orioso proceso descrito anteriormente, sino que podemos hacerlo directamente so"re la carpeta del perfil alumno.man #o alumno.man.-5$ del servidor, copiando dicho fichero o acceso directo en la carpeta deseada de dicho perfil. Por e%emplo podramos incluir un acceso directo a una aplicacin incluyendo dicho acceso directo en la carpeta Escritorio del perfil del alumno. Para el resto de usuarios del dominio, los profesores en nuestro caso, especificaremos como ruta de acceso al perfil la ruta ,,%E#-).&#,Perfiles ,9username9, tal y como vemos en la imagen inferior para el usuario +?avier+, y posteriormente pulsaremos so"re el "otn Aceptar.
!a varia"le 9username9 est asociada al nom"re del usuario so"re el que estemos tra"a%ando, de modo que al usuario correspondiente se le asociar automticamente una carpeta de perfil con su nom"re en la ruta E:,Perfiles en el + (-.ID/-+. 3l igual que para los perfiles o"ligatorios, los perfiles mviles de nuestros profesores +?avier+, +?oaquin+ y +>iguel+, se comportan de igual modo cuando se validan en un equipo cliente Windows XP Professional que cuando lo hacen en un equipo Windows 7, creando de modo automtico las carpetas oportunas para los perfiles a asociar en cada sistema operativo.
Por e%emplo cuando el usuario +?avier+ inicie por primera vez sesin desde cualquier equipo Windows XP Professional del dominio, se crear automticamente una carpeta de nom"re :avier colgando de la carpetaE:,Perfiles del + (-.ID/-+ donde se almacenan los perfiles* a partir de ese momento cualquier otra autenticacin de dicho usuario en cualquier equipo Windows XP Professional del dominio, provocar el acceso a dicha carpeta del equipo + (-.ID/-+ para servir al usuario +?avier+ su perfil personalizado #"rindndole total movilidad a dicho usuario, pues su perfil siempre ser el esperado$. i el usuario +?avier+ posteriormente iniciara sesin en un equipo Windows 7 del dominio, se creara para &l una nueva carpeta de nom"re :avier.-5colgando de la carpeta E:,Perfiles del + (-.ID/-+, que ser la carpeta que se utilizar para almacenar el perfil de dicho usuario cada vez que &ste inicie una sesin de tra"a%o desde Windows 7. 7inalmente indicar, que aunque un profesor pudiera llegar a esta"lecer una conexin a su perfil y eliminarlo #al suyo, y slo al suyo, al resto no podra$, en la siguiente autenticacin en el equipo cliente correspondiente se recreara de nuevo la carpeta con su perfil en el servidor, perdiendo o"viamente por dicho "orrado todas los documentos, personalizaciones, etc. que hu"iera almacenado en dicho perfil (l almacenamiento del perfil de los usuarios en el + (-.ID/-+ genera dos pro"lemas. (l primero de ellos slo afecta a los profesores, cuyo perfil #recordemos, mvil, pero no o"ligatorio$ puede llegar a crecer hasta lmites que hacen que su descarga por red se haga lentsima* pensemos por e%emplo en un vdeo de 2 @". de tama'o que un usuario coloca en su carpeta (is .ocumentos, cuando el usuario cierra sesin se almacena su perfil en el equipo + (-.ID/-+, incluyendo dicho fichero de 2 @"., con el consiguiente retardo en el almacenamiento del mismo en dicho equipo* de igual modo, cuando dicho usuario se conecta con posterioridad de nuevo al dominio, el fichero en cuestin de"er ser descargado por red como parte de su perfil, con el consiguiente retardo que hace el usuario perci"a una sensacin de lentitud en el trfico de la red, motivada realmente por el elevado tama'o de su perfil. (ste pro"lema no afecta a los alumnos, pues su perfil, con independencia de que haya sido modificado por el usuario en su sesin de tra"a%o, no almacena los cam"ios realizados en el equipo + (-.ID/-+, pues recordemos que su perfil es un perfil o"ligatorio, pero el hecho de ser o"ligatorio provoca otro pro"lema consistente en que los documentos que un alumno genere en su sesin de tra"a%o, si los guarda en su carpeta (is .ocumentos, no se almacenarn en el servidor central, con lo cual la prxima vez que el usuario alumno inicie sesin :/ podr disponer de los mismos. (l segundo pro"lema al que aludimos anteriormente es el hecho de que nuestros usuarios #alumnos o profesores$ pueden iniciar sesin desde equipos con diferentes sistemas operativos, concretamente Windows 2000 Professional, Windows XP Professional, Windows Vista y Windows 7, de modo que el perfil que el sistema utiliza para los dos primeros es com0n, pero diferente para los dos 0ltimos #recordemos que enWindows Vista y Windows 7 se utiliza un perfil con un nom"re que finaliza en +..9+$* por dicho motivo los documentos que un usuario haya almacenado en (is .ocumentos cuando haya iniciado sesin en un equipoWindows 2000 Professional o Windows XP Professional, no estarn accesi"les en el perfil del usuario cuando este inicie sesin desde una estacin de tra"a%o que tenga instalado Windows Vista o Windows 7 #y viceversa$.
Por los motivos aludidos anteriormente vamos a utilizar la redireccin de carpetas para poder solventar los dos pro"lemas aludidos anteriormente. !a redireccin de carpetas sit0a las carpetas deseadas del perfil del usuario en una u"icacin de red concreta, en vez de incluirlas en el propio perfil del usuario* en nuestro caso redireccionaremos la carpeta .ocumentos #o(is .ocumentos en Windows XP Professional y Windows 2000 Professional$ a una unidad de red concreta, de modo que los documentos all contenidos no se descarguen y almacenen con la "a%ada y su"ida del perfil al servidor #solventando as el primer pro"lema de tama'o del perfil de los profesores y el del "loqueo de la carpeta (is .ocumentos del perfil o"ligatorio del alumno$, y adems est&n accesi"les desde los dos perfiles de red que pueden tener los usuarios #pues la u"icacin de la carpeta de documentos en am"os perfiles ser la misma$, solucionando el segundo de los pro"lemas planteados. Para poder a"ordar el proceso antes descrito relativo a la redireccin de carpetas, en primer lugar crearemos colgando de la raz de la unidad E: de nuestro equipo + (-.ID/-+ una carpeta de nom"re #ed donde almacenaremos las carpetas de documentos de nuestros usuarios.
5ras ello pulsaremos so"re la carpeta #ed con el "otn derecho del ratn y seleccionaremos la opcinPropiedades en el desplega"le correspondiente, pasando a ser mostrada la siguiente ventana, en la que nos u"icaremos so"re la
pesta'a Compartir, para a continuacin pulsar en ella so"re el "otn Uso compartido avanzado.
(n la nueva ventana mostrada activaremos en este instante la casilla Compartir esta carpeta, y en la ca%a de texto +:om"re del recurso compartido+ indicamos el nom"re #ed , tal y como vemos en la ventana de la imagen inferior, tras lo cual pulsaremos en ella so"re el "otn Permisos.
(l m"olo +,+ tras el nom"re de una carpeta compartida, hace que dicha carpeta se oculte a los usuarios cuando &stos intentan o"tener la lista de carpetas compartidas del servidor Windows Server 2008. (n la nueva ventana mostrada como resultado de la accin anterior, asignaremos al grupo !odos los permisosControl !otal, Cambiar y "eer, tal y como vemos en la imagen inferior, tras lo cual completaremos el proceso pulsando en dicha ventana so"re el "otn Aceptar.
(l grupo !odos de"e disponer de todos los permisos para que cada usuario pueda gra"ar sus documentos en su carpeta* esto permitira, potencialmente ha"lando, que cualquier usuario podra gra"ar lo que quisiera en la raz de la carpeta #ed si sa"e de su existencia, de ah el hecho de incluir el +,+ en el nom"re asignado al recurso para que no sea visi"le por los usuarios* esta situacin no genera un grave pro"lema de seguridad, pues nunca ning0n usuario podr acceder a visualizar el contenido de otra carpeta de documentos que no sea la suya propia. De vuelta a la ventana anterior pulsaremos so"re el "otn Aceptar, y posteriormente so"re Cerrar en la ventana mostrada en la imagen inferior, para proceder a cerrar la ventana de Propiedades de la carpeta #ed.
1na vez que hemos creado mediante la carpeta compartida #ed la infraestructura necesaria para u"icar los documentos de nuestros usuarios del dominio, el siguiente paso para lograr dicho o"%etivo consiste en definir una directiva de grupo que cree de modo automtico "a%o la carpeta #ed una carpeta donde almacenar los documentos de cada usuario, con independencia del sistema operativo que utilice. Para ello lanzamos laAdministraci+n de directivas de *rupo de las 3erramientas administrativas , pasando a mostrarse la ventana de la imagen inferior, en la cual nos situamos so"re la directiva .efault .omain Policy del dominio +micentro.edu+, dentro del "osque del mismo nom"re, y una vez u"icados so"re ella, haremos clic con el "otn derecho del ratn para elegir la opcin Editar en el desplega"le correspondiente.
!as directivas de grupo son configuraciones de usuario o de equipo realizadas en el servidor Windows Server 2008 que sern aplicadas y asumidas de modo automtico por usuarios o equipos clientes del dominio, permitiendo por tanto realizar desde el servidor configuraciones glo"ales que sern aplicadas en m0ltiples equipos o usuarios del domino. 6acemos referencia a ellas en este apartado por afrontar en el mismo la redireccin de carpetas, pero esto no es ms que un "reve anticipo de un prximo captulo en el cual profundizaremos ampliamente en el estudio y conocimiento de la directivas de grupo. )omo resultado de la accin anterior pasa a ser mostrado el editor de administracin de directivas de grupo* en nuestro caso nos situaremos so"re la directiva Confi*uraci+n de usuario .irectivas Confi*uraci+n de Windows #edirecci+n de carpetas .ocumentos, tal y como vemos en la imagen inferior, pulsando posteriormente so"re la misma con el "otn derecho del ratn para elegir en el desplega"le mostrado la opcinPropiedades.
Podemos o"servar la existencia de m0ltiples carpetas que se pueden redireccionar, si "ien en nuestro caso tan slo vamos a redireccionar la carpeta .ocumentos. 5ras completar la operacin anterior, pasar a ser mostrada la siguiente ventana donde de"eremos indicar las opciones de redireccin deseadas. (n nuestro caso en el desplega"le Confi*uraci+n seleccionaremos la opcin ;<sico: rediri*ir la carpeta de todos a la misma direcci+n, en el desplega"le +1"icacin de la carpeta de destino+ seleccionaremos la opcin Crear una carpeta para cada usuario en la ruta ra4z, y finalmente en la ca%a de texto +-uta de acceso raz+ teclearemos la cadena de texto ,,%E#-).&#,#ed , tal y como vemos en la imagen inferior.
Podemos o"servar al final de dicha ventana anterior, como la ruta final de acceso a la carpeta redirigida ser ,,%E#-).&#,#ed ,Usuario,(is .ocumentos, de modo que dicha carpeta de documentos slo ser accesi"le exclusivamente por el usuario propietario de la misma. Por e%emplo para el usuario +?avier+ se crear una carpeta :avier colgando de ,,%E#-).&#,#ed , y adems se crear otra carpeta de nom"re (is .ocumentos colgando de la carpeta :avier que ser donde finalmente se almacenen los documentos de dicho usuario. 3 continuacin y so"re la misma ventana nos situaremos so"re la pesta'a Confi*uraci+n, en la cual hemos de activar la casilla Aplicar tambi=n la directiva de redirecci+n en los sistemas operativos Windows 5''', Windows 5''' %erver, Windows >P y Windows 5''? , adems de de%ar activas las dos casillas anteriores, tal y como se muestra en la imagen inferior* completaremos esta operacin pulsando en dicha ventana so"re el "otn Aceptar.
3ctivaremos la casilla indicada anteriormente por razones o"vias, pues adems de equipos clientes que dispondrn de Windows 7 o Windows Vista instalado, tam"i&n ha"r clientes con Windows XP Professionaly Windows 2000 Professional. )omo resultado de la accin anterior se nos informar de que la redireccin de carpetas en los operativos indicados tam"i&n se de"er aplicar a las carpetas de imgenes, vdeo y m0sica* aceptaremos dicha advertencia pulsando en la ventana de la imagen inferior so"re el "otn %4.
5ras ello podremos cerrar la ventana del Editor de administraci+n de directivas de *rupo, y el resto de ventanas que tuvi&ramos a"iertas. 1na vez llegados a este punto ya hemos conseguido configurar la redireccin de la carpetas (is documentosde todos los usuarios del dominio, incluidos los alumnos. 3s por e%emplo si el usuario +?avier+ se validara en este instante en el sistema desde un equipo cliente del dominio #da igual que sea un equipo Windows 2000 Professional, Windows XP Professional, Windows Vista oWindows 7$, se creara en la carpeta E:,#ed del equipo + (-.ID/-+ Windows Server 2008 una carpeta de nom"re :avier y colgando de ella otra de nom"re (is .ocumentos, tal y como vemos en la imagen inferior.
i en el equipo cliente en el cual se ha validado +?avier+ situamos un documento en la carpeta (is .ocumentos, realmente dicho documento se u"icar en la unidad de red creada anteriormente para dicho usuario, de modo que si posteriormente nos conectamos con dicho usuario desde otro equipo cliente del dominio, incluso con distinto sistema operativo, y accedemos desde dicho equipo a la carpeta (is .ocumentos de dicho usuario, compro"aremos que el documento almacenado anteriormente est plenamente accesi"le, al encontrarse situado en una u"icacin de red. i deseamos compro"ar que la carpeta (is documentos del usuario que ha iniciado sesin en el dominio est redirigida a la carpeta #ed del servidor, si nos situamos so"re
la misma y visualizamos sus Propiedades, en la pesta'a .estino compro"aremos que la ruta donde est situada dicha carpeta es ,,%E#-).&#,#ed ,@UsuarioA,(is documentos, es decir, para el usuario +?avier+ dicha ruta ser ,,%E#-).&#,#ed ,:avier,(is documentos, tal y como vemos en la imagen inferior.
3dems de la carpeta (is .ocumentos, puede ser interesante redireccionar otras carpetas, tales como Bavoritos o Escritorio, por e%emplo, si "ien la carpeta ms crtica en relacin con la redireccin de carpetas, es la correspondiente a la carpeta de documentos, tratada anteriormente. 7inalmente, y para completar este apartado relacionado con los perfiles de usuario, analizaremos el proceso que de"eremos seguir si deseamos configurar un control en la autenticacin de los usuarios del dominio en determinados equipos, limitando el acceso a determinados equipos a ciertos usuarios. upongamos por e%emplo que no queremos que los usuarios alumnos de (. ./. puedan iniciar sesin en los equipos de la ala de Profesores o "ien que slo puedan iniciar sesin a determinadas horas, para evitar que alumnos del grupo vespertino accedan al equipamiento informtico en horario diurno y viceversa* podemos pues limitar las mquinas concretas donde un usuario puede autenticarse en el dominio, y limitar tam"i&n el acceso a las mquinas en los das y fran%as horarias deseadas.
Para imposi"ilitar la validacin de los alumnos del centro a determinadas mquinas del dominio, especificaremos explcitamente los ordenadores donde pueden iniciar sesin dichos alumnos lanzandoUsuarios y e8uipos de Active .irectory y u"icndonos so"re el usuario al cual deseamos aplicar la restriccin # $E%&A'5 en este caso$* una vez u"icados so"re el mismo, pulsaremos so"re &l con el "otn derecho del ratn, seleccionando la opcin Propiedades en el desplega"le correspondiente, u"icndonos en la nueva ventana mostrada so"re la pesta'a Cuenta, tal y como vemos en la imagen inferior, y una vez all una vez all pulsaremos so"re el "otn )niciar sesi+n en.
(n la nueva ventana mostrada como resultado de la accin anterior, indicaremos aquellas mquinas del dominio donde deseamos que 0nicamente pueda iniciar sesin el usuario al cual estamos aplicando la limitacin, activando el radio "otn "os si*uientes e8uipos, y tras ello especificando el nom"re de equipo deseado en el apartado Nombre de e8uipo y pulsando tras ello en el "otn A*re*ar #en este caso el usuario $E%&A'5 slo podra iniciar sesin en la mquina E8uipo'5 del dominio$.
Podramos agregar todas las mquinas del dominio donde deseamos que pueda iniciar sesin el usuario que estamos tratando. i por e%emplo el usuario +2( /349+ intentara iniciar sesin en un equipo en el cual no tiene permitido el acceso, se le mostrar en dicho equipo la siguiente ventana, que le informa de que no es posi"le la autenticacin de dicho usuario en ese equipo.
i lo que queremos es limitar el acceso a las mquinas de nuestros alumnos en determinados das y ciertas fran%as horarias, en la misma ventana donde limitamos las mquinas donde se puede iniciar sesin, pulsaremos so"re el "otn 3oras de inicio de sesi+n, pudiendo indicar las horas a las que ha"ilitaremos a nuestros usuarios para el acceso a las mquinas, tal y como vemos en la siguiente ventana* esta opcin no es incompati"le con la anterior #que limita"a el acceso a determinadas mquinas$, y en ciertos entornos puede ser un importante complemento a la misma.
(n nuestro caso :/ es preciso que limitemos las mquinas ni las horas de inicio de sesin de ning0n usuario del sistema. !legados a este punto ya podremos dar por concluido este tema relativo a los perfiles de los usuarios.
= "nterior A iguiente >
(ste contenido est licenciado "a%o Creati!e Commons ?econocimiento+Compartir2gual 3)0 .spa@a ACC BC+ " 3)0D Ministerio de .ducacin, Cultura y Deporte A 2nstituto de Eecnolog-as .ducati!as y de Formacin del <rofesorado
Como usar el comando NSLOOKUP en Windows, ejemplos prcticos

Utili'ar la aplicacin nslooLup para consultar, probar, administrar, con#igurar y obtener in#ormacin de los servidores *+ que utili'a una cone(in de internet. olucionar problemas #recuentes de los *+ en las redes in#ormticas. !jemplos prcticos de cmo usar + ,88NUP mediante la l4nea de comandos
Qu es NSLOOKUP
+slooLup.e(e es una aplicacin incluida en todos los sistemas -indo.s, para consultar, obtener in#ormacin, probar y solucionar problemas de los servidores *+ que usa una cone(in. Ounciona solo mediante la l4nea de comandos, pero es algo sencillo su uso. !n esta pgina se incluyen algunos ejemplos prcticos de cmo usarlo, sin que sea necesario tener conocimientos avan'ados.
C!mo usar NSLOOKUP para consultar, pro"ar # administrar los ser$idores %NS
Como otros comandos, para usar + ,88NUP es necesario abrir la consola de C=* en -indo.s. Para eso en el cuadro de <nicio o en el comando !jecutar escribe C=* y presiona la tecla !nter. 5l escribir + ,88NUP en la consola sin especi#icar ningn parmetro, devolver el nombre del servidor *+ predeterminado y su direccin <P. Por ejemplo3
C:\> nslookup resolver1.dyndnsinternetguide.com Address: 216.146.35.35
C!mo usar el comando NSLOOKUP en Windows

!l comando nslooLup permite dos #ormas de uso3
DE !l modo normal o no interactivo, al igual que en los otros comandos en la consola, se

introduce el comando, a continuacin las opciones y se oprime !nter, la sinta(is es3 nslookup [-opcion] [host] [servidor] *onde host es la direccin <P o nombre de dominio a consultar, servidor es la <P del servidor en el cual se har la consulta.
/E =odo interactivo, se hace la consulta en tiempo real y de manera consecutiva en

l4neas di#erentes, mostrar un carcter B antes de cada comando introducido. Para iniciar el modo interactivo solo escribe3 nsloo6up, vers algo como lo siguiente3
C:\> nslookup Servidor predetermin do: ns1.sertest.net Address: 2!!.34.12".1
,as dos l4neas anteriores indican el servidor predeterminado de la cone(in con su direccin <P, estos sern en este caso los utili'ados para reali'ar las consultas que se indiquen. Para utili'ar otro servidor especi#4calo con el comando >server>, por ejemplo3
> server "."."." Servidor predetermin do: google#pu$lic#dns# .google.com Address: "."."."
*e esta #orma se har la consulta usando el servidor de direccin set> establece las opciones a emplear.
Lista de las opciones &ue permite el comando NSLOOKUP

Gpcin 9so
).9F8'
9uestra la informaci"n de ).9F8' con el ser$idor predeterminado* siendo G).9F8'G un host o un dominio de internet.
).9F8' ,'8<3D.8
3gual que el anterior* pero en este caso se utili%a el ser$idor especificado en G,'8<3D.8G para solicitar la informaci"n.
ser$er ,'8<3D.8
'stablece como ,'8<3D.8 el ser$idor D), predeterminado al que solicitarle las consultas* sustitu+e G,'8<3D.8G por el nombre o direcci"n 3P del ser$idor.
lser$er ,'8<3D.8
'stablece como G,'8<3D.8G el ser$idor D), predeterminado inicial* 6til si el
que se especific" anteriormente no puede resol$er las consultas.
root
3r a la rai% del ser$idor especificado como tal en el parmetro set rootH
ls D.93)3.
9uestra informaci"n o la escribe a un archi$o* sustitu+e GD.93)3.G por el nombre de dominio o host solicitado. Gpciones para su uso)
set all
9uestra todas las opciones disponibles.
set InoJdebug
9uestra o no informaci"n ms a$an%ada.
set InoJd2
9uestra o no informaci"n a6n ms a$an%ada.
set defname
(ade nombre de dominio en cada consulta.
set InoJrecurse
,olicitar o no respuesta de forma recursi$a
set InoJ$c
'mplea o no :CP para consultas en $e% de UDP
set puertoH
Puerto -predeterminado 53/
set t+peH
'specifica el tipo de consulta* por ejemploA * )K* C) 9'* 9L* ),* P:8* ,. * ,8< -$alor predeterminado M /
set quer+t+peH set qH
!o mismo que el anterior
set classH
'specifica la clase de la consulta* por ejemplo* 3) -3nternet/* )K-cualquiera/* -$alor predeterminado 3)/
set timeoutH
'specifica tiempo de espera en segundos -$alor predeterminado 2/
set retr+H
'specifica n6mero de reintentos -$alor predeterminado 1/
set rootH,'8<3D.8
'specificar ser$idor ra7%* sustitu+e G,'8<3D.8G por el nombre o direcci"n 3P del ser$idor D),.
set domainH
'specifica el dominio o host predeterminado del que se reali%arn todas las consultas.
set InoJms5fr
Usar o no transferencia de %ona rpida 9,.
set InoJsearch
Usar o no una lista de dominios para efectuar b6squedas.
set srchlistH )1IN)2N...N)BJ
'specifica orden de los dominios usados para buscar.
Lo que aparece encerrado entre los caracteres [], su uso es opcional.
Tipos de consultas en los servidores DNS

$ 65ddress73 e utili'a para traducir nombres de hosts del dominio a direcciones <P, es el valor predeterminado. $"@ 6Cualquiera73 %oda la in#ormacin que e(ista. C"$=E 6Canonical +ame73 *evuelve una lista de alias, si e(isten para el nombre verdadero 6canonical7. "S 6+ame erver73 !speci#ica el nombre para un dominio. =E 6=ail !(change73 !speci#ica el servidor encargado de recibir el correo electrnico para el dominio. PF: 6Pointer73 ,o inverso del registro 5, reali'a la traduccin de direcciones >GUP y presionar la tecla !nter, esta devuelve el nombre del servidor *+ que usa la cone(in y la direccin <P que le corresponde. !n este ejemplo hecho en mi PC yo uso los servidores del servicio de Google. i usas otros servidores en tu cone(in puedes reali'ar las consultas a este servicio usando el comando ser5er, como se ver ms adelante.
/E i a continuacin se escribe un nombre de dominio 6una direccin U2, sin el protocolo http3GG7, la consola devolver la direccin 2espuesta no autoritativa> signi#ica que se consulta a un servidor que no posee autoridad directa para el nombre consultado.
KE %enemos la opcin de usar otro tipo de consulta, para eso en este ejemplo con el comando set t peH"S, especi#icamos que se nos devuelva los nombres de dominio de los servidores *+ .
)E Para que + ,88NUP nos devuelva toda la in#ormacin que puede e(traer sobre dicho dominio, podemos usar los comandos set debug o set d8. !n la imagen se muestran 6in#ormacin parcial7 algunos datos de con#iguracin del servidor.
QE %ambi&n podemos hacerle la consulta directamente el servidor *+ que corresponde al dominio y de esa #orma e(traer ms in#ormacin. Para eso cambiamos al tipo de consulta predeterminado con set t peH$ y usamos el comando ser5er, pero en este ejemplo no se obtienen respuestas.
Otros ejemplos de usos prcticos de NSLOOKUP

Como conocer los servidores utilizados en una direccin de correo electrnico
Para conocer los servidores utili'ados en una direccin de correo electrnico, es necesario consultar el registro =9, permitir comprobar tambi&n si una direccin de email e(iste realmente. Para comprobarlo sigue los siguientes pasos3 DE !scribe en la consola de C=*3 nsloo6up, presiona !nter. /E !scribe3 ser5er I#I#I#I y presiona !nter, la peticin se e#ectuar a los servidores *+ de Google. KE !scribe3 set qHm2 y presiona !nter, de esa #orma se inquiere in#ormacin del servidor encargado de recibir el correo electrnico para el dominio. )E !scribe el dominio de la direccin 6dominio en una direccin electrnica son los caracteres situados a la derecha de la arroba7 y presiona !nter.
Como conocer con el comando NSLOOKUP todos los host de un dominio

Para conocer con el comando nslooLup todos los hosts que hay dentro de un dominio remoto, es necesario utili'ar la opcin ls. ,a sinta(is es la siguiente3
ls %# & d & t type' dominio %> rc(ivo'
i se utili'a ls sin argumentos se devolver una lista de todas las direcciones y datos del servidor de nombres. Utili'a los siguientes modi#icadores3
ls )*+,-,* > Por ejemplo3 rc(ivo.e.tension
ls empres .com > /userpro0ile/\)esktop\list .t.t !scribe la lista de direcciones <P que e(isten en el dominio especi#icado en un archivo. ls # )*+,-,* ,ista todos los nombres cannicos y alias del dominio. ls #( )*+,-,* ,ista $<+O8 6CPU y sistema operativo7 para el dominio. ls #s )*+,-,* ,ista servicios disponibles en el dominio. ls #d )*+,-,* ,ista toda la in#ormacin disponible en el dominio. ls #t 1234 )*+,-,* ,ista todos los tipos de consulta *+ en el dominio, sustituye >%?P!> por el tipo de consulta.
Las transferencias de zona se pueden bloquear en el servidor DNS de modo que s lo las direcciones o las redes autorizadas puedan utilizar esta funci n. !n ese caso se devolver" el si#uiente mensa$e% &No se puede hacer una lista del dominio e$emplo.com. 'onsulta rechazada.&
Probando con las di#erentes opciones de uso que admite + ,88NUP, se puede obtener bastante in#ormacin til sobre nuestro servidor *+ o sobre un sitio .eb. !s una herramienta poderosa que podemos e(plotar. %ambi&n nos puede dar una idea del rendimiento de los servidores *+ que usamos en nuestra cone(in.
Prue"as al cam"iar los ser$idores %NS de nuestra cone(i!n

Para optimi'ar la velocidad de nuestra navegacin en la red y hacerla tambi&n ms segura, podemos elegir otros servidores *+ y sustituirlos por los que usan nuestra cone(in. !n otra pgina de nuestro sitio puedes encontrar las direcciones de los ser!idores
pHblicos m#s r#pidos y eficientes. +o obstante la #ama y popularidad que tengan, es determinante nuestra ubicacin geogr#ica. !n caso de con#lictos se puede usar el comando + ,88NUP para hacer algunas pruebas sencillas. Probar que un servidor *+ esta accesible para nuestra cone(in. !n este ejemplo se usa la direccin <P de Google*+ , sustityela por la que necesitas probar.
tr cert #d "."."."
:eri#ica que en la ltima l4nea aparece la direccin del servidor. :eri#icar que se puede resolver una direccin o nombre de dominio. ustituye nor#ipc.com por el dominio a resolver. !n este ejemplo se usa Google*+ .
nslookup #de$ug nor0ipc.com "."."."
,a misma consulta usando 8pen*+

nslookup #de$ug nor0ipc.com 2!".65.222.222 >ptimi9ar la configuracin de Windows con las entradas &"S Podemos cambiar los parmetros de -indo.s para mantener ms tiempo en cache la resolucin de nombres, es decir las consultas hechas a los servidores *+ . *e esa #orma podemos incrementar notablemente la velocidad de la navegacin. ,ee como hacerlo en otra pgina3 Como mejorar y optimiIar la resolucin de nombres D1 en Windows
5ema 4P!(53D

Pu"licado el C mayo, 5'$? por Francisco
Nota: Las soluciones de los ejercicios pueden ser distintas con las de otros compaeros. Si veis que algn ejercicio est resuelto de forma errnea comunicdmelo para que lo cambie y as no crear confusiones y malentendidos! sobre todo de cara al e"amen. 1. Configura una VM con W2008 Server y preprala como controlador de dominio (CD). l nom!re del dominio "er# $tunom!re%.local. &uede" 'acerlo de"de la interfa( grfica (a)adir rol al "ervidor) o de"de la l*nea de comando" con dcpromo. Nombre de #ominio: francisco.local. #esde la interfa$ grfica con rol %administrador del servidor&
Linea de comandos dcpromo.e"e '( )rear bosque nuevo '( Nombre de dominio completo %francisco.local.& '( Netbios del dominio %*+,N)-S).& '( Nivel funcional del bosque %Server /001& '( Servidor #NS %Seleccionado el #2)3&'( 4bicacin carpetas '( )ontrasea distinta a la de administrador %-so/001& '( e"portar configuracin '( *inali$acin instalacin #NS '( +einiciar Nota: 4na ver reiniciado pide iniciar la sesin como: *+,N)-S).5,dministrador! pidi6ndo cambiar la contrasea actual
7n esta captura te pide si deseas cambiar a -3 estticas. 7n mi caso conteste que el equipo usar una direccin -3 asignada automticamente por un servidor
)aptura de cuadro informativo +et!io"# permite a las aplicaciones 8comunicarse9 con la red. Su intencin es conseguir aislar los programas de aplicacin de cualquier tipo de dependencia del :ard;are. <ambi6n evita que los desarrolladores de soft;are tengan que desarrollar rutinas de recuperacin ante errores o de enrutamiento o direccionamiento de mensajes a bajo nivel. 2. ,u "ervidor "er tam!i-n "ervidor de D+S para tu dominio y como reenviador pon el del ciclo (./2..08.2.2). 1ntenta 'acer ping utili(ando el nom!re del e2uipo de"de un e2uipo del aula 2ue no pertene(ca atu dominio 32u- ocurre4 +eali$o un ping desde mi server /001 +/ a =>/.=?1././0> y si recibe los paquetes. 7sto se debe a que por ip si pueden :ablar estando en la misma red aunque no est6n en el mismo dominio! pero por el nombre no.
5. Crea un grupo de u"uario" Venta" 7n roles@servicio de dominios@usuarios y equipos@francisco.local@builtin@ venta" 6. Crea un u"uario de nom!re re"pon"a!leVenta" 2ue pertene(ca al grupo Venta" 7n roles@servicio de dominios@usuarios y equipos@francisco.local@4sers@responsableAentas con contrasea %-so/001& 7. Crea una VM con Windo8" 9 y a)dela a tu dominio. 3ara aadir la mquina con ;indo;s B al dominio debemos ir a la configuraci:n de red'( protocolo -3vC y poner en servidor #NS la direccin 1& del Windo8" Server 2008. 4na ve$ reali$ado esto nos vamos a propiedade" del "i"tema y en dominio ponemosfranci"co.local. D posteriormente reiniciamos para que los cambios se realicen correctamente. Da en el server podemos ver como se :a incluido el equipo Eindo;s B en #ominios y confian$as de ,ctive #irectory '( ,dministrar '( 4suarios y equipos '( francisco. Local '( )omputers '( *+,N)-S).F3) 0. 1nicia "e"i:n en la VM con una cuenta del dominio. 3ara iniciar sesin en el equipo que :emos metido en la cuenta de dominio debemos dar de alta previamente en el ;indo;s server al usuario con el que queremos iniciar sesin. 4n campo importante es el de nombre de inicio de sesin de usuario.
9. ;ellena la "iguiente ta!la con lo" dato" de tu "ervidor )ombre DCO) Direcci"n 3P P8 C:3C PD.93)3.,.francisco.local 1E2.1B?.1.131
9scara de red Qate>a+ D), 9 C Dominio )i$el de funcionalidad Pass>ord dministrador
255.255.255.2 1E2.1B?.1.1 121.2.2.1 2?P22P21PC PCCPC1 Crancisco.local 0indo>s ,er$er 222? 82 root
8. ;eali(ar "olo en papel# 3C:mo podr*amo" con"eguir 2ue un e2uipo (la VM) puedan iniciar en tu dominio a la ve( 2ue en el de otro grupo4 7jercicio reali$ado en papel /. 1n"tala en tu VM W9 la" 'erramienta" admini"trativa" y 'a( prue!a" de admini"traci:n del dominio< tanto de"de MMC como de"de lo" acce"o" directo". 3reviamente debemos descargar e instalar un arc:ivo para poder activar las :erramientas administrativas. Guscar en google: #escargar :erramientas administrativas en ;indo;s B %D accedemos a la primera bsqueda que corresponde a la pgina oficial de Eindo;s& '( #escargamos la versin correcta %,rquitectura H/ bits en mi caso&. Aamos a panel de control '( 3rogramas '( ,ctivar o desactivar caracter sticas de ;indo;s '( ,brimos el desplegable que vemos en la captura siguiente:
4na ve$ instalado iniciamos en II) y agregamos la funcin de ,ctive directory para poder :acer pruebas de administracin. .0. Crea un u"uario cuyo nom!re e"t- formado por cada una de la" iniciale" de tu nom!re y tu primer apellido completo(igual 2ue el 2ue utili(a" en el dominio C1C=>S). &ertenecer a lo" grupo" ?S1;. y @A"uario" del DominioB. &rue!a a iniciar "e"i:n con e"te u"uario. )rear un usuario %fgilm0=& y aadirlo al grupo ,S-+= %:ay que crearlo antes& y 4suarios del dominio ... $Clog D ?lumnoEa#FFFFFFFFFFFFFFFFFF % Control remoto addGon para MMC D 'ttp#EE888.micro"oft.comEenGu"Edo8nloadEdetail".a"pH4idI.2266&ru-!alo y com-ntalo en el !log. 7ste ejercicio ir en una entrada a parte en el Glog .2. $>pcional D Clog D ?lumnoEa# FFFFFFFFFFFFFFFFF%;emote De"Jtop Connection Manager D 'ttp#EE888.micro"oft.comEenGu"Edo8nloadEdetail".a"pH4 idI2..0.&ru-!alo y com-ntalo en el !log. 7ste ejercicio ir en una entrada a parte en el Glog .5.Comprue!a el contenido de tu fic'ero 'o"t" y verifica 2ue no crear conflicto en la re"oluci:n D+S ):5Eindo;s5SystemH/5drivers5etc5:osts. +ealmente si :ago modificaciones en el arc:ivo del server no ocurre nada! en cambio si las reali$o en el :osts anfitrin si se producen las modificaciones que realice. .6. Crea una unidad organi(ativa con tu nom!re y primerapellido precedido de ouF. &.e.# ouFantonio!errocal Las unidades organi$ativas son contenedores dentro de ,ctive #irectory para agrupar objetos
#esde la administracin de ,ctive #irectory creamos una nueva unidad organi$ativa. Gotn derec:o '( Nuevo '( Anidad >rgani(ativa .7. Delega el control total de la ou a tu u"uario creado en uno de lo" eKercicio" anteriore". Sobre la ou creada botn derec:o D = L;?; C>+,;>=. ,parece un asistente para agregar usuarios y grupos %2e agregado a fgilm0=&. 3osteriormente marcar todas las opciones en el apartado de las tareas para que el usuario creado tenga control total. .0. 3Mu- podemo" 'acer con una cuenta de u"uario" perteneciente a admini"tradore" de dominio de"de mmc4 3y de"de una cuenta 2ue pertenece Nnicamente al grupo u"uario" del dominio4 3ues realmente es igual como cuando no estamos en un dominio! el administrador puede crear usuarios! grupos! etc! por lo tanto todo! mientras que un usuario del dominio normal no. .9. 3 " admini"trador de la VM W9 lo" miem!ro" del grupo ?dmini"tradore" del dominio4 +ealmente solo es administrador de la mquina el usuario ,#I-N-S<+,#.+ del ;indo;s Server /001. Los dems usuarios que estn en el grupo administradores no pueden instalar programas en el ;indo;s B. .8. 3&uede" crear un u"uario y a)adirlo al grupo ?dmini"tradore" del dominio4 +eali$ado con un usuario de dominio %fgilm0=& No puedo crear usuarios ni agregar ningn usuario al grupo de administradores. ./. &rue!a 2ue tiene" acce"o a tu ou pero no a otra"< p.e. crea un u"uario. 7n la unidad organi$ativa que esta delegado el control a fgilm0= si se puede crear usuarios pero en las otras no. 20. Configura tu u"uario de tu dominio para 2ue "olo pueda iniciar "e"i:n en 'orario de cla"e. Lo modificamos en propiedades del usuario! en la pestaa )uenta %)uadro 2oras de inicio de sesin& pero tiene que ser con usuario administrador. 2.. Cam!ia la 'ora de tu e2uipo local de forma 2ue no e"t- en el rango en el 2ue puede iniciar "e"i:n. Cierra la "e"i:n e intenta conectar de nuevo< 32u- ocurre4 3por 2u-4 No deja iniciar la sesin mostrando tambi6n un mensaje diciendo que tengo restricciones de tiempo que impiden iniciar la sesin. 22. 3&uede tu u"uario iniciar "e"i:n de"de cual2uier e2uipo 2ue pertene(ca al dominio4 Si 'a" conte"tado 2ue "*< re"tr*ngelo para2ue "olo pueda iniciar "e"i:n de"de tu e2uipo. 7l usuario fgilm0= que pertenece al dominio si puede iniciar sesin en todos los equipos que pertene$can al dominio. 3ara que solo pueda iniciar sesin en un equipo nos dirigimos a las propiedades del usuario! en la pestaa cuenta! cuadro -niciar sesin enJ.D ponemos los nombres de los equipos a los que solo se podr conectar. 7l nombre del equipo lo miramos en 7quipo '( 3ropiedades del sistema. N.<,: La cuenta y contrasea del ;indo;s B es: Oranci"coEroot 25. Crea un u"uario local 2ue tenga el mi"mo nom!re 2ueel del dominio. 1nicia "e"i:n con -l. 3Cul e" "u directorio per"onal4 3y el del u"uario de dominio4
<odos los directorios personales tanto de los usuarios locales como los de dominio estn en ):54sers. 2e creado un usuario local con el mismo nombre que el usuario de dominio y se diferencian en el directorio personal en que el usuario que es creado despu6s que el otro con igual nombre se le aade al final el dominio o el equipo al que pertenece %7jemplo: fgilm=.*+,N)-S).F3) ser a para el local y fgilm0=.*+,N)-S). para el de dominio&. 26. 3Mu- diferencia eHi"te entre Lrupo" de "eguridad y de di"tri!uci:n4 3&odemo" crear un grupo local de di"tri!uci:n o "eguridad4 , los grupos de seguridad se utili$an para asignar derec:os o permisos a un grupo de usuarios y equipos. Los son las acciones que pueden reali$ar en el dominio mientras que los permisos son a los recursos que tienen accesos. Los grupos de distribucin utili$an aplicaciones para enviar correos electrnicos a grupos de usuarios. La principal finalidad es recopilar objetos relacionados. Los grupos de seguridad tienen todas las funciones de los grupos de distribucin aunque solo algunas aplicaciones se pueden utili$ar por los grupos de distribucin. 27. Crea grupo" y u"uario" (utili(a plantilla") en el dominio de forma 2ue pueda" rellenar la "iguiente ta!la con informaci:n "o!re 2u- tipo" de u"uario" y grupo" pueden "er miem!ro" del grupo y de cule" -l puede "er miem!ro. )reamos cuatro grupos: Krupo= y KrupoC de dominio local y Krupo/ y KrupoH Klobal Rmbito grupo 9iembros Qrupo2 -Qrupo global/ Dominio !ocal -Qrupo1/ QrupoS -Qrupo Dominio local/ Puede tener miembros tanto de Dominio !ocal como Qlobales Qrupo S ,olo podr7a ser miembro de QrupoS por ser un grupo de Dominio !ocal Qrupo 1 Qrupo3 -Qrupo global/ Qlobal -Qrupo2/ )o se pueden incluir grupos de dominio !ocal Qrupo 3 Puede tener miembros tanto de Dominio !ocal como Qlobales 9iembro de
20. 3,u u"uario del dominio puede cam!iar la direcci:n 1& del e2uipo local4 3por 2u-4 No porque no tiene los permisos necesarios para reali$ar estos cambios ya que es un usuario normal y no est en el grupo de administradores. 29. De"conecta el ca!le de red e intenta iniciar "e"i:n con un u"uario de dominio< 32u- ocurre4 3por 2u-4 Si puedes iniciar sesin pero slo si :as iniciado sesin anteriormente en el dominio porque te guarda la configuracin en cac:e. 7n el dominio no podr as :acer nada porque est el cable de rede desconectado y por lo tanto no :ay red. 28. Hplica la t-cnica ?LD=&
,K#L3 '( ,ccount Klobal #omain Local 3ermission 7sta t6cnica se utili$a para dar unos determinados permisos o privilegios a un grupo de usuarios pero que luego tiene sus propios permisos globales. -nformacin 7L<+, de E-M-37#-,
&ermi"o" de arc'ivo"
7n todas las versiones de Eindo;s con N< H se :an basado en un sistema de permisos de sistema de arc:ivos denominado ,K#L3 %cuentas! Klobal! Local! permisos& ,KL3 que en esencia donde se aplican los permisos de arc:ivo a la carpeta en forma de un grupo local que luego tiene otros 8grupos globales9 como miembros. 7stos grupos globales mantienen otros grupos o a usuarios segn las diferentes versiones de Eindo;s que utili$a. 7ste sistema var a de otros productos de proveedores tales como Linu" y NetEare debido a la 8esttica9 asignacin de permiso se aplica directorio para el arc:ivo o carpeta. Sin embargo con este proceso de ,KL3@,K#L3@,K4#L3 permite a un pequeo nmero de permisos estticos para aplicarse y permite cambios fciles a los grupos de cuentas sin volver a aplicar los permisos de arc:ivo de los arc:ivos y carpetas
2/. l departamento de Venta" e"ta reali(ando un proyecto en cola!oraci:n con la Aniver"idad de Htremadura. l re"pon"a!le de dic'odepartamento nece"ita permitir acce"o al dominio a per"onal de la univer"idad. Crea un grupo de u"uario" temporal de nom!re &;>P C,>C>=?C>;?C1>+ en el 2ue el re"pon"a!le de venta" tenga la capacidad de a)adir<modificar y eliminar u"uario". )on la cuenta fgilm0= que delega el control a la ouNgranciscogil creo un grupo llamado 3+.D7)<.#7).L,G.+,)-.N! con el mbito de grupo seleccionado en modo global. 4na ve$ creado el grupo vamos a las propiedades del mismo y agregamos en la pestaa miembros al usuario responsableAentas. #espu6s en la pestaa ,dministrado por agregamos a este mismo usuario para que pueda administrar este grupo.
Krupos locales de dominio. 3ueden contener cuentas de usuario de cualquier dominio del bosque! as como cuentas de grupos globales o universales de cualquier dominio del bosque! y otros grupos locales de dominio del mismo dominio %anidamiento&. Slo son visibles en el dominio en que se crean! y suelen utili$arse para administrar recursos %mediante la concesin de permisos y derec:os& situados en cualquiera de los ordenadores del dominio. Krupos globales. 3ueden contener usuarios del mismo dominio! as como otros grupos globales de dic:o dominio %anidamiento&. Son visibles en todos los dominios del bosque! y suelen utili$arse para agrupar a los usuarios de manera amplia! en funcin de las labores que reali$an o los roles que juegan en el dominio. Krupos universales. 3ueden contener cuentas de usuario y grupos globales! as como otros grupos universales %anidamiento&! de cualquier dominio del bosque. Son visibles en todo el bosque! y suelen utili$arse para administrar recursos %mediante la concesin de permisos y derec:os& situados en ordenadores de varios dominios del bosque. -nformacin obtenida del libro del curso que estamos siguiendo: ,dministracin ,van$ada de Eindo;s Server /001 +/ '( )ap tulo C: ,dministracin de #ominios Eindo;s Server /001. 50. 1ndica un grupo predeterminado y un grupo del "i"tema. 4n grupo predeterminado son los definidos automticamente por defecto tanto en el dominio como localmente. 4n ejemplo de estos son O,dministradoresP! O-nvitadosP! O)opias de SeguridadP Los grupos del sistema no se ven en active directory pero e"isten. 4n ejemplo de estos son O<odosP y O4suariosP
5.. ?verigua el S1D de la" "iguiente" cuenta"# a. ,u cuenta de u"uario y de uno de lo" grupo" 2ue 'a"creado. !. De la cuenta de tu e2uipo c. De todo" lo" e2uipo" de tu dominio d. Del grupo @Creator >8nerB y del grupo @,odo"B< comprue!a 2ue corre"ponde con el indicado en la ayuda de Wind8o" 3rimero descargamos las 3S<..L para poder utili$ar el comando 3SK7<S-#. 4na ve$ ec:o esto lo agregamos para poder ser utili$ado , psgetsid fgilm0= S-# for *+,N)-S).5fgilm0=: N N N N N N N N N N N N N psgetsid ,S-+= S-# for *+,N)-S).5,S-+=: N N N N N N N N N N N N N G.psgetsid 55*ranciscoF3) ).psgetsid 55Q #a el siguiente error: enumerating domainJ a system error :as occurred ?==1 #. psgetsid Ocreator o;nerP S-# for 5creator o;ner: N N N N N N N N N N N N N psgetsid todos S-# for 5todos: N N N N N N N N N N N N N No necesitamos cuenta de administrador para reali$ar el ejercicio 52. ?verigua el nom!re de lo" "iguiente" S1D# psgetsid SF=FRFC ,ccount for *+,N)-S).F3)5SF=FRFC Eell Sno; Kroup: N< ,4<2.+-<D5-N<7+,)<-A7
psgetsid SF=FHF= ,ccount for *+,N)-S).F3)5SF=FHF= Eell Sno; Kroup: )+7,<.+ K+.43 psgetsid SF=FRF/ ,ccount for *+,N)-S).F3)5SF=FRF/ Eell Sno; Kroup: N< ,4<2.+-<D5N7<E.+M 55. Crea una cuenta de u"uario en el dominio de nom!reOnom!re?lumnoFnumeroaleatorioB y averigua el S1D 2ue le 'a corre"pondido. >t:rgale permi"o" "o!re una carpeta y de"pu-" !orra la cuenta creada y vuelve a crear otra con id-ntico nom!re< 3le 'a corre"pondido el mi"mo S1D4 3puede acceder a la carpeta4 32u- aparece en la fic'a "eguridad de la carpeta4 )reamos el usuario franciscoN=/ ,veriguados el sid con psgetsid franciscoN=/
)reamos una carpeta compartida otorgando control total al usuario anterior Gorramos la cuenta anterior y creamos otra con el mismo nombre. )omprobamos el sid:
D comprobamos que no es el mismo. #espu6s intentamos acceder a la carpeta en la que ten a los permisos el anterior usuario y no nos deja acceder. 7n cambio si vamos a la pestaa seguridad
con el usuario administrador podemos ver como sigue el usuario que borramos! pero no aparece el nombre! si no su sid.
56. Configura tu VM W9 para 2ue el u"uario 2ue te 'a" creado "ea admini"trador local de tu e2uipo. ,gregamos a fgilm0= que es usuario normal al grupo de administradores locales mediante mmc. Lo podemos :acer desde la misma mquina EB o desde el server /001. Si lo :acemos de esta segunda forma :ay que tener en cuenta la configuracin del fire;all porque nos podr a dar problemas a la :ora de reali$ar estas gestiones remontas mediante II). Si lo agregramos a los administradores de dominio ser a administrador tanto del dominio como localmente.
ervidor 5elnet en EindoFs

3 pesar de que servicios de administracin remota como servidores telnet de%aron de utilizarse hace mucho tiempo, EindoFs aun sigue proporcionando la posi"ilidad de implementar este servicio en sus sistemas para redes domesticas. >ediante este sistema es posi"le iniciar sesin en el equipo servidor mediante una lnea de comandos, muy 0til para su administracin.
Para realizar la instalacin del servicio hay que acceder a G3gregar o quitar programasH, y all hacer clic en G3ctivar caractersticas de EindoFsH, activando el servidor de telnet.
1na vez instalado se ha"r configurado como un servicio que se podr iniciar y parar con los comandos Gnet start telnetH y Gnet stop telnetH o desde un entorno de ventanas con Gservices mscH. !a configuracin del servidor de telnet se realiza desde una cuenta con privilegios e%ecutando el comando de consola GtlntadmnH.
(n mi caso lo configurar& para que los usuarios puedan realizar login contra el dominio en el cual se encuentra el equipo, con un 0nico intento de conexin y que permita el login mediante el envo del hash :5!> y el passFord. Para ello primero introducir& mi equipo dentro del dominio GinformaticI=
1na vez tengamos la confirmacin de ha"er entrado en el dominio podemos e%ecutar el siguiente comando y reiniciar el servicio para configurar el servidor telnet8
CAT=tlntadmn config dom H informaticaBS sec H Mntlm Mpass>d ma5fail H 1 :he settings >ere successfull+ updated.
CAT=tlntadmn stop
:he ser$ice >as stopped successfull+.
CAT=tlntadmn start
:he ser$ice >as started successfull+.
CAT=
3hora de"emos indicar cules sern los usuarios que tienen permisos para realizar conexiones a este servicio. Para ello de"emos introducir a los usuarios deseados en el grupo G!elnet"lientsH mediante la aplicacin Gcompm#mt mscH
Ja est configurado y listo para conectarse. 1na vez se realiza la conexin nos preguntar si queremos enviar nuestro hash ntlm. i introducimos GyH intentar realizar la autenticacin con las credenciales con las que est e%ecutando el cliente, en mi caso, haciendo autenticacin contra el dominio informaticaI= sin necesidad de introducir mis credenciales.
i se introduce GnH pedir la autenticacin clsica de usuario y passFord, donde se podrn introducir credenciales de la mquina local # ervidor telnet$ o usuarios del dominio.
5am"i&n es posi"le la personalizacin del mensa%e de "ienvenida al ingresar las credenciales correctas, esto se consigue modificando el fichero c8KFindoFsKsystem;9Klogin.cmd, el cual se e%ecutar como un script "atch.
Ja tenemos montado y configurado nuestro servidor de telne
LataDa .n
Luscar M

<ortada E2C .quipos de red 2nternet M!il <2< y descargas Eecnolog-a de ?edes M#s >
N& !E P)E#.A%

Fibra Jptica Earifas <2< "D K a fondo .escar*as
Cmo crear nuestra propia red VPN en Windows 7

4< de mayo de 9429 A 4<844 )(5
Uoshelu
;oogleL
E/oseluisalcoba (ditor en NataOa /n <9BK2C2D"D
Comentarios 11 >e gusta 9 !ras el =2ito que han tenido nuestros tutoriales so"re c+mo confi*urar una -PN en nuestro ordenador le toca el turno, tras petici+n popular, a nuestro tutorial para aprender a crear nuestra propia red -PN en EindoFs <. Para que sea 0til al mayor n0mero de usuarios posi"le y sin importar el nivel previo, hemos "uscado la manera m<s sencilla de hacerlo. Para este tutorial hemos utilizado un ordenador con Windows F Ultimate GCbits, aunque de"era poderse hacer en cualquier versin, de hecho los pasos de"eran ser muy similares en Windows -ista. 3dems, tiene que estar configurado con )P est<tica, de este modo no tendremos que modificar la 1"E del router con cada cam"io de IP.
VPN en Windows 7: Configuracin del adaptador

.amos al Centro de redes y recursos compartidos. Para ello presionamos so"re el icono del adaptador de red, en este caso de ca"le, y a continuacin so"re el enlace P3"rir )entro de redes y recursos compartidosQ.
1na vez all vamos a HCambiar confi*uraci+n del adaptadorI, situado en la parte superior izquierda de la ventana.
Crear una nueva conexin entrante

(n esta ventana el men0 permanece oculto, para mostrarlo tendremos que presionar la tecla HAltIde nuestro teclado. 1na vez visi"le vamos a8 $rc%ivo RS &ueva cone'i(n entrante.
!o primero que el asistente nos pide son los usuarios que tendrn acceso a nuestra .P:. Para esto podemos usar los propios usuarios del sistema o crear usuarios nuevos. Para este tutorial crearemos un usuario nuevo, para hacerlo pulsamos so"re el "otn PA*re*ar a al*uienJP.
(n este punto ingresamos los datos del nuevo usuario, en nuestro e%emplo hemos usado8

Nombre de usuario: 1suario utilizado para iniciar sesin en la .P:. Nombre completo: :om"re del usuario. 1tilizado para sa"er a qui&n pertenece el usuario anterior.
ContraseKa: (s de vital importancia utilizar contrase'as seguras.
)omo vemos en la siguiente foto, ahora aparece en la lista el usuario que aca"amos de crear. (n caso de que &ste no aparezca marcado tendremos 8ue marcarlo manualmente. i queremos a'adir ms usuarios tan slo tendremos que volver a pulsar el "otn P$#re#ar a al#uien)P y repetir el proceso. 1na vez seleccionados todos los usuarios que queramos presionamos el "otn H%i*uienteI.
(n esta ocasin tenemos especificar desde dnde se realizarn las conexiones al sistema, como queremos acceder desde )nternet marcamos la opcin oportuna, en nuestro caso es la Lnica.
Configurar direcciones IP
eleccionamos la opcin PProtocolo de )nternet versi+n C 6!CP0)PvC7P y a continuacin el "otn PPropiedadesP, para a%ustar los parmetros.
(n este apartado configuraremos dos cosas8
Acceso a la red: >arcamos esta opcin si queremos que los usuarios de la .P: tengan acceso a la red local.
#an*o de direcciones )P: 3qu especificamos el rango de direcciones que asignar el D6)P a los clientes.
.olvemos a la pantalla anterior, para continuar adelante presionamos el "otn P Permitir accesoP. 3hora nos informa del nom"re del equipo del equipo, al tratarse de una red dom&stica no lo necesitamos para nada ya que no tenemos un dominio.
Acabamos la confi*uraci+n, ahora vemos como tenemos un nuevo icono que corresponde a la .P:, adems, cada vez que un usuario se conecte aparecer< otro m<s con el nombre del usuario en cuestin.
Ja tenemos todo configurado en el equipo, lo 0nico que queda es abrir el puerto correspondiente #$F5? !CP$ en el router para poder conectarnos a la red desde Internet. i no sa"&is cmo hacer este procedimiento pod&is pro"ar con imple <ort Forwarding. Para conectarnos tendremos que poner en el campo direccin del cliente la direcci+n )P o la .N% de nuestro router.
&orta!leGVirtualCoH e" una 'erramienta de "oft8are li!re y de c:digo a!ierto 2ue te permite eKecutar cual2uier "i"tema operativo de"de una memoria ASC "in nece"idad de in"talaci:n independiente
1n"truccione" de in"talaci:n
=. /. H. #escargue y ejecute <ortable+,irtualBo/M!0)2)0+ tarterM!:)0)7+WinMall)e/e . 7lija una carpeta para e"traer a. Aaya a la carpeta y ejecutar 3ortableFAirtualGo".e"e. Aer una ventana como la siguiente:
C.
Si ya :a descargado el instalador de AirtualGo" desde www)!irtualbo/)org clic en Guscar y vaya al arc:ivo.Si no es as ! :aga clic en T#escargar los arc:ivos de instalacin de AirtualGo".T 3ortableFAirtualGo" le mostrar el progreso de la descarga.
R.
4na ve$ que el instalador es descargar! seleccione las casillas que sean apropiados y :aga clic en ,ceptar.3ortableF AirtualGo" e"traer los arc:ivos necesarios desde el instalador de AirtualGo"! y reiniciarse posteriormente si selecciona la ltima casilla.
Configuraci:n opcional
3ortableFAirtualGo" :ace ajustes por defecto de forma automtica. 4sted puede modificarlos pulsando )<+LFR o abriendo el men bandeja mientras 3ortableFAirtualGo" se ejecuta. 7n ambos casos se abrir la interfa$ grfica de usuario de configuracin a continuacin. La fic:a 2oSeyF)onfiguracin se muestra abierta en la imagen a continuacin:
Caracter*"tica"

3antalla de bienvenida al iniciar y finali$ar #irectorio -nicio )onfigurable -nicie el AirtualGo" K4- o lan$ar directamente una mquina virtual )onfigure las teclas de acceso rpido para el manejo de su mquina virtual )onfigurar 4SG y soporte de red 7lige idioma K4Kuarda la configuracin en editable Q. -niFarc:ivos Se puede comprobar automticamente si :ay actuali$aciones de AirtualGo" <odas las rutas absolutas en el AirtualGo"."ml se sustituyen automticamente por rutas relativas 7"isten controles para que los arc:ivos de AirtualGo" seguro
+ota
VirtualCoH tiene vario" controladore" del nNcleo in"talado y de!e empe(ar vario" "ervicio"# "i lo" controladore" y "ervicio" no e"tn in"talado" tendr derec'o" de admini"trador para eKecutar &orta!leG VirtualCoH. )uando 3ortableFAirtualGo" se inicia! comprueba si estn instalados los controladores. Si no es as se instalarn antes de ejecutar AirtualGo" y eliminarlos despu6s. #el mismo modo! 3ortableFAirtualGo" comprueba si los servicios se estn ejecutando. Si no es as ! se iniciar y luego detenerlos cuando sale. Si quieres a:orrar espacio puede eliminar los arc:ivos de idioma de otros idiomas aparte del suyo propio. 7so le puede a:orrar cerca de =0 IG. Se encuentran en el directorio nls. <ambi6n puede eliminar la documentacin de a:orro de cerca de R IG. Lo encontrar en el directorio doc. )uando la mquina virtual est en ejecucin! debe pulsar el botn T2ostFMeyT %inicialmente configurado como el derec:o )<+LF Mey& para poder usar las otras teclas de acceso rpido porque de lo contrario la mquina virtual tendr el foco.
;ed de apoyo
=. /. H. C. R. ?. B. 1. >. 3ara la descarga de AirtualGo" 3ortableF #esembalaje de AirtualGo" 3ortableF 7mpe$ar desde AirtualGo" 3ortableF ,ctitudes abiertas %bandeja F( actitudes! )<+L UR& F( Net;orS rider %<ab& F( AirtualGo" con arranque soporte de red F( memoria %guardar& <erminar de AirtualGo" 3ortableF 7mpe$ar desde AirtualGo" 3ortableF La instalacin del controlador de acuerdo 7sperar La seleccin de una mquina virtual y el mapa de la red para recibir las interfaces dejen de
=0. ==.
Las actitudes :acen <7+I-N,#.
1dioma" del =aunc'er

-ngl6s! alemn! portugu6s! espaol! franc6s! italiano.
1mportante
Ninguno de los arc:ivos que vienen de AirtualGo" %:ttp:@@;;;.virtualbo".org& se modifican o se cambia de otra manera. 3ortableFAirtualGo" descarga el instalador de AirtualGo"! que contiene todos los arc:ivos de AirtualGo" y conductores. 3ortableF AirtualGo" descomprime los arc:ivos y los almacena en subdirectorios. 3ortableFAirtualbo" tambi6n puede comprimir para a:orrar espacio.

Conectar El Equipo A Un Dominio

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Conectar El Equipo A Un Dominio

Transféré par

Droits d'auteur :

Formats disponibles

Conectar el equipo a un dominio

Se aplica a las siguientes ediciones de Windows 7: Professional, Ultimate, Enterprise

%&iferencias entre un dominio, un grupo de traba!o Se aplica Windows 7

,os grupos en el hogar no estn disponibles en -indo.s erver /001 2/.

Para comprobar si el equipo est en un grupo de trabajo o un dominio

,a con#iguracin de nombre, dominio y grupo de trabajo del equipo

Para comprobar si el equipo pertenece a un grupo en el hogar

!l rea de estado Grupo $ogar del Centro de redes y recursos compartidos

Configurar Usuario de Dominio como dministrador !ocal

Crear un Controlador de Dominio en Windows 2003 er!er

"lta de m#quina Windows $ como cliente de un dominio de Windows 200%

continuaci"n seleccionaremos la opci"n #Configuraci"n a$an%ada del sistema&.

'n la $entana de #Propiedades del sistema& seleccionamos la pesta(a #)ombre de equipo&.

continuaci"n se nos a$isa de que necesitaremos reiniciar nue$amente el PC.

Cmo se encuentran los controladores de dominio en Windows

'n esta pgina 8esumen

Solucionar problemas del proceso de ubicacin de dominios

Instalar un controlador de dominio adicional usando la interfa9 de Windows

Uso de herramientas de diagnstico para un Controlador de Dominio

Ca salida del comando si est& correcto ser&-

Si no hay ninguno #como en ste e,emplo$ el mensa,e que se devuelve ser&-

4ndicamos el nombre del dominio ^ [AH[,

Si hubiera alg2n error de rplicas aparecer%a en la pantalla anterior-

6 R S 6 S F6 6 6 6 6 < 6 6 < < <

=ytes per ob,ectAb,ect

=ytes per serverServer dclabF dclab6

=ytes S?SSS S?SSS

Aulas en red, aplicaciones y servicios. Windows

Como usar el comando NSLOOKUP en Windows, ejemplos prcticos

C!mo usar el comando NSLOOKUP en Windows

DE !l modo normal o no interactivo, al igual que en los otros comandos en la consola, se

/E =odo interactivo, se hace la consulta en tiempo real y de manera consecutiva en

Lista de las opciones &ue permite el comando NSLOOKUP

'stablece como G,'8<3D.8G el ser$idor D), predeterminado inicial* 6til si el

que se especific" anteriormente no puede resol$er las consultas.

3r a la rai% del ser$idor especificado como tal en el parmetro set rootH

9uestra todas las opciones disponibles.

9uestra o no informaci"n ms a$an%ada.

9uestra o no informaci"n a6n ms a$an%ada.

(ade nombre de dominio en cada consulta.

,olicitar o no respuesta de forma recursi$a

'mplea o no :CP para consultas en $e% de UDP

Puerto -predeterminado 53/

set quer+t+peH set qH

!o mismo que el anterior

'specifica tiempo de espera en segundos -$alor predeterminado 2/

'specifica n6mero de reintentos -$alor predeterminado 1/

Usar o no transferencia de %ona rpida 9,.

Usar o no una lista de dominios para efectuar b6squedas.

set srchlistH )1IN)2N...N)BJ

'specifica orden de los dominios usados para buscar.

Lo que aparece encerrado entre los caracteres [], su uso es opcional.

Tipos de consultas en los servidores DNS

'jemplos prcticos del uso del comando NSLOOKUP

Otros ejemplos de usos prcticos de NSLOOKUP

Como conocer con el comando NSLOOKUP todos los host de un dominio

Prue"as al cam"iar los ser$idores %NS de nuestra cone(i!n

,a misma consulta usando 8pen*+

5ema 4< B Prctica 42 B 3ctive Directory C)/>P!(53D

9scara de red Qate>a+ D), 9 C Dominio )i$el de funcionalidad Pass>ord dministrador

ervidor 5elnet en EindoFs

:he ser$ice >as stopped successfull+.

:he ser$ice >as started successfull+.