Vous êtes sur la page 1sur 38

Instalación de Active Directory en Windows Server 2003

Contenido

Introducción Marcador no definido.

¡Error!

Lección: Fundamentos de Active Directory Marcador no definido.

¡Error!

Lección: Instalación de Active Directory Marcador no definido.

¡Error!

Lección: Cambio de niveles funcionales Marcador no definido.

¡Error!

2

Instalación de Active Directory en Windows Server 2003

Introducción

de Active Directory en Windows Server 2003 Introducción ******el uso por quienes no sean instructores no

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

En una red en la que se ejecuta cualquier sistema operativo de la familia de productos de Microsoft® Windows Server 2003, el servicio de directorio Active Directory® proporciona la estructura y las funciones para organizar, administrar y controlar recursos de red. Para administrar o dar soporte a una red de la familia de Windows Server 2003, debe comprender la finalidad y la estructura de Active Directory.

Objetivos

Después de finalizar este módulo, podrá:

Explicar conceptos básicos del servicio de directorio Active Directory.

Instalar Active Directory.

Cambiar el nivel funcional de dominio.

Instalación de Active Directory en Windows Server 2003

3

Lección: Fundamentos de Active Directory

Server 2003 3 Lección: Fundamentos de Active Directory ******el uso por quienes no sean instructores no

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

Objetivos de la lección

En esta lección se proporciona una introducción a Active Directory, incluidos muchos de los términos necesarios para su comprensión.

Después de finalizar esta lección, podrá:

Explicar la función de un servicio de directorio y las ventajas de utilizar el servicio de directorio Active Directory.

Explicar la función de dominios y controladores de dominio.

Comparar sincronización con replicación.

Explicar la función de una unidad organizativa y las ventajas de utilizar unidades organizativas.

Explicar la relación entre árboles y bosques y las relaciones de confianza comunes que admite Active Directory.

Explicar la función de un sitio.

Explicar la función del esquema.

4

Instalación de Active Directory en Windows Server 2003

Qué es el servicio de directorio Active Directory

2003 Qué es el servicio de directorio Active Directory ******el uso por quienes no sean instructores

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

Como usuario que ha iniciado una sesión en una red, puede que necesite conectarse a una carpeta compartida o enviar un trabajo de impresión a una impresora de la red. ¿Cómo encontrar la carpeta y la impresora y otros recursos de red?

Definición

Un servicio de directorio es un servicio de red que identifica todos los recursos de una red y pone la información a disposición de los usuarios y las aplicaciones. Los servicios de directorio son importantes porque proporcionan una forma coherente de asignar nombre, describir, encontrar, tener acceso, administrar y proteger la información acerca de estos recursos.

Cuando un usuario busca una carpeta compartida en la red, es el servicio de directorio el que indentifica el recurso y proporciona esa información al usuario.

Active Directory

Active Directory es el servicio de directorio de la familia de Windows Server 2003. Amplía la funcionalidad básica de un servicio de directorio para proporcionar las siguientes ventajas:

Integración de DNS

Active Directory utiliza las convenciones de nomenclatura del Sistema de nombres de dominio (DNS, Domain Name System) para crear una estructura jerárquica que proporcione una vista familiar, ordenada y escalable de las conexiones de red. DNS también se utiliza para asignar nombres de host, como microsoft.com, a direcciones de Protocolo de control de transmisión/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol) numéricas, como 192.168.19.2.

Escalabilidad

Active Directory se organiza en secciones que permiten el almacenamiento de una gran cantidad de objetos. Como resultado, Active Directory se puede ampliar a medida que la organización crece. Una organización que dispone de un solo servidor con unos pocos cientos de objetos puede crecer hasta miles de servidores y millones de objetos.

Instalación de Active Directory en Windows Server 2003

5

Administración centralizada

Active Directory permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicación central, al tiempo que utiliza una interfaz de administración coherente. Active Directory también proporciona un control de acceso centralizado a los recursos de red, habilitando a los usuarios para iniciar la sesión sólo tras obtener acceso completo a los recursos en todo Active Directory.

Administración delegada

La estructura jerárquica de Active Directory permite que el control administrativo se delegue para segmentos específicos de la jerarquía. Una autoridad administrativa superior puede autorizar a un usuario a realizar labores administrativas en su parte designada de la estructura. Por ejemplo, los usuarios pueden disponer de un control administrativo limitado en la configuración de su estación de trabajo y un administrador de departamento puede disponer de derechos administrativos para crear nuevos usuarios en una unidad organizativa.

Lecturas adicionales

Para obtener más información acerca de Active Directory, consulte Technical Overview of Windows Server 2003 Active Directory (en inglés) en http://www.microsoft.com/windowsserver2003/techinfo/overview/ activedirectory.mspx.

6

Instalación de Active Directory en Windows Server 2003

Qué son los dominios y los controladores de dominio

2003 Qué son los dominios y los controladores de dominio ******el uso por quienes no sean

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Qué es un dominio

Qué es un controlador de dominio

Un dominio es un conjunto de equipos, definidos por un administrador, que comparten una base de datos de directorio común, directivas de seguridad y relaciones de seguridad con otros dominios. En Active Directory, la unidad central de la estructura lógica es el dominio.

Un controlador de dominio es un equipo que realiza las siguientes acciones:

Ejecuta un sistema operativo en la familia de Windows Server 2003 o ejecuta Microsoft Windows® 2000.

Almacena una réplica de Active Directory.

Administra los cambios de la información de directorio.

Replica los cambios de directorio en otros controladores de dominio del mismo dominio.

Almacena datos de directorio.

Administra los procesos de inicio de sesión y autenticación de los usuarios y de búsquedas de directorios.

Nota

no realiza una copia de seguridad de los controladores de dominio. En Windows Server 2003, todos los controladores de dominio pueden aceptar y replicar cambios de directorio. Esto se conoce como replicación con varios maestros. Windows NT 4.0 utiliza un modelo de replicación de un solo servidor maestro, en el que un controlador de dominio almacena la única copia del directorio que se puede modificar y otros controladores de dominio almacenan copias de seguridad.

A diferencia de Microsoft Windows NT® 4.0, Windows Server 2003

Instalación de Active Directory en Windows Server 2003

7

Cuántos controladores de dominio hay en un dominio

Un dominio puede tener uno o varios controladores de dominio. Una organización pequeña que utilice una única red de área local (LAN, Local Area Network) puede que sólo necesite un dominio con dos controladores de dominio para proporcionar la disponibilidad y la tolerancia de errores adecuadas. Una organización grande con muchas ubicaciones geográficas puede necesitar uno o varios controladores de dominio en cada ubicación para proporcionar la disponibilidad y la tolerancia de errores adecuadas.

completa Los dominios de toda son la unidades información de replicación. de directorio Todos de su los dominio. controladores dentro de un dominio participan en la replicación y contienen una copia

Nota

servidor del dominio que no es un controlador de dominio.

En una red de Windows Server 2003, un servidor miembro es cualquier

8

Instalación de Active Directory en Windows Server 2003

Comparación entre sincronización y replicación

2003 Comparación entre sincronización y replicación ******el uso por quienes no sean instructores no está

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

Comparaciones entre sincronización y replicación

En un dominio de Microsoft Windows NT 4.0, los cambios realizados en el controlador de dominio principal (PDC, Primary Domain Controller) se sincronizan con el controlador de dominio de reserva (BDC, Backup Domain Controller). En Windows 2000 y en la familia de Windows Server 2003, puede realizar cambios en cualquier controlador de dominio para un dominio y los cambios se replicarán en el resto de controladores de dominio para ese dominio.

En la siguiente tabla se resume la sincronización y la replicación en Windows NT 4.0 y la familia de Windows Server 2003.

Término

Sincronización

Modelo de replicación con múltiples maestros

¿A qué producto se aplica?

Windows NT 4.0

Familia de Windows Server 2003

¿Dónde se realizan los cambios?

Todos los cambios se realizan en el PDC.

Los cambios en un objeto de Active Directory pueden realizarse en cualquier controlador de dominio.

¿Dónde se propagan los cambios?

Los cambios realizados en el PDC se replican en el BDC.

Los cambios realizados en cualquier controlador de dominio se replican en el resto de controladores del dominio.

Instalación de Active Directory en Windows Server 2003

9

Qué es una unidad organizativa

en Windows Server 2003 9 Qué es una unidad organizativa ******el uso por quienes no sean

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Definición

Ventajas del uso de unidades administrativas

Una unidad organizativa es un tipo especialmente útil de objeto de Active Directory que está contenido en un dominio. Las unidades organizativas son útiles porque pueden utilizarse para organizar cientos de miles de objetos en el directorio en unidades fáciles de administrar. Puede utilizar una unidad organizativa para agrupar y organizar objetos con fines administrativos, como delegar derechos administrativos y asignar directivas a un conjunto de objetos como una sola unidad.

Puede utilizar unidades organizativas para lo siguiente:

Organizar objetos en un dominio.

Las unidades organizativas contienen objetos de dominio, como grupos y cuentas de usuario y equipo. En las unidades organizativas también es posible encontrar recursos compartidos de archivo e impresora que se publican en Active Directory.

Delegar el control administrativo.

Puede asignar control administrativo completo, como el permiso Control total, a todos los objetos de la unidad organizativa o control administrativo limitado, como la capacidad de modificar la información de correo electrónico, a los objetos de usuario de la unidad organizativa. Para delegar el control administrativo, asigne permisos específicos a la unidad organizativa y a los objetos que ésta contiene para uno o varios usuarios y grupos.

Simplificar la administración de los recursos normalmente agrupados.

Puede delegar la autoridad administrativa a atributos u objetos individuales en Active Directory, pero normalmente utilizará unidades organizativas para delegar esta autoridad. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o para una sola. Con las unidades organizativas podrá crear contenedores en un dominio que representen las estructuras jerárquicas o lógicas de su organización. Así, podrá administrar la configuración y el uso de cuentas y recursos en función del modelo organizativo.

10

Instalación de Active Directory en Windows Server 2003

Qué son árboles, bosques y confianzas

Windows Server 2003 Qué son árboles, bosques y confianzas ******el uso por quienes no sean instructores

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Definiciones

Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo se organizan los dominios y cómo trabajan juntos.

Término

Definición

Árbol

Una disposición jerárquica de uno o varios dominios de la familia de Windows Server 2003 que forman un espacio de nombres contiguo. Un árbol también se denomina árbol de dominios.

Bosque

Uno o varios árboles se pueden unir para formar un bosque. Un bosque también se denomina bosque de dominios.

Ejemplo de una estructura con un único árbol

Contoso Ltd. ha creado dos nuevas organizaciones, una en China y la otra en Japón. Se añadieron dos nuevos dominios al dominio de Active Directory actual denominado contoso.msft. Cada uno comparte la raíz común contoso.msft:

china.contoso.msft

japan.contoso.msft

Los siguientes resultados se consiguen incluyendo las nuevas organizaciones en una estructura de árbol, en lugar de crear unidades organizativas en el dominio existente:

Los dominios resultantes forman un espacio de nombres contiguo.

El administrador puede otorgar permisos para recursos a cuentas de cualquiera de los tres dominios del árbol.

Los nuevos dominios se pueden administrar de forma independiente, cada uno en un idioma distinto.

Instalación de Active Directory en Windows Server 2003

11

Ejemplo de una estructura con varios árboles

Contoso, Ltd. adquiere una nueva compañía llamada Northwind Traders y crea un dominio de Active Directory denominado nwtraders.msft. Northwind Traders y Contoso combinarán operaciones de tecnologías de la información y comenzarán a funcionar juntas. A Contoso Ltd. le gustaría mantener el nombre de marca Northwind Traders para el futuro inmediato.

Contoso crea otro árbol en el bosque existente para la compañía adquirida.

Los siguientes resultados se consiguen utilizando varios árboles en un único bosque:

Las dos organizaciones compartirán un esquema común.

Compartirán datos de configuración comunes.

Compartirán un catálogo global común, en el que se realizarán búsquedas de recursos más fácilmente.

Ejemplo de una estructura con varios bosques

Con la situación del ejemplo anterior, puede conseguir los siguientes resultados añadiendo el nuevo dominio de Active Directory, nwtraders.msft, como un nuevo bosque, en lugar de crear la nueva organización en el bosque existente:

Las dos organizaciones pueden mantener espacios de nombres independientes y continuar utilizando la jerarquía de nombres que ya existe dentro de ellas.

Las dos organizaciones pueden mantener sus funciones administrativas separadas y continuar funcionando de forma independiente.

Las dos organizaciones podrán compartir recursos y funciones administrativas si resulta adecuado.

Nota

El bosque es el máximo límite de seguridad.

12

Instalación de Active Directory en Windows Server 2003

Relaciones de confianza de Active Directory

En Active Directory, el término confianza hace referencia a la relación entre dos dominios en la que un dominio reconoce la autoridad de autenticación del otro.

Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo otros dominios pueden reconocer la autoridad para autenticar de un dominio.

Término

Definición

Confianza unidireccional

Un dominio reconoce la autoridad de autenticación de otro pero no a la inversa. Por ejemplo, el dominio A confía en el dominio B, pero el dominio B no confía en el dominio A.

Confianza bidireccional

La autoridad de autenticación entre dominios se reconoce mutuamente. Por ejemplo, si el dominio A confía en el dominio B, entonces el dominio B confía en el dominio A.

Confianza transitiva

La autoridad de autenticación se puede heredar implícitamente entre dominios.

Por ejemplo, si el dominio A confía en el dominio B y el dominio B confía en el dominio C, el dominio A confía en el dominio C.

Confianza transitiva

La autoridad de autenticación se puede heredar implícitamente de forma bidireccional entre dominios.

bidireccional

Relaciones de confianza de uso frecuente

Confianza entre bosques

Por ejemplo, si el dominio B confía en el dominio A y el dominio C confía en el dominio A, entonces el dominio B confía automáticamente en el dominio C y el dominio C confía automáticamente en el dominio B.

Una confianza que se extiende a través de bosques.

Éstas son las relaciones de confianza utilizadas con más frecuencia:

Las relaciones de confianza transitivas bidireccionales se utilizan con más frecuencia porque son las predeterminadas entre dominios de la familia de Windows Server 2003.

Las confianzas no transitivas unidireccionales se utilizan con frecuencia para admitir conexiones desde dominios de la familia de Windows Server 2003 a redes de Windows NT 4.0.

Lecturas adicionales

Para obtener más información sobre confianzas consulte los temas “Confianzas” y “Tipos de confianzas” del Sistema de ayuda y soporte técnico.

Instalación de Active Directory en Windows Server 2003

13

Qué es un sitio

Directory en Windows Server 2003 13 Qué es un sitio ******el uso por quienes no sean

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Qué es un sitio

Por qué se crea un sitio

Un sitio es una combinación de una o varias subredes de Protocolo Internet (IP, Internet Protocol) que están conectadas por un vínculo de alta velocidad. La definición de sitios permite configurar la topología de replicación y acceso a Active Directory.

Los sitios se crean por dos razones:

Para optimizar la replicación de dominios

Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexión confiable de alta velocidad

Comparación de sitios y dominios

Los sitios asignan la estructura física de la red, mientras que los dominios asignan la estructura lógica de la organización. Las estructuras lógica y física de Active Directory son independientes una de otra, lo que tiene las siguientes consecuencias:

No hay correlación entre la estructura física de la red y su estructura de dominios.

Active Directory permite múltiples dominios en un único sitio, además de múltiples sitios en un único dominio.

No hay correlación entre los espacios de nombres de los sitios y de los dominios.

Lecturas adicionales

Para obtener más información sobre sitios consulte el curso 2281: Designing a Microsoft Windows Server 2003 Directory Services Infrastructure (Beta) (en inglés).

14

Instalación de Active Directory en Windows Server 2003

Qué es el esquema

Active Directory en Windows Server 2003 Qué es el esquema ******el uso por quienes no sean

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Qué es un esquema

Estructura de esquema:

clases y atributos

Características de los esquemas

El esquema del servicio de directorio Active Directory es una estructura de datos que contiene las definiciones de todos los objetos que se almacenan en Active Directory, como equipos, usuarios e impresoras.

Hay dos tipos de definiciones en el esquema: clases y atributos.

Las clases describen los objetos de directorio que se pueden crear. Cada clase es un conjunto de atributos, los cuales describen objetos.

Cuando se crea un objeto, los atributos de este objeto almacenan la información que lo describe. Los atributos se definen de forma independiente de las clases. Cada atributo se define sólo una vez y se puede utilizar en varias clases. Por ejemplo, el atributo de descripción se utiliza en muchas clases, pero se define sólo una vez en el esquema para asegurar la coherencia.

Los usuarios pueden localizar objetos por todo Active Directory mediante la búsqueda de atributos específicos. Por ejemplo, un usuario puede localizar una impresora en un edificio concreto mediante la búsqueda del atributo Ubicación de la clase de objeto de la impresora.

En la familia de Windows Server 2003, sólo hay un esquema para todo el bosque de manera que todos los objetos creados en Active Directory se ajustan a las mismas reglas. Cuando se realizan cambios en el esquema, estos cambios se replican en cada controlador de dominio del bosque.

En Active Directory, el esquema se almacena en una base de datos, que es distinta de otros directorios que disponen de un esquema que se almacena como un archivo de texto y se lee al inicio.

Instalación de Active Directory en Windows Server 2003

15

El almacenamiento del esquema en una base de datos significa que el esquema:

Está disponible dinámicamente para aplicaciones de usuario.

Se puede actualizar de forma dinámica.

Puede utilizar listas de control de acceso discrecional para proteger todas las clases y atributos.

Dónde se almacena el esquema

El esquema se almacena en una partición de directorio de la base de datos de Active Directory. Una partición de directorio es una unidad de replicación. El archivo de la base de datos de Active Directory se llama Ntds.dit y se encuentra en SystemRoot\Ntds. Además del esquema, este archivo contiene toda la información almacenada en Active Directory.

Nota

pero pueden desactivarse.

Las clases y atributos del esquema no se pueden deshacer o eliminar,

16

Instalación de Active Directory en Windows Server 2003

Lección: Instalación de Active Directory

Server 2003 Lección: Instalación de Active Directory ******el uso por quienes no sean instructores no está

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

Objetivos de la lección

En esta lección se describen diversas tareas de instalación importantes relacionadas con Active Directory.

Después de finalizar esta lección, podrá:

Explicar los requisitos para la instalación de Active Directory.

Explicar los dos métodos para agregar un controlador de dominio a un dominio existente.

Agregar un controlador de dominio a un dominio existente.

Instalar Active Directory a partir de un medio de copia de seguridad.

Crear un árbol en un bosque existente.

Crear un dominio secundario.

Instalación de Active Directory en Windows Server 2003

17

Requisitos de instalación de Active Directory

2003 17 Requisitos de instalació n de Active Directory ******el uso por quienes no sean instructores

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Requisitos de

instalación de

Active Directory

Antes de instalar Active Directory, debe asegurarse de que tanto el servidor como la red cumplen ciertos requisitos y opciones de instalación.

En la siguiente lista se identifican los requisitos para la instalación de Active Directory:

Un equipo donde se ejecute la familia de Microsoft Windows Server 2003.

Una partición o un volumen formateados con el sistema de archivos de Windows NT (NTFS, Windows NT File System).

Espacio en disco suficiente para el directorio. Se recomienda disponer de 1 gigabyte (GB) como mínimo.

Un servidor DNS que admite el registro de recurso de servicio (SRV).

Protocolo de control de transmisión/Protocolo Internet (TCP/IP) instalado y configurado para DNS.

Además, se recomienda disponer de un servidor DNS que admita el protocolo de actualización dinámica.

Nota

de instalar el servicio Servidor DNS al instalar el primer controlador de dominio en un dominio nuevo, si no se encuentra un servidor DNS autorizado para el dominio o si el servidor DNS no admite el DNS dinámico.

El Asistente para instalación de Active Directory ofrece la posibilidad

18

Instalación de Active Directory en Windows Server 2003

Al crear un dominio o un controlador de dominio en una red de la familia de Windows Server 2003 existente, debe obtener las credenciales de red necesarias para crear un dominio. Estas credenciales son las siguientes:

El nombre de inicio de sesión de una cuenta de usuario

La cuenta de usuario debe tener suficientes privilegios administrativos para crear un controlador de dominio.

La contraseña de la cuenta

El nombre del dominio

Especificación de las opciones de instalación para controladores de dominio

Cuando se instala Active Directory en un equipo donde se ejecuta un miembro de la familia de Windows Server 2003, se especifica el dominio en el que ese equipo va a ser un controlador de dominio.

Debe elegir entre estas opciones para cada controlador de dominio que cree. Después de hacer la selección, el Asistente para la instalación de Active Directory le guiará para que especifique la información necesaria para el nuevo controlador de dominio. La información que debe proporcionar al instalar Active Directory varía según las opciones seleccionadas.

Cuando instala Active Directory, se crean archivos de registro que enumeran los resultados de cada paso del procedimiento de instalación. Los archivos de registro se guardan en la carpeta SystemRoot\Debug.

Nota

consulte el curso 2281: Designing a Microsoft Windows Server 2003 Directory

Services Infrastructure (Beta) (en inglés).

Para obtener más información sobre la planificación de Active Directory,

Instalación de Active Directory en Windows Server 2003

19

Métodos para agregar un controlador de dominio a un dominio existente

agregar un contro lador de dominio a un dominio existente ******el uso por quienes no sean

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Comparación de las formas de agregar un controlador de dominio

Existen dos formas de agregar un controlador de dominio a un dominio existente:

Replicar una copia completa de la base de datos de Active Directory en la red.

Las ventajas de utilizar este método son las siguientes:

Permite utilizar una red de banda ancha.

La replicación se actualiza y se completa en un solo paso en el momento de la promoción.

Instalar un controlador de dominio a partir de los medios de copia de seguridad.

Con este método, cuando se inicia la instalación de Active Directory, la replicación inicial se realiza con los archivos de copia de seguridad restaurados, en lugar de hacerlo con otro controlador de dominio a través de la red.

La instalación a partir de medios de copia de seguridad permite implementar controladores de dominio en ubicaciones que disponen de conexiones de poco ancho de banda.

Los archivos de copia de seguridad, generados por cualquier utilidad de copia de seguridad compatible con Active Directory, se pueden transferir al controlador de dominio candidato mediante medios como cinta, CD o DVD, o bien utilizando la copia de archivos en una red.

Tenga en cuenta que los medios de copia de seguridad no están actualizados en el momento de la promoción. Después de promover el controlador de dominio, se debe replicar para que quede actualizado. El tiempo requerido y el ancho de banda consumido en este proceso dependen en gran medida de lo reciente que sea la copia de seguridad. Por esta razón, debe crear una copia de seguridad lo más cerca posible en el tiempo del momento en que vaya a utilizarla.

20

Instalación de Active Directory en Windows Server 2003

Cómo agregar un controlador de dominio a un dominio existente

agregar un controlador de dominio a un dominio existente ******el uso por quienes no sean instructores

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

Después de crear un dominio, debe crear un controlador de dominio adicional en el dominio para proporcionar tolerancia a errores y equilibrio de carga para Active Directory.

Procedimiento

Para agregar un controlador de dominio a un dominio existente, ejecute DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory. Complete el asistente con la información contenida en la siguiente tabla.

En esta página

Haga esto

Tipo de controlador de dominios

Copiar información del dominio (esta opción sólo está disponible al utilizar DCPromo.exe con el modificador /adv)

Credenciales de red

Controlador de dominio adicional

Haga clic en Controlador de dominio adicional para un dominio existente.

Haga clic en En la red desde un controlador de dominio – o bien –

Desde estos archivos restaurados de copia de seguridad, escriba la ubicación de los mismos o haga clic en Examinar para localizar los archivos restaurados.

Especifique el nombre de usuario, la contraseña y el nombre de dominio de una cuenta de usuario que disponga de los derechos necesarios para crear controladores de dominio en Active Directory.

Especifique el nombre DNS del dominio existente para el que este equipo se convertirá en un controlador de dominio adicional.

Instalación de Active Directory en Windows Server 2003

21

(continuación )

En esta página

Haga esto

Efectos de promover un servidor a controlador de dominio

Carpetas de la base de datos y del registro

Volumen del sistema compartido

Contraseña de admin. del Modo de restauración de servicios de directorio

Especifique la ubicación de los archivos de registro y de base de datos de Active Directory.

Especifique la ubicación para el volumen del sistema compartido.

Especifique una contraseña para utilizarla al iniciar el equipo en el Modo de restauración de servicios de directorio.

Después de completar la información de instalación, el Asistente para instalación de Active Directory realiza las siguientes acciones:

Convierte el equipo en un controlador de dominio.

Replica Active Directory a partir de un controlador de dominio existente.

Agrega las consolas de Active Directory al menú Herramientas administrativas de ese equipo.

22

Instalación de Active Directory en Windows Server 2003

Cómo instalar Active Directory a partir de medios de copia de seguridad

Active Directory a partir de medios de copia de seguridad ******el uso por quienes no sean

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

El procedimiento de instalación de Active Directory a partir de medios de copia de seguridad es relativamente simple.

Procedimiento

Para instalar Active Directory a partir de un medio de copia de seguridad realice las siguientes acciones:

1. Cree una copia de seguridad de un controlador de dominio existente con una utilidad de copia de seguridad compatible con Active Directory.

2. Restaure la copia de seguridad en una ubicación a la que pueda tener acceso el nuevo controlador de dominio.

3. En el nuevo controlador de dominio, inicie el Asistente para instalación de Active Directory ejecutando Dcpromo.exe /adv.

4. En la página Tipo de controlador de dominios, seleccione Controlador de dominio adicional para un dominio existente y, a continuación, haga clic en Siguiente.

5. En la página Copiar información del dominio, haga clic en Desde estos archivos restaurados de copia de seguridad, escriba la ubicación de los archivos de copia de seguridad restaurados y, a continuación, haga clic en Siguiente.

6. Complete el Asistente para instalación de Active Directory según corresponda.

Cuando se inicie la instalación de Active Directory, la replicación inicial se realizará con los archivos de copia de seguridad restaurados, en lugar de hacerlo con otro controlador de dominio a través de la red.

Instalación de Active Directory en Windows Server 2003

23

Cómo crear un árbol en un bosque existente

2003 23 Cómo crear un árbol en un bosque existente ******el uso por quienes no sean

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

Después de establecer el dominio raíz, puede agregar un nuevo árbol al bosque existente si su plan de red requiere varios árboles.

Procedimiento

Para crear un árbol nuevo en un bosque existente, ejecute DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory. Complete el asistente con la información contenida en la siguiente tabla.

En esta página

Haga esto

Tipo de controlador de dominios

Haga clic en Controlador de dominio para un dominio nuevo.

Crear nuevo dominio

Haga clic en Árbol de dominios en un bosque existente.

Credenciales de red

Especifique el nombre de usuario, la contraseña y el nombre de dominio de una cuenta de usuario del grupo Administradores de organización, existente en el dominio raíz del bosque.

Nuevo árbol de dominios

Especifique el nombre DNS del nuevo árbol.

Nombre de dominio NetBIOS

Especifique el nombre NetBIOS para el nuevo dominio.

Carpetas de la base de datos y del registro

Especifique la ubicación de los archivos de registro y de base de datos de Active Directory.

Volumen del sistema compartido

Especifique la ubicación para el volumen del sistema compartido.

Diagnósticos de registro de DNS

Compruebe si un servidor DNS existente está autorizado para este bosque o, en caso necesario, elija instalar y configurar DNS en este servidor haciendo clic en Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido. Establezca este equipo para utilizar este servidor DNS como su servidor DNS preferido.

24

Instalación de Active Directory en Windows Server 2003

(continuación )

En esta página

Haga esto

Permisos

Especifique si desea establecer los permisos predeterminados en objetos de grupos y usuarios para que sean compatibles con las versiones de sistemas operativos anteriores a Microsoft Windows 2000 Server o sólo con los sistemas operativos Microsoft Windows 2000 o la familia de Windows Server 2003. Al habilitar permisos compatibles con versiones anteriores a Windows 2000, se agrega el grupo Todos al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de lectura a los atributos de objeto de usuario y grupo que existían en Microsoft Windows NT 4.0. Sólo debe seleccionar esta opción después de considerar el efecto que tendrán permisos más restringidos en la seguridad de Active Directory.

Contraseña de administrador del Modo de restauración de servicios de directorio

Especifique una contraseña para utilizarla al iniciar el equipo en el Modo de restauración de servicios de directorio.

Efectos de crear un árbol en un bosque existente

Después de completar la información de instalación, el Asistente para instalación de Active Directory realiza las siguientes acciones:

Instala Active Directory.

Convierte el equipo en un controlador de dominio.

Agrega las consolas de Active Directory al menú Herramientas administrativas de ese equipo.

Instalación de Active Directory en Windows Server 2003

25

Cómo crear un dominio secundario

Windows Server 2003 25 Cómo crear un dominio secundario ******el uso por quienes no sean instructores

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

Después de establecer el dominio raíz, puede crear dominios adicionales en el árbol. Cada dominio nuevo dentro del árbol será un dominio secundario del dominio raíz o de otro dominio secundario.

Por ejemplo, suponga que crea un dominio llamado europa.contoso.msft, que es un dominio secundario del dominio raíz, contoso.msft. El siguiente dominio que cree dentro de ese árbol puede ser secundario de contoso.msft o secundario de europa.contoso.msft.

Procedimiento

Para crear un dominio secundario, ejecute DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory. Complete el asistente con la información contenida en la siguiente tabla.

En esta página

Haga esto

Tipo de controlador de dominios

Crear nuevo dominio

Credenciales de red

Instalación del dominio secundario

Nombre NetBIOS del dominio

Carpetas de la base de datos y del registro

Haga clic en Controlador de dominio para un dominio nuevo.

Haga clic en Dominio secundario en un árbol de dominios existente.

Especifique el nombre de usuario, la contraseña y

el nombre de dominio de una cuenta de usuario del

grupo Administradores de organización, existente

en el dominio raíz del bosque.

Especifique el nombre DNS del dominio principal

y el nombre del nuevo dominio secundario.

Especifique el nombre NetBIOS para el nuevo dominio.

Especifique la ubicación de los archivos de registro

y de base de datos de Active Directory.

26

Instalación de Active Directory en Windows Server 2003

(continuación )

En esta página

Haga esto

Efectos de crear un dominio secundario

Volumen del sistema compartido

Diagnósticos de registro de DNS

Permisos

Contraseña de admin. del Modo de restauración de servicios de directorio

Especifique la ubicación para el volumen del sistema compartido.

Compruebe que los valores de configuración de DNS son precisos.

Especifique si desea establecer los permisos predeterminados en objetos de grupos y usuarios para que sean compatibles con las versiones de sistemas operativos anteriores a Microsoft Windows 2000 Server o sólo con los sistemas operativos Microsoft Windows 2000 o la familia de Windows Server 2003. Al habilitar permisos compatibles con versiones anteriores a Windows 2000, se agrega el grupo Todos al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de lectura a los atributos de objeto de usuario y grupo que existían en Microsoft Windows NT 4.0. Sólo debe seleccionar esta opción después de considerar el efecto que tendrán permisos más restringidos en la seguridad de Active Directory.

Especifique una contraseña para utilizarla al iniciar el equipo en el Modo de restauración de servicios de directorio.

Después de completar la información de instalación, el Asistente para instalación de Active Directory realiza las siguientes acciones:

Instala Active Directory.

Convierte el equipo en un controlador de dominio.

Agrega las consolas de Active Directory al menú Herramientas administrativas de ese equipo.

Instalación de Active Directory en Windows Server 2003

27

Ejercicio: Instalación de Active Directory

Server 2003 27 Ejercicio: Instalación de Active Directory ******el uso por quienes no sean instructores no

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Objetivos

En este ejercicio instalará Active Directory en el equipo y creará un controlador de dominio adicional en el dominio nwtraders.msft.

Instrucciones

Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas adecuadas para realizar la tarea.

Situación de ejemplo

Ha instalado un controlador para el dominio. Ahora, a fin de proporcionar tolerancia a errores y aumentar el rendimiento en los inicios de sesión de clientes, desea instalar un controlador de dominio adicional en el dominio. Utilizará el Asistente para configurar su servidor para ayudarle a completar la tarea.

Ejercicio

Crear un controlador de dominio adicional en el dominio nwtraders.msft

Complete esta tarea desde los equipos de ambos alumnos.

Nombre de usuario: NWTraders\NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre de su equipo)

Contraseña: P@ssw0rd

Haga clic en Controlador de dominio adicional para un dominio existente

28

Instalación de Active Directory en Windows Server 2003

Credenciales de red:

Nombre de usuario: Administrador

Contraseña: P@ssw0rd

Dominio: nwtraders.msft

Nombre de dominio: nwtraders.msft

Carpetas de la base de datos y del registro: Acepte las predeterminadas

Volumen del sistema compartido: Acepte el predeterminado

Contraseña de admin. del Modo de restauración de servicios de directorio: P@ssw0rd

Instalación de Active Directory en Windows Server 2003

29

Lección: Cambio de niveles funcionales

Server 2003 29 Lección: Cambio de niveles funcionales ******el uso por quienes no sean instructores no

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

Objetivos de la lección

En esta lección se tratan definiciones y directrices para cambiar los niveles funcionales de bosque y de dominio.

Después de finalizar esta lección, podrá:

Explicar la relación entre los niveles funcionales de dominio y las funcionalidades de dominio compatibles.

Explicar la relación entre los niveles funcionales de bosque y las funcionalidades de bosque compatibles.

Cambiar el nivel funcional de dominio.

30

Instalación de Active Directory en Windows Server 2003

Qué son los niveles funcionales de dominio

Server 2003 Qué son los niveles funcionales de dominio ******el uso por quienes no sean instructores

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Niveles funcionales

de dominio

El nivel funcional de dominio es una configuración que habilita características que afectan al dominio completo. Hay cuatro niveles funcionales de dominio disponibles:

Windows 2000 mixto

Los dominios trabajan en el nivel funcional de Windows 2000 mixto de forma predeterminada.

Windows 2000 nativo

Windows Server 2003 versión preliminar

La versión preliminar de Windows Server 2003 se utiliza sólo para actualizaciones directas desde Windows NT 4.0 a la familia de Windows Server 2003, prescindiendo de Windows 2000. Los controladores de dominio que ejecutan Windows 2000 no funcionarán en la funcionalidad de dominio de la versión preliminar de Windows Server 2003.

Familia de Windows Server 2003

Puede aumentar el nivel funcional de un dominio para Windows 2000 nativo o la familia de Windows Server 2003.

Instalación de Active Directory en Windows Server 2003

31

Niveles funcionales de dominio y controladores de dominio correspondientes

En la siguiente tabla aparecen los niveles funcionales de dominio y los correspondientes controladores de dominio admitidos.

Nivel funcional

Características

Controladores de

del dominio

habilitadas

dominio admitidos

Windows 2000 mixto (predeterminado)

Instalación de Active Directory desde medios

Windows 2000 nativo

Windows Server 2003 versión preliminar

Windows Server 2003

Soporte de grupos universales (sólo distribución)

Soporte de catálogo global

Todas las características habilitadas para modo mixto, más:

Conversión y anidamiento de grupos

Grupos universales, seguridad y distribución

SIDHistory

Igual que Windows 2000 modo mixto o nativo

Todas las características habilitadas para Windows 2000 nativo, más:

Atributo para actualizar marca de hora de inicio de sesión

Números de versión del Centro de distribución de claves (KDC, Key Distribution Center) Kerberos

Contraseña de usuario en INetOrgPerson

Capacidad de cambiar el nombre al controlador de dominio con la herramienta Netdom

Windows NT 4.0, Windows 2000, familia de Windows Server 2003

Windows 2000, familia de Windows Server 2003

Windows NT 4.0, familia de Windows Server 2003

Familia de Windows Server 2003

32

Instalación de Active Directory en Windows Server 2003

Limitaciones para agregar controladores de dominio

Una vez que se ha elevado el nivel funcional del dominio, los controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden introducir en el dominio. Por ejemplo, si eleva un nivel funcional de dominio a Windows Server 2003, los controladores de dominio que ejecutaban Microsoft Windows 2000 Server no se pueden agregar a ese dominio.

Precaución

unidireccional. Una vez que se ha elevado el nivel funcional de dominio,

no puede reducirse.

Cambiar el nivel funcional del dominio es un procedimiento

Instalación de Active Directory en Windows Server 2003

33

Qué son los niveles funcionales de bosque

Server 2003 33 Qué son los niveles funcionales de bosque ******el uso por quienes no sean

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Niveles funcionales

de bosque

La funcionalidad de bosque es una herramienta que habilita varias características a través de todos los dominios del bosque. Existen dos niveles funcionales de bosque: Windows 2000 (predeterminado) y la familia de Windows Server 2003. De forma predeterminada, los bosques trabajan en el nivel funcional de Windows 2000. Puede aumentar el nivel funcional de un bosque a la familia de Windows Server 2003, si es necesario.

En la siguiente tabla aparecen los niveles funcionales de bosque y los correspondientes controladores de dominio admitidos.

 

Características

Controladores de

Nivel funcional de bosque

habilitadas

dominio admitidos

Windows 2000

Instalación de Active Directory desde medios

Windows NT 4.0, Windows 2000, familia de Windows Server 2003

(predeterminado)

Almacenamiento en caché de grupos universales

Windows Server 2003 versión preliminar

Igual que Windows 2000 más:

Replicación vinculada a valores

Generador de topología entre sitios mejorado

Windows NT 4.0, familia de Windows Server 2003

34

Instalación de Active Directory en Windows Server 2003

(continuación )

 

Características

Controladores de

Nivel funcional de bosque

habilitadas

dominio admitidos

Windows Server 2003

Todas las de la versión preliminar de Windows Server 2003, más:

Clases auxiliares

dinámicas

Cambio de usuario a INetOrgPerson

Desactivación y

reactivación de

esquemas

Cambio de nombre de los dominios

Confianza de bosque

Familia de Windows Server 2003

Una vez que se ha aumentado el nivel funcional del bosque, los controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden introducir en el bosque. Por ejemplo, si aumenta un nivel funcional de bosque a Windows Server 2003, los controladores de dominio que ejecutaban Windows 2000 Server no se pueden agregar al bosque.

Existe un nivel funcional de bosque adicional, denominado Windows Server 2003 versión preliminar. Utilice este nivel si está actualizando el primer dominio de Windows NT de manera que se convierta en el primer dominio de un nuevo bosque de la familia de Windows Server 2003.

Precaución

irreversible. Una vez que se ha aumentado el nivel funcional de bosque,

no puede reducirse.

Cambiar el nivel funcional del bosque es un procedimiento

Información adicional

Para obtener más información sobre niveles funcionales de bosque y de dominio, consulte el artículo Domain and forest functionality (en inglés) en el sitio Web de Microsoft Technet en http://www.microsoft.com/technet

Instalación de Active Directory en Windows Server 2003

35

Cómo se cambia el nivel funcional de dominio

2003 35 Cómo se cambia el nive l funcional de dominio ******el uso por quienes no

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción

Un dominio de Active Directory funcionará en uno de los cuatro niveles funcionales, según los sistemas operativos instalados en los controladores de dominio. De forma predeterminada, un nuevo dominio de Active Directory trabaja en el nivel funcional de Windows 2000 mixto, que proporciona soporte para controladores de dominio que utilizan Microsoft Windows NT 4.0, Microsoft Windows 2000 y la familia de Windows Server 2003.

Conforme reemplaza los controladores de dominio que usan versiones anteriores de los sistemas operativos, puede aumentar el nivel funcional del dominio para aprovechar las características de Active Directory que están disponibles sólo en niveles funcionales superiores.

Procedimiento

Para elevar el nivel funcional de dominio:

1. Abra Usuarios y equipos de Active Directory o Dominios y confianza de Active Directory desde el menú Herramientas administrativas.

2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el dominio y, a continuación, haga clic en Elevar el nivel funcional de dominio.

3. En el cuadro de diálogo Elevar el nivel funcional de dominio, en la lista Seleccione un nivel funcional del dominio disponible, elija el nivel adecuado y, a continuación, haga clic en Elevar.

Precaución

no puede reducirlo.

Puede elevar el nivel funcional de un dominio, sin embargo,

36

Instalación de Active Directory en Windows Server 2003

Debate de clase: Cambio del nivel funcional de dominio

2003 Debate de clase: Cambio del nivel funcional de dominio ******el uso por quienes no sean

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Situación de ejemplo

Ha determinado que las siguientes condiciones deben existir en la red:

No estará utilizando ningún controlador de dominio de Windows NT 4.0 o Windows 2000 en el dominio.

Desea aprovechar todas las ventajas que ofrece Active Directory.

Decide convertir el dominio de modo mixto a modo nativo.

Pregunta del debate

¿Qué ocurriría si aún hubiera controladores de dominio de Windows NT 4.0 funcionando en el entorno después de convertir el dominio de modo mixto a modo nativo?

2

Instalación de Active Directory en Windows Server 2003

THIS PAGE INTENTIONALLY LEFT BLANK