2.- fundamentos e instalacion de active directory con windows 2003 server.pdf

Instalación de Active Directory en Windows Server 2003

2 Instalación de Active Directory en Windows Server 2003

Introducción

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

En una red en la que se ejecuta cualquier sistema operativo de la familia de productos de Microsoft® Windows Server™ 2003, el servicio de directorio Active Directory® proporciona la estructura y las funciones para organizar, administrar y controlar recursos de red. Para administrar o dar soporte a una red de la familia de Windows Server 2003, debe comprender la finalidad y la estructura de Active Directory.

Después de finalizar este módulo, podrá:

Explicar conceptos básicos del servicio de directorio Active Directory. Instalar Active Directory. Cambiar el nivel funcional de dominio.

Introducción

Objetivos

Instalación de Active Directory en Windows Server 2003 3

Lección: Fundamentos de Active Directory


En esta lección se proporciona una introducción a Active Directory, incluidos muchos de los términos necesarios para su comprensión.

Después de finalizar esta lección, podrá:

Explicar la función de un servicio de directorio y las ventajas de utilizar el servicio de directorio Active Directory.

Explicar la función de dominios y controladores de dominio. Comparar sincronización con replicación. Explicar la función de una unidad organizativa y las ventajas de utilizar

unidades organizativas. Explicar la relación entre árboles y bosques y las relaciones de confianza

comunes que admite Active Directory. Explicar la función de un sitio. Explicar la función del esquema.

Introducción

Objetivos de la lección


Qué es el servicio de directorio Active Directory


Como usuario que ha iniciado una sesión en una red, puede que necesite conectarse a una carpeta compartida o enviar un trabajo de impresión a una impresora de la red. ¿Cómo encontrar la carpeta y la impresora y otros recursos de red?

Un servicio de directorio es un servicio de red que identifica todos los recursos de una red y pone la información a disposición de los usuarios y las aplicaciones. Los servicios de directorio son importantes porque proporcionan una forma coherente de asignar nombre, describir, encontrar, tener acceso, administrar y proteger la información acerca de estos recursos.

Cuando un usuario busca una carpeta compartida en la red, es el servicio de directorio el que indentifica el recurso y proporciona esa información al usuario.

Active Directory es el servicio de directorio de la familia de Windows Server 2003. Amplía la funcionalidad básica de un servicio de directorio para proporcionar las siguientes ventajas:

Integración de DNS Active Directory utiliza las convenciones de nomenclatura del Sistema de nombres de dominio (DNS, Domain Name System) para crear una estructura jerárquica que proporcione una vista familiar, ordenada y escalable de las conexiones de red. DNS también se utiliza para asignar nombres de host, como microsoft.com, a direcciones de Protocolo de control de transmisión/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol) numéricas, como 192.168.19.2.

Escalabilidad Active Directory se organiza en secciones que permiten el almacenamiento de una gran cantidad de objetos. Como resultado, Active Directory se puede ampliar a medida que la organización crece. Una organización que dispone de un solo servidor con unos pocos cientos de objetos puede crecer hasta miles de servidores y millones de objetos.

Introducción

Definición

Active Directory


Administración centralizada Active Directory permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicación central, al tiempo que utiliza una interfaz de administración coherente. Active Directory también proporciona un control de acceso centralizado a los recursos de red, habilitando a los usuarios para iniciar la sesión sólo tras obtener acceso completo a los recursos en todo Active Directory.

Administración delegada La estructura jerárquica de Active Directory permite que el control administrativo se delegue para segmentos específicos de la jerarquía. Una autoridad administrativa superior puede autorizar a un usuario a realizar labores administrativas en su parte designada de la estructura. Por ejemplo, los usuarios pueden disponer de un control administrativo limitado en la configuración de su estación de trabajo y un administrador de departamento puede disponer de derechos administrativos para crear nuevos usuarios en una unidad organizativa.

Para obtener más información acerca de Active Directory, consulte Technical Overview of Windows Server 2003 Active Directory (en inglés) en http://www.microsoft.com/windowsserver2003/techinfo/overview/ activedirectory.mspx.

Lecturas adicionales


Qué son los dominios y los controladores de dominio


Un dominio es un conjunto de equipos, definidos por un administrador, que comparten una base de datos de directorio común, directivas de seguridad y relaciones de seguridad con otros dominios. En Active Directory, la unidad central de la estructura lógica es el dominio.

Un controlador de dominio es un equipo que realiza las siguientes acciones:

Ejecuta un sistema operativo en la familia de Windows Server 2003 o ejecuta Microsoft Windows® 2000.

Almacena una réplica de Active Directory. Administra los cambios de la información de directorio. Replica los cambios de directorio en otros controladores de dominio del

mismo dominio. Almacena datos de directorio. Administra los procesos de inicio de sesión y autenticación de los usuarios y

de búsquedas de directorios.

A diferencia de Microsoft Windows NT® 4.0, Windows Server 2003 no realiza una copia de seguridad de los controladores de dominio. En Windows Server 2003, todos los controladores de dominio pueden aceptar y replicar cambios de directorio. Esto se conoce como replicación con varios maestros. Windows NT 4.0 utiliza un modelo de replicación de un solo servidor maestro, en el que un controlador de dominio almacena la única copia del directorio que se puede modificar y otros controladores de dominio almacenan copias de seguridad.

Qué es un dominio

Qué es un controlador de dominio

Nota


Un dominio puede tener uno o varios controladores de dominio. Una organización pequeña que utilice una única red de área local (LAN, Local Area Network) puede que sólo necesite un dominio con dos controladores de dominio para proporcionar la disponibilidad y la tolerancia de errores adecuadas. Una organización grande con muchas ubicaciones geográficas puede necesitar uno o varios controladores de dominio en cada ubicación para proporcionar la disponibilidad y la tolerancia de errores adecuadas. Los dominios son unidades de replicación. Todos los controladores dentro de un dominio participan en la replicación y contienen una copia completa de toda la información de directorio de su dominio.

En una red de Windows Server 2003, un servidor miembro es cualquier servidor del dominio que no es un controlador de dominio.

Cuántos controladores de dominio hay en un dominio

Nota


Comparación entre sincronización y replicación


En un dominio de Microsoft Windows NT 4.0, los cambios realizados en el controlador de dominio principal (PDC, Primary Domain Controller) se sincronizan con el controlador de dominio de reserva (BDC, Backup Domain Controller). En Windows 2000 y en la familia de Windows Server 2003, puede realizar cambios en cualquier controlador de dominio para un dominio y los cambios se replicarán en el resto de controladores de dominio para ese dominio.

En la siguiente tabla se resume la sincronización y la replicación en Windows NT 4.0 y la familia de Windows Server 2003. Término

Sincronización

Modelo de replicación con múltiples maestros

¿A qué producto se aplica?

Windows NT 4.0 Familia de Windows Server 2003

¿Dónde se realizan los cambios?

Todos los cambios se realizan en el PDC.

Los cambios en un objeto de Active Directory pueden realizarse en cualquier controlador de dominio.

¿Dónde se propagan los cambios?

Los cambios realizados en el PDC se replican en el BDC.

Los cambios realizados en cualquier controlador de dominio se replican en el resto de controladores del dominio.

Introducción

Comparaciones entre sincronización y replicación


Qué es una unidad organizativa


Una unidad organizativa es un tipo especialmente útil de objeto de Active Directory que está contenido en un dominio. Las unidades organizativas son útiles porque pueden utilizarse para organizar cientos de miles de objetos en el directorio en unidades fáciles de administrar. Puede utilizar una unidad organizativa para agrupar y organizar objetos con fines administrativos, como delegar derechos administrativos y asignar directivas a un conjunto de objetos como una sola unidad.

Puede utilizar unidades organizativas para lo siguiente:

Organizar objetos en un dominio. Las unidades organizativas contienen objetos de dominio, como grupos y cuentas de usuario y equipo. En las unidades organizativas también es posible encontrar recursos compartidos de archivo e impresora que se publican en Active Directory.

Delegar el control administrativo. Puede asignar control administrativo completo, como el permiso Control total, a todos los objetos de la unidad organizativa o control administrativo limitado, como la capacidad de modificar la información de correo electrónico, a los objetos de usuario de la unidad organizativa. Para delegar el control administrativo, asigne permisos específicos a la unidad organizativa y a los objetos que ésta contiene para uno o varios usuarios y grupos.

Simplificar la administración de los recursos normalmente agrupados. Puede delegar la autoridad administrativa a atributos u objetos individuales en Active Directory, pero normalmente utilizará unidades organizativas para delegar esta autoridad. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o para una sola. Con las unidades organizativas podrá crear contenedores en un dominio que representen las estructuras jerárquicas o lógicas de su organización. Así, podrá administrar la configuración y el uso de cuentas y recursos en función del modelo organizativo.

Definición

Ventajas del uso de unidades administrativas


Qué son árboles, bosques y confianzas


Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo se organizan los dominios y cómo trabajan juntos.

Término Definición Árbol Una disposición jerárquica de uno o varios dominios de la familia de

Windows Server 2003 que forman un espacio de nombres contiguo. Un árbol también se denomina árbol de dominios.

Bosque Uno o varios árboles se pueden unir para formar un bosque. Un bosque también se denomina bosque de dominios.

Contoso Ltd. ha creado dos nuevas organizaciones, una en China y la otra en Japón. Se añadieron dos nuevos dominios al dominio de Active Directory actual denominado contoso.msft. Cada uno comparte la raíz común contoso.msft:

china.contoso.msft japan.contoso.msft

Los siguientes resultados se consiguen incluyendo las nuevas organizaciones en una estructura de árbol, en lugar de crear unidades organizativas en el dominio existente:

Los dominios resultantes forman un espacio de nombres contiguo. El administrador puede otorgar permisos para recursos a cuentas de

cualquiera de los tres dominios del árbol. Los nuevos dominios se pueden administrar de forma independiente,

cada uno en un idioma distinto.

Definiciones

Ejemplo de una estructura con un único árbol


Contoso, Ltd. adquiere una nueva compañía llamada Northwind Traders y crea un dominio de Active Directory denominado nwtraders.msft. Northwind Traders y Contoso combinarán operaciones de tecnologías de la información y comenzarán a funcionar juntas. A Contoso Ltd. le gustaría mantener el nombre de marca Northwind Traders para el futuro inmediato.

Contoso crea otro árbol en el bosque existente para la compañía adquirida.

Los siguientes resultados se consiguen utilizando varios árboles en un único bosque:

Las dos organizaciones compartirán un esquema común. Compartirán datos de configuración comunes. Compartirán un catálogo global común, en el que se realizarán búsquedas de

recursos más fácilmente.

Con la situación del ejemplo anterior, puede conseguir los siguientes resultados añadiendo el nuevo dominio de Active Directory, nwtraders.msft, como un nuevo bosque, en lugar de crear la nueva organización en el bosque existente:

Las dos organizaciones pueden mantener espacios de nombres independientes y continuar utilizando la jerarquía de nombres que ya existe dentro de ellas.

Las dos organizaciones pueden mantener sus funciones administrativas separadas y continuar funcionando de forma independiente.

Las dos organizaciones podrán compartir recursos y funciones administrativas si resulta adecuado.

El bosque es el máximo límite de seguridad.

Ejemplo de una estructura con varios árboles

Ejemplo de una estructura con varios bosques

Nota


En Active Directory, el término confianza hace referencia a la relación entre dos dominios en la que un dominio reconoce la autoridad de autenticación del otro.

Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo otros dominios pueden reconocer la autoridad para autenticar de un dominio.

Término Definición Confianza unidireccional Un dominio reconoce la autoridad de autenticación de otro

pero no a la inversa. Por ejemplo, el dominio A confía en el dominio B, pero el dominio B no confía en el dominio A.

Confianza bidireccional La autoridad de autenticación entre dominios se reconoce mutuamente. Por ejemplo, si el dominio A confía en el dominio B, entonces el dominio B confía en el dominio A.

Confianza transitiva La autoridad de autenticación se puede heredar implícitamente entre dominios.

Por ejemplo, si el dominio A confía en el dominio B y el dominio B confía en el dominio C, el dominio A confía en el dominio C.

Confianza transitiva bidireccional

La autoridad de autenticación se puede heredar implícitamente de forma bidireccional entre dominios.

Por ejemplo, si el dominio B confía en el dominio A y el dominio C confía en el dominio A, entonces el dominio B confía automáticamente en el dominio C y el dominio C confía automáticamente en el dominio B.

Confianza entre bosques Una confianza que se extiende a través de bosques.

Éstas son las relaciones de confianza utilizadas con más frecuencia:

Las relaciones de confianza transitivas bidireccionales se utilizan con más frecuencia porque son las predeterminadas entre dominios de la familia de Windows Server 2003.

Las confianzas no transitivas unidireccionales se utilizan con frecuencia para admitir conexiones desde dominios de la familia de Windows Server 2003 a redes de Windows NT 4.0.

Para obtener más información sobre confianzas consulte los temas “Confianzas” y “Tipos de confianzas” del Sistema de ayuda y soporte técnico.

Relaciones de confianza de Active Directory

Relaciones de confianza de uso frecuente



Qué es un sitio


Un sitio es una combinación de una o varias subredes de Protocolo Internet (IP, Internet Protocol) que están conectadas por un vínculo de alta velocidad. La definición de sitios permite configurar la topología de replicación y acceso a Active Directory.

Los sitios se crean por dos razones:

Para optimizar la replicación de dominios Para permitir que los usuarios se conecten a un controlador de dominio

mediante una conexión confiable de alta velocidad

Los sitios asignan la estructura física de la red, mientras que los dominios asignan la estructura lógica de la organización. Las estructuras lógica y física de Active Directory son independientes una de otra, lo que tiene las siguientes consecuencias:

No hay correlación entre la estructura física de la red y su estructura de dominios.

Active Directory permite múltiples dominios en un único sitio, además de múltiples sitios en un único dominio.

No hay correlación entre los espacios de nombres de los sitios y de los dominios.

Para obtener más información sobre sitios consulte el curso 2281: Designing a Microsoft Windows Server 2003 Directory Services Infrastructure (Beta) (en inglés).

Qué es un sitio

Por qué se crea un sitio

Comparación de sitios y dominios



Qué es el esquema


El esquema del servicio de directorio Active Directory es una estructura de datos que contiene las definiciones de todos los objetos que se almacenan en Active Directory, como equipos, usuarios e impresoras.

Hay dos tipos de definiciones en el esquema: clases y atributos.

Las clases describen los objetos de directorio que se pueden crear. Cada clase es un conjunto de atributos, los cuales describen objetos.

Cuando se crea un objeto, los atributos de este objeto almacenan la información que lo describe. Los atributos se definen de forma independiente de las clases. Cada atributo se define sólo una vez y se puede utilizar en varias clases. Por ejemplo, el atributo de descripción se utiliza en muchas clases, pero se define sólo una vez en el esquema para asegurar la coherencia.

Los usuarios pueden localizar objetos por todo Active Directory mediante la búsqueda de atributos específicos. Por ejemplo, un usuario puede localizar una impresora en un edificio concreto mediante la búsqueda del atributo Ubicación de la clase de objeto de la impresora.

En la familia de Windows Server 2003, sólo hay un esquema para todo el bosque de manera que todos los objetos creados en Active Directory se ajustan a las mismas reglas. Cuando se realizan cambios en el esquema, estos cambios se replican en cada controlador de dominio del bosque.

En Active Directory, el esquema se almacena en una base de datos, que es distinta de otros directorios que disponen de un esquema que se almacena como un archivo de texto y se lee al inicio.

Qué es un esquema

Estructura de esquema: clases y atributos

Características de los esquemas


El almacenamiento del esquema en una base de datos significa que el esquema:

Está disponible dinámicamente para aplicaciones de usuario. Se puede actualizar de forma dinámica. Puede utilizar listas de control de acceso discrecional para proteger todas las

clases y atributos.

El esquema se almacena en una partición de directorio de la base de datos de Active Directory. Una partición de directorio es una unidad de replicación. El archivo de la base de datos de Active Directory se llama Ntds.dit y se encuentra en SystemRoot\Ntds. Además del esquema, este archivo contiene toda la información almacenada en Active Directory.

Las clases y atributos del esquema no se pueden deshacer o eliminar, pero pueden desactivarse.

Dónde se almacena el esquema

Nota


Lección: Instalación de Active Directory


En esta lección se describen diversas tareas de instalación importantes relacionadas con Active Directory.


Explicar los requisitos para la instalación de Active Directory. Explicar los dos métodos para agregar un controlador de dominio a un

dominio existente. Agregar un controlador de dominio a un dominio existente. Instalar Active Directory a partir de un medio de copia de seguridad. Crear un árbol en un bosque existente. Crear un dominio secundario.

Introducción



Requisitos de instalación de Active Directory


Antes de instalar Active Directory, debe asegurarse de que tanto el servidor como la red cumplen ciertos requisitos y opciones de instalación.

En la siguiente lista se identifican los requisitos para la instalación de Active Directory:

Un equipo donde se ejecute la familia de Microsoft Windows Server 2003. Una partición o un volumen formateados con el sistema de archivos de

Windows NT (NTFS, Windows NT File System). Espacio en disco suficiente para el directorio. Se recomienda disponer

de 1 gigabyte (GB) como mínimo. Un servidor DNS que admite el registro de recurso de servicio (SRV). Protocolo de control de transmisión/Protocolo Internet (TCP/IP) instalado y

configurado para DNS. Además, se recomienda disponer de un servidor DNS que admita el protocolo de actualización dinámica.

El Asistente para instalación de Active Directory ofrece la posibilidad de instalar el servicio Servidor DNS al instalar el primer controlador de dominio en un dominio nuevo, si no se encuentra un servidor DNS autorizado para el dominio o si el servidor DNS no admite el DNS dinámico.

Requisitos de instalación de Active Directory

Nota


Al crear un dominio o un controlador de dominio en una red de la familia de Windows Server 2003 existente, debe obtener las credenciales de red necesarias para crear un dominio. Estas credenciales son las siguientes:

El nombre de inicio de sesión de una cuenta de usuario La cuenta de usuario debe tener suficientes privilegios administrativos para crear un controlador de dominio.

La contraseña de la cuenta El nombre del dominio

Cuando se instala Active Directory en un equipo donde se ejecuta un miembro de la familia de Windows Server 2003, se especifica el dominio en el que ese equipo va a ser un controlador de dominio.

Debe elegir entre estas opciones para cada controlador de dominio que cree. Después de hacer la selección, el Asistente para la instalación de Active Directory le guiará para que especifique la información necesaria para el nuevo controlador de dominio. La información que debe proporcionar al instalar Active Directory varía según las opciones seleccionadas.

Cuando instala Active Directory, se crean archivos de registro que enumeran los resultados de cada paso del procedimiento de instalación. Los archivos de registro se guardan en la carpeta SystemRoot\Debug.

Para obtener más información sobre la planificación de Active Directory, consulte el curso 2281: Designing a Microsoft Windows Server 2003 Directory Services Infrastructure (Beta) (en inglés).

Especificación de las opciones de instalación para controladores de dominio

Nota


Métodos para agregar un controlador de dominio a un dominio existente


Existen dos formas de agregar un controlador de dominio a un dominio existente:

Replicar una copia completa de la base de datos de Active Directory en la red. Las ventajas de utilizar este método son las siguientes: • Permite utilizar una red de banda ancha. • La replicación se actualiza y se completa en un solo paso en el momento

de la promoción. Instalar un controlador de dominio a partir de los medios de copia

de seguridad. Con este método, cuando se inicia la instalación de Active Directory, la replicación inicial se realiza con los archivos de copia de seguridad restaurados, en lugar de hacerlo con otro controlador de dominio a través de la red. La instalación a partir de medios de copia de seguridad permite implementar controladores de dominio en ubicaciones que disponen de conexiones de poco ancho de banda. Los archivos de copia de seguridad, generados por cualquier utilidad de copia de seguridad compatible con Active Directory, se pueden transferir al controlador de dominio candidato mediante medios como cinta, CD o DVD, o bien utilizando la copia de archivos en una red. Tenga en cuenta que los medios de copia de seguridad no están actualizados en el momento de la promoción. Después de promover el controlador de dominio, se debe replicar para que quede actualizado. El tiempo requerido y el ancho de banda consumido en este proceso dependen en gran medida de lo reciente que sea la copia de seguridad. Por esta razón, debe crear una copia de seguridad lo más cerca posible en el tiempo del momento en que vaya a utilizarla.

Comparación de las formas de agregar un controlador de dominio


Cómo agregar un controlador de dominio a un dominio existente


Después de crear un dominio, debe crear un controlador de dominio adicional en el dominio para proporcionar tolerancia a errores y equilibrio de carga para Active Directory.

Para agregar un controlador de dominio a un dominio existente, ejecute DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory. Complete el asistente con la información contenida en la siguiente tabla.

En esta página Haga esto Tipo de controlador de dominios

Haga clic en Controlador de dominio adicional para un dominio existente.

Copiar información del dominio (esta opción sólo está disponible al utilizar DCPromo.exe con el modificador /adv)

Haga clic en En la red desde un controlador de dominio – o bien –

Desde estos archivos restaurados de copia de seguridad, escriba la ubicación de los mismos o haga clic en Examinar para localizar los archivos restaurados.

Credenciales de red Especifique el nombre de usuario, la contraseña y el nombre de dominio de una cuenta de usuario que disponga de los derechos necesarios para crear controladores de dominio en Active Directory.

Controlador de dominio adicional

Especifique el nombre DNS del dominio existente para el que este equipo se convertirá en un controlador de dominio adicional.

Introducción

Procedimiento


(continuación) En esta página Haga esto Carpetas de la base de datos y del registro

Especifique la ubicación de los archivos de registro y de base de datos de Active Directory.

Volumen del sistema compartido

Especifique la ubicación para el volumen del sistema compartido.

Contraseña de admin. del Modo de restauración de servicios de directorio

Especifique una contraseña para utilizarla al iniciar el equipo en el Modo de restauración de servicios de directorio.

Después de completar la información de instalación, el Asistente para instalación de Active Directory realiza las siguientes acciones:

Convierte el equipo en un controlador de dominio. Replica Active Directory a partir de un controlador de dominio existente. Agrega las consolas de Active Directory al menú Herramientas

administrativas de ese equipo.

Efectos de promover un servidor a controlador de dominio


Cómo instalar Active Directory a partir de medios de copia de seguridad


El procedimiento de instalación de Active Directory a partir de medios de copia de seguridad es relativamente simple.

Para instalar Active Directory a partir de un medio de copia de seguridad realice las siguientes acciones:

1. Cree una copia de seguridad de un controlador de dominio existente con una utilidad de copia de seguridad compatible con Active Directory.

2. Restaure la copia de seguridad en una ubicación a la que pueda tener acceso el nuevo controlador de dominio.

3. En el nuevo controlador de dominio, inicie el Asistente para instalación de Active Directory ejecutando Dcpromo.exe /adv.

4. En la página Tipo de controlador de dominios, seleccione Controlador de dominio adicional para un dominio existente y, a continuación, haga clic en Siguiente.

5. En la página Copiar información del dominio, haga clic en Desde estos archivos restaurados de copia de seguridad, escriba la ubicación de los archivos de copia de seguridad restaurados y, a continuación, haga clic en Siguiente.

6. Complete el Asistente para instalación de Active Directory según corresponda.

Cuando se inicie la instalación de Active Directory, la replicación inicial se realizará con los archivos de copia de seguridad restaurados, en lugar de hacerlo con otro controlador de dominio a través de la red.

Introducción

Procedimiento


Cómo crear un árbol en un bosque existente


Después de establecer el dominio raíz, puede agregar un nuevo árbol al bosque existente si su plan de red requiere varios árboles.

Para crear un árbol nuevo en un bosque existente, ejecute DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory. Complete el asistente con la información contenida en la siguiente tabla.


Haga clic en Controlador de dominio para un dominio nuevo.

Crear nuevo dominio Haga clic en Árbol de dominios en un bosque existente.

Credenciales de red Especifique el nombre de usuario, la contraseña y el nombre de dominio de una cuenta de usuario del grupo Administradores de organización, existente en el dominio raíz del bosque.

Nuevo árbol de dominios Especifique el nombre DNS del nuevo árbol.

Nombre de dominio NetBIOS Especifique el nombre NetBIOS para el nuevo dominio.

Carpetas de la base de datos y del registro


Volumen del sistema compartido


Diagnósticos de registro de DNS

Compruebe si un servidor DNS existente está autorizado para este bosque o, en caso necesario, elija instalar y configurar DNS en este servidor haciendo clic en Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido. Establezca este equipo para utilizar este servidor DNS como su servidor DNS preferido.

Introducción

Procedimiento


(continuación) En esta página Haga esto Permisos Especifique si desea establecer los permisos

predeterminados en objetos de grupos y usuarios para que sean compatibles con las versiones de sistemas operativos anteriores a Microsoft Windows 2000 Server o sólo con los sistemas operativos Microsoft Windows 2000 o la familia de Windows Server 2003. Al habilitar permisos compatibles con versiones anteriores a Windows 2000, se agrega el grupo Todos al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de lectura a los atributos de objeto de usuario y grupo que existían en Microsoft Windows NT 4.0. Sólo debe seleccionar esta opción después de considerar el efecto que tendrán permisos más restringidos en la seguridad de Active Directory.

Contraseña de administrador del Modo de restauración de servicios de directorio



Instala Active Directory. Convierte el equipo en un controlador de dominio. Agrega las consolas de Active Directory al menú Herramientas


Efectos de crear un árbol en un bosque existente


Cómo crear un dominio secundario


Después de establecer el dominio raíz, puede crear dominios adicionales en el árbol. Cada dominio nuevo dentro del árbol será un dominio secundario del dominio raíz o de otro dominio secundario.

Por ejemplo, suponga que crea un dominio llamado europa.contoso.msft, que es un dominio secundario del dominio raíz, contoso.msft. El siguiente dominio que cree dentro de ese árbol puede ser secundario de contoso.msft o secundario de europa.contoso.msft.

Para crear un dominio secundario, ejecute DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory. Complete el asistente con la información contenida en la siguiente tabla.


Haga clic en Controlador de dominio para un dominio nuevo.

Crear nuevo dominio Haga clic en Dominio secundario en un árbol de dominios existente.

Credenciales de red Especifique el nombre de usuario, la contraseña y el nombre de dominio de una cuenta de usuario del grupo Administradores de organización, existente en el dominio raíz del bosque.

Instalación del dominio secundario

Especifique el nombre DNS del dominio principal y el nombre del nuevo dominio secundario.

Nombre NetBIOS del dominio Especifique el nombre NetBIOS para el nuevo dominio.

Carpetas de la base de datos y del registro


Introducción

Procedimiento


(continuación) En esta página Haga esto Volumen del sistema compartido


Diagnósticos de registro de DNS

Compruebe que los valores de configuración de DNS son precisos.

Permisos Especifique si desea establecer los permisos predeterminados en objetos de grupos y usuarios para que sean compatibles con las versiones de sistemas operativos anteriores a Microsoft Windows 2000 Server o sólo con los sistemas operativos Microsoft Windows 2000 o la familia de Windows Server 2003. Al habilitar permisos compatibles con versiones anteriores a Windows 2000, se agrega el grupo Todos al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de lectura a los atributos de objeto de usuario y grupo que existían en Microsoft Windows NT 4.0. Sólo debe seleccionar esta opción después de considerar el efecto que tendrán permisos más restringidos en la seguridad de Active Directory.

Contraseña de admin. del Modo de restauración de servicios de directorio



Instala Active Directory. Convierte el equipo en un controlador de dominio. Agrega las consolas de Active Directory al menú Herramientas


Efectos de crear un dominio secundario


Ejercicio: Instalación de Active Directory


En este ejercicio instalará Active Directory en el equipo y creará un controlador de dominio adicional en el dominio nwtraders.msft.

Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas adecuadas para realizar la tarea.

Ha instalado un controlador para el dominio. Ahora, a fin de proporcionar tolerancia a errores y aumentar el rendimiento en los inicios de sesión de clientes, desea instalar un controlador de dominio adicional en el dominio. Utilizará el Asistente para configurar su servidor para ayudarle a completar la tarea.

� Crear un controlador de dominio adicional en el dominio nwtraders.msft

Complete esta tarea desde los equipos de ambos alumnos.

Nombre de usuario: NWTraders\NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre de su equipo)

Contraseña: P@ssw0rd Haga clic en Controlador de dominio adicional para un dominio

existente

Objetivos

Instrucciones

Situación de ejemplo

Ejercicio


Credenciales de red:

• Nombre de usuario: Administrador

• Contraseña: P@ssw0rd

• Dominio: nwtraders.msft Nombre de dominio: nwtraders.msft Carpetas de la base de datos y del registro: Acepte las predeterminadas Volumen del sistema compartido: Acepte el predeterminado Contraseña de admin. del Modo de restauración de servicios de

directorio: P@ssw0rd


Lección: Cambio de niveles funcionales


En esta lección se tratan definiciones y directrices para cambiar los niveles funcionales de bosque y de dominio.


Explicar la relación entre los niveles funcionales de dominio y las funcionalidades de dominio compatibles.

Explicar la relación entre los niveles funcionales de bosque y las funcionalidades de bosque compatibles.

Cambiar el nivel funcional de dominio.

Introducción



Qué son los niveles funcionales de dominio


El nivel funcional de dominio es una configuración que habilita características que afectan al dominio completo. Hay cuatro niveles funcionales de dominio disponibles:

Windows 2000 mixto Los dominios trabajan en el nivel funcional de Windows 2000 mixto de forma predeterminada.

Windows 2000 nativo Windows Server 2003 versión preliminar

La versión preliminar de Windows Server 2003 se utiliza sólo para actualizaciones directas desde Windows NT 4.0 a la familia de Windows Server 2003, prescindiendo de Windows 2000. Los controladores de dominio que ejecutan Windows 2000 no funcionarán en la funcionalidad de dominio de la versión preliminar de Windows Server 2003.

Familia de Windows Server 2003

Puede aumentar el nivel funcional de un dominio para Windows 2000 nativo o la familia de Windows Server 2003.

Niveles funcionales de dominio


En la siguiente tabla aparecen los niveles funcionales de dominio y los correspondientes controladores de dominio admitidos.

Nivel funcional del dominio

Características habilitadas

Controladores de dominio admitidos

Windows 2000 mixto (predeterminado)

Instalación de Active Directory desde medios

Soporte de grupos universales (sólo distribución)

Soporte de catálogo global

Windows NT 4.0, Windows 2000, familia de Windows Server 2003

Windows 2000 nativo Todas las características habilitadas para modo mixto, más:

• Conversión y anidamiento de grupos

• Grupos universales, seguridad y distribución

• SIDHistory

Windows 2000, familia de Windows Server 2003

Windows Server 2003 versión preliminar

Igual que Windows 2000 modo mixto o nativo

Windows NT 4.0, familia de Windows Server 2003

Windows Server 2003 Todas las características habilitadas para Windows 2000 nativo, más:

• Atributo para actualizar marca de hora de inicio de sesión

• Números de versión del Centro de distribución de claves (KDC, Key Distribution Center) Kerberos

• Contraseña de usuario en INetOrgPerson

Capacidad de cambiar el nombre al controlador de dominio con la herramienta Netdom


Niveles funcionales de dominio y controladores de dominio correspondientes


Una vez que se ha elevado el nivel funcional del dominio, los controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden introducir en el dominio. Por ejemplo, si eleva un nivel funcional de dominio a Windows Server 2003, los controladores de dominio que ejecutaban Microsoft Windows 2000 Server no se pueden agregar a ese dominio.

Cambiar el nivel funcional del dominio es un procedimiento unidireccional. Una vez que se ha elevado el nivel funcional de dominio, no puede reducirse.

Limitaciones para agregar controladores de dominio

Precaución


Qué son los niveles funcionales de bosque


La funcionalidad de bosque es una herramienta que habilita varias características a través de todos los dominios del bosque. Existen dos niveles funcionales de bosque: Windows 2000 (predeterminado) y la familia de Windows Server 2003. De forma predeterminada, los bosques trabajan en el nivel funcional de Windows 2000. Puede aumentar el nivel funcional de un bosque a la familia de Windows Server 2003, si es necesario.

En la siguiente tabla aparecen los niveles funcionales de bosque y los correspondientes controladores de dominio admitidos.

Nivel funcional de bosque



Windows 2000 (predeterminado)

Instalación de Active Directory desde medios

Almacenamiento en caché de grupos universales

Windows NT 4.0, Windows 2000, familia de Windows Server 2003

Windows Server 2003 versión preliminar

Igual que Windows 2000 más:

• Replicación vinculada a valores

• Generador de topología entre sitios mejorado

Windows NT 4.0, familia de Windows Server 2003

Niveles funcionales de bosque


(continuación) Nivel funcional de bosque



Windows Server 2003 Todas las de la

versión preliminar de Windows Server 2003, más:

• Clases auxiliares dinámicas

• Cambio de usuario a INetOrgPerson

• Desactivación y reactivación de esquemas

• Cambio de nombre de los dominios

• Confianza de bosque


Una vez que se ha aumentado el nivel funcional del bosque, los controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden introducir en el bosque. Por ejemplo, si aumenta un nivel funcional de bosque a Windows Server 2003, los controladores de dominio que ejecutaban Windows 2000 Server no se pueden agregar al bosque.

Existe un nivel funcional de bosque adicional, denominado Windows Server 2003 versión preliminar. Utilice este nivel si está actualizando el primer dominio de Windows NT de manera que se convierta en el primer dominio de un nuevo bosque de la familia de Windows Server 2003.

Cambiar el nivel funcional del bosque es un procedimiento irreversible. Una vez que se ha aumentado el nivel funcional de bosque, no puede reducirse.

Para obtener más información sobre niveles funcionales de bosque y de dominio, consulte el artículo Domain and forest functionality (en inglés) en el sitio Web de Microsoft Technet en http://www.microsoft.com/technet

Precaución

Información adicional


Cómo se cambia el nivel funcional de dominio


Un dominio de Active Directory funcionará en uno de los cuatro niveles funcionales, según los sistemas operativos instalados en los controladores de dominio. De forma predeterminada, un nuevo dominio de Active Directory trabaja en el nivel funcional de Windows 2000 mixto, que proporciona soporte para controladores de dominio que utilizan Microsoft Windows NT 4.0, Microsoft Windows 2000 y la familia de Windows Server 2003.

Conforme reemplaza los controladores de dominio que usan versiones anteriores de los sistemas operativos, puede aumentar el nivel funcional del dominio para aprovechar las características de Active Directory que están disponibles sólo en niveles funcionales superiores.

Para elevar el nivel funcional de dominio:

1. Abra Usuarios y equipos de Active Directory o Dominios y confianza de Active Directory desde el menú Herramientas administrativas.

2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el dominio y, a continuación, haga clic en Elevar el nivel funcional de dominio.

3. En el cuadro de diálogo Elevar el nivel funcional de dominio, en la lista Seleccione un nivel funcional del dominio disponible, elija el nivel adecuado y, a continuación, haga clic en Elevar.

Puede elevar el nivel funcional de un dominio, sin embargo, no puede reducirlo.

Introducción

Procedimiento

Precaución


Debate de clase: Cambio del nivel funcional de dominio


Ha determinado que las siguientes condiciones deben existir en la red:

No estará utilizando ningún controlador de dominio de Windows NT 4.0 o Windows 2000 en el dominio.

Desea aprovechar todas las ventajas que ofrece Active Directory. Decide convertir el dominio de modo mixto a modo nativo.

¿Qué ocurriría si aún hubiera controladores de dominio de Windows NT 4.0 funcionando en el entorno después de convertir el dominio de modo mixto a modo nativo?

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

Situación de ejemplo

Pregunta del debate

THIS PAGE INTENTIONALLY LEFT BLANK

2.- fundamentos e instalacion de active directory con windows 2003 server.pdf

Documents

servicio de directorio

servicio de red

recursos de red

familia de windows server

servicios de directorio

conexiones de red

microsoft windows server

dominio dns