Instalacion de Active Directory en Windows Server 2003
Transcripción
Instalacion de Active Directory en Windows Server 2003
Instalación de Active Directory en Windows Server 2003 Contenido Introducción Marcador no definido. ¡Error! Lección: Fundamentos de Active Directory Marcador no definido. ¡Error! Lección: Instalación de Active Directory Marcador no definido. ¡Error! Lección: Cambio de niveles funcionales Marcador no definido. ¡Error! 2 Instalación de Active Directory en Windows Server 2003 Introducción ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción En una red en la que se ejecuta cualquier sistema operativo de la familia de productos de Microsoft® Windows Server™ 2003, el servicio de directorio Active Directory® proporciona la estructura y las funciones para organizar, administrar y controlar recursos de red. Para administrar o dar soporte a una red de la familia de Windows Server 2003, debe comprender la finalidad y la estructura de Active Directory. Objetivos Después de finalizar este módulo, podrá: Explicar conceptos básicos del servicio de directorio Active Directory. Instalar Active Directory. Cambiar el nivel funcional de dominio. Instalación de Active Directory en Windows Server 2003 Lección: Fundamentos de Active Directory ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción En esta lección se proporciona una introducción a Active Directory, incluidos muchos de los términos necesarios para su comprensión. Objetivos de la lección Después de finalizar esta lección, podrá: Explicar la función de un servicio de directorio y las ventajas de utilizar el servicio de directorio Active Directory. Explicar la función de dominios y controladores de dominio. Comparar sincronización con replicación. Explicar la función de una unidad organizativa y las ventajas de utilizar unidades organizativas. Explicar la relación entre árboles y bosques y las relaciones de confianza comunes que admite Active Directory. Explicar la función de un sitio. Explicar la función del esquema. 3 4 Instalación de Active Directory en Windows Server 2003 Qué es el servicio de directorio Active Directory ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción Como usuario que ha iniciado una sesión en una red, puede que necesite conectarse a una carpeta compartida o enviar un trabajo de impresión a una impresora de la red. ¿Cómo encontrar la carpeta y la impresora y otros recursos de red? Definición Un servicio de directorio es un servicio de red que identifica todos los recursos de una red y pone la información a disposición de los usuarios y las aplicaciones. Los servicios de directorio son importantes porque proporcionan una forma coherente de asignar nombre, describir, encontrar, tener acceso, administrar y proteger la información acerca de estos recursos. Cuando un usuario busca una carpeta compartida en la red, es el servicio de directorio el que indentifica el recurso y proporciona esa información al usuario. Active Directory Active Directory es el servicio de directorio de la familia de Windows Server 2003. Amplía la funcionalidad básica de un servicio de directorio para proporcionar las siguientes ventajas: Integración de DNS Active Directory utiliza las convenciones de nomenclatura del Sistema de nombres de dominio (DNS, Domain Name System) para crear una estructura jerárquica que proporcione una vista familiar, ordenada y escalable de las conexiones de red. DNS también se utiliza para asignar nombres de host, como microsoft.com, a direcciones de Protocolo de control de transmisión/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol) numéricas, como 192.168.19.2. Escalabilidad Active Directory se organiza en secciones que permiten el almacenamiento de una gran cantidad de objetos. Como resultado, Active Directory se puede ampliar a medida que la organización crece. Una organización que dispone de un solo servidor con unos pocos cientos de objetos puede crecer hasta miles de servidores y millones de objetos. Instalación de Active Directory en Windows Server 2003 Administración centralizada Active Directory permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicación central, al tiempo que utiliza una interfaz de administración coherente. Active Directory también proporciona un control de acceso centralizado a los recursos de red, habilitando a los usuarios para iniciar la sesión sólo tras obtener acceso completo a los recursos en todo Active Directory. Administración delegada La estructura jerárquica de Active Directory permite que el control administrativo se delegue para segmentos específicos de la jerarquía. Una autoridad administrativa superior puede autorizar a un usuario a realizar labores administrativas en su parte designada de la estructura. Por ejemplo, los usuarios pueden disponer de un control administrativo limitado en la configuración de su estación de trabajo y un administrador de departamento puede disponer de derechos administrativos para crear nuevos usuarios en una unidad organizativa. Lecturas adicionales Para obtener más información acerca de Active Directory, consulte Technical Overview of Windows Server 2003 Active Directory (en inglés) en http://www.microsoft.com/windowsserver2003/techinfo/overview/ activedirectory.mspx. 5 6 Instalación de Active Directory en Windows Server 2003 Qué son los dominios y los controladores de dominio ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Qué es un dominio Un dominio es un conjunto de equipos, definidos por un administrador, que comparten una base de datos de directorio común, directivas de seguridad y relaciones de seguridad con otros dominios. En Active Directory, la unidad central de la estructura lógica es el dominio. Qué es un controlador de dominio Un controlador de dominio es un equipo que realiza las siguientes acciones: Ejecuta un sistema operativo en la familia de Windows Server 2003 o ejecuta Microsoft Windows® 2000. Almacena una réplica de Active Directory. Administra los cambios de la información de directorio. Replica los cambios de directorio en otros controladores de dominio del mismo dominio. Almacena datos de directorio. Administra los procesos de inicio de sesión y autenticación de los usuarios y de búsquedas de directorios. Nota A diferencia de Microsoft Windows NT® 4.0, Windows Server 2003 no realiza una copia de seguridad de los controladores de dominio. En Windows Server 2003, todos los controladores de dominio pueden aceptar y replicar cambios de directorio. Esto se conoce como replicación con varios maestros. Windows NT 4.0 utiliza un modelo de replicación de un solo servidor maestro, en el que un controlador de dominio almacena la única copia del directorio que se puede modificar y otros controladores de dominio almacenan copias de seguridad. Instalación de Active Directory en Windows Server 2003 Cuántos controladores de dominio hay en un dominio 7 Un dominio puede tener uno o varios controladores de dominio. Una organización pequeña que utilice una única red de área local (LAN, Local Area Network) puede que sólo necesite un dominio con dos controladores de dominio para proporcionar la disponibilidad y la tolerancia de errores adecuadas. Una organización grande con muchas ubicaciones geográficas puede necesitar uno o varios controladores de dominio en cada ubicación para proporcionar la disponibilidad y la tolerancia de errores adecuadas. Los dominios son unidades de replicación. Todos los controladores dentro de un dominio participan en la replicación y contienen una copia completa de toda la información de directorio de su dominio. Nota En una red de Windows Server 2003, un servidor miembro es cualquier servidor del dominio que no es un controlador de dominio. 8 Instalación de Active Directory en Windows Server 2003 Comparación entre sincronización y replicación ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción Comparaciones entre sincronización y replicación En un dominio de Microsoft Windows NT 4.0, los cambios realizados en el controlador de dominio principal (PDC, Primary Domain Controller) se sincronizan con el controlador de dominio de reserva (BDC, Backup Domain Controller). En Windows 2000 y en la familia de Windows Server 2003, puede realizar cambios en cualquier controlador de dominio para un dominio y los cambios se replicarán en el resto de controladores de dominio para ese dominio. En la siguiente tabla se resume la sincronización y la replicación en Windows NT 4.0 y la familia de Windows Server 2003. Término Sincronización Modelo de replicación con múltiples maestros ¿A qué producto se aplica? Windows NT 4.0 Familia de Windows Server 2003 ¿Dónde se realizan los cambios? Todos los cambios se realizan en el PDC. Los cambios en un objeto de Active Directory pueden realizarse en cualquier controlador de dominio. ¿Dónde se propagan los cambios? Los cambios realizados en el PDC se replican en el BDC. Los cambios realizados en cualquier controlador de dominio se replican en el resto de controladores del dominio. Instalación de Active Directory en Windows Server 2003 9 Qué es una unidad organizativa ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Definición Una unidad organizativa es un tipo especialmente útil de objeto de Active Directory que está contenido en un dominio. Las unidades organizativas son útiles porque pueden utilizarse para organizar cientos de miles de objetos en el directorio en unidades fáciles de administrar. Puede utilizar una unidad organizativa para agrupar y organizar objetos con fines administrativos, como delegar derechos administrativos y asignar directivas a un conjunto de objetos como una sola unidad. Ventajas del uso de unidades administrativas Puede utilizar unidades organizativas para lo siguiente: Organizar objetos en un dominio. Las unidades organizativas contienen objetos de dominio, como grupos y cuentas de usuario y equipo. En las unidades organizativas también es posible encontrar recursos compartidos de archivo e impresora que se publican en Active Directory. Delegar el control administrativo. Puede asignar control administrativo completo, como el permiso Control total, a todos los objetos de la unidad organizativa o control administrativo limitado, como la capacidad de modificar la información de correo electrónico, a los objetos de usuario de la unidad organizativa. Para delegar el control administrativo, asigne permisos específicos a la unidad organizativa y a los objetos que ésta contiene para uno o varios usuarios y grupos. Simplificar la administración de los recursos normalmente agrupados. Puede delegar la autoridad administrativa a atributos u objetos individuales en Active Directory, pero normalmente utilizará unidades organizativas para delegar esta autoridad. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o para una sola. Con las unidades organizativas podrá crear contenedores en un dominio que representen las estructuras jerárquicas o lógicas de su organización. Así, podrá administrar la configuración y el uso de cuentas y recursos en función del modelo organizativo. 10 Instalación de Active Directory en Windows Server 2003 Qué son árboles, bosques y confianzas ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Definiciones Ejemplo de una estructura con un único árbol Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo se organizan los dominios y cómo trabajan juntos. Término Definición Árbol Una disposición jerárquica de uno o varios dominios de la familia de Windows Server 2003 que forman un espacio de nombres contiguo. Un árbol también se denomina árbol de dominios. Bosque Uno o varios árboles se pueden unir para formar un bosque. Un bosque también se denomina bosque de dominios. Contoso Ltd. ha creado dos nuevas organizaciones, una en China y la otra en Japón. Se añadieron dos nuevos dominios al dominio de Active Directory actual denominado contoso.msft. Cada uno comparte la raíz común contoso.msft: china.contoso.msft japan.contoso.msft Los siguientes resultados se consiguen incluyendo las nuevas organizaciones en una estructura de árbol, en lugar de crear unidades organizativas en el dominio existente: Los dominios resultantes forman un espacio de nombres contiguo. El administrador puede otorgar permisos para recursos a cuentas de cualquiera de los tres dominios del árbol. Los nuevos dominios se pueden administrar de forma independiente, cada uno en un idioma distinto. Instalación de Active Directory en Windows Server 2003 Ejemplo de una estructura con varios árboles 11 Contoso, Ltd. adquiere una nueva compañía llamada Northwind Traders y crea un dominio de Active Directory denominado nwtraders.msft. Northwind Traders y Contoso combinarán operaciones de tecnologías de la información y comenzarán a funcionar juntas. A Contoso Ltd. le gustaría mantener el nombre de marca Northwind Traders para el futuro inmediato. Contoso crea otro árbol en el bosque existente para la compañía adquirida. Los siguientes resultados se consiguen utilizando varios árboles en un único bosque: Ejemplo de una estructura con varios bosques Las dos organizaciones compartirán un esquema común. Compartirán datos de configuración comunes. Compartirán un catálogo global común, en el que se realizarán búsquedas de recursos más fácilmente. Con la situación del ejemplo anterior, puede conseguir los siguientes resultados añadiendo el nuevo dominio de Active Directory, nwtraders.msft, como un nuevo bosque, en lugar de crear la nueva organización en el bosque existente: Las dos organizaciones pueden mantener espacios de nombres independientes y continuar utilizando la jerarquía de nombres que ya existe dentro de ellas. Las dos organizaciones pueden mantener sus funciones administrativas separadas y continuar funcionando de forma independiente. Las dos organizaciones podrán compartir recursos y funciones administrativas si resulta adecuado. Nota El bosque es el máximo límite de seguridad. 12 Instalación de Active Directory en Windows Server 2003 Relaciones de confianza de Active Directory En Active Directory, el término confianza hace referencia a la relación entre dos dominios en la que un dominio reconoce la autoridad de autenticación del otro. Las definiciones proporcionadas en la siguiente tabla ayudarán a entender cómo otros dominios pueden reconocer la autoridad para autenticar de un dominio. Término Definición Confianza unidireccional Un dominio reconoce la autoridad de autenticación de otro pero no a la inversa. Por ejemplo, el dominio A confía en el dominio B, pero el dominio B no confía en el dominio A. Confianza bidireccional La autoridad de autenticación entre dominios se reconoce mutuamente. Por ejemplo, si el dominio A confía en el dominio B, entonces el dominio B confía en el dominio A. Confianza transitiva La autoridad de autenticación se puede heredar implícitamente entre dominios. Por ejemplo, si el dominio A confía en el dominio B y el dominio B confía en el dominio C, el dominio A confía en el dominio C. Confianza transitiva bidireccional La autoridad de autenticación se puede heredar implícitamente de forma bidireccional entre dominios. Por ejemplo, si el dominio B confía en el dominio A y el dominio C confía en el dominio A, entonces el dominio B confía automáticamente en el dominio C y el dominio C confía automáticamente en el dominio B. Confianza entre bosques Relaciones de confianza de uso frecuente Lecturas adicionales Una confianza que se extiende a través de bosques. Éstas son las relaciones de confianza utilizadas con más frecuencia: Las relaciones de confianza transitivas bidireccionales se utilizan con más frecuencia porque son las predeterminadas entre dominios de la familia de Windows Server 2003. Las confianzas no transitivas unidireccionales se utilizan con frecuencia para admitir conexiones desde dominios de la familia de Windows Server 2003 a redes de Windows NT 4.0. Para obtener más información sobre confianzas consulte los temas “Confianzas” y “Tipos de confianzas” del Sistema de ayuda y soporte técnico. Instalación de Active Directory en Windows Server 2003 Qué es un sitio ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Qué es un sitio Un sitio es una combinación de una o varias subredes de Protocolo Internet (IP, Internet Protocol) que están conectadas por un vínculo de alta velocidad. La definición de sitios permite configurar la topología de replicación y acceso a Active Directory. Por qué se crea un sitio Los sitios se crean por dos razones: Comparación de sitios y dominios Lecturas adicionales Para optimizar la replicación de dominios Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexión confiable de alta velocidad Los sitios asignan la estructura física de la red, mientras que los dominios asignan la estructura lógica de la organización. Las estructuras lógica y física de Active Directory son independientes una de otra, lo que tiene las siguientes consecuencias: No hay correlación entre la estructura física de la red y su estructura de dominios. Active Directory permite múltiples dominios en un único sitio, además de múltiples sitios en un único dominio. No hay correlación entre los espacios de nombres de los sitios y de los dominios. Para obtener más información sobre sitios consulte el curso 2281: Designing a Microsoft Windows Server 2003 Directory Services Infrastructure (Beta) (en inglés). 13 14 Instalación de Active Directory en Windows Server 2003 Qué es el esquema ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Qué es un esquema El esquema del servicio de directorio Active Directory es una estructura de datos que contiene las definiciones de todos los objetos que se almacenan en Active Directory, como equipos, usuarios e impresoras. Estructura de esquema: clases y atributos Hay dos tipos de definiciones en el esquema: clases y atributos. Las clases describen los objetos de directorio que se pueden crear. Cada clase es un conjunto de atributos, los cuales describen objetos. Cuando se crea un objeto, los atributos de este objeto almacenan la información que lo describe. Los atributos se definen de forma independiente de las clases. Cada atributo se define sólo una vez y se puede utilizar en varias clases. Por ejemplo, el atributo de descripción se utiliza en muchas clases, pero se define sólo una vez en el esquema para asegurar la coherencia. Los usuarios pueden localizar objetos por todo Active Directory mediante la búsqueda de atributos específicos. Por ejemplo, un usuario puede localizar una impresora en un edificio concreto mediante la búsqueda del atributo Ubicación de la clase de objeto de la impresora. Características de los esquemas En la familia de Windows Server 2003, sólo hay un esquema para todo el bosque de manera que todos los objetos creados en Active Directory se ajustan a las mismas reglas. Cuando se realizan cambios en el esquema, estos cambios se replican en cada controlador de dominio del bosque. En Active Directory, el esquema se almacena en una base de datos, que es distinta de otros directorios que disponen de un esquema que se almacena como un archivo de texto y se lee al inicio. Instalación de Active Directory en Windows Server 2003 15 El almacenamiento del esquema en una base de datos significa que el esquema: Dónde se almacena el esquema Está disponible dinámicamente para aplicaciones de usuario. Se puede actualizar de forma dinámica. Puede utilizar listas de control de acceso discrecional para proteger todas las clases y atributos. El esquema se almacena en una partición de directorio de la base de datos de Active Directory. Una partición de directorio es una unidad de replicación. El archivo de la base de datos de Active Directory se llama Ntds.dit y se encuentra en SystemRoot\Ntds. Además del esquema, este archivo contiene toda la información almacenada en Active Directory. Nota Las clases y atributos del esquema no se pueden deshacer o eliminar, pero pueden desactivarse. 16 Instalación de Active Directory en Windows Server 2003 Lección: Instalación de Active Directory ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción En esta lección se describen diversas tareas de instalación importantes relacionadas con Active Directory. Objetivos de la lección Después de finalizar esta lección, podrá: Explicar los requisitos para la instalación de Active Directory. Explicar los dos métodos para agregar un controlador de dominio a un dominio existente. Agregar un controlador de dominio a un dominio existente. Instalar Active Directory a partir de un medio de copia de seguridad. Crear un árbol en un bosque existente. Crear un dominio secundario. Instalación de Active Directory en Windows Server 2003 17 Requisitos de instalación de Active Directory ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Antes de instalar Active Directory, debe asegurarse de que tanto el servidor como la red cumplen ciertos requisitos y opciones de instalación. Requisitos de instalación de Active Directory En la siguiente lista se identifican los requisitos para la instalación de Active Directory: Un equipo donde se ejecute la familia de Microsoft Windows Server 2003. Una partición o un volumen formateados con el sistema de archivos de Windows NT (NTFS, Windows NT File System). Espacio en disco suficiente para el directorio. Se recomienda disponer de 1 gigabyte (GB) como mínimo. Un servidor DNS que admite el registro de recurso de servicio (SRV). Protocolo de control de transmisión/Protocolo Internet (TCP/IP) instalado y configurado para DNS. Además, se recomienda disponer de un servidor DNS que admita el protocolo de actualización dinámica. Nota El Asistente para instalación de Active Directory ofrece la posibilidad de instalar el servicio Servidor DNS al instalar el primer controlador de dominio en un dominio nuevo, si no se encuentra un servidor DNS autorizado para el dominio o si el servidor DNS no admite el DNS dinámico. 18 Instalación de Active Directory en Windows Server 2003 Al crear un dominio o un controlador de dominio en una red de la familia de Windows Server 2003 existente, debe obtener las credenciales de red necesarias para crear un dominio. Estas credenciales son las siguientes: El nombre de inicio de sesión de una cuenta de usuario La cuenta de usuario debe tener suficientes privilegios administrativos para crear un controlador de dominio. Especificación de las opciones de instalación para controladores de dominio La contraseña de la cuenta El nombre del dominio Cuando se instala Active Directory en un equipo donde se ejecuta un miembro de la familia de Windows Server 2003, se especifica el dominio en el que ese equipo va a ser un controlador de dominio. Debe elegir entre estas opciones para cada controlador de dominio que cree. Después de hacer la selección, el Asistente para la instalación de Active Directory le guiará para que especifique la información necesaria para el nuevo controlador de dominio. La información que debe proporcionar al instalar Active Directory varía según las opciones seleccionadas. Cuando instala Active Directory, se crean archivos de registro que enumeran los resultados de cada paso del procedimiento de instalación. Los archivos de registro se guardan en la carpeta SystemRoot\Debug. Nota Para obtener más información sobre la planificación de Active Directory, consulte el curso 2281: Designing a Microsoft Windows Server 2003 Directory Services Infrastructure (Beta) (en inglés). Instalación de Active Directory en Windows Server 2003 19 Métodos para agregar un controlador de dominio a un dominio existente ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Comparación de las formas de agregar un controlador de dominio Existen dos formas de agregar un controlador de dominio a un dominio existente: Replicar una copia completa de la base de datos de Active Directory en la red. Las ventajas de utilizar este método son las siguientes: • Permite utilizar una red de banda ancha. • La replicación se actualiza y se completa en un solo paso en el momento de la promoción. Instalar un controlador de dominio a partir de los medios de copia de seguridad. Con este método, cuando se inicia la instalación de Active Directory, la replicación inicial se realiza con los archivos de copia de seguridad restaurados, en lugar de hacerlo con otro controlador de dominio a través de la red. La instalación a partir de medios de copia de seguridad permite implementar controladores de dominio en ubicaciones que disponen de conexiones de poco ancho de banda. Los archivos de copia de seguridad, generados por cualquier utilidad de copia de seguridad compatible con Active Directory, se pueden transferir al controlador de dominio candidato mediante medios como cinta, CD o DVD, o bien utilizando la copia de archivos en una red. Tenga en cuenta que los medios de copia de seguridad no están actualizados en el momento de la promoción. Después de promover el controlador de dominio, se debe replicar para que quede actualizado. El tiempo requerido y el ancho de banda consumido en este proceso dependen en gran medida de lo reciente que sea la copia de seguridad. Por esta razón, debe crear una copia de seguridad lo más cerca posible en el tiempo del momento en que vaya a utilizarla. 20 Instalación de Active Directory en Windows Server 2003 Cómo agregar un controlador de dominio a un dominio existente ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción Después de crear un dominio, debe crear un controlador de dominio adicional en el dominio para proporcionar tolerancia a errores y equilibrio de carga para Active Directory. Procedimiento Para agregar un controlador de dominio a un dominio existente, ejecute DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory. Complete el asistente con la información contenida en la siguiente tabla. En esta página Haga esto Tipo de controlador de dominios Haga clic en Controlador de dominio adicional para un dominio existente. Copiar información del dominio (esta opción sólo está disponible al utilizar DCPromo.exe con el modificador /adv) Haga clic en En la red desde un controlador de dominio – o bien – Credenciales de red Especifique el nombre de usuario, la contraseña y el nombre de dominio de una cuenta de usuario que disponga de los derechos necesarios para crear controladores de dominio en Active Directory. Controlador de dominio adicional Especifique el nombre DNS del dominio existente para el que este equipo se convertirá en un controlador de dominio adicional. Desde estos archivos restaurados de copia de seguridad, escriba la ubicación de los mismos o haga clic en Examinar para localizar los archivos restaurados. Instalación de Active Directory en Windows Server 2003 21 (continuación) Efectos de promover un servidor a controlador de dominio En esta página Haga esto Carpetas de la base de datos y del registro Especifique la ubicación de los archivos de registro y de base de datos de Active Directory. Volumen del sistema compartido Especifique la ubicación para el volumen del sistema compartido. Contraseña de admin. del Modo de restauración de servicios de directorio Especifique una contraseña para utilizarla al iniciar el equipo en el Modo de restauración de servicios de directorio. Después de completar la información de instalación, el Asistente para instalación de Active Directory realiza las siguientes acciones: Convierte el equipo en un controlador de dominio. Replica Active Directory a partir de un controlador de dominio existente. Agrega las consolas de Active Directory al menú Herramientas administrativas de ese equipo. 22 Instalación de Active Directory en Windows Server 2003 Cómo instalar Active Directory a partir de medios de copia de seguridad ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción El procedimiento de instalación de Active Directory a partir de medios de copia de seguridad es relativamente simple. Procedimiento Para instalar Active Directory a partir de un medio de copia de seguridad realice las siguientes acciones: 1. Cree una copia de seguridad de un controlador de dominio existente con una utilidad de copia de seguridad compatible con Active Directory. 2. Restaure la copia de seguridad en una ubicación a la que pueda tener acceso el nuevo controlador de dominio. 3. En el nuevo controlador de dominio, inicie el Asistente para instalación de Active Directory ejecutando Dcpromo.exe /adv. 4. En la página Tipo de controlador de dominios, seleccione Controlador de dominio adicional para un dominio existente y, a continuación, haga clic en Siguiente. 5. En la página Copiar información del dominio, haga clic en Desde estos archivos restaurados de copia de seguridad, escriba la ubicación de los archivos de copia de seguridad restaurados y, a continuación, haga clic en Siguiente. 6. Complete el Asistente para instalación de Active Directory según corresponda. Cuando se inicie la instalación de Active Directory, la replicación inicial se realizará con los archivos de copia de seguridad restaurados, en lugar de hacerlo con otro controlador de dominio a través de la red. Instalación de Active Directory en Windows Server 2003 23 Cómo crear un árbol en un bosque existente ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción Después de establecer el dominio raíz, puede agregar un nuevo árbol al bosque existente si su plan de red requiere varios árboles. Procedimiento Para crear un árbol nuevo en un bosque existente, ejecute DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory. Complete el asistente con la información contenida en la siguiente tabla. En esta página Haga esto Tipo de controlador de dominios Haga clic en Controlador de dominio para un dominio nuevo. Crear nuevo dominio Haga clic en Árbol de dominios en un bosque existente. Credenciales de red Especifique el nombre de usuario, la contraseña y el nombre de dominio de una cuenta de usuario del grupo Administradores de organización, existente en el dominio raíz del bosque. Nuevo árbol de dominios Especifique el nombre DNS del nuevo árbol. Nombre de dominio NetBIOS Especifique el nombre NetBIOS para el nuevo dominio. Carpetas de la base de datos y del registro Especifique la ubicación de los archivos de registro y de base de datos de Active Directory. Volumen del sistema compartido Especifique la ubicación para el volumen del sistema compartido. Diagnósticos de registro de DNS Compruebe si un servidor DNS existente está autorizado para este bosque o, en caso necesario, elija instalar y configurar DNS en este servidor haciendo clic en Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido. Establezca este equipo para utilizar este servidor DNS como su servidor DNS preferido. 24 Instalación de Active Directory en Windows Server 2003 (continuación) Efectos de crear un árbol en un bosque existente En esta página Haga esto Permisos Especifique si desea establecer los permisos predeterminados en objetos de grupos y usuarios para que sean compatibles con las versiones de sistemas operativos anteriores a Microsoft Windows 2000 Server o sólo con los sistemas operativos Microsoft Windows 2000 o la familia de Windows Server 2003. Al habilitar permisos compatibles con versiones anteriores a Windows 2000, se agrega el grupo Todos al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de lectura a los atributos de objeto de usuario y grupo que existían en Microsoft Windows NT 4.0. Sólo debe seleccionar esta opción después de considerar el efecto que tendrán permisos más restringidos en la seguridad de Active Directory. Contraseña de administrador del Modo de restauración de servicios de directorio Especifique una contraseña para utilizarla al iniciar el equipo en el Modo de restauración de servicios de directorio. Después de completar la información de instalación, el Asistente para instalación de Active Directory realiza las siguientes acciones: Instala Active Directory. Convierte el equipo en un controlador de dominio. Agrega las consolas de Active Directory al menú Herramientas administrativas de ese equipo. Instalación de Active Directory en Windows Server 2003 25 Cómo crear un dominio secundario ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción Después de establecer el dominio raíz, puede crear dominios adicionales en el árbol. Cada dominio nuevo dentro del árbol será un dominio secundario del dominio raíz o de otro dominio secundario. Por ejemplo, suponga que crea un dominio llamado europa.contoso.msft, que es un dominio secundario del dominio raíz, contoso.msft. El siguiente dominio que cree dentro de ese árbol puede ser secundario de contoso.msft o secundario de europa.contoso.msft. Procedimiento Para crear un dominio secundario, ejecute DCPromo.exe a fin de iniciar el Asistente para instalación de Active Directory. Complete el asistente con la información contenida en la siguiente tabla. En esta página Haga esto Tipo de controlador de dominios Haga clic en Controlador de dominio para un dominio nuevo. Crear nuevo dominio Haga clic en Dominio secundario en un árbol de dominios existente. Credenciales de red Especifique el nombre de usuario, la contraseña y el nombre de dominio de una cuenta de usuario del grupo Administradores de organización, existente en el dominio raíz del bosque. Instalación del dominio secundario Especifique el nombre DNS del dominio principal y el nombre del nuevo dominio secundario. Nombre NetBIOS del dominio Especifique el nombre NetBIOS para el nuevo dominio. Carpetas de la base de datos y del registro Especifique la ubicación de los archivos de registro y de base de datos de Active Directory. 26 Instalación de Active Directory en Windows Server 2003 (continuación) Efectos de crear un dominio secundario En esta página Haga esto Volumen del sistema compartido Especifique la ubicación para el volumen del sistema compartido. Diagnósticos de registro de DNS Compruebe que los valores de configuración de DNS son precisos. Permisos Especifique si desea establecer los permisos predeterminados en objetos de grupos y usuarios para que sean compatibles con las versiones de sistemas operativos anteriores a Microsoft Windows 2000 Server o sólo con los sistemas operativos Microsoft Windows 2000 o la familia de Windows Server 2003. Al habilitar permisos compatibles con versiones anteriores a Windows 2000, se agrega el grupo Todos al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de lectura a los atributos de objeto de usuario y grupo que existían en Microsoft Windows NT 4.0. Sólo debe seleccionar esta opción después de considerar el efecto que tendrán permisos más restringidos en la seguridad de Active Directory. Contraseña de admin. del Modo de restauración de servicios de directorio Especifique una contraseña para utilizarla al iniciar el equipo en el Modo de restauración de servicios de directorio. Después de completar la información de instalación, el Asistente para instalación de Active Directory realiza las siguientes acciones: Instala Active Directory. Convierte el equipo en un controlador de dominio. Agrega las consolas de Active Directory al menú Herramientas administrativas de ese equipo. Instalación de Active Directory en Windows Server 2003 27 Ejercicio: Instalación de Active Directory ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Objetivos En este ejercicio instalará Active Directory en el equipo y creará un controlador de dominio adicional en el dominio nwtraders.msft. Instrucciones Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas adecuadas para realizar la tarea. Situación de ejemplo Ha instalado un controlador para el dominio. Ahora, a fin de proporcionar tolerancia a errores y aumentar el rendimiento en los inicios de sesión de clientes, desea instalar un controlador de dominio adicional en el dominio. Utilizará el Asistente para configurar su servidor para ayudarle a completar la tarea. Ejercicio Crear un controlador de dominio adicional en el dominio nwtraders.msft Complete esta tarea desde los equipos de ambos alumnos. Nombre de usuario: NWTraders\NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre de su equipo) Contraseña: P@ssw0rd Haga clic en Controlador de dominio adicional para un dominio existente 28 Instalación de Active Directory en Windows Server 2003 Credenciales de red: • Nombre de usuario: Administrador • Contraseña: P@ssw0rd • Dominio: nwtraders.msft Nombre de dominio: nwtraders.msft Carpetas de la base de datos y del registro: Acepte las predeterminadas Volumen del sistema compartido: Acepte el predeterminado Contraseña de admin. del Modo de restauración de servicios de directorio: P@ssw0rd Instalación de Active Directory en Windows Server 2003 Lección: Cambio de niveles funcionales ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción En esta lección se tratan definiciones y directrices para cambiar los niveles funcionales de bosque y de dominio. Objetivos de la lección Después de finalizar esta lección, podrá: Explicar la relación entre los niveles funcionales de dominio y las funcionalidades de dominio compatibles. Explicar la relación entre los niveles funcionales de bosque y las funcionalidades de bosque compatibles. Cambiar el nivel funcional de dominio. 29 30 Instalación de Active Directory en Windows Server 2003 Qué son los niveles funcionales de dominio ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Niveles funcionales de dominio El nivel funcional de dominio es una configuración que habilita características que afectan al dominio completo. Hay cuatro niveles funcionales de dominio disponibles: Windows 2000 mixto Los dominios trabajan en el nivel funcional de Windows 2000 mixto de forma predeterminada. Windows 2000 nativo Windows Server 2003 versión preliminar La versión preliminar de Windows Server 2003 se utiliza sólo para actualizaciones directas desde Windows NT 4.0 a la familia de Windows Server 2003, prescindiendo de Windows 2000. Los controladores de dominio que ejecutan Windows 2000 no funcionarán en la funcionalidad de dominio de la versión preliminar de Windows Server 2003. Familia de Windows Server 2003 Puede aumentar el nivel funcional de un dominio para Windows 2000 nativo o la familia de Windows Server 2003. Instalación de Active Directory en Windows Server 2003 Niveles funcionales de dominio y controladores de dominio correspondientes 31 En la siguiente tabla aparecen los niveles funcionales de dominio y los correspondientes controladores de dominio admitidos. Nivel funcional del dominio Características habilitadas Controladores de dominio admitidos Windows 2000 mixto (predeterminado) Instalación de Active Directory desde medios Windows NT 4.0, Windows 2000, familia de Windows Server 2003 Soporte de grupos universales (sólo distribución) Soporte de catálogo global Windows 2000 nativo Todas las características habilitadas para modo mixto, más: Windows 2000, familia de Windows Server 2003 • Conversión y anidamiento de grupos • Grupos universales, seguridad y distribución • SIDHistory Windows Server 2003 versión preliminar Igual que Windows 2000 modo mixto o nativo Windows NT 4.0, familia de Windows Server 2003 Windows Server 2003 Todas las características habilitadas para Windows 2000 nativo, más: Familia de Windows Server 2003 • Atributo para actualizar marca de hora de inicio de sesión • Números de versión del Centro de distribución de claves (KDC, Key Distribution Center) Kerberos • Contraseña de usuario en INetOrgPerson Capacidad de cambiar el nombre al controlador de dominio con la herramienta Netdom 32 Instalación de Active Directory en Windows Server 2003 Limitaciones para agregar controladores de dominio Una vez que se ha elevado el nivel funcional del dominio, los controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden introducir en el dominio. Por ejemplo, si eleva un nivel funcional de dominio a Windows Server 2003, los controladores de dominio que ejecutaban Microsoft Windows 2000 Server no se pueden agregar a ese dominio. Precaución Cambiar el nivel funcional del dominio es un procedimiento unidireccional. Una vez que se ha elevado el nivel funcional de dominio, no puede reducirse. Instalación de Active Directory en Windows Server 2003 33 Qué son los niveles funcionales de bosque ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Niveles funcionales de bosque La funcionalidad de bosque es una herramienta que habilita varias características a través de todos los dominios del bosque. Existen dos niveles funcionales de bosque: Windows 2000 (predeterminado) y la familia de Windows Server 2003. De forma predeterminada, los bosques trabajan en el nivel funcional de Windows 2000. Puede aumentar el nivel funcional de un bosque a la familia de Windows Server 2003, si es necesario. En la siguiente tabla aparecen los niveles funcionales de bosque y los correspondientes controladores de dominio admitidos. Nivel funcional de bosque Características habilitadas Controladores de dominio admitidos Windows 2000 (predeterminado) Instalación de Active Directory desde medios Windows NT 4.0, Windows 2000, familia de Windows Server 2003 Almacenamiento en caché de grupos universales Windows Server 2003 versión preliminar Igual que Windows 2000 más: • Replicación vinculada a valores • Generador de topología entre sitios mejorado Windows NT 4.0, familia de Windows Server 2003 34 Instalación de Active Directory en Windows Server 2003 (continuación) Nivel funcional de bosque Windows Server 2003 Características habilitadas Controladores de dominio admitidos Todas las de la versión preliminar de Windows Server 2003, más: Familia de Windows Server 2003 • Clases auxiliares dinámicas • Cambio de usuario a INetOrgPerson • Desactivación y reactivación de esquemas • Cambio de nombre de los dominios • Confianza de bosque Una vez que se ha aumentado el nivel funcional del bosque, los controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden introducir en el bosque. Por ejemplo, si aumenta un nivel funcional de bosque a Windows Server 2003, los controladores de dominio que ejecutaban Windows 2000 Server no se pueden agregar al bosque. Existe un nivel funcional de bosque adicional, denominado Windows Server 2003 versión preliminar. Utilice este nivel si está actualizando el primer dominio de Windows NT de manera que se convierta en el primer dominio de un nuevo bosque de la familia de Windows Server 2003. Precaución Cambiar el nivel funcional del bosque es un procedimiento irreversible. Una vez que se ha aumentado el nivel funcional de bosque, no puede reducirse. Información adicional Para obtener más información sobre niveles funcionales de bosque y de dominio, consulte el artículo Domain and forest functionality (en inglés) en el sitio Web de Microsoft Technet en http://www.microsoft.com/technet Instalación de Active Directory en Windows Server 2003 Cómo se cambia el nivel funcional de dominio ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Introducción Un dominio de Active Directory funcionará en uno de los cuatro niveles funcionales, según los sistemas operativos instalados en los controladores de dominio. De forma predeterminada, un nuevo dominio de Active Directory trabaja en el nivel funcional de Windows 2000 mixto, que proporciona soporte para controladores de dominio que utilizan Microsoft Windows NT 4.0, Microsoft Windows 2000 y la familia de Windows Server 2003. Conforme reemplaza los controladores de dominio que usan versiones anteriores de los sistemas operativos, puede aumentar el nivel funcional del dominio para aprovechar las características de Active Directory que están disponibles sólo en niveles funcionales superiores. Procedimiento Para elevar el nivel funcional de dominio: 1. Abra Usuarios y equipos de Active Directory o Dominios y confianza de Active Directory desde el menú Herramientas administrativas. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el dominio y, a continuación, haga clic en Elevar el nivel funcional de dominio. 3. En el cuadro de diálogo Elevar el nivel funcional de dominio, en la lista Seleccione un nivel funcional del dominio disponible, elija el nivel adecuado y, a continuación, haga clic en Elevar. Precaución Puede elevar el nivel funcional de un dominio, sin embargo, no puede reducirlo. 35 36 Instalación de Active Directory en Windows Server 2003 Debate de clase: Cambio del nivel funcional de dominio ******el uso por quienes no sean instructores no está autorizado y resulta ilegal****** Situación de ejemplo Pregunta del debate Ha determinado que las siguientes condiciones deben existir en la red: No estará utilizando ningún controlador de dominio de Windows NT 4.0 o Windows 2000 en el dominio. Desea aprovechar todas las ventajas que ofrece Active Directory. Decide convertir el dominio de modo mixto a modo nativo. ¿Qué ocurriría si aún hubiera controladores de dominio de Windows NT 4.0 funcionando en el entorno después de convertir el dominio de modo mixto a modo nativo? ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ 2 Instalación de Active Directory en Windows Server 2003 THIS PAGE INTENTIONALLY LEFT BLANK