Escolar Documentos
Profissional Documentos
Cultura Documentos
Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Los Servicios de directorio ligero de Active Directory (AD LDS), antes conocidos como Active Directory Application Mode (ADAM), son un servicio de directorio de protocolo de acceso de directorio ligero (LDAP) que proporcionan funcionalidad de almacenamiento y recuperacin de datos para aplicaciones habilitadas para el uso de directorios, sin las dependencias que requieren los Servicios de dominio de Active Directory (AD DS). Es posible ejecutar varias instancias de AD LDS de forma simultnea en un nico equipo, siempre que haya un esquema administrado de forma independiente para cada instancia de AD LDS. Para obtener ms informacin acerca de AD LDS, consulte el tema de introduccin a Servicios de directorio ligero de Active Directory que encontrar en http://go.microsoft.com/fwlink/?LinkId=96084 (puede estar en ingls).
Nota
Crear instancias de rplica de AD LDS. Administrar objetos de sitio. Administrar objetos de vnculo a sitios.
Para maximizar las posibilidades de completar los objetivos de esta gua correctamente, es importante que siga los pasos de la gua en el orden en que se presentan.
Para obtener informacin general sobre cmo garantizar la seguridad de la replicacin en ADAM o AD LDS, consulte la seccin que trata este tema en el artculo sobre replicacin y conjuntos de configuracin de ADAM en http://go.microsoft.com/fwlink/?LinkId=98673 (puede estar en ingls).
Para obtener ms informacin acerca de los requisitos de replicacin de ADAM o AD LDS para cuentas de servicio, consulte el tema sobre cmo seleccionar una cuenta de servicio de ADAM en http://go.microsoft.com/fwlink/?LinkId=98674 (puede estar en ingls).
Para obtener ms informacin acerca de los nombres principales de servicio (SPN) de ADAM o AD LDS y la seguridad de la replicacin, consulte el tema sobre cmo administrar los nombres principales de servicio de ADAM en http://go.microsoft.com/fwlink/?LinkId=98675 (puede estar en ingls).
Para obtener instrucciones para la configuracin del nivel de seguridad de la replicacin, consulte el tema sobre cmo modificar el nivel de seguridad de la replicacin de un conjunto de configuracin en http://go.microsoft.com/fwlink/?LinkId=98676 (puede estar en ingls).
Esta gua no proporciona informacin acerca de la herramienta de la lnea de comandos Repadmin. Para obtener instrucciones e informacin de Repadmin, consulte el tema sobre Repadmin en http://go.microsoft.com/fwlink/?LinkId=98687 (puede estar en ingls).
instancia de AD LDS a otras instancias de AD LDS que contienen copias de la misma particin de directorio. Las instancias de AD LDS que contienen copias de la misma particin o particiones de directorio forman una agrupacin lgica llamada conjunto de configuracin. AD LDS usa un tipo de replicacin denominado replicacin con varios maestros, que slo quiere decir que puede realizar cambios en los datos de directorio de cualquier instancia de AD LDS. AD LDS replica automticamente esos cambios en los dems miembros del conjunto de configuracin. Las instancias de AD LDS replican los datos basndose en la pertenencia a un conjunto de configuracin. Todas las instancias de AD LDS que se hayan unido al mismo conjunto de configuracin deben replicar una particin de directorio de configuracin y una particin de directorio de esquema comunes. Las instancias de AD LDS de un conjunto de configuracin tambin pueden replicar un nmero cualquiera de particiones del directorio de aplicaciones. No es obligatorio que las instancias de AD LDS de un conjunto de configuracin repliquen todas las particiones del directorio de aplicaciones del conjunto de configuracin. Una nica instancia de AD LDS puede replicar todas las particiones del directorio de aplicaciones de su conjunto de configuracin (o cualquier subconjunto de ellas). No obstante, no puede replicar una particin del directorio de aplicaciones de un conjunto de configuracin diferente.
Requisitos
Antes de comenzar a usar los procedimientos de esta gua, realice lo siguiente respecto a los requisitos del sistema:
Debe tener disponible al menos un equipo de prueba en el que pueda instalar AD LDS. Para realizar los ejercicios de esta gua, instale AD LDS en equipos que ejecuten Windows Server 2008.
Tambin debe instalar primero la funcin de servidor AD LDS en los equipos de prueba y crear al menos una instancia de AD LDS en ejecucin. Para obtener ms informacin e instrucciones para instalar la funcin de servidor AD LDS y crear nuevas instancias de AD LDS, consulte el paso 1 sobre la instalacin de la funcin de servidor AD LDS y el paso 2 sobre la prctica del trabajo con instancias de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls).
Inicie sesin en Windows Server 2008 con una cuenta de administrador. Para esta gua, puede instalar instancias de AD LDS de rplica en el primer equipo de prueba o en un segundo equipo, si tiene alguno disponible.
Paso 1: practicar la administracin de instancias de AD LDS de rplica Paso 2: practicar la administracin de objetos de sitio Paso 3: practicar la administracin de objetos de vnculo a sitios
En los siguientes ejercicios, crear dos instancias de los Servicios de directorio ligero de Active Directory (AD LDS) de rplica. Crear la primera instancia de rplica mediante el Asistente para instalacin de Servicios de directorio ligero de Active Directory. Instalar la segunda instancia de rplica mediante una instalacin desatendida. Importante Para ejecutar estos ejercicios, debe instalar primero la funcin de servidor AD LDS en los equipos de prueba y crear al menos una instancia de AD LDS en ejecucin. Para obtener ms informacin e instrucciones para instalar la funcin de servidor AD LDS y crear una nueva instancia de AD LDS, consulte el paso 1 sobre la instalacin de la funcin de servidor AD LDS y el paso 2 sobre la prctica del trabajo con instancias de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls).
Creacin de una instancia de AD LDS de rplica. Instalacin de una instancia de AD LDS de rplica desde un medio.
Nota Los nombres de instancia de AD LDS deben ser nicos en un equipo dado. 5. En la pgina Puertos, acepte los valores predeterminados 50000 y 50001 (si est realizando la instalacin en el primer equipo) o 389 y 636 (si est realizando la instalacin en un segundo equipo) y haga clic en Siguiente. 6. En la pgina Unirse a un conjunto de configuracin, en Servidor, escriba el nombre de host o DNS del equipo donde est instalada la primera instancia de AD LDS. A continuacin, escriba el nmero de puerto LDAP que usa la primera instancia de AD LDS (que es 389 de forma predeterminada) y haga clic en Siguiente.
Nota
Debe usar un nombre de host o DNS vlido en lugar de una direccin IP o localhost cuando especifique un servidor en la pgina Unirse a un conjunto de configuracin del Asistente para instalacin de Servicios de directorio ligero de Active Directory. 7. En la pgina Credenciales administrativas para el conjunto de configuracin, haga clic en la cuenta que se usa como administrador de AD LDS para la primera instancia de AD LDS. 8. En la pgina Copiar particin de aplicacin, seleccione las particiones de directorio de aplicacin que desea replicar en la nueva instancia de AD LDS. Las particiones de esquema y configuracin se replicarn de forma automtica. 9. Para aceptar los valores predeterminados de las dems pginas del Asistente para instalacin de Servicios de directorio ligero de Active Directory, haga clic en Siguiente en cada pgina, y haga clic en Finalizar en la pgina Finalizacin del Asistente para instalacin de Servicios de directorio ligero de Active Directory. 10. Una vez finalizada la instalacin, use el complemento Editor ADSI para confirmar que la particin de directorio seleccionada se replic en la segunda instancia de AD LDS.
Importante Para obtener ms informacin e instrucciones para crear una copia de seguridad y restaurar datos de AD LDS, consulte la Gua paso a paso para la creacin de copias de seguridad y restauracin de los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98680 (puede estar en ingls). El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para instalar una rplica de AD LDS desde un medio 1. Restaure en otra ubicacin una copia de seguridad de la instancia de AD LDS desde la que desea realizar la instalacin. No restaure la copia de seguridad en la ubicacin original de la instancia de AD LDS. 2. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 3. Escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
%windir%\adam\adaminstall /adv
4. Siga los pasos que se indican en el Asistente para instalacin de Servicios de directorio ligero de Active Directory.
Creacin de un objeto de sitio. Movimiento de una instancia de AD LDS a un objeto de sitio. Configuracin de la frecuencia de replicacin en un objeto de sitio.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. 4. 5. 6. En el rbol de consola, haga clic con el botn secundario en Sitios y, a continuacin, haga clic en Nuevo sitio. En Nombre, escriba un nombre comn (CN) para el nuevo sitio; por ejemplo, Sitio1. En Nombre de vnculo, elija DEFAULTIPSITELINK y haga clic en Aceptar. Repita los pasos 3 y 4, esta vez para crear un objeto de sitio para la instancia de AD LDS de rplica. Para esta gua, puede denominar el nuevo objeto de sitio Sitio2.
Nota No tiene que conectarse a la instancia de AD LDS de rplica para completar el paso 6. La replicacin con varios maestros permite realizar cambios en datos de directorio de AD LDS (particin de directorio de configuracin comn y particin de directorio de esquema comn) en cualquier instancia de AD LDS dentro de un conjunto de configuracin. A continuacin, AD LDS replica automticamente esos cambios en los dems miembros del conjunto de configuracin. Nota En este punto, la instancia original de AD LDS y la instancia de rplica de AD LDS estn en el mismo sitio; por tanto, todos los cambios que realice en objetos del directorio de AD LDS estn sujetos an a una rpida replicacin dentro del sitio.
1.
Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Sitios y servicios de Active Directory.
2.
En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y, a continuacin, haga clic en Cambiar el controlador de dominio. Especifique el nombre y el nmero de puerto del servidor que alberga las instancias de AD LDS en el conjunto de configuracin para el que desea crear objetos de sitio. Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en el sito que contiene la instancia de AD LDS que desea mover (de forma predeterminada, CN=Default-First-Site-Name) y, finalmente, haga doble clic en el contenedor Servidores. 4. En el contenedor Servidores, haga clic con el botn secundario en la instancia de AD LDS que desea mover y elija Mover. Para esta gua, seleccione la instancia de AD LDS original. 5. En el cuadro de dilogo Mover servidor, seleccione el sitio al que desea mover la instancia de AD LDS y haga clic en Aceptar. Para esta gua, seleccione Sitio1 y Servidor1 en el cuadro de dilogo Mover servidor. 6. Repita los pasos 3 a 5, esta vez para mover la instancia de AD LDS de rplica al objeto de sitio Sitio2.
Nota No tiene que conectarse a la instancia de AD LDS de rplica para completar el paso 6. La replicacin con varios maestros permite realizar cambios en datos de directorio de AD LDS (particin de directorio de configuracin comn y particin de directorio de esquema comn) en cualquier instancia de AD LDS dentro de un conjunto de configuracin. A continuacin, AD LDS replica automticamente esos cambios en los dems miembros del conjunto de configuracin.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios y elija el contenedor de sitio en el que reside la instancia. Para esta gua, haga clic en el contenedor Sitio1. 4. En el panel de detalles, haga clic con el botn secundario en CN=NTDS Site Settings y, a continuacin, haga clic en Propiedades. 5. 6. En el cuadro de dilogo Propiedades, vaya a la ficha Configuracin del sitio y haga clic en Cambiar programacin. En el cuadro de dilogo Programa para Configuracin de sitio NTDS, seleccione el bloque de tiempo para el que desea programar la replicacin y haga clic en Ninguno, Una vez por hora, Dos veces por hora o Cuatro veces por hora como frecuencia de replicacin. 7. Cuando termine de actualizar la programacin, haga clic en Aceptar.
Creacin de un objeto de vnculo a sitios. Establecimiento del costo de un objeto de vnculo a sitios. Configuracin de la frecuencia de replicacin en un objeto de vnculo a sitios. Configuracin de la disponibilidad para replicacin en un objeto de vnculo a sitios.
Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en Contenedor de transportes entre sitios, haga clic con el botn secundario en el contenedor IP y, finalmente, haga clic en Nuevo vnculo a sitios. 4. 5. En Nombre, escriba el nombre comn (CN) del nuevo objeto de vnculo a sitios; por ejemplo, VnculoASitios1. En la lista Sitios no pertenecientes a este vnculo, seleccione los nombres de sitio que se deben poner en el nuevo objeto de vnculo a sitios, haga clic en Agregar para agregarlos a la lista Sitios pertenecientes a este vnculo y elija Aceptar. Para esta gua, agregue Sitio1 y Sitio2 al objeto VnculoASitios1.
Nota En este punto, la instancia original de AD LDS y la instancia de rplica de AD LDS estn en dos sitios diferentes; por tanto, todos los cambios que realice en objetos del directorio de AD LDS estn sujetos ahora a una replicacin entre sitios. Para ver el intervalo de replicacin durante el cual el objeto de vnculo a sitios que acaba de crear se replicar en la otra instancia de AD LDS, consulte la columna Intervalo de replicacin del objeto de vnculo a sitios que acaba de agregar en el panel de detalles del complemento Sitios y servicios de Active Directory. El intervalo de replicacin predeterminado para objetos de vnculo a sitios es 180 minutos.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en Contenedor de transportes entre sitios y, finalmente, haga clic en el contenedor IP.
4.
En el panel de detalles, haga clic con el botn secundario en el objeto de vnculo a sitios para el que desee establecer el costo y, a continuacin, haga clic en Propiedades. Para esta gua, seleccione SitioAVnculos1.
5.
En el cuadro de dilogo Propiedades, use los botones de flecha arriba y abajo para editar el valor del campo Costo.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en Contenedor de transportes entre sitios y, finalmente, haga clic en el contenedor IP. 4. En el panel de detalles, haga clic con el botn secundario en el objeto de vnculo a sitios para el que desee configurar el intervalo de replicacin y, a continuacin, haga clic en Propiedades. Para esta gua, seleccione SitioAVnculos1. 5. En el cuadro de dilogo Propiedades, use los botones de flecha arriba y abajo para editar el valor del campo Replicar cada.
2.
En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y, a continuacin, haga clic en Cambiar el controlador de dominio. Especifique el nombre y el nmero de puerto del servidor que alberga las instancias de AD LDS en el conjunto de configuracin para el que desea crear objetos de sitio. Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en Contenedor de transportes entre sitios y, finalmente, haga clic en el contenedor IP. 4. En el panel de detalles, haga clic con el botn secundario en el objeto de vnculo a sitios para el que desee programar la disponibilidad y, a continuacin, haga clic en Propiedades. Para esta gua, seleccione SitioAVnculos1. 5. En el cuadro de dilogo Propiedades, haga clic en Cambiar programacin, seleccione el bloque de tiempo para el que desea programar la replicacin y despus haga clic en Replicacin no disponible o Replicacin disponible. 6. Cuando termine de actualizar la programacin, haga clic en Aceptar.
Gua paso a paso para la creacin de copias de seguridad y restauracin de los Servicios de directorio ligero de Active Directory
Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Los Servicios de directorio ligero de Active Directory (AD LDS), antes conocidos como Active Directory Application Mode (ADAM), es un servicio de directorio LDAP (Protocolo de acceso de directorio ligero) que proporciona funcionalidad de almacenamiento y recuperacin de datos para aplicaciones habilitadas para el uso de directorios, sin las dependencias que requieren los Servicios de dominio de Active Directory (AD DS). Es posible ejecutar varias instancias de AD LDS de forma simultnea en un nico equipo, siempre que haya un esquema administrado de forma independiente para cada instancia de AD LDS. Para obtener ms informacin acerca de AD LDS, consulte la introduccin a los Servicios de directorio ligero de Active Directory que encontrar en http://go.microsoft.com/fwlink/?LinkId=96084 (puede estar en ingls). Para obtener ms informacin acerca de la configuracin de AD LDS, consulte la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory (http://go.microsoft.com/fwlink/?LinkId=98679) (puede estar en ingls).
Crear copias de seguridad de datos de instancias de AD LDS Restaurar datos de instancia de AD LDS e instancias de AD LDS.
Requisitos
Antes de comenzar a usar los procedimientos de esta gua, realice lo siguiente respecto a los requisitos del sistema:
10
Almacene copias de seguridad en alguno de los siguientes tipos de medio: Un disco duro fijo o extrable DVDs Un recurso compartido de red (slo copias de seguridad no programadas)
Paso 1: crear una copia de seguridad de los datos de una instancia de AD LDS Paso 2: restaurar los datos de la instancia de AD LDS
Apndice A: limpieza de metadatos para las instancias de AD LDS retiradas Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe
Paso 1: crear una copia de seguridad de los datos de una instancia de AD LDS
Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Es recomendable realizar copias de seguridad regulares de los archivos de datos y de registro de los Servicios de directorio ligero de Active Directory (AD LDS) a fin de garantizar la disponibilidad continua de los datos para las aplicaciones y los usuarios en caso de un error del sistema. De manera predeterminada, cada instancia de AD LDS que se ejecuta en un servidor de AD LDS almacena su archivo de base de datos, Adamntds.dit, y los archivos de registro asociados en %program files%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. Incluya estos archivos en el plan regular de copias de seguridad de su organizacin. Para realizar una copia de seguridad de los datos de una instancia de AD LDS, debe realizar una copia de seguridad de estos archivos. En las secciones siguientes, se crean copias de seguridad de datos de instancia de AD LDS usando las siguientes herramientas:
Para obtener ms informacin acerca de la instalacin de Copias de seguridad de Windows Server, consulte la pgina http://go.microsoft.com/fwlink/?LinkId=96495 (puede estar en ingls). Para obtener informacin general acerca de Copias de seguridad de Windows Server de Windows Server 2008, consulte la Ayuda en su servidor. Para mostrar la Ayuda, abra Copias de seguridad de Windows Server y presione F1.
Creacin de copias de seguridad de datos de instancia de AD LDS con Copias de seguridad de Windows Server
Para completar este procedimiento, lo mnimo que se necesita es pertenecer al grupo local Operadores de copia de seguridad o a uno equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477.
Importante Antes de realizar una copia de seguridad de la carpeta de una instancia de AD LDS, use el complemento Servicios para confirmar que la instancia se ha iniciado. Para abrir Servicios, haga clic en Inicio, Herramientas administrativas y Servicios. Como el servicio de instancia debe estar ejecutndose mientras se realiza la copia de seguridad de los archivos, debe usar una utilidad de copia de seguridad (como Copias de seguridad de Windows Server) que pueda hacer una copia de
11
seguridad de archivos abiertos. Para realizar una copia de seguridad de una instancia de AD LDS mediante Copias de seguridad de Windows Server 1. Haga clic en Inicio, elija Herramientas administrativas y haga clic en Copias de seguridad de Windows Server. 2. 3. En el men Accin, haga clic en Hacer copia de seguridad una vez. En el Asistente para hacer copia de seguridad una vez, en la pgina Opciones de copia de seguridad, elija Opciones diferentes y haga clic en Siguiente. 4. En la pgina Seleccionar configuracin de copia de seguridad, haga clic en Personalizar y, a continuacin, en Siguiente. 5. Seleccione los volmenes que contienen los archivos de registro y base de datos de AD LDS, y haga clic en Siguiente.
Nota Puede instalar los archivos de registro y base de datos de AD LDS en volmenes diferentes. 6. En la pgina Especificar tipo de destino, seleccione Unidades locales o Carpeta compartida remota, dependiendo de si desea almacenar la copia de seguridad en modo local o remoto. 7. En la pgina Seleccionar destino de la copia de seguridad, especifique la unidad donde desea que se almacene la copia de seguridad. 8. Complete el asistente para comenzar con la operacin de copia de seguridad.
Precaucin Si realiz una copia de seguridad de los datos de un volumen de sistema de archivos NTFS, se recomienda que restaure los datos en un volumen NTFS de la misma versin para evitar la prdida de datos.
Copiar cdigo
dsdbutil
3. En dsdbutil: escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
12
donde <nombre_instancia> es el nombre de la instancia de AD LDS para la que desea crear el medio de instalacin. Ejemplo:
Copiar cdigo
Copiar cdigo
ifm
4. En el smbolo del sistema de ifm:, escriba el comando para el medio de instalacin que desea crear y presione ENTRAR:
Copiar cdigo
Copiar cdigo
Restauracin de una instancia de AD LDS existente Restauracin de una instancia de AD LDS retirada Restauracin autoritativa de una instancia de AD LDS Instalacin de una rplica de AD LDS desde un medio
13
operacin de restauracin. Adems, antes de iniciar la restauracin, es recomendable mover (o eliminar) la base de datos y los archivos de registro existentes de la instancia de AD LDS. Si restaura una copia de seguridad de AD LDS en una instancia de AD LDS en ejecucin, Copias de seguridad de Windows Server deja los archivos restaurados en estado pendiente y no los escribe en el disco hasta que se reinicia el equipo. En esta situacin, se perdern todos los cambios de directorio que se realicen en la instancia de AD LDS en ejecucin despus de ejecutar Copias de seguridad de Windows Server. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores o a uno equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para restaurar una instancia de AD LDS existente 1. Detenga la instancia de AD LDS que acaba de crear, como se indica a continuacin: a. b. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Detener.
Nota Si inicia por error la restauracin de una instancia de AD LDS durante la ejecucin de otra instancia de AD LDS, se recomienda reiniciar inmediatamente el equipo, detener la instancia de AD LDS y volver a realizar la restauracin. 2. Haga clic en Inicio, Herramientas administrativas y, a continuacin, en Copias de seguridad de Windows Server. 3. 4. En el men Accin, haga clic en Recuperar. Siga los pasos del Asistente para recuperacin: especifique la ubicacin de los datos de la copia de seguridad de origen e identifique la copia de seguridad especfica de la que desea recuperar los datos de la instancia. a. b. En Seleccionar tipo de recuperacin, haga clic en Archivos y carpetas y, a continuacin, en Siguiente. En Seleccionar elementos para recuperar, busque y seleccione la carpeta que contiene los archivos de los datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. c. En Especificar opciones de recuperacin, haga clic en Ubicacin original y Sobrescribir los archivos existentes con los recuperados y, a continuacin, en Siguiente. 5. 6. 7. Para completar la restauracin, haga clic en Recuperar. Una vez completada la restauracin, cierre Copias de seguridad de Windows Server. Inicie la instancia de AD LDS como se indica a continuacin: a. b. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Iniciar.
Nota No se puede usar Copias de seguridad de Windows Server para restaurar una instancia de AD LDS existente con una copia de seguridad que se cre con la herramienta Dsdbutil.exe. Para restaurar la instancia de AD LDS existente con una copia de seguridad creada con Dsdbutil.exe, consulte el Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe.
14
Nota Si inicia por error la restauracin de una instancia de AD LDS durante la ejecucin de otra instancia de AD LDS, se recomienda reiniciar inmediatamente el equipo, detener la instancia de AD LDS y volver a realizar la restauracin. 3. Haga clic en Inicio, Herramientas administrativas y, a continuacin, en Copias de seguridad de Windows Server. 4. 5. En el men Accin, haga clic en Recuperar. Siga los pasos del Asistente para recuperacin: especifique la ubicacin de los datos de la copia de seguridad de origen e identifique la copia de seguridad especfica de la que desea recuperar los datos de la instancia. 6. 7. En Seleccionar tipo de recuperacin, haga clic en Archivos y carpetas y, a continuacin, en Siguiente. En Seleccionar elementos para recuperar, busque y seleccione la carpeta que contiene los archivos de los datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. 8. En Especificar opciones de recuperacin, haga clic en Ubicaciones originales, en Sobrescribir los archivos existentes con los recuperados y, a continuacin, en Siguiente. 9. Para completar la restauracin, haga clic en Recuperar.
10. Una vez completada la restauracin, cierre Copias de seguridad de Windows Server. 11. Inicie la instancia de AD LDS que acaba de crear, como se indica a continuacin: a. b. Haga clic en Inicio, Herramientas administrativas y Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Iniciar.
Nota
15
No puede usar Copias de seguridad de Windows Server para restaurar una instancia de AD LDS retirada con una copia de seguridad creada con Dsdbutil.exe. Para restaurar la instancia de AD LDS existente con una copia de seguridad creada con Dsdbutil.exe, consulte el Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe.
Nota Si inicia por error la restauracin de una instancia de AD LDS durante la ejecucin de otra instancia de AD LDS, se recomienda reiniciar inmediatamente el equipo, detener la instancia de AD LDS y volver a realizar la restauracin. 2. Haga clic en Inicio, Herramientas administrativas y, a continuacin, en Copias de seguridad de Windows Server. 3. 4. En el men Accin, haga clic en Recuperar. Siga los pasos del Asistente para recuperacin: especifique la ubicacin de los datos de la copia de seguridad de origen e identifique la copia de seguridad especfica de la que desea recuperar los datos de la instancia. 5. 6. En Seleccionar tipo de recuperacin, haga clic en Archivos y carpetas y, a continuacin, en Siguiente. En Seleccionar elementos para recuperar, busque y seleccione la carpeta que contiene los archivos de los datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. 7. En Especificar opciones de recuperacin, haga clic en Ubicaciones originales, en Sobrescribir los archivos existentes con los recuperados y, a continuacin, en Siguiente. 8. 9. Para completar la restauracin, haga clic en Recuperar. Una vez completada la restauracin, cierre Copias de seguridad de Windows Server.
10. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 11. Escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
16
Copiar cdigo
dsdbutil
12. En dsdbutil: escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
Copiar cdigo
authoritative restore
14. En authoritative restore: escriba uno de los comandos de la tabla siguiente.
Descripcin Realiza una restauracin autoritativa del objeto de directorio cuyo nombre distintivo viene dado por dn. Realiza una restauracin autoritativa del subrbol de directorio cuyo nombre distintivo viene dado por dn.
restore subtree dn
Para ver la sintaxis completa de este comando e informacin acerca del comando authoritative restore en dsdbutil, en el smbolo del sistema de authoritative restore, escriba:
Copiar cdigo
?
15. Para salir de dsdbutil: a. b. En authoritative restore: escriba quit y, a continuacin, presione ENTRAR. En dsdbutil: escriba quit y, a continuacin, presione ENTRAR.
16. Inicie la instancia de AD LDS como se indica a continuacin: a. b. Haga clic en Inicio, Herramientas administrativas y Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Iniciar.
Nota No puede usar Copias de seguridad de Windows Server para restaurar una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe. Para restaurar la instancia de AD LDS existente con una copia de seguridad creada con Dsdbutil.exe, consulte el Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe.
17
Nota Si se us Dsdbutil.exe para crear el medio de instalacin (copia de seguridad) de los datos de instancia de AD LDS, omita los pasos 1 a 7 y comience este procedimiento en el paso 8. Para instalar una rplica de AD LDS desde un medio 1. Haga clic en Inicio, elija Herramientas administrativas y haga clic en Copias de seguridad de Windows Server. 2. 3. En el men Accin, haga clic en Recuperar. Siga los pasos del Asistente para recuperacin: especifique la ubicacin de los datos de la copia de seguridad de origen e identifique la copia de seguridad especfica de la que desea recuperar los datos de la instancia. 4. 5. En Seleccionar tipo de recuperacin, haga clic en Archivos y carpetas y, a continuacin, en Siguiente. En Seleccionar elementos para recuperar, busque y seleccione la carpeta que contiene los archivos de los datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. 6. En Especificar opciones de recuperacin, haga clic en Otra ubicacin, especifique una ubicacin temporal para los archivos recuperados y haga clic en Siguiente. 7. 8. Para completar la restauracin, haga clic en Recuperar. En el smbolo del sistema, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
%windir%\adam\adaminstall /adv
9. Siga los pasos que se indican en el Asistente para la instalacin de los Servicios de directorio ligero de Active Directory: a. En la pgina Opciones de instalacin, haga clic en Una rplica de una instancia existente y, a continuacin, haga clic en Siguiente. b. En la pgina Unirse a un conjunto de configuracin, escriba el nombre de host o el nombre DNS (Sistema de nombres de dominio) del equipo donde est instalada una de las instancias de AD LDS restantes del conjunto de configuracin. A continuacin, escriba el nmero de puerto LDAP (Protocolo ligero de acceso a directorios) que usa esa instancia de AD LDS y haga clic en Siguiente. c. En la pgina Credenciales administrativas para el conjunto de configuracin, haga clic en la cuenta que se usa como administrador de AD LDS para la primera instancia de AD LDS. d. En la pgina Copiar informacin de la aplicacin, seleccione Desde los archivos de copia de seguridad restaurados en estas carpetas, especifique la ubicacin correcta de los archivos del medio de instalacin en el campo Carpeta de informacin restaurada, deje vaco el campo Carpeta de recuperacin de los datos restaurados y haga clic en Siguiente. e. En la pgina Copiar particin de aplicacin, seleccione las particiones de directorio de aplicacin que desea replicar en la nueva instancia de AD LDS.
18
f.
Acepte los valores predeterminados de las dems pginas del Asistente para la instalacin de los Servicios de directorio ligero de Active Directory haciendo clic en Siguiente en cada pgina, y haga clic en Finalizar en la pgina Finalizacin del Asistente para instalacin de Servicios de directorio ligero de Active Directory.
Importante Tambin puede usar este procedimiento para restaurar una rplica de AD LDS retirada desde el medio. Sin embargo, se recomienda realizar primero una limpieza de metadatos de cualquier rplica de AD LDS retirada que planee restaurar desde el medio. Para obtener ms informacin acerca de la limpieza de metadatos, consulte el Apndice A: limpieza de metadatos para las instancias de AD LDS retiradas.
dsmgmt y presione ENTRAR. metadata cleanup y presione ENTRAR. select operation target y presione ENTRAR. connections y presione ENTRAR.
En el smbolo del sistema de server connections:, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
nmero correspondiente al sitio donde reside el objeto de servidor que desea eliminar. 9. En el smbolo del sistema de select operation target:, escriba representa el nmero identificado en el paso anterior. 10. En el smbolo del sistema de select operation target:, escriba
Identifique el nmero que corresponde al contexto de nomenclatura del servidor cuyo objeto de servidor desea eliminar. 11. Escriba
select naming context <n> y presione ENTRAR, donde <n> representa el nmero identificado en el
list servers in site y presione Entrar. Identifique el nmero asociado al servidor cuyo objeto de
19
13. Escriba
select server <n> y presione ENTRAR, donde <n> representa el nmero identificado en el paso anterior. q y presione ENTRAR.
14. En el smbolo del sistema de select operation target:, escriba 15. En el smbolo del sistema de metadata cleanup:, escriba
clic en S para confirmar la eliminacin del objeto de servidor. 16. Adems, debe eliminar el objeto de servidor del contenedor de sitios: CN=Servers,CN=nombresitio,CN=Sites,CN=Configuration,CN={GUID} donde nombresitio representa el nombre del sitio en el que existe el objeto de servidor y GUID hace referencia al identificador nico global (GUID) de la instancia de AD LDS. Para ver la sintaxis completa de este comando, escriba lo siguiente en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
dsmgmt /?
Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe
Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Si se us Dsdbutil.exe para crear el medio de instalacin (copia de seguridad) de los datos de instancia de los Servicios de directorio ligero de Active Directory (AD LDS), restaure esta instancia de AD LDS con el siguiente procedimiento. No se puede usar Copias de seguridad de Windows Server para restaurar una instancia de AD LDS existente o retirada con una copia de seguridad que se cre con Dsdbutil.exe. Puede instalar una rplica de AD LDS desde un medio usando una copia de seguridad de datos de AD LDS que se cre con Dsdbutil.exe. Para restaurar la copia de seguridad de los datos de la instancia de AD LDS creada con Dsdbutil.exe 1. Detenga la instancia de AD LDS que acaba de crear, como se indica a continuacin: a. b. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Detener.
Nota Si inicia por error la restauracin de una instancia de AD LDS durante la ejecucin de otra instancia de AD LDS, se recomienda reiniciar inmediatamente el equipo, detener la instancia de AD LDS y volver a realizar la restauracin. 2. Elimine los archivos de la carpeta que contiene los archivos de datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. 3. Para copiar la copia de seguridad de AD LDS que se cre con Dsdbutil.exe en la carpeta que contena los archivos de registro y base de datos originales de AD LDS, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
20
Copiar cdigo
Gua paso a paso de introduccin a los Servicios de directorio ligero de Active Directory
Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 Los Servicios de directorio ligero de Active Directory (AD LDS), antes conocidos como Active Directory Application Mode (ADAM), es un servicio de directorio LDAP (Protocolo de acceso de directorio ligero) que proporciona funcionalidad de almacenamiento y recuperacin de datos en aplicaciones habilitadas para el uso de directorios, sin las dependencias que se requieren para los Servicios de dominio de Active Directory (AD DS). Es posible ejecutar varias instancias de AD LDS de forma simultnea en un nico equipo, siempre que haya un esquema administrado de forma independiente para cada instancia de AD LDS. Para obtener ms informacin acerca de AD LDS, consulte la introduccin a los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=96084 (puede estar en ingls). Para obtener ms informacin acerca de la configuracin de ADAM, consulte la gua paso a paso para implementar ADAM en http://go.microsoft.com/fwlink/?LinkId=96083 (puede estar en ingls).
Nota
Instalar la funcin de servidor AD LDS y practicar trabajando con instancias de AD LDS. Practicar el uso de las herramientas de administracin de AD LDS. Practicar la creacin y la administracin de unidades organizativas, grupos y usuarios en AD LDS. Practicar la creacin y la eliminacin de particiones de directorio de aplicaciones de AD LDS. Ver, conceder y denegar permisos de usuario de AD LDS. Practicar el enlace a una instancia de AD LDS de varias formas. Practicar la administracin de conjuntos de configuracin de AD LDS.
Para maximizar las posibilidades de completar los objetivos de esta gua correctamente, es importante que siga los pasos de la gua en el orden en que se presentan.
21
Requisitos
Antes de comenzar a usar los procedimientos de esta gua, realice lo siguiente respecto a los requisitos del sistema:
Debe tener disponible al menos un equipo de prueba en el que pueda instalar AD LDS. Para realizar los ejercicios de esta gua, instale AD LDS en equipos con Windows Server 2008.
Inicie sesin en Windows Server 2008 con una cuenta de administrador. Para esta gua, puede instalar instancias de AD LDS de rplica en el primer equipo de prueba o en un segundo equipo, si tiene alguno disponible.
Paso 1: instalar la funcin de servidor de AD LDS Paso 2: practicar trabajando con instancias de AD LDS Paso 3: practicar el uso de las herramientas de administracin de AD LDS Paso 4: practicar la administracin de unidades organizativas, grupos y usuarios de AD LDS Paso 5: practicar trabajando con particiones de directorio de aplicaciones Paso 6: practicar la administracin de autorizacin Paso 7: practicar la administracin de autenticacin Paso 8: practicar la administracin de conjuntos de configuracin
Para obtener ms informacin, consulte Apndice A: configuracin de LDAP por medio de SSL; requisitos para AD LDS y Appendix B: Upgrading from ADAM to AD LDS.
22
Creacin de una nueva instancia de AD LDS Importacin de datos en una instancia de AD LDS
Nota
23
Si instala AD LDS en un equipo donde alguno de los puertos predeterminados est en uso, el Asistente para instalacin de Servicios de directorio ligero de Active Directory busca de forma automtica el primer puerto disponible, comenzando en 50000. Por ejemplo, los Servicios de dominio de Active Directory (AD DS) usan los puertos 389 y 636, as como los puertos 3268 y 3269 en servidores de catlogo global. Por tanto, si instala AD LDS en un controlador de dominio, el Asistente para instalacin de Servicios de directorio ligero de Active Directory proporciona un valor predeterminado de 50000 para el puerto LDAP y de 50001 para el puerto SSL. 6. En la pgina Particin de directorio de aplicaciones puede crear una particin de directorio de aplicaciones (o contexto de nomenclatura) haciendo clic en S, crear una particin de directorio de aplicaciones. O bien, puede hacer clic en No, no crear una particin de directorio de aplicaciones, en cuyo caso deber crear una particin de directorio de aplicaciones manualmente despus de la instalacin. Para este ejercicio, haga clic en S, crear una particin de directorio de aplicaciones. Escriba o=Microsoft,c=US como nombre distintivo de esta particin de directorio de aplicaciones y haga clic en Siguiente.
Nota AD LDS admite nombres distintivos de estilo X.500 y Sistema de nombres de dominio (DNS) para particiones de directorio de nivel superior. 7. En la pgina Ubicaciones de archivo puede ver y cambiar los directorios de instalacin de los archivos (de registro) de datos y recuperacin de AD LDS. De forma predeterminada, los archivos de datos y recuperacin de AD LDS se instalan en %ProgramFiles%\Microsoft ADAM\nombreDeInstancia\data, donde nombreDeInstancia representa el nombre de instancia de AD LDS que especific en la pgina Nombre de instancia. Para este ejercicio, haga clic en Siguiente para aceptar las ubicaciones de archivo predeterminadas. 8. En la pgina Seleccin de cuentas de servicio, seleccione una cuenta para usarla como cuenta de servicio de AD LDS. La cuenta que seleccione determina el contexto de seguridad en que se ejecuta la instancia de AD LDS. El Asistente para instalacin de Servicios de directorio ligero de Active Directory toma como predeterminada la Cuenta del servicio de red. Para este ejercicio, haga clic en Siguiente para aceptar la Cuenta del servicio de red como predeterminada. O bien, si va a instalar AD LDS en un controlador de dominio, haga clic en Esta cuenta y seleccione una cuenta de usuario del dominio para usarla como la cuenta de servicio de AD LDS. 9. En la pgina Administradores de AD LDS, seleccione el usuario o el grupo que ser el administrador predeterminado de la instancia de AD LDS. El usuario o grupo que seleccione tendr un control administrativo total de la instancia de AD LDS. De forma predeterminada, el Asistente para instalacin de Servicios de directorio ligero de Active Directory especifica el usuario que inici sesin. Puede cambiar esta seleccin y usar cualquier grupo o cuenta local o de dominio de la red. Para este ejercicio, haga clic en el valor predeterminado de Usuario con sesin iniciada y despus en Siguiente. 10. En la pgina Importacin de archivos LDIF puede importar archivos .ldf de esquema en la instancia de AD LDS. Para este ejercicio, importe los archivos .ldf de la tabla siguiente.
Descripcin Contiene la definicin de la clase de objeto LDAP inetOrgPerson. Contiene user y las definiciones de objeto de las clases relacionadas. Contiene la definicin de objeto de la clase userProxy simple.
24
MS-UserProxyFull.ldf MS-ADLDSDisplaySpecifiers.ldf
Contiene la definicin de objeto de la clase userProxy completa. Contiene especificadores de pantalla. Este archivo .ldf es necesario para operaciones de complemento. Si planea conectarse a la instancia de AD LDS y administrarla despus a travs del complemento Sitios y servicios de Active Directory, importe este archivo ahora con el Asistente para instalacin de Servicios de directorio ligero de Active Directory .
Nota AD LDS permite usar tambin archivos LDIF (formato de intercambio de datos LDAP) personalizados (adems de los archivos LDIF predeterminados que se proporcionan con AD LDS). Para que estn disponibles, agrguelos al directorio %systemroot%\ADAM durante la instalacin de AD LDS. Para crear archivos LDIF personalizados use ADSchemaAnalyzer. Para obtener ms informacin, consulte el procedimiento "Para crear un archivo LDIF con ADSchemaAnalyzer" en Paso 3: practicar el uso de las herramientas de administracin de AD LDS. Guarde el archivo LDIF personalizado en el directorio %systemroot%\ADAM y despus ejecute el Asistente para instalacin de Servicios de directorio ligero de Active Directory para crear una nueva instancia de AD LDS. El archivo LDIF personalizado estar disponible en la lista de nombres de archivo LDIF en la pgina Importacin de archivos LDIF. 11. La pgina Listo para instalar permite revisar las opciones de instalacin seleccionadas. Tras hacer clic en Siguiente, el Asistente para instalacin de Servicios de directorio ligero de Active Directory copia los archivos e instala AD LDS en el equipo. 12. Cuando el Asistente para instalacin de Servicios de directorio ligero de Active Directory finaliza la instalacin de AD LDS, se muestra este mensaje: Complet el Asistente para instalacin de Servicios de directorio ligero de Active Directory correctamente. Cuando aparezca la pgina Finalizacin del Asistente para instalacin de Servicios de directorio ligero de Active Directory, haga clic en Finalizar para cerrar el asistente.
Nota Si no se completa correctamente el Asistente para instalacin de Servicios de directorio ligero de Active Directory, aparece un mensaje de error que describe el motivo del error en la pgina Resumen. Nota Si se produce un error en el asistente antes de la pgina Resumen, revise el mensaje de error que aparece. Adems, puede hacer clic en Inicio, elegir Ejecutar y escribir alguna de las siguientes opciones: %windir%\Debug\ADAMSsetup.log %windir%\Debug\ADAMSsetup_loader.log Los archivos ADAMsetup.log y ADAMsetup_loader.log contienen informacin que puede ser til para determinar la causa de un error de instalacin de AD LDS. Instalacin desatendida de una instancia de AD LDS AD LDS se puede instalar sin intervencin del usuario. Una instalacin desatendida de AD LDS requiere un archivo de respuesta (Answer.txt) que contiene un conjunto de opciones de instalacin configuradas previamente. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para realizar una instalacin desatendida de una instancia de AD LDS 1. En un editor de texto, cree un nuevo archivo de texto. Como alternativa, puede copiar y pegar el siguiente archivo de respuesta de ejemplo en su archivo de respuesta.
Copiar cdigo
[ADAMInstall] ; La lnea siguiente especifica que se instale una instancia nica de ADAM. InstallType=Unique ; La siguiente lnea especifica el nombre que se asignar a la nueva instancia. InstanceName=MyFirstInstance ; La siguiente lnea especifica el puerto de comunicaciones que se usar para LDAP.
25
LocalLDAPPortToListenOn=389 ; La siguiente lnea especifica una particin de aplicacin para crear. NewApplicationPartitionToCreate="o=microsoft,c=us" ; La siguiente lnea especifica el directorio para usar archivos de datos ADAM. DataFilesPath=C:\Program Files\Microsoft ADAM\instance1\data ; La siguiente lnea especifica el directorio que se usar para los archivos de registro de ADAM. LogFilesPath=C:\Program Files\Microsoft ADAM\instance1\data ; La siguiente lnea especifica los archivos .ldf que se importarn en el esquema de ADAM. ImportLDIFFiles="ms-inetorgperson.ldf" "ms-user.ldf"
2. Especifique los parmetros de instalacin que se describen en la tabla que sigue inmediatamente a este procedimiento y despus guarde el archivo de respuesta. 3. En un smbolo del sistema (o en un archivo por lotes o de script), cambie a la unidad y el directorio donde se encuentran los archivos de instalacin de AD LDS. Para abrir un smbolo del sistema, haga clic en Inicio, elija Ejecutar y escriba 4. Escriba el comando siguiente:
cmd.
Copiar cdigo
%systemroot%\ADAM\adaminstall.exe /answer:unidad:\rutaDeAcceso\nombreDeArchivo.txt"
donde unidad:\rutaDeAcceso\nombreDeArchivo.txt representa la unidad, la ruta de acceso y el nombre del archivo de respuesta. El comando requiere las comillas. En la tabla siguiente se muestran los parmetros que se pueden usar en un archivo de respuesta de AD LDS. Estos parmetros no distinguen entre maysculas y minsculas. En otras palabras, puede especificar InstallType o installtype en el archivo de respuesta. Sin embargo, AD LDS mantiene el uso de maysculas y minsculas para los valores que haya especificado para los parmetros instancename y servicepassword.
Unique: crea una instancia nica de AD LDS. Replica: crea una instancia de AD LDS replicando todo o parte de una instancia de AD LDS existente, ya sea a travs de la red o a partir de un medio de copia de seguridad restaurado. Si tambin especifica valores en el archivo de respuesta para los parmetros ReplicationDataSourcePath y ReplicationLogSourcePath, y si establece el valor de InstallType en Replica, el programa de instalacin de AD LDS instala una instancia de rplica de AD LDS a partir de un medio de copia de seguridad restaurado. Si no hay valores para esos parmetros, el programa de instalacin de AD LDS instala una
26
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que se ha especificado un tipo de instalacin no vlido para InstallType.
Comportamiento predeterminado
Valores posibles
Comportamiento predeterminado
Valores posibles Un nombre de instancia de AD LDS debe cumplir los siguientes requisitos:
Debe ser nico con respecto a otras instancias de AD LDS que se ejecuten en el mismo equipo.
Su longitud no debe superar los 44 caracteres. Slo estn permitidos los caracteres de la "a" a la "z", de la "A" a la "Z" o del "0" al "9".
Comportamiento predeterminado
La instancia de AD LDS se denomina Instancen, donde n es el nmero ms bajo superior que 0 e Instancen es nico en el equipo local.
Especifica los nombres distintivos de las particiones de aplicacin para replicar a partir de la instancia de AD LDS de origen. El ejemplo siguiente especifica tres particiones de aplicacin para replicar: Copiar cdigo
27
ReplicationDataSourcePath Vlido slo para instalaciones de rplica. Cuando hay un valor para este parmetro, el programa de instalacin de AD LDS intenta realizar una instalacin desde un medio. Si el valor para este parmetro no es vlido, el programa de instalacin de AD LDS escribe un error en el registro de instalacin.
Especifica la ruta de acceso del directorio de una instancia restaurada de datos de AD LDS. AD LDS pasa por alto cualquier valor que especifique para ReplicationDataSourcePath si no establece InstallType en Replica o si no especifica tambin un valor para ReplicationLogSourcePath. Comportamiento predeterminado AD LDS replica datos de aplicacin a travs de la red, en lugar de una copia de seguridad restaurada de una instancia de AD LDS. Si especifica un valor para este parmetro, pero no para ReplicationLogSourcePath, se produce un error. Especifica la ruta de acceso del directorio del archivo de registro de una instancia restaurada de AD LDS. AD LDS pasa por alto cualquier valor que especifique para ReplicationLogSourcePath si no establece InstallType en Replica o si no especifica tambin un valor para ReplicationDataSourcePath. Comportamiento predeterminado AD LDS replica datos de aplicacin a travs de la red, en lugar de una copia de seguridad restaurada de una instancia de AD LDS. Si especifica un valor para este parmetro, pero no para ReplicationDataSourcePath, se produce un error. Valores posibles
ReplicationLogSourcePath Vlido slo para instalaciones de rplica. Cuando hay un valor para este parmetro, el programa de instalacin de AD LDS intenta realizar una instalacin desde un medio. Si el valor para este parmetro no es vlido, el programa de instalacin de AD LDS escribe un error en el registro de instalacin.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que se ha especificado un puerto LDAP local no vlido.
LocalSSLPortToListenOn Requerido para todas las instalaciones. SourceServer Requerido para instalaciones de rplica.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que se ha especificado un puerto SSL local no vlido.
Comportamiento predeterminado
El nmero de puerto toma el valor predeterminado 636. Si no est disponible el valor 636, toma como predeterminado el primer nmero de puerto disponible que sea igual o mayor que 50000.
Valores posibles
Nombre DNS o NetBIOS vlido. Cualquier otro valor: si el valor de InstallType es Replica, AD LDS devuelve un mensaje de error para indicar que es una sintaxis no vlida para el servidor de origen de replicacin.
Comportamiento predeterminado
Si el valor de InstallType es Replica, AD LDS devuelve un mensaje de error para indicar que no se especific el servidor de origen de la replicacin.
28
Valores posibles
389 o un nmero entre 1025 y 65535. Cualquier otro valor: si el valor de InstallType es Replica, cualquier otro valor de AD LDS devuelve un mensaje de error para indicar que el puerto de origen de la replicacin especificado no es vlido.
Comportamiento predeterminado
Si el valor de InstallType es Replica, AD LDS devuelve un mensaje de error para indicar que no se especific el puerto de origen de la replicacin.
Valores posibles
Un nombre distintivo vlido: crea una particin de aplicacin con el nombre que especifique.
Cualquier otro valor: si el tipo de instalacin es Unique, AD LDS devuelve un mensaje de error para indicar que NewApplicationPartitionToCreate tiene una sintaxis de particin de aplicacin no vlida.
Comportamiento predeterminado
Valores posibles
Una ruta de acceso con sintaxis correcta, que puede incluir variables de entorno sin resolver que no contengan archivos de AD LDS existentes.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que la ruta de acceso de DataFilesPath no es vlida.
Comportamiento predeterminado
Valores posibles
Una ruta de acceso con sintaxis correcta, que puede incluir variables de entorno sin resolver que no contengan archivos de
29
AD LDS existentes.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que la ruta de acceso de LogFilesPath no es vlida.
Comportamiento predeterminado
Valores posibles
Un nombre de dominio DNS vlido, seguido de una barra diagonal inversa y el nombre de cuenta o grupo.
Un nombre de dominio NetBIOS vlido, seguido de una barra diagonal inversa y el nombre de cuenta.
Un nombre principal de usuario (UPN) vlido. Slo un nombre de cuenta vlido. Se recomienda no usar slo un nombre de cuenta vlido porque la resolucin de un nombre de cuenta que no vaya acompaado de un nombre de dominio requiere procesamiento adicional.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que el usuario especificado en ServiceAccount no es vlido.
Comportamiento predeterminado
Valores posibles
Yes: el programa de instalacin de AD LDS intenta agregar el inicio de sesin como un servicio a la cuenta que especifique como cuenta de servicio.
Cualquier otro valor: el programa de instalacin de AD LDS no intenta agregar el inicio de sesin como un servicio a la cuenta que especifique como cuenta de servicio.
Comportamiento predeterminado
el programa de instalacin de AD LDS no intenta agregar el inicio de sesin como un servicio a la cuenta que especifique como cuenta de servicio.
Valores posibles
30
Comportamiento predeterminado
Si ServiceAccount es la cuenta del servicio de red, AD LDS no hace nada; de lo contrario, devuelve un mensaje de error para indicar que no se especific ninguna contrasea en ServicePassword.
Valores posibles
Un nombre de dominio DNS vlido, seguido de una barra diagonal inversa y el nombre de cuenta. No especifique cuentas ni grupos integrados, como DOMINIO\Administradores. En su lugar, si desea especificar un grupo, especifique un grupo de dominio, como nombreDeDominio\Admins. del dominio, donde nombreDeDominio representa el nombre del dominio.
Un nombre de dominio NetBIOS vlido, seguido de una barra diagonal inversa y el nombre de cuenta.
Un nombre UPN vlido. Slo un nombre de cuenta vlido. Se recomienda no usar slo un nombre de cuenta vlido porque la resolucin de un nombre de cuenta que no vaya acompaado de un nombre de dominio requiere procesamiento adicional.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que el usuario especificado en Administrador no es vlido.
Comportamiento predeterminado
El usuario que inici sesin tiene permisos de administrador en esta instancia de AD LDS.
Valores posibles
Comportamiento predeterminado
31
instalada.
ImportLDIFFiles
Valores posibles
Archivos .ldf opcionales que desee importar en el esquema de AD LDS: ms-User.ldf, ms-InetOrgPerson.ldf, ms-UserProxy.ldf y ms-azman.ldf. Los nombres de archivo deben ir entre comillas dobles separadas por un espacio (" ").
Comportamiento predeterminado
Valores posibles
Nombre de cuenta y contrasea de una cuenta que tenga derechos administrativos para un conjunto de configuracin existente. Use estos parmetros cuando instale una rplica que desee unir al conjunto de configuracin.
Comportamiento predeterminado
AD LDS une la rplica al conjunto de configuracin usando las credenciales del usuario que inici sesin.
AD LDS usa la siguiente clave del Registro para devolver cdigos y mensajes de error al autor de la llamada cuando se instala o se desinstala AD LDS: HKLM\Software\Microsoft\Windows\CurrentVersion\ADAM_Installer_Results El programa de instalacin de AD LDS crea esta clave del registro y los valores asociados slo si se producen errores o advertencias. En la tabla siguiente se muestran los valores para esta clave del Registro.
Contenido Cdigo de error numrico que dio lugar al error del instalador Mensaje asociado con el cdigo de error de instalacin Mensajes asociados con las advertencias de instalacin Cdigo de error numrico que dio lugar al error de la desinstalacin Mensaje asociado con el cdigo de error de desinstalacin Mensajes asociados con las advertencias de desinstalacin
32
El requisito mnimo para completar este procedimiento es pertenecer al grupo Administradores de AD LDS o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para importar o exportar objetos de directorio mediante ldifde 1. Abra una ventana del smbolo del sistema. Para abrir el smbolo del sistema, haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. Efecte uno de los siguientes pasos:
Para importar objetos de directorio, escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
Copiar cdigo
Descripcin Especifica una utilidad que admite operaciones por lotes basadas en el estndar de archivos LDIF. Realiza una importacin. Realiza una exportacin. Especifica el archivo que se va a importar o exportar. Nombre del archivo que se va a importar o exportar. Especifica el nombre de host y el puerto de la instancia de AD LDS o de otro servicio de directorio. Nombre de host de la instancia de AD LDS o de otro servicio de directorio. Puerto de la instancia de AD LDS o de otro servicio de directorio. Pasa por alto (es decir, ni importa ni exporta) los atributos que slo son usados por AD DS. Puede usar este parmetro al exportar objetos de directorio de un bosque existente de AD DS e importarlos en AD LDS. Especifica las credenciales de la cuenta. Si no se indican, ldifde usar las credenciales del usuario que haya iniciado la sesin actual. Nombre del usuario de la cuenta que se va a usar para enlazar con el servicio de directorio
-a
<nombreDeUsuario>
33
especificado. <dominio> Nombre del dominio de la cuenta que se va a usar para enlazar con el servicio de directorio especificado. Contrasea de la cuenta que se va a usar para enlazar con el servicio de directorio especificado. Permite la importacin de contraseas con el cifrado de Nivel de seguridad y autenticacin simples (SASL). Reemplaza todas las apariciones de cadena1 por cadena2. Con AD LDS, puede usar las constantes #schemaNamingContext y #configurationNamingContext en lugar de los nombres distintivos de la particin de directorio de esquema y la particin de directorio de configuracin al reemplazar cadenas en los archivos .ldf.
<contrasea> -h
-c <Cadena1> <Cadena2>
Para ver la sintaxis completa de este comando, escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
ldifde /?
Inicio, detencin o reinicio de una instancia de AD LDS Uso de la herramienta de administracin Editor ADSI Uso de la herramienta de administracin Ldp.exe Uso del complemento Esquema como herramienta de administracin de AD LDS Uso del complemento Sitios y servicios de Active Directory como herramienta de administracin de AD LDS Creacin de un archivo LDIF con ADSchemaAnalyzer Sincronizacin con AD DS
34
Una instancia de AD LDS se ejecuta como un servicio. Por lo tanto, puede iniciar, detener y reiniciar una instancia de AD LDS de la misma manera que si fuera otro servicio que se ejecuta en Windows Server 2008. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para iniciar, detener o reiniciar una instancia de AD LDS con la interfaz de Windows 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. En el panel de detalles, en la lista Servicios del sistema, haga clic en la instancia de AD LDS que desea administrar. Haga clic en Iniciar, Detener o Reiniciar.
Nota De manera predeterminada, la instancia de AD LDS est configurada para iniciarse automticamente.
35
9.
Nota El puerto de comunicaciones predeterminado para LDAP es el 389. El puerto de comunicaciones predeterminado para SSL es el 636. 7. 8. En el men Conexin, haga clic en Enlazar. Efecte uno de los siguientes pasos:
Para enlazar mediante las credenciales con las que inici sesin, haga clic en Enlazar como usuario con sesin iniciada.
Para enlazar mediante una cuenta de usuario de dominio, haga clic en Enlazar con credenciales, escriba el nombre de usuario, la contrasea y el nombre de dominio (o el nombre del equipo, si est usando una cuenta de la estacin de trabajo local) de la cuenta que est usando y haga clic en Aceptar.
Para enlazar slo mediante un nombre de usuario y una contrasea, haga clic en Enlace simple, escriba el nombre de usuario y la contrasea de la cuenta que est usando y haga clic en Aceptar.
Para enlazar mediante un mtodo avanzado (NTLM, Autenticacin de contrasea distribuida (DPA), negociacin o autenticacin implcita), seleccione Opciones avanzadas (mtodo), haga clic en Opciones avanzadas, en Mtodo, seleccione el mtodo que desee, defina las dems opciones segn sea necesario y haga clic en Aceptar.
Para este ejercicio, haga clic en Enlazar como usuario con sesin iniciada. 9. Cuando haya terminado de especificar las opciones de enlace, haga clic en Aceptar.
36
10. En el men Ver, haga clic en rbol. 11. Expanda la lista desplegable DN base y haga clic en el nombre distintivo del objeto que se usar como objeto base en el panel de navegacin. Para este ejercicio, haga clic en O=Microsoft,c=US y despus en Aceptar. 12. En el rbol de consola, haga clic en cualquier contenedor para ver los objetos de ese contenedor. 13. Para cerrar Ldp.exe, en el men Conexin haga clic en Salir.
Nota Si el complemento Esquema est ya instalado en el equipo, omita los pasos 1 a 7 y comience el siguiente procedimiento con el paso 8. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para conectarse a una instancia de AD LDS con el complemento Esquema de Active Directory 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. Escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
regsvr32 schmmgmt.dll
3. 4. 5. Haga clic en Inicio, en Ejecutar, escriba mmc y, a continuacin, haga clic en Aceptar. En el men Archivo, haga clic en Agregar o quitar complemento. En Complementos disponibles, haga clic en Esquema de Active Directory, en Agregar y, a continuacin, en Aceptar. 6. 7. Para guardar esta consola, en el men Archivo, haga clic en Guardar. En el cuadro de dilogo Guardar como, realice una de las siguientes acciones:
Para colocar el complemento en el men Herramientas administrativas, escriba un nombre para el complemento en Nombre de archivo y haga clic en Guardar.
Para guardar el complemento en una ubicacin distinta de la carpeta Herramientas administrativas, en Guardar en, desplcese a la ubicacin donde desea guardar el complemento. En Nombre de archivo, escriba un nombre para el complemento y haga clic en Guardar.
8. 9.
Abra el complemento Esquema En el rbol de consola, haga clic con el botn secundario en Esquema de Active Directory y elija Cambiar el controlador de dominio de Active Directory.
10. En el cuadro de dilogo Cambiar servidor de directorio, haga clic en <Escriba aqu un nombre de servidor de directorio[:puerto]> y escriba el nombre DNS, el nombre NetBIOS o la direccin IP del equipo en el que se est ejecutando la instancia de AD LDS.
37
En este ejercicio, la instancia de AD LDS se ejecuta en el equipo local; por tanto, escriba localhost:389. 11. Haga clic en localhost:389 y, a continuacin, en Aceptar. 12. En el rbol de consola, haga clic en cualquier contenedor para ver los objetos de ese contenedor. Para obtener ms informacin sobre la administracin de objetos de esquema con el complemento Esquema, consulte la Ayuda en su servidor. Para mostrar la Ayuda, abra el complemento Esquema y presione F1.
Uso del complemento Sitios y servicios de Active Directory como herramienta de administracin de AD LDS
Use el complemento Sitios y servicios de Active Directory para conectarse a la instancia de AD LDS y administrar la replicacin de datos de directorio entre todos los sitios de un conjunto de configuracin de AD LDS. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para conectarse a una instancia de AD LDS con el complemento Sitios y servicios de Active Directory 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory. 2. En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y haga clic en Cambiar el controlador de dominio. 3. En el cuadro de dilogo Cambiar servidor de directorio, haga clic en <Escriba aqu un nombre de servidor de directorio[:puerto]> y escriba el nombre DNS, el nombre NetBIOS o la direccin IP del equipo en el que se est ejecutando la instancia de AD LDS. En este ejercicio, la instancia de AD LDS se ejecuta en el equipo local; por tanto, escriba localhost:389. 4. 5. Seleccione localhost:389 y haga clic en Aceptar. En el rbol de consola, haga clic en cualquier contenedor para ver los objetos de ese contenedor.
Nota Se requiere el archivo MS-ADLDS-DisplaySpecifiers.ldf para las operaciones con Sitios y servicios de Active Directory. Si planea conectarse a una instancia de AD LDS y administrarla con Sitios y servicios de Active Directory, importe este archivo .ldf con el Asistente para instalacin de Servicios de directorio ligero de Active Directory. Para obtener ms informacin, consulte el procedimiento "Para crear una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory" de Paso 2: practicar trabajando con instancias de AD LDS. Para obtener ms informacin acerca del complemento Sitios y servicios de Active Directory, consulte la Ayuda en su servidor. Para mostrar la Ayuda, abra el complemento Esquema y presione F1.
Importante Cuando use ADSchemaAnalyzer para crear un archivo LDIF, cargue tanto el esquema de destino como el esquema de base. De lo contrario, es posible que la herramienta ldifde no pueda usar el archivo LDIF resultante. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477.
38
Para crear un archivo LDIF con ADSchemaAnalyzer 1. Abra un smbolo del sistema y cambie el directorio a %windir%\ADAM. 2. Escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
adschemaanalyzer
3. Para cargar un esquema de destino, haga clic en Archivo, elija Cargar esquema de destino y realice una de las siguientes acciones:
Para cargar el esquema de Active Directory del dominio como esquema de destino, en el cuadro de dilogo escriba su nombre de usuario, contrasea y dominio, y haga clic en Aceptar.
Para cargar un esquema diferente (como el esquema de un bosque de AD DS u otro directorio compatible con LDAP), en el cuadro de dilogo escriba el nombre del servidor y el puerto del directorio que contiene el esquema de destino; escriba su nombre de usuario, contrasea y dominio segn sea preciso y haga clic en Aceptar.
4.
Para cargar el esquema de la instancia de AD LDS como esquema de base, haga clic en Archivo, elija Cargar esquema de base y, en Servidor[:puerto], escriba el nombre del servidor y el puerto de la instancia de AD LDS.
5. 6.
En el cuadro de dilogo, haga clic en Aceptar. En el rbol resultante marque todos los elementos que desee exportar al esquema de base. Para ello, haga clic con el botn secundario en el elemento y seleccione alguna de las siguientes opciones:
Automtico marca un elemento de forma automtica como incluido o excluido en la exportacin. Si un elemento est marcado como Automtico (incluido), haga clic con el botn secundario en ese elemento y elija Por qu se incluye automticamente? para ver el rbol de dependencias inversas del elemento.
Incluido marca un elemento para incluirlo en la exportacin. ADSchemaAnalyzer marca todos los elementos relacionados, como superclasses, auxClasses, must/may contains, defaultObjectCategory y possSuperiors. ADSchemaAnalyzer incluye propsets para atributos incluidos y vnculos hacia atrs para los vnculos.
Excluido marca un elemento para no incluirlo en la exportacin. Puede bloquear determinadas rutas de acceso en el grfico de dependencias. Por ejemplo, quiz desee importar domainDns, pero no samAccountDomain (que es un elemento auxClass de domainDns). Puede excluir un elemento completo, como la clase samAccountDomain, o excluir una relacin; por ejemplo, puede quitar la referencia de auxClass de la clase domainDns. Si excluye una relacin, otras clases que hagan referencia a ese elemento continuarn incluyndolo.
Presente significa que el elemento est presente en el servidor de destino. De forma predeterminada, la clase superior se marca como presente.
7.
Para crear el archivo LDIF, haga clic en Archivo y elija Crear archivo LDIF.
Sincronizacin con AD DS
La sincronizacin de datos de un bosque de AD DS con el conjunto de configuracin de una instancia de AD LDS requiere dos pasos:
39
Normalmente, el primer paso slo se realiza una vez. El segundo paso se realiza siempre que desee actualizar la instancia de AD LDS. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para preparar la instancia de AD LDS para su sincronizacin 1. Abra una ventana del smbolo del sistema. 2. Escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
cd %windir%\adam
3. Efecte uno de los siguientes pasos:
Para preparar la sincronizacin de una instancia de AD LDS con un bosque de Windows Server 2003, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
Copiar cdigo
40
Copiar cdigo
Copiar cdigo
notepad MS-AdamSyncConf.xml
6. En el Bloc de notas, efecte los siguientes cambios en el contenido del archivo de configuracin:
Sustituya el valor de <source-ad-name> por el nombre del controlador de dominio de AD DS de origen. Sustituya el valor de <source-ad-partition> por el nombre distintivo del dominio de origen. Sustituya el valor de <source-ad-account> por el nombre de una cuenta del grupo Admins. del dominio del dominio de origen.
7.
Reemplace el valor de <account-domain> por el nombre DNS completo del dominio de origen. Sustituya el valor de <target-dn> por el nombre de la particin de la instancia de AD LDS de destino. Sustituya el valor de <base-dn> por el nombre distintivo base del dominio de origen.
En el Bloc de notas, en el men Archivo, haga clic en Guardar como, escriba un nombre nuevo para el archivo, haga clic en Guardar y cierre el Bloc de notas.
8.
En el smbolo del sistema, escriba el siguiente comando, sustituyendo archivo_xml por el nombre del archivo del paso anterior, y presione ENTRAR:
Copiar cdigo
Copiar cdigo
Descripcin Muestra las opciones de la lnea de comandos. Instala la configuracin incluida en el archivo de entrada especificado.
41
Realiza una sincronizacin de replicacin completa para la configuracin especificada. Realiza una bsqueda para detectar registros obsoletos para la configuracin especificada. Una bsqueda para detectar registros obsoletos determina, tras buscar objetos de AD LDS en AD DS, si los objetos de AD LDS de una configuracin se eliminaron de AD DS. Realiza una sincronizacin de replicacin para el objeto especificado en la configuracin especificada. Utilice el nombre distintivo del objeto.
Debe poseer acceso de lectura o Dirsync a los objetos o particiones del bosque de AD DS que desee sincronizar. Nota Debe poseer control total de una particin del directorio de aplicaciones en una instancia de AD LDS para ejecutar este comando.
Creacin de una unidad organizativa Creacin de un grupo de AD LDS Creacin de un usuario de AD LDS Agregar o quitar miembros en un grupo de AD LDS Deshabilitar o habilitar cuentas de usuario de AD LDS
42
Para este ejercicio, conctese y enlcese a la particin de directorio de aplicacin o=Microsoft,c=US, como se explica en el procedimiento "Para administrar una instancia de AD LDS con el Editor ADSI" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 3. En el rbol de consola, haga doble clic en la particin de directorio o=Microsoft,c=US, haga clic con el botn secundario en el contenedor al que desea agregar la unidad organizativa, elija Nuevo y haga clic en Objeto. 4. 5. En Seleccione una clase, haga clic en organizationalUnit y, a continuacin, en Siguiente. En Valor, escriba un nombre para la nueva unidad organizativa y haga clic en Siguiente. Para este ejercicio, escriba AD LDS Users en el campo Valor. 6. Si desea establecer valores de otros atributos, haga clic en Ms atributos. Para este ejercicio, tan slo haga clic en Finalizar.
Nota De forma predeterminada, el atributo groupType se establece en 0x80000002 hexadecimal y representa un grupo de cuentas. Si desea cambiarlo, haga clic en Ms atributos. En Seleccionar propiedades para ver, elija Ambos (Obligatorio y Opcional). En el men desplegable Seleccionar una propiedad para ver, elija groupType y edtelo segn su diseo escribiendo el valor en el campo Editar atributo. 6. 7. Si desea establecer valores de otros atributos, haga clic en Ms atributos. Cuando haya establecido los atributos que desee para el nuevo grupo, haga clic en Finalizar.
43
Nota Si se crea un usuario de AD Para realizar correctamente un usuario de AD LDS" ms Users,O=Microsoft,C=US LDS con una contrasea en blanco, esta cuenta de usuario se deshabilitar automticamente. los dems ejercicios de esta gua, siga los pasos del procedimiento "Para deshabilitar o habilitar adelante para habilitar la cuenta de usuario CN=Mary North,OU=AD LDS que acaba de crear.
44
Para este ejercicio, conctese y enlcese a la particin de directorio de aplicacin o=Microsoft,c=US, como se explica en el procedimiento "Para administrar una instancia de AD LDS con el Editor ADSI" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 3. 4. En el rbol de consola, haga doble clic en la particin de directorio que contiene el grupo que desea modificar. Haga clic con el botn secundario en el grupo que desea modificar y, a continuacin, haga clic en Propiedades. Para este ejercicio, seleccione CN=AD LDS Testers. 5. 6. En Atributos, haga clic en miembro y, a continuacin, haga clic en Editar. En Nombre completo multivalor con editor de entidad de seguridad, para cada entidad de seguridad de AD LDS que desee agregar al grupo, haga clic en Agregar DN, escriba el nombre distintivo del nuevo miembro y, a continuacin, haga clic en Aceptar. Para este ejercicio, escriba CN=Mary North,OU=AD LDS Users,o=Microsoft,c=US. 7. En Nombre completo multivalor con editor de entidad de seguridad, para cada entidad de seguridad de Windows que desee agregar al grupo, haga clic en Agregar cuenta de Windows, escriba el nombre de cuenta del nuevo miembro y, a continuacin, haga clic en Aceptar. 8. En Nombre completo multivalor con editor de entidad de seguridad, para cada miembro que desee quitar del grupo, elija el miembro que desea quitar y haga clic en Quitar. 9. Tras realizar los cambios que desee en el grupo, haga clic en Aceptar dos veces.
Para deshabilitar al usuario de AD LDS, haga clic en Verdadero. Para habilitar al usuario de AD LDS, haga clic en Falso o en No establecido.
45
Particiones de directorio de configuracin Particiones de directorio de esquema Particiones del directorio de aplicaciones
Cada almacn de directorio de AD LDS debe contener una sola particin de directorio de configuracin y una sola particin de directorio de esquema. El almacn de directorio puede contener ninguna o varias particiones de directorio de aplicaciones. Las particiones de directorio de aplicaciones contienen los datos que usan las aplicaciones. Puede crear una particin de directorio de aplicaciones durante la instalacin de AD LDS o en cualquier otro momento despus de realizar la instalacin. Para obtener ms informacin sobre cmo crear una particin de directorio de aplicaciones durante la instalacin de AD LDS, consulte el procedimiento "Para crear una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory" de Paso 2: practicar trabajando con instancias de AD LDS. Las tareas manuales para administrar una particin de directorio de aplicacin son:
Creacin de una particin de directorio de aplicaciones Eliminacin de una particin de directorio de aplicaciones
46
Copiar cdigo
Added {cn=test,o=testpartition,c=us}.
7. 8. Haga clic en Cerrar. Para actualizar Ldp.exe y ver la nueva particin de directorio, debe desconectarse y enlazarse de nuevo a la instancia de AD LDS. En el men Conexin, haga clic en Desconectar. 9. Enlcese a la instancia de AD LDS como hizo previamente.
10. Para ver el rbol de directorios en Ldp.exe, en el men Ver, haga clic en rbol. 11. Para ver todas las particiones de directorio de la instancia de AD LDS, deje DN base en blanco y haga clic en Aceptar. 12. Para ver la nueva particin de directorio y sus contenedores y objetos predeterminados, en el rbol de consola, haga doble clic en CN=test,O=testpartition,C=US. Tambin puede crear particiones de directorio de aplicaciones de AD LDS ejecutando Dsmgmt.exe. Para obtener ms informacin acerca de Dsmgmt, consulte el tema sobre Dsmgmt en http://go.microsoft.com/fwlink/?LinkId=96303 (puede estar en ingls).
Precaucin No se puede deshacer la eliminacin de una particin despus de hacer clic en Aceptar. 6. Tras eliminar el objeto de referencia cruzada, aparece un resultado similar al siguiente en el panel de detalles:
Copiar cdigo
47
10. Para ver todas las particiones de directorio de la instancia de AD LDS, deje DN base en blanco y haga clic en Aceptar. CN=test,O=testpartition,C=US debe haber desaparecido del rbol de consola. Tambin puede quitar particiones de directorio de aplicaciones de AD LDS ejecutando Dsmgmt.exe. Para obtener ms informacin acerca de Dsmgmt, consulte el tema sobre Dsmgmt en http://go.microsoft.com/fwlink/?LinkId=96303 (puede estar en ingls).
Visualizacin de permisos
Puede ver el control de acceso en AD LDS objeto por objeto usando:
Dsacls LDP.exe
Visualizacin de permisos con la herramienta de lnea de comandos dsacls Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Lectores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para ver los permisos de un objeto de directorio con dsacls 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador.
48
2.
Para ver todos los permisos establecidos actualmente en el objeto de particin de directorio, en el smbolo del sistema escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
dsacls \\<nombreDeServidor>:<nmeroDePuerto>\<dn_objeto>
Descripcin Muestra o modifica los permisos de objetos de AD DS y AD LDS. Nombre del equipo en el que se ejecuta la instancia de AD LDS que contiene el objeto de directorio. Nmero del puerto de comunicaciones en el que se comunica la instancia de AD LDS. Nombre distintivo del objeto de directorio.
Para este ejercicio, escriba dsacls \\localhost:389\o=Microsoft,c=US y presione ENTRAR. Debe aparecer un resultado similar al siguiente en la pantalla:
Copiar cdigo
Access list: Effective Permissions on this object are: Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3CC3BEC88B335E} Replicating Directory Changes Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replication Synchronization Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Manage Replication Topology Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replicating Directory Changes All Permissions inherited to subobjects are: Inherited to all subobjects Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL The command completed successfully
Visualizacin de permisos con Ldp.exe Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Lectores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para ver los permisos de un objeto de directorio con LDP.exe 1. Abra Ldp.exe y, a continuacin, conctese y enlcese a una instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 2. En el panel de navegacin, haga clic con el botn secundario en el objeto de particin de directorio para el que desea ver los permisos, haga clic en Opciones avanzadas y elija Descriptor de seguridad.
49
El cuadro de dilogo Descriptor de seguridad muestra todas las entradas de control de acceso (ACE) y los derechos de acceso asignados para el objeto de particin de directorio seleccionado.
Concesin de permisos
Puede conceder control de acceso en AD LDS objeto por objeto usando:
Dsacls LDP.exe
Concesin de permisos con la herramienta de lnea de comandos dsacls Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Administradores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para conceder permisos sobre un objeto de directorio con dsacls 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. Escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
Descripcin Muestra o modifica los permisos de objetos de AD DS y AD LDS. Nombre del equipo en el que se ejecuta la instancia de AD LDS que contiene el objeto de directorio. Nmero del puerto de comunicaciones en el que se comunica la instancia de AD LDS. Nombre distintivo del objeto de directorio. Usuario o grupo al que se aplican los permisos. Permisos que se van a conceder. Indica que se van a conceder los permisos especificados a un usuario o grupo especificado.
Para este ejercicio, escriba lo siguiente y presione ENTRAR: dsacls "\\localhost:389\cn=AD LDS Testers,OU=AD LDS users,o=Microsoft,c=US" /G "CN=Mary North,OU=AD LDS users,o=Microsoft,c=US":SD Este comando concede al usuario Mary North el permiso Eliminar para el objeto CN=AD LDS Testers. Debe aparecer un resultado similar al siguiente en la pantalla:
Copiar cdigo
Access list: Effective Permissions on this object are: Allow CN=Mary North,OU=ADAM users,O=Microsoft,C=US SPECIAL ACCESS DELETE Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent>
50
READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL parent> The command completed successfully
Concesin de permisos con Ldp.exe Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Administradores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para conceder permisos sobre un objeto de directorio con LDP.exe 1. Abra Ldp.exe y, a continuacin, conctese y enlcese a una instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 2. Haga clic con el botn secundario en el objeto de particin de directorio para el que desea ver los permisos, haga clic en Opciones avanzadas y elija Descriptor de seguridad. El cuadro de dilogo Descriptor de seguridad muestra todas las entradas de control de acceso (ACE) y los derechos de acceso asignados para el objeto de particin de directorio seleccionado. 3. 4. Haga clic en cualquier parte de la lista de control de acceso discrecional (DACL) y elija Agregar ACE. En Elem. de confianza escriba el nombre distintivo del elemento de confianza (cuenta de usuario) al que va a conceder los permisos. 5. 6. 7. 8. 9. Para Tipo de ACE, seleccione Permitir. Para Mscara de acceso, seleccione los permisos correspondientes que desea conceder. Seleccione los marcadores de ACE pertinentes. Seleccione el tipo de objeto correspondiente. Seleccione el Tipo de objeto heredado correspondiente y haga clic en Aceptar.
parent> Permissions inherited to subobjects are: Inherited to all subobjects parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow
Denegacin de permisos
Puede denegar control de acceso en AD LDS objeto por objeto usando:
Dsacls LDP.exe
Denegacin de permisos con la herramienta de lnea de comandos dsacls Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Administradores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para denegar permisos sobre un objeto de directorio con dsacls 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. Escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
51
Copiar cdigo
Descripcin Muestra o modifica los permisos de objetos de AD DS y AD LDS. Nombre del equipo en el que se ejecuta la instancia de AD LDS que contiene el objeto de directorio. Nmero del puerto de comunicaciones en el que se comunica la instancia de AD LDS. Nombre distintivo del objeto de directorio. Usuario o grupo al que se aplican los permisos. Permisos que se van a denegar. Indica que se van a denegar los permisos especificados a un usuario o grupo especificado.
Para este ejercicio, escriba dsacls \\localhost:389\CN=AD LDS Testers,OU=AD LDS Users,o=microsoft,c=US /D domain\administrator:SDDCDT
Nota domain\administrator representa la cuenta con la que inici sesin. Este comando deniega los permisos Eliminar, Eliminar secundario y Eliminar rbol sobre el objeto CN=AD LDS Testers para el usuario de la sesin activa. Debe aparecer un resultado similar al siguiente en la pantalla:
Copiar cdigo
domain\account
SPECIAL ACCESS DELETE Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL parent> The command completed successfully
Denegacin de permisos con Ldp.exe Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Administradores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para denegar permisos sobre un objeto de directorio con LDP.exe 1. Abra Ldp.exe y, a continuacin, conctese y enlcese a una instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 2. Haga clic con el botn secundario en el objeto de particin de directorio para el que desea ver los permisos, haga clic en Opciones avanzadas y elija Descriptor de seguridad.
<Inherited from
parent> Permissions inherited to subobjects are: Inherited to all subobjects <Inherited from <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow
52
El cuadro de dilogo Descriptor de seguridad muestra todas las entradas ACE y los derechos de acceso asignados para el objeto de particin de directorio seleccionado. 3. 4. Haga clic en cualquier parte de la lista DACL y elija Agregar ACE. En Elem. de confianza escriba el nombre distintivo del elemento de confianza (cuenta de usuario) al que va a denegar los permisos. 5. 6. 7. 8. 9. Para Tipo de ACE, haga clic en Denegar. Para Mscara de acceso, seleccione los permisos correspondientes que desea denegar. Seleccione los marcadores de ACE pertinentes. Seleccione el tipo de objeto correspondiente. Seleccione el Tipo de objeto heredado correspondiente y haga clic en Aceptar.
Como entidad de seguridad de AD LDS (cuando la cuenta de usuario reside directamente en AD LDS) Como entidad de seguridad de Windows (cuando la cuenta de usuario reside en un equipo local o en un dominio de los Servicios de dominio de Active Directory AD DS
Establecimiento de una contrasea para una entidad de seguridad de AD LDS Enlace como una entidad de seguridad de AD LDS Enlace como una entidad de seguridad de Windows Enlace a travs de un objeto de proxy de AD LDS
53
Tambin puede establecer y modificar contraseas para entidades de seguridad de AD LDS a travs de una conexin SSL (Capa de sockets seguros). Para obtener ms informacin acerca de la configuracin de LDAP por medio de SSL, consulte Apndice A: configuracin de LDAP por medio de SSL; requisitos para AD LDS. Establecimiento o modificacin de una contrasea para una entidad de seguridad de AD LDS con el complemento Editor ADSI El usuario de AD LDS para el que establece o modifica una contrasea debe usar la nueva contrasea la prxima vez que inicie sesin. Para completar estos procedimientos, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para establecer o modificar la contrasea de un usuario de AD LDS con el Editor ADSI 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. Conctese y enlcese a la particin de directorio que contiene el usuario de AD LDS para el que desea establecer o modificar la contrasea. Para este ejercicio, conctese y enlcese a la particin de directorio de aplicacin o=Microsoft,c=US, como se explica en el procedimiento "Para administrar una instancia de AD LDS con el Editor ADSI" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 3. Busque el objeto de directorio que representa al usuario de AD LDS y haga clic con el botn secundario en el objeto de directorio. Para este ejercicio, haga clic con el botn secundario en la cuenta de usuario CN=Mary North, que cre en el procedimiento "Para crear un usuario de AD LDS" de Paso 4: practicar la administracin de unidades organizativas, grupos y usuarios de AD LDS. 4. Haga clic en Restablecer contrasea y, a continuacin, escriba una contrasea para el usuario en Nueva contrasea y en Confirmar la contrasea. Establecimiento de una contrasea para una entidad de seguridad de AD LDS a travs de una conexin cifrada sin SSL con Ldp.exe El usuario de AD LDS para el que establece o modifica la contrasea debe usar la nueva contrasea la prxima vez que inicie sesin. Para completar estos procedimientos, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para establecer o modificar la contrasea de un usuario de AD LDS mediante Ldp.exe en una conexin cifrada sin SSL 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. 5. 6. En el panel de detalles, en Herramientas avanzadas, haga clic en Ldp.exe. En el men Opciones, haga clic en Opciones de conexin. En Nombre de opcin, haga clic en LDAP_OPT_SIGN, escriba 1 en Valor y haga clic en Establecer. En Nombre de opcin, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Valor, haga clic en Establecer y despus en Cerrar.
54
7.
Conctese y enlcese a la instancia de AD LDS que contiene el usuario de AD LDS para el que desea establecer o modificar la contrasea. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS.
8. 9.
En el men Ver, haga clic en rbol, deje DN base en blanco y haga clic en Aceptar. Busque la particin de directorio que contiene el usuario de AD LDS para el que desea establecer una contrasea. Para este ejercicio, seleccione la cuenta de usuario CN=Mary North que cre en el procedimiento "Para crear un usuario de AD LDS" en Paso 4: practicar la administracin de unidades organizativas, grupos y usuarios de AD LDS.
10. Haga clic con el botn secundario en el usuario de AD LDS y, a continuacin, haga clic en Modificar. 11. En Atributo, escriba userpassword y, a continuacin, en Valor, escriba la contrasea para la cuenta. 12. Haga clic en Entrar y, a continuacin, en Ejecutar. El panel de detalles muestra un mensaje similar al siguiente:
Copiar cdigo
Copiar cdigo
res = ldap_simple_bind_s(ld, 'CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US', <unavailable>0; // v.3 Authenticated as: 'CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US'.
Nota
55
De forma predeterminada, a los nuevos usuarios de AD LDS (como Mary North) se les concede acceso de lectura al contenedor de nivel superior de una particin de directorio determinada, permiso que heredan todos los objetos de la particin.
Nota Este paso es necesario porque, de forma predeterminada, las entidades de seguridad de Windows que no tienen acceso a los datos de directorio no se pueden enlazar a una instancia de AD LDS con el Editor ADSI. 2. 3. 4. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. En el men Accin, haga clic en Conectar a. Aparecer el cuadro de dilogo Configuracin de la conexin. En Seleccione o escriba un dominio o servidor: (Servidor | Dominio [:puerto]), escriba el nombre DNS (Sistema de nombres de dominio), el nombre NETBIOS o la direccin IP del equipo en el que se est ejecutando la instancia de AD LDS, seguido de dos puntos (:) y el puerto de comunicaciones LDAP que usa la instancia de AD LDS a la que desea conectarse. En este ejercicio, AD LDS se ejecuta en el equipo local; por tanto, puede escribir localhost:389. 5. En Punto de conexin, haga clic en Seleccione o escriba un nombre distintivo o un contexto de nomenclatura y escriba o=Microsoft,c=US. 6. 7. Haga clic en Opciones avanzadas y elija Especificar credenciales. En Conectar usando estas credenciales, escriba el dominio, el nombre de usuario y la contrasea de la entidad de seguridad de Windows y haga clic en Aceptar. 8. En el rbol de consola del complemento Editor ADSI, haga doble clic en AD LDS Demo y despus en O=Microsoft,c=US. El Editor ADSI muestra ahora la particin del directorio de aplicacin. 9. En el rbol de consola, haga clic en cualquier contenedor para ver los objetos de ese contenedor.
Importante
56
La redireccin de enlaces permite a un usuario enlazarse a AD LDS por medio de un enlace simple mientras contina usando las credenciales de AD DS. A diferencia de los enlaces simples, los otros tipos de enlace con credenciales de AD DS funcionan sin necesidad de un proxy. El enlace mediante proxy funciona slo para un enlace simple. Los archivos .ldf de AD LDS, que puede importar en el esquema de AD LDS durante la instalacin de AD LDS, contienen una definicin de objeto para el objeto userProxy, que puede usar para la redireccin de enlaces. Este objeto contiene atributos que incluyen un nombre distintivo y un SID. Con la creacin de un objeto userProxy en AD LDS (especificando un nombre distintivo que se usar para el enlace) y el uso de un SID vlido de una cuenta de usuario de AD DS, puede enlazarse a AD LDS con la redireccin de enlaces. Para los siguientes ejercicios, se asume que ya ha importado las clases de usuario opcionales en el esquema AD LDS como se explica en el procedimiento "Para crear una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory" de Paso 2: practicar trabajando con instancias de AD LDS. Las tareas para enlazarse a una instancia de AD LDS a travs de un objeto de proxy son las siguientes:
Configuracin de los requisitos de SSL Creacin de un objeto de proxy de AD LDS Enlace a travs del objeto de proxy Prueba del enlace a travs del objeto de proxy
Configuracin de los requisitos de SSL De forma predeterminada, el enlace a AD LDS con redireccin de enlaces requiere una conexin SSL. SSL requiere la instalacin y el uso de certificados en el equipo que ejecuta AD LDS. Para obtener ms informacin acerca de la configuracin de LDAP por medio de SSL, consulte Apndice A: configuracin de LDAP por medio de SSL; requisitos para AD LDS. Para los siguientes ejercicios, tambin puede deshabilitar el requisito de SSL en el entorno de pruebas de AD LDS, como se explica en el procedimiento siguiente.
Nota Deshabilitar el requisito de SSL para la redireccin de enlaces da lugar a que se pase una contrasea de una entidad de seguridad de Windows al equipo que ejecuta AD LDS, sin cifrarla primero. Por tanto, slo debe deshabilitar el requisito de SSL en un entorno de pruebas. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para deshabilitar el requisito de SSL para la redireccin de enlaces 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. 3. 4. En el men Accin, haga clic en Conectar a. En Seleccione o escriba un dominio o servidor: (Servidor | Dominio[:puerto], escriba localhost:389. En Punto de conexin, haga clic en Seleccione un contexto de nomenclatura conocido, elija Configuracin y haga clic en Aceptar. 5. En el rbol de consola, busque el siguiente objeto de contenedor en la particin de configuracin: CN=Directory Service,CN=Windows NT,CN=Services. 6. 7. 8. 9. Haga clic con el botn secundario en CN=Directory Service y elija Propiedades. En Atributos, haga clic en msDS-Other-Settings y elija Editar. En Valores, haga clic en RequireSecureProxyBind=1 y elija Quitar. En Valor para agregar, escriba RequireSecureProxyBind=0, haga clic en Agregar y despus en Aceptar.
57
Creacin de un objeto de proxy de AD LDS Ya est listo para crear un objeto de proxy de AD LDS para el usuario de AD DS. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para crear un objeto de proxy de AD LDS 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. En el panel de detalles, en Herramientas avanzadas, haga clic en Ldp.exe. Conctese y enlcese a la instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 5. 6. En el men Examinar de Ldp, haga clic en Agregar secundario. En Dn, escriba cn=testproxy,o=microsoft,c=us como nombre distintivo del nuevo objeto userProxy que se va a crear en el contenedor O=Microsoft,C=US. 7. En Editar entrada, escriba lo siguiente y haga clic en Entrar:
8.
En Atributo, escriba objectSID. En Valores, escriba el SID vlido de un usuario de AD DS. Para recuperar el SID de un usuario de AD DS, escriba lo siguiente (como un comando sencillo) en un smbolo del sistema:
Copiar cdigo
Importante El usuario de AD DS para el que va a crear el objeto de proxy no debe ser miembro de ningn grupo de AD LDS. No se pueden crear objetos de proxy para entidades de seguridad de Windows que pertenecen a grupos de AD LDS. Sin embargo, despus de haber creado el objeto de proxy para un usuario de AD DS, se puede agregar dicho usuario a cualquier grupo de AD LDS. 9. Asegrese de que est activada la casilla Sincrnico.
58
10. Haga clic en Ejecutar. Esto agrega el objeto userProxy, con los atributos que ha especificado, al almacn de directorio de AD LDS. El panel de detalles muestra un mensaje similar al siguiente:
Copiar cdigo
Added {cn=testproxy,o=microsoft,c=us}.
11. Para desconectarse de la instancia de AD LDS, en el men Conexin haga clic en Desconectar. Enlace a travs del objeto de proxy Ahora puede enlazarse a la instancia de AD LDS usando el objeto de proxy de AD LDS y la redireccin de enlaces. Para enlazarse como un objeto de proxy de AD LDS a travs de la redireccin de enlaces 1. En el men Conexin, haga clic en Conectar y conctese a la instancia local de AD LDS en una nueva conexin (localhost:389). 2. 3. 4. En el men Opciones, haga clic en Opciones de conexin. En Nombre de opcin, haga clic en LDAP_OPT_SIGN, escriba 1 en Valor y haga clic en Establecer. En Nombre de opcin, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Valor, haga clic en Establecer y despus en Cerrar. 5. 6. 7. Para enlazarse a la instancia de AD LDS, en el men Conexin haga clic en Enlazar. En Tipo de enlace, haga clic en Enlace simple. En Usuario, escriba cn=testproxy,o=Microsoft,c=us. Esto representa el objeto de proxy que cre en el procedimiento anterior. 8. En Contrasea, escriba la contrasea asociada con el usuario de AD DS para el que cre el objeto de proxy y haga clic en Aceptar. El panel de detalles muestra un mensaje similar al siguiente:
Copiar cdigo
59
3.
Intente leer cualquier objeto de la particin de directorio O=Microsoft,C=US. Su intento debera dar un error, ya que el usuario de AD DS no tiene acceso a la particin de forma predeterminada.
4.
Use Ldp.exe para enlazarse a la instancia de AD LDS a travs del objeto de proxy que ha creado, como se explica en el procedimiento anterior.
5.
Intente leer cualquier objeto de la particin de directorio O=Microsoft,C=US. Esta vez, su intento s debera ser satisfactorio. El enlace a la instancia AD LDS a travs del objeto de proxy debe permitirle leer la particin correctamente porque los usuarios que se enlazan a una instancia de AD LDS a travs de un objeto de proxy obtienen de forma automtica la pertenencia al grupo Usuarios y agreg este grupo al grupo Lectores en el paso 1 de este procedimiento.
60
4.
En la pgina Nombre de instancia, acepte el nombre predeterminado instance2 (o instance1, si est instalando AD LDS en un segundo equipo) y haga clic en Siguiente.
Nota Los nombres de instancia de AD LDS deben ser nicos en un equipo determinado. 5. En la pgina Puertos, acepte los valores predeterminados 50000 y 50001 (si est realizando la instalacin en el primer equipo) o 389 y 636 (si est realizando la instalacin en un segundo equipo) y haga clic en Siguiente. 6. En la pgina Unirse a un conjunto de configuracin, en Servidor escriba el nombre de host o DNS del equipo donde est instalada la primera instancia de AD LDS. A continuacin, escriba el nmero de puerto LDAP que usa la primera instancia de AD LDS (que es 389 de forma predeterminada) y haga clic en Siguiente.
Nota Debe usar un nombre de host o DNS vlido en lugar de una direccin IP o localhost cuando especifique un servidor en la pgina Unirse a un conjunto de configuracin del Asistente para instalacin de Servicios de directorio ligero de Active Directory. 7. En la pgina Credenciales administrativas para el conjunto de configuracin, haga clic en la cuenta que se usa como administrador de AD LDS para la primera instancia de AD LDS. 8. En la pgina Copiar particin de aplicacin, seleccione las particiones de directorio de aplicacin que desea replicar en la nueva instancia de AD LDS. Las particiones de esquema y configuracin se replicarn de forma automtica. Para seleccionar la particin de directorio O=Microsoft,C=US para replicacin, en Particiones disponibles, elija O=Microsoft,C=US y haga clic en Siguiente. 9. Acepte los valores predeterminados de las dems pginas del Asistente para instalacin de Servicios de directorio ligero de Active Directory haciendo clic en Siguiente en cada pgina, y haga clic en Finalizar en la pgina Finalizacin del Asistente para instalacin de Servicios de directorio ligero de Active Directory. 10. Una vez finalizada la instalacin, use el Editor ADSI para confirmar que la particin de directorio O=Microsoft,C=US se ha replicado en la segunda instancia de AD LDS.
61
Para este ejercicio, acepte el valor predeterminado 389. 6. En Punto de conexin, haga clic en Seleccione un contexto de nomenclatura conocido y haga clic en Configuracin.
Nota Puesto que todas sus instancias de AD LDS pertenecen al mismo conjunto de configuracin, puede programar la replicacin en cualquiera de ellas. 7. En el rbol de consola, haga doble clic en la particin de configuracin CN=Configuration,CN={GUID}, donde GUID es el identificador nico asignado durante la instalacin de AD LDS. Haga doble clic en el contenedor de sitios CN=Sites y despus en el contenedor de sitios predeterminado CN=Default-First-Site-Name.
Nota De forma predeterminada, todas las instancias de AD LDS que se crean pertenecen a un solo sitio, Default-First-Site-Name. En este ejercicio, todas sus instancias de AD LDS pertenecen a un solo sitio. Por tanto, va a programar una replicacin dentro de un sitio, lo que se denomina replicacin dentro del sitio. Para obtener ms informacin, consulte la gua paso a paso para la configuracin de la replicacin de los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=96086 (puede estar en ingls). 8. En el panel de detalles, haga clic con el botn secundario en CN=NTDS Site Settings y, a continuacin, haga clic en Programacin. 9. En el cuadro de dilogo Programacin, seleccione el bloque de tiempo que desea programar; haga clic en Ninguno, Una vez por hora, Dos veces por hora o Cuatro veces por hora como frecuencia de replicacin y haga clic en Aceptar.
Nota Para la replicacin dentro del sitio, las instancias de AD LDS replican los cambios a travs de notificaciones de actualizacin. La programacin de la frecuencia de replicacin afecta a la replicacin dentro del sitio slo cuando no se producen notificaciones de actualizacin en el tiempo especificado. Nota La programacin de la replicacin es opcional. De forma predeterminada, la programacin de la replicacin de AD LDS se establece en la opcin Una vez por hora.
62
Los pasos generales para configurar LDAP por medio de SSL (LDAPS) en un servidor AD LDS independiente son los siguientes:
Paso 1: instalar un certificado de autenticacin de servidor Paso 2: configurar permisos para el certificado de autenticacin de servidor Paso 3: conectarse a la instancia de AD LDS por medio de SSL con Ldp.exe
Paso 1: instalar un certificado de autenticacin de servidor Tras obtener el certificado de una entidad de certificacin de confianza, debe instalarlo o importarlo en el servidor que ejecuta AD LDS. Puede usar el complemento Certificadosde Windows Server 2008 para instalar o importar los certificados. Para obtener ms informacin, consulte el tema de procedimientos de certificados en http://go.microsoft.com/fwlink/?LinkId=99765 (puede estar en ingls). Cuando se instala o se importa un certificado de una entidad de certificacin de confianza en el equipo que ejecuta AD LDS, se recomienda almacenar el certificado en el almacn personal del servicio AD LDS. Sin embargo, si desea usar el certificado para aplicaciones que no sean AD LDS, debe almacenar este certificado en el almacn de certificados personales del equipo local.
Importante El certificado que instale o importe debe marcarse para autenticacin de servidor. Cuando solicite el certificado, especifique el nombre de dominio completo (FQDN) del equipo en el que se ejecuta la instancia de AD LDS como nombre identificativo para el certificado. En otras palabras, el certificado de autenticacin de servidor debe emitirse al FQDN del equipo en el que se ejecuta la instancia de AD LDS.
Nota Para identificar los requisitos de nombre de los certificados de autenticacin de servidor para instancias de AD LDS con equilibrio de carga de red (NLB), consulte "Configuracin de LDAP por medio de SSL para instancias de AD LDS con equilibrio de carga de red" ms adelante en esta gua. Para comprobar que el certificado se almacena en el almacn personal de la instancia de AD LDS 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. 3. Escriba mmc para abrir Microsoft Management Console (MMC). Haga clic en Archivo y despus en Agregar o quitar complemento, seleccione el complemento Certificados en Complementos disponibles y haga clic en Agregar. 4. En Agregar o quitar complementos, seleccione Cuenta de servicio para ver los certificados que hay almacenados en el almacn personal de la instancia de AD LDS y haga clic en Siguiente. 5. 6. En Agregar o quitar complementos, seleccione Equipo local y haga clic en Siguiente. En Cuenta de servicio, seleccione el nombre de la instancia de AD LDS a la que desea conectarse por medio de LDAPS y haga clic en Finalizar. 7. 8. En el cuadro de dilogo Agregar o quitar complementos, haga clic en Aceptar. En el rbol de consola, expanda Certificados: servicio, expanda nombre_instancia_ADAM\Personal y Certificados. 9. Busque el certificado instalado o importado. En el panel de detalles, compruebe que el certificado est marcado para Autenticacin del servidor en la columna Propsitos planteados. En el panel de detalles, compruebe que aparece el nombre de host completo del equipo en la columna Emitido para. Para obtener ms informacin acerca de la instalacin de certificados de autenticacin de servidor de una entidad de certificacin de Microsoft o de terceros, consulte el tema sobre cmo habilitar LDAP por medio de SSL con una entidad de certificacin de terceros en http://go.microsoft.com/fwlink/?LinkID=15129 (puede estar en ingls). Paso 2: configurar permisos para el certificado de autenticacin de servidor
63
Antes de usar el certificado de autenticacin de servidor con AD LDS, debe asegurarse de que la cuenta de servicio con la que se est ejecutando la instancia de AD LDS tiene acceso de lectura al certificado que instal o import.
Nota De forma predeterminada, las instancias de AD LDS se instalan para ejecutarse con la cuenta del servicio de red. Puede seleccionar (modificar) la cuenta de servicio con la que se instala la instancia de AD LDS en la pgina Seleccin de cuentas de servicio del Asistente para instalacin de Servicios de directorio ligero de Active Directory. Para conceder el permiso de lectura para el certificado de autenticacin de servidor a la cuenta del servicio de red 1. Vaya al siguiente directorio predeterminado donde se almacenan los certificados instalados o importados: C:\Usuarios\Administrador\AppData\Roaming\Microsoft\Crypto\RSA\ 2. Haga clic con el botn secundario en el certificado de autenticacin de servidor correspondiente y seleccione Propiedades. 3. 4. 5. En la ficha Seguridad, haga clic en Editar. En el cuadro de dilogo Permisos, haga clic en Agregar. En el cuadro de dilogo Seleccionar usuarios, equipos o grupos, escriba Servicio de red y haga clic en Aceptar.
Paso 3: conectarse a la instancia de AD LDS por medio de LDAPS con Ldp.exe Para probar el certificado de autenticacin de servidor, abra Ldp.exe en el equipo que ejecuta la instancia de AD LDS y conctese a esta instancia de AD LDS que tiene la opcin SSL habilitada. Para conectarse a la instancia de AD LDS por medio de LDAPS con Ldp.exe 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. 5. En el panel de detalles, en Herramientas avanzadas, haga clic en Ldp.exe. En el men Conexin, haga clic en Conectar. En Servidor, escriba el FQDN del equipo que ejecuta la instancia de AD LDS.
Nota Para evitar errores al usar Ldp.exe para conectarse a una instancia de AD LDS por medio de SSL, debe especificar el FQDN del equipo donde se ejecuta la instancia de AD LDS. 6. En Puerto, escriba el nmero de puerto de comunicaciones SSL que usa la instancia de AD LDS a la que desea conectarse. 7. Compruebe que la casilla SSL est activada y haga clic en Aceptar.
Importante Tambin puede usar este procedimiento para conectarse a la instancia de AD LDS por medio de LDAPS desde un equipo cliente. En este escenario, el cliente debe confiar en el certificado de autenticacin de servidor instalado en el servidor que ejecuta la instancia de AD LDS. Para obtener esta confianza, agregue el certificado raz de la misma entidad de certificacin de confianza que emiti el certificado de autenticacin de servidor de AD LDS al almacn Entidades emisoras raz de confianza del equipo cliente.
Configuracin de LDAP por medio de SSL para instancias de AD LDS con equilibrio de carga de red
AD LDS admite equilibrio de carga de red (NLB) con LDAPS cuando AD LDS se ejecuta en Windows Server 2008. Use los procedimientos anteriores para habilitar LDAPS para AD LDS con NLB. Sin embargo, los certificados de autenticacin de servidor deben cumplir los siguientes requisitos:
64
Para que AD LDS pueda seleccionar el certificado correcto para entregarlo a los clientes, el certificado debe estar en el almacn personal del servicio AD LDS (conocido en programacin como almacn de certificados MY del equipo) y no debe haber otros certificados almacenados en este almacn personal del servicio AD LDS.
Cuando solicite un certificado de autenticacin de servidor para instancias de AD LDS que se ejecutan con NBL, compruebe que el certificado se emite para (es decir, que el nombre que identifica el certificado es de) los nombres de host comunes (compartidos) y los sufijos DNS que constituyen los FQDN de todos los servidores en los que se ejecutan las instancias de AD LDS con NBL. Por ejemplo, cuando solicite un certificado de autenticacin de servidor para instancias de AD LDS que se ejecuten con NLB en dos servidores con los FQDN 01ADLDS.contoso.com y 02ADLDS.contoso.com, compruebe que el certificado se emite para *ADLDS.contoso.com. O, por ejemplo, si solicita un certificado de autenticacin de servidor para instancias de AD LDS que se ejecutan con NLB en tres servidores con los FQDN ADLDS01.contoso.com, ADLDS02.contoso.com y ADLDS03.contoso.com, compruebe que el certificado se emite para *.contoso.com.
65