Guía Paso A Paso para La Replicación de Los Servicios de Directorio Ligero de Active Directory - ADLDS

Gua paso a paso para la replicacin de los Servicios de directorio ligero de Active Directory
Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Los Servicios de directorio ligero de Active Directory (AD LDS), antes conocidos como Active Directory Application Mode (ADAM), son un servicio de directorio de protocolo de acceso de directorio ligero (LDAP) que proporcionan funcionalidad de almacenamiento y recuperacin de datos para aplicaciones habilitadas para el uso de directorios, sin las dependencias que requieren los Servicios de dominio de Active Directory (AD DS). Es posible ejecutar varias instancias de AD LDS de forma simultnea en un nico equipo, siempre que haya un esquema administrado de forma independiente para cada instancia de AD LDS. Para obtener ms informacin acerca de AD LDS, consulte el tema de introduccin a Servicios de directorio ligero de Active Directory que encontrar en http://go.microsoft.com/fwlink/?LinkId=96084 (puede estar en ingls).
Acerca de esta gua

Esta gua describe los procesos de configuracin de la replicacin de datos entre instancias de AD LDS basndose en su pertenencia a un conjunto de configuracin. Use los procedimientos de esta gua para configurar la replicacin de AD LDS en servidores que ejecutan el sistema operativo Windows Server 2008 en un pequeo entorno de pruebas. Conforme complete los pasos de esta gua, podr:

Nota
Crear instancias de rplica de AD LDS. Administrar objetos de sitio. Administrar objetos de vnculo a sitios.
Para maximizar las posibilidades de completar los objetivos de esta gua correctamente, es importante que siga los pasos de la gua en el orden en que se presentan.
Qu no proporciona esta gua

Esta gua no proporciona informacin de seguridad de replicacin:
Para obtener informacin general sobre cmo garantizar la seguridad de la replicacin en ADAM o AD LDS, consulte la seccin que trata este tema en el artculo sobre replicacin y conjuntos de configuracin de ADAM en http://go.microsoft.com/fwlink/?LinkId=98673 (puede estar en ingls).
Para obtener ms informacin acerca de los requisitos de replicacin de ADAM o AD LDS para cuentas de servicio, consulte el tema sobre cmo seleccionar una cuenta de servicio de ADAM en http://go.microsoft.com/fwlink/?LinkId=98674 (puede estar en ingls).
Para obtener ms informacin acerca de los nombres principales de servicio (SPN) de ADAM o AD LDS y la seguridad de la replicacin, consulte el tema sobre cmo administrar los nombres principales de servicio de ADAM en http://go.microsoft.com/fwlink/?LinkId=98675 (puede estar en ingls).
Para obtener instrucciones para la configuracin del nivel de seguridad de la replicacin, consulte el tema sobre cmo modificar el nivel de seguridad de la replicacin de un conjunto de configuracin en http://go.microsoft.com/fwlink/?LinkId=98676 (puede estar en ingls).
Esta gua no proporciona informacin acerca de la herramienta de la lnea de comandos Repadmin. Para obtener instrucciones e informacin de Repadmin, consulte el tema sobre Repadmin en http://go.microsoft.com/fwlink/?LinkId=98687 (puede estar en ingls).
Introduccin a la replicacin y los conjuntos de configuracin

AD LDS usa la replicacin para proporcionar tolerancia a errores y equilibrio de carga para los servicios de directorio. Mediante la replicacin, AD LDS copia las actualizaciones de los datos de los directorios que se realizan en una particin de directorio de una
instancia de AD LDS a otras instancias de AD LDS que contienen copias de la misma particin de directorio. Las instancias de AD LDS que contienen copias de la misma particin o particiones de directorio forman una agrupacin lgica llamada conjunto de configuracin. AD LDS usa un tipo de replicacin denominado replicacin con varios maestros, que slo quiere decir que puede realizar cambios en los datos de directorio de cualquier instancia de AD LDS. AD LDS replica automticamente esos cambios en los dems miembros del conjunto de configuracin. Las instancias de AD LDS replican los datos basndose en la pertenencia a un conjunto de configuracin. Todas las instancias de AD LDS que se hayan unido al mismo conjunto de configuracin deben replicar una particin de directorio de configuracin y una particin de directorio de esquema comunes. Las instancias de AD LDS de un conjunto de configuracin tambin pueden replicar un nmero cualquiera de particiones del directorio de aplicaciones. No es obligatorio que las instancias de AD LDS de un conjunto de configuracin repliquen todas las particiones del directorio de aplicaciones del conjunto de configuracin. Una nica instancia de AD LDS puede replicar todas las particiones del directorio de aplicaciones de su conjunto de configuracin (o cualquier subconjunto de ellas). No obstante, no puede replicar una particin del directorio de aplicaciones de un conjunto de configuracin diferente.
Introduccin a la replicacin y los sitios

En AD LDS, la topologa de replicacin es el conjunto de conexiones fsicas que se usa para replicar actualizaciones de directorio entre instancias de AD LDS en un conjunto de configuracin. Puede crear objetos de sitio y objetos de vnculo a sitios en la particin de directorio de configuracin de AD LDS para representar la estructura fsica de la red. A continuacin, AD LDS crea la topologa de replicacin ms eficiente para un conjunto de configuracin en funcin de los sitios donde residen los miembros del conjunto de configuracin. En AD LDS, la replicacin dentro de un sitio se trata de forma diferente a la replicacin entre sitios. La replicacin dentro de un sitio tiene lugar de forma automtica y no requiere ms configuracin que la creacin de los conjuntos de configuracin. Sin embargo, puede configurar, si lo desea, la frecuencia de replicacin dentro del sitio. Para la replicacin entre sitios, debe definir objetos de vnculo a sitios, en los que podr configurar despus la programacin, la frecuencia y la disponibilidad de replicacin.
Requisitos
Antes de comenzar a usar los procedimientos de esta gua, realice lo siguiente respecto a los requisitos del sistema:
Debe tener disponible al menos un equipo de prueba en el que pueda instalar AD LDS. Para realizar los ejercicios de esta gua, instale AD LDS en equipos que ejecuten Windows Server 2008.
Tambin debe instalar primero la funcin de servidor AD LDS en los equipos de prueba y crear al menos una instancia de AD LDS en ejecucin. Para obtener ms informacin e instrucciones para instalar la funcin de servidor AD LDS y crear nuevas instancias de AD LDS, consulte el paso 1 sobre la instalacin de la funcin de servidor AD LDS y el paso 2 sobre la prctica del trabajo con instancias de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls).
Inicie sesin en Windows Server 2008 con una cuenta de administrador. Para esta gua, puede instalar instancias de AD LDS de rplica en el primer equipo de prueba o en un segundo equipo, si tiene alguno disponible.
Pasos para configurar la replicacin de AD LDS

Las secciones siguientes proporcionan instrucciones paso a paso para configurar la replicacin de datos entre instancias de AD LDS. Estas secciones proporcionan mtodos de interfaz grfica de usuario (GUI) y de la lnea de comandos para crear copias de seguridad y restaurar AD LDS, donde proceda.
Paso 1: practicar la administracin de instancias de AD LDS de rplica Paso 2: practicar la administracin de objetos de sitio Paso 3: practicar la administracin de objetos de vnculo a sitios
Paso 1: practicar la administracin de instancias de AD LDS de rplica

Actualizado: agosto de 2007 Se aplica a: Windows Server 2008
En los siguientes ejercicios, crear dos instancias de los Servicios de directorio ligero de Active Directory (AD LDS) de rplica. Crear la primera instancia de rplica mediante el Asistente para instalacin de Servicios de directorio ligero de Active Directory. Instalar la segunda instancia de rplica mediante una instalacin desatendida. Importante Para ejecutar estos ejercicios, debe instalar primero la funcin de servidor AD LDS en los equipos de prueba y crear al menos una instancia de AD LDS en ejecucin. Para obtener ms informacin e instrucciones para instalar la funcin de servidor AD LDS y crear una nueva instancia de AD LDS, consulte el paso 1 sobre la instalacin de la funcin de servidor AD LDS y el paso 2 sobre la prctica del trabajo con instancias de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls).
Creacin de una instancia de AD LDS de rplica. Instalacin de una instancia de AD LDS de rplica desde un medio.
Creacin de una instancia de AD LDS de rplica

Use el Asistente para instalacin de Servicios de directorio ligero de Active Directory para crear instancias de servicio de AD LDS. En AD LDS, una instancia de servicio (o, simplemente, instancia) hace referencia a una copia individual en ejecucin de AD LDS. Para ofrecer tolerancia a errores y equilibrio de carga, las instancias de AD LDS pueden formar parte de un conjunto de configuracin. Todas las instancias de AD LDS de un conjunto de configuracin replican una particin de directorio de configuracin y una particin de directorio de esquema comunes, adems de un nmero cualquiera de particiones del directorio de aplicaciones. Para crear una instancia de AD LDS y unirla a un conjunto de configuracin existente, use el Asistente para instalacin de Servicios de directorio ligero de Active Directory con el fin de crear una instancia de AD LDS de rplica. Debe conocer el nombre Sistema de nombres de dominio (DNS) del servidor que ejecuta una instancia de AD LDS que pertenece al conjunto de configuracin, as como el puerto del protocolo ligero de acceso a directorios (LDAP) especificado al crear la instancia. Adems puede suministrar los nombres distintivos (conocidos tambin como DN) de las particiones del directorio de aplicaciones especficas que desea copiar desde el conjunto de configuracin a la instancia de AD LDS que est creando. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para crear una instancia de AD LDS de rplica usando el Asistente para instalacin de Servicios de directorio ligero de Active Directory. 1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Asistente para instalacin de Servicios de directorio ligero de Active Directory. 2. En la pgina Asistente para instalacin de Servicios de directorio ligero de Active Directory , haga clic en Siguiente. 3. En la pgina Opciones de instalacin, haga clic en Una rplica de una instancia existente y, a continuacin, haga clic en Siguiente. 4. En la pgina Nombre de instancia, acepte el nombre predeterminado instance2 (o instance1, si est instalando AD LDS en un segundo equipo) y haga clic en Siguiente.
Nota Los nombres de instancia de AD LDS deben ser nicos en un equipo dado. 5. En la pgina Puertos, acepte los valores predeterminados 50000 y 50001 (si est realizando la instalacin en el primer equipo) o 389 y 636 (si est realizando la instalacin en un segundo equipo) y haga clic en Siguiente. 6. En la pgina Unirse a un conjunto de configuracin, en Servidor, escriba el nombre de host o DNS del equipo donde est instalada la primera instancia de AD LDS. A continuacin, escriba el nmero de puerto LDAP que usa la primera instancia de AD LDS (que es 389 de forma predeterminada) y haga clic en Siguiente.
Nota
Debe usar un nombre de host o DNS vlido en lugar de una direccin IP o localhost cuando especifique un servidor en la pgina Unirse a un conjunto de configuracin del Asistente para instalacin de Servicios de directorio ligero de Active Directory. 7. En la pgina Credenciales administrativas para el conjunto de configuracin, haga clic en la cuenta que se usa como administrador de AD LDS para la primera instancia de AD LDS. 8. En la pgina Copiar particin de aplicacin, seleccione las particiones de directorio de aplicacin que desea replicar en la nueva instancia de AD LDS. Las particiones de esquema y configuracin se replicarn de forma automtica. 9. Para aceptar los valores predeterminados de las dems pginas del Asistente para instalacin de Servicios de directorio ligero de Active Directory, haga clic en Siguiente en cada pgina, y haga clic en Finalizar en la pgina Finalizacin del Asistente para instalacin de Servicios de directorio ligero de Active Directory. 10. Una vez finalizada la instalacin, use el complemento Editor ADSI para confirmar que la particin de directorio seleccionada se replic en la segunda instancia de AD LDS.
Instalacin de una instancia de AD LDS de rplica desde un medio

Al instalar una rplica de AD LDS desde un medio, se usa una copia de seguridad restaurada de una instancia de AD LDS como origen de datos en lugar de otra instancia de AD LDS. Al restaurar una instancia de AD LDS para usarla en la instalacin de una rplica desde un medio, debe restaurar los archivos en una ubicacin diferente de la ubicacin original desde la que realiz la copia de seguridad. Despus de restaurar los archivos de AD LDS desde una copia de seguridad en otra ubicacin, el archivo Adamntds.dit y los archivos Edb*.log se anidarn en la ubicacin alternativa especificada. Por ejemplo, si especifica c:\dir_restaurar como ubicacin para la restauracin de los archivos de AD LDS, los archivos Adamntds.dit y Edb*.log se ubicarn en c:\dir_restaurar\Archivos de programa\Microsoft ADAM\nombreDeInstancia\data, donde nombreDeInstancia representa la instancia de AD LDS restaurada.
Importante Para obtener ms informacin e instrucciones para crear una copia de seguridad y restaurar datos de AD LDS, consulte la Gua paso a paso para la creacin de copias de seguridad y restauracin de los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98680 (puede estar en ingls). El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para instalar una rplica de AD LDS desde un medio 1. Restaure en otra ubicacin una copia de seguridad de la instancia de AD LDS desde la que desea realizar la instalacin. No restaure la copia de seguridad en la ubicacin original de la instancia de AD LDS. 2. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 3. Escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
%windir%\adam\adaminstall /adv
4. Siga los pasos que se indican en el Asistente para instalacin de Servicios de directorio ligero de Active Directory.
Paso 2: practicar la administracin de objetos de sitio

Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Use sitios de los Servicios de directorio ligero de Active Directory (AD LDS) para representar la estructura fsica o topologa de una red. Use el complemento Sitios y servicios de Active Directory para conectarse a una instancia de AD LDS con el fin de definir objetos de sitio. A continuacin, mueva los objetos de directorio de las instancias de AD LDS ubicadas en cada rea de la red al objeto de sitio correspondiente. La administracin de objetos de sitio abarca las siguientes tareas:
Creacin de un objeto de sitio. Movimiento de una instancia de AD LDS a un objeto de sitio. Configuracin de la frecuencia de replicacin en un objeto de sitio.
Creacin de un objeto de sitio

En el siguiente ejercicio, crear objetos de sitio para la primera instancia de AD LDS y la instancia de AD LDS de rplica. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para agregar un objeto de sitio 1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Sitios y servicios de Active Directory. 2. En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y, a continuacin, haga clic en Cambiar el controlador de dominio. Especifique el nombre y el nmero de puerto del servidor que alberga las instancias de AD LDS en el conjunto de configuracin para el que desea crear objetos de sitio. Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. 4. 5. 6. En el rbol de consola, haga clic con el botn secundario en Sitios y, a continuacin, haga clic en Nuevo sitio. En Nombre, escriba un nombre comn (CN) para el nuevo sitio; por ejemplo, Sitio1. En Nombre de vnculo, elija DEFAULTIPSITELINK y haga clic en Aceptar. Repita los pasos 3 y 4, esta vez para crear un objeto de sitio para la instancia de AD LDS de rplica. Para esta gua, puede denominar el nuevo objeto de sitio Sitio2.
Nota No tiene que conectarse a la instancia de AD LDS de rplica para completar el paso 6. La replicacin con varios maestros permite realizar cambios en datos de directorio de AD LDS (particin de directorio de configuracin comn y particin de directorio de esquema comn) en cualquier instancia de AD LDS dentro de un conjunto de configuracin. A continuacin, AD LDS replica automticamente esos cambios en los dems miembros del conjunto de configuracin. Nota En este punto, la instancia original de AD LDS y la instancia de rplica de AD LDS estn en el mismo sitio; por tanto, todos los cambios que realice en objetos del directorio de AD LDS estn sujetos an a una rpida replicacin dentro del sitio.
Movimiento de una instancia de AD LDS a un objeto de sitio

En el siguiente ejercicio, mover la instancia de AD LDS original al objeto de sitio Sitio1 y la instancia de AD LDS de rplica al objeto de sitio Sitio2. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para mover una instancia de AD LDS a un objeto de sitio
1.
Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Sitios y servicios de Active Directory.
2.
En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y, a continuacin, haga clic en Cambiar el controlador de dominio. Especifique el nombre y el nmero de puerto del servidor que alberga las instancias de AD LDS en el conjunto de configuracin para el que desea crear objetos de sitio. Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en el sito que contiene la instancia de AD LDS que desea mover (de forma predeterminada, CN=Default-First-Site-Name) y, finalmente, haga doble clic en el contenedor Servidores. 4. En el contenedor Servidores, haga clic con el botn secundario en la instancia de AD LDS que desea mover y elija Mover. Para esta gua, seleccione la instancia de AD LDS original. 5. En el cuadro de dilogo Mover servidor, seleccione el sitio al que desea mover la instancia de AD LDS y haga clic en Aceptar. Para esta gua, seleccione Sitio1 y Servidor1 en el cuadro de dilogo Mover servidor. 6. Repita los pasos 3 a 5, esta vez para mover la instancia de AD LDS de rplica al objeto de sitio Sitio2.
Nota No tiene que conectarse a la instancia de AD LDS de rplica para completar el paso 6. La replicacin con varios maestros permite realizar cambios en datos de directorio de AD LDS (particin de directorio de configuracin comn y particin de directorio de esquema comn) en cualquier instancia de AD LDS dentro de un conjunto de configuracin. A continuacin, AD LDS replica automticamente esos cambios en los dems miembros del conjunto de configuracin.
Configuracin de la frecuencia de replicacin en un objeto de sitio

AD LDS ahorra ancho de banda porque permite minimizar la frecuencia de replicacin en un objeto de sitio. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para configurar la frecuencia de replicacin en un sitio 1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Sitios y servicios de Active Directory. 2. En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y, a continuacin, haga clic en Cambiar el controlador de dominio. Especifique el nombre y el nmero de puerto del servidor que alberga las instancias de AD LDS en el conjunto de configuracin para el que desea crear objetos de sitio. Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios y elija el contenedor de sitio en el que reside la instancia. Para esta gua, haga clic en el contenedor Sitio1. 4. En el panel de detalles, haga clic con el botn secundario en CN=NTDS Site Settings y, a continuacin, haga clic en Propiedades. 5. 6. En el cuadro de dilogo Propiedades, vaya a la ficha Configuracin del sitio y haga clic en Cambiar programacin. En el cuadro de dilogo Programa para Configuracin de sitio NTDS, seleccione el bloque de tiempo para el que desea programar la replicacin y haga clic en Ninguno, Una vez por hora, Dos veces por hora o Cuatro veces por hora como frecuencia de replicacin. 7. Cuando termine de actualizar la programacin, haga clic en Aceptar.
Paso 3: practicar la administracin de objetos de vnculo a sitios

Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Use objetos de vnculo a sitios en el directorio para representar conexiones de ancho de banda con velocidad baja entre los sitios de la red. Los objetos de vnculo a sitios permiten ajustar la replicacin en la red. selos para determinar el costo relativo de la replicacin en cada vnculo del sitio. Use el complemento Sitios y servicios de Active Directory para conectarse a una instancia de los Servicios de directorio ligero de Active Directory (AD LDS) con el fin de definir objetos de vnculo a sitios. La administracin de objetos de vnculo a sitios abarca las siguientes tareas:
Creacin de un objeto de vnculo a sitios. Establecimiento del costo de un objeto de vnculo a sitios. Configuracin de la frecuencia de replicacin en un objeto de vnculo a sitios. Configuracin de la disponibilidad para replicacin en un objeto de vnculo a sitios.
Creacin de un objeto de vnculo a sitios

El sitio predeterminado (CN=Default-First-Site-Name) pertenece al objeto de vnculo a sitios predeterminado (CN=DEFAULTIPSITELINK). Puede agregar sitios nuevos que cree al objeto de vnculo a sitios predeterminado. Tambin puede crear objetos de vnculo a sitios adicionales para representar cada uno de los vnculos a sitios reales de la red. En el siguiente ejercicio, crear un objeto de vnculo a sitios para los dos objetos de sitio que cre en el paso anterior. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para agregar un objeto de vnculo a sitios 1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Sitios y servicios de Active Directory. 2. En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y, a continuacin, haga clic en Cambiar el controlador de dominio. Especifique el nombre y el nmero de puerto del servidor que alberga las instancias de AD LDS en el conjunto de configuracin para el que desea crear objetos de sitio.
Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en Contenedor de transportes entre sitios, haga clic con el botn secundario en el contenedor IP y, finalmente, haga clic en Nuevo vnculo a sitios. 4. 5. En Nombre, escriba el nombre comn (CN) del nuevo objeto de vnculo a sitios; por ejemplo, VnculoASitios1. En la lista Sitios no pertenecientes a este vnculo, seleccione los nombres de sitio que se deben poner en el nuevo objeto de vnculo a sitios, haga clic en Agregar para agregarlos a la lista Sitios pertenecientes a este vnculo y elija Aceptar. Para esta gua, agregue Sitio1 y Sitio2 al objeto VnculoASitios1.
Nota En este punto, la instancia original de AD LDS y la instancia de rplica de AD LDS estn en dos sitios diferentes; por tanto, todos los cambios que realice en objetos del directorio de AD LDS estn sujetos ahora a una replicacin entre sitios. Para ver el intervalo de replicacin durante el cual el objeto de vnculo a sitios que acaba de crear se replicar en la otra instancia de AD LDS, consulte la columna Intervalo de replicacin del objeto de vnculo a sitios que acaba de agregar en el panel de detalles del complemento Sitios y servicios de Active Directory. El intervalo de replicacin predeterminado para objetos de vnculo a sitios es 180 minutos.
Establecimiento del costo de un objeto de vnculo a sitios

Cada objeto de vnculo a sitios del directorio tiene un costo asociado. Puede editar el atributo de costo de un objeto de vnculo a sitios para especificar el costo relativo de replicacin en ese vnculo a sitios. AD LDS tiene en cuenta los costos de vnculos a sitios cuando crea la topologa de replicacin. AD LDS considera que un vnculo a sitios con un costo superior es menos conveniente que un vnculo a sitios con un costo inferior. Cuando hay varias rutas disponibles para la replicacin, AD LDS prefiere el vnculo a sitios con el costo inferior. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para establecer el costo de un objeto de vnculo a sitios 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory. 2. En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y, a continuacin, haga clic en Cambiar el controlador de dominio. Especifique el nombre y el nmero de puerto del servidor que alberga las instancias de AD LDS en el conjunto de configuracin para el que desea crear objetos de sitio. Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en Contenedor de transportes entre sitios y, finalmente, haga clic en el contenedor IP.
4.
En el panel de detalles, haga clic con el botn secundario en el objeto de vnculo a sitios para el que desee establecer el costo y, a continuacin, haga clic en Propiedades. Para esta gua, seleccione SitioAVnculos1.
5.
En el cuadro de dilogo Propiedades, use los botones de flecha arriba y abajo para editar el valor del campo Costo.
Configuracin de la frecuencia de replicacin en un objeto de vnculo a sitios

AD LDS ahorra ancho de banda entre sitios porque permite minimizar la frecuencia de replicacin o el intervalo de replicacin. De manera predeterminada, la replicacin entre sitios en cada vnculo a sitios se realiza cada 180 minutos (3 horas). Puede ajustar la frecuencia para que coincida con sus necesidades especficas. Tenga en cuenta que aumentar la frecuencia tambin implica ampliar la cantidad de ancho de banda que usa la replicacin. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para configurar el intervalo de replicacin de un vnculo a sitios 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory. 2. En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y, a continuacin, haga clic en Cambiar el controlador de dominio. Especifique el nombre y el nmero de puerto del servidor que alberga las instancias de AD LDS en el conjunto de configuracin para el que desea crear objetos de sitio. Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en Contenedor de transportes entre sitios y, finalmente, haga clic en el contenedor IP. 4. En el panel de detalles, haga clic con el botn secundario en el objeto de vnculo a sitios para el que desee configurar el intervalo de replicacin y, a continuacin, haga clic en Propiedades. Para esta gua, seleccione SitioAVnculos1. 5. En el cuadro de dilogo Propiedades, use los botones de flecha arriba y abajo para editar el valor del campo Replicar cada.
Configuracin de la disponibilidad para replicacin en un objeto de vnculo a sitios

AD LDS ahorra ancho de banda entre sitios porque permite programar la disponibilidad de los vnculos a sitios para la replicacin. De forma predeterminada, el vnculo a sitios est disponible para transportar el trfico de replicacin 24 horas al da, 7 das a la semana. Esta programacin se puede limitar a das entre semana concretos y a determinadas horas del da. Por ejemplo, puede programar la replicacin entre sitios para que slo se realice cuando termine el horario laboral. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para configurar la disponibilidad para replicacin de un vnculo a sitios 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory.
2.
En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y, a continuacin, haga clic en Cambiar el controlador de dominio. Especifique el nombre y el nmero de puerto del servidor que alberga las instancias de AD LDS en el conjunto de configuracin para el que desea crear objetos de sitio. Para este ejercicio, seleccione el nombre de servidor y el nmero de puerto de la instancia de AD LDS original o de rplica.
Nota Para obtener ms informacin acerca de la conexin a una instancia de AD LDS mediante el complemento Sitios y servicios de Active Directory, consulte el paso 3 sobre la prctica del uso de las herramientas de administracin de AD LDS en la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=98679 (puede estar en ingls). 3. En el rbol de consola, haga doble clic en el contenedor Sitios, despus en Contenedor de transportes entre sitios y, finalmente, haga clic en el contenedor IP. 4. En el panel de detalles, haga clic con el botn secundario en el objeto de vnculo a sitios para el que desee programar la disponibilidad y, a continuacin, haga clic en Propiedades. Para esta gua, seleccione SitioAVnculos1. 5. En el cuadro de dilogo Propiedades, haga clic en Cambiar programacin, seleccione el bloque de tiempo para el que desea programar la replicacin y despus haga clic en Replicacin no disponible o Replicacin disponible. 6. Cuando termine de actualizar la programacin, haga clic en Aceptar.
Gua paso a paso para la creacin de copias de seguridad y restauracin de los Servicios de directorio ligero de Active Directory
Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Los Servicios de directorio ligero de Active Directory (AD LDS), antes conocidos como Active Directory Application Mode (ADAM), es un servicio de directorio LDAP (Protocolo de acceso de directorio ligero) que proporciona funcionalidad de almacenamiento y recuperacin de datos para aplicaciones habilitadas para el uso de directorios, sin las dependencias que requieren los Servicios de dominio de Active Directory (AD DS). Es posible ejecutar varias instancias de AD LDS de forma simultnea en un nico equipo, siempre que haya un esquema administrado de forma independiente para cada instancia de AD LDS. Para obtener ms informacin acerca de AD LDS, consulte la introduccin a los Servicios de directorio ligero de Active Directory que encontrar en http://go.microsoft.com/fwlink/?LinkId=96084 (puede estar en ingls). Para obtener ms informacin acerca de la configuracin de AD LDS, consulte la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory (http://go.microsoft.com/fwlink/?LinkId=98679) (puede estar en ingls).
Acerca de esta gua

Esta gua describe los procesos de creacin de copia de seguridad de datos y archivos de registro de AD LDS y su restauracin. Puede usar los procedimientos de esta gua para crear una copia de seguridad y restaurar datos de AD LDS en servidores que ejecutan el sistema operativo Windows Server 2008. Conforme complete los pasos de esta gua, podr:
Crear copias de seguridad de datos de instancias de AD LDS Restaurar datos de instancia de AD LDS e instancias de AD LDS.
Requisitos
Inicie sesin en Windows Server 2008 con una cuenta de administrador.
10
Almacene copias de seguridad en alguno de los siguientes tipos de medio: Un disco duro fijo o extrable DVDs Un recurso compartido de red (slo copias de seguridad no programadas)
Pasos para crear copias de seguridad y restaurar AD LDS

Las secciones siguientes proporcionan instrucciones paso a paso para crear copias de seguridad y restaurar AD LDS. Estas secciones proporcionan mtodos de interfaz grfica de usuario (GUI) y de lnea de comandos para crear copias de seguridad y restaurar AD LDS, donde proceda.
Paso 1: crear una copia de seguridad de los datos de una instancia de AD LDS Paso 2: restaurar los datos de la instancia de AD LDS
Para obtener ms informacin, consulte:
Apndice A: limpieza de metadatos para las instancias de AD LDS retiradas Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe
Paso 1: crear una copia de seguridad de los datos de una instancia de AD LDS
Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Es recomendable realizar copias de seguridad regulares de los archivos de datos y de registro de los Servicios de directorio ligero de Active Directory (AD LDS) a fin de garantizar la disponibilidad continua de los datos para las aplicaciones y los usuarios en caso de un error del sistema. De manera predeterminada, cada instancia de AD LDS que se ejecuta en un servidor de AD LDS almacena su archivo de base de datos, Adamntds.dit, y los archivos de registro asociados en %program files%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. Incluya estos archivos en el plan regular de copias de seguridad de su organizacin. Para realizar una copia de seguridad de los datos de una instancia de AD LDS, debe realizar una copia de seguridad de estos archivos. En las secciones siguientes, se crean copias de seguridad de datos de instancia de AD LDS usando las siguientes herramientas:
Copias de seguridad de Windows Server Dsdbutil.exe
Para obtener ms informacin acerca de la instalacin de Copias de seguridad de Windows Server, consulte la pgina http://go.microsoft.com/fwlink/?LinkId=96495 (puede estar en ingls). Para obtener informacin general acerca de Copias de seguridad de Windows Server de Windows Server 2008, consulte la Ayuda en su servidor. Para mostrar la Ayuda, abra Copias de seguridad de Windows Server y presione F1.
Creacin de copias de seguridad de datos de instancia de AD LDS con Copias de seguridad de Windows Server
Para completar este procedimiento, lo mnimo que se necesita es pertenecer al grupo local Operadores de copia de seguridad o a uno equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477.
Importante Antes de realizar una copia de seguridad de la carpeta de una instancia de AD LDS, use el complemento Servicios para confirmar que la instancia se ha iniciado. Para abrir Servicios, haga clic en Inicio, Herramientas administrativas y Servicios. Como el servicio de instancia debe estar ejecutndose mientras se realiza la copia de seguridad de los archivos, debe usar una utilidad de copia de seguridad (como Copias de seguridad de Windows Server) que pueda hacer una copia de
11
seguridad de archivos abiertos. Para realizar una copia de seguridad de una instancia de AD LDS mediante Copias de seguridad de Windows Server 1. Haga clic en Inicio, elija Herramientas administrativas y haga clic en Copias de seguridad de Windows Server. 2. 3. En el men Accin, haga clic en Hacer copia de seguridad una vez. En el Asistente para hacer copia de seguridad una vez, en la pgina Opciones de copia de seguridad, elija Opciones diferentes y haga clic en Siguiente. 4. En la pgina Seleccionar configuracin de copia de seguridad, haga clic en Personalizar y, a continuacin, en Siguiente. 5. Seleccione los volmenes que contienen los archivos de registro y base de datos de AD LDS, y haga clic en Siguiente.
Nota Puede instalar los archivos de registro y base de datos de AD LDS en volmenes diferentes. 6. En la pgina Especificar tipo de destino, seleccione Unidades locales o Carpeta compartida remota, dependiendo de si desea almacenar la copia de seguridad en modo local o remoto. 7. En la pgina Seleccionar destino de la copia de seguridad, especifique la unidad donde desea que se almacene la copia de seguridad. 8. Complete el asistente para comenzar con la operacin de copia de seguridad.
Precaucin Si realiz una copia de seguridad de los datos de un volumen de sistema de archivos NTFS, se recomienda que restaure los datos en un volumen NTFS de la misma versin para evitar la prdida de datos.
Creacin de copias de seguridad de datos de instancia de AD LDS con Dsdbutil.exe

La herramienta Dsdbutil.exe permite crear un medio de instalacin que corresponda slo a la instancia de AD LDS de la que desea crear una copia de seguridad, en lugar de crear una copia de seguridad de volmenes enteros que contengan la instancia de AD LDS. Para completar este procedimiento, lo mnimo que se necesita es pertenecer al grupo local Operadores de copia de seguridad o a uno equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para crear un medio de instalacin de AD LDS con Dsdbutil.exe 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y elija Ejecutar como administrador para abrir un smbolo del sistema con privilegios. 2. Escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
dsdbutil
3. En dsdbutil: escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
activate instance <nombre_instancia>
12
donde <nombre_instancia> es el nombre de la instancia de AD LDS para la que desea crear el medio de instalacin. Ejemplo:
Copiar cdigo
activate instance instancia1

En dsdbutil: escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
ifm
4. En el smbolo del sistema de ifm:, escriba el comando para el medio de instalacin que desea crear y presione ENTRAR:
Copiar cdigo
create full <ubicacin>

donde <ubicacin> es la ruta de acceso de la carpeta donde desea crear el medio de instalacin. Puede guardar el medio de instalacin en una carpeta compartida en la red o cualquier otro tipo de medio extrable. Ejemplo:
Copiar cdigo
create full C:\Backup\instancia1

5. Para salir de dsdbutil: a. b. En el smbolo del sistema de ifm:, escriba quit y, a continuacin, presione ENTRAR. En dsdbutil: escriba quit y, a continuacin, presione ENTRAR.
Paso 2: restaurar los datos de la instancia de AD LDS

Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Para restaurar datos de instancia de los Servicios de directorio ligero de Active Directory (AD LDS), seleccione el procedimiento ms apropiado para su escenario de restauracin de AD LDS:
Restauracin de una instancia de AD LDS existente Restauracin de una instancia de AD LDS retirada Restauracin autoritativa de una instancia de AD LDS Instalacin de una rplica de AD LDS desde un medio
Restauracin de una instancia de AD LDS existente

Puede restaurar una instancia de AD LDS existente al estado que tena en el momento en que se cre una copia de seguridad. Para restaurar una base de datos de una instancia existente de AD LDS, debe detener dicha instancia antes de ejecutar la
13
operacin de restauracin. Adems, antes de iniciar la restauracin, es recomendable mover (o eliminar) la base de datos y los archivos de registro existentes de la instancia de AD LDS. Si restaura una copia de seguridad de AD LDS en una instancia de AD LDS en ejecucin, Copias de seguridad de Windows Server deja los archivos restaurados en estado pendiente y no los escribe en el disco hasta que se reinicia el equipo. En esta situacin, se perdern todos los cambios de directorio que se realicen en la instancia de AD LDS en ejecucin despus de ejecutar Copias de seguridad de Windows Server. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores o a uno equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para restaurar una instancia de AD LDS existente 1. Detenga la instancia de AD LDS que acaba de crear, como se indica a continuacin: a. b. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Detener.
Nota Si inicia por error la restauracin de una instancia de AD LDS durante la ejecucin de otra instancia de AD LDS, se recomienda reiniciar inmediatamente el equipo, detener la instancia de AD LDS y volver a realizar la restauracin. 2. Haga clic en Inicio, Herramientas administrativas y, a continuacin, en Copias de seguridad de Windows Server. 3. 4. En el men Accin, haga clic en Recuperar. Siga los pasos del Asistente para recuperacin: especifique la ubicacin de los datos de la copia de seguridad de origen e identifique la copia de seguridad especfica de la que desea recuperar los datos de la instancia. a. b. En Seleccionar tipo de recuperacin, haga clic en Archivos y carpetas y, a continuacin, en Siguiente. En Seleccionar elementos para recuperar, busque y seleccione la carpeta que contiene los archivos de los datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. c. En Especificar opciones de recuperacin, haga clic en Ubicacin original y Sobrescribir los archivos existentes con los recuperados y, a continuacin, en Siguiente. 5. 6. 7. Para completar la restauracin, haga clic en Recuperar. Una vez completada la restauracin, cierre Copias de seguridad de Windows Server. Inicie la instancia de AD LDS como se indica a continuacin: a. b. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Iniciar.
Nota No se puede usar Copias de seguridad de Windows Server para restaurar una instancia de AD LDS existente con una copia de seguridad que se cre con la herramienta Dsdbutil.exe. Para restaurar la instancia de AD LDS existente con una copia de seguridad creada con Dsdbutil.exe, consulte el Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe.
14
Restauracin de una instancia de AD LDS retirada

Para restaurar una instancia de AD LDS retirada (o mover una instancia de AD LDS especfica de un servidor a otro), debe iniciar el proceso de recuperacin creando una nueva instancia de AD LDS con la misma configuracin que se especific durante la instalacin de la instancia de AD LDS que desea recuperar o mover. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores o a uno equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para restaurar una instancia de AD LDS retirada 1. Use el Asistente para la instalacin de los Servicios de directorio ligero de Active Directory para crear una instancia de AD LDS especificando la misma configuracin de la instalacin original de AD LDS (desinstalada). No obstante, no debe crear una particin del directorio de aplicaciones durante la instalacin. Para obtener ms informacin sobre la creacin de instancias de AD LDS, consulte la Gua paso a paso para comenzar a usar los Servicios de directorio ligero de Active Directory (http://go.microsoft.com/fwlink/?LinkId=98679) (puede estar en ingls). 2. Detenga la instancia de AD LDS que acaba de crear, como se indica a continuacin: a. b. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Detener.
Nota Si inicia por error la restauracin de una instancia de AD LDS durante la ejecucin de otra instancia de AD LDS, se recomienda reiniciar inmediatamente el equipo, detener la instancia de AD LDS y volver a realizar la restauracin. 3. Haga clic en Inicio, Herramientas administrativas y, a continuacin, en Copias de seguridad de Windows Server. 4. 5. En el men Accin, haga clic en Recuperar. Siga los pasos del Asistente para recuperacin: especifique la ubicacin de los datos de la copia de seguridad de origen e identifique la copia de seguridad especfica de la que desea recuperar los datos de la instancia. 6. 7. En Seleccionar tipo de recuperacin, haga clic en Archivos y carpetas y, a continuacin, en Siguiente. En Seleccionar elementos para recuperar, busque y seleccione la carpeta que contiene los archivos de los datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. 8. En Especificar opciones de recuperacin, haga clic en Ubicaciones originales, en Sobrescribir los archivos existentes con los recuperados y, a continuacin, en Siguiente. 9. Para completar la restauracin, haga clic en Recuperar.
10. Una vez completada la restauracin, cierre Copias de seguridad de Windows Server. 11. Inicie la instancia de AD LDS que acaba de crear, como se indica a continuacin: a. b. Haga clic en Inicio, Herramientas administrativas y Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Iniciar.
Nota
15
No puede usar Copias de seguridad de Windows Server para restaurar una instancia de AD LDS retirada con una copia de seguridad creada con Dsdbutil.exe. Para restaurar la instancia de AD LDS existente con una copia de seguridad creada con Dsdbutil.exe, consulte el Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe.
Restauracin autoritativa de una instancia de AD LDS

Si los objetos del directorio se eliminan o modifican por accidente y estn replicados en un conjunto de configuracin, debe restaurar de forma autoritativa esos objetos para que se replique la versin correcta. Para restaurar de forma autoritativa datos de directorio, ejecute la herramienta dsdbutil despus de restaurar los datos y antes de reiniciar la instancia de AD LDS. Con dsdbutil, puede marcar objetos de directorio para realizar una restauracin autoritativa. Cuando un objeto se marca para una restauracin autoritativa, se cambia su nmero de secuencia de actualizacin para que sea mayor que cualquier otro nmero de secuencia de actualizacin del conjunto de configuracin. De esta forma, se garantiza que los datos restaurados se replican correctamente en todo el conjunto de configuracin. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores o a uno equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para restaurar una instancia de AD LDS de forma autoritativa 1. Si se est ejecutando, detenga la instancia de AD LDS para la que se restaurarn los datos. a. b. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Detener.
Nota Si inicia por error la restauracin de una instancia de AD LDS durante la ejecucin de otra instancia de AD LDS, se recomienda reiniciar inmediatamente el equipo, detener la instancia de AD LDS y volver a realizar la restauracin. 2. Haga clic en Inicio, Herramientas administrativas y, a continuacin, en Copias de seguridad de Windows Server. 3. 4. En el men Accin, haga clic en Recuperar. Siga los pasos del Asistente para recuperacin: especifique la ubicacin de los datos de la copia de seguridad de origen e identifique la copia de seguridad especfica de la que desea recuperar los datos de la instancia. 5. 6. En Seleccionar tipo de recuperacin, haga clic en Archivos y carpetas y, a continuacin, en Siguiente. En Seleccionar elementos para recuperar, busque y seleccione la carpeta que contiene los archivos de los datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. 7. En Especificar opciones de recuperacin, haga clic en Ubicaciones originales, en Sobrescribir los archivos existentes con los recuperados y, a continuacin, en Siguiente. 8. 9. Para completar la restauracin, haga clic en Recuperar. Una vez completada la restauracin, cierre Copias de seguridad de Windows Server.
10. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 11. Escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
16
Copiar cdigo
dsdbutil
12. En dsdbutil: escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
activate instance <nombre_instancia>

donde <nombre_instancia> representa el nombre de servicio de la instancia de AD LDS en la que desea restaurar los datos. 13. En dsdbutil: escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
authoritative restore
14. En authoritative restore: escriba uno de los comandos de la tabla siguiente.
Comando restore object dn
Descripcin Realiza una restauracin autoritativa del objeto de directorio cuyo nombre distintivo viene dado por dn. Realiza una restauracin autoritativa del subrbol de directorio cuyo nombre distintivo viene dado por dn.
restore subtree dn
Para ver la sintaxis completa de este comando e informacin acerca del comando authoritative restore en dsdbutil, en el smbolo del sistema de authoritative restore, escriba:
Copiar cdigo
?
15. Para salir de dsdbutil: a. b. En authoritative restore: escriba quit y, a continuacin, presione ENTRAR. En dsdbutil: escriba quit y, a continuacin, presione ENTRAR.
16. Inicie la instancia de AD LDS como se indica a continuacin: a. b. Haga clic en Inicio, Herramientas administrativas y Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Iniciar.
Nota No puede usar Copias de seguridad de Windows Server para restaurar una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe. Para restaurar la instancia de AD LDS existente con una copia de seguridad creada con Dsdbutil.exe, consulte el Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe.
17
Instalacin de una rplica de AD LDS desde un medio

Cuando se instala una rplica de AD LDS desde un medio, se restaura una copia de seguridad de otra instancia de AD LDS del mismo conjunto de configuracin, en lugar de realizar una instalacin de rplica de AD LDS sencilla. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores o a uno equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477.
Nota Si se us Dsdbutil.exe para crear el medio de instalacin (copia de seguridad) de los datos de instancia de AD LDS, omita los pasos 1 a 7 y comience este procedimiento en el paso 8. Para instalar una rplica de AD LDS desde un medio 1. Haga clic en Inicio, elija Herramientas administrativas y haga clic en Copias de seguridad de Windows Server. 2. 3. En el men Accin, haga clic en Recuperar. Siga los pasos del Asistente para recuperacin: especifique la ubicacin de los datos de la copia de seguridad de origen e identifique la copia de seguridad especfica de la que desea recuperar los datos de la instancia. 4. 5. En Seleccionar tipo de recuperacin, haga clic en Archivos y carpetas y, a continuacin, en Siguiente. En Seleccionar elementos para recuperar, busque y seleccione la carpeta que contiene los archivos de los datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. 6. En Especificar opciones de recuperacin, haga clic en Otra ubicacin, especifique una ubicacin temporal para los archivos recuperados y haga clic en Siguiente. 7. 8. Para completar la restauracin, haga clic en Recuperar. En el smbolo del sistema, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
%windir%\adam\adaminstall /adv
9. Siga los pasos que se indican en el Asistente para la instalacin de los Servicios de directorio ligero de Active Directory: a. En la pgina Opciones de instalacin, haga clic en Una rplica de una instancia existente y, a continuacin, haga clic en Siguiente. b. En la pgina Unirse a un conjunto de configuracin, escriba el nombre de host o el nombre DNS (Sistema de nombres de dominio) del equipo donde est instalada una de las instancias de AD LDS restantes del conjunto de configuracin. A continuacin, escriba el nmero de puerto LDAP (Protocolo ligero de acceso a directorios) que usa esa instancia de AD LDS y haga clic en Siguiente. c. En la pgina Credenciales administrativas para el conjunto de configuracin, haga clic en la cuenta que se usa como administrador de AD LDS para la primera instancia de AD LDS. d. En la pgina Copiar informacin de la aplicacin, seleccione Desde los archivos de copia de seguridad restaurados en estas carpetas, especifique la ubicacin correcta de los archivos del medio de instalacin en el campo Carpeta de informacin restaurada, deje vaco el campo Carpeta de recuperacin de los datos restaurados y haga clic en Siguiente. e. En la pgina Copiar particin de aplicacin, seleccione las particiones de directorio de aplicacin que desea replicar en la nueva instancia de AD LDS.
18
f.
Acepte los valores predeterminados de las dems pginas del Asistente para la instalacin de los Servicios de directorio ligero de Active Directory haciendo clic en Siguiente en cada pgina, y haga clic en Finalizar en la pgina Finalizacin del Asistente para instalacin de Servicios de directorio ligero de Active Directory.
Importante Tambin puede usar este procedimiento para restaurar una rplica de AD LDS retirada desde el medio. Sin embargo, se recomienda realizar primero una limpieza de metadatos de cualquier rplica de AD LDS retirada que planee restaurar desde el medio. Para obtener ms informacin acerca de la limpieza de metadatos, consulte el Apndice A: limpieza de metadatos para las instancias de AD LDS retiradas.
Apndice A: limpieza de metadatos para las instancias de AD LDS retiradas

Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Si desea restaurar una rplica retirada de los Servicios de directorio ligero de Active Directory (AD LDS), debe eliminar primero el objeto de servidor que representa esta rplica de AD LDS. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores o a uno equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para realizar una limpieza de metadatos con dsmgmt 1. En una de las instancias de AD LDS restantes en el conjunto de configuracin, haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y elija Ejecutar como administrador. 2. 3. 4. 5. 6. En el smbolo del sistema, escriba
dsmgmt y presione ENTRAR. metadata cleanup y presione ENTRAR. select operation target y presione ENTRAR. connections y presione ENTRAR.
En el smbolo del sistema de dsmgmt:, escriba
En el smbolo del sistema de metadata cleanup:, escriba
En el smbolo del sistema de select operation target:, escriba
En el smbolo del sistema de server connections:, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
connect to server <nombreequipo:nmeropuerto>

donde <nombreequipo:nmeropuerto> representa la instancia de AD LDS a la que desea conectarse. 7. 8. En el smbolo del sistema de server connections:, escriba
q y presione ENTRAR. list sites y presione ENTRAR. Identifique el
En el smbolo del sistema de select operation target:, escriba
nmero correspondiente al sitio donde reside el objeto de servidor que desea eliminar. 9. En el smbolo del sistema de select operation target:, escriba representa el nmero identificado en el paso anterior. 10. En el smbolo del sistema de select operation target:, escriba
select site <n> y presione ENTRAR, donde <n>
list naming contexts y presione ENTRAR.
Identifique el nmero que corresponde al contexto de nomenclatura del servidor cuyo objeto de servidor desea eliminar. 11. Escriba
select naming context <n> y presione ENTRAR, donde <n> representa el nmero identificado en el
paso anterior. 12. Escriba
list servers in site y presione Entrar. Identifique el nmero asociado al servidor cuyo objeto de
servidor desea eliminar.
19
13. Escriba
select server <n> y presione ENTRAR, donde <n> representa el nmero identificado en el paso anterior. q y presione ENTRAR.
14. En el smbolo del sistema de select operation target:, escriba 15. En el smbolo del sistema de metadata cleanup:, escriba
remove selected server y presione ENTRAR. Haga
clic en S para confirmar la eliminacin del objeto de servidor. 16. Adems, debe eliminar el objeto de servidor del contenedor de sitios: CN=Servers,CN=nombresitio,CN=Sites,CN=Configuration,CN={GUID} donde nombresitio representa el nombre del sitio en el que existe el objeto de servidor y GUID hace referencia al identificador nico global (GUID) de la instancia de AD LDS. Para ver la sintaxis completa de este comando, escriba lo siguiente en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
dsmgmt /?
Apndice B: restauracin de una instancia de AD LDS con una copia de seguridad creada con Dsdbutil.exe
Actualizado: agosto de 2007 Se aplica a: Windows Server 2008 Si se us Dsdbutil.exe para crear el medio de instalacin (copia de seguridad) de los datos de instancia de los Servicios de directorio ligero de Active Directory (AD LDS), restaure esta instancia de AD LDS con el siguiente procedimiento. No se puede usar Copias de seguridad de Windows Server para restaurar una instancia de AD LDS existente o retirada con una copia de seguridad que se cre con Dsdbutil.exe. Puede instalar una rplica de AD LDS desde un medio usando una copia de seguridad de datos de AD LDS que se cre con Dsdbutil.exe. Para restaurar la copia de seguridad de los datos de la instancia de AD LDS creada con Dsdbutil.exe 1. Detenga la instancia de AD LDS que acaba de crear, como se indica a continuacin: a. b. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Detener.
Nota Si inicia por error la restauracin de una instancia de AD LDS durante la ejecucin de otra instancia de AD LDS, se recomienda reiniciar inmediatamente el equipo, detener la instancia de AD LDS y volver a realizar la restauracin. 2. Elimine los archivos de la carpeta que contiene los archivos de datos de la instancia. De manera predeterminada, los archivos de registro y base de datos de AD LDS estn disponibles en %ProgramFiles%\Microsoft ADAM\nombreinstancia\data, donde nombreinstancia es el nombre de la instancia de AD LDS. 3. Para copiar la copia de seguridad de AD LDS que se cre con Dsdbutil.exe en la carpeta que contena los archivos de registro y base de datos originales de AD LDS, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
20
xcopy /os <ubicacin>\adamntds.dit %ProgramFiles%\Microsoft ADAM\nombre_instancia\data\adamntds.dit

donde <ubicacin> es la ruta de acceso de la carpeta donde se cre el medio de instalacin. Ejemplo:
Copiar cdigo
xcopy /os C:\Backup\instancia1\adamntds.dit %ProgramFiles%\Microsoft ADAM\instancia1\data\adamntds.dit

4. Inicie la instancia de AD LDS como se indica a continuacin: haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. 5. En Servicios, haga clic con el botn secundario en la instancia de AD LDS y, a continuacin, haga clic en Iniciar.
Gua paso a paso de introduccin a los Servicios de directorio ligero de Active Directory
Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 Los Servicios de directorio ligero de Active Directory (AD LDS), antes conocidos como Active Directory Application Mode (ADAM), es un servicio de directorio LDAP (Protocolo de acceso de directorio ligero) que proporciona funcionalidad de almacenamiento y recuperacin de datos en aplicaciones habilitadas para el uso de directorios, sin las dependencias que se requieren para los Servicios de dominio de Active Directory (AD DS). Es posible ejecutar varias instancias de AD LDS de forma simultnea en un nico equipo, siempre que haya un esquema administrado de forma independiente para cada instancia de AD LDS. Para obtener ms informacin acerca de AD LDS, consulte la introduccin a los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=96084 (puede estar en ingls). Para obtener ms informacin acerca de la configuracin de ADAM, consulte la gua paso a paso para implementar ADAM en http://go.microsoft.com/fwlink/?LinkId=96083 (puede estar en ingls).
Acerca de esta gua

En esta gua se describen los procesos para configurar y ejecutar AD LDS. Use los procedimientos de esta gua para instalar AD LDS en servidores que ejecuten el sistema operativo Windows Server 2008 en un entorno de pruebas pequeo. Conforme complete los pasos de esta gua, podr:

Nota
Instalar la funcin de servidor AD LDS y practicar trabajando con instancias de AD LDS. Practicar el uso de las herramientas de administracin de AD LDS. Practicar la creacin y la administracin de unidades organizativas, grupos y usuarios en AD LDS. Practicar la creacin y la eliminacin de particiones de directorio de aplicaciones de AD LDS. Ver, conceder y denegar permisos de usuario de AD LDS. Practicar el enlace a una instancia de AD LDS de varias formas. Practicar la administracin de conjuntos de configuracin de AD LDS.
Para maximizar las posibilidades de completar los objetivos de esta gua correctamente, es importante que siga los pasos de la gua en el orden en que se presentan.
21
Requisitos
Debe tener disponible al menos un equipo de prueba en el que pueda instalar AD LDS. Para realizar los ejercicios de esta gua, instale AD LDS en equipos con Windows Server 2008.
Inicie sesin en Windows Server 2008 con una cuenta de administrador. Para esta gua, puede instalar instancias de AD LDS de rplica en el primer equipo de prueba o en un segundo equipo, si tiene alguno disponible.
Pasos para comenzar a usar AD LDS

Las secciones siguientes proporcionan instrucciones paso a paso para configurar AD LDS. Estas secciones proporcionan mtodos de interfaz grfica de usuario (GUI) y de la lnea de comandos para crear copias de seguridad y restaurar AD LDS, donde proceda.
Paso 1: instalar la funcin de servidor de AD LDS Paso 2: practicar trabajando con instancias de AD LDS Paso 3: practicar el uso de las herramientas de administracin de AD LDS Paso 4: practicar la administracin de unidades organizativas, grupos y usuarios de AD LDS Paso 5: practicar trabajando con particiones de directorio de aplicaciones Paso 6: practicar la administracin de autorizacin Paso 7: practicar la administracin de autenticacin Paso 8: practicar la administracin de conjuntos de configuracin
Para obtener ms informacin, consulte Apndice A: configuracin de LDAP por medio de SSL; requisitos para AD LDS y Appendix B: Upgrading from ADAM to AD LDS.
Paso 1: instalar la funcin de servidor de AD LDS

Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 Use el procedimiento siguiente para instalar la funcin de servidor Servicios de directorio ligero de Active Directory (AD LDS) en un equipo con Windows Server 2008. Para completar este procedimiento, lo mnimo que se necesita es pertenecer al grupo local Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para instalar la funcin de servidor de AD LDS 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. 3. 4. En el rbol de consola, haga clic con el botn secundario en Funciones y elija Agregar funciones. Revise la informacin de la pgina Antes de comenzar del Asistente para agregar funciones y haga clic en Siguiente. En la pgina Seleccionar funciones de servidor, en la lista Funciones seleccione Servicios de directorio ligero de Active Directory y haga clic en Siguiente. 5. Termine de agregar la funcin de servidor AD LDS siguiendo las dems instrucciones del asistente.
22
Paso 2: practicar trabajando con instancias de AD LDS

Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 Ahora que ha instalado la funcin de servidor Servicios de directorio ligero de Active Directory (AD LDS), est listo para comenzar a trabajar con instancias de AD LDS. Esto incluye las siguientes tareas:
Creacin de una nueva instancia de AD LDS Importacin de datos en una instancia de AD LDS
Creacin de una nueva instancia de AD LDS

En AD LDS, una instancia de servicio (o, simplemente, instancia) hace referencia a una copia individual en ejecucin del servicio de directorio de AD LDS. Pueden ejecutarse varias instancias de AD LDS de forma simultnea en el mismo equipo Cada instancia del servicio de directorio de AD LDS tiene un almacn de datos de directorio independiente, un nombre de servicio nico y una descripcin de servicio exclusiva que se asignan durante la instalacin. Durante la instalacin de AD LDS, puede crear una particin del directorio de aplicaciones si la aplicacin Protocolo ligero de acceso a directorios (LDAP) no lo hace de forma automtica. Instalacin de una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory. Use el Asistente para instalacin de Servicios de directorio ligero de Active Directory para crear instancias de servicio de AD LDS. Para completar este procedimiento, lo mnimo que se necesita es pertenecer al grupo local Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para crear una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory 1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Asistente para instalacin de Servicios de directorio ligero de Active Directory. 2. En la pgina Asistente para instalacin de Servicios de directorio ligero de Active Directory, haga clic en Siguiente. 3. 4. En la pgina Opciones de instalacin, haga clic en Una instancia nica y, a continuacin, en Siguiente. En la pgina Nombre de instancia, proporcione un nombre para la instancia de AD LDS que est instalando. Este nombre se usa en el equipo local para identificar de forma nica la instancia de AD LDS. Para este ejercicio, acepte el nombre predeterminado de instance1 y haga clic en Siguiente. 5. En la pgina Puertos, especifique los puertos de comunicaciones que usa la instancia de AD LDS para comunicarse. AD LDS puede comunicarse usando tanto LDAP como SSL (Capa de sockets seguros); por tanto, debe proporcionar un valor para cada puerto. Para este ejercicio, acepte los valores predeterminados de 389 y 636, y haga clic en Siguiente.
Nota
23
Si instala AD LDS en un equipo donde alguno de los puertos predeterminados est en uso, el Asistente para instalacin de Servicios de directorio ligero de Active Directory busca de forma automtica el primer puerto disponible, comenzando en 50000. Por ejemplo, los Servicios de dominio de Active Directory (AD DS) usan los puertos 389 y 636, as como los puertos 3268 y 3269 en servidores de catlogo global. Por tanto, si instala AD LDS en un controlador de dominio, el Asistente para instalacin de Servicios de directorio ligero de Active Directory proporciona un valor predeterminado de 50000 para el puerto LDAP y de 50001 para el puerto SSL. 6. En la pgina Particin de directorio de aplicaciones puede crear una particin de directorio de aplicaciones (o contexto de nomenclatura) haciendo clic en S, crear una particin de directorio de aplicaciones. O bien, puede hacer clic en No, no crear una particin de directorio de aplicaciones, en cuyo caso deber crear una particin de directorio de aplicaciones manualmente despus de la instalacin. Para este ejercicio, haga clic en S, crear una particin de directorio de aplicaciones. Escriba o=Microsoft,c=US como nombre distintivo de esta particin de directorio de aplicaciones y haga clic en Siguiente.
Nota AD LDS admite nombres distintivos de estilo X.500 y Sistema de nombres de dominio (DNS) para particiones de directorio de nivel superior. 7. En la pgina Ubicaciones de archivo puede ver y cambiar los directorios de instalacin de los archivos (de registro) de datos y recuperacin de AD LDS. De forma predeterminada, los archivos de datos y recuperacin de AD LDS se instalan en %ProgramFiles%\Microsoft ADAM\nombreDeInstancia\data, donde nombreDeInstancia representa el nombre de instancia de AD LDS que especific en la pgina Nombre de instancia. Para este ejercicio, haga clic en Siguiente para aceptar las ubicaciones de archivo predeterminadas. 8. En la pgina Seleccin de cuentas de servicio, seleccione una cuenta para usarla como cuenta de servicio de AD LDS. La cuenta que seleccione determina el contexto de seguridad en que se ejecuta la instancia de AD LDS. El Asistente para instalacin de Servicios de directorio ligero de Active Directory toma como predeterminada la Cuenta del servicio de red. Para este ejercicio, haga clic en Siguiente para aceptar la Cuenta del servicio de red como predeterminada. O bien, si va a instalar AD LDS en un controlador de dominio, haga clic en Esta cuenta y seleccione una cuenta de usuario del dominio para usarla como la cuenta de servicio de AD LDS. 9. En la pgina Administradores de AD LDS, seleccione el usuario o el grupo que ser el administrador predeterminado de la instancia de AD LDS. El usuario o grupo que seleccione tendr un control administrativo total de la instancia de AD LDS. De forma predeterminada, el Asistente para instalacin de Servicios de directorio ligero de Active Directory especifica el usuario que inici sesin. Puede cambiar esta seleccin y usar cualquier grupo o cuenta local o de dominio de la red. Para este ejercicio, haga clic en el valor predeterminado de Usuario con sesin iniciada y despus en Siguiente. 10. En la pgina Importacin de archivos LDIF puede importar archivos .ldf de esquema en la instancia de AD LDS. Para este ejercicio, importe los archivos .ldf de la tabla siguiente.
Nombre de archivo LDIF MS-InetOrgPerson.ldf MS-User.ldf MS-UserProxy.ldf
Descripcin Contiene la definicin de la clase de objeto LDAP inetOrgPerson. Contiene user y las definiciones de objeto de las clases relacionadas. Contiene la definicin de objeto de la clase userProxy simple.
24
MS-UserProxyFull.ldf MS-ADLDSDisplaySpecifiers.ldf
Contiene la definicin de objeto de la clase userProxy completa. Contiene especificadores de pantalla. Este archivo .ldf es necesario para operaciones de complemento. Si planea conectarse a la instancia de AD LDS y administrarla despus a travs del complemento Sitios y servicios de Active Directory, importe este archivo ahora con el Asistente para instalacin de Servicios de directorio ligero de Active Directory .
Nota AD LDS permite usar tambin archivos LDIF (formato de intercambio de datos LDAP) personalizados (adems de los archivos LDIF predeterminados que se proporcionan con AD LDS). Para que estn disponibles, agrguelos al directorio %systemroot%\ADAM durante la instalacin de AD LDS. Para crear archivos LDIF personalizados use ADSchemaAnalyzer. Para obtener ms informacin, consulte el procedimiento "Para crear un archivo LDIF con ADSchemaAnalyzer" en Paso 3: practicar el uso de las herramientas de administracin de AD LDS. Guarde el archivo LDIF personalizado en el directorio %systemroot%\ADAM y despus ejecute el Asistente para instalacin de Servicios de directorio ligero de Active Directory para crear una nueva instancia de AD LDS. El archivo LDIF personalizado estar disponible en la lista de nombres de archivo LDIF en la pgina Importacin de archivos LDIF. 11. La pgina Listo para instalar permite revisar las opciones de instalacin seleccionadas. Tras hacer clic en Siguiente, el Asistente para instalacin de Servicios de directorio ligero de Active Directory copia los archivos e instala AD LDS en el equipo. 12. Cuando el Asistente para instalacin de Servicios de directorio ligero de Active Directory finaliza la instalacin de AD LDS, se muestra este mensaje: Complet el Asistente para instalacin de Servicios de directorio ligero de Active Directory correctamente. Cuando aparezca la pgina Finalizacin del Asistente para instalacin de Servicios de directorio ligero de Active Directory, haga clic en Finalizar para cerrar el asistente.
Nota Si no se completa correctamente el Asistente para instalacin de Servicios de directorio ligero de Active Directory, aparece un mensaje de error que describe el motivo del error en la pgina Resumen. Nota Si se produce un error en el asistente antes de la pgina Resumen, revise el mensaje de error que aparece. Adems, puede hacer clic en Inicio, elegir Ejecutar y escribir alguna de las siguientes opciones: %windir%\Debug\ADAMSsetup.log %windir%\Debug\ADAMSsetup_loader.log Los archivos ADAMsetup.log y ADAMsetup_loader.log contienen informacin que puede ser til para determinar la causa de un error de instalacin de AD LDS. Instalacin desatendida de una instancia de AD LDS AD LDS se puede instalar sin intervencin del usuario. Una instalacin desatendida de AD LDS requiere un archivo de respuesta (Answer.txt) que contiene un conjunto de opciones de instalacin configuradas previamente. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para realizar una instalacin desatendida de una instancia de AD LDS 1. En un editor de texto, cree un nuevo archivo de texto. Como alternativa, puede copiar y pegar el siguiente archivo de respuesta de ejemplo en su archivo de respuesta.
Copiar cdigo
[ADAMInstall] ; La lnea siguiente especifica que se instale una instancia nica de ADAM. InstallType=Unique ; La siguiente lnea especifica el nombre que se asignar a la nueva instancia. InstanceName=MyFirstInstance ; La siguiente lnea especifica el puerto de comunicaciones que se usar para LDAP.
25
LocalLDAPPortToListenOn=389 ; La siguiente lnea especifica una particin de aplicacin para crear. NewApplicationPartitionToCreate="o=microsoft,c=us" ; La siguiente lnea especifica el directorio para usar archivos de datos ADAM. DataFilesPath=C:\Program Files\Microsoft ADAM\instance1\data ; La siguiente lnea especifica el directorio que se usar para los archivos de registro de ADAM. LogFilesPath=C:\Program Files\Microsoft ADAM\instance1\data ; La siguiente lnea especifica los archivos .ldf que se importarn en el esquema de ADAM. ImportLDIFFiles="ms-inetorgperson.ldf" "ms-user.ldf"
2. Especifique los parmetros de instalacin que se describen en la tabla que sigue inmediatamente a este procedimiento y despus guarde el archivo de respuesta. 3. En un smbolo del sistema (o en un archivo por lotes o de script), cambie a la unidad y el directorio donde se encuentran los archivos de instalacin de AD LDS. Para abrir un smbolo del sistema, haga clic en Inicio, elija Ejecutar y escriba 4. Escriba el comando siguiente:
cmd.
Copiar cdigo
%systemroot%\ADAM\adaminstall.exe /answer:unidad:\rutaDeAcceso\nombreDeArchivo.txt"
donde unidad:\rutaDeAcceso\nombreDeArchivo.txt representa la unidad, la ruta de acceso y el nombre del archivo de respuesta. El comando requiere las comillas. En la tabla siguiente se muestran los parmetros que se pueden usar en un archivo de respuesta de AD LDS. Estos parmetros no distinguen entre maysculas y minsculas. En otras palabras, puede especificar InstallType o installtype en el archivo de respuesta. Sin embargo, AD LDS mantiene el uso de maysculas y minsculas para los valores que haya especificado para los parmetros instancename y servicepassword.
Nota Si no hay un parmetro en el archivo de respuesta, tiene lugar el comportamiento predeterminado.
Parmetro InstallType Vlido para todas las instalaciones. Opcional.
Descripcin Valores posibles
Unique: crea una instancia nica de AD LDS. Replica: crea una instancia de AD LDS replicando todo o parte de una instancia de AD LDS existente, ya sea a travs de la red o a partir de un medio de copia de seguridad restaurado. Si tambin especifica valores en el archivo de respuesta para los parmetros ReplicationDataSourcePath y ReplicationLogSourcePath, y si establece el valor de InstallType en Replica, el programa de instalacin de AD LDS instala una instancia de rplica de AD LDS a partir de un medio de copia de seguridad restaurado. Si no hay valores para esos parmetros, el programa de instalacin de AD LDS instala una
26
instancia de rplica de AD LDS a travs de la red.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que se ha especificado un tipo de instalacin no vlido para InstallType.
Comportamiento predeterminado
Mismo comportamiento que Unique.
ShowOrHideProgressGUI Vlido para todas las instalaciones. Opcional.
Valores posibles
Show: El programa de instalacin de AD LDS muestra informacin de progreso durante la instalacin.
Hide: El programa de instalacin de AD LDS no muestra informacin de progreso durante la instalacin.
Mismo comportamiento que Hide.
InstanceName Vlido para todas las instalaciones. Opcional.
Valores posibles Un nombre de instancia de AD LDS debe cumplir los siguientes requisitos:
Debe ser nico con respecto a otras instancias de AD LDS que se ejecuten en el mismo equipo.
Su longitud no debe superar los 44 caracteres. Slo estn permitidos los caracteres de la "a" a la "z", de la "A" a la "Z" o del "0" al "9".
La instancia de AD LDS se denomina Instancen, donde n es el nmero ms bajo superior que 0 e Instancen es nico en el equipo local.
/ApplicationPartitionsToReplicate Vlido slo para instalaciones de rplica. Opcional.
Especifica los nombres distintivos de las particiones de aplicacin para replicar a partir de la instancia de AD LDS de origen. El ejemplo siguiente especifica tres particiones de aplicacin para replicar: Copiar cdigo
ApplicationPartitionsToReplicate = "CN=my,O=partition" "DC=partition2" "CN=embed qu\"ote in DN"

Para replicar todas las particiones de aplicacin a partir de la instancia de AD LDS de origen, especifique un carcter comodn (*) como valor. AD LDS pasa por alto cualquier valor que especifique para ApplicationPartitionsToReplicate si no establece el valor de InstallType en Replica. Comportamiento predeterminado AD LDS no replica particiones de aplicacin.
27
ReplicationDataSourcePath Vlido slo para instalaciones de rplica. Cuando hay un valor para este parmetro, el programa de instalacin de AD LDS intenta realizar una instalacin desde un medio. Si el valor para este parmetro no es vlido, el programa de instalacin de AD LDS escribe un error en el registro de instalacin.
Especifica la ruta de acceso del directorio de una instancia restaurada de datos de AD LDS. AD LDS pasa por alto cualquier valor que especifique para ReplicationDataSourcePath si no establece InstallType en Replica o si no especifica tambin un valor para ReplicationLogSourcePath. Comportamiento predeterminado AD LDS replica datos de aplicacin a travs de la red, en lugar de una copia de seguridad restaurada de una instancia de AD LDS. Si especifica un valor para este parmetro, pero no para ReplicationLogSourcePath, se produce un error. Especifica la ruta de acceso del directorio del archivo de registro de una instancia restaurada de AD LDS. AD LDS pasa por alto cualquier valor que especifique para ReplicationLogSourcePath si no establece InstallType en Replica o si no especifica tambin un valor para ReplicationDataSourcePath. Comportamiento predeterminado AD LDS replica datos de aplicacin a travs de la red, en lugar de una copia de seguridad restaurada de una instancia de AD LDS. Si especifica un valor para este parmetro, pero no para ReplicationDataSourcePath, se produce un error. Valores posibles
ReplicationLogSourcePath Vlido slo para instalaciones de rplica. Cuando hay un valor para este parmetro, el programa de instalacin de AD LDS intenta realizar una instalacin desde un medio. Si el valor para este parmetro no es vlido, el programa de instalacin de AD LDS escribe un error en el registro de instalacin.
LocalLDAPPortToListenOn Requerido para todas las instalaciones.
389 o cualquier puerto no usado entre 1025 y 65535, ambos incluidos.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que se ha especificado un puerto LDAP local no vlido.
LocalSSLPortToListenOn Requerido para todas las instalaciones. SourceServer Requerido para instalaciones de rplica.
636 o cualquier puerto no usado entre 1025 y 65535, ambos incluidos.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que se ha especificado un puerto SSL local no vlido.
El nmero de puerto toma el valor predeterminado 636. Si no est disponible el valor 636, toma como predeterminado el primer nmero de puerto disponible que sea igual o mayor que 50000.
SourceServer Requerido para instalaciones de rplica.
Valores posibles
Nombre DNS o NetBIOS vlido. Cualquier otro valor: si el valor de InstallType es Replica, AD LDS devuelve un mensaje de error para indicar que es una sintaxis no vlida para el servidor de origen de replicacin.
Si el valor de InstallType es Replica, AD LDS devuelve un mensaje de error para indicar que no se especific el servidor de origen de la replicacin.
28
SourceLDAPPort Requerido para instalaciones de rplica.
Valores posibles
389 o un nmero entre 1025 y 65535. Cualquier otro valor: si el valor de InstallType es Replica, cualquier otro valor de AD LDS devuelve un mensaje de error para indicar que el puerto de origen de la replicacin especificado no es vlido.
Si el valor de InstallType es Replica, AD LDS devuelve un mensaje de error para indicar que no se especific el puerto de origen de la replicacin.
NewApplicationPartitionToCreate Vlido para instalaciones de instancias de AD LDS nicas nuevas. Opcional.
Valores posibles
Un nombre distintivo vlido: crea una particin de aplicacin con el nombre que especifique.
Una cadena vaca (""): no crea una particin de aplicacin nueva.
Cualquier otro valor: si el tipo de instalacin es Unique, AD LDS devuelve un mensaje de error para indicar que NewApplicationPartitionToCreate tiene una sintaxis de particin de aplicacin no vlida.
Mismo comportamiento que una cadena vaca ("").
DataFilesPath Vlido para todas las instalaciones. Opcional.
Valores posibles
Una ruta de acceso con sintaxis correcta, que puede incluir variables de entorno sin resolver que no contengan archivos de AD LDS existentes.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que la ruta de acceso de DataFilesPath no es vlida.
Almacenar los archivos de datos en Archivos de programa\Microsoft ADAM\nombreDeInstancia\data.
LogFilesPath Vlido para todas las instalaciones. Opcional.
Valores posibles
Una ruta de acceso con sintaxis correcta, que puede incluir variables de entorno sin resolver que no contengan archivos de
29
AD LDS existentes.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que la ruta de acceso de LogFilesPath no es vlida.
Almacena los archivos de registro en Archivos de programa\Microsoft ADAM\nombreDeInstancia\data.
ServiceAccount Vlido para todas las instalaciones. Opcional.
Valores posibles
Un nombre de dominio DNS vlido, seguido de una barra diagonal inversa y el nombre de cuenta o grupo.
Un nombre de dominio NetBIOS vlido, seguido de una barra diagonal inversa y el nombre de cuenta.
Un nombre principal de usuario (UPN) vlido. Slo un nombre de cuenta vlido. Se recomienda no usar slo un nombre de cuenta vlido porque la resolucin de un nombre de cuenta que no vaya acompaado de un nombre de dominio requiere procesamiento adicional.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que el usuario especificado en ServiceAccount no es vlido.
Esta instancia de AD LDS se ejecuta con la cuenta del servicio de red.
AddPermissionsToServiceAccount Vlido para todas las instalaciones. Opcional.
Valores posibles
Yes: el programa de instalacin de AD LDS intenta agregar el inicio de sesin como un servicio a la cuenta que especifique como cuenta de servicio.
Cualquier otro valor: el programa de instalacin de AD LDS no intenta agregar el inicio de sesin como un servicio a la cuenta que especifique como cuenta de servicio.
el programa de instalacin de AD LDS no intenta agregar el inicio de sesin como un servicio a la cuenta que especifique como cuenta de servicio.
ServicePassword Vlido para todas las instalaciones.
Valores posibles
30
Requerido, a menos que ServiceAccount sea la cuenta del servicio de red.
Cualquier cadena de caracteres, incluida una cadena vaca ("").
Si ServiceAccount es la cuenta del servicio de red, AD LDS no hace nada; de lo contrario, devuelve un mensaje de error para indicar que no se especific ninguna contrasea en ServicePassword.
Administrador Vlido para todas las instalaciones. Opcional.
Valores posibles
Un nombre de dominio DNS vlido, seguido de una barra diagonal inversa y el nombre de cuenta. No especifique cuentas ni grupos integrados, como DOMINIO\Administradores. En su lugar, si desea especificar un grupo, especifique un grupo de dominio, como nombreDeDominio\Admins. del dominio, donde nombreDeDominio representa el nombre del dominio.
Un nombre de dominio NetBIOS vlido, seguido de una barra diagonal inversa y el nombre de cuenta.
Un nombre UPN vlido. Slo un nombre de cuenta vlido. Se recomienda no usar slo un nombre de cuenta vlido porque la resolucin de un nombre de cuenta que no vaya acompaado de un nombre de dominio requiere procesamiento adicional.
Cualquier otro valor: AD LDS devuelve un mensaje de error para indicar que el usuario especificado en Administrador no es vlido.
El usuario que inici sesin tiene permisos de administrador en esta instancia de AD LDS.
ShowInAddRemovePrograms Vlido para todas las instalaciones. Opcional.
Valores posibles
Show: muestra la instancia de AD LDS en Agregar o quitar programas en el Panel de control.
Hide: no muestra la instancia de AD LDS en Agregar o quitar programas.
Agregar o quitar programas incluye la instancia de AD LDS
31
instalada.
ImportLDIFFiles
Valores posibles
Archivos .ldf opcionales que desee importar en el esquema de AD LDS: ms-User.ldf, ms-InetOrgPerson.ldf, ms-UserProxy.ldf y ms-azman.ldf. Los nombres de archivo deben ir entre comillas dobles separadas por un espacio (" ").
AD LDS no importa ninguno de los archivos .ldf opcionales.
SourceUserName SourcePassword Vlido para instalaciones de rplica. Opcional.
Valores posibles
Nombre de cuenta y contrasea de una cuenta que tenga derechos administrativos para un conjunto de configuracin existente. Use estos parmetros cuando instale una rplica que desee unir al conjunto de configuracin.
AD LDS une la rplica al conjunto de configuracin usando las credenciales del usuario que inici sesin.
AD LDS usa la siguiente clave del Registro para devolver cdigos y mensajes de error al autor de la llamada cuando se instala o se desinstala AD LDS: HKLM\Software\Microsoft\Windows\CurrentVersion\ADAM_Installer_Results El programa de instalacin de AD LDS crea esta clave del registro y los valores asociados slo si se producen errores o advertencias. En la tabla siguiente se muestran los valores para esta clave del Registro.
Clave ADAMInstallErrorCode ADAMInstallErrorMessage ADAMInstallWarnings ADAMUninstallErrorCode ADAMUninstallErrorMessage ADAMUninstallWarnings
Contenido Cdigo de error numrico que dio lugar al error del instalador Mensaje asociado con el cdigo de error de instalacin Mensajes asociados con las advertencias de instalacin Cdigo de error numrico que dio lugar al error de la desinstalacin Mensaje asociado con el cdigo de error de desinstalacin Mensajes asociados con las advertencias de desinstalacin
Importacin de datos en una instancia de AD LDS

Se pueden importar datos en una instancia de AD LDS durante la instalacin de la instancia (con la pgina Importacin de archivos LDIF del Asistente para instalacin de Servicios de directorio ligero de Active Directory) o de forma manual en cualquier momento despus de la creacin de la instancia con la herramienta de la lnea de comandos ldifde, que crea, modifica y elimina objetos de directorio. Tambin puede usar ldifde para ampliar el esquema y exportar la informacin de usuarios y grupos a otros servicios o aplicaciones. Por ejemplo, puede usar ldifde para exportar objetos de directorio desde otro servicio de directorio y, a continuacin, usar ldifde para importar los objetos de directorio en una instancia de AD LDS.
32
El requisito mnimo para completar este procedimiento es pertenecer al grupo Administradores de AD LDS o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para importar o exportar objetos de directorio mediante ldifde 1. Abra una ventana del smbolo del sistema. Para abrir el smbolo del sistema, haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. Efecte uno de los siguientes pasos:
Para importar objetos de directorio, escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
ldifde -i -f <nombreDeArchivo> -s <nombreDeServidor>:<puerto> -m -a <nombreDeUsuario> <dominio> <contrasea>

Para exportar objetos de directorio, escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
ldifde -e -f <nombreDeArchivo> -s <nombreDeServidor>:<puerto> -m -a <nombreDeUsuario> <dominio> <contrasea>
Parmetro ldifde -i -e -f <nombreDeArchivo> -s <nombreDeServidor> <puerto> -m
Descripcin Especifica una utilidad que admite operaciones por lotes basadas en el estndar de archivos LDIF. Realiza una importacin. Realiza una exportacin. Especifica el archivo que se va a importar o exportar. Nombre del archivo que se va a importar o exportar. Especifica el nombre de host y el puerto de la instancia de AD LDS o de otro servicio de directorio. Nombre de host de la instancia de AD LDS o de otro servicio de directorio. Puerto de la instancia de AD LDS o de otro servicio de directorio. Pasa por alto (es decir, ni importa ni exporta) los atributos que slo son usados por AD DS. Puede usar este parmetro al exportar objetos de directorio de un bosque existente de AD DS e importarlos en AD LDS. Especifica las credenciales de la cuenta. Si no se indican, ldifde usar las credenciales del usuario que haya iniciado la sesin actual. Nombre del usuario de la cuenta que se va a usar para enlazar con el servicio de directorio
-a
<nombreDeUsuario>
33
especificado. <dominio> Nombre del dominio de la cuenta que se va a usar para enlazar con el servicio de directorio especificado. Contrasea de la cuenta que se va a usar para enlazar con el servicio de directorio especificado. Permite la importacin de contraseas con el cifrado de Nivel de seguridad y autenticacin simples (SASL). Reemplaza todas las apariciones de cadena1 por cadena2. Con AD LDS, puede usar las constantes #schemaNamingContext y #configurationNamingContext en lugar de los nombres distintivos de la particin de directorio de esquema y la particin de directorio de configuracin al reemplazar cadenas en los archivos .ldf.
<contrasea> -h
-c <Cadena1> <Cadena2>
Para ver la sintaxis completa de este comando, escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
ldifde /?
Paso 3: practicar el uso de las herramientas de administracin de AD LDS

Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 Los Servicios de directorio ligero (AD LDS) de Windows Server 2008 contienen varias herramientas de administracin para tareas de administracin generales. Entre estas tareas se encuentran las siguientes:
Inicio, detencin o reinicio de una instancia de AD LDS Uso de la herramienta de administracin Editor ADSI Uso de la herramienta de administracin Ldp.exe Uso del complemento Esquema como herramienta de administracin de AD LDS Uso del complemento Sitios y servicios de Active Directory como herramienta de administracin de AD LDS Creacin de un archivo LDIF con ADSchemaAnalyzer Sincronizacin con AD DS
Inicio, detencin o reinicio de una instancia de AD LDS
34
Una instancia de AD LDS se ejecuta como un servicio. Por lo tanto, puede iniciar, detener y reiniciar una instancia de AD LDS de la misma manera que si fuera otro servicio que se ejecuta en Windows Server 2008. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para iniciar, detener o reiniciar una instancia de AD LDS con la interfaz de Windows 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. En el panel de detalles, en la lista Servicios del sistema, haga clic en la instancia de AD LDS que desea administrar. Haga clic en Iniciar, Detener o Reiniciar.
Nota De manera predeterminada, la instancia de AD LDS est configurada para iniciarse automticamente.
Uso de la herramienta de administracin Editor ADSI

El Editor ADSI es un complemento de Microsoft Management Console (MMC) que se utiliza para la administracin general de AD LDS. Se instala como parte de las funciones de servidor de AD LDS y Servicios de dominio Active Directory (AD DS). Para usar el Editor ADSI para administrar una instancia de AD LDS, primero debe conectarse y enlazarse a la instancia. Puede administrar contenedores y objetos de la instancia; para ello, vaya hasta los contenedores y objetos y haga clic con el botn secundario sobre ellos. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para administrar una instancia de AD LDS con el Editor ADSI 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. 3. 4. En el rbol de consola, haga clic en Editor ADSI. En el men Accin, haga clic en Conectar a. Aparecer el cuadro de dilogo Configuracin de la conexin. En Nombre escriba una etiqueta bajo la cual aparecer esta conexin en el rbol de consola del Editor ADSI. Para esta conexin, escriba: AD LDS Demo 5. En Puerto de conexin, haga clic en Seleccione o escriba un nombre distintivo o un contexto de nomenclatura y especifique el nombre distintivo al que desea conectarse, o bien haga clic en Seleccione un contexto de nomenclatura conocido y despus en Configuracin, RootDSE o Esquema. Para este ejercicio, haga clic en Seleccione o escriba un nombre distintivo o un contexto de nomenclatura, escriba o=Microsoft,c=US y haga clic en Aceptar. 6. En Seleccione o escriba un dominio o servidor: (servidor | dominio [:puerto]), escriba el nombre DNS (Sistema de nombres de dominio), el nombre NETBIOS o la direccin IP del equipo en el que se est ejecutando la instancia de AD LDS, seguido de dos puntos (:) y el puerto de comunicaciones del Protocolo ligero de acceso a directorios (LDAP) que usa la instancia de AD LDS a la que desea conectarse. En este ejercicio, AD LDS se ejecuta en el equipo local; por tanto, puede escribir localhost:389. 7. En el rbol de consola del complemento Editor ADSI, haga doble clic en AD LDS Demo y despus en O=Microsoft,c=US. El complemento Editor ADSI muestra ahora la particin del directorio de aplicacin. 8. En el rbol de consola, haga clic en cualquier contenedor para ver los objetos de ese contenedor.
35
9.
Para cerrar el Editor ADSI, en el men Archivo haga clic en Salir.
Uso de la herramienta de administracin Ldp.exe

Ldp.exe es una herramienta de interfaz grfica de usuario (GUI) para la administracin general de un servicio de directorio del Protocolo ligero de acceso a directorios (LDAP). Si desea usar Ldp.exe para administrar una instancia de los Servicios de directorio ligero de Active Directory (AD LDS), debe conectarse y enlazarse a la instancia y, a continuacin, visualizar la jerarqua (en forma de rbol) de un nombre distintivo de la instancia. En el rbol, vaya hasta el objeto y, con el botn secundario, haga clic en el objeto para administrarlo. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para administrar una instancia de AD LDS con Ldp.exe 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. 5. En el panel de detalles, en Herramientas avanzadas, haga clic en Ldp.exe. En el men Conexin, haga clic en Conectar. En Servidor, escriba el nombre DNS, el nombre NetBIOS o la direccin IP del equipo en el que se est ejecutando la instancia de AD LDS. En este ejercicio, la instancia de AD LDS se ejecuta en el equipo local; por tanto, escriba localhost como nombre de servidor. 6. En Puerto, escriba el nmero del puerto de comunicaciones LDAP o Capa de sockets seguros (SSL) de la instancia de AD LDS a la que desee conectarse y haga clic en Aceptar.
Nota El puerto de comunicaciones predeterminado para LDAP es el 389. El puerto de comunicaciones predeterminado para SSL es el 636. 7. 8. En el men Conexin, haga clic en Enlazar. Efecte uno de los siguientes pasos:
Para enlazar mediante las credenciales con las que inici sesin, haga clic en Enlazar como usuario con sesin iniciada.
Para enlazar mediante una cuenta de usuario de dominio, haga clic en Enlazar con credenciales, escriba el nombre de usuario, la contrasea y el nombre de dominio (o el nombre del equipo, si est usando una cuenta de la estacin de trabajo local) de la cuenta que est usando y haga clic en Aceptar.
Para enlazar slo mediante un nombre de usuario y una contrasea, haga clic en Enlace simple, escriba el nombre de usuario y la contrasea de la cuenta que est usando y haga clic en Aceptar.
Para enlazar mediante un mtodo avanzado (NTLM, Autenticacin de contrasea distribuida (DPA), negociacin o autenticacin implcita), seleccione Opciones avanzadas (mtodo), haga clic en Opciones avanzadas, en Mtodo, seleccione el mtodo que desee, defina las dems opciones segn sea necesario y haga clic en Aceptar.
Para este ejercicio, haga clic en Enlazar como usuario con sesin iniciada. 9. Cuando haya terminado de especificar las opciones de enlace, haga clic en Aceptar.
36
10. En el men Ver, haga clic en rbol. 11. Expanda la lista desplegable DN base y haga clic en el nombre distintivo del objeto que se usar como objeto base en el panel de navegacin. Para este ejercicio, haga clic en O=Microsoft,c=US y despus en Aceptar. 12. En el rbol de consola, haga clic en cualquier contenedor para ver los objetos de ese contenedor. 13. Para cerrar Ldp.exe, en el men Conexin haga clic en Salir.
Uso del complemento Esquema como herramienta de administracin de AD LDS

Tambin puede usar el complemento Esquema de Active Directory para ver y administrar objetos de esquema de los Servicios de directorio ligero de Active Directory (AD LDS).
Nota Si el complemento Esquema est ya instalado en el equipo, omita los pasos 1 a 7 y comience el siguiente procedimiento con el paso 8. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para conectarse a una instancia de AD LDS con el complemento Esquema de Active Directory 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. Escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
regsvr32 schmmgmt.dll
3. 4. 5. Haga clic en Inicio, en Ejecutar, escriba mmc y, a continuacin, haga clic en Aceptar. En el men Archivo, haga clic en Agregar o quitar complemento. En Complementos disponibles, haga clic en Esquema de Active Directory, en Agregar y, a continuacin, en Aceptar. 6. 7. Para guardar esta consola, en el men Archivo, haga clic en Guardar. En el cuadro de dilogo Guardar como, realice una de las siguientes acciones:
Para colocar el complemento en el men Herramientas administrativas, escriba un nombre para el complemento en Nombre de archivo y haga clic en Guardar.
Para guardar el complemento en una ubicacin distinta de la carpeta Herramientas administrativas, en Guardar en, desplcese a la ubicacin donde desea guardar el complemento. En Nombre de archivo, escriba un nombre para el complemento y haga clic en Guardar.
8. 9.
Abra el complemento Esquema En el rbol de consola, haga clic con el botn secundario en Esquema de Active Directory y elija Cambiar el controlador de dominio de Active Directory.
10. En el cuadro de dilogo Cambiar servidor de directorio, haga clic en <Escriba aqu un nombre de servidor de directorio[:puerto]> y escriba el nombre DNS, el nombre NetBIOS o la direccin IP del equipo en el que se est ejecutando la instancia de AD LDS.
37
En este ejercicio, la instancia de AD LDS se ejecuta en el equipo local; por tanto, escriba localhost:389. 11. Haga clic en localhost:389 y, a continuacin, en Aceptar. 12. En el rbol de consola, haga clic en cualquier contenedor para ver los objetos de ese contenedor. Para obtener ms informacin sobre la administracin de objetos de esquema con el complemento Esquema, consulte la Ayuda en su servidor. Para mostrar la Ayuda, abra el complemento Esquema y presione F1.
Uso del complemento Sitios y servicios de Active Directory como herramienta de administracin de AD LDS
Use el complemento Sitios y servicios de Active Directory para conectarse a la instancia de AD LDS y administrar la replicacin de datos de directorio entre todos los sitios de un conjunto de configuracin de AD LDS. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para conectarse a una instancia de AD LDS con el complemento Sitios y servicios de Active Directory 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory. 2. En el rbol de consola, haga clic con el botn secundario en Sitios y servicios de Active Directory y haga clic en Cambiar el controlador de dominio. 3. En el cuadro de dilogo Cambiar servidor de directorio, haga clic en <Escriba aqu un nombre de servidor de directorio[:puerto]> y escriba el nombre DNS, el nombre NetBIOS o la direccin IP del equipo en el que se est ejecutando la instancia de AD LDS. En este ejercicio, la instancia de AD LDS se ejecuta en el equipo local; por tanto, escriba localhost:389. 4. 5. Seleccione localhost:389 y haga clic en Aceptar. En el rbol de consola, haga clic en cualquier contenedor para ver los objetos de ese contenedor.
Nota Se requiere el archivo MS-ADLDS-DisplaySpecifiers.ldf para las operaciones con Sitios y servicios de Active Directory. Si planea conectarse a una instancia de AD LDS y administrarla con Sitios y servicios de Active Directory, importe este archivo .ldf con el Asistente para instalacin de Servicios de directorio ligero de Active Directory. Para obtener ms informacin, consulte el procedimiento "Para crear una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory" de Paso 2: practicar trabajando con instancias de AD LDS. Para obtener ms informacin acerca del complemento Sitios y servicios de Active Directory, consulte la Ayuda en su servidor. Para mostrar la Ayuda, abra el complemento Esquema y presione F1.
Creacin de un archivo LDIF con ADSchemaAnalyzer

Si va a compilar una aplicacin personalizada, puede compilar fcilmente el esquema con archivos LDIF personalizados. Sin embargo, si necesita copiar datos de una implementacin de AD DS existente a la nueva instancia de AD LDS, es difcil compilar el archivo de esquema. Los administradores de AD LDS pueden usar ADSchemaAnalyzer para copiar el esquema de AD DS e importarlo en AD LDS de un modo rpido. Puede usar ADSchemaAnalyzer para facilitar la migracin del esquema de AD DS a AD LDS, de una instancia de AD LDS a otra o de un directorio compatible con LDAP a una instancia de AD LDS. Puede usar ADSchemaAnalyzer para cargar un esquema de destino (origen), marcar los elementos que desea migrar y exportarlos al esquema de base de AD LDS.
Importante Cuando use ADSchemaAnalyzer para crear un archivo LDIF, cargue tanto el esquema de destino como el esquema de base. De lo contrario, es posible que la herramienta ldifde no pueda usar el archivo LDIF resultante. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477.
38
Para crear un archivo LDIF con ADSchemaAnalyzer 1. Abra un smbolo del sistema y cambie el directorio a %windir%\ADAM. 2. Escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
adschemaanalyzer
3. Para cargar un esquema de destino, haga clic en Archivo, elija Cargar esquema de destino y realice una de las siguientes acciones:
Para cargar el esquema de Active Directory del dominio como esquema de destino, en el cuadro de dilogo escriba su nombre de usuario, contrasea y dominio, y haga clic en Aceptar.
Para cargar un esquema diferente (como el esquema de un bosque de AD DS u otro directorio compatible con LDAP), en el cuadro de dilogo escriba el nombre del servidor y el puerto del directorio que contiene el esquema de destino; escriba su nombre de usuario, contrasea y dominio segn sea preciso y haga clic en Aceptar.
4.
Para cargar el esquema de la instancia de AD LDS como esquema de base, haga clic en Archivo, elija Cargar esquema de base y, en Servidor[:puerto], escriba el nombre del servidor y el puerto de la instancia de AD LDS.
5. 6.
En el cuadro de dilogo, haga clic en Aceptar. En el rbol resultante marque todos los elementos que desee exportar al esquema de base. Para ello, haga clic con el botn secundario en el elemento y seleccione alguna de las siguientes opciones:
Automtico marca un elemento de forma automtica como incluido o excluido en la exportacin. Si un elemento est marcado como Automtico (incluido), haga clic con el botn secundario en ese elemento y elija Por qu se incluye automticamente? para ver el rbol de dependencias inversas del elemento.
Incluido marca un elemento para incluirlo en la exportacin. ADSchemaAnalyzer marca todos los elementos relacionados, como superclasses, auxClasses, must/may contains, defaultObjectCategory y possSuperiors. ADSchemaAnalyzer incluye propsets para atributos incluidos y vnculos hacia atrs para los vnculos.
Excluido marca un elemento para no incluirlo en la exportacin. Puede bloquear determinadas rutas de acceso en el grfico de dependencias. Por ejemplo, quiz desee importar domainDns, pero no samAccountDomain (que es un elemento auxClass de domainDns). Puede excluir un elemento completo, como la clase samAccountDomain, o excluir una relacin; por ejemplo, puede quitar la referencia de auxClass de la clase domainDns. Si excluye una relacin, otras clases que hagan referencia a ese elemento continuarn incluyndolo.
Presente significa que el elemento est presente en el servidor de destino. De forma predeterminada, la clase superior se marca como presente.
7.
Para crear el archivo LDIF, haga clic en Archivo y elija Crear archivo LDIF.
Sincronizacin con AD DS
La sincronizacin de datos de un bosque de AD DS con el conjunto de configuracin de una instancia de AD LDS requiere dos pasos:
Preparar la instancia de AD LDS para su sincronizacin. Sincronizar los datos.
39
Normalmente, el primer paso slo se realiza una vez. El segundo paso se realiza siempre que desee actualizar la instancia de AD LDS. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para preparar la instancia de AD LDS para su sincronizacin 1. Abra una ventana del smbolo del sistema. 2. Escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
cd %windir%\adam
3. Efecte uno de los siguientes pasos:
Para preparar la sincronizacin de una instancia de AD LDS con un bosque de Windows Server 2003, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
ldifde -i -u -f ms-adamschemaw2k3.ldf -s <servidor>:<puerto> -b <nombre_usuario> <dominio> <contrasea> -j . -c "cn=Configuration,dc=X" #configurationNamingContext

Para preparar la sincronizacin de una instancia de AD LDS con un bosque de Windows Server 2008, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
ldifde -i -u -f ms-adamschemaw2k8.ldf -s <servidor>:<puerto> -b <nombre_usuario> <dominio> <contrasea> -j . -c "cn=Configuration,dc=X" #configurationNamingContext

Importante No olvide incluir el punto (.) entre -j y -c. Nota Puesto que, en este ejercicio, la instancia de AD LDS se ejecuta en un equipo local, use localhost para servidor y el puerto de comunicaciones LDAP predeterminado de 389. 4. Escriba el siguiente comando y presione ENTRAR:
40
Copiar cdigo
ldifde -i -s <servidor>:<puerto> -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf

5. Escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
notepad MS-AdamSyncConf.xml
6. En el Bloc de notas, efecte los siguientes cambios en el contenido del archivo de configuracin:
Sustituya el valor de <source-ad-name> por el nombre del controlador de dominio de AD DS de origen. Sustituya el valor de <source-ad-partition> por el nombre distintivo del dominio de origen. Sustituya el valor de <source-ad-account> por el nombre de una cuenta del grupo Admins. del dominio del dominio de origen.

7.
Reemplace el valor de <account-domain> por el nombre DNS completo del dominio de origen. Sustituya el valor de <target-dn> por el nombre de la particin de la instancia de AD LDS de destino. Sustituya el valor de <base-dn> por el nombre distintivo base del dominio de origen.
En el Bloc de notas, en el men Archivo, haga clic en Guardar como, escriba un nombre nuevo para el archivo, haga clic en Guardar y cierre el Bloc de notas.
8.
En el smbolo del sistema, escriba el siguiente comando, sustituyendo archivo_xml por el nombre del archivo del paso anterior, y presione ENTRAR:
Copiar cdigo
adamsync /install <servidor>:<puerto> <.xml_file>

Una vez preparada la instancia de AD LDS para la sincronizacin, puede realizar el siguiente procedimiento como precise para sincronizar los datos del bosque de AD DS especificado con la instancia de AD LDS. Para sincronizar los datos del bosque de AD DS con una instancia de AD LDS En el smbolo del sistema, escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
adamsync /sync <servidor>:<puerto> <dn_configuracin> /log

En la tabla siguiente se incluyen los parmetros de los procedimientos anteriores de esta seccin y otros parmetros de adamsync utilizados con frecuencia. Para obtener ms informacin acerca de los parmetros de adamsync, escriba adamsync /? en el smbolo del sistema y presione ENTRAR.
Parmetro /? /i o /install <archivo_entrada>
Descripcin Muestra las opciones de la lnea de comandos. Instala la configuracin incluida en el archivo de entrada especificado.
41
/sync <dn_configuracin> /fs <dn_configuracin> /ageall <dn_configuracin>
Sincroniza la configuracin especificada.
Realiza una sincronizacin de replicacin completa para la configuracin especificada. Realiza una bsqueda para detectar registros obsoletos para la configuracin especificada. Una bsqueda para detectar registros obsoletos determina, tras buscar objetos de AD LDS en AD DS, si los objetos de AD LDS de una configuracin se eliminaron de AD DS. Realiza una sincronizacin de replicacin para el objeto especificado en la configuracin especificada. Utilice el nombre distintivo del objeto.
/so <dn_configuracin dn_objeto> Nota
Debe poseer acceso de lectura o Dirsync a los objetos o particiones del bosque de AD DS que desee sincronizar. Nota Debe poseer control total de una particin del directorio de aplicaciones en una instancia de AD LDS para ejecutar este comando.
Paso 4: practicar la administracin de unidades organizativas, grupos y usuarios de AD LDS

Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 Los Servicios de directorio ligero de Active Directory (AD LDS) se suelen usar para almacenar informacin acerca de usuarios, organizaciones y los grupos a los que pertenecen. Las tareas para administrar unidades organizativas, grupos y usuarios de AD LDS son:
Creacin de una unidad organizativa Creacin de un grupo de AD LDS Creacin de un usuario de AD LDS Agregar o quitar miembros en un grupo de AD LDS Deshabilitar o habilitar cuentas de usuario de AD LDS
Creacin de una unidad organizativa

Para mantener organizados los grupos y usuarios de AD LDS, puede colocarlos en unidades organizativas. En los Servicios de dominio de Active Directory (AD DS) y en AD LDS, as como en otros directorios basados en el Protocolo ligero de acceso a directorios (LDAP), las unidades organizativas son el mtodo ms usado para organizar usuarios y grupos. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para crear una unidad organizativa 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. Conctese y enlcese a la particin de directorio de la instancia de AD LDS a la que desee agregar una unidad organizativa (OU).
42
Para este ejercicio, conctese y enlcese a la particin de directorio de aplicacin o=Microsoft,c=US, como se explica en el procedimiento "Para administrar una instancia de AD LDS con el Editor ADSI" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 3. En el rbol de consola, haga doble clic en la particin de directorio o=Microsoft,c=US, haga clic con el botn secundario en el contenedor al que desea agregar la unidad organizativa, elija Nuevo y haga clic en Objeto. 4. 5. En Seleccione una clase, haga clic en organizationalUnit y, a continuacin, en Siguiente. En Valor, escriba un nombre para la nueva unidad organizativa y haga clic en Siguiente. Para este ejercicio, escriba AD LDS Users en el campo Valor. 6. Si desea establecer valores de otros atributos, haga clic en Ms atributos. Para este ejercicio, tan slo haga clic en Finalizar.
Creacin de un grupo de AD LDS

Puede administrar usuarios y grupos en AD LDS mediante el complemento Editor ADSI o mediante aplicaciones habilitadas para el uso de directorios. Para crear usuarios en AD LDS, en primer lugar debe importar en el esquema de AD LDS las clases de usuario opcionales que se proporcionan con AD LDS. Estas clases de usuario se ofrecen en archivos .ldf que se pueden importar, disponibles en el directorio %windir%\ADAM del equipo en el que est instalado AD LDS. Para obtener ms informacin, consulte el procedimiento "Para crear una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory" de Paso 2: practicar trabajando con instancias de AD LDS. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para crear un grupo de AD LDS 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. Conctese y enlcese a la particin de directorio de la instancia de AD LDS a la que desee agregar una unidad organizativa (OU). Para este ejercicio, conctese y enlcese a la particin de directorio de aplicacin o=Microsoft,c=US, como se explica en el procedimiento "Para administrar una instancia de AD LDS con el Editor ADSI" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 3. En el rbol de consola, haga doble clic en la particin de directorio o=Microsoft,c=US, haga clic con el botn secundario en OU=AD LDS Users, elija Nuevo y haga clic en Objeto. 4. 5. En Seleccione una clase, haga clic en Grupo y, a continuacin, en Siguiente. En Valor, escriba un nombre comn (CN) para el nuevo grupo y haga clic en Siguiente. Para este ejercicio, escriba AD LDS Testers en el campo Valor.
Nota De forma predeterminada, el atributo groupType se establece en 0x80000002 hexadecimal y representa un grupo de cuentas. Si desea cambiarlo, haga clic en Ms atributos. En Seleccionar propiedades para ver, elija Ambos (Obligatorio y Opcional). En el men desplegable Seleccionar una propiedad para ver, elija groupType y edtelo segn su diseo escribiendo el valor en el campo Editar atributo. 6. 7. Si desea establecer valores de otros atributos, haga clic en Ms atributos. Cuando haya establecido los atributos que desee para el nuevo grupo, haga clic en Finalizar.
43
Creacin de un usuario de AD LDS

Puede administrar usuarios y grupos en AD LDS con el complemento Editor ADSI o con aplicaciones habilitadas para el uso de directorios. Para crear usuarios en AD LDS, en primer lugar debe importar en el esquema de AD LDS las clases de usuario opcionales que se proporcionan con AD LDS. Estas clases de usuario se ofrecen en archivos .ldf que se pueden importar, disponibles en el directorio %windir%\ADAM del equipo en el que est instalado AD LDS. Para obtener ms informacin, consulte el procedimiento "Para crear una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory" de Paso 2: practicar trabajando con instancias de AD LDS. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para crear un usuario de AD LDS 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. Conctese y enlcese a la particin de directorio de la instancia de AD LDS a la que desee agregar una unidad organizativa (OU). Para este ejercicio, conctese y enlcese a la particin de directorio de aplicacin o=Microsoft,c=US, como se explica en el procedimiento "Para administrar una instancia de AD LDS con el Editor ADSI" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 3. 4. En el rbol de consola, haga clic con el botn secundario en OU=AD LDS Users, elija Nuevo y haga clic en Objeto. En Seleccione una clase, haga clic en la clase que desea usar (user, inetOrgPerson, person u OrganizationalPerson) y, a continuacin, haga clic en Siguiente. 5. En Valor, escriba un valor para el atributo de nombre comn (CN) del nuevo usuario y haga clic en Siguiente. Para este ejercicio, escriba Mary North como CN del nuevo usuario. 6. 7. Si desea establecer valores de otros atributos, haga clic en Ms atributos. Cuando haya establecido todos los atributos del nuevo usuario, haga clic en Finalizar.
Nota Si se crea un usuario de AD Para realizar correctamente un usuario de AD LDS" ms Users,O=Microsoft,C=US LDS con una contrasea en blanco, esta cuenta de usuario se deshabilitar automticamente. los dems ejercicios de esta gua, siga los pasos del procedimiento "Para deshabilitar o habilitar adelante para habilitar la cuenta de usuario CN=Mary North,OU=AD LDS que acaba de crear.
Agregar o quitar miembros en un grupo de AD LDS

AD LDS se basa en usuarios y grupos para proporcionar y controlar el acceso a los datos de directorio. AD LDS permite el uso simultneo de usuarios de Windows y de AD LDS. Tanto los usuarios de Windows como los de AD LDS pueden ser miembros de los grupos de AD LDS. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para agregar o quitar miembros en un grupo de AD LDS 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. Conctese y enlcese a la particin de directorio de la instancia de AD LDS a la que desee agregar una unidad organizativa (OU).
44
Para este ejercicio, conctese y enlcese a la particin de directorio de aplicacin o=Microsoft,c=US, como se explica en el procedimiento "Para administrar una instancia de AD LDS con el Editor ADSI" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 3. 4. En el rbol de consola, haga doble clic en la particin de directorio que contiene el grupo que desea modificar. Haga clic con el botn secundario en el grupo que desea modificar y, a continuacin, haga clic en Propiedades. Para este ejercicio, seleccione CN=AD LDS Testers. 5. 6. En Atributos, haga clic en miembro y, a continuacin, haga clic en Editar. En Nombre completo multivalor con editor de entidad de seguridad, para cada entidad de seguridad de AD LDS que desee agregar al grupo, haga clic en Agregar DN, escriba el nombre distintivo del nuevo miembro y, a continuacin, haga clic en Aceptar. Para este ejercicio, escriba CN=Mary North,OU=AD LDS Users,o=Microsoft,c=US. 7. En Nombre completo multivalor con editor de entidad de seguridad, para cada entidad de seguridad de Windows que desee agregar al grupo, haga clic en Agregar cuenta de Windows, escriba el nombre de cuenta del nuevo miembro y, a continuacin, haga clic en Aceptar. 8. En Nombre completo multivalor con editor de entidad de seguridad, para cada miembro que desee quitar del grupo, elija el miembro que desea quitar y haga clic en Quitar. 9. Tras realizar los cambios que desee en el grupo, haga clic en Aceptar dos veces.
Deshabilitar o habilitar cuentas de usuario de AD LDS

Cuando se habilita o se deshabilita a un usuario de AD LDS, se controla si ese usuario puede enlazarse al directorio de AD LDS. Para habilitar o deshabilitar a usuarios de AD LDS, utilice el complemento Editor ADSI. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para habilitar o deshabilitar a un usuario de AD LDS 1. Abra el Editor ADSI. 2. Conctese y enlcese a la particin de directorio de la instancia de AD LDS a la que desee agregar una unidad organizativa (OU). Para este ejercicio, conctese y enlcese a la particin de directorio de aplicacin o=Microsoft,c=US, como se explica en el procedimiento "Para administrar una instancia de AD LDS con el Editor ADSI" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 3. Desplcese al usuario de AD LDS que desee habilitar o deshabilitar, haga clic con el botn secundario en este usuario y, a continuacin, haga clic en Propiedades. Para este ejercicio, seleccione CN=Mary North. 4. 5. En Atributos, haga clic en msDS-UserAccountDisabled y, a continuacin, en Editar. En Editor de atributo booleano, realice una de las siguientes acciones y haga clic en Aceptar:
Para deshabilitar al usuario de AD LDS, haga clic en Verdadero. Para habilitar al usuario de AD LDS, haga clic en Falso o en No establecido.
45
Paso 5: practicar trabajando con particiones de directorio de aplicaciones

Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 El almacn de directorio de los Servicios de directorio ligero de Active Directory (AD LDS) se divide en particiones de directorio lgicas. Existen tres tipos diferentes de particiones de directorio:
Particiones de directorio de configuracin Particiones de directorio de esquema Particiones del directorio de aplicaciones
Cada almacn de directorio de AD LDS debe contener una sola particin de directorio de configuracin y una sola particin de directorio de esquema. El almacn de directorio puede contener ninguna o varias particiones de directorio de aplicaciones. Las particiones de directorio de aplicaciones contienen los datos que usan las aplicaciones. Puede crear una particin de directorio de aplicaciones durante la instalacin de AD LDS o en cualquier otro momento despus de realizar la instalacin. Para obtener ms informacin sobre cmo crear una particin de directorio de aplicaciones durante la instalacin de AD LDS, consulte el procedimiento "Para crear una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory" de Paso 2: practicar trabajando con instancias de AD LDS. Las tareas manuales para administrar una particin de directorio de aplicacin son:
Creacin de una particin de directorio de aplicaciones Eliminacin de una particin de directorio de aplicaciones
Creacin de una particin de directorio de aplicaciones

Use Ldp.exe para agregar una nueva particin de directorio de aplicaciones a una instancia de AD LDS existente. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para agregar una particin del directorio de aplicaciones a una instancia de AD LDS existente 1. Abra Ldp.exe y, a continuacin, conctese y enlcese a una instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 2. 3. En el men Examinar, haga clic en Agregar secundario. En DN, escriba un nombre distintivo para la particin de aplicaciones. Para este ejercicio, escriba cn=test,o=testpartition,c=us como nombre distintivo de la nueva particin de directorio de aplicaciones. 4. En Editar entrada, escriba ObjectClass en el cuadro Atributo y container en el cuadro Valores; despus, haga clic en Entrar. 5. En Editar entrada, escriba instanceType en el cuadro Atributo y 5 en el cuadro Valores; despus, haga clic en Entrar. 6. Haga clic en Ejecutar. Una vez agregada la nueva particin del directorio de aplicaciones, aparece la siguiente informacin en el panel de detalles:
46
Copiar cdigo
Added {cn=test,o=testpartition,c=us}.
7. 8. Haga clic en Cerrar. Para actualizar Ldp.exe y ver la nueva particin de directorio, debe desconectarse y enlazarse de nuevo a la instancia de AD LDS. En el men Conexin, haga clic en Desconectar. 9. Enlcese a la instancia de AD LDS como hizo previamente.
10. Para ver el rbol de directorios en Ldp.exe, en el men Ver, haga clic en rbol. 11. Para ver todas las particiones de directorio de la instancia de AD LDS, deje DN base en blanco y haga clic en Aceptar. 12. Para ver la nueva particin de directorio y sus contenedores y objetos predeterminados, en el rbol de consola, haga doble clic en CN=test,O=testpartition,C=US. Tambin puede crear particiones de directorio de aplicaciones de AD LDS ejecutando Dsmgmt.exe. Para obtener ms informacin acerca de Dsmgmt, consulte el tema sobre Dsmgmt en http://go.microsoft.com/fwlink/?LinkId=96303 (puede estar en ingls).
Eliminacin de una particin de directorio de aplicaciones

Use Ldp.exe para eliminar una nueva particin de directorio de aplicaciones de una instancia de AD LDS existente. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para eliminar una particin del directorio de aplicaciones de una instancia de AD LDS existente 1. Abra Ldp.exe y, a continuacin, conctese y enlcese a una instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 2. En el rbol de consola, haga doble clic en la particin de directorio de configuracin CN=Configuration,CN={GUID}, donde GUID es el identificador nico global (GUID) asignado por AD LDS. 3. Para ver los objetos de referencia cruzada de las particiones de directorio de la instancia de AD LDS, en el rbol de consola haga doble clic en el contenedor de particiones CN=Partitions. 4. En el rbol de consola, en el contenedor de particiones CN=Partitions haga doble clic en los objetos de referencia cruzada hasta que encuentre uno para el que el valor de nCName (como muestra el panel de detalles) sea igual a CN=test,O=testpartition,C=US. 5. Para eliminar este objeto de referencia cruzada (y, por tanto, la particin de directorio asociada), haga clic con el botn secundario en el rbol de consola, elija Eliminar y haga clic en Aceptar.
Precaucin No se puede deshacer la eliminacin de una particin despus de hacer clic en Aceptar. 6. Tras eliminar el objeto de referencia cruzada, aparece un resultado similar al siguiente en el panel de detalles:
Copiar cdigo
47
ldap_delete_s(ld, "CN=56c5aea2-5cb1-450a-96f05622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835DCBBEE6E08B1}"); Deleted "CN=56c5aea2-5cb1-450a-96f05622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835DCBBEE6E08B1}"

7. Para actualizar Ldp.exe y asegurarse de que se elimin correctamente la particin de directorio de prueba, debe desconectarse y enlazarse de nuevo a la instancia de AD LDS. En el men Conexin, haga clic en Desconectar. 8. 9. Enlcese a la instancia de AD LDS como hizo previamente. Para ver el rbol de directorios en Ldp.exe, en el men Ver, haga clic en rbol.
10. Para ver todas las particiones de directorio de la instancia de AD LDS, deje DN base en blanco y haga clic en Aceptar. CN=test,O=testpartition,C=US debe haber desaparecido del rbol de consola. Tambin puede quitar particiones de directorio de aplicaciones de AD LDS ejecutando Dsmgmt.exe. Para obtener ms informacin acerca de Dsmgmt, consulte el tema sobre Dsmgmt en http://go.microsoft.com/fwlink/?LinkId=96303 (puede estar en ingls).
Paso 6: practicar la administracin de autorizacin

Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 "Autorizacin" es el proceso por el que se determina qu usuarios tienen acceso a qu objetos de directorio. En los Servicios de directorio ligero de Active Directory (AD LDS), las listas de control de acceso (ACL) de cada objeto de directorio determinan los usuarios que tienen acceso a ese objeto. De forma predeterminada, en AD LDS slo las listas ACL residen en el objeto de nivel superior de cada particin de directorio. Todos los objetos de una particin de directorio determinada heredan estas listas ACL. Para obtener ms informacin acerca de las listas ACL, consulte el tema sobre las listas de control de acceso en http://go.microsoft.com/fwlink/?LinkID=96544 (puede estar en ingls). La administracin de la autorizacin en AD LDS abarca las siguientes tareas:
Visualizacin de permisos Concesin de permisos Denegacin de permisos
Visualizacin de permisos
Puede ver el control de acceso en AD LDS objeto por objeto usando:
Dsacls LDP.exe
Visualizacin de permisos con la herramienta de lnea de comandos dsacls Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Lectores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para ver los permisos de un objeto de directorio con dsacls 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador.
48
2.
Para ver todos los permisos establecidos actualmente en el objeto de particin de directorio, en el smbolo del sistema escriba el siguiente comando y presione ENTRAR:
Copiar cdigo
dsacls \\<nombreDeServidor>:<nmeroDePuerto>\<dn_objeto>
Parmetro dsacls <nombreDeServidor> <nmeroDePuerto> <dn_objeto>
Descripcin Muestra o modifica los permisos de objetos de AD DS y AD LDS. Nombre del equipo en el que se ejecuta la instancia de AD LDS que contiene el objeto de directorio. Nmero del puerto de comunicaciones en el que se comunica la instancia de AD LDS. Nombre distintivo del objeto de directorio.
Para este ejercicio, escriba dsacls \\localhost:389\o=Microsoft,c=US y presione ENTRAR. Debe aparecer un resultado similar al siguiente en la pantalla:
Copiar cdigo
Access list: Effective Permissions on this object are: Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3CC3BEC88B335E} Replicating Directory Changes Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replication Synchronization Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Manage Replication Topology Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replicating Directory Changes All Permissions inherited to subobjects are: Inherited to all subobjects Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL The command completed successfully
Visualizacin de permisos con Ldp.exe Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Lectores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. Para ver los permisos de un objeto de directorio con LDP.exe 1. Abra Ldp.exe y, a continuacin, conctese y enlcese a una instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 2. En el panel de navegacin, haga clic con el botn secundario en el objeto de particin de directorio para el que desea ver los permisos, haga clic en Opciones avanzadas y elija Descriptor de seguridad.
49
El cuadro de dilogo Descriptor de seguridad muestra todas las entradas de control de acceso (ACE) y los derechos de acceso asignados para el objeto de particin de directorio seleccionado.
Concesin de permisos
Puede conceder control de acceso en AD LDS objeto por objeto usando:
Dsacls LDP.exe
Concesin de permisos con la herramienta de lnea de comandos dsacls Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Administradores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para conceder permisos sobre un objeto de directorio con dsacls 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. Escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
Copiar cdigo
dsacls "\\<nombreDeHost>:<nmeroDePuerto>\<dn_objeto>" /G "<usuario_o_grupo>":<Permisos>
Parmetro dsacls <nombreDeHost> <nmeroDePuerto> <dn_objeto> <usuario_o_grupo> <Permisos> /G
Descripcin Muestra o modifica los permisos de objetos de AD DS y AD LDS. Nombre del equipo en el que se ejecuta la instancia de AD LDS que contiene el objeto de directorio. Nmero del puerto de comunicaciones en el que se comunica la instancia de AD LDS. Nombre distintivo del objeto de directorio. Usuario o grupo al que se aplican los permisos. Permisos que se van a conceder. Indica que se van a conceder los permisos especificados a un usuario o grupo especificado.
Para este ejercicio, escriba lo siguiente y presione ENTRAR: dsacls "\\localhost:389\cn=AD LDS Testers,OU=AD LDS users,o=Microsoft,c=US" /G "CN=Mary North,OU=AD LDS users,o=Microsoft,c=US":SD Este comando concede al usuario Mary North el permiso Eliminar para el objeto CN=AD LDS Testers. Debe aparecer un resultado similar al siguiente en la pantalla:
Copiar cdigo
Access list: Effective Permissions on this object are: Allow CN=Mary North,OU=ADAM users,O=Microsoft,C=US SPECIAL ACCESS DELETE Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent>
50
READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL parent> The command completed successfully
Concesin de permisos con Ldp.exe Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Administradores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para conceder permisos sobre un objeto de directorio con LDP.exe 1. Abra Ldp.exe y, a continuacin, conctese y enlcese a una instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 2. Haga clic con el botn secundario en el objeto de particin de directorio para el que desea ver los permisos, haga clic en Opciones avanzadas y elija Descriptor de seguridad. El cuadro de dilogo Descriptor de seguridad muestra todas las entradas de control de acceso (ACE) y los derechos de acceso asignados para el objeto de particin de directorio seleccionado. 3. 4. Haga clic en cualquier parte de la lista de control de acceso discrecional (DACL) y elija Agregar ACE. En Elem. de confianza escriba el nombre distintivo del elemento de confianza (cuenta de usuario) al que va a conceder los permisos. 5. 6. 7. 8. 9. Para Tipo de ACE, seleccione Permitir. Para Mscara de acceso, seleccione los permisos correspondientes que desea conceder. Seleccione los marcadores de ACE pertinentes. Seleccione el tipo de objeto correspondiente. Seleccione el Tipo de objeto heredado correspondiente y haga clic en Aceptar.
<Inherited from <Inherited from <Inherited from
parent> Permissions inherited to subobjects are: Inherited to all subobjects parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow
Denegacin de permisos
Puede denegar control de acceso en AD LDS objeto por objeto usando:
Dsacls LDP.exe
Denegacin de permisos con la herramienta de lnea de comandos dsacls Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Administradores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para denegar permisos sobre un objeto de directorio con dsacls 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. Escriba el siguiente comando en el smbolo del sistema y presione ENTRAR:
51
Copiar cdigo
dsacls "\\<nombreDeHost>:<nmeroDePuerto>\<dn_objeto>" /D "<usuario_o_grupo>":<declaracinDePermisos>
Parmetro dsacls <nombreDeHost>
Descripcin Muestra o modifica los permisos de objetos de AD DS y AD LDS. Nombre del equipo en el que se ejecuta la instancia de AD LDS que contiene el objeto de directorio. Nmero del puerto de comunicaciones en el que se comunica la instancia de AD LDS. Nombre distintivo del objeto de directorio. Usuario o grupo al que se aplican los permisos. Permisos que se van a denegar. Indica que se van a denegar los permisos especificados a un usuario o grupo especificado.
<nmeroDePuerto> <dn_objeto> <usuario_o_grupo> <declaracinDePermisos> /D
Para este ejercicio, escriba dsacls \\localhost:389\CN=AD LDS Testers,OU=AD LDS Users,o=microsoft,c=US /D domain\administrator:SDDCDT
Nota domain\administrator representa la cuenta con la que inici sesin. Este comando deniega los permisos Eliminar, Eliminar secundario y Eliminar rbol sobre el objeto CN=AD LDS Testers para el usuario de la sesin activa. Debe aparecer un resultado similar al siguiente en la pantalla:
Copiar cdigo
Access list: Effective Permissions on this object are: Deny
domain\account
SPECIAL ACCESS DELETE Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL parent> The command completed successfully
Denegacin de permisos con Ldp.exe Para completar este procedimiento, el requisito mnimo es pertenecer al grupo Administradores de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para denegar permisos sobre un objeto de directorio con LDP.exe 1. Abra Ldp.exe y, a continuacin, conctese y enlcese a una instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 2. Haga clic con el botn secundario en el objeto de particin de directorio para el que desea ver los permisos, haga clic en Opciones avanzadas y elija Descriptor de seguridad.
<Inherited from
parent> Permissions inherited to subobjects are: Inherited to all subobjects <Inherited from <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow
52
El cuadro de dilogo Descriptor de seguridad muestra todas las entradas ACE y los derechos de acceso asignados para el objeto de particin de directorio seleccionado. 3. 4. Haga clic en cualquier parte de la lista DACL y elija Agregar ACE. En Elem. de confianza escriba el nombre distintivo del elemento de confianza (cuenta de usuario) al que va a denegar los permisos. 5. 6. 7. 8. 9. Para Tipo de ACE, haga clic en Denegar. Para Mscara de acceso, seleccione los permisos correspondientes que desea denegar. Seleccione los marcadores de ACE pertinentes. Seleccione el tipo de objeto correspondiente. Seleccione el Tipo de objeto heredado correspondiente y haga clic en Aceptar.
Paso 7: practicar la administracin de autenticacin

Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 Los usuarios (entidades de seguridad) solicitan datos de directorio de los Servicios de directorio ligero de Active Directory (AD LDS) a travs de aplicaciones habilitadas para el uso de directorios, que a su vez realizan solicitudes a AD LDS con el Protocolo ligero de acceso a directorios (LDAP). Para garantizar estas solicitudes, AD LDS debe comprobar primero las credenciales de usuario o autenticar (enlazar) correctamente los usuarios en el directorio. El trmino "entidad de seguridad" hace referencia a cualquier objeto que tenga un identificador de seguridad (SID) y al que se le puedan asignar permisos para objetos de directorio. Los enlaces con una instancia de AD LDS se pueden realizar de varias formas:
Como entidad de seguridad de AD LDS (cuando la cuenta de usuario reside directamente en AD LDS) Como entidad de seguridad de Windows (cuando la cuenta de usuario reside en un equipo local o en un dominio de los Servicios de dominio de Active Directory AD DS
A travs de un objeto de proxy de AD LDS
La administracin de la autenticacin de AD LDS incluye las tareas siguientes:
Establecimiento de una contrasea para una entidad de seguridad de AD LDS Enlace como una entidad de seguridad de AD LDS Enlace como una entidad de seguridad de Windows Enlace a travs de un objeto de proxy de AD LDS
Establecimiento de una contrasea para una entidad de seguridad de AD LDS

Puede establecer y modificar contraseas para entidades de seguridad de AD LDS:
Con el Editor ADSI
53
A travs de una conexin cifrada sin SSL con Ldp.exe
Tambin puede establecer y modificar contraseas para entidades de seguridad de AD LDS a travs de una conexin SSL (Capa de sockets seguros). Para obtener ms informacin acerca de la configuracin de LDAP por medio de SSL, consulte Apndice A: configuracin de LDAP por medio de SSL; requisitos para AD LDS. Establecimiento o modificacin de una contrasea para una entidad de seguridad de AD LDS con el complemento Editor ADSI El usuario de AD LDS para el que establece o modifica una contrasea debe usar la nueva contrasea la prxima vez que inicie sesin. Para completar estos procedimientos, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para establecer o modificar la contrasea de un usuario de AD LDS con el Editor ADSI 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. Conctese y enlcese a la particin de directorio que contiene el usuario de AD LDS para el que desea establecer o modificar la contrasea. Para este ejercicio, conctese y enlcese a la particin de directorio de aplicacin o=Microsoft,c=US, como se explica en el procedimiento "Para administrar una instancia de AD LDS con el Editor ADSI" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 3. Busque el objeto de directorio que representa al usuario de AD LDS y haga clic con el botn secundario en el objeto de directorio. Para este ejercicio, haga clic con el botn secundario en la cuenta de usuario CN=Mary North, que cre en el procedimiento "Para crear un usuario de AD LDS" de Paso 4: practicar la administracin de unidades organizativas, grupos y usuarios de AD LDS. 4. Haga clic en Restablecer contrasea y, a continuacin, escriba una contrasea para el usuario en Nueva contrasea y en Confirmar la contrasea. Establecimiento de una contrasea para una entidad de seguridad de AD LDS a travs de una conexin cifrada sin SSL con Ldp.exe El usuario de AD LDS para el que establece o modifica la contrasea debe usar la nueva contrasea la prxima vez que inicie sesin. Para completar estos procedimientos, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para establecer o modificar la contrasea de un usuario de AD LDS mediante Ldp.exe en una conexin cifrada sin SSL 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. 5. 6. En el panel de detalles, en Herramientas avanzadas, haga clic en Ldp.exe. En el men Opciones, haga clic en Opciones de conexin. En Nombre de opcin, haga clic en LDAP_OPT_SIGN, escriba 1 en Valor y haga clic en Establecer. En Nombre de opcin, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Valor, haga clic en Establecer y despus en Cerrar.
54
7.
Conctese y enlcese a la instancia de AD LDS que contiene el usuario de AD LDS para el que desea establecer o modificar la contrasea. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS.
8. 9.
En el men Ver, haga clic en rbol, deje DN base en blanco y haga clic en Aceptar. Busque la particin de directorio que contiene el usuario de AD LDS para el que desea establecer una contrasea. Para este ejercicio, seleccione la cuenta de usuario CN=Mary North que cre en el procedimiento "Para crear un usuario de AD LDS" en Paso 4: practicar la administracin de unidades organizativas, grupos y usuarios de AD LDS.
10. Haga clic con el botn secundario en el usuario de AD LDS y, a continuacin, haga clic en Modificar. 11. En Atributo, escriba userpassword y, a continuacin, en Valor, escriba la contrasea para la cuenta. 12. Haga clic en Entrar y, a continuacin, en Ejecutar. El panel de detalles muestra un mensaje similar al siguiente:
Copiar cdigo
***Call Modify... ldap_modify_s(ld, 'CN=Mary North,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary North,O=Microsoft,C=US".

Enlace como una entidad de seguridad de AD LDS
En este ejercicio se enlazar a una instancia de AD LDS como una entidad de seguridad de AD LDS. Para enlazarse como una entidad de seguridad de AD LDS 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. En el panel de detalles, en Herramientas avanzadas, haga clic en Ldp.exe. En el men Conexin, haga clic en Conectar. Conctese a una instancia de AD LDS como se explica en el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 5. 6. En el men Conexin, haga clic en Enlazar. En Tipo de enlace, seleccione Enlace simple, escriba CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US en el campo Usuario junto con la contrasea que acaba de asignar a esta cuenta en el campo Contrasea y haga clic en Aceptar. El panel de detalles muestra un mensaje similar al siguiente:
Copiar cdigo
res = ldap_simple_bind_s(ld, 'CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US', <unavailable>0; // v.3 Authenticated as: 'CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US'.
Nota
55
De forma predeterminada, a los nuevos usuarios de AD LDS (como Mary North) se les concede acceso de lectura al contenedor de nivel superior de una particin de directorio determinada, permiso que heredan todos los objetos de la particin.
Enlace como una entidad de seguridad de Windows

AD LDS permite el uso de las entidades de seguridad de Windows para la autenticacin y el control de acceso. Los usuarios de Windows pueden ser miembros de grupos de AD LDS. De forma predeterminada, un usuario de Windows que se enlaza a una instancia de AD LDS obtiene la pertenencia slo en los grupos de AD LDS a los que se ha agregado ese usuario como miembro de forma explcita. En este ejercicio, se enlazar a una instancia de AD LDS como entidad de seguridad de Windows con el complemento Editor ADSI. Para enlazarse como una entidad de seguridad de Windows 1. Agregue la entidad de seguridad de Windows a los grupos predeterminados de AD LDS CN=Readers o CN=Administrators, siguiendo las instrucciones generales para agregar miembros a grupos que se explican en el procedimiento "Para agregar o quitar miembros en un grupo de AD LDS" de Paso 4: practicar la administracin de unidades organizativas, grupos y usuarios de AD LDS.
Nota Este paso es necesario porque, de forma predeterminada, las entidades de seguridad de Windows que no tienen acceso a los datos de directorio no se pueden enlazar a una instancia de AD LDS con el Editor ADSI. 2. 3. 4. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. En el men Accin, haga clic en Conectar a. Aparecer el cuadro de dilogo Configuracin de la conexin. En Seleccione o escriba un dominio o servidor: (Servidor | Dominio [:puerto]), escriba el nombre DNS (Sistema de nombres de dominio), el nombre NETBIOS o la direccin IP del equipo en el que se est ejecutando la instancia de AD LDS, seguido de dos puntos (:) y el puerto de comunicaciones LDAP que usa la instancia de AD LDS a la que desea conectarse. En este ejercicio, AD LDS se ejecuta en el equipo local; por tanto, puede escribir localhost:389. 5. En Punto de conexin, haga clic en Seleccione o escriba un nombre distintivo o un contexto de nomenclatura y escriba o=Microsoft,c=US. 6. 7. Haga clic en Opciones avanzadas y elija Especificar credenciales. En Conectar usando estas credenciales, escriba el dominio, el nombre de usuario y la contrasea de la entidad de seguridad de Windows y haga clic en Aceptar. 8. En el rbol de consola del complemento Editor ADSI, haga doble clic en AD LDS Demo y despus en O=Microsoft,c=US. El Editor ADSI muestra ahora la particin del directorio de aplicacin. 9. En el rbol de consola, haga clic en cualquier contenedor para ver los objetos de ese contenedor.
Enlace a travs de un objeto de proxy de AD LDS

Adems de enlazarse como un usuario de Windows o de AD LDS, puede enlazarse tambin a una instancia de AD LDS con la redireccin de enlaces AD LDS. Cuando se usa la redireccin de enlaces, AD LDS puede aceptar y procesar solicitudes de enlace a un objeto de proxy de AD LDS que contenga como uno de sus atributos el SID de una entidad de seguridad de AD DS. Con AD LDS, puede usar la redireccin de enlaces para proporcionar a los usuarios de AD DS acceso a datos tanto de AD LDS como de AD DS, usando credenciales de dominio de AD DS para un inicio de sesin nico (SSO). Adems, puede usar objetos de proxy de AD LDS para almacenar datos de usuario especificados para una aplicacin concreta en AD LDS, mientras usa AD DS para almacenar datos de directorio con un uso ms amplio.
Importante
56
La redireccin de enlaces permite a un usuario enlazarse a AD LDS por medio de un enlace simple mientras contina usando las credenciales de AD DS. A diferencia de los enlaces simples, los otros tipos de enlace con credenciales de AD DS funcionan sin necesidad de un proxy. El enlace mediante proxy funciona slo para un enlace simple. Los archivos .ldf de AD LDS, que puede importar en el esquema de AD LDS durante la instalacin de AD LDS, contienen una definicin de objeto para el objeto userProxy, que puede usar para la redireccin de enlaces. Este objeto contiene atributos que incluyen un nombre distintivo y un SID. Con la creacin de un objeto userProxy en AD LDS (especificando un nombre distintivo que se usar para el enlace) y el uso de un SID vlido de una cuenta de usuario de AD DS, puede enlazarse a AD LDS con la redireccin de enlaces. Para los siguientes ejercicios, se asume que ya ha importado las clases de usuario opcionales en el esquema AD LDS como se explica en el procedimiento "Para crear una nueva instancia de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory" de Paso 2: practicar trabajando con instancias de AD LDS. Las tareas para enlazarse a una instancia de AD LDS a travs de un objeto de proxy son las siguientes:
Configuracin de los requisitos de SSL Creacin de un objeto de proxy de AD LDS Enlace a travs del objeto de proxy Prueba del enlace a travs del objeto de proxy
Configuracin de los requisitos de SSL De forma predeterminada, el enlace a AD LDS con redireccin de enlaces requiere una conexin SSL. SSL requiere la instalacin y el uso de certificados en el equipo que ejecuta AD LDS. Para obtener ms informacin acerca de la configuracin de LDAP por medio de SSL, consulte Apndice A: configuracin de LDAP por medio de SSL; requisitos para AD LDS. Para los siguientes ejercicios, tambin puede deshabilitar el requisito de SSL en el entorno de pruebas de AD LDS, como se explica en el procedimiento siguiente.
Nota Deshabilitar el requisito de SSL para la redireccin de enlaces da lugar a que se pase una contrasea de una entidad de seguridad de Windows al equipo que ejecuta AD LDS, sin cifrarla primero. Por tanto, slo debe deshabilitar el requisito de SSL en un entorno de pruebas. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para deshabilitar el requisito de SSL para la redireccin de enlaces 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. 3. 4. En el men Accin, haga clic en Conectar a. En Seleccione o escriba un dominio o servidor: (Servidor | Dominio[:puerto], escriba localhost:389. En Punto de conexin, haga clic en Seleccione un contexto de nomenclatura conocido, elija Configuracin y haga clic en Aceptar. 5. En el rbol de consola, busque el siguiente objeto de contenedor en la particin de configuracin: CN=Directory Service,CN=Windows NT,CN=Services. 6. 7. 8. 9. Haga clic con el botn secundario en CN=Directory Service y elija Propiedades. En Atributos, haga clic en msDS-Other-Settings y elija Editar. En Valores, haga clic en RequireSecureProxyBind=1 y elija Quitar. En Valor para agregar, escriba RequireSecureProxyBind=0, haga clic en Agregar y despus en Aceptar.
57
Creacin de un objeto de proxy de AD LDS Ya est listo para crear un objeto de proxy de AD LDS para el usuario de AD DS. Para completar este procedimiento, debe pertenecer como mnimo al grupo Administradores de la instancia de AD LDS. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para crear un objeto de proxy de AD LDS 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. En el panel de detalles, en Herramientas avanzadas, haga clic en Ldp.exe. Conctese y enlcese a la instancia de AD LDS. Para obtener ms informacin sobre cmo conectarse y enlazarse a una instancia de AD LDS con Ldp.exe, consulte el procedimiento "Para administrar una instancia de AD LDS con Ldp.exe" de Paso 3: practicar el uso de las herramientas de administracin de AD LDS. 5. 6. En el men Examinar de Ldp, haga clic en Agregar secundario. En Dn, escriba cn=testproxy,o=microsoft,c=us como nombre distintivo del nuevo objeto userProxy que se va a crear en el contenedor O=Microsoft,C=US. 7. En Editar entrada, escriba lo siguiente y haga clic en Entrar:

8.
En Atributo, escriba ObjectClass. En Valores, escriba userProxy.
De nuevo, en Editar entrada, escriba lo siguiente y haga clic en Entrar:
En Atributo, escriba objectSID. En Valores, escriba el SID vlido de un usuario de AD DS. Para recuperar el SID de un usuario de AD DS, escriba lo siguiente (como un comando sencillo) en un smbolo del sistema:
Copiar cdigo
dsquery user -samid <cuenta> | dsget user -sid

donde <cuenta> representa el nombre de inicio de sesin cuyo SID desea recuperar. En este comando, los resultados de dsquery se canalizan hacia dsget.
Importante El usuario de AD DS para el que va a crear el objeto de proxy no debe ser miembro de ningn grupo de AD LDS. No se pueden crear objetos de proxy para entidades de seguridad de Windows que pertenecen a grupos de AD LDS. Sin embargo, despus de haber creado el objeto de proxy para un usuario de AD DS, se puede agregar dicho usuario a cualquier grupo de AD LDS. 9. Asegrese de que est activada la casilla Sincrnico.
58
10. Haga clic en Ejecutar. Esto agrega el objeto userProxy, con los atributos que ha especificado, al almacn de directorio de AD LDS. El panel de detalles muestra un mensaje similar al siguiente:
Copiar cdigo
Added {cn=testproxy,o=microsoft,c=us}.
11. Para desconectarse de la instancia de AD LDS, en el men Conexin haga clic en Desconectar. Enlace a travs del objeto de proxy Ahora puede enlazarse a la instancia de AD LDS usando el objeto de proxy de AD LDS y la redireccin de enlaces. Para enlazarse como un objeto de proxy de AD LDS a travs de la redireccin de enlaces 1. En el men Conexin, haga clic en Conectar y conctese a la instancia local de AD LDS en una nueva conexin (localhost:389). 2. 3. 4. En el men Opciones, haga clic en Opciones de conexin. En Nombre de opcin, haga clic en LDAP_OPT_SIGN, escriba 1 en Valor y haga clic en Establecer. En Nombre de opcin, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Valor, haga clic en Establecer y despus en Cerrar. 5. 6. 7. Para enlazarse a la instancia de AD LDS, en el men Conexin haga clic en Enlazar. En Tipo de enlace, haga clic en Enlace simple. En Usuario, escriba cn=testproxy,o=Microsoft,c=us. Esto representa el objeto de proxy que cre en el procedimiento anterior. 8. En Contrasea, escriba la contrasea asociada con el usuario de AD DS para el que cre el objeto de proxy y haga clic en Aceptar. El panel de detalles muestra un mensaje similar al siguiente:
Copiar cdigo
Authenticated as: "CN=testproxy,O=Microsoft,C=US'.

Prueba del enlace a travs del objeto de proxy De forma predeterminada, una entidad de seguridad de Windows que se enlaza a una instancia de AD LDS obtiene la pertenencia slo en los grupos de AD LDS a los que se ha agregado ese usuario como miembro de forma explcita. Cuando un usuario se enlaza a una instancia de AD LDS a travs de un objeto de proxy, el usuario obtiene la pertenencia al grupo Usuarios en cada contexto de nomenclatura que alberga la instancia de AD LDS. Puede usar esta diferencia en las pertenencias a grupos para demostrar la diferencia funcional entre el enlace a una instancia de AD LDS como un usuario de Windows y el enlace a una instancia de AD LDS a travs de un objeto de proxy. Para probar un enlace a una instancia de AD LDS a travs de un objeto de proxy 1. En la particin de directorio O=Microsoft,C=US, agregue el grupo Usuarios como miembro del grupo Lectores, siguiendo las instrucciones generales para agregar miembros a grupos que se explican en el procedimiento "Para agregar o quitar miembros en un grupo de AD LDS" de Paso 4: practicar la administracin de unidades organizativas, grupos y usuarios de AD LDS. 2. Use Ldp.exe para enlazarse a la instancia de AD LDS como usuario de AD DS (que no sea el administrador de AD LDS, que recibe acceso completo a todas las particiones de forma predeterminada).
59
3.
Intente leer cualquier objeto de la particin de directorio O=Microsoft,C=US. Su intento debera dar un error, ya que el usuario de AD DS no tiene acceso a la particin de forma predeterminada.
4.
Use Ldp.exe para enlazarse a la instancia de AD LDS a travs del objeto de proxy que ha creado, como se explica en el procedimiento anterior.
5.
Intente leer cualquier objeto de la particin de directorio O=Microsoft,C=US. Esta vez, su intento s debera ser satisfactorio. El enlace a la instancia AD LDS a travs del objeto de proxy debe permitirle leer la particin correctamente porque los usuarios que se enlazan a una instancia de AD LDS a travs de un objeto de proxy obtienen de forma automtica la pertenencia al grupo Usuarios y agreg este grupo al grupo Lectores en el paso 1 de este procedimiento.
Paso 8: practicar la administracin de conjuntos de configuracin

Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 Para proporcionar tolerancia a errores y equilibrio de carga, las instancias de los Servicios de directorio ligero de Active Directory (AD LDS) pueden pertenecer a conjuntos de configuracin. Las instancias de AD LDS replican los datos basndose en la pertenencia a un conjunto de configuracin. Todas las instancias de AD LDS de un conjunto de configuracin replican una particin de directorio de configuracin y una particin de directorio de esquema comunes, adems de un nmero cualquiera de particiones del directorio de aplicaciones. Para crear una instancia de AD LDS y unirla a un conjunto de configuracin existente, use el Asistente para instalacin de Servicios de directorio ligero de Active Directory con el fin de crear una instancia de AD LDS de rplica. Debe conocer el nombre DNS (Sistema de nombres de dominio) del servidor que ejecuta una instancia de AD LDS que pertenece al conjunto de configuracin, as como el puerto del Protocolo ligero de acceso a directorios (LDAP) especificado al crear la instancia. Adems puede suministrar los nombres distintivos (conocidos tambin como DN) de las particiones del directorio de aplicaciones especficas que desea copiar desde el conjunto de configuracin a la instancia de AD LDS que va a crear. La administracin de conjuntos de configuracin abarca las siguientes tareas:
Creacin de una instancia de rplica de AD LDS Configuracin de una programacin de replicacin
Creacin de una instancia de rplica de AD LDS

Puede instalar una instancia de rplica de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para instalar una instancia de rplica de AD LDS con el Asistente para instalacin de Servicios de directorio ligero de Active Directory 1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Asistente para instalacin de Servicios de directorio ligero de Active Directory. 2. En la pgina Asistente para instalacin de Servicios de directorio ligero de Active Directory , haga clic en Siguiente. 3. En la pgina Opciones de instalacin, haga clic en Una rplica de una instancia existente y, a continuacin, haga clic en Siguiente.
60
4.
En la pgina Nombre de instancia, acepte el nombre predeterminado instance2 (o instance1, si est instalando AD LDS en un segundo equipo) y haga clic en Siguiente.
Nota Los nombres de instancia de AD LDS deben ser nicos en un equipo determinado. 5. En la pgina Puertos, acepte los valores predeterminados 50000 y 50001 (si est realizando la instalacin en el primer equipo) o 389 y 636 (si est realizando la instalacin en un segundo equipo) y haga clic en Siguiente. 6. En la pgina Unirse a un conjunto de configuracin, en Servidor escriba el nombre de host o DNS del equipo donde est instalada la primera instancia de AD LDS. A continuacin, escriba el nmero de puerto LDAP que usa la primera instancia de AD LDS (que es 389 de forma predeterminada) y haga clic en Siguiente.
Nota Debe usar un nombre de host o DNS vlido en lugar de una direccin IP o localhost cuando especifique un servidor en la pgina Unirse a un conjunto de configuracin del Asistente para instalacin de Servicios de directorio ligero de Active Directory. 7. En la pgina Credenciales administrativas para el conjunto de configuracin, haga clic en la cuenta que se usa como administrador de AD LDS para la primera instancia de AD LDS. 8. En la pgina Copiar particin de aplicacin, seleccione las particiones de directorio de aplicacin que desea replicar en la nueva instancia de AD LDS. Las particiones de esquema y configuracin se replicarn de forma automtica. Para seleccionar la particin de directorio O=Microsoft,C=US para replicacin, en Particiones disponibles, elija O=Microsoft,C=US y haga clic en Siguiente. 9. Acepte los valores predeterminados de las dems pginas del Asistente para instalacin de Servicios de directorio ligero de Active Directory haciendo clic en Siguiente en cada pgina, y haga clic en Finalizar en la pgina Finalizacin del Asistente para instalacin de Servicios de directorio ligero de Active Directory. 10. Una vez finalizada la instalacin, use el Editor ADSI para confirmar que la particin de directorio O=Microsoft,C=US se ha replicado en la segunda instancia de AD LDS.
Configuracin de una programacin de replicacin

Ahora que ha unido varias instancias de AD LDS en un nico conjunto de configuracin, puede programar la replicacin. El mnimo requerido para completar este procedimiento es la pertenencia al grupo Administradores o un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalacin se convertir en miembro del grupo Administradores de la particin de configuracin. Para programar la replicacin entre instancias de AD LDS 1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Editor ADSI. 2. 3. 4. En el rbol de consola, haga clic en Editor ADSI. En el men Accin, haga clic en Conectar a. Aparecer el cuadro de dilogo Configuracin de la conexin. En Nombre escriba una etiqueta bajo la cual aparecer esta conexin en el rbol de consola del Editor ADSI. Para esta conexin, escriba AD LDS demo. 5. En Seleccione o escriba un dominio o servidor: (Servidor | Dominio[:puerto], escriba el nombre DNS, el nombre NetBIOS o la direccin IP del equipo en el que se ejecuta la instancia de AD LDS (puesto que, en este ejercicio, AD LDS se ejecuta en el equipo local, puede usar localhost en el nombre de servidor), seguido de dos puntos (:) y el puerto de comunicaciones LDAP que usa la instancia de AD LDS a la que desea conectarse.
61
Para este ejercicio, acepte el valor predeterminado 389. 6. En Punto de conexin, haga clic en Seleccione un contexto de nomenclatura conocido y haga clic en Configuracin.
Nota Puesto que todas sus instancias de AD LDS pertenecen al mismo conjunto de configuracin, puede programar la replicacin en cualquiera de ellas. 7. En el rbol de consola, haga doble clic en la particin de configuracin CN=Configuration,CN={GUID}, donde GUID es el identificador nico asignado durante la instalacin de AD LDS. Haga doble clic en el contenedor de sitios CN=Sites y despus en el contenedor de sitios predeterminado CN=Default-First-Site-Name.
Nota De forma predeterminada, todas las instancias de AD LDS que se crean pertenecen a un solo sitio, Default-First-Site-Name. En este ejercicio, todas sus instancias de AD LDS pertenecen a un solo sitio. Por tanto, va a programar una replicacin dentro de un sitio, lo que se denomina replicacin dentro del sitio. Para obtener ms informacin, consulte la gua paso a paso para la configuracin de la replicacin de los Servicios de directorio ligero de Active Directory en http://go.microsoft.com/fwlink/?LinkId=96086 (puede estar en ingls). 8. En el panel de detalles, haga clic con el botn secundario en CN=NTDS Site Settings y, a continuacin, haga clic en Programacin. 9. En el cuadro de dilogo Programacin, seleccione el bloque de tiempo que desea programar; haga clic en Ninguno, Una vez por hora, Dos veces por hora o Cuatro veces por hora como frecuencia de replicacin y haga clic en Aceptar.
Nota Para la replicacin dentro del sitio, las instancias de AD LDS replican los cambios a travs de notificaciones de actualizacin. La programacin de la frecuencia de replicacin afecta a la replicacin dentro del sitio slo cuando no se producen notificaciones de actualizacin en el tiempo especificado. Nota La programacin de la replicacin es opcional. De forma predeterminada, la programacin de la replicacin de AD LDS se establece en la opcin Una vez por hora.
Apndice A: configuracin de LDAP por medio de SSL; requisitos para AD LDS

Actualizado: septiembre de 2007 Se aplica a: Windows Server 2008 El Protocolo ligero de acceso a directorios (LDAP) se usa para leer y escribir en los Servicios de directorio ligero de Active Directory (AD LDS). De forma predeterminada, el trfico LDAP no se transmite de forma segura. Para hacer que el trfico LDAP sea confidencial y seguro, use la tecnologa Capa de sockets seguros (SSL) y Seguridad de la capa de transporte (TLS). Para habilitar conexiones cifradas a AD LDS basadas en SSL, debe solicitar y obtener un certificado de autenticacin de servidor de una entidad de certificacin de confianza de su organizacin o de terceros. Para obtener ms informacin acerca de la instalacin y el uso de una entidad de certificacin, consulte el tema sobre servicios de certificado en http://go.microsoft.com/fwlink/?LinkID=48952 (puede estar en ingls).
Configuracin de LDAP por medio de SSL en un servidor AD LDS independiente
62
Los pasos generales para configurar LDAP por medio de SSL (LDAPS) en un servidor AD LDS independiente son los siguientes:
Paso 1: instalar un certificado de autenticacin de servidor Paso 2: configurar permisos para el certificado de autenticacin de servidor Paso 3: conectarse a la instancia de AD LDS por medio de SSL con Ldp.exe
Paso 1: instalar un certificado de autenticacin de servidor Tras obtener el certificado de una entidad de certificacin de confianza, debe instalarlo o importarlo en el servidor que ejecuta AD LDS. Puede usar el complemento Certificadosde Windows Server 2008 para instalar o importar los certificados. Para obtener ms informacin, consulte el tema de procedimientos de certificados en http://go.microsoft.com/fwlink/?LinkId=99765 (puede estar en ingls). Cuando se instala o se importa un certificado de una entidad de certificacin de confianza en el equipo que ejecuta AD LDS, se recomienda almacenar el certificado en el almacn personal del servicio AD LDS. Sin embargo, si desea usar el certificado para aplicaciones que no sean AD LDS, debe almacenar este certificado en el almacn de certificados personales del equipo local.
Importante El certificado que instale o importe debe marcarse para autenticacin de servidor. Cuando solicite el certificado, especifique el nombre de dominio completo (FQDN) del equipo en el que se ejecuta la instancia de AD LDS como nombre identificativo para el certificado. En otras palabras, el certificado de autenticacin de servidor debe emitirse al FQDN del equipo en el que se ejecuta la instancia de AD LDS.
Nota Para identificar los requisitos de nombre de los certificados de autenticacin de servidor para instancias de AD LDS con equilibrio de carga de red (NLB), consulte "Configuracin de LDAP por medio de SSL para instancias de AD LDS con equilibrio de carga de red" ms adelante en esta gua. Para comprobar que el certificado se almacena en el almacn personal de la instancia de AD LDS 1. Haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. 3. Escriba mmc para abrir Microsoft Management Console (MMC). Haga clic en Archivo y despus en Agregar o quitar complemento, seleccione el complemento Certificados en Complementos disponibles y haga clic en Agregar. 4. En Agregar o quitar complementos, seleccione Cuenta de servicio para ver los certificados que hay almacenados en el almacn personal de la instancia de AD LDS y haga clic en Siguiente. 5. 6. En Agregar o quitar complementos, seleccione Equipo local y haga clic en Siguiente. En Cuenta de servicio, seleccione el nombre de la instancia de AD LDS a la que desea conectarse por medio de LDAPS y haga clic en Finalizar. 7. 8. En el cuadro de dilogo Agregar o quitar complementos, haga clic en Aceptar. En el rbol de consola, expanda Certificados: servicio, expanda nombre_instancia_ADAM\Personal y Certificados. 9. Busque el certificado instalado o importado. En el panel de detalles, compruebe que el certificado est marcado para Autenticacin del servidor en la columna Propsitos planteados. En el panel de detalles, compruebe que aparece el nombre de host completo del equipo en la columna Emitido para. Para obtener ms informacin acerca de la instalacin de certificados de autenticacin de servidor de una entidad de certificacin de Microsoft o de terceros, consulte el tema sobre cmo habilitar LDAP por medio de SSL con una entidad de certificacin de terceros en http://go.microsoft.com/fwlink/?LinkID=15129 (puede estar en ingls). Paso 2: configurar permisos para el certificado de autenticacin de servidor
63
Antes de usar el certificado de autenticacin de servidor con AD LDS, debe asegurarse de que la cuenta de servicio con la que se est ejecutando la instancia de AD LDS tiene acceso de lectura al certificado que instal o import.
Nota De forma predeterminada, las instancias de AD LDS se instalan para ejecutarse con la cuenta del servicio de red. Puede seleccionar (modificar) la cuenta de servicio con la que se instala la instancia de AD LDS en la pgina Seleccin de cuentas de servicio del Asistente para instalacin de Servicios de directorio ligero de Active Directory. Para conceder el permiso de lectura para el certificado de autenticacin de servidor a la cuenta del servicio de red 1. Vaya al siguiente directorio predeterminado donde se almacenan los certificados instalados o importados: C:\Usuarios\Administrador\AppData\Roaming\Microsoft\Crypto\RSA\ 2. Haga clic con el botn secundario en el certificado de autenticacin de servidor correspondiente y seleccione Propiedades. 3. 4. 5. En la ficha Seguridad, haga clic en Editar. En el cuadro de dilogo Permisos, haga clic en Agregar. En el cuadro de dilogo Seleccionar usuarios, equipos o grupos, escriba Servicio de red y haga clic en Aceptar.
Paso 3: conectarse a la instancia de AD LDS por medio de LDAPS con Ldp.exe Para probar el certificado de autenticacin de servidor, abra Ldp.exe en el equipo que ejecuta la instancia de AD LDS y conctese a esta instancia de AD LDS que tiene la opcin SSL habilitada. Para conectarse a la instancia de AD LDS por medio de LDAPS con Ldp.exe 1. Haga clic en Inicio y, despus, en Administrador del servidor. 2. En el rbol de consola, haga doble clic en Funciones y, a continuacin, haga clic en Servicios de directorio ligero de Active Directory. 3. 4. 5. En el panel de detalles, en Herramientas avanzadas, haga clic en Ldp.exe. En el men Conexin, haga clic en Conectar. En Servidor, escriba el FQDN del equipo que ejecuta la instancia de AD LDS.
Nota Para evitar errores al usar Ldp.exe para conectarse a una instancia de AD LDS por medio de SSL, debe especificar el FQDN del equipo donde se ejecuta la instancia de AD LDS. 6. En Puerto, escriba el nmero de puerto de comunicaciones SSL que usa la instancia de AD LDS a la que desea conectarse. 7. Compruebe que la casilla SSL est activada y haga clic en Aceptar.
Importante Tambin puede usar este procedimiento para conectarse a la instancia de AD LDS por medio de LDAPS desde un equipo cliente. En este escenario, el cliente debe confiar en el certificado de autenticacin de servidor instalado en el servidor que ejecuta la instancia de AD LDS. Para obtener esta confianza, agregue el certificado raz de la misma entidad de certificacin de confianza que emiti el certificado de autenticacin de servidor de AD LDS al almacn Entidades emisoras raz de confianza del equipo cliente.
Configuracin de LDAP por medio de SSL para instancias de AD LDS con equilibrio de carga de red
AD LDS admite equilibrio de carga de red (NLB) con LDAPS cuando AD LDS se ejecuta en Windows Server 2008. Use los procedimientos anteriores para habilitar LDAPS para AD LDS con NLB. Sin embargo, los certificados de autenticacin de servidor deben cumplir los siguientes requisitos:
64
Para que AD LDS pueda seleccionar el certificado correcto para entregarlo a los clientes, el certificado debe estar en el almacn personal del servicio AD LDS (conocido en programacin como almacn de certificados MY del equipo) y no debe haber otros certificados almacenados en este almacn personal del servicio AD LDS.
Cuando solicite un certificado de autenticacin de servidor para instancias de AD LDS que se ejecutan con NBL, compruebe que el certificado se emite para (es decir, que el nombre que identifica el certificado es de) los nombres de host comunes (compartidos) y los sufijos DNS que constituyen los FQDN de todos los servidores en los que se ejecutan las instancias de AD LDS con NBL. Por ejemplo, cuando solicite un certificado de autenticacin de servidor para instancias de AD LDS que se ejecuten con NLB en dos servidores con los FQDN 01ADLDS.contoso.com y 02ADLDS.contoso.com, compruebe que el certificado se emite para *ADLDS.contoso.com. O, por ejemplo, si solicita un certificado de autenticacin de servidor para instancias de AD LDS que se ejecutan con NLB en tres servidores con los FQDN ADLDS01.contoso.com, ADLDS02.contoso.com y ADLDS03.contoso.com, compruebe que el certificado se emite para *.contoso.com.
65

Guía Paso A Paso para La Replicación de Los Servicios de Directorio Ligero de Active Directory - ADLDS

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guía Paso A Paso para La Replicación de Los Servicios de Directorio Ligero de Active Directory - ADLDS

Enviado por

Direitos autorais:

Formatos disponíveis

Gua paso a paso para la replicacin de los Servicios de directorio ligero de Active Directory

Acerca de esta gua

Qu no proporciona esta gua

Introduccin a la replicacin y los conjuntos de configuracin

Introduccin a la replicacin y los sitios

Pasos para configurar la replicacin de AD LDS

Paso 1: practicar la administracin de instancias de AD LDS de rplica

Creacin de una instancia de AD LDS de rplica

Instalacin de una instancia de AD LDS de rplica desde un medio

Paso 2: practicar la administracin de objetos de sitio

Creacin de un objeto de sitio

Movimiento de una instancia de AD LDS a un objeto de sitio

Configuracin de la frecuencia de replicacin en un objeto de sitio

Paso 3: practicar la administracin de objetos de vnculo a sitios

Creacin de un objeto de vnculo a sitios

Establecimiento del costo de un objeto de vnculo a sitios

Configuracin de la frecuencia de replicacin en un objeto de vnculo a sitios

Configuracin de la disponibilidad para replicacin en un objeto de vnculo a sitios

Acerca de esta gua

Inicie sesin en Windows Server 2008 con una cuenta de administrador.

Pasos para crear copias de seguridad y restaurar AD LDS

Para obtener ms informacin, consulte:

Copias de seguridad de Windows Server Dsdbutil.exe

Creacin de copias de seguridad de datos de instancia de AD LDS con Dsdbutil.exe

activate instance <nombre_instancia>

activate instance instancia1

create full <ubicacin>

create full C:\Backup\instancia1

Paso 2: restaurar los datos de la instancia de AD LDS

Restauracin de una instancia de AD LDS existente

Restauracin de una instancia de AD LDS retirada

Restauracin autoritativa de una instancia de AD LDS

activate instance <nombre_instancia>

Comando restore object dn

Instalacin de una rplica de AD LDS desde un medio

Apndice A: limpieza de metadatos para las instancias de AD LDS retiradas

En el smbolo del sistema de dsmgmt:, escriba

En el smbolo del sistema de metadata cleanup:, escriba

En el smbolo del sistema de select operation target:, escriba

connect to server <nombreequipo:nmeropuerto>

q y presione ENTRAR. list sites y presione ENTRAR. Identifique el

En el smbolo del sistema de select operation target:, escriba

select site <n> y presione ENTRAR, donde <n>

list naming contexts y presione ENTRAR.

paso anterior. 12. Escriba

servidor desea eliminar.

remove selected server y presione ENTRAR. Haga

xcopy /os <ubicacin>\adamntds.dit %ProgramFiles%\Microsoft ADAM\nombre_instancia\data\adamntds.dit

xcopy /os C:\Backup\instancia1\adamntds.dit %ProgramFiles%\Microsoft ADAM\instancia1\data\adamntds.dit

Acerca de esta gua

Pasos para comenzar a usar AD LDS

Paso 1: instalar la funcin de servidor de AD LDS

Paso 2: practicar trabajando con instancias de AD LDS

Creacin de una nueva instancia de AD LDS

Nombre de archivo LDIF MS-InetOrgPerson.ldf MS-User.ldf MS-UserProxy.ldf

Nota Si no hay un parmetro en el archivo de respuesta, tiene lugar el comportamiento predeterminado.

Parmetro InstallType Vlido para todas las instalaciones. Opcional.

Descripcin Valores posibles

instancia de rplica de AD LDS a travs de la red.

Mismo comportamiento que Unique.

ShowOrHideProgressGUI Vlido para todas las instalaciones. Opcional.

Show: El programa de instalacin de AD LDS muestra informacin de progreso durante la instalacin.

Hide: El programa de instalacin de AD LDS no muestra informacin de progreso durante la instalacin.