Escolar Documentos
Profissional Documentos
Cultura Documentos
Directory en
Windows Server 2003
Contenido
Introducción ¡Error!
Marcador no definido.
Lección: Fundamentos de Active Directory ¡Error!
Marcador no definido.
Lección: Instalación de Active Directory ¡Error!
Marcador no definido.
Lección: Cambio de niveles funcionales ¡Error!
Marcador no definido.
2 Instalación de Active Directory en Windows Server 2003
Introducción
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Como usuario que ha iniciado una sesión en una red, puede que necesite
conectarse a una carpeta compartida o enviar un trabajo de impresión a una
impresora de la red. ¿Cómo encontrar la carpeta y la impresora y otros recursos
de red?
Definición Un servicio de directorio es un servicio de red que identifica todos los recursos de
una red y pone la información a disposición de los usuarios y las aplicaciones.
Los servicios de directorio son importantes porque proporcionan una forma
coherente de asignar nombre, describir, encontrar, tener acceso, administrar y
proteger la información acerca de estos recursos.
Cuando un usuario busca una carpeta compartida en la red, es el servicio de
directorio el que indentifica el recurso y proporciona esa información al usuario.
Active Directory Active Directory es el servicio de directorio de la familia de
Windows Server 2003. Amplía la funcionalidad básica de un
servicio de directorio para proporcionar las siguientes ventajas:
Integración de DNS
Active Directory utiliza las convenciones de nomenclatura del Sistema de
nombres de dominio (DNS, Domain Name System) para crear una estructura
jerárquica que proporcione una vista familiar, ordenada y escalable de las
conexiones de red. DNS también se utiliza para asignar nombres de host,
como microsoft.com, a direcciones de Protocolo de control de
transmisión/Protocolo Internet (TCP/IP, Transmission Control
Protocol/Internet Protocol) numéricas, como 192.168.19.2.
Escalabilidad
Active Directory se organiza en secciones que permiten el almacenamiento
de una gran cantidad de objetos. Como resultado, Active Directory se puede
ampliar a medida que la organización crece. Una organización que dispone
de un solo servidor con unos pocos cientos de objetos puede crecer hasta
miles de servidores y millones de objetos.
Instalación de Active Directory en Windows Server 2003 5
Administración centralizada
Active Directory permite a los administradores controlar escritorios
distribuidos, servicios de red y aplicaciones desde una ubicación central, al
tiempo que utiliza una interfaz de administración coherente. Active Directory
también proporciona un control de acceso centralizado a los recursos de red,
habilitando a los usuarios para iniciar la sesión sólo tras obtener acceso
completo a los recursos en todo Active Directory.
Administración delegada
La estructura jerárquica de Active Directory permite que el control
administrativo se delegue para segmentos específicos de la jerarquía. Una
autoridad administrativa superior puede autorizar a un usuario a realizar
labores administrativas en su parte designada de la estructura. Por ejemplo,
los usuarios pueden disponer de un control administrativo limitado en la
configuración de su estación de trabajo y un administrador de departamento
puede disponer de derechos administrativos para crear nuevos usuarios en
una unidad organizativa.
Lecturas adicionales Para obtener más información acerca de Active Directory, consulte
Technical Overview of Windows Server 2003 Active Directory (en inglés)
en http://www.microsoft.com/windowsserver2003/techinfo/overview/
activedirectory.mspx.
6 Instalación de Active Directory en Windows Server 2003
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Cuántos controladores Un dominio puede tener uno o varios controladores de dominio. Una
de dominio hay en un organización pequeña que utilice una única red de área local (LAN, Local Area
dominio Network) puede que sólo necesite un dominio con dos controladores de dominio
para proporcionar la disponibilidad y la tolerancia de errores adecuadas. Una
organización grande con muchas ubicaciones geográficas puede necesitar uno
o varios controladores de dominio en cada ubicación para proporcionar la
disponibilidad y la tolerancia de errores adecuadas.
Los dominios son unidades de replicación. Todos los controladores dentro de un dominio participan en la replicación y contienen una copia
completa de toda la información de directorio de su dominio.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Ejemplo de una Contoso Ltd. ha creado dos nuevas organizaciones, una en China y la otra en
estructura con Japón. Se añadieron dos nuevos dominios al dominio de Active Directory actual
un único árbol denominado contoso.msft. Cada uno comparte la raíz común contoso.msft:
china.contoso.msft
japan.contoso.msft
Ejemplo de una Contoso, Ltd. adquiere una nueva compañía llamada Northwind Traders y crea
estructura con un dominio de Active Directory denominado nwtraders.msft. Northwind
varios árboles Traders y Contoso combinarán operaciones de tecnologías de la información y
comenzarán a funcionar juntas. A Contoso Ltd. le gustaría mantener el nombre
de marca Northwind Traders para el futuro inmediato.
Contoso crea otro árbol en el bosque existente para la compañía adquirida.
Los siguientes resultados se consiguen utilizando varios árboles en un
único bosque:
Las dos organizaciones compartirán un esquema común.
Compartirán datos de configuración comunes.
Compartirán un catálogo global común, en el que se realizarán búsquedas de
recursos más fácilmente.
Ejemplo de una Con la situación del ejemplo anterior, puede conseguir los siguientes resultados
estructura con añadiendo el nuevo dominio de Active Directory, nwtraders.msft, como un
varios bosques nuevo bosque, en lugar de crear la nueva organización en el bosque existente:
Las dos organizaciones pueden mantener espacios de nombres
independientes y continuar utilizando la jerarquía de nombres que
ya existe dentro de ellas.
Las dos organizaciones pueden mantener sus funciones administrativas
separadas y continuar funcionando de forma independiente.
Las dos organizaciones podrán compartir recursos y funciones
administrativas si resulta adecuado.
Relaciones de confianza Éstas son las relaciones de confianza utilizadas con más frecuencia:
de uso frecuente
Las relaciones de confianza transitivas bidireccionales se utilizan con más
frecuencia porque son las predeterminadas entre dominios de la familia de
Windows Server 2003.
Las confianzas no transitivas unidireccionales se utilizan con frecuencia
para admitir conexiones desde dominios de la familia de
Windows Server 2003 a redes de Windows NT 4.0.
Lecturas adicionales Para obtener más información sobre confianzas consulte los temas
“Confianzas” y “Tipos de confianzas” del Sistema de ayuda y soporte técnico.
Instalación de Active Directory en Windows Server 2003 13
Qué es un sitio
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Qué es un sitio Un sitio es una combinación de una o varias subredes de Protocolo Internet
(IP, Internet Protocol) que están conectadas por un vínculo de alta velocidad.
La definición de sitios permite configurar la topología de replicación y acceso
a Active Directory.
Por qué se crea un sitio Los sitios se crean por dos razones:
Para optimizar la replicación de dominios
Para permitir que los usuarios se conecten a un controlador de dominio
mediante una conexión confiable de alta velocidad
Comparación de Los sitios asignan la estructura física de la red, mientras que los dominios
sitios y dominios asignan la estructura lógica de la organización. Las estructuras lógica y física
de Active Directory son independientes una de otra, lo que tiene las siguientes
consecuencias:
No hay correlación entre la estructura física de la red y su estructura
de dominios.
Active Directory permite múltiples dominios en un único sitio, además
de múltiples sitios en un único dominio.
No hay correlación entre los espacios de nombres de los sitios y de los
dominios.
Lecturas adicionales Para obtener más información sobre sitios consulte el curso 2281: Designing
a Microsoft Windows Server 2003 Directory Services Infrastructure (Beta)
(en inglés).
14 Instalación de Active Directory en Windows Server 2003
Qué es el esquema
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Qué es un esquema El esquema del servicio de directorio Active Directory es una estructura de
datos que contiene las definiciones de todos los objetos que se almacenan en
Active Directory, como equipos, usuarios e impresoras.
Estructura de esquema: Hay dos tipos de definiciones en el esquema: clases y atributos.
clases y atributos
Las clases describen los objetos de directorio que se pueden crear. Cada clase
es un conjunto de atributos, los cuales describen objetos.
Cuando se crea un objeto, los atributos de este objeto almacenan la información
que lo describe. Los atributos se definen de forma independiente de las clases.
Cada atributo se define sólo una vez y se puede utilizar en varias clases. Por
ejemplo, el atributo de descripción se utiliza en muchas clases, pero se define
sólo una vez en el esquema para asegurar la coherencia.
Los usuarios pueden localizar objetos por todo Active Directory mediante la
búsqueda de atributos específicos. Por ejemplo, un usuario puede localizar una
impresora en un edificio concreto mediante la búsqueda del atributo Ubicación
de la clase de objeto de la impresora.
Características En la familia de Windows Server 2003, sólo hay un esquema para todo el
de los esquemas bosque de manera que todos los objetos creados en Active Directory se ajustan
a las mismas reglas. Cuando se realizan cambios en el esquema, estos cambios
se replican en cada controlador de dominio del bosque.
En Active Directory, el esquema se almacena en una base de datos, que es
distinta de otros directorios que disponen de un esquema que se almacena como
un archivo de texto y se lee al inicio.
Instalación de Active Directory en Windows Server 2003 15
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Especificación de las Cuando se instala Active Directory en un equipo donde se ejecuta un miembro
opciones de instalación de la familia de Windows Server 2003, se especifica el dominio en el que ese
para controladores de equipo va a ser un controlador de dominio.
dominio
Debe elegir entre estas opciones para cada controlador de dominio que cree.
Después de hacer la selección, el Asistente para la instalación de Active
Directory le guiará para que especifique la información necesaria para el nuevo
controlador de dominio. La información que debe proporcionar al instalar
Active Directory varía según las opciones seleccionadas.
Cuando instala Active Directory, se crean archivos de registro que enumeran
los resultados de cada paso del procedimiento de instalación. Los archivos de
registro se guardan en la carpeta SystemRoot\Debug.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Comparación de las Existen dos formas de agregar un controlador de dominio a un dominio existente:
formas de agregar un
controlador de dominio Replicar una copia completa de la base de datos de Active Directory en la red.
Las ventajas de utilizar este método son las siguientes:
• Permite utilizar una red de banda ancha.
• La replicación se actualiza y se completa en un solo paso en el momento
de la promoción.
Instalar un controlador de dominio a partir de los medios de copia
de seguridad.
Con este método, cuando se inicia la instalación de Active Directory,
la replicación inicial se realiza con los archivos de copia de seguridad
restaurados, en lugar de hacerlo con otro controlador de dominio a través
de la red.
La instalación a partir de medios de copia de seguridad permite implementar
controladores de dominio en ubicaciones que disponen de conexiones de
poco ancho de banda.
Los archivos de copia de seguridad, generados por cualquier utilidad de
copia de seguridad compatible con Active Directory, se pueden transferir al
controlador de dominio candidato mediante medios como cinta, CD o DVD,
o bien utilizando la copia de archivos en una red.
Tenga en cuenta que los medios de copia de seguridad no están actualizados
en el momento de la promoción. Después de promover el controlador de
dominio, se debe replicar para que quede actualizado. El tiempo requerido y
el ancho de banda consumido en este proceso dependen en gran medida de
lo reciente que sea la copia de seguridad. Por esta razón, debe crear una
copia de seguridad lo más cerca posible en el tiempo del momento en que
vaya a utilizarla.
20 Instalación de Active Directory en Windows Server 2003
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
(continuación)
En esta página Haga esto
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Después de establecer el dominio raíz, puede agregar un nuevo árbol al bosque
existente si su plan de red requiere varios árboles.
Procedimiento Para crear un árbol nuevo en un bosque existente, ejecute DCPromo.exe a fin
de iniciar el Asistente para instalación de Active Directory. Complete el
asistente con la información contenida en la siguiente tabla.
En esta página Haga esto
(continuación)
En esta página Haga esto
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
(continuación)
En esta página Haga esto
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Credenciales de red:
• Nombre de usuario: Administrador
• Contraseña: P@ssw0rd
• Dominio: nwtraders.msft
Nombre de dominio: nwtraders.msft
Carpetas de la base de datos y del registro: Acepte las predeterminadas
Volumen del sistema compartido: Acepte el predeterminado
Contraseña de admin. del Modo de restauración de servicios de
directorio: P@ssw0rd
Instalación de Active Directory en Windows Server 2003 29
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción En esta lección se tratan definiciones y directrices para cambiar los niveles
funcionales de bosque y de dominio.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar la relación entre los niveles funcionales de dominio y las
funcionalidades de dominio compatibles.
Explicar la relación entre los niveles funcionales de bosque y las
funcionalidades de bosque compatibles.
Cambiar el nivel funcional de dominio.
30 Instalación de Active Directory en Windows Server 2003
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Niveles funcionales El nivel funcional de dominio es una configuración que habilita características
de dominio que afectan al dominio completo. Hay cuatro niveles funcionales de dominio
disponibles:
Windows 2000 mixto
Los dominios trabajan en el nivel funcional de Windows 2000 mixto de
forma predeterminada.
Windows 2000 nativo
Windows Server 2003 versión preliminar
La versión preliminar de Windows Server 2003 se utiliza sólo para
actualizaciones directas desde Windows NT 4.0 a la familia de
Windows Server 2003, prescindiendo de Windows 2000. Los controladores
de dominio que ejecutan Windows 2000 no funcionarán en la funcionalidad
de dominio de la versión preliminar de Windows Server 2003.
Familia de Windows Server 2003
Niveles funcionales En la siguiente tabla aparecen los niveles funcionales de dominio y los
de dominio y correspondientes controladores de dominio admitidos.
controladores
de dominio Nivel funcional Características Controladores de
correspondientes del dominio habilitadas dominio admitidos
Limitaciones para Una vez que se ha elevado el nivel funcional del dominio, los controladores
agregar controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden
de dominio introducir en el dominio. Por ejemplo, si eleva un nivel funcional de dominio
a Windows Server 2003, los controladores de dominio que ejecutaban
Microsoft Windows 2000 Server no se pueden agregar a ese dominio.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
(continuación)
Características Controladores de
Nivel funcional de bosque habilitadas dominio admitidos
Una vez que se ha aumentado el nivel funcional del bosque, los controladores
de dominio que ejecutaban sistemas operativos anteriores no se pueden
introducir en el bosque. Por ejemplo, si aumenta un nivel funcional de
bosque a Windows Server 2003, los controladores de dominio que ejecutaban
Windows 2000 Server no se pueden agregar al bosque.
Existe un nivel funcional de bosque adicional, denominado
Windows Server 2003 versión preliminar. Utilice este nivel si está actualizando
el primer dominio de Windows NT de manera que se convierta en el primer
dominio de un nuevo bosque de la familia de Windows Server 2003.
Información adicional Para obtener más información sobre niveles funcionales de bosque y de
dominio, consulte el artículo Domain and forest functionality (en inglés)
en el sitio Web de Microsoft Technet en http://www.microsoft.com/technet
Instalación de Active Directory en Windows Server 2003 35
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Situación de ejemplo Ha determinado que las siguientes condiciones deben existir en la red:
No estará utilizando ningún controlador de dominio de Windows NT 4.0
o Windows 2000 en el dominio.
Desea aprovechar todas las ventajas que ofrece Active Directory.
Decide convertir el dominio de modo mixto a modo nativo.
Pregunta del debate ¿Qué ocurriría si aún hubiera controladores de dominio de Windows NT 4.0
funcionando en el entorno después de convertir el dominio de modo mixto a
modo nativo?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
2 Instalación de Active Directory en Windows Server 2003