Prácticas A.S.O./A.S.O.P.

- Boletı́n W04
Configuración del Active Directory

1. Introducción
En este boletı́n de prácticas veremos distintos aspectos de la configuración del Active Directory.
En la práctica supondremos que queremos crear una estructura de dominios para una empresa. Esta
estructura en concreto será un bosque independiente con un sólo árbol. En concreto vamos a ver cómo:

- Crear un nuevo dominio y el primer controlador de dominio (PDC) de un árbol y un bosque

independiente.
- Crear un controlador de dominio adicional para un dominio ya existente.
- Añadir un servidor miembro a un dominio existente.
- Crear un subdominio de un dominio existente en un árbol.

A la misma vez que se explican los pasos para la configuración de cada uno de los distintos
elementos, se pondrá un ejemplo para que sea más comprensible todo el proceso de instalación de los
distintos dominios. La arquitectura que se montará en la práctica, ası́ como el ejemplo que vamos a
seguir aparece reflejado en la última sección de este enunciado de Prácticas.

IMPORTANTE:

- En el proceso de creación de un nuevo dominio, crear un controlador de dominio adicional o

al crear un subdominio de un dominio existente, Windows nos pedirá el CD de instalación
del Windows Server 2003. En concreto, nos pedirá ficheros que se encuentran ubicados en el
directorio i386 del CD. Sin embargo, en las salas de prácticas no hay unidad de CD-ROM en los
PCs. Por ello se ha copiado el CD de Windows Server 2003 en la unidad c:\ de los ordenadores
de prácticas, en concreto en el directorio: c:\cd ws2003\
- Cuando en una máquina haya que especificar un nombre de dominio, se pondrá de la siguiente
forma: dominioXY, donde XY son las dos cifras que representan el número del PC en la sala.
Para la máquina 6, el dominio se llamará dominio06.
- Cuando haya que indicar una nueva contraseña indica siempre practicas, salvo que Windows no
la acepte por cuestiones de seguridad, en ese caso elige la contraseña Practicas9.

2. Organización de las Prácticas

Para la realización de esta práctica son necesarios varios PC’s, en concreto se necesitan un PC
para:

- El controlador de dominio.
- El segundo controlador de dominio.
- El servidor miembro.
- El servidor de subdominio.

Por tanto para la realización de las prácticas os váis a agrupar en grupos de 4 PCs. Es decir, cada
fila de sala de prácticas constituye un grupo y se encargará de realizar la configuración para cada uno
de los equipos anteriormente citados.

DITEC BWIN04 - 1/7 - ASO/ASOP-2004-05

3. Preliminares
En esta sección se describen algunos pasos preliminares necesarios para poder tanto crear
correctamente los distintos dominios como configurar los servidores miembro.

3.1 Asegúrate de que has entrado como Administrador a la sesión de Windows.

3.2 Mediante la herramienta Sistema comprueba el nombre del equipo en el que estás trabajando,
tiene que ser asoXY (siendo XY el número del PC).
3.3 Comprueba que estás trabajando con un servidor independiente dentro de un grupo de trabajo.
Es decir, que no está asociado a ningún dominio.
3.4 La configuración de la red tiene que ser fija, y no puede ser obtenida dinácamente por DHCP.
Para ello habrá que cambiar, en cada PC, su configuración de red. Ası́, en el PC XY (siendo XY
el número del PC), tiene que ser la siguiente (Ver en Mis sitios de Red / Conexión de Área Local
/ Propiedades / Propiedades TCP/IP):

- Dirección IP: 192.168.8.XY

- Máscara: 255.255.255.0
- Gateway por defecto: 192.168.8.100
- DNS: 192.168.8.WZ, donde WZ es el número del PC sobre el que vamos a instalar el dominio.
En el caso de que el PC sea el primer controlador de dominio (PDC) será el mismo. En el
caso de un servidor miembro, la dirección será la del PC que hace de PDC.

3.5 En la sala, todos los PC están instalados sobre una misma imagen, por lo que todos los PCs
tienen la misma imagen del Sistema Operativo y por tanto tienen el mismo identificador de
seguridad (SID). Windows Server 2003, en el proceso de creación de un dominio, comprueba
si ese identificador ya existe en la red, ya que sólo se puede instalar un dominio por licencia, y
en la sala como todos tienen el mismo SID, tendremos problemas para instalarlo. Para evitar este
problema, ejecuta los siguientes pasos:

a) Descárgate el fichero que te indique el profesor y ejecútalo, aceptando las opciones por defecto.
b) Reinicia el PC.

4. Creación de un nuevo dominio raı́z

Ejecuta los siguientes pasos para crear y comprobar la correcta creación de un nuevo árbol. En
este sección supondremos que el nuevo árbol se va a crear sobre el PC02.

Instalación

4.1 Desde Inicio / Ejecutar, lanza la orden dcpromo que inicia el asistente para la la instalación
del Active Directory. También se podrı́a lanzar desde Inicio / Programas / Herramientas
Administrativas / Configurar el Servidor / Active Directory.
4.2 Lo primero que nos preguntará es si queremos que el servidor sea un Controlador de dominio
para un nuevo dominio o que sea un Controlador de dominio adicional para un dominio existente.
Puesto que vamos a crear un dominio raı́z, elegiremos Controlador de dominio para un nuevo
dominio.
4.3 Después, nos da a elegir entre Crear un nuevo árbol de dominios o Crear un nuevo dominio
secundario en un árbol de dominios existente. Elegimos Crear un nuevo árbol de dominios.
4.4 Una vez que le hemos indicado que queremos crear un árbol nuevo, nos preguntará el nombre DNS
completo del nuevo dominio. En este caso, dom02.sala8.
4.5 A continuación nos preguntará por el nombre NetBIOS del dominio. Siguiendo el ejemplo,
asegúrate de que ha puesto dom02.

DITEC BWIN04 - 2/7 - ASO/ASOP-2004-05

 4.6 Después, pregunta por la Ubicación de la base de datos y del archivo de registro. Podemos aceptar
las opciones por defecto que es C:\WINNT\NTDS para ambos casos.
4.7 En Volumen del sistema compartido dejaremos la opción por defecto que es C:\WINNT\SYSVOL.
Esta es la carpeta que contiene los archivos públicos del dominio y se duplicará entre los distintos
controladores del dominio.
4.8 Una vez que hemos aceptado la carpeta, detectará que no encuentra un servidor DNS que contenga
el nombre DNS completo que le hemos indicado y nos pedirá que comprobemos la configuración
del DNS o que configuremos este equipo como DNS. En nuestro caso le diremos que queremos
instalar el DNS en nuestra máquina. Ası́ cuando nos pregunte si queremos instalarlo en nuestra
máquina elegiremos Sı́, instalar y configurar DNS en este equipo. En la instalación si nos pide el
CD con el directorio i386, tener en cuenta lo explicado en la introducción de este boletı́n.
4.9 Después nos preguntará por los Permisos, como en nuestro dominio no vamos a trabajar con
ningún servidor Windows NT, elegiremos Permisos compatibles sólo con servidores Windows 2000
o superiores.
4.10 A continuación, nos pedirá la Contraseña de administrador del Modo de restauración de servicios
de directorio. Esta contraseña NO es la misma que la contraseña de administrador del dominio.
Ésta sólo se utiliza cuando se entra en modo restauración con F8 (durante el proceso de arranque),
de manera que valida la contraseña por la base de datos de usuario local, no por la base de datos
de usuario del Active Directory. Aunque en nuestro caso, utilizaremos la misma clave: practicas.
4.11 Antes de iniciar la instalación del Active Directory nos mostrará un Resumen de las distintas
opciones que hemos elegido. Si estamos de acuerdo comenzará la instalación del Active Directory.
4.12 Por último nos mostrará una pantalla con la Finalización del asistente para la instalación de Active
Directory y después nos pedirá que reiniciemos el equipo. RECOMENDAMOS que antes de
reiniciar ejecutéis los pasos a y b del siguiente ejercicio (4.13). Vuélvelos a ejecutar cuando reinicie.

Comprobación de la instalación

4.13 Comprobar los registros de recursos SRV.

a) Lanza la herramienta de administración del DNS mediante Herramientas Administrativas /

DNS.
b) Ve a la carpeta Zonas de búsqueda directa / Nombre Dominio donde Nombre Dominio es
el nombre de dominio que especificaste. En nuestro caso será dom02.sala8. A continuación,
con el botón derecho sobre el dominio elige Propiedades / General. Asegúrate de que en
Actualizaciones Dinámicas pone Sólo con seguridad. Si no está puesto ası́ el Active Directory
no se configurará correctamente.
c) A continuación, en la carpeta correspondiente al dominio, comprueba además que se crearon
las carpetas:
- msdcs
- sites
- tcp
- udp
Si no se crean estas carpetas el Active Directory NO funcionará correctamente. En caso de
que no se hubieran creado ejecuta los siguientes pasos:
- Borra y/o actualiza la caché (la entrada ”punto”), y actualizar con F5.
- La otra opción es ejecutar ipconfig /flushdns en modo comando. Después de ejecutar el
comando dejar pasar unos minutos ya que puede ser que la actualización no se produzca
inmediatamente.

4.14 Comprobar SYSVOL.

DITEC BWIN04 - 3/7 - ASO/ASOP-2004-05

 - Comprueba que se ha creado la estructura de carpetas. Ejecuta %SystemRoot%\sysvol.
Deberı́an estar las siguientes carpetas: Dominio (Domain), Ensayo (Staging), Zonas de
ensayo (Staging areas) y Sysvol.
- Comprueba que se han creado las carpetas compartidas necesarias. Para ello ejecuta: Inicio
/ Ejecutar / cmd / net share. Deberı́an aparecer dos recursos compartidos: NETLOGON y
SYSVOL.

4.15 Comprobar los archivos de registro y la base de datos del directorio.

Ejecuta %SystemRoot%\ntds. Windows Explorer abre y muestra el contenido de la carpeta
Ntds, que deberı́a incluir los siguientes archivos:

- Ntds.dit. Es el archivo de la base de datos de directorio.

- Edb.* Archivos de registro de transacciones y los archivos de controles.
- Res*.log. Archivos de registro reservados.

4.16 Comprobar los resultados de la instalación examinando los registros de sucesos.

Examina el registro de sucesos por si se produjo algún error durante el proceso de instalación.
Los siguientes archivos de registro contienen los mensajes de error que se han generado durante la
instalación: Registro de sistema, Servicio de directorio, Servidor DNS, Servicio de replicación de
archivos.
4.17 Comprobaciones adicionales:

- En el Inicio de Sesión de Windows nos aparece la opción Conectarse a, pudiéndose indicar

un nombre de dominio. Alternativamente también puedes poner administrador@dom02 como
nombre de usuario.
En Mi PC / Propiedades / Nombre de equipo, el botón Cambiar está deshabilitado y como
Nota dice que no se puede cambiar la identificación del equipo porque la máquina es un
controlador de dominio.
En Mi PC / Administrar / Herramientas Administrativas, la opción Usuarios locales y grupos,
está deshabilitada.

5. Crear un controlador de dominio adicional

En esta sección vamos a especificar los pasos para crear un controlador de dominio adicional
para el dominio que hemos creado en la anterior sección. Para el controlador de dominio adicional
utilizaremos otro de los PCs que tenemos asignado para efectuar la práctica. Supongamos, por ejemplo,
que utilizaremos el PC06.

5.1 Ejecuta dcpromo.

5.2 A continuación, le indicaremos que queremos crear un Controlador de dominio adicional para
un dominio existente.
5.3 Acto seguido nos pedirá un nombre de usuario, una contraseña y un nombre de dominio. En
nuestro ejemplo, dom02.
5.4 Después nos pedirá que escribamos el nombre completo del dominio para el cual el equipo se
convertirá en un controlador de dominio adicional. En nuestro ejemplo, dom02.sala8.
5.5 A partir de aquı́ los pasos son los mismos que los seguidos para crear el dominio raı́z.
5.6 Finalmente comprueba que el DNS se ha actualizado con este nuevo controlador.

6. Herramientas de Administración del Active Directory

En Inicio / Programas / Herramientas Administrativas están las principales herramientas que nos
permitirán administrar el Active Directory, y son:

DITEC BWIN04 - 4/7 - ASO/ASOP-2004-05

 - Usuarios y equipos de Active Directory.
- Dominios y confianzas de Active Directory.
- Sitios y Servicios de Active Directory.

6.1 Comprueba, por medio de la herramienta Usuarios y equipos del Active Directory, que
efectivamente tenemos más de un controlador de dominio para el dominio.
6.2 Verifica a partir de Dominios y confianzas que el dominio está en modo nativo.
6.3 En Mis sitios de red / Toda la red / Red de Microsoft Windows / Nombre Dominio aparecen
conectados los PCs al dominio. Además se puede ver que los controladores de dominio comparten
la carpeta SYSVOL, que a su vez contiene dos subcarpetas: Policies y scripts.
6.4 Desde Usuarios y equipos del Active Directory crea una unidad organizativa nueva, llámala
Alumnos. Después, crea un nuevo usuario llamado alu01dom02 o similar dependiendo del dominio.
6.5 Desde Dominios y confianzas mira como cambiar el controlador de dominio que realiza la función
de maestro de operaciones.
6.6 A partir de Sitios y Servicios de Active Directory comprueba qué controlador actúa como catálogo
global.

7. Unirse al dominio raı́z

Aquı́ lo que vamos a hacer es configurar un equipo para ser un servidor miembro de un dominio
raı́z. El procedimiento es el mismo independientemente de que sea raı́z o no. Supongamos que queremos
unir un servidor, por ejemplo el PC04, entonces los pasos a seguir son:

7.1 En la ventana de Inicio de sesión a Windows comprueba que no estás unido a ningún dominio.
7.2 Inicia la sesión como Administrador.
7.3 Ve a Mi PC / Propiedades o bien a Inicio / Configuración / Panel de Control / Sistema.
7.4 En la pestaña Nombre de Equipo, elige Cambiar. Aparece el diálogo Cambios en el nombre del
equipo.
7.5 En Miembro de / Dominio escribe el nombre del dominio al que quieres unirte, en nuestro ejemplo
dom02.
7.6 A continuación nos pedirá que introduzcamos el nombre de usuario (y su password) con permisos
de Administración en el controlador de dominio. En este caso, introduciremos como nombre de
usuario el del Administrador.
7.7 Si el nombre del usuario y el password es correcto entonces nos dará la bienvenida al dominio.
7.8 A continuación tendremos que reiniciar la máquina.
7.9 Comprueba que puedes entrar a la máquina con el usuario que creaste anteriormente (alu01dom02
o similar).
7.10 Comprueba, desde un PC que no esté unido al dominio, que no puedes entrar con el usuario:
alu01dom2 o similar.

8. Crear un subdominio
En esta sección vamos a ver como crear un subdominio del dominio raı́z que creamos anteriormente.
Para ello, en otro PC, por ejemplo en el PC03, llevaremos a cabo estos pasos:

8.1 Ejecuta dcpromo.

8.2 A continuación elegiremos Controlador de dominio para un nuevo dominio.
8.3 Después Crear un nuevo dominio secundario en un árbol de dominios existente.

DITEC BWIN04 - 5/7 - ASO/ASOP-2004-05

8.4 A continuación nos pedirá las credenciales de un usuario con atributos de Administrador sobre
todo el dominio.
8.5 Verificar el nombre del dominio padre e introducir el nombre del nuevo dominio hijo. En nuestro
ejemplo, el dominio padre es dom02.sala8 y el nombre NetBIOS del dominio hijo podrı́a ser dom03.
Aquı́ el nombre completo del nuevo dominio será: dom03.dom02.sala8.
8.6 El resto de los pasos es similar a los seguidos durante la creación del dominio raı́z.

9. Unirse al subdominio
Utilizando el equipo que anteriormente utilizaste para unirte al dominio raı́z, ahora sigue los mismos
pasos que seguiste anteriormente para ahora unirte al nuevo subdominio que hemos creado. Una vez
que hayas unido el PC a ese dominio prueba a autenticarte con el nuevo usuario en el subdominio.
¿Es posible? ¿Por qué?

10. Degradar dominios

Por último, para terminar la práctica, vamos a degradar cada uno de los dominios que hemos
creado, pero hay que hacerlo en orden inverso al de su creación. Es decir, primero degradaremos el
subdominio y a continuación cada uno de los controladores de dominios, siendo el PDC el último en
degradarse. Es importante tener en cuenta que antes de degradar un dominio, no tenemos que tener
ningún PC unido a ese dominio. Para degradar el dominio utiliza también el dcpromo, indicando si el
dominio que estamos degradando es el último PDC o no. En nuestro caso los pasos a seguir son:

10.1 Quita el equipo que uniste al subdominio en la sección 9. Haz que en vez de que esté asociado a
un dominio que esté en un grupo de trabajo.
10.2 A continuación hay que degradar el subdominio que creaste en la sección 8. Para ello utiliza el
dcpromo, pero antes es IMPORTANTE que compruebes que en el DNS existe una entrada con
el nombre del PC y con contenido la IP del ordenador. En nuestro ejemplo, la entrada PC03
tiene que estar en DNS / Zonas de búsqueda directa / dom02.sala8 / dom03. En caso de que
no exista, con el botón derecho del ratón haz clic sobre dom03 y elige Host nuevo, te pedirá el
nombre del host y su IP.
10.3 Una vez que hayas degradado el subdominio pasa a degradar el segundo controlador de dominio.
En el ejemplo, el PC06. Ten en cuenta lo que se ha comentado sobre el DNS en el punto anterior.
10.4 Por último, degrada el dominio raı́z.

11. Arquitectura del Active Directory de la Práctica

Aquı́ se muestra una figura con la estructura de dominios que se creará durante la realización de
estas prácticas. Ten en cuenta, que en la figura se ha usado sala6 en vez de sala8.

DITEC BWIN04 - 6/7 - ASO/ASOP-2004-05

DITEC BWIN04 - 7/7 - ASO/ASOP-2004-05