MATERIA: SISTEMAS OPERATIVOS ALUMNA: Karen garca Vzquez CARRERA: ING.

EN SISTEMAS COMPUTACIONALES

Investigacin DE SISTEMAS OPERATIVOS DNS, RBOL, BOSQUE,

Domain Name System o DNS (sistema de nombres de dominio) es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. El servidor DNS utiliza una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de informacin a cada nombre, los usos ms comunes son la asignacin de nombres de dominio a direcciones IP y la localizacin de los servidores de correo electrnico de cada dominio. La asignacin de nombres a direcciones IP es ciertamente la funcin ms conocida de los protocolos DNS. Por ejemplo, si la direccin IP del sitio FTP de prox.mx es 200.64.128.4, la mayora de la gente llega a este equipo especificando ftp.prox.mx y no la direccin IP. Adems de ser ms fcil de recordar, el nombre es ms fiable. La direccin numrica podra cambiar por muchas razones, sin que tenga que cambiar el nombre. Inicialmente, el DNS naci de la necesidad de recordar fcilmente los nombres de todos los servidores conectados a Internet. En un inicio, SRI (ahora SRI International) alojaba un archivo llamado HOSTS que contena todos los nombres de dominio conocidos. El crecimiento explosivo de la red caus que el sistema de nombres centralizado en el archivo hosts no resultara prctico y en 1983, Paul V. Mockapetris public los RFC 882 y RFC 883 definiendo lo que hoy en da ha evolucionado hacia el DNS moderno. (Estos RFCs han quedado obsoletos por la publicacin en 1987 de los RFCs 1034 y RFC 1035). Un programa cliente DNS que se ejecuta en la computadora del usuario y que genera peticiones DNS de resolucin de nombres a un servidor DNS (Por ejemplo: Qu direccin IP corresponde a nombre.dominio?);

Los Clientes DNS:

Que contestan las peticiones de los clientes. Los servidores recursivos tienen la capacidad Los Servidores DNS: de reenviar la peticin a otro servidor si no disponen de la direccin solicitada. Porciones del espacio de nombres raros de dominio (como manu_uqz) que almacenan los datos. Cada zona de autoridad abarca Las Zonas de autoridad, al menos un dominio y posiblemente sus subdominios, si estos ltimos no son delegados a otras zonas de autoridad.

Un nombre de dominio usualmente consiste en dos o ms partes (tcnicamente etiquetas), separadas por puntos cuando se las escribe en forma de texto. Por ejemplo, www.example.com o www.wikipedia.es

A la etiqueta ubicada ms a la derecha se le llama dominio de nivel superior (en ingls top level domain). Como org en www.ejemplo.org o es en
www.wikipedia.es

Cada etiqueta a la izquierda especifica una subdivisin o subdominio. Ntese que "subdominio" expresa dependencia relativa, no dependencia absoluta. En teora, esta subdivisin puede tener hasta 127 niveles, y cada etiqueta puede contener hasta 63 caracteres, pero restringidos a que la longitud total del nombre del dominio no exceda los 255 caracteres, aunque en la prctica los dominios son casi siempre mucho ms cortos. Finalmente, la parte ms a la izquierda del dominio suele expresar el nombre de la mquina (en ingls hostname). El resto del nombre de dominio simplemente especifica la manera de crear una ruta lgica a la informacin requerida. Por ejemplo, el dominio es.wikipedia.org tendra el nombre de la mquina "es", aunque en este caso no se refiere a una mquina fsica en particular.

El DNS consiste en un conjunto jerrquico de servidores DNS. Cada dominio o subdominio tiene una o ms zonas de autoridad que publican la informacin acerca del dominio y los nombres de servicios de cualquier dominio incluido. La jerarqua de las zonas de autoridad coincide con la jerarqua de los dominios. Al inicio de esa jerarqua se encuentra los servidores raz: los servidores que responden cuando se busca resolver un dominio de primer y segundo nivel.

DNS en el mundo real Los usuarios generalmente no se comunican directamente con el servidor DNS: la resolucin de nombres se hace de forma transparente por las aplicaciones del cliente (por ejemplo, navegadores, clientes de correo y otras aplicaciones que usan Internet). Al realizar una peticin que requiere una bsqueda de DNS, la peticin se enva al servidor DNS local del sistema operativo. El sistema operativo, antes de establecer alguna comunicacin, comprueba si la respuesta se encuentra en la memoria cach. En el caso de que no se encuentre, la peticin se enviar a uno o ms servidores DNS. La mayora de usuarios domsticos utilizan como servidor DNS el proporcionado por el proveedor de servicios de Internet. La direccin de estos servidores puede ser configurada de forma manual o automtica mediante DHCP. En otros casos, los administradores de red tienen configurados sus propios servidores DNS.

En cualquier caso, los servidores DNS que reciben la peticin, buscan en primer lugar si disponen de la respuesta en la memoria cach. Si es as, sirven la respuesta; en caso contrario, iniciaran la bsqueda de manera recursiva. Una vez encontrada la respuesta, el servidor DNS guardar el resultado en su memoria cach para futuros usos y devuelve el resultado. Jerarqua DNS

El espacio de nombres de dominio tiene una estructura arborescente. Las hojas y los nodos del rbol se utilizan como etiquetas de los medios. Un nombre de dominio completo de un objeto consiste en la concatenacin de todas las etiquetas de un camino. Las etiquetas son cadenas alfanumricas (con '-' como nico smbolo permitido), deben contar con al menos un carcter y un mximo de 63 caracteres de longitud, y deber comenzar con una letra (y no con '-') (ver la RFC 1035, seccin "2.3.1. Preferencia nombre de la sintaxis "). Las etiquetas individuales estn separadas por puntos. Un nombre de dominio termina con un punto (aunque este ltimo punto generalmente se omite, ya que es puramente formal). Un FQDN correcto (tambin llamado Fully Qualified Domain Name), es por ejemplo este: www.example.com. (Incluyendo el punto al final) Un nombre de dominio debe incluir todos los puntos y tiene una longitud mxima de 255 caracteres.

Un nombre de dominio se escribe siempre de derecha a izquierda. El punto en el extremo derecho de un nombre de dominio separa la etiqueta de la raz de la jerarqua (en ingls, root). Este primer nivel es tambin conocido como dominio de nivel superior (TLD - Top Level Domain). Los objetos de un dominio DNS (por ejemplo, el nombre del equipo) se registran en un archivo de zona, ubicado en uno o ms servidores de nombres. Primarios o maestros:

Guardan los datos de un espacio de nombres en sus ficheros

Secundarios o esclavos:

Obtienen los datos de los servidores primarios a travs de una transferencia de zona.

Locales o cach:

Funcionan con el mismo software, pero no contienen la base de datos para la resolucin de nombres. Cuando se les realiza una consulta, estos a su vez consultan a los servidores DNS correspondientes, almacenando la respuesta en su base de datos para agilizar la repeticin de estas peticiones en el futuro continuo o libre.

Existen dos tipos de consultas que un cliente puede hacer a un servidor DNS:

Las resoluciones iterativas consisten en la respuesta completa que el servidor de nombres pueda dar. El servidor de nombres consulta sus datos locales (incluyendo su cach) buscando los datos solicitados. El servidor encargado de hacer la resolucin realiza iterativamente preguntas a los diferentes DNS de la jerarqua asociada al nombre que se desea resolver, hasta descender en ella hasta la mquina que contiene la zona autoritativa para el nombre que se desea resolver.

En las resoluciones recursivas, el servidor no tiene la informacin en sus datos locales, por lo que busca y se pone en contacto con un servidor DNS raz, y en caso de ser necesario repite el mismo proceso bsico (consultar a un servidor remoto y seguir a la siguiente referencia) hasta que obtiene la mejor respuesta a la pregunta. Cuando existe ms de un servidor autoritario para una zona, Bind utiliza el menor valor en la mtrica RTT (round-trip time) para seleccionar el servidor. El RTT es una medida para determinar cunto tarda un servidor en responder una consulta.

El proceso de resolucin normal se da de la siguiente manera:

1. 2. 3. 4. 5. 6. 7. 8. 9.

El servidor A recibe una consulta recursiva desde el cliente DNS. El servidor A enva una consulta recursiva a B. El servidor B refiere a A otro servidor de nombres, incluyendo a C. El servidor A enva una consulta recursiva a C. El servidor C refiere a A otro servidor de nombres, incluyendo a D. El servidor A enva una consulta recursiva a D. El servidor D responde. El servidor A regresa la respuesta al resolver. El resolver entrega la resolucin al programa que solicit la informacin.

A = Address (Direccin) Este registro se usa para traducir nombres de servidores de alojamiento a direcciones IPv4. AAAA = Address (Direccin) Este registro se usa en IPv6 para traducir nombres de hosts a direcciones IPv6. CNAME = Canonical Name (Nombre Cannico) Se usa para crear nombres de servidores de alojamiento adicionales, o alias, para los servidores de alojamiento de un dominio. Es usado cuando se estn corriendo mltiples servicios (como ftp y servidor web) en un servidor con una sola direccin ip. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.). esto tambin es usado cuando corres mltiples servidores http, con diferente nombres, sobre el mismo host. Se escribe primero el alias y luego el nombre real. Ej. Ejemplo1 IN CNAME ejemplo2 NS = Name Server (Servidor de Nombres) Define la asociacin que existe entre un nombre de dominio y los servidores de nombres que almacenan la informacin de dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres. MX (registro) = Mail Exchange (Registro de Intercambio de Correo) Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o ms servicios de correo. PTR = Pointer (Indicador) Tambin conocido como 'registro inverso', funciona a la inversa del registro A, traduciendo IPs en nombres de dominio. Se usa en el archivo de configuracin del Dns reversiva. SOA = Start of authority (Autoridad de la zona) Proporciona informacin sobre el servidor DNS primario de la zona. HINFO = Host INFOrmation (Informacin del sistema informtico) Descripcin del host, permite que la gente conozca el tipo de mquina y sistema operativo al que corresponde un dominio. TXT = TeXT - ( Informacin textual) Permite a los dominios identificarse de modos arbitrarios. LOC = LOCalizacin - Permite indicar las coordenadas del dominio. WKS - Generalizacin del registro MX para indicar los servicios que ofrece el dominio. Obsoleto en favor de SRV. SRV = SeRVicios - Permite indicar los servicios que ofrece el dominio. RFC 2782. Excepto Mx y Ns. Hay que incorporar el nombre del servicio,

protocolo, dominio completo, prioridad del servicio, peso, puerto y el equipo completo. Esta es la sintaxis correspondiente: Servicio.Protocolo.Dominio-completo IN SRV Prioridad.Peso.Puerto.EquipoCompleto

SPF = Sender Policy Framework - Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts estn autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega con los datos de este registro.

es un conjunto de uno o ms dominios que comparten un espacio de nombres contiguo. Si existe ms de un dominio, estos se disponen en estructuras de rbol jerrquicas. El primer dominio creado es el dominio raz del primer rbol. Cuando se agrega un dominio a un rbol existente este pasa a ser un dominio secundario (o hijo). Un dominio inmediatamente por arriba de otro dominio en el mismo rbol de dominio es su padre. Todos los dominios que tengan un dominio raz comn se dice que forman un espacio de nombres contiguo. Los dominios secundarios (hijos) pueden representar entidades geogrficas (valencia, madrid, barcelona), entidades administrativas dentro de la organizacin (departamento de ventas, departamento de desarrollo ...), u otras delimitaciones especficas de una organizacin, segn sus necesidades Los dominios que forman un rbol se enlazan mediante relaciones de confianza bidireccionales y transitivas. La relacin padre-hijo entre dominios en un rbol de dominio es simplemente una relacin de confianza. Los administradores de un dominio padre no son automticamente administradores del dominio hijo y el conjunto de polticas de un dominio padre no se aplican automticamente a los dominios hijo. Por ejemplo, en la Universidad Politcnica de Valencia cuyo dominio actual de Active Directory es upv.es se crean dos nuevos departamentos: DSIC y DISCA. Con el fin de permitir la administracin de los dominios por parte de los tcnicos de los respectivos departamentos, se decide agregar dos nuevos dominios a su rbol de dominios existente en lugar de crear dos unidades organizativas en el dominio existente. Los dominios resultantes, dsic.upv.es y disca.upv.es forman un espacio de nombres contiguo, cuya raz es upv.es. El administrador del dominio padre (upv.es) puede conceder permisos para recursos a cuentas de cualquiera de los tres dominios del rbol, pero por defecto no los puede administrar.

BOSQUE Un bosque es un grupo de rboles que no comparten un espacio de nombres contiguo, conectados a travs de relaciones de confianza bidireccionales y transitivas. Un dominio nico constituye un rbol de un dominio, y un rbol nico constituye un bosque de un rbol. Los rboles de un bosque aunque no forman un espacio de nombres comn, es decir, estn basados en diferentes nombres de dominio raz de DNS, comparten una configuracin, un esquema de directorio comn y el denominado catlogo global. Es importante destacar que, aunque los diferentes rboles de un bosque no comparten un espacio de nombres contiguo, el bosque tiene siempre un nico dominio raz, llamado precisamente dominio raz del bosque; dicho dominio raz ser siempre el primer dominio creado por la organizacin. Aadir nuevos dominios a un bosque es fcil. Sin embargo, existen ciertas limitaciones que hemos de tener en cuenta al respecto:

No se pueden mover dominios de Active Directory entre bosques. Solamente se podrn eliminar dominios de un bosque si este no tiene dominios hijo. Despus de haber establecido el dominio raz de un rbol, no se pueden aadir dominios con un nombre de nivel superior al bosque. No se puede crear un dominio padre de un dominio existente.

En general, la implementacin de bosques y rboles de dominio permite mantener convenciones de nombres tanto contiguos como discontiguos, lo cual puede ser til en organizaciones con divisiones independendientes que quieren mantener sus propios nombres DNS. Finalmente, debemos relacionar estos conceptos con el procedimiento para crear un dominio. Esto se hace mediante la ejecucin de un asistente denominado dcpromo en el sistema Windows 2003 Server que queramos promocionar a controlador de dominio. En concreto, este asistente nos permite elegir entre las siguientes opciones de instalacin:

CREAR UN NUEVO BOSQUE

Al crear el primer controlador de dominio de su organizacin, crea el primer dominio (denominado tambin dominio raz del bosque) y el primer bosque. El contenedor de nivel superior de Active Directory se denomina bosque. Un bosque consiste en uno o ms dominios que comparten un esquema comn y un catlogo global. Una organizacin puede disponer de mltiples bosques. Un bosque constituye la barrera de seguridad y administracin de todos los objetos que residen en l. Por el contrario, un dominio es el lmite administrativo para administrar objetos, como usuarios, grupos y equipos. Adems, cada dominio dispone de directivas de seguridad individuales y relaciones de confianza con otros dominios. Mltiples rboles de dominio dentro de un nico bosque no forman un espacio de nombre contiguo; es decir, disponen de nombres de dominio DNS no contiguos. Aunque los rboles de un bosque no comparten un espacio de nombres, un bosque dispone de un nico dominio raz, denominado dominio raz del bosque. El dominio raz del bosque es, por definicin, el primer dominio creado en el bosque. En este dominio se encuentran ubicados los grupos Administradores de organizacin y Administradores de esquema. De forma predeterminada, los miembros de estos dos grupos disponen de credenciales administrativas en todo el bosque. Cundo crear un nuevo bosque El primer paso en el proceso de diseo de Active Directory es determinar la cantidad de bosques que necesita su organizacin. Para la mayora de las organizaciones, un diseo con un solo bosque es el modelo preferido y el ms sencillo de administrar. Sin embargo, probablemente un nico bosque no sea prctico para todas las organizaciones. Con un nico bosque, no es necesario que los usuarios conozcan la estructura de directorios, ya que vern uno solo a travs del catlogo global. Al agregar un nuevo dominio a un bosque, no se necesita ninguna configuracin de confianza adicional, ya que todos los dominios de un bosque se conectan con confianzas transitivas bidireccionales. En un bosque con mltiples dominios, nicamente es necesario aplicar cambios de configuracin una vez para actualizar todos los dominios. Sin embargo, existen escenarios en los que puede ser necesario crear ms de un bosque:

Al actualizar un dominio de Windows NT a un bosque de Windows Server 2003. Se puede actualizar un dominio de Windows NT para que se convierta en el primer dominio de un nuevo bosque de Windows Server 2003. Para ello, antes debe actualizar el controlador de dominio principal de ese dominio. Despus, puede actualizar los controladores de dominio de copia de seguridad, servidores miembros y equipos cliente en cualquier momento. Tambin puede mantener un dominio de Windows NT y crear un nuevo bosque de Windows Server 2003 si instala Active Directory en un servidor miembro que utilice Windows Server 2003. Para obtener ms informacin, vea Actualizar desde un dominio de Windows NT. Para proporcionar autonoma administrativa. Puede crear un nuevo bosque si necesita segmentar la red por razones de autonoma administrativa. Los administradores que actualmente controlan la infraestructura de IT para divisiones autnomas dentro de la organizacin pueden desear asumir la funcin de propietario de bosque y proceder con su propio diseo. Sin embargo, en otras situaciones, los propietarios de bosque potenciales pueden elegir fusionar sus divisiones autnomas en un nico bosque para reducir el costo de diseo y operacin de su propio Active Directory, o para facilitar el uso compartido de recursos. Otra alternativa es proporcionar delegacin de autoridad administrativa que permita las ventajas de ambos enfoques. Para obtener ms informacin, vea "Procedimiento recomendado de diseo de Active Directory para administrar redes de Windows" en el sitio web de Microsoft o "Consideraciones de diseo para la delegacin de la administracin en Active Directory", tambin disponible en el sitio web de Microsoft.

Funciones del maestro de operaciones en un bosque nuevo Al crear el primer bosque en su organizacin, las cinco funciones del maestro de operaciones se asignan automticamente al primer controlador de dominio de ese bosque. Segn se agregan nuevos dominios secundarios al bosque, al primer controlador del dominio de cada uno se le asignan automticamente las siguientes funciones:

Maestro de identificadores relativos Emulador del controlador principal de dominio (PDC, Primary Domain Controller) Maestro de infraestructura

Puesto que slo puede existir en el bosque un maestro de esquema y un maestro de nombres de dominio, estas funciones permanecen en el dominio raz del bosque. En un bosque de Active Directory en el que slo hay un dominio y un controlador de dominio, ese controlador de dominio posee todas las funciones del maestro de operaciones. Para obtener ms informacin, vea Funciones del maestro de operaciones. Agregar nuevos dominios al bosque Un dominio slo almacena informacin acerca de los objetos ubicados en ese dominio; por lo tanto, al crear varios dominios en un bosque nuevo, se divide o segmenta Active Directory para atender mejor a un conjunto dispar de usuarios. La estructura de dominios ms fcil de administrar es un dominio nico dentro de un nico bosque. Al planearla, debe comenzar con un nico dominio y agregar dominios adicionales slo cuando el modelo de dominio nico ya no se ajuste a sus necesidades. Para obtener ms informacin acerca de la creacin de dominios, vea Dominios. Antes de crear un nuevo bosque Active Directory requiere el funcionamiento de DNS y que ambos compartan la misma estructura jerrquica de dominios. Por ejemplo, microsoft.com es un dominio DNS y un dominio de Active Directory. Debido a la dependencia de Active Directory de DNS, es necesario conocer a fondo los conceptos de Active Directory y DNS antes de crear un bosque nuevo. Para crear un nuevo bosque 1. Haga clic en Inicio, luego en Ejecutar y escriba dcpromo para iniciar el Asistente para instalacin de Active Directory. 2. En la pgina Compatibilidad de sistema operativo, lea la informacin y haga clic en Siguiente. Si sta es la primera vez que instala Active Directory en un servidor que ejecuta Windows Server 2003, haga clic en Ayuda sobre compatibilidad para obtener ms informacin al respecto. 3. En la pgina Tipo de controlador de dominio, haga clic en Controlador de dominio para un dominio nuevo y, a continuacin, en Siguiente. 4. En la pgina Crear nuevo dominio, haga clic en Dominio en un nuevo bosque y en Siguiente.

5. En la pgina Nuevo nombre de dominio, escriba el nombre DNS completo del nuevo dominio y, despus, haga clic en Siguiente. 6. En la pgina Nombre de dominio NetBIOS, compruebe el nombre NetBIOS y, despus, haga clic en Siguiente. 7. En la pgina Carpetas de la base de datos y del registro, escriba la ubicacin en la que desea instalar las carpetas de base de datos y registro, o haga clic en Examinar para elegir una ubicacin y, a continuacin, haga clic en Siguiente. 8. En la pgina Volumen del sistema compartido, escriba la ubicacin en la que desea instalar la carpeta Sysvol o haga clic en Examinar para elegir una ubicacin y, despus, haga clic en Siguiente. 9. En la pgina Diagnsticos de registro de DNS, compruebe si un servidor DNS existente tendr autoridad en este bosque o, en caso necesario, haga clic en Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido para instalar y configurar DNS en este equipo y, despus, haga clic en Siguiente. 10. En la pgina Permisos, seleccione una de las siguientes opciones: 1. Permisos compatibles con sistemas operativos anteriores a Windows 2000 Server 2. Permisos compatibles slo con sistemas operativos Windows 2000 o Windows Server 2003 11. Revise la informacin de la pgina Resumen y, a continuacin, haga clic en Siguiente para empezar la instalacin. 12. Reinicie el equipo.

Funcionalidad de dominios y bosques La funcionalidad de los dominios y los bosques, introducida en Active Directory de Windows Server 2003, proporciona un mtodo para habilitar funciones de Active Directory para todo un dominio o bosque del entorno de red. Tiene a su disposicin distintos niveles de funcionalidad de dominios y funcionalidad de bosques segn los entornos. Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional se establece en Windows Server 2003, tendr a su disposicin todas las funciones para dominios y bosques completos. En cambio, cuando un dominio o bosque con controladores de dominio que ejecutan Windows Server 2003 incluye controladores de dominio de Windows NT 4.0 o Windows 2000, las funciones de Active Directory estarn limitadas. Para obtener ms informacin acerca de cmo habilitar las funciones de todo un dominio o bosque, vea Aumentar los niveles funcionales de dominios y bosques.

El concepto de habilitar funcionalidades adicionales en Active Directory es posible en Windows 2000 tanto en modos nativos como mixtos. Los dominios de modo mixto pueden incluir controladores de reserva del dominio de Windows NT 4.0 pero no pueden utilizar grupos de seguridad universales, anidamiento de grupos ni funcionalidad de historial de Id. de seguridad (SID). Cuando el dominio se establece en modo nativo s que estn disponibles los grupos de seguridad universales, el anidamiento de grupos y las capacidades de historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominios y bosques. Funcionalidad de bosques La funcionalidad de bosques habilita funciones para todos los dominios de un bosque. Existen tres niveles de funcionalidad de bosques: Windows 2000 (predeterminado), Windows Server 2003 versin provisional y Windows Server 2003. De forma predeterminada, los bosques operan al nivel funcional de Windows 2000. Si lo desea, tambin puede elevar el nivel funcional del bosque a Windows Server 2003. La siguiente tabla incluye los niveles funcionales de bosques y los controladores de dominio compatibles correspondientes. Nivel funcional del bosque Controladores de dominio compatibles

Windows 2000 (predeterminado)

Windows NT 4.0 Windows 2000 Familia Windows Server 2003

Windows Server 2003versin preliminar

Windows NT 4.0 Familia Windows Server 2003

Windows Server 2003

Familia Windows Server 2003

Tras aumentar el nivel funcional del bosque, no podrn incluirse en dicho dominio controladores de bosque que ejecuten sistemas operativos anteriores. Por ejemplo, si aumenta el nivel funcional del bosque a Windows Server 2003, no podrn agregarse a dicho bosque los controladores de dominio que ejecuten Windows 2000 Server.

Si actualiza su primer dominio de Windows NT 4.0 para que sea el primer dominio de un nuevo bosque de Windows Server 2003, puede establecer el nivel funcional del dominio en Windows Server 2003 versin preliminar.

Active Directory (AD) es el trmino que usa Microsoft para referirse a su implementacin de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos...). Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso. Active Directory permite a los administradores establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una organizacin entera. Un Active Directory almacena informacin de una organizacin en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequea hasta directorios con millones de objetos.

Estructura
Active Directory est basado en una serie de estndares llamados X.500, aqu se encuentra una definicin lgica a modo jerrquico. Dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS, razn por la cual Active Directory requiere uno o ms servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lgicos de la red, como el listado de usuarios. Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, ser reconocido en todo el rbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios. A su vez, los rboles pueden integrarse en un espacio comn denominado bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relacin de trust o confianza entre ellos. De este modo los usuarios y recursos de los distintos rboles sern visibles entre ellos, manteniendo cada estructura de rbol el propio Active Directory.

Objetos
Active Directory se basa en una estructura jerrquica de objetos. Los objetos se enmarcan en tres grandes categoras. recursos (p.ej. impresoras), servicios (p.ej. correo

electrnico), y usuarios (cuentas, o usuarios y grupos). El AD proporciona informacin sobre los objetos, los organiza, controla el acceso y establece la seguridad. Cada objeto representa una entidad individual ya sea un usuario, un equipo, una impresora, una aplicacin o una fuente compartida de datos y sus atributos. Los objetos pueden contener otros objetos. Un objeto est unvocamente identificado por su nombre y tiene un conjunto de atributoslas caractersticas e informacin que el objeto puede contenerdefinidos por y dependientes del tipo. Los atributos, la estructura bsica del objeto, se definen por un esquema, que tambin determina la clase de objetos que se pueden almacenar en el AD. "Cada atributo se puede utilizar en diferentes "schema class objects". Estos objetos se conocen como objetos esquema, o metadata, y existen para poder extender el esquema o modificarlo cuando sea necesario. Sin embargo, como cada objeto del esquema se integra con la definicin de los objetos del ANUNCIO, desactivar o cambiar estos objetos puede tener consecuencias serias porque cambiar la estructura fundamental del ANUNCIO en s mismo. Un objeto del esquema, cuando es alterado, se propagar automticamente a travs de Active Directory y una vez que se cree puede ser desactivado-no solamente suprimido. Cambiar el esquema no es algo que se hace generalmente sin un cierto planeamiento " OLMER

Funcionamiento
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la informacin relativa a un dominio de autenticacin. La ventaja que presenta esto es la sincronizacin presente entre los distintos servidores de autenticacin de todo el dominio. A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email, etctera, las impresoras de red tendrn campo nombre, campo fabricante, campo modelo, campo "usuarios que pueden acceder", etc). Toda esta informacin queda almacenada en Active Directory replicndose de forma automtica entre todos los servidores que controlan el acceso al dominio. De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administracin, los eventuales cambios sern visibles en todo el mbito. Para decirlo en otras palabras, Active Directory es una implementacin de servicio de directorio centralizado en una red distribuida que facilita el control, la administracin y la consulta de todos los elementos lgicos de una red (como pueden ser usuarios, equipos y recursos).

Intercambio entre dominios2

Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa una relacin de confianza (en ingles, trust). La relacin de confianza es creada automticamente cuando se crean nuevos dominios. Los lmites de la relacin de confianza no son marcados por dominio, sino por el bosque al cual pertenece. Existen relaciones de confianza transitivas, donde las relaciones de confianza de Active Directory pueden ser un acceso directo (une dos dominios en rboles diferentes, transitivo, una o dos vas), bosque (transitivo, una o dos vas), reino (transitivo o no transitivo, una o dos vas), o externo (no transitivo, una o dos vas), para conectarse a otros bosques o dominios que no

son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque tambin soporta NTLM y usuarios webs mediante autentificacin SSL / TLS

Confianza transitiva
Las Confianzas transitivas son confianzas automticas de dos vas que existen entre dominios en Active Directory.

Confianza explcita
Las Confianzas explcitas son aquellas que establecen las relaciones de forma manual para entregar una ruta de acceso para la autenticacin. Este tipo de relacin puede ser de una o dos vas, dependiendo de la aplicacin. Las Confianzas explcitas se utilizan con frecuencia para acceder a dominios compuestos por ordenadores con Windows NT 4.0.

Confianza de Acceso Directo

La Confianza de acceso directo es, esencialmente, una confianza explcita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticacin.

Confianza entre bosques

La Confianza entre bosques permite la interconexin entre bosques de dominios, creando relaciones transitivas de doble va. En Windows 2000, las confianzas entre bosques son de tipo explcito, al contrario de Windows Server 2003.

Direccionamientos a recursos
Los direccionamientos a recursos de Active Directory son estndares con la Convencin Universal de Nombrado (UNC), Localizador Uniforme de Recursos (URL) y nombrado de LDAP. Cada objeto de la red posee un nombre de distincin (en ingls, Distinguished name (DN)), as una impresora llamada Imprime en una Unidad Organizativa (en ingls, Organizational Units, OU) llamada Ventas y un dominio foo.org, puede escribirse de las siguientes formas para ser direccionado:

en DN sera CN=Imprime,OU=Ventas,DC=foo,DC=org, donde o CN es el nombre comn (en ingls, Common Name) o DC es clase de objeto de dominio (en ingls, Domain object Class). En forma cannica sera foo.org/Ventas/Imprime

Los otros mtodos de direccionamiento constituyen una forma local de localizar un recurso

Distincin de Nombre Relativo (en ingls, Relative Distinguised Name (RDN)), que busca un recurso slo con el Nombre Comn (CN). Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es usado por Active Directory para buscar y replicar informacin

Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en ingls, User Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un directorio de la red. Su forma es objetodered@dominio