Active Directory, Instalacin

instalacin de Active Directory

o Preparacin de la instalacin
o Instalacin del primer DC (Controlador de Dominio)
o Instalacin de un DC de Rplica
o Creacin de un DC para un dominio secundario en un rbol existente
o Creacin de un DC para un nuevo rbol en un bosque existente
o Creacin de un DC para un nuevo rbol en un bosque nuevo
o Actualiacin de los controladores de dominios de !indo"s #$ %
o De&radacin de controladores de dominios
Cambio de la identi'icacin de un controlador de dominio
(stablecimiento de un servidor de Catlo&o &lobal
)a &estin del servicio de directorio Active Directory es una parte importante del proceso de administracin
de *icroso't !indo"s +,,,- y es esencial 'amiliariarse con las distintas .erramientas que se proporcionan
para este propsito/ Casi todas las .erramientas utilian complementos de *icroso't *ana&ement Console
(**C) para proporcionar la inter'a de usuario/ (l &rupo de pro&rama 0erramientas administrativas del
men1 Inicio incluye al&unos complementos- pero para el 'uncionamiento diario se debern a2adir otros
manualmente mediante la 'uncin A&re&ar complemento de la **C/
Al&unas de las .erramientas de administracin de Active Directory son pro&ramas que se e3ecutan cada d4a-
mientras que otras solo son necesarias durante la instalacin de Active Directory 5 ocasionalmente a partir
de entonces/ )os complementos **C que proporcionan las 'unciones de administracin de Active Directory
son los si&uientes6
Asistente para instalacin de Active Directory crea controladores de dominio- nuevos
dominios- rboles y bosques/
Dominios y confianzas de Active Directory cambia el modo del dominio- &estiona las
relaciones de con'iana entre dominios y con'i&ura los su'i3os del nombre principal de usuario
(5P#)/
Usuarios y equipos de Active Directory crea- &estiona y con'i&ura los ob3etos Active
Directory/
Sitios y servicios de Active Directory crea y con'i&ura sitios dominio y &estiona el
proceso de replica del controlador de dominio/
Esquema de Active Directory modi'ica el esquema que de'ine los ob3etos y propiedades
de Active Directory/
Adems de los complementos **C- *icroso't !indo"s +,,, 7erver incluye utilidades independientes para
importar y exportar in'ormacin a y desde Active Directory/
Asistente para la instalacin de Active Directory
A di'erencia de la versin % y anteriores de *icroso't !indo"s #$ 7erver- !indo"s +,,, 7erver no desi&na
un sistema como controlador de dominio durante la instalacin del sistema operativo/ Cada servidor de
!indo"s +,,, se instala como un sistema independiente o un miembro de un dominio/ Cuando la instalacin
esta completa se puede promocionar al servidor al estado de controlador de dominio utiliando el Asistente
para instalacin de Active Directory de !indo"s +,,,/ (sta .erramienta proporciona una &ran 'lexibilidad
adicional a los administradores de Active Directory porque los servidores se pueden promover o de&radar en
cualquier momento- mientras que los servidores !indo"s #$ % se desi&nan irrevocablemente como
controladores de dominio durante el proceso de instalacin/
Al&o que tambin .a desaparecido es la distincin entre controladores principales de dominio y controladores
de dominio de reserva/ )os controladores de dominio !indo"s +,,, son todos pare3os en un sistema de
rplica con m1ltiples maestros/ (sto si&ni'ica que los administradores pueden modi'icar los contenidos del
1
rbol de Active Directory de cualquier servidor que 'uncione como controlador de dominio/ (sto es un avance
muy importante desde el sistema de rplica de un solo maestro de !indo"s #$ %- en el cual un
administrador slo puede cambiar el controlador principal de dominio (PDC- Primary Domain Controller) para
que despus los cambios se repliquen a todos los controladores de dominio de reserva (8DC- 8ac9up Domain
Controller)/
:tra venta3a de !indo"s +,,, es que se puede utiliar el Asistente para instalacin de Active Directory para
de&radar un controlador de dominio de nuevo a un servidor independiente o miembro/
(n !indo"s #$ %- una ve que se instala un servidor como controlador de dominio- es posible de&radarlo de
PDC a 8DC- pero no se puede eliminar su estado de controlador de dominio completamente- excepto
reinstalando el sistema operativo/
)a 'uncin bsica del Asistente para instalacin de Active Directory es con'i&urar un servidor para que
'uncione como controlador de dominio- pero dependiendo del estado actual de Active Directory en la red-
esta tarea puede tomar distintas 'ormas/ 7i se instala el primer !indo"s +,,, 7erver de la red- antes de la
promocin del sistema a controlador de dominio crea un Active Directory completamente nuevo con esa
computadora alo3ando el primer dominio del primer rbol del primer bosque/
Preparacin de la instalacin
Para promover !indo"s +,,, 7erver a controlador de dominio- primero .ay que completar todo el proceso
de instalacin del sistema operativo/ Despus del ultimo reinicio- .ay que iniciar sesin en la maquina
utiliando una cuenta de administrador/
NTS !
Para alo3ar Active Directory- el servidor debe tener una particin #$;7 </ #$;7 < es una versin actualiada
del sistema de arc.ivos introducido en el primer lanamiento de !indo"s #$/ Cuando se crean nuevas
particiones #$;7 durante una instalacin de !indo"s +,,, o se actualian las particiones #$;7 existentes
creadas con versiones anteriores de !indo"s #$- el sistema utilia #$;7 </ 7i se opta por instalar !indo"s
+,,, en un sistema con solo particiones ;A$- se debe convertir al menos una particin a #$;7 antes de
poder utiliar el Asistente para instalacin de Active Directory/ (sto se puede .acer utiliando la utilidad
Convert/exe desde el s4mbolo del sistema o la pantalla Administracin de discos del complemento
Administracin de equipos de **C/
La conversin de la particin de inicio de Windows 2000 (la particin en la que se instal
Windows 2000) requiere reiniciar el sistema. Como la conversin no se puede hacer en
realidad mientras est cargado el G! de Windows 2000" se utili#a un indicador del
registro para programar la conversin $ que tenga lugar la pr%ima ve# que se reinicie la
maquina. &espus se puede volver a cargar el 'sistente para instalacin de 'ctive
&irector$ $ comen#ar la secuencia de instalacin de nuevo.
Servidor DNS
(l ultimo requisito para instalar Active Directory es que el servidor ten&a acceso a un servidor D#7/ Active
Directory utilia el D#7 para almacenar in'ormacin sobre los controladores de dominio de la red/ )os
sistemas cliente localian un controlador de dominio para la autenticacin mediante el env4o de una peticin
al servidor D#7 identi'icado en sus con'i&uraciones $CP=IP cliente/ (l servidor D#7 que utilia Active
Directory ni necesita estar e3ecutndose en el equipo que se va a convertir en un controlador de dominio- ni
tiene que e3ecutar el servicio D#7 de *icroso't/ 7in embar&o- el servidor D#7 que se utilice debe soportar el
re&istro de recursos )ocaliacin de servicios de'inido en el documento R;C +,<+ y el protocolo de
Actualiacin dinmica de'inido en la R;C +>?@/
7i no .ay disponible en la red un servidor D#7 que soporte las nuevas caracter4sticas- el asistente se
o'recer a instalar y con'i&urar *icroso't D#7 7erver en el sistema automticamente/ 7e puede rec.aar la
o'erta a instalar un servidor D#7 en otro sistema- pero el nuevo servidor debe ser capa de acceder al
servidor D#7 para poder instalar Active Directory y promover el sistema a controlador de dominio/
Instalacin del Primer controlador de dominio
7i&uiendo el patrn de un asistente estndar- la instalacin de Active Directory en un servidor es una
cuestin de responder a las solicitudes en una secuencia de pantallas/ !indo"s +,,, incorpora v4nculos al
asistente en la p&ina de Active Directory de la p&ina principal de Con'i&urar el servidor de !indo"s +,,,/
(sta p&ina se muestra en el explorador *icroso't Internet (xplorer automticamente despus de la
2
instalacin del 7:/ (sta p&ina !eb local esta dise2ada para &uiar al administrador a travs de los procesos
necesarios para con'i&urar un nuevo servidor mediante pre&untas al estilo de los asistentes y v4nculos a las
.erramientas apropiadas para cada tarea/
Para instalar el Primer controlador de"eremos se#uir los si#uientes pasos$
>/ Iniciar la 0erramienta %onfi#uracin del Servidor desde el men1 de &erramientas
Administrativas' $ambin puede iniciar el asistente directamente e3ecutando el arc.ivo e3ecutable
Dcpromo'e(e desde el cuadro de dialo&o E)ecutar/ )os usuarios tambin pueden e3ecutar el
arc.ivo desde el s4mbolo del sistema despus de iniciar sesin por medio de la cuenta de
administrador local/ Dcpromo/exe se encuentra en la carpeta A7ystemRootAB7ystem?+- lo que
permite e3ecutarlos desde cualquier carpeta sin especi'icar una ruta de acceso/
Cuando se actuali#a un controlador principal de dominio Windows () * a Windows 2000 +erver" el
sistema e,ecuta autom-ticamente el 'sistente para instalacin de 'ctive &irector$ despus de que
termine la instalacin del sistema operativo.
+/ Tipo de %ontrolador de Dominios$ Despus de una pantalla de bienvenida- el Asistente
para instalacin pre&unta sobre la accin que se va a realiar- basndose en el estado actual de
Active Directory en el sistema/ 7i el servidor ya es un controlador de dominio- el asistente solo
proporciona la opcin de de&radar el sistema de nuevo a servidor independiente o miembro/ (n un
equipo que no es un controlador de dominio- el asistente muestra la pantalla $ipo de controlador de
dominios- la cual pide que se seleccione una de las si&uientes opciones6
%ontrolador de dominio para un nuevo dominio$ Instala Active Directory en el
servidor y lo desi&na como el primer controlador de dominio de un nuevo dominio/
%ontrolador de dominio adicional para un dominio e(istente$ Instala Active
Directory en el servidor y replica la in'ormacin del directorio desde un dominio existente/
Para instalar el primer servidor Active Directory en la red- se selecciona la opcin %ontrolador de
dominio para un nuevo dominio/ (sto .ace que el asistente instale los arc.ivos de soporte de
Active Directory- cree el nuevo dominio y lo re&istre en el D#7 /
?/ %rear *r"ol o dominio secundario' Deberemos ele&ir el tipo de dominio que queremos
con'i&urar de las dos opciones que se presentan en el si&uiente cuadro
%rear un nuevo *r"ol de dominios$ Con'i&ura el nuevo controlador de dominio
pare que alo3e el primer dominio de un nuevo rbol/
%rear un nuevo dominio secundario en un *r"ol de dominios e(istente$
Con'i&ura el nuevo controlador de dominio para que alo3e un .i3o de un dominio de un
rbol que ya existe/
%/ %rear o unir "osque- que permite especi'icar una de las si&uientes opciones6
%rear un nuevo "osque de *r"oles de dominios$ Con'i&ura el controlador de
dominio para que sea la ra4 de un nuevo bosque de rboles/
Situar este nuevo *r"ol de dominios en un "osque e(istente$ Con'i&ura el
controlador de dominio para que alo3e el primer dominio de un nuevo rbol en un bosque
que ya contiene uno o ms rboles/
(n este caso .ay que seleccionar %rear un nuevo "osque de *r"oles de dominios- porque el
primer controlador de dominio !indo"s +,,, de la red ser siempre un nuevo dominio- en un
nuevo rbol- en un nuevo bosque/ A medida que se instalen controladores de dominio adicionales-
se pueden utiliar estas mismas opciones para crear otros bosques nuevos o para poblar el bosque
existente con rboles y dominios adicionales/
</ Nom"re de nuevo Dominio$ Para identi'icar el controlador de dominio en la red se debe
especi'icar un nombre D#7 valido para el dominio que se esta creando/
(ste nombre no tiene por que ser el mismo que el del dominio que utilia la empresa para su
presencia en Internet (aunque puede serlo)/ (l nombre tampoco tiene que estar re&istrado en el
3
Centro de in'ormacin de redes de Internet (Inter#IC- Internet #et"or9 in'ormacin)- la
or&aniacin responsable de mantener el re&istro de los nombres D#7 en los dominios de nivel
superior com- net- or& y edu/ 7in embar&o- el uso de un nombre de dominio re&istrado es una
buena idea si los usuarios de la red van a acceder a los recursos de Internet al mismo tiempo que a
los recursos de red locales- o si los usuarios externos a la or&aniacin accedern a los recursos de
red locales v4a Internet/
Cuando los usuarios acceden a los recursos de Internet al mismo tiempo que a los recursos de la
red !indo"s +,,,- existe la posibilidad de que un nombre de dominio no re&istrado entre en
con'licto con un dominio de Internet re&istrado que utilice el mismo nombre/ Cuando los usuarios
de Internet ten&an permiso para acceder a los recursos de la red utiliando protocolos estndar de
la capa de aplicacin como 0$$P y ;$P- puede sur&ir al&una con'usin si los usuarios internos y los
externos deben utiliar di'erentes nombres de dominio/
@/ Nom"re de dominio Net+I,S$ Despus de introducir un nombre D#7 para el dominio- el
sistema solicita un equivalente #et8I:7 para el nombre del dominio para que los utilicen los clientes
que no soporten Active Directory/ )os sistemas !indo"s +,,, todav4a utilian el espacio de
nombres #et8I:7 para sus nombres de equipo- pero Active Directory utilia la nomenclatura D#7
para los dominios/ !indo"s #$ % y los sistemas *icroso't !indo"s Cx utilian nombres #et8I:7
para todos los recursos de la red- incluyendo los dominios/
7i se dispone de clientes de nivel in'erior en la red (esto es- !indo"s #$ %- !indo"s Cx- *icroso't
!indo"s para $raba3o en &rupo o Cliente de red *icroso't para sistemas *7DD:7)- estos solo sern
capaces de ver el nuevo dominio por medio del nombre #et8I:7/ )a pantalla #ombre de dominio
#et8I:7 contendr una su&erencia para el nombre- basndose en el nombre D#7 especi'icado- qua
se puede utiliar o bien se puede reemplaar con un nombre qua se eli3a qua ten&a >< caracteres o
menos/
E/ Despus de especi'icar los nombres de dominio- el asistente solicita las ubicaciones de la
base de datos- los arc.ivos de re&istro y el volumen del sistema de Active Directory/ )a base de
datos de Active Directory contendr los ob3etos Active Directory y sus propiedades- mientras qua los
arc.ivos de re&istro re&istran las actividades del servicio de directorio/ )os directorios para estos
arc.ivos se especi'ican en la pantalla ubicacin de la base de datos/ )a ubicacin predeterminada
tanto para la base de datos como para los re&istros es la carpeta A7ystemRootAB#tds del volumen
del sistema- pero se pueden modi'icar se&1n nuestras necesidades siendo aconse3able que no
residieran en el mismo disco que en sistema operativo/
F/ )a pantalla Golumen del sistema compartido permite especi'icar la ubicacin de lo qua se
convertir en el recurso compartido 7ysvol del controlador de dominio/ (l volumen del sistema es
un recurso compartido que contiene in'ormacin del dominio que se replica al resto de
controladores de dominio de la red/ De 'orma predeterminada- el sistema crea este recurso
compartido en la carpeta A7ystemRootAB7ysvol en la unidad de disco del sistema/
)a base de datos- los re&istros y el volumen del sistema de Active Directory tiene que situarse en
vol1menes que utilicen el sistema de arc.ivos #$;7 </ 7i el asistente detecta que al&uno de los
vol1menes esco&idos no utilia #$;7 <- .abr que convertirlos o seleccionar otro volumen antes de
poder completar el proceso de instalacin de Active Directory/ $ambin resulta aconse3able situarlo
en otro disco distinto al del sistema operativo
C/ Instalacin de DNS$ (n este punto- el Asistente para instalacin de Active Directory tiene
toda la in'ormacin de con'i&uracin necesaria para instalar Active Directory y promover el servidor
a controlador de dominio/ (l sistema comprueba que los nombres de dominio suministrados no los
utilia ya en servidor D#7 a otros equipos de la red/ 7i- por e3emplo- el nombre #et8I:7
seleccionado ya lo esta utiliando un dominio !indo"s #$ % en la red- el asistente pide que se
seleccione otro nombre/
>,/ (l asistente tambin determina si el servidor D#7 que alo3ara el dominio soporta el
protocolo de Actualiacin dinmica/ 7i el sistema no puede contactar con el servidor D#7
especi'icado en la con'i&uracin $CP=IP cliente del equipo- o si el servidor D#7 especi'icado no es
capa de dar soporte a un dominio !indo"s +,,,- el asistente se o'rece a instalar *icroso't D#7
7erver y con'i&urarlo para que 'uncione como servidor autoriado para el dominio/ )a pantalla
Con'i&urar D#7 permite especi'icar si se desea instalar el servidor D#7 o con'i&urar uno
personalmente/ 7i se opta por utiliar otra mquina para el servidor D#7- es preciso instalarlo y
con'i&urarlo antes de poder completar la instalacin de Active Directory/
>>/ inalizacin de la instalacin de Active Directory$ Despus de que el asistente
contacte con el servidor D#7 que proporcionara el servicio localiador para el nuevo dominio- se
completa la instalacin y con'i&uracin de Active Directory sin ms introduccin de datos por parte
4
del usuario/ (l asistente re&istra todas las actividades que se producen durante el proceso de
instalacin en dos arc.ivos llamados Dcpromo/lo& y Dcpromoui/lo&- localiados en la carpeta
A7ystemRootABdebu&/ )a instalacin puede durar varios minutos- despus de lo cual .ay que
reiniciar el sistema para que ten&an e'ecto los cambios/ (l asistente crea una cuenta de
administrador para el nuevo dominio utiliando la misma contrase2a que tiene la cuenta de
administrador local con la que se .a iniciado sesin antes de iniciar la instalacin de Active
Directory/
Instalacin de un %ontrolador de Dominio de -.plica
)as rplicas proporcionan tolerancia a 'allos en un dominio Active Directory- y pueden reducir el tra'ico entre
redes permitiendo a los clientes de la red autenticarse utiliando un controlador de dominio en el se&mento
local/ Cuando un controlador de dominio no 'unciona correctamente o no esta disponible por al&1n motivo-
sus rplicas asumen automticamente sus 'unciones/ Incluso un dominio peque2o necesita al menos dos
controladores de dominio para mantener esta tolerancia a 'allos/
Para crear una rplica de un dominio existente- .ay que e3ecutar el Asistente para instalacin de Active
Directory en un !indo"s +,,, 7erver recin instalado despus de unirse al dominio que se trata de replicar/
(n el equipo que se une al dominio- se puede realiar la unin por primera ve y suministrar las credenciales
administrativas que permiten al sistema crear un ob3eto equipo en el dominio- o bien se puede crear el
ob3eto equipo manualmente por medio de 5suarios y equipos de Active Directory/ Despus de unirse al
dominio- .ay que iniciar sesin en el sistema utiliando la cuenta de administrador local y e3ecutar el
asistente desde la p&ina Con'i&urar el servidor o e3ecutando Dcpromo/exe desde el cuadro de dialo&o
(3ecutar/
Cuando aparece la pantalla $ipo de controlador de dominios en el asistente- .ay que seleccionar
%ontrolador de dominio adicional para un dominio e(istente y especi'icar el nombre D#7 del dominio
que se va a replicar/ Despus .ay que suministrar el nombre de usuario- la contrase2a y el nombre de
dominio de una cuenta con privile&ios administrativos en el dominio/
(l asistente instala Active Directory en el servidor- crea la base de datos- los re&istros y el volumen del
sistema en las ubicaciones especi'icadas- re&istra el controlador de dominio en el servidor D#7 y replica la
in'ormacin de un controlador de dominio para ese dominio existente/
5na ve que la rplica del controlador de dominio esta en 'uncionamiento- no es distin&uible del controlador
de dominio existente- al menos en lo que concierne a la 'uncionalidad de los clientes/ )as rplicas 'uncionan
como pare3os- a di'erencia de los servidores !indo"s #$- que estn desi&nados como controladores de
dominio principales o de reserva/ )os administradores pueden modi'icar el contenido de Active Directory
(tanto los ob3etos como el esquema) de cualquier controlador de dominio- y los cambios se replicarn al
resto de controladores de dominio de ese dominio/
Cuando se crea una rplica- el Asistente para instalacin de Active Directory con'i&ura automticamente el
proceso de rplica entre los controladores de dominio/ 7e puede personaliar el proceso de rplica utiliando
+itios $ servicios de 'ctive &irector$
/
%reacin de un D% para un dominio secundario en un *r"ol
e(istente
Cuando se crea el primer dominio !indo"s +,,, de la red- tambin se esta creando el primer rbol del
bosque/ 7e puede poblar el rbol a medida que se crean dominios adicionales .acindolos secundarios de
dominios existentes/ 5n dominio secundario es uno que utilia el mismo espacio de nombres que un dominio
principal/ (ste espacio de nombres se establece por el nombre D#7 del dominio principal- al cual el
secundario a2ade un nombre precedente para el nuevo dominio/ Por e3emplo- si se crea un dominio llamado
*iempresa/com- un secundario de ese dominio podr4a llamarse al&o as4 como Investi&acion/miempresa/com/
Por re&la &eneral- los dominios secundarios re'le3an las divisiones &eo&r'icas- departamentales o pol4tica de
una or&aniacin- pero se puede utiliar cualquier principio para el dise2o del rbol que se desee/ 5n dominio
principal puede tener cualquier numero de secundarios- y la estructura del rbol puede extenderse a travs
de cualquier numero de &eneraciones- lo que permite utiliar un 1nico espacio de nombres para crear un
rbol de dominios que re'le3e la estructura de toda la or&aniacin/
Para instalar Active Directory y crear un dominio secundario$
>/ 5nir el equipo en el que se desea crear el Dominio secundario al dominio principal
suministrando las credenciales administrativas o creando manualmente un ob3eto equipo en el
dominio por medio de suarios $ equipos de 'ctive &irector$.
+/ Iniciar sesin en el sistema utiliando la cuenta de administrador local
5
?/ (3ecutar el 'sistente para instalacin de 'ctive &irector$ desde la p&ina %onfi#urar el
servidor o e3ecutando Dcpromo'e(e desde el cuadro de dialo&o E)ecutar/
5n dominio secundario no es una replicaH es un dominio completamente independiente situado en el
mismo rbol/ Por lo tanto- cuando el asistente muestra la pantalla $ipo de controlador de dominios-
.ay que seleccionar Controlador de dominio para un nuevo dominio/ (n el cuadro de dilo&o Crear
-r.ol o dominio secundario- .ay que seleccionar %rear un nuevo dominio secundario en un
*r"ol de dominios e(istente/ (l asistente solicita a continuacin el nombre D#7 del dominio que
.a de ser el principal del secundario/ Despus de suministrar esto- .ay que especi'icar el nombre
corto para el dominio secundario/ (l nombre corto es el nombre que se a2adir al nombre D#7 del
dominio principal para 'ormar el nombre completo del dominio secundario/ Por e3emplo- para crear
un dominio secundario llamado Investi&acion/miempresa/com- se especi'ica *iempresa/com como
nombre del dominio principal a investi&acin como nombre corto del secundario/
%/ (n la si&uiente pantalla nos solicita un nombre #et8I:7 para el nuevo dominio de no ms
de >< caracteres/ Pulse Si#uiente para completar la instalacin/
%reacin de un D% para un nuevo *r"ol en un "osque e(istente
Adems de crear dominios secundarios en un rbol Active Directory- tambin se pueden crear rboles
completamente nuevos- 'ormando de este modo un bosque/ Cada rbol de un bosque tiene su propio espacio
de nombres independiente- pero todos los rboles comparten el mismo esquema y con'i&uracin/
7i- por e3emplo- se modi'ica el esquema para a2adir atributos personaliados a un ob3eto particular de un
rbol- estos atributos estarn presentes en el mismo tipo de ob3eto del resto de los rboles del bosque/
Antes de crear un nuevo rbol en un bosque existente- el nuevo !indo"s +,,, 7erver debe unirse al
dominio ra4 de ese bosque/ (l dominio ra4 es el primer dominio creado en el bosque y el sistema se une a
ese dominio iniciando sesin en el y especi'icando las credenciales de una cuenta administrativa en el
dominio o creando manualmente un ob3eto equipo en el dominio por medio de suarios $ equipos de 'ctive
&irector$.
5na ve que el equipo posee una cuenta en el dominio ra4 del bosque- se puede e3ecutar el 'sistente para
instalacin de 'ctive &irector$ desde la pantalla %onfi#urar el servidor o e3ecutar Dcpromo'e(e desde el
cuadro de dialo&o E)ecutar/ Cuando aparece el cuadro de dialo&o $ipo de controlador de dominio .ay que
seleccionar Controlador de dominio para un nuevo dominio/ Despus .ay que seleccionar Crear un nuevo
rbol de dominios en el cuadro de dialo&o Crear rbol o dominio secundario y seleccionar 7ituar este nuevo
rbol de dominios en un bosque existente en el cuadro de dialo&o Crear o unir bosque/
Para crear el nuevo rbol- primero .ay que especi'icar el nombre D#7 del dominio ra4 del bosque y despus
el nombre D#7 que se desea asi&nar al primer dominio del nuevo rbol/ (l se&undo nombre D#7 no debe
ser parte de nin&1n espacio de nombres existente en el bosque/ (s decir- si un rbol ya utilia
*iempresa/com como nombre D#7 de su dominio ra4- no se puede utiliar el nombre
Investi&acion/miempresa/com para el dominio ra4 del nuevo rbol- incluso si ese nombre de dominio exacto
no existe en el rbol *iempresa/com/
Despus de suministrar los nombres D#7 se 'acilita un equivalente #et8I:7 de la 'orma usual y se
proporcionan las credenciales de una cuenta administrativa en el dominio ra4 del rbol/ (l asistente
completa entonces el proceso de instalacin y pide que se reinicie el sistema/
%reacin de un D% para un nuevo *r"ol en un "osque e(istente
Adems de crear dominios secundarios en un rbol Active Directory- tambin se pueden crear rboles
completamente nuevos- 'ormando de este modo un bosque/ Cada rbol de un bosque tiene su propio espacio
de nombres independiente- pero todos los rboles comparten el mismo esquema y con'i&uracin/
7i- por e3emplo- se modi'ica el esquema para a2adir atributos personaliados a un ob3eto particular de un
rbol- estos atributos estarn presentes en el mismo tipo de ob3eto del resto de los rboles del bosque/
Antes de crear un nuevo rbol en un bosque existente- el nuevo !indo"s +,,, 7erver debe unirse al
dominio ra4 de ese bosque/ (l dominio ra4 es el primer dominio creado en el bosque y el sistema se une a
6
ese dominio iniciando sesin en el y especi'icando las credenciales de una cuenta administrativa en el
dominio o creando manualmente un ob3eto equipo en el dominio por medio de suarios $ equipos de 'ctive
&irector$.
5na ve que el equipo posee una cuenta en el dominio ra4 del bosque- se puede e3ecutar el 'sistente para
instalacin de 'ctive &irector$ desde la pantalla %onfi#urar el servidor o e3ecutar Dcpromo'e(e desde el
cuadro de dialo&o E)ecutar/ Cuando aparece el cuadro de dialo&o $ipo de controlador de dominio .ay que
seleccionar Controlador de dominio para un nuevo dominio/ Despus .ay que seleccionar Crear un nuevo
rbol de dominios en el cuadro de dialo&o Crear rbol o dominio secundario y seleccionar 7ituar este nuevo
rbol de dominios en un bosque existente en el cuadro de dialo&o Crear o unir bosque/
Para crear el nuevo rbol- primero .ay que especi'icar el nombre D#7 del dominio ra4 del bosque y despus
el nombre D#7 que se desea asi&nar al primer dominio del nuevo rbol/ (l se&undo nombre D#7 no debe
ser parte de nin&1n espacio de nombres existente en el bosque/ (s decir- si un rbol ya utilia
*iempresa/com como nombre D#7 de su dominio ra4- no se puede utiliar el nombre
Investi&acion/miempresa/com para el dominio ra4 del nuevo rbol- incluso si ese nombre de dominio exacto
no existe en el rbol *iempresa/com/
Despus de suministrar los nombres D#7 se 'acilita un equivalente #et8I:7 de la 'orma usual y se
proporcionan las credenciales de una cuenta administrativa en el dominio ra4 del rbol/ (l asistente
completa entonces el proceso de instalacin y pide que se reinicie el sistema/
%reacin de un D% para un nuevo *r"ol en un "osque nuevo
)a di'erencia 'undamental entre la creacin de un nuevo rbol y la creacin de un nuevo bosque es que los
bosques tienen cada uno sus propios esquema y con'i&uracin individuales/ (l escenario ms obvio en el que
una red deber4a tener m1ltiples bosques es cuando dos empresas con instalaciones Active Directory
existentes se 'usionan- y las su'icientes di'erencias de esquema y con'i&uracin existentes entre las dos .ace
que la unin de ambas en un solo bosque sea impracticable/
(l proceso de crear un nuevo bosque es el mismo que el de la creacin del primer dominio de la red/
Actualizacin de los controladores de dominios de /indo0s NT 1
!indo"s +,,, simpli'ica el proceso de convertir los dominios de una red !indo"s #$ % en dominios Active
Directory de !indo"s +,,, permitiendo actualiar los servidores &radualmente/ )os controladores de
dominio !indo"s #$ pueden coexistir en la misma red que los controladores de dominio !indo"s +,,, a
incluso pueden 'uncionar en el mismo dominio/ )a 1nica re&la especial del proceso de actualiacin es que
.ay que actualiar el PDC de una red !indo"s #$ % antes que cualquiera de los 8DCs/
Cuando se instala el sistema operativo !indo"s +,,, en el PDC- el Asistente para instalacin de Active
Directory se e3ecuta automticamente despus del ultimo reinicio y comiena el proceso de promocin/
Despus de que el servidor se .aya promovido a controlador de dominio- el sistema puede alo3ar el dominio
existente- utiliando los 8DCs #$ % como rplicas/ Despus se pueden actualiar los 8DC al ritmo que se
desee/
Cuando todos los controladores de dominio estn e3ecutando !indo"s +,,,- se podr utiliar el
complemento Dominios y con'ianas de Active Directory para convertir el dominio del modo mixto al modo
nativo- lo que permite aprovec.ar todas las venta3as de las capacidades de a&rupamiento de Active
Directory/
De#radacin de controladores de dominios
5na di'erencia 'undamental entre los controladores de dominio !indo"s +,,, y los controladores de
dominio !indo"s #$ es que se puede de&radar un controlador de dominio !indo"s +,,, a servidor
independiente o miembro/ Cuando se e3ecuta el Asistente para instalacin de Active Directory- el pro&rama
determina que el sistema ya esta 'uncionando como controlador de dominio y solo proporciona la opcin de
de&radar el servidor/
)a pantalla Con'i&urar el servidor tambin detecta el estado del sistema y proporciona una 1nica opcin/
)a de&radacin de un controlador de dominio elimina la base de datos de Active Directory de la mquina-
borra todas las re'erencias a ella del servidor D#7 y devuelve las cuentas de se&uridad del sistema a un
estado idntico al de un servidor !indo"s +,,, recin instalado/ 7i el dominio al que pertenece el sistema
tiene controladores de dominio de replica en la red- el servidor permanece como- miembro de ese dominio
despus de la de&radacin/
7i el servidor es el 1nico controlador de dominio de un dominio particular- la de&radacin provoca que el
dominio se elimine completamente de Active Directory- y que el sistema se convierta en un servidor
independiente .asta que se una a otro dominio/ 7i el servidor es el 1nico controlador del dominio ra4 de un
7
bosque- .ay que destruir el resto de dominios del bosque antes de que se pueda proceder con la
de&radacin del controlador de dominio ra4/ Para de&radar el controlador .ay que se&uir estos pasos6
>/ Abrir el Asistente para instalacin de Active Directory e3ecutando Dcpromo'e(e/ 7i el
servidor a de&radar es un Catlo&o Ilobal- nos aparecer un mensa3e indicndonos que deberemos
traspasar el CI a otro controlador de Dominio para que puedan se&uir iniciando sesin los usuarios
del dominio/
+/ Pulsar Aceptar/
?/ Aparecer la pantalla /uitar 'ctive &irector$ donde deberemos indicar si es el 1ltimo DC
del Dominio/
%/ Proporcionar una contrase2a para la cuenta administrador del servidor/ Despus se
mostrar un resumen de los elementos que se .an seleccionado y el resultado que se obtendr si se
si&ue adelante/
7e abrir la pantalla Con0igurando 'ctive &irector$ que proporcionara una descripcin sobre la marc.a de los
procesos que se estn realiando/ Cuando el proceso termine- el servidor ya no ser un controlador de
dominio y se pedir que se pulse inalizar y- despus- -einiciar a.ora/
%am"io de la identificacin de un controlador de dominio
Cambiar la identi'icacin de red de un controlador de dominio requiere de&radar el servidor de su estado
como controlador de dominio- cambiar la identidad y despus promover la maquina de nuevo/
Primero- .ay que abrir E)ecutar desde le men1 Inicio- escribir dcpromo y pulsar Aceptar/ 5na ve que se
.aya de&radado el controlador de dominio- .ay que se&uir estos pasos para cambiar la identidad de red del
equipo6
>/ Abrir la .erramienta Sistema del Panel de control y pulsar en la pesta2a Identificacin
de red'
+/ Pulsar el botn Avanzada para abrir el cuadro de dilo&o %am"ios de identificacin'
?/ Introducir el nuevo nombre pare el equipo o .acer cambios en el dominio o &rupo de
traba3o al que pertenece el equipo/
%/ Pulsar el botn 3*s para especi'icar manualmente el nombre de dominio D#7 para el
equipo y para obtener una vista previa del nombre #et8I:7/ Pulsar Aceptar cuando se .aya
terminado/
5na ve realiados los cambios en la identidad de red del equipo- es posible promoverlo una ve ms a
controlador de dominio si&uiendo estos pasos6
>/ Abrir E)ecutar desde el men1 Inicio e introducir dcpromo para iniciar al Asistente para
instalacin de Active Directory/
+/ 7eleccionar el tipo de controlador de dominio que se desea6 un controlador de dominio
adicional para un dominio e(istente o un controlador para un nuevo dominio'
?/ 7uministrar un nom"re de usuario y contrase2a- ase&urndose de usar una cuenta con
su'icientes privile&ios para realiar la operacin/
%/ 7uministrar el nom"re DNS completo del dominio- las u"icaciones de la "ase de
datos de Active Directory, el re#istro de Active Directory y la carpeta Sysvol'
</ )a p&ina resumen aparecer de nuevo mostrando las opciones seleccionadas/ Pulsar el
botn Atrs para .acer cualquier cambioH en otro caso- pulsar Si#uiente/
@/ Active Directory se con'i&urar/
8
Al 'inal del proceso- el Asistente para instalacin de Active Directory in'orma de que Active Directory esta
instalado y en que dominio y sitio/ (s necesario reiniciar para que la instalacin de Active Directory est
completa/
Esta"lecimiento de un servidor de %at*lo#o 4lo"al
(l primer controlador de dominio !indo"s +,,, de un bosque es automticamente un servidor de Catlo&o
&lobal/ (l Catlo&o &lobal (CI) contiene una rplica completa de todos los ob3etos de directorio del dominio
en que se alo3a adems de una replica parcial de todos los ob3etos de directorio de cada dominio del bosque/
(l ob3etivo de un CI es proporcionar autenticacin a los inicios de sesin/ Adems- como un CI contiene
in'ormacin sobre todos los ob3etos de todos los dominios del bosque- la b1squeda de in'ormacin en el
directorio no requiere consultas innecesarias a los dominios/ 5na 1nica consulta al CI produce la in'ormacin
sobre donde se puede encontrar el ob3eto/
De 'orma predeterminada- .abr un CI- pero cualquier controlador de dominio se puede con'i&urar como
servidor de Catalo&o &lobal/ 7i se necesitan servicios de inicio de sesin y b1squeda adicionales- se pueden
tener m1ltiples servidores de Catalo&o &lobal en el dominio/
Para convertir un controlador de dominio en un servidor de Catalo&o &lobal- .ay que se&uir estos pasos6
>/ (sco&er Sitios y servicios de Active Directory en el men1 0erramientas administrativas/
+/ Abrir Sites y seleccionar el sitio correspondiente/
?/ Abrir Servers y seleccionar despus el controlador de dominio que se desea convertir en
servidor de Catalo&o &lobal/
%/ 7eleccionar NTDS Settin#s en el panel derec.o y esco&er propiedades en el men1 Accin/
</ (n la pesta2a 4eneral- seleccionar la casilla de veri'icacin %atalo#o #lo"al/
*ientras la empresa opere en modo mixto (esto es- que .aya otros controladores de dominio adems de los
controladores de dominio !indo"s +,,,)- .ay que tener al menos un servidor de Catalo&o &lobal por
dominio/ 5na ve que se .ayan actualiado todos los controladores de dominio a !indo"s +,,,- se puede
cambiar el dominio a modo nativo/
9