Módulo 2 - Introducción Al Índice de Servicios de Dominio de Active Directory - Descripción General Del Módulo

17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Pgina1
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Mdulo2:IntroduccinaldominiodeActiveDirectory
Servicios
Contenido:
Descripcingeneraldelmdulo
Leccin1:
VisingeneraldeADDS
Leccin2:
Descripcingeneraldeloscontroladoresdedominio
Leccin3:
Instalacindeuncontroladordedominio
Laboratorio:
Instalacindecontroladoresdedominio
Revisindelmduloycomidaparallevar
Descripcingeneraldelmdulo
ServiciosdedominiodeActiveDirectory(ADDS)ylosserviciosrelacionadossonlabasede
redesempresarialesqueseejecutansistemasoperativosWindows.LabasededatosdeADDSeselcentro
tiendadetodoslosobjetosdedominio,talescomocuentasdeusuario,cuentasdeequipoygrupos.ADDS
proporcionaundirectoriojerrquicodebsqueda,yproporcionaunmtodoparalaaplicacindeconfiguracin
ylaconfiguracindeseguridadparalosobjetosdelaempresa.EstemdulocubrelaestructuradeADDS
ysusdiversoscomponentes,comoelbosque,eldominioyunidadesorganizativas(OU).
ElprocesodeinstalacindeADDSenelservidorseharefinadoymejoradoconWindows
Server2012encomparacinconelprocesodeinstalacindeADDSconelanteriorservidordeWindows
sistemasoperativos.Estemduloexaminaalgunasdelasopcionesqueestndisponiblescon
WindowsServer2012parainstalarADDSenelservidor.
objetivos
Despusdecompletarestemdulo,elalumnosercapazde:
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
1/45
Pgina2
16/10/2016
https://translate.googleusercontent.com/translate_f
1/39
17/10/2016
DescribirlaestructuradeADDS.
Describirelpropsitodeloscontroladoresdedominio.
Instalaruncontroladordedominio.
Leccin1:VisingeneraldeADDS
LabasededatosdeADDSalmacenainformacinsobrelaidentidaddelusuario,equipos,grupos,serviciosy
recursos.LoscontroladoresdedominiodeADDStambinrecibenelservicioqueautenticaalosusuariosy
lascuentasdeequipocuandoiniciansesineneldominio.DebidoaADDSalmacenainformacinacerca
todoslosobjetosdeldominio,ytodoslosusuariosylosequiposdebenconectarsealdominiodeADDS
controladorescuandoseiniciasesinenlared,ADDSeselmedioprincipalporelcual
puedeconfiguraryadministrarcuentasdeusuarioydeequipoenlared.
EstaleccincubreloscomponenteslgicosbsicosyloscomponentesfsicosquecomponenunAD
DespliegueDS.
Objetivosdelaleccin
Despusdecompletarestaleccinustedsercapazde:
DescribirloscomponentesdeADDS.
DescribirlosdominiosdeADDS.
Describirlasunidadesorganizativasysupropsito.
DescribirADDSbosquesyrboles,yexplicarcmosepuedeimplementarenunared.
ExplicarcmounesquemadeADDSproporcionaunconjuntodereglasquegestionanlosobjetosy
atributosquesealmacenanenlabasededatosdedominiodeADDS.
DescribirloqueesnuevoparaActiveDirectoryenWindowsServer2012R2.
VisingeneraldeADDS
2/45
Pgina3
16/10/2016
Lgico
Descripcin
componente
2/39
17/10/2016
ADDSsecomponededoscomponenteslgicosyfsicos.Esnecesariocomprenderla
formaenqueloscomponentesdeADDStrabajanjuntosparaquepuedaadministrarsuinfraestructura
eficientemente.Adems,puedeutilizarmuchasotrasopcionesdeADDSpararealizaraccionescomoel
lainstalacin,configuracinyactualizacindeaplicaciones,lagestindelainfraestructuradeseguridad,loquepermite
ElaccesoremotoydeDirectAccess,ylaemisinygestindecertificadosdigitales.
UnadelasmsutilizadaslascaractersticasdeADDSesladirectivadegrupo,loquelepermiteconfigurar
polticascentralizadasquesepuedenutilizarparagestionarlamayoradeobjetosdeADDS.lacomprensindela
diversoscomponentesdeADDSesimportanteparaelusoconxitodedirectivadegrupo.
componenteslgicos
ADDScomponenteslgicossonestructurasqueseutilizanparaimplementarunActiveDirectory
diseoqueesadecuadoparaunaorganizacin.Lasiguientetabladescribelostiposde
estructuraslgicasqueunabasededatosdeActiveDirectorycontiene.
Lgico
Descripcin
componente
Dividir
UnaseccindelabasededatosdeADDS.AunquelabasededatosesunarchivollamadoNdts.dit,es
vistos,administradoyentantosejemplarescomosiconsistieraenseccionesoinstanciasdistintas.Estas
estnllamadosparticiones,quetambinseconocencomoloscontextosdenomenclatura.
Esquema
Elconjuntodedefinicionesdelostiposdeobjetosyatributosqueseutilizaparacrearobjetosen
ADDS.
Dominio
Uncontenedoradministrativoslgicosparausuariosyequipos.
rboldedominio
Unacoleccindedominiosquecompartenundominiorazcomnyunnombrededominiocontigua
Sistema(DNS).
Bosque
UnacoleccindedominiosquecompartenuncomnADDS.
3/45
pgina4
16/10/2016
Lgico
Fsico
Descripcin
componente
Sitio
Unacoleccindeusuarios,gruposyequiposcomosedefineporsuubicacinfsica.sitios
sontilesenlaplanificacindelastareasadministrativastalescomolareplicacindeloscambiosenelADDS
basededatos.
Unidadorganizacional
Unaunidadorganizativaesunobjetocontenedorqueproporcionaunmarcoparaladelegacin
(UNED)
derechosadministrativosyparavincularlosobjetosdedirectivadegrupo(GPO).
Envase
UncontenedoresunobjetoqueproporcionaunmarcodeorganizacinparasuusoenADDS.
LoscontenedoresnopuedentenerGPOvinculadosaellos.
componentesfsicos
LasiguientetablamuestraalgunosdeloscomponentesfsicosdeADDSydaunabreve
descripcindecadauno.
3/39
17/10/2016
Fsico
Descripcin
componente
Controladordedominio ContieneunacopiadelabasededatosdeADDS.Paralamayoradelasoperaciones,cadacontroladordedominiopuede
cambiosenelprocesoyreplicarloscambiosatodoslosdemscontroladoresdedominiodel
dominio.
Almacndedatos
LosarchivosencadacontroladordedominioquecontienelabasededatosdeADDS.ElarchivoNtds.dit,y
asociadoarchivosderegistro,esunabasededatosMicrosoftJet,quesealmacenaeneldirectorioC:\Windows\NTDS
carpetapordefecto.
ServidordecatlogoglobalUncontroladordedominioquealojaelcatlogoglobal,queesunacopiaparcial,deslolecturadetodos
losobjetosenelbosque.Uncatlogoglobalaceleralasbsquedasdeobjetosquepodranser
almacenadaencontroladoresdedominioenundominiodiferentedelbosque.
dedominiodeslolecturaUnainstalacindeslolecturaespecialdeADDS.Estosseutilizanamenudoenlassucursalesdonde
controlador(RODC)
seguridadysoportedeTIsonmenosavanzadosqueenlosprincipalescentroscorporativos.
Lecturaadicional:Paraobtenermsinformacinacercadelosdominiosybosques,veaActive
DirectoriodeServiciosdedominiogeneralenhttp://go.microsoft.com/fwlink/?
Linkid=331086.
QusonlosdominiosdeADDS?
4/45
pgina5
16/10/2016
LaADDSdominiocontienelosusuarios,equipos,grupos
UndominiodeADDSesuncontenedorlgicoutilizadoparagestionarusuario,equipo,grupo,yotra
objetos.
TodoslosobjetosdedominiosealmacenanenlabasededatosdeADDS,unacopiadelcualsealmacenaencada
controladordedominio.
HaymuchostiposdeobjetosenlabasededatosdeADDS,incluyendolascuentasdeusuario,equipo
cuentas,ygrupos.Lasiguientelistadaunabrevedescripcindeestostrestiposdeobjetos:
Cuentasdeusuario.Lascuentasdeusuariocontienenlainformacinnecesariaparaautenticaraunusuariodurante
signinelprocesoyparaconstruirlosusuarioselaccesotoken.
Lascuentasdeequipo.CadaequipodomainjoinedtieneunacuentaenADDS.Computadora
4/39
17/10/2016
cuentasseutilizanenlamismamateriaquelascuentasdeusuario,sloparaeldomainjoined
ordenadores.
Grupos.Losgruposseutilizanparaorganizarusuariosoequiposparaqueseamsfcildemanejar
permisosylapolticadelgrupoeneldominio.
EldominiodeADDSesunlmitedereplicacin
Cuandoserealizancambiosencualquierobjetoeneldominio,elcontroladordedominioenelqueelcambio
producidorplicasquecambianatodoslosdemscontroladoresdedominiodeldominio.Sihay
mltiplesdominiosdelbosque,slounsubconjuntodeloscambiossereplicanenotrosdominios.
ADDSutilizaunmodelodereplicacindevariosquepermiteacadacontroladordedominioparahacer
cambiosenlosobjetosdeldominio.LoscambiosenlagestinrelativaID(RID)enWindows
Servidordelaversin2012deActiveDirectoryDomainServices(WindowsServer2012Activo
5/45
Pgina6
16/10/2016
Directoriopermitenahoraunnicodominioparacontenercercade2milmillonesdeobjetos.Conestacapacidad,
lamayoradelasorganizacionespuedenimplementarunnicodominioaunquelasorganizacionesquetienen
estructurasadministrativasdescentralizadas,oquesedistribuyenatravsdemltiplesubicaciones,podran
considerarlaimplementacindemltiplesdominiosenelmismobosque.
EldominiodeADDSesuncentroadministrativo
Contieneunacuentadeadministradoryungrupodeadministradoresdedominio.Pordefecto,el
Cuentadeadministradoresunmiembrodelgrupodeadministradoresdedominioylosadministradoresdedominio
grupoesunmiembrodecadagrupodeadministradoreslocalesdeordenadoresdomainjoined.Tambin,por
Deformapredeterminada,losmiembrosdelgrupoAdministradoresdedominiotienenuncontroltotalsobrecadaobjetoenel
dominio.Lacuentadeadministradoreneldominiorazdelbosquetienederechosadicionalescomosedetalla
eneltema"QuesunbosquedeADDS?".
EldominiodeADDSproporcionaautenticacin
Cadavezqueunequipodomainjoinedseponeenmarcha,ounusuarioiniciasesinenunordenadordomainjoined,
ADDSellosautentica.Laautenticacinverificaelequipooelusuariotienelaadecuada
credencialesdeunacuentadeADDS.
LaADDSdominioproporcionaAutorizacin
SistemasoperativosWindowsutilizantecnologasdeautorizacinycontroldeaccesoparapermitir
losusuariosautenticadosparaaccederalosrecursos.Normalmentesellevaacaboelprocesodeautorizacin
localmenteenelrecurso.WindowsServer2012introducedinmicadeaccesodomainbased
Decontrolparapermitirlasreglasdeaccesocentralparacontrolarelaccesoalosrecursos.Reglasdeaccesocentraleshacen
Nosustituyalatecnologadecontroldeaccesoactual,sinoquesloproporcionaunniveladicionalde
controlar.
Culessonlasunidadesorganizativas?
5/39
17/10/2016
6/45
pgina7
16/10/2016
Unaunidadorganizativa(OU)esunobjetocontenedordentrodeundominioquesepuedeutilizarpara
consolidarlosusuarios,equipos,gruposyotrosobjetos.Estosnodebenconfundirseconlas
losobjetoscontenedoresgenricosenADDS.Ladiferenciaprincipalentreunidadesorganizativasycontenedores
sonlascapacidadesdegestin.Loscontenedoreshanlimitadolacapacidaddegestin,por
instancianosepuedeaplicardirectamenteunGPOauncontenedor.Tpicamenteloscontenedoresseutilizanpara
losobjetosdelsistemaycomolasubicacionespredeterminadasparalosnuevosobjetos.ConUOtienems
opcionesdegestinquedirectamentepuedevincularGPO,asigneunadministradordelaunidadorganizativayasociaruna
ParticinCOM+conunaunidadorganizativa.
SibiennohayunaopcindemenparalacreacindenuevoscontenedoresenlosusuariosdeActiveDirectoryy
Computadoras,puedecrearnuevasunidadesorganizativasenADDSencualquiermomento.Haydosrazonesparacrear
OU:
Paraconfigurarlosobjetosdelaunidadorganizativa.PuedeasignarGPOalaunidadorganizativa,ylosajustesseaplicana
todoslosobjetosdentrodelaOU.GPOsonlascondicionesquecreanlosadministradoresparagestionary
realicelaconfiguracindelascomputadorasy/ousuarios.LosGPOsedesplieganporsuvinculacina
Unidadesorganizativas,dominiosositios.
Paradelegarelcontroladministrativodelosobjetosdentrodelaunidadorganizativa.Puedeasignarlagestin
permisosenunaunidadorganizativa,delegandoaselcontroldeesaunidadorganizativaaunusuarioogrupodentrodeAD
DS,ademsdelgrupodeadministradores.
Puedeutilizarunidadesorganizativaspararepresentarlasestructurasjerrquicasylgicasdentrodesuorganizacin.por
ejemplo,puedecrearunidadesorganizativasquerepresentanlosdepartamentosdentrodesuorganizacin,la
regionesgeogrficasdentrodesuorganizacin,ounacombinacindeambosdepartamentosy
regionesgeogrficas.Puedeutilizarunidadesorganizativasparagestionarlaconfiguracinyelusodelusuario,grupo,y
cuentasdeequipoenbaseasumodelodeorganizacin.
CadadominiodeADDScontieneunconjuntoestndardecontenedoresyunidadesorganizativasquesecreacuando
instalarADDS,algunosdelosobjetospredeterminadossonutilizadosprincipalmenteporADDSyestnocultos
alavistapordefecto.Lalistaincluyeelseguimientodelosobjetosquesonvisiblespordefecto:
Dominio.Sirvecomoelnivelsuperiordelajerarquadelaorganizacindedominio.
contenedorintegrados.Almacenaunnmerodegrupospredeterminados.
6/39
17/10/2016
7/45
pgina8
16/10/2016
Computadorascontenedor.Laubicacinpredeterminadadelascuentasdeequiponuevoquesecreaenel
dominio.
Controladoresdedominiounidadorganizativa.Laubicacinpredeterminadaparaelequiporepresentaeldominio
cuentasdeequipocontrolador.EstaeslanicaOUqueestpresenteenunanuevainstalacinde
ADDS.
ForeignSecurityPrincipals.Laubicacinpredeterminadadelosobjetosdeconfianzadedominiosexternos
elbosquedeADDS.Estossuelensercreadoscuandounobjetadodesdeundominioexternoes
aadidoaungrupoeneldominiodeADDS.
cuentasdeservicioadministradas.Laubicacinpredeterminadaparacuentasdeservicioadministradas.Ungestionado
cuentadeservicioeslacuentadedominioenADDSproporcionaautomticadecontraseas
administracin.
contenedordeusuarios.Laubicacinpredeterminadaparalasnuevascuentasdeusuarioygruposquesecreanen
eldominio.Elcontenedordeusuariostambinllevaacabolascuentasdeadministradorydelahuspedparael
dominio,yalgunosgrupospredeterminados.
Hayvarioscontenedoresqueslosepuedenvercuandoseseleccionalasfuncionesavanzadas
enelmenVer.Lasiguientelistaincluyelosobjetosqueestnocultospordefecto:
Objetosperdidos.Esterecipientecontieneobjetosquehanquedadohurfanos.
Programarinformacin.EsterecipientecontienelosdatosdeActiveDirectoryparalasaplicacionesdeMicrosoft,
ServiciosdefederacindeActiveDirectorycomo(ADFS).
Sistema.Esterecipientecontienelaconfiguracindelsistemaincorporado.
LascuotasDTN.Esterecipientecontienelosdatosdecuotadeserviciodedirectorio.
LosdispositivosdeTPM.EstecontenedoresunanovedaddeWindowsServer2012.Almacenalarecuperacin
informacinparadispositivosTrustedPlatformModule(TPM).
Nota:LoscontenedoresenundominiodeADDSnopuedetenerGPOvinculadosaellos.paraenlazar
GPOparaaplicarlasconfiguracionesyrestricciones,creanunajerarquadeunidadesorganizativas,yluego
vincularGPOaellos.
8/45
pgina9
16/10/2016
Diseojerarqua
Eldiseodeunajerarquadeunidadesorganizativasestdictadaporlasnecesidadesadministrativasdelaorganizacin.los
diseopodraestarbasadaenlasclasificacionesgeogrficas,funcionales,derecursos,odeusuario.Loquesea
elorden,lajerarquadebehacerposibleadministrarlosrecursosdeADDSconlamismaeficacia
7/39
17/10/2016
yconlamayorflexibilidadposible.Porejemplo,sitodoslosequiposquelosadministradoresdeTI
suusodebeestarconfiguradodeunamaneradeterminada,puedeagrupartodoslosequiposdeunaunidadorganizativa,yluego
asignarunGPOparaadministraresosequipos.
Tambinsepuedencrearunidadesorganizativasdentrodeotrasunidadesorganizativas.Porejemplo,suorganizacinpuedetener
mltiplesoficinas,ycadaoficinapuedetenerunconjuntodeadministradoresdeTIquesonresponsablesde
lagestindecuentasdeusuarioyequipoensuoficina.Adems,cadaoficinapodratener
diferentesdepartamentoscondiferentesrequisitosdeconfiguracindelequipo.Enestasituacin,
sepodracrearunaunidadorganizativaparacadacargo,yluegodentrodecadaunadeesasunidadesorganizativas,crearunaunidadorganizativapara
losadministradoresdeTIylasunidadesorganizativasparacadaunodelosotrosdepartamentos.
AunquenohayunlmitetcnicoparaelnmerodenivelesenlaestructuradeOU,parala
propsitodelaadministracin,limitarsuestructuradeunidadesorganizativasaunaprofundidaddenomsde10niveles.Ms
organizacionesutilizancinconivelesomenosparasimplificarlaadministracin.TengaencuentaqueactivaDirectory
aplicacioneshabilitadaspuedenimponerrestriccionesalaprofundidadunidadorganizativadentrodelajerarquadela
partesdelajerarquaqueutilizan.
QuesunbosquedeADDS?
Unrboldedominioesunacoleccindeunoomsdominiosquecompartenunespaciodenombrescontiguo.UN
bosqueesunacoleccindeunoomsrbolesdedominiosquecompartenunesquemadedirectoriocomny
catlogoglobal.Elprimerdominioquesecreaenelbosquesellamaeldominiorazdelbosque.
Eldominiorazdelbosquecontieneunospocosobjetosquenoexistenenotrosdominiosdelbosque.
9/45
pgina10
16/10/2016
Dadoqueestosobjetossecreansiempreenelprimercontroladordedominiocreado,unbosquepuede
consistirdetanpococomoundominioconunnicocontroladordedominio,o
quepuedeconstardecientosdedominiosatravsdemltiplesrboles.Estosobjetosquesloexistenenel
dominiorazdelbosquesoncomosigue:
Lafuncindemaestrodeesquema.Setratadeunpapelespecialforestwidecontroladordedominio.Solohay
unmaestrodeesquemaentodoelbosque.Elesquemasepuedecambiarsloenelcontroladordedominio
quetieneelmaestrodeesquema.
Lafuncindemaestrodenombresdedominio.Esteestambinespecialforestwidefuncindecontroladordedominio.
Slohayunmaestrodenombresdedominioencualquierbosque.Losnuevosnombresdedominiopuedenseraadidosa
8/39
17/10/2016
eldirectoriosloporelmaestrodenombresdedominio.
ElgrupoAdministradoresdeorganizacin.Deformapredeterminada,elgrupoAdministradoresdeorganizacintienela
Cuentadeadministradordeldominiorazdelbosquecomomiembro.Administradoresdeempresa
grupoesunmiembrodelgrupodeadministradoreslocalesencadadominiodelbosque.Esta
permitealosmiembrosdelgrupoAdministradoresdeorganizacinquetienenderechosadministrativosdecontrolcompleta
acadadominioentodoelbosque.
ElgrupoAdministradoresdeesquema.Deformapredeterminada,elgrupoAdministradoresdeesquemanotienemiembros.Solamente
losmiembrosdelgrupoAdministradoresdeorganizacinpuedenagregarmiembrosalgrupoAdministradoresdeesquema.
LosmiembrosdelgrupoAdministradoresdeesquemasonlosnicosadministradoresquepuedenrealizarcambios
alesquema.
Lmitesdeseguridad
UnbosquedeADDSesunlmitedeseguridad.Pordefecto,nohayusuariosdefueradelbosquepuede
accederalosrecursosdentrodelbosque.Normalmenteunaorganizacincrearunnicobosque,
aunquepuedecrearvariosbosquesparaaislarlospermisosadministrativosentre
diferentespartesdelaorganizacin.
Pordefecto,todoslosdominiosdeunbosqueconfiarautomticamenteenlosotrosdominiosdelbosque.Esta
Hacequeseafcilparahabilitarelaccesoarecursostalescomorecursoscompartidosdearchivosysitioswebparatodoslosusuariosenuna
bosque,independientementedeldominioenelqueseencuentralacuentadeusuario.
LareplicacindeLmites
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
10/45
pgina11
16/10/2016
UnbosquedeADDSesellmitedereplicacinparalasparticionesdeesquemayconfiguracinde
labasededatosdeADDS.Estosignificaquetodosloscontroladoresdedominiodelbosquedebencompartirelmismo
esquema.Debidoaestolasorganizacionesquedeseanimplementaraplicacionesconincompatibles
esquemastendrnqueimplementarlosbosquesadicionales.
ElbosquedeADDSestambinellmitedereplicacinparaelcatlogoglobal.Elcatlogoglobal
proporcionalacapacidaddeencontrarobjetosdecualquierdominiodelbosque.Seutilizaelcatlogoglobal
siemprenombreprincipaluniversal(UPN)seutilizancredencialesdesesinalahoradebuscarohasta
losusuariosdeMicrosoftExchangeServerlibretasdedirecciones.
CuleselesquemadeADDS?
9/39
17/10/2016
ElesquemadeADDSeselcomponentequedefinetodaslasclasesdeobjetosyatributosqueADDS
utilizaparaalmacenardatos.AvecesserefierecomoelmodeloparaADDS.Elesquemaes
replicadoentretodosloscontroladoresdedominiodelbosque.Cualquiercambioquesehagaenelesquema
sereplicaentodosloscontroladoresdedominiodelbosquedeltitulardemaestrodeesquema,porlogeneral
elprimercontroladordedominiodelbosque.
ADDSalmacenayrecuperainformacindeunaampliavariedaddeaplicacionesyservicios,sinoque
haceesto,enparte,mediantelaestandarizacindecmosealmacenanlosdatosen
eldirectoriodeADDS.Mediantelaestandarizacindecmosealmacenanlosdatos,ADDSsepuedenrecuperar,actualizary
replicarlosdatos,altiempoquegarantizaquelaintegridaddelosdatossemantiene.
Objetos
ADDSutilizaobjetoscomounidadesdealmacenamiento.Todoslostiposdeobjetossedefinenenelesquema.Cadavez
queeldirectoriomanejalosdatos,eldirectoriodeconsultaelesquemaparaunobjetoapropiado
11/45
pgina12
16/10/2016
definicin.Sobrelabasedeladefinicindelobjetoenelesquema,eldirectoriosecreaelobjetoy
almacenalosdatos.
Definicionesdeobjetosespecificantantolostiposdedatosquelosobjetossepuedenalmacenar,ylasintaxisde
losdatos.SlosepuedencrearobjetosdeADDSqueestndefinidosporelesquema.Porqueel
losdatossealmacenanenunformatodefinidodeformargida,ADDSsepuedenalmacenar,recuperaryvalidarlosdatosque
quegestiona,independientementedelaaplicacindelosdatosdeprocedencia.
Relacionesentreobjetos,reglas,atributosyclases
EnADDS,elesquemadefinelosiguiente:
Losobjetosqueseutilizanparaalmacenardatoseneldirectorio
Lasreglasquedefinenlaestructuradelosobjetos
Estructuraycontenidodeldirectorioensmismo
ADobjetosdelesquemaDSconstandeatributos,queseagrupanenclases.Cada
clasetienereglasquedefinenquatributossonobligatoriosyquesonopcionales.Porejemplo,
laclasedeusuariosecomponedemsde400atributosposibles,incluidoscn(elnombrecomn
atribuir),givenName,idioma,objectSIDygerente.Deestosatributoscny
objectSIDatributossonobligatorios,yelatributocnsedefinecomounnicovalorUnicode
Cadenade1a64caracteresdelongitudysereplicaenelcatlogoglobal.
Hacercambiosenelesquema
SlomiembrosdelgrupoAdministradoresdeesquemapuedemodificarelesquemadeADDS.Nopuedes
10/39
17/10/2016
eliminarcualquiercosadesdeelesquemadeADDS,slosepuedeampliarelesquemadeADDSutilizaDA
ExtensionesdelesquemaDS,omodificarlosatributosdelosobjetosexistentes.Porejemplo,cuandose
seestnpreparandoparainstalarExchangeServer2013debeaplicarelExchangeServer2013
Lasextensionesdeesquema.Estaextensinaadeomodificamsde200clasesymsde100diferentes
atributos.
Dadoqueelesquemadictacmosealmacenalainformacin,ydebidoaloscambiosqueestn
hechoalesquemaafectaacadacontroladordedominio,sedebenhacercambiosenelesquema
slocuandoseanecesario.Antesdehacercambios,deberevisarloscambiosatravsdeuna
12/45
pgina13
16/10/2016
firmementeprocesocontrolado,yluegoponerlasenprcticaslodespusdehaberrealizadopruebaspara
asegurarqueloscambiosnoafectarnnegativamentealrestodelbosqueytodaslasaplicacionesque
usarADDS.
Elmaestrodeesquemaesunodelosmaestronicoflexibleoperaciones(FSMO)queson
alojadaenunnicocontroladordedominiodeADDS.Debidoaquesetratadeunsolomaestro,usteddebehacer
cambiosenelesquemadefocalizacindelcontroladordedominioquetieneelmaestrodeesquema.
LoqueesnuevoparaWindowsServer2012ActiveDirectory?
WindowsServer2012ActiveDirectory(WindowsServer2012DC)incluyemuchos
mejorasymejorasrespectoalasversionesanteriores.Algunasdeestasmejorastienen
haaadidoparaayudaracontrolarlaproliferacindedispositivosdeconsumoenellugardetrabajo.por
ejemplo,paraproporcionaralosusuariosunamaneramsfcildeintegrarsusdispositivosdeconsumoenel
lugardetrabajo,lasnuevascaractersticasdellugardetrabajodeIngresoywebproxydeaplicacinsellevaronacabo.
Adems,laseguridadentornoalautilizacindedispositivosdeconsumoenellugardetrabajohasidomejorada
controldeaccesoyautenticacindemltiplesfactoresmltiplessellevaronacaboparagestionarel
elriesgoasociadoconpermitirquelosdispositivosdeconsumoparaparticipareneldominio.
Ingresolugardetrabajo
WindowsServer2012R2permitealosusuariosunirseasusdispositivospersonalesparaeldominio.Ambos
AparatosydispositivosWindowsbasediOSbasedpuedenunirseaunequipoconWindowsServer2012R2based
dominio.ElusodeunacaractersticadeServiciosdefederacindeActiveDirectory(ADFS)llamadosdispositivos
ServiciodeRegistro(DRS)dispositivopersonaldeunusuariosepuederegistrarenADDS.elDRS
serviciocrearunobjetodeADDSparaeldispositivoyemitiruncertificadoaldispositivoquees
utilizadaparaautenticareldispositivo.SiseutilizantantoDRSyelProxydelaaplicacinWeb,cualquier
11/39
17/10/2016
dispositivoconunaconexinaInternetpuedeserellugardetrabajoseuni.
13/45
pgina14
16/10/2016
Cuandoundispositivopersonalesellugardetrabajoseunialosadministradorespueden:
tipodereclamacin
Descripcin
UselainformacinsobreeldispositivoquesealmacenaenADDSyconfigurarcondicional
acceso.
Proporcionarunaexperienciaperfectaparalosusuariosquetienenaccesoarecursosdelaempresade
ellugardetrabajoseunidispositivos.
Proporcionaruniniciodesesinnicoenlaexperiencia(SSO)paraaccederalosrecursos.
WebApplicationProxy
WebApplicationProxyesunnuevoserviciodefuncindeaccesoremotoquesepuedeutilizarparaproporcionar
usuariosexternostenganaccesoaaplicacionesyqueseejecutaenlosservidoresinternosdesdecualquierlugaryencualquiermomento.Web
Proxydelaaplicacinsepuedeutilizarcondispositivospersonalesquehansidounidaslugardetrabajo,as
comopropiedaddelacompaaordenadoresporttiles,telfonosinteligentesyotrosdispositivos.WebProxydelaaplicacinda
losadministradoresuncontrolmsdetalladoqueunaredprivadavirtualtradicional(VPN),porque
LosusuariosslopuedenaplicacionesdeaccesoquesehanpublicadoaellosatravsdelaaplicacinWeb
Apoderado.SepuedeaplicarseguridadadicionalatravsdeWebProxydelaaplicacinparacontrolaranmsla
aplicacionesqueelusuariopuedeteneracceso.WebProxydelaaplicacinrequiereelusodeADFSyutilizaADFS
caractersticastalescomoSSO.
ControldeAccesomultifactorial
netelugardetrabajoywebproxydeaplicacintantoparausoADFS,lafuncinprincipaldeADFS
esemitirtokensdeaccesoquecontienenafirmaciones.Claimsbasedautenticacinseutilizaampliamente
enaplicacionesyservicioscloudbased.AutenticacinClaimsbasedessimilaralatradicional
procesodeautenticacinutilizadoenundominiodeWindowsladiferenciafuncionalprincipalesque
lasealdeseguridadclaimsbasedsloincluyequineselusuarioynodefinenada
quepuedenhacer.ADFSevalalassolicitudesdereclamosquepuedenestarbasadosenunoomsfactores.Un
aplicacinqueutilizalaautenticacinclaimsbasedtambinseconocecomodependerdeaplicacionesdeterceros.Ah
sonmsde50factoresqueADFSpuedenutilizarparaautenticarunasolicituddereclamo,algunosdeesosfactores
son:
tipodereclamacin
Descripcin
Direccindecorreoelectrnico Direccindecorreoelectrnicodelusuario.
14/45
pgina15
16/10/2016
tipodereclamacin
Descripcin
12/39
17/10/2016
Nombre
Elnombredelusuario,quedebesernico.
Papel
Unpapelqueelusuariohasidoasignado.
Laseguridadgrupoprimario
ElgrupoprimarioSIDdelusuario.
identificador(SID)
Editor
ElnombredelaautoridaddecertificacinqueemitielcertificadoX.509.
Laaplicacindeusuariodeconfianzadefineloqueelusuariosercapazdehacersobrelabasedelainformacin
enlareclamacin.
HayvariasventajasdeutilizarelcontroldeaccesodemltiplesfactoresenADFS,incluyendo:
Puedepermitirodenegarelaccesobasadoenelusuario,dispositivo,ubicacin,estadodeautenticacino
otrosfactoresmedianteelusodelaspolticasdeautorizacinperapplicationflexiblesygranulares.
Sepuedencreardiferentesreglasparacadaaplicacinmediantelaemisinindividuo
reglasdeautorizacinparaconfiaraplicacionesdeotrosfabricantes.
Puedeofrecerunaexperienciadeinterfazdeusuarioricaparalosescenariosdemltiplesfactorescomunesalosusuariospor
mediantelaautenticacinbasadaenlawebdeADFSconformaspersonalizablesparaalgunoscomunes
escenarios.
ParaescenariosmscomplejospuedeusarWindowsPowerShellparadesarrollarsusreglasporlas
utilizandoellenguajericoreclamacionesyWindowsPowerShell.
Sepuedepediralosusuariosporqususolicitudfuerechazadaynoslomostrarunaccesogenrico
denegadomensajemedianteindividual,accesopersonalizadonegmensajesdepartequeconfa
aplicaciones.
Lecturaadicional:Paraobtenermsinformacinacercadecmoadministrarelriesgoconmltiples
factordecontroldeacceso,verelartculo"Descripcingeneral:manejarelriesgomultifactorialcon
Controldeacceso"enhttp://go.microsoft.com/fwlink/?LinkID=331088.
autenticacindemltiplesfactores
15/45
pgina16
16/10/2016
ADFStienemltiplesmtodosdeautenticacinquesepuedenutilizarparacrearflexibles
escenariosdeautenticacinestosescenariosdeautenticacinflexiblespermitenelaccesoasususos
recursosdelaempresaenmsformas.Sepuedecrearunapolticadeautenticacinglobalqueseaplicaalas
todoslosintentosdeaccesoopuedecrearreglasdeautenticacinpersonalizadosparaparticulares,ADFS
recursosgarantizados.Encargo,lasnormasdeautenticacindeaplicacionesdetercerosperrelyingnoanulan
reglasdeautenticacinglobales.Puedeconfigurarlasreglasdeautenticacinpararequerirsolamenteuna
mtododeautenticacinprimaria,oparautilizarlaautenticacindefactoresmltiples.Alcreartanto
normasglobalesyperrelyingautenticacindeaplicacionesdeterceros,sibienlareglaglobalo
normaespecficaaplicacinrequiereelusodelaautenticacindemltiplesfactores,acontinuacin,elusuarioser
13/39
17/10/2016
requeridoparautilizarautenticacindemltiplesfactores.
Alcrearunapolticaglobaldeautenticacinsepuedeconfigurarlossiguientesparmetros:
mtododeautenticacinprimaria.Deformapredeterminada,lasconexionesexternasutilizanlaautenticacindeformularios
ylasconexionesinternasutilizanlaautenticacindeWindows.
Configuracinymtodosparalaautenticacindemltiplesfactores.Puedeconfigurarlascondicionesde
enlasqueseutilizalaautenticacindefactoresmltiples,yqumtododeautenticacinadicional
seutiliza.Puedeutilizarcertificadodeautenticacin,comoporejemploconunatarjetainteligente,uotratercera
mtodosdeautenticacinpartido.
Silaautenticacindedispositivosesthabilitada.Estaopcinseutilizaconellugardetrabajonetey
permiteconfigurareldispositivocomounfactordeautenticacinsecundaria.
Alconfigurarperrelyingreglasdeautenticacindeaplicacionesdetercerospuedeconfigurarel
lasiguienteconfiguracin:
Silosusuariostienenqueproporcionarcredencialescadavezqueaccedan
Losajustesdeautenticacindemltiplesfactoresparalaaplicacinusuariodeconfianza
Losparmetrossobrelosquepuedenbasarselasnormasdeautenticacindemltiplesfactoresincluyenlossiguientes:
LosusuariosogruposeneldirectoriodeADDS
Ellugardetrabajoseuniestadodelosdispositivos
16/45
pgina17
16/10/2016
LaconexinsiendodelaintranetodeInternet
UntrabajodelEscenarioPrincipal
Estascaractersticastrabajanjuntosparamejorarengranmedidauntrabajodesdeelhogarescenario.Enunaobratpica
delescenariodelacasaquenoutilizalasnuevascaractersticasdescritasanteriormente,losusuariosseconectan
atravsdeunaVPNalaredcorporativa.Ellospuedenserobligadosautilizardosfactores
deautenticacin,talcomounatarjetainteligente,peroquesloprotegelaconexin.Unavezqueestn
conectadospuedenaccederacualquiercosaquepudieranaccederdesdedentrodelaredcorporativa.
Losdepartamentosdeseguridadengeneral,tienenvariaspreocupacionessobreeltrabajodelosprogramasdevivienda:
Sonlosusuariosqueaccedenalaredcorporativadesdeunsistemasegurooestnenunamenor
sistemaseguroquesepuedeencontrar,porejemplo,enlasbibliotecaspblicas?
Losusuariostienenaccesoalosarchivosconfidencialesyselesdescargandoensuslocales
14/39
17/10/2016
sistema?
Cmosonlosusuariosqueaccedenaplicacionesdelneadenegocio(LOB)?
Culessonsusconfiguracionesdeprotectordepantalla,sicaminanlejosdelacomputadora,esfcil
paraalguienmsquesubiryusarlo?
CuandoseutilizaelnuevoWindowsServer2012R2caractersticaspuedepermitiralosusuariostrabajar
desdecasa,mientrasquetodavamantieneuncontrolsegurosobreloquepuedenacceder.Losusuariosutilizan
Ingresolugardetrabajoparaaadirsussistemaspersonalesparaeldominioacontinuacin,laconfiguracindeseguridadpuedenser
configuradoparavariosescenariosdiferentes.Porejemplo,ciertosarchivospuedenserconfiguradospara
sloseraccesibledesdeellugardetrabajoseunialosusuariosdeordenador,olosarchivospodransersensibles
configuradoparaseraccesiblesloapartirdesistemasdedominiounido.
Delmismomodo,lasaplicacionesdelneadenegociopuedenserpublicadosatravsdelproxydeaplicacionesWeb,utilizandolosreclamos
sedefineatravsdemltiplesfactoresdecontroldeaccesoparaespecificarloquelosusuariosestnautorizadosahacerloenel
aplicaciones.Ademsautenticacindemltiplesfactoressepuedeespecificarparaciertasaplicacionesparaayudaraasegurar
elusuarioapropiadoestejecutandolasaplicaciones.
Leccin2:Visingeneraldeloscontroladoresdedominio
17/45
pgina18
16/10/2016
Debidoaqueloscontroladoresdedominioseautenticantodoslosusuariosyequiposdeldominio,eldominio
eldesplieguedelcontroladoresfundamentalparaelcorrectofuncionamientodelared.
Estaleccinexaminaloscontroladoresdedominio,elprocesosignin,ylaimportanciadeDNSen
eseproceso.Adems,estaleccinseanalizalafinalidaddelcatlogoglobal.
Todosloscontroladoresdedominiosonesencialmentelosmismos,condosexcepciones.RODCscontienenunalectura
nicacopiadelabasededatosdeADDS,mientrasqueotroscontroladoresdedominiotienenunacopiadelectura/escritura.
Tambinhayciertasoperacionesqueslosepuedenrealizarenloscontroladoresdedominioespecficos
llamadosmaestrosdeoperaciones,quesediscutenalfinaldeestaleccin.
Objetivosdelaleccin
Despusdecompletarestaleccin,ustedsercapazde:
Describirelpropsitodeloscontroladoresdedominio.
Describirelpropsitodelcatlogoglobal.
DescribirelprocesosigninADDS,ylaimportanciadelosregistrosDNSSRVyenel
signinproceso.
DescribirlafuncionalidaddelosregistrosSRV.
Explicarlasfuncionesdelosmaestrosdeoperaciones.
15/39
17/10/2016
Quesuncontroladordedominio?
UncontroladordedominioesunservidorqueestconfiguradoparaalmacenarunacopiadeldirectoriodeADDS
basededatos(NTDS.dit)yunacopiadelacarpetaSYSVOL.
18/45
pgina19
16/10/2016
Todosloscontroladoresdedominio,exceptoRODCsalmacenanunacopiadelectura/escrituradeambosNTDS.dityla
carpetaSYSVOL.Ntds.diteslapropiabasededatos,ylacarpetaSYSVOLcontienetodala
laconfiguracinylosarchivosdeplantilladeGPO.
Loscontroladoresdedominioutilizanunprocesodereplicacindevariosparalamayoradelasoperaciones,losdatospuedenser
modificadoencualquiercontroladordedominio,exceptoenlosRODC.ElserviciodereplicacindeADDSacontinuacin,
sincronizaloscambiosquesehanhechoalabasededatosdeADDSparatodoslosdemsdominios
Loscontroladoresdedominio.LascarpetasdeSYSVOLsereplicanyaseaporlareplicacindearchivos
Servicio(FRS),omediantelareplicacindenuevosistemadearchivosdistribuido(DFS).
LoscontroladoresdedominiorecibanavariosotrosserviciosrelacionadosconActiveDirectory,incluidala
serviciodeautenticacinKerberos,queesutilizadoporusuarioydeequiporepresentasignin
autenticacin,yelCentrodedistribucindeclaves(KDC),queemitelaticketgranting
entradas(TGT)aunacuentaqueiniciasesineneldominiodeADDS.Opcionalmente,puedeconfigurar
controladoresdedominioparaalojarunacopiadelcatlogoglobal.
ExistentodoslosusuariosenundominiodeADDSenlabasededatosdeADDS,silabasededatosnoestdisponiblepara
cualquierrazntodaslasoperacionesenfuncindeautenticacindomainbasedfallarn.Comomejor
laprctica,undominiodeADDSdebetenerunmnimodedoscontroladoresdedominio.estoapoya
altadisponibilidaddelabasededatosdeADDSydistribuyelacargadeautenticacinduranteelregistrodepico
Entiempos.
Nota:Doscontroladoresdedominiodebenconsiderarseunmnimoabsoluto.
Alimplementaruncontroladordedominioenunasucursaldondelaseguridadfsicaesmenosde
ptimo,hayalgunasmedidasadicionalesquesepuedenutilizarparareducirelimpactodeunaviolacin
deseguridad.UnaopcinconsisteenimplementarunRODC.
ElRODCcontieneunacopiadeslolecturadelabasededatosdeADDS,ypordefecto,nolohace
cachdeloscontraseasdeusuario.PuedeconfigurarelRODCparaalmacenarencachlascontraseasdelosusuariosde
16/39
17/10/2016
lasucursal.SiunRODCsevecomprometida,laposibleprdidadeinformacinesmucho
menorqueconuncontroladordedominiocompletodelectura/escritura.OtraopcinesutilizarWindows
BitLockerDriveEncryptionparacifrareldiscodurodelcontroladordedominio.Sieldiscoduroest
robados,elcifradoBitLockeraseguraquehayunaprobabilidadmuybajadequeunusuariomalintencionado
obtenertodalainformacintildeella.
19/45
pgina20
16/10/2016
Nota:BitLockeresunsistemadecifradodelaunidadqueestdisponibleparaWindowsServer
sistemasoperativos,yparaciertasversionesdelsistemaoperativoclienteWindows.
BitLockerdeformaseguraencriptatodoelsistemaoperativoparaqueelordenadornopuede
empezarsinquesesuministraunaclaveprivaday(opcionalmente)quepasaaunacomprobacindeintegridad.
Undiscopermanececifrada,inclusosilatransferenciaaotroequipo.
Queselcatlogoglobal?
Elcatlogoglobalesunacopiaparcial,deslolectura,debsquedadetodoslosobjetosenelbosque.
Seaceleralasbsquedasdeobjetosquepuedanseralmacenadosenloscontroladoresdedominiodeunamaneradiferente
dominiodelbosque.
Dentrodeunsolodominio,labasededatosdeADDSencadacontroladordedominioquecontienetodala
informacinsobretodoslosobjetosdeesedominio,peroslounsubconjuntodeestainformacines
replicadoalosservidoresdecatlogoglobalenotrosdominiosdelbosque.Dentrodeundominiodado,una
consultadeunobjetosedirigeaunodeloscontroladoresdedominiodeesedominio,peroesaconsulta
nopuedeproporcionarningnresultadoparalosobjetosdeotrosdominiosdelbosque.Paraunaconsultaqueincluya
losresultadosdeotrosdominiosdelbosquedebeconsultaruncontroladordedominioqueesunmundial
servidordecatlogo.Demanerapredeterminada,elnicoservidordecatlogoglobalqueestalojadaeselprimerdominio
enelcontroladordedominiorazdelbosque.Paramejorarlabsquedaatravsdedominiosenunbosque,
debeconfigurarcontroladoresdedominioadicionalesparaalmacenarunacopiadelcatlogoglobal.
Elcatlogoglobalnocontienetodoslosatributosparacadaobjeto.Ensulugar,elcatlogoglobal
mantieneelsubconjuntodeatributosquesonmspropensosasertilesenbsquedascrossdomain.
EstosatributosincluyenGivenName,idioma,yelcorreo.
20/45
17/39
17/10/2016
pgina21
16/10/2016
Hayunavariedadderazonesporlasquepodrarealizarunabsquedacontrauncatlogoglobalenvez
queuncontroladordedominioquenoesuncatlogoglobal.Porejemplo,cuandounservidorquees
queejecutaExchangeServerrecibeuncorreoelectrnicoentrante,tienequebuscareldestinatariode
cuentaparaquepuedadecidircmoencaminarelmensaje.Alconsultarautomticamenteunmundial
catlogo,elservidorqueejecutaExchangeServerescapazdelocalizareldestinatarioenunmltiplo
entornodedominio.Enotroejemplo,cuandounusuarioiniciasesinasuActiveDirectory
cuenta,elcontroladordedominioquevaarealizarlaautenticacindebeponerseencontactoconunmundial
catalogarparacomprobarsihayuniversalespertenenciasantesdequesehayaautenticadoelusuario.
Enunsolodominio,todosloscontroladoresdedominiodebenestarconfiguradosparamantenerunacopiadeloglobal
catlogosinembargo,enunentornodedominiomltiple,elmaestrodeinfraestructuranodebeseruna
servidordecatlogoglobalamenosquetodosloscontroladoresdedominiodeldominiosontambindecatlogoglobal
servidores.Qucontroladoresdedominioestnconfiguradosparamantenerunacopiadelcatlogoglobaldepende
eneltrficodereplicacinyanchodebandadered.Muchasorganizacionesestnoptandoporhacertodolo
controladordedominiodeunservidordecatlogoglobal.
Pregunta:Siuncontroladordedominiodeseruncatlogoglobal?
ElProcesoADDSSignin
CuandounusuarioiniciasesinenADDS,susistemaseveenDNSpararegistrosderecursosdeservicio(SRV)
paralocalizarelcontroladordedominioadecuadomsprximo.registrosSRVespecificaninformacinacerca
serviciosdisponibles,yseregistranenDNSparatodosloscontroladoresdedominio.MedianteelusodeDNS
operacionesdebsqueda,losclientespuedenencontraruncontroladordedominioadecuadoparadarservicioasuspeticionesdesesina.Siel
signintienexito,laautoridaddeseguridadlocal(LSA)construyeuntokendeaccesoparaelusuarioque
contienelosSIDparaelusuarioycualquiergrupodelqueelusuarioesmiembro.eltoken
proporcionalascredencialesdeaccesoparacualquierprocesoiniciadoporeseusuario.Porejemplo,despusde
iniciarsesinenADDS,unusuarioejecutaMicrosoftWordeintentaabrirunarchivo.Wordutilizala
credencialesentokendeaccesodelusuarioparaverificarelniveldelospermisosdelusuarioparaesearchivo.
21/45
pgina22
16/10/2016
Nota:UnSIDesunacadenanicaenformadeSRXY1Y2Yn1Yn.Porejemplo,una
Componente
Definicin
Enelejemplo
SIDdeusuariopodraser:S152132234671212560851321900709958500.
LaspartesdeesteSIDseexplicanenlasiguientetabla:
18/39
17/10/2016
Componente
Definicin
Enelejemplo
IndicaquelacadenaesunSID
Nivelderevisin
valordeautoridaddeunidentificador
5(NTAuthority)
Y1Y2Yn1
identificadordedominio
2132234671212560851321900709958
Yn
ELIMINAR
500
CadacuentadeusuarioyelordenadorytodoslosgruposquesecreatieneunSIDnico.Ellos
slosediferencianunasdeotrasenvirtuddelanicaRID.ElSIDenelejemploesunpozo
SIDconocidoparalacuentadeadministradordedominio.SIDbienconocidossonutilizadosporeldefecto
cuentasygrupos,delacuentadeadministradordedominioSIDsiempreterminacon500.
sitios
Sitiossonutilizadosporunsistemaclientecuandotienequeponerseencontactoconuncontroladordedominio.Comienza
mirandohaciaarribaregistrosSRVenDNS.LarespuestaalaconsultaDNSincluir:
Unalistadeloscontroladoresdedominioenelmismositioqueelsistemacliente
Sinohaycontroladoresdedominiodisponiblesenelsitiodelalistaseincluyeeldominio
LoscontroladoresdelasiguientesitiomscercanoquenoincluyeunRODC,siesthabilitadaenelTry
SiguientecercanoSitiodirectivadegrupo
Sinoseencuentrauncontroladordedominioenelsiguientesitiomscercano,unalistaaleatoriadedominiodisponible
controladoreseneldominio
LosadministradorespuedendefinirsitiosdeADDS.Sitiosgeneralmentesealineanconlaspartesdelared
quetienenunabuenaconectividadyanchodebanda.Porejemplo,siunaoficinaestconectadaala
22/45
pgina23
16/10/2016
principalcentrodedatosporunareddereaextensanofiable(WAN),queseramejorparadefinir
elcentrodedatosylasucursalcomositiosseparadosenADDS.
registrosSRVestnregistradosenDNSporelserviciodesesinderedqueseejecutaencadadominio
controlador.SinoseintroducenlosregistrosSRVenDNScorrectamente,puededesencadenareldominio
ControladorvolvieraaregistraresosregistrosreiniciandoelservicioNetLogonenesedominio
controlador.EsteprocesoslosevuelvearegistrarlosregistrosSRVsideseavolveraregistrarelhost(A)
informacindelosregistrosdeDNS,debeejecutaripconfig/registerdnsdesdeunsmbolodelsistema,simplemente
comosisetrataradecualquierotroordenador.
Aunqueelprocesosigninsemuestraalusuariocomounsoloevento,secomponerealmentede
dospartes:
19/39
17/10/2016
Elusuarioproporcionacredenciales,porlogeneralunnombredecuentadeusuarioyunacontrasea,queluegose
cotejarseconlabasededatosdeADDS.Sielnombredecuentadeusuarioylacontraseacoincidenconel
informacinquesealmacenaenlabasededatosADDS,elusuarioseconvierteenunusuarioautenticado
yseemiteunTGTporelcontroladordedominio.Enestepunto,elusuarionotieneaccesoa
cualquierrecursodelared.
UnprocesosecundarioenelfondopresentaelTGTparaelcontroladordedominioy
lassolicitudesdeaccesoalamquinalocal.Elcontroladordedominioemiteunvaledeservicioal
usuario,queesentoncescapazdeinteractuarconelordenadorlocal.Enestepuntoenelproceso,la
usuarioseautenticaaADDSyhainiciadosesinenelequipolocal.
Cuandounusuariointentaposteriormenteparaconectarseaotroequipodelared,el
procesosecundarioseejecutadenuevo,yelTGTseenvaalcontroladordedominiomscercano.
Cuandoelcontroladordedominiodevuelveunvaledeservicio,elusuariopuedeaccederalacomputadoraenel
red,quegenerauneventodeiniciodesesineneseequipo.
Nota:UnordenadordomainjoinedtambininiciasesinenADDScuandoseiniciaunhechoquees
amenudosepasaporalto.Novelatransaccincuandoelequipoutilizasuordenador
nombredecuentayunacontraseaparainiciarsesinenADDS.Unavezautenticado,elordenador
seconvierteenunmiembrodelgrupodeusuariosautenticados.Aunqueelordenadorconectarse
eventonotieneningunaconfirmacinvisualdeunainterfazgrficadeusuario,queseregistraenelregistrodeeventos.
Adems,siesthabilitadalaauditora,loseventosadicionalesseregistranenelregistrodeseguridaddela
Visordeeventos.
23/45
pgina24
16/10/2016
Demostracin:ParavisualizarlosregistrosSRVenDNS
LademostracinmuestracmomostrarlosdiferentestiposderegistrosSRVquela
controladoresdedominioregistranenDNS.EstosregistrossoncrucialesparalaformaenADDSporqueopera
queseutilizanparaencontrarloscontroladoresdedominioparainiciarsesin,cambiarcontraseas,ylaedicin
GPO.registrosSRVtambinsonutilizadosporloscontroladoresdedominioparaencontrarasociadosdereplicacin.
PasosdedemostracinVerlosregistrosSRVmedianteelAdministradordeDNS
1.
EnLONDC1,iniciasesinconlacuentadeusuarioAdatum\Administradorylacontrasea
Pa$$w0rd.
2.
AbralaventanadelAdministradordeDNS,yexplorarlosdominiosDNSsubrayado.
3.
VerlosregistrosSRVqueestnregistradosporloscontroladoresdedominio.
Estosregistrosproporcionancaminosalternativosparaquelosclientespuedandescubrirlos.
Culessonlosmaestrosdeoperaciones?
20/39
17/10/2016
Apesardetodosloscontroladoresdedominiocontienenlamismainformacin,hayciertainformacinque
queslopuedesermodificadaenuncontroladordedominioenparticular.Existenlascincooperaciones
maestros,uoperacionesdemaestronicoflexible(FSMO).
LasfuncionesFSMOayudanaprevenirconflictosenADDSdebidoalalatenciadereplicacin.Alhacer
cambiosenlosdatosdecualquieradelasfuncionesFSMOquedebenconectarsealcontroladordedominioque
ejerceenelpapel.
LascincofuncionesFSMOsedistribuyendelasiguientemanera:
24/45
pgina25
16/10/2016
Cadabosquetieneunmaestrodeesquemayun
dominiomaestrodenombres.
CadadominiodeADDStieneunmaestrodeRID,unmaestrodeinfraestructura,yunaprimaria
controladordedominio(PDC).
Maestrosdeoperacionesforestales
Lassiguientessonlasfuncionesdemaestroindividualesqueseencuentranenunbosque:
dominiomaestrodenombres.Esteeselcontroladordedominioquesedebeestablecercontactocuandoseagrega
oeliminarundominio,ocuandoserealizancambiosdenombresdedominio.
Sielmaestrodenombresdedominionoestdisponible,ustednosercapazdeaadirdominiosadicionales
albosque.
Maestrodeesquema.Esteeselcontroladordedominiodondesehacentodosloscambiosdeesquema.Parahacer
cambiosquenormalmenteseiniciasesinenelmaestrodeesquemacomomiembrotantodelesquema
AdministradoresygruposAdministradoresdeorganizacin.Unusuarioqueesunmiembrodeestosdosgrupos
yquetienelospermisosadecuadostambinpodramodificarelesquemamedianteelusodeunasecuenciadecomandos.
Sielmaestrodeesquemanoestdisponible,ustedserincapazderealizarcambiosenelesquema,lo
impediralainstalacindeaplicacionesquerequierencambiosdeesquema,comoMicrosoft
Servidordeintercambio.
OperacionesdedominioMasters
Lassiguientessonlasfuncionesdemaestroindividualesqueseencuentranenundominio:
21/39
17/10/2016
Identificacinrelativo(RID)maestro.SiemprequesecreaunobjetoenADDS,elcontroladordedominio
dondeelobjetosecreaelobjetoasignaunnmerodeidentificacinnicoqueseconocecomounSID.
ParaasegurarsedequenohaydoscontroladoresdedominioasignanelmismoSIDadosobjetosdiferentes,la
maestrodeRIDasignabloquesdeRIDacadacontroladordedominiodentrodeldominioparautilizar
cuandolaconstruccindelaSID.
SielmaestrodeRIDnoestdisponible,ustedpuedeexperimentardificultadesconlaadicindenuevosobjetosala
dominio.ComocontroladoresdedominiodeutilizarsusRIDexistentesconeltiemposequedasin
RIDydeserincapazdecrearnuevosobjetos.
25/45
pgina26
16/10/2016
Maestrodeinfraestructura.Estafuncinmantienereferenciasaobjetosentredominios,comoporejemplocuandouna
grupoenundominiocontieneunmiembrodeotrodominio.Enestasituacin,la
maestrodeinfraestructuraesresponsabledemantenerlaintegridaddeestareferencia.por
ejemplo,cuandonosfijamosenlapestaadeseguridaddeunobjeto,elsistemabuscaelSIDque
seenumeranylastraduceennombres.Enunbosqueconvarios,elmaestrodeinfraestructura
mirahaciaarribaSIDdeotrosdominios.
Sielmaestrodeinfraestructuraescontroladoresdedominionodisponibles,quenosoncatlogosglobales
nosercapazdecomprobarlapertenenciaagruposuniversalesynosercapazdeautenticar
usuarios.
Elpapeldelainfraestructuranodeberesidirenunservidordecatlogoglobal,amenosquetengauna
bosquededominionico.Laexcepcinescuandosesiguenlasmejoresprcticasyhacertodolo
controladordedominiodeuncatlogoglobal.Enesecaso,noserequierelafuncindeinfraestructura
debidoaquecadacontroladordedominiosabeacercadecadaobjetoenelbosque.
controladordedominioprincipal(PDC)maestroemulador.Elcontroladordedominioquedesempeala
PDCemuladoreslafuentedetiempoparaeldominio.LosemuladoresdePDCencadadominioenuna
bosquesincronizarsutiempoconelemuladorPDCeneldominiorazdelbosque.Seestableceel
EmuladorPDCeneldominiorazdelbosqueparasincronizarconunrelojatmicoexterna
fuente.
ElemuladorPDCestambinelcontroladordedominioquerecibeloscambiosdecontraseaurgentes.Siuna
lacontraseadelusuariosecambia,lainformacinseenvainmediatamentealcontroladordedominio
sostieneelemuladorPDC.Estosignificaquesielusuariohaintentadoposteriormenteasesinyse
fueronautenticadosporuncontroladordedominioenunlugardiferentequeannohabanrecibido
unaactualizacindelanuevacontrasea,elcontroladordedominioenlaubicacinenlaqueelusuario
tratadodesesinpondraencontactoconelcontroladordedominioqueelemuladorPDCycomprobar
loscambiosrecientes.SielemuladorPDCnoestdisponible,losusuariospuedentenerproblemasparainiciarsesinen
hastaquesucambiodecontraseasehareplicadoentodosloscontroladoresdedominio.ElemuladorPDC
TambinesutilizadocuandolaedicindeGPO.CuandoseabreunGPOquenoseaunGPOlocalparalaedicin,
lacopiaqueseeditaeslaqueestalmacenadaenelemuladorPDC.Estosehaceparaevitar
conflictossidosadministradoresintentaroneditarelmismoGPOalmismotiempoendiferentes
loscontroladoresdedominio.Sinembargo,puedeoptarporutilizaruncontroladordedominioespecficopara
GPOdeedicin.EstoesespecialmentetilparaeditarGPOenunaoficinaremotaconunalenta
conexinconelemuladordePDC.
22/39
17/10/2016
Nota:Elcatlogoglobalnoesunadelasfuncionesdemaestro.
26/45
pgina27
16/10/2016
Nota:LascincofuncionesFSMOtambinseconocencomo:
maestrodeoperacionesdeesquema
maestrodeoperacionesdenombresdedominio
maestrodeoperacionesdeinfraestructura
maestrodeoperacionesdeRID
maestrodeoperacionesdeemuladorPDC
Leccin3:Instalacindeuncontroladordedominio
AvecesesnecesarioinstalarloscontroladoresdedominioadicionalesenWindowsServer2012
dominio.Hayvariasrazonesqueustedpuedehaceresto:
Necesitarecursosadicionalesenunsitioporqueloscontroladoresdedominioexistentesestnsobrecargadosdetrabajo.
Estabriendounanuevaoficinaremotaquerequiereparaimplementarunoomsdedominio
controladores.
Ustedestcreandounasituacinderecuperacindedesastresfueradelsitio.
Elmtododeinstalacinqueseutilizavarasegnlascircunstancias.
Estaleccinexaminavariasformasdeinstalarloscontroladoresdedominioadicionalescomolainstalacin
ADDSenunamquinalocalyenunservidorremotomedianteelAdministradordelservidor,lainstalacindeADDS
enunainstalacinServerCore,ylainstalacindeADDSmedianteunainstantneadelaADDS
basededatosquesealmacenaenunmedioextrable.Estaleccintambinexaminacmoactualizaruna
controladordedominiodesdeunsistemaoperativoWindowsanterioraWindowsServer2012.
FinalmenteAzuredeWindowsActiveDirectory(WindowsAzureAD)ycmoinstalarundominio
SediscutecontroladorenWindowsAzure.
27/45
pgina28
16/10/2016
Objetivosdelaleccin
Despusdecompletarestaleccin,ustedsercapazde:
23/39
17/10/2016
Explicacmoinstalaruncontroladordedominiomediantelainterfazgrficadeusuario.
ExplicacmoinstalaruncontroladordedominioenunainstalacinServerCoredeWindowsServer
2012.
Explicacmoactualizaruncontroladordedominiomedianteinstalacindesdeunmedio.
Explicacmoinstalaruncontroladordedominiomedianteinstalacindesdeunmedio.
DescribirWindowsAzureAD.
ComprendercmoimplementarcontroladoresdedominioenWindowsAzure.
InstalacindeuncontroladordedominiodesdeelAdministradordelservidor
ConWindowsServer2008yversionesanteriores,eraunaprcticacomnparainiciarelActivo
AsistenteparainstalacindeServiciosdedominiodedirectorioconlaherramientaDcpromo.exeparainstalardominio
controladores.
Pero,apartirdeWindowsServer2012,ActiveDirectoryDomainServicesInstalacin
AsistentehasidotrasladadoalAdministradordeservidoresyelusodeDcpromo.exesloseadmitepara
automatizacindelegado.Elprocesodepromocindecontroladordedominioesunprocesodedospasos.Primerot
esnecesarioinstalarlosarchivosquelafuncindecontroladordedominioutiliza,acontinuacin,instalareldominio
mismafuncindecontrolador.
Nota:ElAsistentedeActiveDirectoryDomainServicesInstalacin(quepuedeser
abiertodesdelalneadecomandosescribiendodcpromo.exe)esobsoletoenprincipio
28/45
pgina29
16/10/2016
WindowsServer2012.
Pregunta
comentarios
Antesdeinstalarunnuevocontroladordedominioesnecesariotenerlasrespuestasalasiguiente
preguntas.
Pregunta
comentarios
Vaainstalarunnuevobosque,unnuevoLarespuestaaestapreguntadeterminarquinformacinadicional
rboloundominioadicional
puedeserquenecesite,talescomoelnombredeldominioprincipal.
Controladorparaundominioexistente?
24/39
17/10/2016
CuleselnombreDNSparaelanuncio Cuandosecreaelprimercontroladordedominioparaundominioquedebe
DSdominio?
especificarelnombrededominiocompleto(FQDN).Cuandovaaaadiruna
controladordedominioaundominioexistenteobosquedeldominioexistente
Lainformacinserfacilitadaenelasistente.
CmoserelnivelfuncionaldelbosqueElnivelfuncionaldelbosquedeterminalascaractersticasforestalesquesern
fijarseen?
disponibleyelsistemaoperativodelcontroladordedominiocompatible.Estotambin
estableceelnivelfuncionaldeldominiomnimoparalosdominiosdelbosque.
CmoserelnivelfuncionaldedominioElnivelfuncionaldeldominiodeterminalascaractersticasdedominioqueser
fijarseen?
disponibleyelsistemaoperativodelcontroladordedominiocompatible.
SerelcontroladordedominioserunDNS
SuDNSdebeestarfuncionandobienparaapoyarADDS.
servidor?
Elcontroladordedominiodelasededela
Estaopcinestseleccionadapordefectoparaelprimercontroladordedominioenunbosque
catlogoglobal?
ynopuedesercambiado.
Serelcontroladordedominio
Estaopcinnoestdisponibleparaelprimercontroladordedominioenunbosque.
RODC?
Cmosernlosserviciosdedirectorio Estoesnecesarioparasercapazderecuperacindelabasededatosdedirectorioactivodesdeuna
Restaurarseaelmodo(DSRM)?
apoyo.
CuleselnombredeNetBIOSparael Alcrearelprimercontroladordedominioparaundominiodebeespecificarel
DominiodeADDS?
NombreNetBIOSdeldominio.
Dndeestarlabasededatos,archivosderegistroy
Deformapredeterminada,labasededatosyderegistrodecarpetasdearchivosesC:\Windows\NTDS.Por
puedencrearcarpetasdeSYSVOL?
pordefectolacarpetaSYSVOLesC:\Windows\SYSVOL.
CuandoseejecutaelAdministradordeservidoresenelsistemalocaldeinstalarlafuncindeADDS.Alfinalde
elprocesodeinstalacininicial,losarchivosdeADDSseinstalaADDS,peroannoestconfiguradoen
eseservidor.
29/45
pgina30
16/10/2016
ParaconfigurarADDS,esnecesarioconfigurarlomedianteelusodeActiveDirectoryDomainServices
Asistentedeconfiguracin.SeiniciaelasistentehaciendoclicenelenlacedeADDSenelAdministradordeservidores.
Elasistentelepermitirrealizarunadelassiguientesoperaciones:
Aadiruncontroladordedominioaundominioexistente
Aadirunnuevodominiodeunbosqueexistente
Aadirunnuevobosque
Lospasosespecficosqueustedsigueenelrestodelasistentedependedelaoperacinquedesea
completar.
Nota:SinecesitarestaurarlabasededatosdeADDSapartirdeunacopiadeseguridad,reinicieeldominio
controladorenDSRM.CuandoelcontroladordedominioseponeenmarchanoseestejecutandoelADDS
servicios,encambio,seestejecutandocomounservidormiembrodeldominio.Parainiciarsesinenquese
servidorenausenciadeADDS,iniciesesinutilizandoelmododerecuperacindeserviciosdedirectorio
contrasea.
25/39
17/10/2016
Nota:WindowsServer2012respaldaladuplicacindeservidoresADDS.Antesdeserclonadouna
ADDSSeverdebesermiembrodelgrupocontroladoresdedominioCloneable.
Adems,elemuladorPDCdebeestarenlneaydisponibleparaelclonadodeCC,y
debeejecutarWindowsServer2012.
InstalacindeuncontroladordedominioenunainstalacinServerCore
deWindowsServer2012
30/45
pgina31
16/10/2016
HayvariasopcionesparaconfigurarunservidorWindows2012ServerqueejecutaServidor
Corecomouncontroladordedominio.SinlainterfazgrficadeusuariodelAdministradordeservidores,esnecesarioutilizar
mtodosalternativosparainstalarlosarchivosdelafuncindecontroladordedominioyparainstalareldominio
mismafuncindecontrolador.
ParainstalarlosarchivosdeADDSenelservidorpuederealizarunadelassiguientesacciones:
UseelAdministradordeservidorparaconectarsedeformaremotaalservidorServerCoreeinstalarADDS
papelcomosedescribeeneltemaanterior.
UtiliceloscomandosADDomainServicesInstallWindowsFeaturedeWindowsPowerShell
parainstalarlosarchivos.
DespusdeinstalarlosarchivosdeADDS,puedecompletartodoexceptoelhardwaredela
lainstalacinylaconfiguracinenunadelassiguientesmaneras:
UsodelAdministradordelservidorparainiciarelAsistentedeconfiguracindeserviciosdedominiodeActiveDirectory
comosedescribeeneltemaanterior
CargarelmdulodeServiciosdeimplementacindedominiodeActiveDirectoryconWindows
PowerShellcomandoImportModuleADDSDeployment.Acontinuacin,ejecuteWindows
PowerShellcomandoInstallADDSDomainControllerysuministrarlanecesaria
informacinsobrelalneadecomandos.
26/39
17/10/2016
Lecturaadicional:ParaobtenermsdetallessobreelusodeWindowsPowerShell
comandoInstallADDSDomainControllerverelartculo"InstalarActiveDirectory
Serviciosdedominio(Nivel100)"enhttp://go.microsoft.com/fwlink/?LinkID=331087.
Consulteelsitiosiguienteparaobtenermsinformacin:
ADDSdeimplementacindecmdletsdeWindowsPowerShell,http://go.microsoft.com/fwlink/?
Linkid=331089
Laactualizacindeuncontroladordedominio
31/45
pgina32
16/10/2016
PuedeactualizaraundominiodeWindowsServer2012enunadedosmaneras.Puedeactualizarel
sistemaoperativoenloscontroladoresdedominioexistentesqueseejecutaWindowsServer2008o
WindowsServer2008R2.Comoalternativa,puedeagregarservidoresdeWindowsServer2012como
controladoresdedominioenundominioqueyacuentaconloscontroladoresdedominioqueejecutananterior
versionesdeWindowsServer.Delosdosmtodos,seprefierelasegunda,porquecuandose
acabado,tieneunainstalacinlimpiadelsistemaoperativodeWindowsServer2012yelAD
labasededatosDS.
CadavezqueseaadeunnuevocontroladordedominiodeldominioDNSseactualizanlosregistrosylosclientes
serencontraryutilizarestecontroladordedominioinmediatamente.
LaactualizacinaWindowsServer2012
ParaactualizarundominiodeADDSqueseestejecutandoenunnivelfuncionalanteriordeWindowsServerpara
undominiodeADDSenmarchaen2012elnivelfuncionaldeWindowsServer,primerodebeactualizar
todosloscontroladoresdedominioenelsistemaoperativoWindowsServer2012.Puedellevaracabo
estaactualizacinmediantelamejoradetodosloscontroladoresdedominioexistentesaWindowsServer2012,o
mediantelaintroduccindenuevoscontroladoresdedominioqueejecutanWindowsServer2012,yluego
laeliminacingradualdeloscontroladoresdedominioexistentes.
Unaactualizacindelsistemaoperativoinplacenorealizaautomticadelesquemaydedominio
preparacin.PararealizarunaactualizacininsitudeunequipoquetienelafuncindeADDSinstalado,
primerodebeutilizarloscomandosdelalneadecomandosadprep.exe/forestprepyadprep.exe
/Domainprepparaprepararelbosqueydominio.Adprep.exeseincluyeenlainstalacin
mediosdecomunicacinenlacarpeta\Support\Adprep.Nohaypasosdeconfiguracinadicionalesdespusdeeso
27/39
17/10/2016
punto,ypuedecontinuarparaejecutarelServer2012actualizacindelsistemaoperativodeWindows.
CuandosepromueveunservidordeWindowsServer2012paraseruncontroladordedominioenunayaexistente
dominio,yquehayaaccedidocomomiembrodelosAdministradoresdeesquemayAdministradoresdeempresa
32/45
pgina33
16/10/2016
grupos,elesquemadeADDSseactualizarnautomticamenteaWindowsServer2012.Eneste
escenario,noesnecesarioparaejecutarloscomandosdeAdprep.exeantesdecomenzarlainstalacin.
LaimplementacindecontroladoresdedominiodeWindowsServer2012
ParaactualizarelsistemaoperativodeuncontroladordedominiodeWindowsServer2008aWindows
Server2012,lleveacabolossiguientespasos:
1.
InserteeldiscodeinstalacindeWindowsServer2012,yluegoejecutarelprogramadeinstalacin.
ElAsistenteparalainstalacindeWindowsconeltiemposeabrir.
2.
Despusdelapginadeseleccindeidioma,hagaclicenInstalarahora.
3.
DespusdelapginaSeleccindelsistemaoperativoylapginadeaceptacindelicencia,enel
Qutipodeinstalacindesea?pgina,hagaclicenActualizar:InstalarWindowsy
mantenerlosarchivos,configuracionesyaplicaciones.
Nota:Conestetipodeactualizacin,nohaynecesidaddeconservarlaconfiguracindelosusuariosy
reinstalarlasaplicaciones,todoesinsitumejorado.Recuerdamirar
compatibilidaddehardwareysoftwareantesderealizarlaactualizacin.
ParaintroducirunainstalacinlimpiadeWindowsServer2012comouncontroladordedominio,realiceel
siguientespasos:
1.
ImplementaryconfigurarunanuevainstalacindeWindowsServer2012yunirloal
dominio.
2.
Promoverelnuevoservidorparaqueseauncontroladordedominioeneldominiomedianteelusodelservidor
Manager2012ounodelosotrosmtodosdescritosanteriormente.
3.
ActualizacindelaconfiguracindeDNSdeclientequeseestrefiriendoalcontrolador(s)dedominiodeedadparautilizarel
nuevocontroladordedominio.
Nota:puedeactualizardirectamentedesdeWindowsServer2008yWindows
Server2008R2aWindowsServer2012.
33/45
pgina34
16/10/2016
28/39
17/10/2016
Instalacindeuncontroladordedominiomedianteinstalacindesdeunmedio
Siustedtieneunareddeintervencinqueeslenta,pocofiable,ocostoso,puedequeleresulte
necesarioaadirotrocontroladordedominioenunaubicacinremotaosucursal.Enesto
escenario,amenudoesmejorparaimplementarADDSaunservidormediantelainstalacindesdeunmedio(IFM)
Mtodo.
Porejemplo,siseconectaaunservidorqueestenunaoficinaremotayutilizarelAdministradordeservidoresde
instalarADDS,tienequecopiarlabasededatosdeADDSylacarpetaSYSVOLala
nuevocontroladordedominioatravsdeunaconexinWANpotencialmentepocofiables.Comounaalternativa,y
parareducirsignificativamentelacantidaddetrficoquesemueveatravsdelenlaceWAN,sepuedehaceruna
copiadeseguridaddeADDS(talvezaunaunidadUSB)ytomarestacopiadeseguridadalaubicacinremota.Cuando
ustedestenellugaryplazodelAdministradordelservidorremotoparainstalarADDS,sepuedeseleccionarel
opcinparalainstalacindesdelosmediosdecomunicacin.Lamayorpartedelacopiaacontinuacin,sellevaacaboanivellocal,yeselenlaceWAN
utilizasloparaeltrficoylaseguridadparagarantizarqueelnuevocontroladordedominiorecibeningn
loscambiosqueserealizaronenelcentrodeADDSdespusdecrearlacopiadeseguridaddeMFI.
ParainstalaruncontroladordedominiomedianteelMFI,verauncontroladordedominioquenoesuna
RODC.UtilicelaherramientaNtdsutilparacrearunainstantneadelabasededatosdeADDS,yluegocopiarel
instantneaenelservidorquesepromueveauncontroladordedominio.UtiliceelAdministradordeservidoresde
promoverelservidorauncontroladordedominioseleccionandolaopcinInstalardesdelosmediosdecomunicacin,yluego
proporcionandolarutalocalaldirectorioMFIquehacreadoanteriormente.
Elprocedimientoeselsiguiente:
1.
Enelcontroladordedominiocompleto,enunsmbolodelsistemaadministrativo,escribalosiguiente
comandos(dondeC:\MFIeseldirectoriodedestinoquecontendrlainstantneade
34/45
pgina35
16/10/2016
labasededatosdeADDS):
Ntdstil
Activarntdsinstancia
ifm
crearSYSVOLcompletaC:\MFI
29/39
17/10/2016
2.
Enelservidorqueustedestpromoviendoauncontroladordedominio,realiceelsiguiente
pasos:
a.
UtiliceelAdministradordeservidoresparaagregarlafuncindeADDS.
segundo.
EspereaquelosarchivosdeinstalacindeADDS.
do.
EnAdministradordelservidor,hagacliceneliconodenotificacinybajoposterioralaimplementacin
Configuracin,hagaclicenPromoveresteservidorauncontroladordedominio.
ElAsistentedeconfiguracindeserviciosdedominiodeActiveDirectoryseejecuta.
re.
Enlapginacorrespondientedelasistente,seleccionelaopcindeinstalardesdeelMFI,y
acontinuacin,proporcionarlarutalocalaldirectoriodeinstantneas.
3.
ADDSinstalaacontinuacindelainstantnea.
4.
Cuandosereiniciaelcontroladordedominio,quehagacontactoconotroscontroladoresdedominiodeldominio
yactualizacionesdeADDSconloscambiosquesehicierondesdelacreacindelainstantnea.
Lecturaadicional:ParaobtenermsinformacinsobrelospasosnecesariosparainstalarAD
DS,veaInstalarlosServiciosdedominiodeActiveDirectory(Nivel100)a
http://go.microsoft.com/fwlink/?LinkID=266739.
QuesWindowsAzureActiveDirectory?
35/45
pgina36
16/10/2016
WindowsAzureActiveDirectory(WindowsAzureAD)esunservicioqueproporcionalaidentidad
gestinycontroldeaccesoparasusaplicacionescloudbased.WindowsAzureADes
seutilizacuandosesuscribeaMicrosoftOffice365,ExchangeOnline,MicrosoftSharePoint
Enlnea,oMicrosoftLyncenlnea.Adems,WindowsAzureADsepuedeutilizarcon
AplicacionesdeWindowsAzureoInternetconectadosaplicacionesquerequierenautenticacin.Ustedpuede
sincronizarsusonpremisesADDSconWindowsAzureADparapermitirquelosusuariosutilicenel
mismaidentidadatravsdeambosrecursosinternosyrecursoscloudbased.
30/39
17/10/2016
WindowsAzureADnoincluyetodoslosserviciosdisponiblesconunventanasonpremises
solucindeADServer2012.WindowsServer2012ADescompatibleconcincoserviciosdiferentes:
ServiciodedominiodeActiveDirectory(ADDS)
ActiveDirectoryLightweightDirectoryService(ADLDS)
ActiveDirectorydeserviciodefederacin(ADFS)
ActiveDirectoryServiciodecertificados(ADCS)
ServiciodeGestindeDerechosdeActiveDirectory(ADRMS)
WindowsAzureADsloincluye:
WindowsAzureADquesoportalagestindeidentidadesenlanube
WindowsAzureAccesoalServiciodeControlquesoportafederacinconidentidadexterna
serviciosdegestin,incluidoelanuncioonpremisesDS
36/45
pgina37
16/10/2016
WindowsAzureADnoescompatibleconaplicacionesintegradasDirectorioActivo,para
aplicacionesparaintegrarseconWindowsAzureADtienenqueserescritoparaWindowsAzure
ANUNCIO.
LaimplementacindecontroladoresdedominioenWindowsAzure
WindowsAzureproporcionainfraestructuracomoservicio(IaaS),queenesenciaeslavirtualizacin
enlasnubes.Todaslasconsideracionesparalavirtualizacindeaplicacionesyservidoresenonpremises
infraestructuraseaplicaalaimplementacindelasmismasaplicacionesyservidoresaWindowsAzure.
Nota:WindowsServer2012ADquetiene
hadesplegadoenWindowsAzurenoeselmismoqueWindowsAzureAD.
WindowsServer2012ADquesehadesplegadoenWindowsAzureessuspropiosrolesy
31/39
17/10/2016
servicios(ADDS,ADLDS,ADFS,ADCS,yADRMS),quesehandesplegadoen
WindowsAzure.
AlimplementarADDSenWindowsAzureustedesresponsabledemantenertodo
exceptoelhardware.
WindowsAzureADesunservicioqueMicrosofthaconfiguradoenlanube.Notiene
todaslasfuncionesqueundConpremisesDStiene,sinoqueseocupaprincipalmentedelaidentidad
gestinycontroldeacceso.
ConWindowsAzureADustedsloesresponsabledelagestindesusdatos.
WindowsServer2012sehadiseadoparaqueseafcilparaustedparaintegrarloenlanube
sistemasbasados.Unadelasdecisionesmsimportantesqueunadministradordebetomaressi
37/45
pgina38
16/10/2016
laorganizacindebeutilizarIaaSdenubepblica,latecnologadevirtualizacindenubeprivada,o
seguirutilizandoservidoresfsicos.
AlimplementarADDSenWindowsAzureencuentalosiguiente:
Rollback.MientrasqueWindowsAzurenoproporcionaserviciosalosclientesderollback,
servidoresdeWindowsAzuresepuedenrodarhaciaatrscomounaparteregulardemantenimiento.Dominio
lareplicacindelcontroladordependedelosnmerosdesecuenciadeactualizacin(USN),cuandounanuncioDS
sistemasedeshaceUSNduplicadossepodrancrear.Paraevitaresto,elao2012DCdeWindows
DSintroduceunnuevoidentificadordellamadaVMGenerationID.VMGenerationIDpuededetectaruna
rollback,yevitaqueelcontroladordedominiovirtualizadodeduplicarloscambiossalientes
hastaquelaADDSvirtualizadohaconvergidoconlosotroscontroladoresdedominiodeldominio.
limitacionesdelamquinavirtual.mquinasvirtualesdeWindowsAzureestnlimitadosa14GBde
RAMyunadaptadordered.Adems,lafuncindeinstantneanoescompatible.
ImplementacindeWindowsServer2012ADenmquinasvirtualesdeWindowsAzureestsujetaala
mismaspautasqueseejecutaADDSonpremisesenunamquinavirtual.estasdirectrices
Incluyalosiguiente:
Sincronizacindelahora.UnainfraestructuradedominiosWindowsbasedADDSsebasalibrementeen
todaslasmquinasquesecomunicanconlahoracorrecta.Cuandolosrelojesdecontroladordedominioy
relojesdemiembrosdedominiotienenunadiferenciadetiempodemsdecincominutos,losclientesnopueden
identificarseoaccederarecursosenlared.Porlotanto,WindowstienelahoradeWindows
Servicio(w32time).Esteservicioseaseguradequeeltiemposesincronizaatravsdeldominiode
delasiguientemanera:
oLosmiembrosdedominiodeobtenereltiempodesucontroladordedominio.
LoscontroladoresdedominiooutilizarelemuladordePDCdesupropiodominioodesuspadres
32/39
17/10/2016
dominio.
oElemuladorPDCdeldominiorazdebeserconfiguradoconuntiempoexterno
fuente,comounproveedordetiempodeInternetutilizandoelprotocolodetiempodered(NTP).
Enentornosvirtualizadosdesincronizacindetiemponoestanfcilcomoenlosequiposfsicos.
Elmotordevirtualizacinregulaelusodeprocesamientocentraldelhostdevirtualizacin
unidades(CPU)yladistribuyeentrelasmquinasvirtualessegnseanecesario.Elrelojdela
38/45
pgina39
16/10/2016
sistemaoperativosebasaenciclosdeCPUestables,quenoexistenenlosentornosvirtuales.
Losmotoresdevirtualizacinrealizarlasincronizacinconlascomputadorasdelosinvitadospordefecto..
Cuandohostsdevirtualizacinnoparticipanenlasincronizacindetiempo,esprobablequeeldominio
eltiempoyeltiempodehostdevirtualizacinseconvertirenfueradesincronizacin.Mientrasquela
equiposfsicosparticipanenlasincronizacindetiempo,lasmquinasvirtualesserestablecenala
tiempoenelhostdevirtualizacin.Debeconfigurarelhostdevirtualizacinparaparticiparen
sincronizacindetiempoodesactivarlasincronizacindeloscontroladoresdedominiovirtualesparael
sincronizacindetiempoparaquefuncionecorrectamente.
Puntonicodefallo.LoscontroladoresdedominiodeADDSsonlaspiezasmsimportantesde
suinfraestructura.Sifallan,losusuariosnopuedeniniciarsesin,accederarecursosoaplicaciones,
yciertosserviciospodrannofuncionar,ascomootrasaplicacionesoservicios.
Cuandolavirtualizacindeloscontroladoresdedominio,esmuyimportantequenohayunnicopuntode
elfracasodesuinfraestructuradeADDScontroladordedominio.Configuracindetodosloscontroladoresdedominiocomo
servidoresvirtualesenelmismoclsterdevirtualizacinseconsideraunnicopuntodefallo.
Delmismomodo,elusoderedesSANreplicadasentreloscentrosdedatospuedeconvertirseenunpuntonicodefallo
sisereplicanlosdatoscorruptos.
SiloscontroladoresdedominiosedistribuyencomosemencionaenlaseccindeAfiliacindedominio,
seasegurardequenohayunnicopuntodefallo.Estoleahorrareltenerque
recuperartodoelbosquesialgolesucedeasuinfraestructuradevirtualizacin.
Pregunta:CuleslaraznparaespecificarlacontraseaDSRM?
Delaboratorio:Instalacindeloscontroladoresdedominio
Guin
Selehapedidoporelgestordelainstalacindeunnuevocontroladordedominioenelcentrodedatospara
signinmejorarelrendimiento.Selehapedidotambinparacrearunnuevocontroladordedominiopara
unasucursalmedianteelusodelaGIC.
objetivos
Despusderealizarestaprcticadelaboratorio,ustedsercapazde:
33/39
17/10/2016
39/45
pgina40
16/10/2016
Instalaruncontroladordedominio.
InstalaruncontroladordedominiomedianteelMFI.
configuracindelaboratorio
Tiempoestimado:45minutos
Maquinasvirtuales
20410CLONDC1
20410CLONSVR1
20410CLONRTR
20410CLONSVR2
Nombredeusuario
Adatum\Administrador
Contrasea
w0rdPa$$
Enestelaboratorio,quevaautilizarelentornodemquinavirtualdisponible.Antesdecomenzarlaprctica,
deberealizarlossiguientespasos:
1.
Enelequipohost,hagaclicenInicio,seleccioneHerramientasadministrativasy,acontinuacin,hagaclicHyper
VManager.
2.
EnHyperVManager,hagaclic20410CLONDC1y,enelpaneldeacciones,hagaclicenInicio.
3.
Enelpaneldeacciones,hagaclicenConectar.Esperehastaqueseinicielamquinavirtual.
4.
Accedeatravsdelassiguientescredenciales:
5.
Nombredeusuario:Administrador
Contrasea:Pa$$w0rd
Dominio:Adatum
Repitalospasos2a4para20410CLONSVR1,20410CLONRTR,y20410C
LONSVR2.
Ejercicio1:Instalacindeuncontroladordedominio
40/45
pgina41
16/10/2016
Guin
LosusuarioshanestadoexperimentandosigninslentosenLondresdurantetiemposdeusodepico.Elequiposervidor
hadeterminadoqueloscontroladoresdedominiosonabrumadoscuandomuchosusuariosestn
34/39
17/10/2016
autenticardeformasimultnea.Paramejorarelrendimientosignin,vaaaadirunnuevodominio
controladorenelcentrodedatosdeLondres.
Lasprincipalestareasparaesteejerciciosonlossiguientes:
1.
AadirunpapelactivoDirectoryDomainServices(ADDS)aunservidormiembro.
2.
Configurarunservidorcomocontroladordedominio.
3.
Configurarunservidorcomounservidordecatlogoglobal.
Tarea1:AgregarunpapelactivoDirectoryDomainServices(ADDS)aunmiembro
servidor
1.
EnLONDC1,enelAdministradordeservidores,aadirLONSVR1alalistadeservidores.
2.
AadirlafuncindeservidordeserviciosdedominiodeActiveDirectoryparaLONSVR1.Aadirtodo
Lascaractersticasnecesariascuandoselesolicite.
Lainstalacintardarvariosminutos.
3.
Cuandosecompletalainstalacin,hagaclicenCerrarparacerrarelAgregarrolesycaractersticas
Mago.
Tarea2:Configurarunservidorcomocontroladordedominio
EnLONDC1,utiliceelAdministradordeservidoresparapromoverLONSVR1auncontroladordedominioy
elegirentrelassiguientesopciones:
oAgregaruncontroladordedominioparaeldominioexistenteAdatum.com
outilizarlascredencialesdeAdatum\AdministradorconlacontraseaPa$$w0rd
o
41/45
pgina42
16/10/2016
Paralasopcionesdelcontroladordedominio,instaleelsistemadenombresdedominio,peroquitarel
laseleccindeinstalarelcatlogoglobal
oLacontraseadeDSRMesPa$$w0rd
oParatodaslasdemsopciones,utilicelasopcionespredeterminadas
Tarea3:Configurarunservidorcomounservidordecatlogoglobal
1.
IniciarsesinenLONSVR1comoAdatum\AdministradorconlacontraseaPa$$w0rd.
2.
UseSitiosyserviciosdeActiveDirectoryparahacerLONSVR1unservidordecatlogoglobal.
35/39
17/10/2016
Resultados:Despusdecompletaresteejercicio,sehanexploradoAdministradordeservidoresy
promovidounservidormiembroqueseauncontroladordedominio.
Ejercicio2:InstalacindeuncontroladordedominiomedianteelMFI
Guin
Ustedhasidoasignadoporlaadministracinparagestionarunadelasnuevassucursalesqueestn
estandoconfigurado.Unaconexinderedmsrpidoestprogramadoparaserinstaladoenunaspocassemanas.
Hastaesemomento,laconectividadderedesmuylenta.
Sehadeterminadoquelasucursalrequiereuncontroladordedominioparaapoyarlocales
signins.Paraevitarproblemasconlaconexinderedlenta,queestutilizandoparainstalarelMFI
elcontroladordedominioenlasucursal.
Lasprincipalestareasparaesteejerciciosonlossiguientes:
1.
UtilicelaherramientaNtdsutilparagenerarMFI.
2.
AadirlafuncindeADDSenelservidormiembro.
3.
UtilizarIFMparaconfigurarunservidormiembrocomounnuevocontroladordedominio.
42/45
pgina43
16/10/2016
Tarea1:UtilicelaherramientaNtdsutilparagenerarMFI
1.
EnLONDC1,abrirunainterfazdelneadecomandosdeadministracin,yutilizarNtdsutilpara
crearunacopiadeseguridaddeMFItantodelabasededatosdeADDSylacarpetaSYSVOL.los
loscomandosparacrearlacopiadeseguridadsonlossiguientes:
Ntdsutil
Activarntdsinstancia
ifm
Crearsysvolccompleto:\IFM
2.
EspereaqueelcomandodeMFIparacompletarycerrarelsmbolodelsistema.
Tarea2:AgregarlafuncindeADDSparaelservidormiembro
1.
CambiaraLONSVR2,yabrirunasesincomoAdatum\Administradorconlacontrasea
Pa$$w0rd.
36/39
17/10/2016
2.
AbraunsmbolodelsistemayasignarlaletradeunidadK:a\\LONDC1\C$\MFI.
3.
UtiliceelAdministradordelservidorparainstalarelroldeservidorADDSenLONSVR2.
Tarea3:UsodeMFIparaconfigurarunservidormiembrocomounnuevocontroladordedominio
1.
EnLONSVR2,enelsmbolodelsistemadecopiadeseguridadcopiarelMFIdeK:C:\IFM.
2.
EnLONSVR2,utiliceelAdministradordeservidoresconlassiguientesopcionespararealizarelcargo
configuracindelaimplementacindeADDS:
o
AadiruncontroladordedominioparaeldominioexistenteAdatum.com
UtiliceAdatum\AdministradorconlacontraseaPa$$w0rddecredenciales
UtilicePa$$w0rdlacontraseaDSRM
43/45
pgina44
16/10/2016
UtilicelosmediosdeMFIparaconfigurareinstalarADDS.UtilicelaubicacinC:\MFIpara
losmediosdecomunicacinMFI
o
3.
Aceptartodoslosdemsvalorespredeterminados
LONSVR2reiniciarparacompletarlainstalacindeADDS.
Resultados:Despusdecompletaresteejercicio,sehaninstaladoundominioadicional
controladordelasucursalmedianteelusodelaGIC.
Prepararseparaelsiguientemdulo
Cuandohayacompletadoellaboratorio,revertirlasmquinasvirtualesdevueltaasuestadoinicial.
Paraello,realicelossiguientespasos:
1.
Enelequipohost,inicieelAdministradorHyperV.
2.
Enlalistademquinasvirtuales,rightclick20410CLONDC1y,acontinuacin,hagaclicenRevertir.
3.
EnelcuadrodedilogoVirtualMachineRevert,hagaclicenRevertir.
4.
Repitalospasos2y3para20410CLONSVR1,20410CLONRTR,y20410CLON
SVR2.
37/39
17/10/2016
Preguntasderepasodelaboratorio
Pregunta:PorquseutilizaeladministradordelservidorynoDcpromo.execuandopromovido
unservidorparaqueseauncontroladordedominio?
Pregunta:Culessonlostresmaestrosdeoperacionesqueseencuentranencadadominio?
Pregunta:Culessonlosdosmaestrosdeoperacionesqueestnpresentesenunbosque?
Pregunta:CuleselbeneficiodelarealizacindeunIFMdeinstalaruncontroladordedominio?
44/45
pgina45
16/10/2016
Revisindelmduloycomidaparallevar
Preguntasderevisin
Pregunta:Culessonlosdosobjetivosprincipalesdelasunidadesorganizativas?
Pregunta:PorqusenecesitaparadesplegarunrboladicionalenelbosquedeADDS?
Pregunta:Qumtododeimplementacinusarasieranecesarioinstalarunadicional
controladordedominioenunaubicacinremotaquetenaunaconexinlimitadaWAN?
Pregunta:SiustednecesitaparapromoverunainstalacinServerCoredeWindowsServer2012
seruncontroladordedominio,quelaherramientaoherramientassepuedeutilizar?
38/39
17/10/2016
45/45
39/39

Módulo 2 - Introducción Al Índice de Servicios de Dominio de Active Directory - Descripción General Del Módulo

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Módulo 2 - Introducción Al Índice de Servicios de Dominio de Active Directory - Descripción General Del Módulo

Încărcat de

Drepturi de autor:

Formate disponibile

17/10/2016

S-ar putea să vă placă și