Documente Academic
Documente Profesional
Documente Cultură
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Pgina1
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Mdulo2:IntroduccinaldominiodeActiveDirectory
Servicios
Contenido:
Descripcingeneraldelmdulo
Leccin1:
VisingeneraldeADDS
Leccin2:
Descripcingeneraldeloscontroladoresdedominio
Leccin3:
Instalacindeuncontroladordedominio
Laboratorio:
Instalacindecontroladoresdedominio
Revisindelmduloycomidaparallevar
Descripcingeneraldelmdulo
ServiciosdedominiodeActiveDirectory(ADDS)ylosserviciosrelacionadossonlabasede
redesempresarialesqueseejecutansistemasoperativosWindows.LabasededatosdeADDSeselcentro
tiendadetodoslosobjetosdedominio,talescomocuentasdeusuario,cuentasdeequipoygrupos.ADDS
proporcionaundirectoriojerrquicodebsqueda,yproporcionaunmtodoparalaaplicacindeconfiguracin
ylaconfiguracindeseguridadparalosobjetosdelaempresa.EstemdulocubrelaestructuradeADDS
ysusdiversoscomponentes,comoelbosque,eldominioyunidadesorganizativas(OU).
ElprocesodeinstalacindeADDSenelservidorseharefinadoymejoradoconWindows
Server2012encomparacinconelprocesodeinstalacindeADDSconelanteriorservidordeWindows
sistemasoperativos.Estemduloexaminaalgunasdelasopcionesqueestndisponiblescon
WindowsServer2012parainstalarADDSenelservidor.
objetivos
Despusdecompletarestemdulo,elalumnosercapazde:
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
1/45
Pgina2
16/10/2016
https://translate.googleusercontent.com/translate_f
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
1/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
DescribirlaestructuradeADDS.
Describirelpropsitodeloscontroladoresdedominio.
Instalaruncontroladordedominio.
Leccin1:VisingeneraldeADDS
LabasededatosdeADDSalmacenainformacinsobrelaidentidaddelusuario,equipos,grupos,serviciosy
recursos.LoscontroladoresdedominiodeADDStambinrecibenelservicioqueautenticaalosusuariosy
lascuentasdeequipocuandoiniciansesineneldominio.DebidoaADDSalmacenainformacinacerca
todoslosobjetosdeldominio,ytodoslosusuariosylosequiposdebenconectarsealdominiodeADDS
controladorescuandoseiniciasesinenlared,ADDSeselmedioprincipalporelcual
puedeconfiguraryadministrarcuentasdeusuarioydeequipoenlared.
EstaleccincubreloscomponenteslgicosbsicosyloscomponentesfsicosquecomponenunAD
DespliegueDS.
Objetivosdelaleccin
Despusdecompletarestaleccinustedsercapazde:
DescribirloscomponentesdeADDS.
DescribirlosdominiosdeADDS.
Describirlasunidadesorganizativasysupropsito.
DescribirADDSbosquesyrboles,yexplicarcmosepuedeimplementarenunared.
ExplicarcmounesquemadeADDSproporcionaunconjuntodereglasquegestionanlosobjetosy
atributosquesealmacenanenlabasededatosdedominiodeADDS.
DescribirloqueesnuevoparaActiveDirectoryenWindowsServer2012R2.
VisingeneraldeADDS
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
2/45
Pgina3
16/10/2016
Lgico
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Descripcin
componente
https://translate.googleusercontent.com/translate_f
2/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
ADDSsecomponededoscomponenteslgicosyfsicos.Esnecesariocomprenderla
formaenqueloscomponentesdeADDStrabajanjuntosparaquepuedaadministrarsuinfraestructura
eficientemente.Adems,puedeutilizarmuchasotrasopcionesdeADDSpararealizaraccionescomoel
lainstalacin,configuracinyactualizacindeaplicaciones,lagestindelainfraestructuradeseguridad,loquepermite
ElaccesoremotoydeDirectAccess,ylaemisinygestindecertificadosdigitales.
UnadelasmsutilizadaslascaractersticasdeADDSesladirectivadegrupo,loquelepermiteconfigurar
polticascentralizadasquesepuedenutilizarparagestionarlamayoradeobjetosdeADDS.lacomprensindela
diversoscomponentesdeADDSesimportanteparaelusoconxitodedirectivadegrupo.
componenteslgicos
ADDScomponenteslgicossonestructurasqueseutilizanparaimplementarunActiveDirectory
diseoqueesadecuadoparaunaorganizacin.Lasiguientetabladescribelostiposde
estructuraslgicasqueunabasededatosdeActiveDirectorycontiene.
Lgico
Descripcin
componente
Dividir
UnaseccindelabasededatosdeADDS.AunquelabasededatosesunarchivollamadoNdts.dit,es
vistos,administradoyentantosejemplarescomosiconsistieraenseccionesoinstanciasdistintas.Estas
estnllamadosparticiones,quetambinseconocencomoloscontextosdenomenclatura.
Esquema
Elconjuntodedefinicionesdelostiposdeobjetosyatributosqueseutilizaparacrearobjetosen
ADDS.
Dominio
Uncontenedoradministrativoslgicosparausuariosyequipos.
rboldedominio
Unacoleccindedominiosquecompartenundominiorazcomnyunnombrededominiocontigua
Sistema(DNS).
Bosque
UnacoleccindedominiosquecompartenuncomnADDS.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
3/45
pgina4
16/10/2016
Lgico
Fsico
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Descripcin
componente
Sitio
Unacoleccindeusuarios,gruposyequiposcomosedefineporsuubicacinfsica.sitios
sontilesenlaplanificacindelastareasadministrativastalescomolareplicacindeloscambiosenelADDS
basededatos.
Unidadorganizacional
Unaunidadorganizativaesunobjetocontenedorqueproporcionaunmarcoparaladelegacin
(UNED)
derechosadministrativosyparavincularlosobjetosdedirectivadegrupo(GPO).
Envase
UncontenedoresunobjetoqueproporcionaunmarcodeorganizacinparasuusoenADDS.
LoscontenedoresnopuedentenerGPOvinculadosaellos.
componentesfsicos
LasiguientetablamuestraalgunosdeloscomponentesfsicosdeADDSydaunabreve
descripcindecadauno.
https://translate.googleusercontent.com/translate_f
3/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Fsico
Descripcin
componente
Controladordedominio ContieneunacopiadelabasededatosdeADDS.Paralamayoradelasoperaciones,cadacontroladordedominiopuede
cambiosenelprocesoyreplicarloscambiosatodoslosdemscontroladoresdedominiodel
dominio.
Almacndedatos
LosarchivosencadacontroladordedominioquecontienelabasededatosdeADDS.ElarchivoNtds.dit,y
asociadoarchivosderegistro,esunabasededatosMicrosoftJet,quesealmacenaeneldirectorioC:\Windows\NTDS
carpetapordefecto.
ServidordecatlogoglobalUncontroladordedominioquealojaelcatlogoglobal,queesunacopiaparcial,deslolecturadetodos
losobjetosenelbosque.Uncatlogoglobalaceleralasbsquedasdeobjetosquepodranser
almacenadaencontroladoresdedominioenundominiodiferentedelbosque.
dedominiodeslolecturaUnainstalacindeslolecturaespecialdeADDS.Estosseutilizanamenudoenlassucursalesdonde
controlador(RODC)
seguridadysoportedeTIsonmenosavanzadosqueenlosprincipalescentroscorporativos.
Lecturaadicional:Paraobtenermsinformacinacercadelosdominiosybosques,veaActive
DirectoriodeServiciosdedominiogeneralenhttp://go.microsoft.com/fwlink/?
Linkid=331086.
QusonlosdominiosdeADDS?
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
4/45
pgina5
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
LaADDSdominiocontienelosusuarios,equipos,grupos
UndominiodeADDSesuncontenedorlgicoutilizadoparagestionarusuario,equipo,grupo,yotra
objetos.
TodoslosobjetosdedominiosealmacenanenlabasededatosdeADDS,unacopiadelcualsealmacenaencada
controladordedominio.
HaymuchostiposdeobjetosenlabasededatosdeADDS,incluyendolascuentasdeusuario,equipo
cuentas,ygrupos.Lasiguientelistadaunabrevedescripcindeestostrestiposdeobjetos:
Cuentasdeusuario.Lascuentasdeusuariocontienenlainformacinnecesariaparaautenticaraunusuariodurante
signinelprocesoyparaconstruirlosusuarioselaccesotoken.
Lascuentasdeequipo.CadaequipodomainjoinedtieneunacuentaenADDS.Computadora
https://translate.googleusercontent.com/translate_f
4/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
cuentasseutilizanenlamismamateriaquelascuentasdeusuario,sloparaeldomainjoined
ordenadores.
Grupos.Losgruposseutilizanparaorganizarusuariosoequiposparaqueseamsfcildemanejar
permisosylapolticadelgrupoeneldominio.
EldominiodeADDSesunlmitedereplicacin
Cuandoserealizancambiosencualquierobjetoeneldominio,elcontroladordedominioenelqueelcambio
producidorplicasquecambianatodoslosdemscontroladoresdedominiodeldominio.Sihay
mltiplesdominiosdelbosque,slounsubconjuntodeloscambiossereplicanenotrosdominios.
ADDSutilizaunmodelodereplicacindevariosquepermiteacadacontroladordedominioparahacer
cambiosenlosobjetosdeldominio.LoscambiosenlagestinrelativaID(RID)enWindows
Servidordelaversin2012deActiveDirectoryDomainServices(WindowsServer2012Activo
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
5/45
Pgina6
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Directoriopermitenahoraunnicodominioparacontenercercade2milmillonesdeobjetos.Conestacapacidad,
lamayoradelasorganizacionespuedenimplementarunnicodominioaunquelasorganizacionesquetienen
estructurasadministrativasdescentralizadas,oquesedistribuyenatravsdemltiplesubicaciones,podran
considerarlaimplementacindemltiplesdominiosenelmismobosque.
EldominiodeADDSesuncentroadministrativo
Contieneunacuentadeadministradoryungrupodeadministradoresdedominio.Pordefecto,el
Cuentadeadministradoresunmiembrodelgrupodeadministradoresdedominioylosadministradoresdedominio
grupoesunmiembrodecadagrupodeadministradoreslocalesdeordenadoresdomainjoined.Tambin,por
Deformapredeterminada,losmiembrosdelgrupoAdministradoresdedominiotienenuncontroltotalsobrecadaobjetoenel
dominio.Lacuentadeadministradoreneldominiorazdelbosquetienederechosadicionalescomosedetalla
eneltema"QuesunbosquedeADDS?".
EldominiodeADDSproporcionaautenticacin
Cadavezqueunequipodomainjoinedseponeenmarcha,ounusuarioiniciasesinenunordenadordomainjoined,
ADDSellosautentica.Laautenticacinverificaelequipooelusuariotienelaadecuada
credencialesdeunacuentadeADDS.
LaADDSdominioproporcionaAutorizacin
SistemasoperativosWindowsutilizantecnologasdeautorizacinycontroldeaccesoparapermitir
losusuariosautenticadosparaaccederalosrecursos.Normalmentesellevaacaboelprocesodeautorizacin
localmenteenelrecurso.WindowsServer2012introducedinmicadeaccesodomainbased
Decontrolparapermitirlasreglasdeaccesocentralparacontrolarelaccesoalosrecursos.Reglasdeaccesocentraleshacen
Nosustituyalatecnologadecontroldeaccesoactual,sinoquesloproporcionaunniveladicionalde
controlar.
Culessonlasunidadesorganizativas?
https://translate.googleusercontent.com/translate_f
5/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
6/45
pgina7
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Unaunidadorganizativa(OU)esunobjetocontenedordentrodeundominioquesepuedeutilizarpara
consolidarlosusuarios,equipos,gruposyotrosobjetos.Estosnodebenconfundirseconlas
losobjetoscontenedoresgenricosenADDS.Ladiferenciaprincipalentreunidadesorganizativasycontenedores
sonlascapacidadesdegestin.Loscontenedoreshanlimitadolacapacidaddegestin,por
instancianosepuedeaplicardirectamenteunGPOauncontenedor.Tpicamenteloscontenedoresseutilizanpara
losobjetosdelsistemaycomolasubicacionespredeterminadasparalosnuevosobjetos.ConUOtienems
opcionesdegestinquedirectamentepuedevincularGPO,asigneunadministradordelaunidadorganizativayasociaruna
ParticinCOM+conunaunidadorganizativa.
SibiennohayunaopcindemenparalacreacindenuevoscontenedoresenlosusuariosdeActiveDirectoryy
Computadoras,puedecrearnuevasunidadesorganizativasenADDSencualquiermomento.Haydosrazonesparacrear
OU:
Paraconfigurarlosobjetosdelaunidadorganizativa.PuedeasignarGPOalaunidadorganizativa,ylosajustesseaplicana
todoslosobjetosdentrodelaOU.GPOsonlascondicionesquecreanlosadministradoresparagestionary
realicelaconfiguracindelascomputadorasy/ousuarios.LosGPOsedesplieganporsuvinculacina
Unidadesorganizativas,dominiosositios.
Paradelegarelcontroladministrativodelosobjetosdentrodelaunidadorganizativa.Puedeasignarlagestin
permisosenunaunidadorganizativa,delegandoaselcontroldeesaunidadorganizativaaunusuarioogrupodentrodeAD
DS,ademsdelgrupodeadministradores.
Puedeutilizarunidadesorganizativaspararepresentarlasestructurasjerrquicasylgicasdentrodesuorganizacin.por
ejemplo,puedecrearunidadesorganizativasquerepresentanlosdepartamentosdentrodesuorganizacin,la
regionesgeogrficasdentrodesuorganizacin,ounacombinacindeambosdepartamentosy
regionesgeogrficas.Puedeutilizarunidadesorganizativasparagestionarlaconfiguracinyelusodelusuario,grupo,y
cuentasdeequipoenbaseasumodelodeorganizacin.
CadadominiodeADDScontieneunconjuntoestndardecontenedoresyunidadesorganizativasquesecreacuando
instalarADDS,algunosdelosobjetospredeterminadossonutilizadosprincipalmenteporADDSyestnocultos
alavistapordefecto.Lalistaincluyeelseguimientodelosobjetosquesonvisiblespordefecto:
Dominio.Sirvecomoelnivelsuperiordelajerarquadelaorganizacindedominio.
contenedorintegrados.Almacenaunnmerodegrupospredeterminados.
https://translate.googleusercontent.com/translate_f
6/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
7/45
pgina8
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Computadorascontenedor.Laubicacinpredeterminadadelascuentasdeequiponuevoquesecreaenel
dominio.
Controladoresdedominiounidadorganizativa.Laubicacinpredeterminadaparaelequiporepresentaeldominio
cuentasdeequipocontrolador.EstaeslanicaOUqueestpresenteenunanuevainstalacinde
ADDS.
ForeignSecurityPrincipals.Laubicacinpredeterminadadelosobjetosdeconfianzadedominiosexternos
elbosquedeADDS.Estossuelensercreadoscuandounobjetadodesdeundominioexternoes
aadidoaungrupoeneldominiodeADDS.
cuentasdeservicioadministradas.Laubicacinpredeterminadaparacuentasdeservicioadministradas.Ungestionado
cuentadeservicioeslacuentadedominioenADDSproporcionaautomticadecontraseas
administracin.
contenedordeusuarios.Laubicacinpredeterminadaparalasnuevascuentasdeusuarioygruposquesecreanen
eldominio.Elcontenedordeusuariostambinllevaacabolascuentasdeadministradorydelahuspedparael
dominio,yalgunosgrupospredeterminados.
Hayvarioscontenedoresqueslosepuedenvercuandoseseleccionalasfuncionesavanzadas
enelmenVer.Lasiguientelistaincluyelosobjetosqueestnocultospordefecto:
Objetosperdidos.Esterecipientecontieneobjetosquehanquedadohurfanos.
Programarinformacin.EsterecipientecontienelosdatosdeActiveDirectoryparalasaplicacionesdeMicrosoft,
ServiciosdefederacindeActiveDirectorycomo(ADFS).
Sistema.Esterecipientecontienelaconfiguracindelsistemaincorporado.
LascuotasDTN.Esterecipientecontienelosdatosdecuotadeserviciodedirectorio.
LosdispositivosdeTPM.EstecontenedoresunanovedaddeWindowsServer2012.Almacenalarecuperacin
informacinparadispositivosTrustedPlatformModule(TPM).
Nota:LoscontenedoresenundominiodeADDSnopuedetenerGPOvinculadosaellos.paraenlazar
GPOparaaplicarlasconfiguracionesyrestricciones,creanunajerarquadeunidadesorganizativas,yluego
vincularGPOaellos.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
8/45
pgina9
16/10/2016
Diseojerarqua
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Eldiseodeunajerarquadeunidadesorganizativasestdictadaporlasnecesidadesadministrativasdelaorganizacin.los
diseopodraestarbasadaenlasclasificacionesgeogrficas,funcionales,derecursos,odeusuario.Loquesea
elorden,lajerarquadebehacerposibleadministrarlosrecursosdeADDSconlamismaeficacia
https://translate.googleusercontent.com/translate_f
7/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
yconlamayorflexibilidadposible.Porejemplo,sitodoslosequiposquelosadministradoresdeTI
suusodebeestarconfiguradodeunamaneradeterminada,puedeagrupartodoslosequiposdeunaunidadorganizativa,yluego
asignarunGPOparaadministraresosequipos.
Tambinsepuedencrearunidadesorganizativasdentrodeotrasunidadesorganizativas.Porejemplo,suorganizacinpuedetener
mltiplesoficinas,ycadaoficinapuedetenerunconjuntodeadministradoresdeTIquesonresponsablesde
lagestindecuentasdeusuarioyequipoensuoficina.Adems,cadaoficinapodratener
diferentesdepartamentoscondiferentesrequisitosdeconfiguracindelequipo.Enestasituacin,
sepodracrearunaunidadorganizativaparacadacargo,yluegodentrodecadaunadeesasunidadesorganizativas,crearunaunidadorganizativapara
losadministradoresdeTIylasunidadesorganizativasparacadaunodelosotrosdepartamentos.
AunquenohayunlmitetcnicoparaelnmerodenivelesenlaestructuradeOU,parala
propsitodelaadministracin,limitarsuestructuradeunidadesorganizativasaunaprofundidaddenomsde10niveles.Ms
organizacionesutilizancinconivelesomenosparasimplificarlaadministracin.TengaencuentaqueactivaDirectory
aplicacioneshabilitadaspuedenimponerrestriccionesalaprofundidadunidadorganizativadentrodelajerarquadela
partesdelajerarquaqueutilizan.
QuesunbosquedeADDS?
Unrboldedominioesunacoleccindeunoomsdominiosquecompartenunespaciodenombrescontiguo.UN
bosqueesunacoleccindeunoomsrbolesdedominiosquecompartenunesquemadedirectoriocomny
catlogoglobal.Elprimerdominioquesecreaenelbosquesellamaeldominiorazdelbosque.
Eldominiorazdelbosquecontieneunospocosobjetosquenoexistenenotrosdominiosdelbosque.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOwn...
9/45
pgina10
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Dadoqueestosobjetossecreansiempreenelprimercontroladordedominiocreado,unbosquepuede
consistirdetanpococomoundominioconunnicocontroladordedominio,o
quepuedeconstardecientosdedominiosatravsdemltiplesrboles.Estosobjetosquesloexistenenel
dominiorazdelbosquesoncomosigue:
Lafuncindemaestrodeesquema.Setratadeunpapelespecialforestwidecontroladordedominio.Solohay
unmaestrodeesquemaentodoelbosque.Elesquemasepuedecambiarsloenelcontroladordedominio
quetieneelmaestrodeesquema.
Lafuncindemaestrodenombresdedominio.Esteestambinespecialforestwidefuncindecontroladordedominio.
Slohayunmaestrodenombresdedominioencualquierbosque.Losnuevosnombresdedominiopuedenseraadidosa
https://translate.googleusercontent.com/translate_f
8/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
eldirectoriosloporelmaestrodenombresdedominio.
ElgrupoAdministradoresdeorganizacin.Deformapredeterminada,elgrupoAdministradoresdeorganizacintienela
Cuentadeadministradordeldominiorazdelbosquecomomiembro.Administradoresdeempresa
grupoesunmiembrodelgrupodeadministradoreslocalesencadadominiodelbosque.Esta
permitealosmiembrosdelgrupoAdministradoresdeorganizacinquetienenderechosadministrativosdecontrolcompleta
acadadominioentodoelbosque.
ElgrupoAdministradoresdeesquema.Deformapredeterminada,elgrupoAdministradoresdeesquemanotienemiembros.Solamente
losmiembrosdelgrupoAdministradoresdeorganizacinpuedenagregarmiembrosalgrupoAdministradoresdeesquema.
LosmiembrosdelgrupoAdministradoresdeesquemasonlosnicosadministradoresquepuedenrealizarcambios
alesquema.
Lmitesdeseguridad
UnbosquedeADDSesunlmitedeseguridad.Pordefecto,nohayusuariosdefueradelbosquepuede
accederalosrecursosdentrodelbosque.Normalmenteunaorganizacincrearunnicobosque,
aunquepuedecrearvariosbosquesparaaislarlospermisosadministrativosentre
diferentespartesdelaorganizacin.
Pordefecto,todoslosdominiosdeunbosqueconfiarautomticamenteenlosotrosdominiosdelbosque.Esta
Hacequeseafcilparahabilitarelaccesoarecursostalescomorecursoscompartidosdearchivosysitioswebparatodoslosusuariosenuna
bosque,independientementedeldominioenelqueseencuentralacuentadeusuario.
LareplicacindeLmites
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
10/45
pgina11
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
UnbosquedeADDSesellmitedereplicacinparalasparticionesdeesquemayconfiguracinde
labasededatosdeADDS.Estosignificaquetodosloscontroladoresdedominiodelbosquedebencompartirelmismo
esquema.Debidoaestolasorganizacionesquedeseanimplementaraplicacionesconincompatibles
esquemastendrnqueimplementarlosbosquesadicionales.
ElbosquedeADDSestambinellmitedereplicacinparaelcatlogoglobal.Elcatlogoglobal
proporcionalacapacidaddeencontrarobjetosdecualquierdominiodelbosque.Seutilizaelcatlogoglobal
siemprenombreprincipaluniversal(UPN)seutilizancredencialesdesesinalahoradebuscarohasta
losusuariosdeMicrosoftExchangeServerlibretasdedirecciones.
CuleselesquemadeADDS?
https://translate.googleusercontent.com/translate_f
9/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
ElesquemadeADDSeselcomponentequedefinetodaslasclasesdeobjetosyatributosqueADDS
utilizaparaalmacenardatos.AvecesserefierecomoelmodeloparaADDS.Elesquemaes
replicadoentretodosloscontroladoresdedominiodelbosque.Cualquiercambioquesehagaenelesquema
sereplicaentodosloscontroladoresdedominiodelbosquedeltitulardemaestrodeesquema,porlogeneral
elprimercontroladordedominiodelbosque.
ADDSalmacenayrecuperainformacindeunaampliavariedaddeaplicacionesyservicios,sinoque
haceesto,enparte,mediantelaestandarizacindecmosealmacenanlosdatosen
eldirectoriodeADDS.Mediantelaestandarizacindecmosealmacenanlosdatos,ADDSsepuedenrecuperar,actualizary
replicarlosdatos,altiempoquegarantizaquelaintegridaddelosdatossemantiene.
Objetos
ADDSutilizaobjetoscomounidadesdealmacenamiento.Todoslostiposdeobjetossedefinenenelesquema.Cadavez
queeldirectoriomanejalosdatos,eldirectoriodeconsultaelesquemaparaunobjetoapropiado
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
11/45
pgina12
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
definicin.Sobrelabasedeladefinicindelobjetoenelesquema,eldirectoriosecreaelobjetoy
almacenalosdatos.
Definicionesdeobjetosespecificantantolostiposdedatosquelosobjetossepuedenalmacenar,ylasintaxisde
losdatos.SlosepuedencrearobjetosdeADDSqueestndefinidosporelesquema.Porqueel
losdatossealmacenanenunformatodefinidodeformargida,ADDSsepuedenalmacenar,recuperaryvalidarlosdatosque
quegestiona,independientementedelaaplicacindelosdatosdeprocedencia.
Relacionesentreobjetos,reglas,atributosyclases
EnADDS,elesquemadefinelosiguiente:
Losobjetosqueseutilizanparaalmacenardatoseneldirectorio
Lasreglasquedefinenlaestructuradelosobjetos
Estructuraycontenidodeldirectorioensmismo
ADobjetosdelesquemaDSconstandeatributos,queseagrupanenclases.Cada
clasetienereglasquedefinenquatributossonobligatoriosyquesonopcionales.Porejemplo,
laclasedeusuariosecomponedemsde400atributosposibles,incluidoscn(elnombrecomn
atribuir),givenName,idioma,objectSIDygerente.Deestosatributoscny
objectSIDatributossonobligatorios,yelatributocnsedefinecomounnicovalorUnicode
Cadenade1a64caracteresdelongitudysereplicaenelcatlogoglobal.
Hacercambiosenelesquema
SlomiembrosdelgrupoAdministradoresdeesquemapuedemodificarelesquemadeADDS.Nopuedes
https://translate.googleusercontent.com/translate_f
10/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
eliminarcualquiercosadesdeelesquemadeADDS,slosepuedeampliarelesquemadeADDSutilizaDA
ExtensionesdelesquemaDS,omodificarlosatributosdelosobjetosexistentes.Porejemplo,cuandose
seestnpreparandoparainstalarExchangeServer2013debeaplicarelExchangeServer2013
Lasextensionesdeesquema.Estaextensinaadeomodificamsde200clasesymsde100diferentes
atributos.
Dadoqueelesquemadictacmosealmacenalainformacin,ydebidoaloscambiosqueestn
hechoalesquemaafectaacadacontroladordedominio,sedebenhacercambiosenelesquema
slocuandoseanecesario.Antesdehacercambios,deberevisarloscambiosatravsdeuna
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
12/45
pgina13
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
firmementeprocesocontrolado,yluegoponerlasenprcticaslodespusdehaberrealizadopruebaspara
asegurarqueloscambiosnoafectarnnegativamentealrestodelbosqueytodaslasaplicacionesque
usarADDS.
Elmaestrodeesquemaesunodelosmaestronicoflexibleoperaciones(FSMO)queson
alojadaenunnicocontroladordedominiodeADDS.Debidoaquesetratadeunsolomaestro,usteddebehacer
cambiosenelesquemadefocalizacindelcontroladordedominioquetieneelmaestrodeesquema.
LoqueesnuevoparaWindowsServer2012ActiveDirectory?
WindowsServer2012ActiveDirectory(WindowsServer2012DC)incluyemuchos
mejorasymejorasrespectoalasversionesanteriores.Algunasdeestasmejorastienen
haaadidoparaayudaracontrolarlaproliferacindedispositivosdeconsumoenellugardetrabajo.por
ejemplo,paraproporcionaralosusuariosunamaneramsfcildeintegrarsusdispositivosdeconsumoenel
lugardetrabajo,lasnuevascaractersticasdellugardetrabajodeIngresoywebproxydeaplicacinsellevaronacabo.
Adems,laseguridadentornoalautilizacindedispositivosdeconsumoenellugardetrabajohasidomejorada
controldeaccesoyautenticacindemltiplesfactoresmltiplessellevaronacaboparagestionarel
elriesgoasociadoconpermitirquelosdispositivosdeconsumoparaparticipareneldominio.
Ingresolugardetrabajo
WindowsServer2012R2permitealosusuariosunirseasusdispositivospersonalesparaeldominio.Ambos
AparatosydispositivosWindowsbasediOSbasedpuedenunirseaunequipoconWindowsServer2012R2based
dominio.ElusodeunacaractersticadeServiciosdefederacindeActiveDirectory(ADFS)llamadosdispositivos
ServiciodeRegistro(DRS)dispositivopersonaldeunusuariosepuederegistrarenADDS.elDRS
serviciocrearunobjetodeADDSparaeldispositivoyemitiruncertificadoaldispositivoquees
utilizadaparaautenticareldispositivo.SiseutilizantantoDRSyelProxydelaaplicacinWeb,cualquier
https://translate.googleusercontent.com/translate_f
11/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
dispositivoconunaconexinaInternetpuedeserellugardetrabajoseuni.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
13/45
pgina14
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Cuandoundispositivopersonalesellugardetrabajoseunialosadministradorespueden:
tipodereclamacin
Descripcin
UselainformacinsobreeldispositivoquesealmacenaenADDSyconfigurarcondicional
acceso.
Proporcionarunaexperienciaperfectaparalosusuariosquetienenaccesoarecursosdelaempresade
ellugardetrabajoseunidispositivos.
Proporcionaruniniciodesesinnicoenlaexperiencia(SSO)paraaccederalosrecursos.
WebApplicationProxy
WebApplicationProxyesunnuevoserviciodefuncindeaccesoremotoquesepuedeutilizarparaproporcionar
usuariosexternostenganaccesoaaplicacionesyqueseejecutaenlosservidoresinternosdesdecualquierlugaryencualquiermomento.Web
Proxydelaaplicacinsepuedeutilizarcondispositivospersonalesquehansidounidaslugardetrabajo,as
comopropiedaddelacompaaordenadoresporttiles,telfonosinteligentesyotrosdispositivos.WebProxydelaaplicacinda
losadministradoresuncontrolmsdetalladoqueunaredprivadavirtualtradicional(VPN),porque
LosusuariosslopuedenaplicacionesdeaccesoquesehanpublicadoaellosatravsdelaaplicacinWeb
Apoderado.SepuedeaplicarseguridadadicionalatravsdeWebProxydelaaplicacinparacontrolaranmsla
aplicacionesqueelusuariopuedeteneracceso.WebProxydelaaplicacinrequiereelusodeADFSyutilizaADFS
caractersticastalescomoSSO.
ControldeAccesomultifactorial
netelugardetrabajoywebproxydeaplicacintantoparausoADFS,lafuncinprincipaldeADFS
esemitirtokensdeaccesoquecontienenafirmaciones.Claimsbasedautenticacinseutilizaampliamente
enaplicacionesyservicioscloudbased.AutenticacinClaimsbasedessimilaralatradicional
procesodeautenticacinutilizadoenundominiodeWindowsladiferenciafuncionalprincipalesque
lasealdeseguridadclaimsbasedsloincluyequineselusuarioynodefinenada
quepuedenhacer.ADFSevalalassolicitudesdereclamosquepuedenestarbasadosenunoomsfactores.Un
aplicacinqueutilizalaautenticacinclaimsbasedtambinseconocecomodependerdeaplicacionesdeterceros.Ah
sonmsde50factoresqueADFSpuedenutilizarparaautenticarunasolicituddereclamo,algunosdeesosfactores
son:
tipodereclamacin
Descripcin
Direccindecorreoelectrnico Direccindecorreoelectrnicodelusuario.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
14/45
pgina15
16/10/2016
tipodereclamacin
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Descripcin
https://translate.googleusercontent.com/translate_f
12/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Nombre
Elnombredelusuario,quedebesernico.
Papel
Unpapelqueelusuariohasidoasignado.
Laseguridadgrupoprimario
ElgrupoprimarioSIDdelusuario.
identificador(SID)
Editor
ElnombredelaautoridaddecertificacinqueemitielcertificadoX.509.
Laaplicacindeusuariodeconfianzadefineloqueelusuariosercapazdehacersobrelabasedelainformacin
enlareclamacin.
HayvariasventajasdeutilizarelcontroldeaccesodemltiplesfactoresenADFS,incluyendo:
Puedepermitirodenegarelaccesobasadoenelusuario,dispositivo,ubicacin,estadodeautenticacino
otrosfactoresmedianteelusodelaspolticasdeautorizacinperapplicationflexiblesygranulares.
Sepuedencreardiferentesreglasparacadaaplicacinmediantelaemisinindividuo
reglasdeautorizacinparaconfiaraplicacionesdeotrosfabricantes.
Puedeofrecerunaexperienciadeinterfazdeusuarioricaparalosescenariosdemltiplesfactorescomunesalosusuariospor
mediantelaautenticacinbasadaenlawebdeADFSconformaspersonalizablesparaalgunoscomunes
escenarios.
ParaescenariosmscomplejospuedeusarWindowsPowerShellparadesarrollarsusreglasporlas
utilizandoellenguajericoreclamacionesyWindowsPowerShell.
Sepuedepediralosusuariosporqususolicitudfuerechazadaynoslomostrarunaccesogenrico
denegadomensajemedianteindividual,accesopersonalizadonegmensajesdepartequeconfa
aplicaciones.
Lecturaadicional:Paraobtenermsinformacinacercadecmoadministrarelriesgoconmltiples
factordecontroldeacceso,verelartculo"Descripcingeneral:manejarelriesgomultifactorialcon
Controldeacceso"enhttp://go.microsoft.com/fwlink/?LinkID=331088.
autenticacindemltiplesfactores
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
15/45
pgina16
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
ADFStienemltiplesmtodosdeautenticacinquesepuedenutilizarparacrearflexibles
escenariosdeautenticacinestosescenariosdeautenticacinflexiblespermitenelaccesoasususos
recursosdelaempresaenmsformas.Sepuedecrearunapolticadeautenticacinglobalqueseaplicaalas
todoslosintentosdeaccesoopuedecrearreglasdeautenticacinpersonalizadosparaparticulares,ADFS
recursosgarantizados.Encargo,lasnormasdeautenticacindeaplicacionesdetercerosperrelyingnoanulan
reglasdeautenticacinglobales.Puedeconfigurarlasreglasdeautenticacinpararequerirsolamenteuna
mtododeautenticacinprimaria,oparautilizarlaautenticacindefactoresmltiples.Alcreartanto
normasglobalesyperrelyingautenticacindeaplicacionesdeterceros,sibienlareglaglobalo
normaespecficaaplicacinrequiereelusodelaautenticacindemltiplesfactores,acontinuacin,elusuarioser
https://translate.googleusercontent.com/translate_f
13/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
requeridoparautilizarautenticacindemltiplesfactores.
Alcrearunapolticaglobaldeautenticacinsepuedeconfigurarlossiguientesparmetros:
mtododeautenticacinprimaria.Deformapredeterminada,lasconexionesexternasutilizanlaautenticacindeformularios
ylasconexionesinternasutilizanlaautenticacindeWindows.
Configuracinymtodosparalaautenticacindemltiplesfactores.Puedeconfigurarlascondicionesde
enlasqueseutilizalaautenticacindefactoresmltiples,yqumtododeautenticacinadicional
seutiliza.Puedeutilizarcertificadodeautenticacin,comoporejemploconunatarjetainteligente,uotratercera
mtodosdeautenticacinpartido.
Silaautenticacindedispositivosesthabilitada.Estaopcinseutilizaconellugardetrabajonetey
permiteconfigurareldispositivocomounfactordeautenticacinsecundaria.
Alconfigurarperrelyingreglasdeautenticacindeaplicacionesdetercerospuedeconfigurarel
lasiguienteconfiguracin:
Silosusuariostienenqueproporcionarcredencialescadavezqueaccedan
Losajustesdeautenticacindemltiplesfactoresparalaaplicacinusuariodeconfianza
Losparmetrossobrelosquepuedenbasarselasnormasdeautenticacindemltiplesfactoresincluyenlossiguientes:
LosusuariosogruposeneldirectoriodeADDS
Ellugardetrabajoseuniestadodelosdispositivos
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
16/45
pgina17
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
LaconexinsiendodelaintranetodeInternet
UntrabajodelEscenarioPrincipal
Estascaractersticastrabajanjuntosparamejorarengranmedidauntrabajodesdeelhogarescenario.Enunaobratpica
delescenariodelacasaquenoutilizalasnuevascaractersticasdescritasanteriormente,losusuariosseconectan
atravsdeunaVPNalaredcorporativa.Ellospuedenserobligadosautilizardosfactores
deautenticacin,talcomounatarjetainteligente,peroquesloprotegelaconexin.Unavezqueestn
conectadospuedenaccederacualquiercosaquepudieranaccederdesdedentrodelaredcorporativa.
Losdepartamentosdeseguridadengeneral,tienenvariaspreocupacionessobreeltrabajodelosprogramasdevivienda:
Sonlosusuariosqueaccedenalaredcorporativadesdeunsistemasegurooestnenunamenor
sistemaseguroquesepuedeencontrar,porejemplo,enlasbibliotecaspblicas?
Losusuariostienenaccesoalosarchivosconfidencialesyselesdescargandoensuslocales
https://translate.googleusercontent.com/translate_f
14/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
sistema?
Cmosonlosusuariosqueaccedenaplicacionesdelneadenegocio(LOB)?
Culessonsusconfiguracionesdeprotectordepantalla,sicaminanlejosdelacomputadora,esfcil
paraalguienmsquesubiryusarlo?
CuandoseutilizaelnuevoWindowsServer2012R2caractersticaspuedepermitiralosusuariostrabajar
desdecasa,mientrasquetodavamantieneuncontrolsegurosobreloquepuedenacceder.Losusuariosutilizan
Ingresolugardetrabajoparaaadirsussistemaspersonalesparaeldominioacontinuacin,laconfiguracindeseguridadpuedenser
configuradoparavariosescenariosdiferentes.Porejemplo,ciertosarchivospuedenserconfiguradospara
sloseraccesibledesdeellugardetrabajoseunialosusuariosdeordenador,olosarchivospodransersensibles
configuradoparaseraccesiblesloapartirdesistemasdedominiounido.
Delmismomodo,lasaplicacionesdelneadenegociopuedenserpublicadosatravsdelproxydeaplicacionesWeb,utilizandolosreclamos
sedefineatravsdemltiplesfactoresdecontroldeaccesoparaespecificarloquelosusuariosestnautorizadosahacerloenel
aplicaciones.Ademsautenticacindemltiplesfactoressepuedeespecificarparaciertasaplicacionesparaayudaraasegurar
elusuarioapropiadoestejecutandolasaplicaciones.
Leccin2:Visingeneraldeloscontroladoresdedominio
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
17/45
pgina18
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Debidoaqueloscontroladoresdedominioseautenticantodoslosusuariosyequiposdeldominio,eldominio
eldesplieguedelcontroladoresfundamentalparaelcorrectofuncionamientodelared.
Estaleccinexaminaloscontroladoresdedominio,elprocesosignin,ylaimportanciadeDNSen
eseproceso.Adems,estaleccinseanalizalafinalidaddelcatlogoglobal.
Todosloscontroladoresdedominiosonesencialmentelosmismos,condosexcepciones.RODCscontienenunalectura
nicacopiadelabasededatosdeADDS,mientrasqueotroscontroladoresdedominiotienenunacopiadelectura/escritura.
Tambinhayciertasoperacionesqueslosepuedenrealizarenloscontroladoresdedominioespecficos
llamadosmaestrosdeoperaciones,quesediscutenalfinaldeestaleccin.
Objetivosdelaleccin
Despusdecompletarestaleccin,ustedsercapazde:
Describirelpropsitodeloscontroladoresdedominio.
Describirelpropsitodelcatlogoglobal.
DescribirelprocesosigninADDS,ylaimportanciadelosregistrosDNSSRVyenel
signinproceso.
DescribirlafuncionalidaddelosregistrosSRV.
Explicarlasfuncionesdelosmaestrosdeoperaciones.
https://translate.googleusercontent.com/translate_f
15/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Quesuncontroladordedominio?
UncontroladordedominioesunservidorqueestconfiguradoparaalmacenarunacopiadeldirectoriodeADDS
basededatos(NTDS.dit)yunacopiadelacarpetaSYSVOL.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
18/45
pgina19
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Todosloscontroladoresdedominio,exceptoRODCsalmacenanunacopiadelectura/escrituradeambosNTDS.dityla
carpetaSYSVOL.Ntds.diteslapropiabasededatos,ylacarpetaSYSVOLcontienetodala
laconfiguracinylosarchivosdeplantilladeGPO.
Loscontroladoresdedominioutilizanunprocesodereplicacindevariosparalamayoradelasoperaciones,losdatospuedenser
modificadoencualquiercontroladordedominio,exceptoenlosRODC.ElserviciodereplicacindeADDSacontinuacin,
sincronizaloscambiosquesehanhechoalabasededatosdeADDSparatodoslosdemsdominios
Loscontroladoresdedominio.LascarpetasdeSYSVOLsereplicanyaseaporlareplicacindearchivos
Servicio(FRS),omediantelareplicacindenuevosistemadearchivosdistribuido(DFS).
LoscontroladoresdedominiorecibanavariosotrosserviciosrelacionadosconActiveDirectory,incluidala
serviciodeautenticacinKerberos,queesutilizadoporusuarioydeequiporepresentasignin
autenticacin,yelCentrodedistribucindeclaves(KDC),queemitelaticketgranting
entradas(TGT)aunacuentaqueiniciasesineneldominiodeADDS.Opcionalmente,puedeconfigurar
controladoresdedominioparaalojarunacopiadelcatlogoglobal.
ExistentodoslosusuariosenundominiodeADDSenlabasededatosdeADDS,silabasededatosnoestdisponiblepara
cualquierrazntodaslasoperacionesenfuncindeautenticacindomainbasedfallarn.Comomejor
laprctica,undominiodeADDSdebetenerunmnimodedoscontroladoresdedominio.estoapoya
altadisponibilidaddelabasededatosdeADDSydistribuyelacargadeautenticacinduranteelregistrodepico
Entiempos.
Nota:Doscontroladoresdedominiodebenconsiderarseunmnimoabsoluto.
Alimplementaruncontroladordedominioenunasucursaldondelaseguridadfsicaesmenosde
ptimo,hayalgunasmedidasadicionalesquesepuedenutilizarparareducirelimpactodeunaviolacin
deseguridad.UnaopcinconsisteenimplementarunRODC.
ElRODCcontieneunacopiadeslolecturadelabasededatosdeADDS,ypordefecto,nolohace
cachdeloscontraseasdeusuario.PuedeconfigurarelRODCparaalmacenarencachlascontraseasdelosusuariosde
https://translate.googleusercontent.com/translate_f
16/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
lasucursal.SiunRODCsevecomprometida,laposibleprdidadeinformacinesmucho
menorqueconuncontroladordedominiocompletodelectura/escritura.OtraopcinesutilizarWindows
BitLockerDriveEncryptionparacifrareldiscodurodelcontroladordedominio.Sieldiscoduroest
robados,elcifradoBitLockeraseguraquehayunaprobabilidadmuybajadequeunusuariomalintencionado
obtenertodalainformacintildeella.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
19/45
pgina20
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Nota:BitLockeresunsistemadecifradodelaunidadqueestdisponibleparaWindowsServer
sistemasoperativos,yparaciertasversionesdelsistemaoperativoclienteWindows.
BitLockerdeformaseguraencriptatodoelsistemaoperativoparaqueelordenadornopuede
empezarsinquesesuministraunaclaveprivaday(opcionalmente)quepasaaunacomprobacindeintegridad.
Undiscopermanececifrada,inclusosilatransferenciaaotroequipo.
Queselcatlogoglobal?
Elcatlogoglobalesunacopiaparcial,deslolectura,debsquedadetodoslosobjetosenelbosque.
Seaceleralasbsquedasdeobjetosquepuedanseralmacenadosenloscontroladoresdedominiodeunamaneradiferente
dominiodelbosque.
Dentrodeunsolodominio,labasededatosdeADDSencadacontroladordedominioquecontienetodala
informacinsobretodoslosobjetosdeesedominio,peroslounsubconjuntodeestainformacines
replicadoalosservidoresdecatlogoglobalenotrosdominiosdelbosque.Dentrodeundominiodado,una
consultadeunobjetosedirigeaunodeloscontroladoresdedominiodeesedominio,peroesaconsulta
nopuedeproporcionarningnresultadoparalosobjetosdeotrosdominiosdelbosque.Paraunaconsultaqueincluya
losresultadosdeotrosdominiosdelbosquedebeconsultaruncontroladordedominioqueesunmundial
servidordecatlogo.Demanerapredeterminada,elnicoservidordecatlogoglobalqueestalojadaeselprimerdominio
enelcontroladordedominiorazdelbosque.Paramejorarlabsquedaatravsdedominiosenunbosque,
debeconfigurarcontroladoresdedominioadicionalesparaalmacenarunacopiadelcatlogoglobal.
Elcatlogoglobalnocontienetodoslosatributosparacadaobjeto.Ensulugar,elcatlogoglobal
mantieneelsubconjuntodeatributosquesonmspropensosasertilesenbsquedascrossdomain.
EstosatributosincluyenGivenName,idioma,yelcorreo.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
20/45
https://translate.googleusercontent.com/translate_f
17/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
pgina21
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Hayunavariedadderazonesporlasquepodrarealizarunabsquedacontrauncatlogoglobalenvez
queuncontroladordedominioquenoesuncatlogoglobal.Porejemplo,cuandounservidorquees
queejecutaExchangeServerrecibeuncorreoelectrnicoentrante,tienequebuscareldestinatariode
cuentaparaquepuedadecidircmoencaminarelmensaje.Alconsultarautomticamenteunmundial
catlogo,elservidorqueejecutaExchangeServerescapazdelocalizareldestinatarioenunmltiplo
entornodedominio.Enotroejemplo,cuandounusuarioiniciasesinasuActiveDirectory
cuenta,elcontroladordedominioquevaarealizarlaautenticacindebeponerseencontactoconunmundial
catalogarparacomprobarsihayuniversalespertenenciasantesdequesehayaautenticadoelusuario.
Enunsolodominio,todosloscontroladoresdedominiodebenestarconfiguradosparamantenerunacopiadeloglobal
catlogosinembargo,enunentornodedominiomltiple,elmaestrodeinfraestructuranodebeseruna
servidordecatlogoglobalamenosquetodosloscontroladoresdedominiodeldominiosontambindecatlogoglobal
servidores.Qucontroladoresdedominioestnconfiguradosparamantenerunacopiadelcatlogoglobaldepende
eneltrficodereplicacinyanchodebandadered.Muchasorganizacionesestnoptandoporhacertodolo
controladordedominiodeunservidordecatlogoglobal.
Pregunta:Siuncontroladordedominiodeseruncatlogoglobal?
ElProcesoADDSSignin
CuandounusuarioiniciasesinenADDS,susistemaseveenDNSpararegistrosderecursosdeservicio(SRV)
paralocalizarelcontroladordedominioadecuadomsprximo.registrosSRVespecificaninformacinacerca
serviciosdisponibles,yseregistranenDNSparatodosloscontroladoresdedominio.MedianteelusodeDNS
operacionesdebsqueda,losclientespuedenencontraruncontroladordedominioadecuadoparadarservicioasuspeticionesdesesina.Siel
signintienexito,laautoridaddeseguridadlocal(LSA)construyeuntokendeaccesoparaelusuarioque
contienelosSIDparaelusuarioycualquiergrupodelqueelusuarioesmiembro.eltoken
proporcionalascredencialesdeaccesoparacualquierprocesoiniciadoporeseusuario.Porejemplo,despusde
iniciarsesinenADDS,unusuarioejecutaMicrosoftWordeintentaabrirunarchivo.Wordutilizala
credencialesentokendeaccesodelusuarioparaverificarelniveldelospermisosdelusuarioparaesearchivo.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
21/45
pgina22
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Nota:UnSIDesunacadenanicaenformadeSRXY1Y2Yn1Yn.Porejemplo,una
Componente
Definicin
Enelejemplo
SIDdeusuariopodraser:S152132234671212560851321900709958500.
LaspartesdeesteSIDseexplicanenlasiguientetabla:
https://translate.googleusercontent.com/translate_f
18/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Componente
Definicin
Enelejemplo
IndicaquelacadenaesunSID
Nivelderevisin
valordeautoridaddeunidentificador
5(NTAuthority)
Y1Y2Yn1
identificadordedominio
2132234671212560851321900709958
Yn
ELIMINAR
500
CadacuentadeusuarioyelordenadorytodoslosgruposquesecreatieneunSIDnico.Ellos
slosediferencianunasdeotrasenvirtuddelanicaRID.ElSIDenelejemploesunpozo
SIDconocidoparalacuentadeadministradordedominio.SIDbienconocidossonutilizadosporeldefecto
cuentasygrupos,delacuentadeadministradordedominioSIDsiempreterminacon500.
sitios
Sitiossonutilizadosporunsistemaclientecuandotienequeponerseencontactoconuncontroladordedominio.Comienza
mirandohaciaarribaregistrosSRVenDNS.LarespuestaalaconsultaDNSincluir:
Unalistadeloscontroladoresdedominioenelmismositioqueelsistemacliente
Sinohaycontroladoresdedominiodisponiblesenelsitiodelalistaseincluyeeldominio
LoscontroladoresdelasiguientesitiomscercanoquenoincluyeunRODC,siesthabilitadaenelTry
SiguientecercanoSitiodirectivadegrupo
Sinoseencuentrauncontroladordedominioenelsiguientesitiomscercano,unalistaaleatoriadedominiodisponible
controladoreseneldominio
LosadministradorespuedendefinirsitiosdeADDS.Sitiosgeneralmentesealineanconlaspartesdelared
quetienenunabuenaconectividadyanchodebanda.Porejemplo,siunaoficinaestconectadaala
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
22/45
pgina23
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
principalcentrodedatosporunareddereaextensanofiable(WAN),queseramejorparadefinir
elcentrodedatosylasucursalcomositiosseparadosenADDS.
registrosSRVestnregistradosenDNSporelserviciodesesinderedqueseejecutaencadadominio
controlador.SinoseintroducenlosregistrosSRVenDNScorrectamente,puededesencadenareldominio
ControladorvolvieraaregistraresosregistrosreiniciandoelservicioNetLogonenesedominio
controlador.EsteprocesoslosevuelvearegistrarlosregistrosSRVsideseavolveraregistrarelhost(A)
informacindelosregistrosdeDNS,debeejecutaripconfig/registerdnsdesdeunsmbolodelsistema,simplemente
comosisetrataradecualquierotroordenador.
Aunqueelprocesosigninsemuestraalusuariocomounsoloevento,secomponerealmentede
dospartes:
https://translate.googleusercontent.com/translate_f
19/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Elusuarioproporcionacredenciales,porlogeneralunnombredecuentadeusuarioyunacontrasea,queluegose
cotejarseconlabasededatosdeADDS.Sielnombredecuentadeusuarioylacontraseacoincidenconel
informacinquesealmacenaenlabasededatosADDS,elusuarioseconvierteenunusuarioautenticado
yseemiteunTGTporelcontroladordedominio.Enestepunto,elusuarionotieneaccesoa
cualquierrecursodelared.
UnprocesosecundarioenelfondopresentaelTGTparaelcontroladordedominioy
lassolicitudesdeaccesoalamquinalocal.Elcontroladordedominioemiteunvaledeservicioal
usuario,queesentoncescapazdeinteractuarconelordenadorlocal.Enestepuntoenelproceso,la
usuarioseautenticaaADDSyhainiciadosesinenelequipolocal.
Cuandounusuariointentaposteriormenteparaconectarseaotroequipodelared,el
procesosecundarioseejecutadenuevo,yelTGTseenvaalcontroladordedominiomscercano.
Cuandoelcontroladordedominiodevuelveunvaledeservicio,elusuariopuedeaccederalacomputadoraenel
red,quegenerauneventodeiniciodesesineneseequipo.
Nota:UnordenadordomainjoinedtambininiciasesinenADDScuandoseiniciaunhechoquees
amenudosepasaporalto.Novelatransaccincuandoelequipoutilizasuordenador
nombredecuentayunacontraseaparainiciarsesinenADDS.Unavezautenticado,elordenador
seconvierteenunmiembrodelgrupodeusuariosautenticados.Aunqueelordenadorconectarse
eventonotieneningunaconfirmacinvisualdeunainterfazgrficadeusuario,queseregistraenelregistrodeeventos.
Adems,siesthabilitadalaauditora,loseventosadicionalesseregistranenelregistrodeseguridaddela
Visordeeventos.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
23/45
pgina24
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Demostracin:ParavisualizarlosregistrosSRVenDNS
LademostracinmuestracmomostrarlosdiferentestiposderegistrosSRVquela
controladoresdedominioregistranenDNS.EstosregistrossoncrucialesparalaformaenADDSporqueopera
queseutilizanparaencontrarloscontroladoresdedominioparainiciarsesin,cambiarcontraseas,ylaedicin
GPO.registrosSRVtambinsonutilizadosporloscontroladoresdedominioparaencontrarasociadosdereplicacin.
PasosdedemostracinVerlosregistrosSRVmedianteelAdministradordeDNS
1.
EnLONDC1,iniciasesinconlacuentadeusuarioAdatum\Administradorylacontrasea
Pa$$w0rd.
2.
AbralaventanadelAdministradordeDNS,yexplorarlosdominiosDNSsubrayado.
3.
VerlosregistrosSRVqueestnregistradosporloscontroladoresdedominio.
Estosregistrosproporcionancaminosalternativosparaquelosclientespuedandescubrirlos.
Culessonlosmaestrosdeoperaciones?
https://translate.googleusercontent.com/translate_f
20/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Apesardetodosloscontroladoresdedominiocontienenlamismainformacin,hayciertainformacinque
queslopuedesermodificadaenuncontroladordedominioenparticular.Existenlascincooperaciones
maestros,uoperacionesdemaestronicoflexible(FSMO).
LasfuncionesFSMOayudanaprevenirconflictosenADDSdebidoalalatenciadereplicacin.Alhacer
cambiosenlosdatosdecualquieradelasfuncionesFSMOquedebenconectarsealcontroladordedominioque
ejerceenelpapel.
LascincofuncionesFSMOsedistribuyendelasiguientemanera:
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
24/45
pgina25
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Cadabosquetieneunmaestrodeesquemayun
dominiomaestrodenombres.
CadadominiodeADDStieneunmaestrodeRID,unmaestrodeinfraestructura,yunaprimaria
controladordedominio(PDC).
Maestrosdeoperacionesforestales
Lassiguientessonlasfuncionesdemaestroindividualesqueseencuentranenunbosque:
dominiomaestrodenombres.Esteeselcontroladordedominioquesedebeestablecercontactocuandoseagrega
oeliminarundominio,ocuandoserealizancambiosdenombresdedominio.
Sielmaestrodenombresdedominionoestdisponible,ustednosercapazdeaadirdominiosadicionales
albosque.
Maestrodeesquema.Esteeselcontroladordedominiodondesehacentodosloscambiosdeesquema.Parahacer
cambiosquenormalmenteseiniciasesinenelmaestrodeesquemacomomiembrotantodelesquema
AdministradoresygruposAdministradoresdeorganizacin.Unusuarioqueesunmiembrodeestosdosgrupos
yquetienelospermisosadecuadostambinpodramodificarelesquemamedianteelusodeunasecuenciadecomandos.
Sielmaestrodeesquemanoestdisponible,ustedserincapazderealizarcambiosenelesquema,lo
impediralainstalacindeaplicacionesquerequierencambiosdeesquema,comoMicrosoft
Servidordeintercambio.
OperacionesdedominioMasters
Lassiguientessonlasfuncionesdemaestroindividualesqueseencuentranenundominio:
https://translate.googleusercontent.com/translate_f
21/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Identificacinrelativo(RID)maestro.SiemprequesecreaunobjetoenADDS,elcontroladordedominio
dondeelobjetosecreaelobjetoasignaunnmerodeidentificacinnicoqueseconocecomounSID.
ParaasegurarsedequenohaydoscontroladoresdedominioasignanelmismoSIDadosobjetosdiferentes,la
maestrodeRIDasignabloquesdeRIDacadacontroladordedominiodentrodeldominioparautilizar
cuandolaconstruccindelaSID.
SielmaestrodeRIDnoestdisponible,ustedpuedeexperimentardificultadesconlaadicindenuevosobjetosala
dominio.ComocontroladoresdedominiodeutilizarsusRIDexistentesconeltiemposequedasin
RIDydeserincapazdecrearnuevosobjetos.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
25/45
pgina26
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Maestrodeinfraestructura.Estafuncinmantienereferenciasaobjetosentredominios,comoporejemplocuandouna
grupoenundominiocontieneunmiembrodeotrodominio.Enestasituacin,la
maestrodeinfraestructuraesresponsabledemantenerlaintegridaddeestareferencia.por
ejemplo,cuandonosfijamosenlapestaadeseguridaddeunobjeto,elsistemabuscaelSIDque
seenumeranylastraduceennombres.Enunbosqueconvarios,elmaestrodeinfraestructura
mirahaciaarribaSIDdeotrosdominios.
Sielmaestrodeinfraestructuraescontroladoresdedominionodisponibles,quenosoncatlogosglobales
nosercapazdecomprobarlapertenenciaagruposuniversalesynosercapazdeautenticar
usuarios.
Elpapeldelainfraestructuranodeberesidirenunservidordecatlogoglobal,amenosquetengauna
bosquededominionico.Laexcepcinescuandosesiguenlasmejoresprcticasyhacertodolo
controladordedominiodeuncatlogoglobal.Enesecaso,noserequierelafuncindeinfraestructura
debidoaquecadacontroladordedominiosabeacercadecadaobjetoenelbosque.
controladordedominioprincipal(PDC)maestroemulador.Elcontroladordedominioquedesempeala
PDCemuladoreslafuentedetiempoparaeldominio.LosemuladoresdePDCencadadominioenuna
bosquesincronizarsutiempoconelemuladorPDCeneldominiorazdelbosque.Seestableceel
EmuladorPDCeneldominiorazdelbosqueparasincronizarconunrelojatmicoexterna
fuente.
ElemuladorPDCestambinelcontroladordedominioquerecibeloscambiosdecontraseaurgentes.Siuna
lacontraseadelusuariosecambia,lainformacinseenvainmediatamentealcontroladordedominio
sostieneelemuladorPDC.Estosignificaquesielusuariohaintentadoposteriormenteasesinyse
fueronautenticadosporuncontroladordedominioenunlugardiferentequeannohabanrecibido
unaactualizacindelanuevacontrasea,elcontroladordedominioenlaubicacinenlaqueelusuario
tratadodesesinpondraencontactoconelcontroladordedominioqueelemuladorPDCycomprobar
loscambiosrecientes.SielemuladorPDCnoestdisponible,losusuariospuedentenerproblemasparainiciarsesinen
hastaquesucambiodecontraseasehareplicadoentodosloscontroladoresdedominio.ElemuladorPDC
TambinesutilizadocuandolaedicindeGPO.CuandoseabreunGPOquenoseaunGPOlocalparalaedicin,
lacopiaqueseeditaeslaqueestalmacenadaenelemuladorPDC.Estosehaceparaevitar
conflictossidosadministradoresintentaroneditarelmismoGPOalmismotiempoendiferentes
loscontroladoresdedominio.Sinembargo,puedeoptarporutilizaruncontroladordedominioespecficopara
GPOdeedicin.EstoesespecialmentetilparaeditarGPOenunaoficinaremotaconunalenta
conexinconelemuladordePDC.
https://translate.googleusercontent.com/translate_f
22/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Nota:Elcatlogoglobalnoesunadelasfuncionesdemaestro.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
26/45
pgina27
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Nota:LascincofuncionesFSMOtambinseconocencomo:
maestrodeoperacionesdeesquema
maestrodeoperacionesdenombresdedominio
maestrodeoperacionesdeinfraestructura
maestrodeoperacionesdeRID
maestrodeoperacionesdeemuladorPDC
Leccin3:Instalacindeuncontroladordedominio
AvecesesnecesarioinstalarloscontroladoresdedominioadicionalesenWindowsServer2012
dominio.Hayvariasrazonesqueustedpuedehaceresto:
Necesitarecursosadicionalesenunsitioporqueloscontroladoresdedominioexistentesestnsobrecargadosdetrabajo.
Estabriendounanuevaoficinaremotaquerequiereparaimplementarunoomsdedominio
controladores.
Ustedestcreandounasituacinderecuperacindedesastresfueradelsitio.
Elmtododeinstalacinqueseutilizavarasegnlascircunstancias.
Estaleccinexaminavariasformasdeinstalarloscontroladoresdedominioadicionalescomolainstalacin
ADDSenunamquinalocalyenunservidorremotomedianteelAdministradordelservidor,lainstalacindeADDS
enunainstalacinServerCore,ylainstalacindeADDSmedianteunainstantneadelaADDS
basededatosquesealmacenaenunmedioextrable.Estaleccintambinexaminacmoactualizaruna
controladordedominiodesdeunsistemaoperativoWindowsanterioraWindowsServer2012.
FinalmenteAzuredeWindowsActiveDirectory(WindowsAzureAD)ycmoinstalarundominio
SediscutecontroladorenWindowsAzure.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
27/45
pgina28
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Objetivosdelaleccin
Despusdecompletarestaleccin,ustedsercapazde:
https://translate.googleusercontent.com/translate_f
23/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Explicacmoinstalaruncontroladordedominiomediantelainterfazgrficadeusuario.
ExplicacmoinstalaruncontroladordedominioenunainstalacinServerCoredeWindowsServer
2012.
Explicacmoactualizaruncontroladordedominiomedianteinstalacindesdeunmedio.
Explicacmoinstalaruncontroladordedominiomedianteinstalacindesdeunmedio.
DescribirWindowsAzureAD.
ComprendercmoimplementarcontroladoresdedominioenWindowsAzure.
InstalacindeuncontroladordedominiodesdeelAdministradordelservidor
ConWindowsServer2008yversionesanteriores,eraunaprcticacomnparainiciarelActivo
AsistenteparainstalacindeServiciosdedominiodedirectorioconlaherramientaDcpromo.exeparainstalardominio
controladores.
Pero,apartirdeWindowsServer2012,ActiveDirectoryDomainServicesInstalacin
AsistentehasidotrasladadoalAdministradordeservidoresyelusodeDcpromo.exesloseadmitepara
automatizacindelegado.Elprocesodepromocindecontroladordedominioesunprocesodedospasos.Primerot
esnecesarioinstalarlosarchivosquelafuncindecontroladordedominioutiliza,acontinuacin,instalareldominio
mismafuncindecontrolador.
Nota:ElAsistentedeActiveDirectoryDomainServicesInstalacin(quepuedeser
abiertodesdelalneadecomandosescribiendodcpromo.exe)esobsoletoenprincipio
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
28/45
pgina29
16/10/2016
WindowsServer2012.
Pregunta
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
comentarios
Antesdeinstalarunnuevocontroladordedominioesnecesariotenerlasrespuestasalasiguiente
preguntas.
Pregunta
comentarios
Vaainstalarunnuevobosque,unnuevoLarespuestaaestapreguntadeterminarquinformacinadicional
rboloundominioadicional
puedeserquenecesite,talescomoelnombredeldominioprincipal.
Controladorparaundominioexistente?
https://translate.googleusercontent.com/translate_f
24/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
CuleselnombreDNSparaelanuncio Cuandosecreaelprimercontroladordedominioparaundominioquedebe
DSdominio?
especificarelnombrededominiocompleto(FQDN).Cuandovaaaadiruna
controladordedominioaundominioexistenteobosquedeldominioexistente
Lainformacinserfacilitadaenelasistente.
CmoserelnivelfuncionaldelbosqueElnivelfuncionaldelbosquedeterminalascaractersticasforestalesquesern
fijarseen?
disponibleyelsistemaoperativodelcontroladordedominiocompatible.Estotambin
estableceelnivelfuncionaldeldominiomnimoparalosdominiosdelbosque.
CmoserelnivelfuncionaldedominioElnivelfuncionaldeldominiodeterminalascaractersticasdedominioqueser
fijarseen?
disponibleyelsistemaoperativodelcontroladordedominiocompatible.
SerelcontroladordedominioserunDNS
SuDNSdebeestarfuncionandobienparaapoyarADDS.
servidor?
Elcontroladordedominiodelasededela
Estaopcinestseleccionadapordefectoparaelprimercontroladordedominioenunbosque
catlogoglobal?
ynopuedesercambiado.
Serelcontroladordedominio
Estaopcinnoestdisponibleparaelprimercontroladordedominioenunbosque.
RODC?
Cmosernlosserviciosdedirectorio Estoesnecesarioparasercapazderecuperacindelabasededatosdedirectorioactivodesdeuna
Restaurarseaelmodo(DSRM)?
apoyo.
CuleselnombredeNetBIOSparael Alcrearelprimercontroladordedominioparaundominiodebeespecificarel
DominiodeADDS?
NombreNetBIOSdeldominio.
Dndeestarlabasededatos,archivosderegistroy
Deformapredeterminada,labasededatosyderegistrodecarpetasdearchivosesC:\Windows\NTDS.Por
puedencrearcarpetasdeSYSVOL?
pordefectolacarpetaSYSVOLesC:\Windows\SYSVOL.
CuandoseejecutaelAdministradordeservidoresenelsistemalocaldeinstalarlafuncindeADDS.Alfinalde
elprocesodeinstalacininicial,losarchivosdeADDSseinstalaADDS,peroannoestconfiguradoen
eseservidor.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
29/45
pgina30
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
ParaconfigurarADDS,esnecesarioconfigurarlomedianteelusodeActiveDirectoryDomainServices
Asistentedeconfiguracin.SeiniciaelasistentehaciendoclicenelenlacedeADDSenelAdministradordeservidores.
Elasistentelepermitirrealizarunadelassiguientesoperaciones:
Aadiruncontroladordedominioaundominioexistente
Aadirunnuevodominiodeunbosqueexistente
Aadirunnuevobosque
Lospasosespecficosqueustedsigueenelrestodelasistentedependedelaoperacinquedesea
completar.
Nota:SinecesitarestaurarlabasededatosdeADDSapartirdeunacopiadeseguridad,reinicieeldominio
controladorenDSRM.CuandoelcontroladordedominioseponeenmarchanoseestejecutandoelADDS
servicios,encambio,seestejecutandocomounservidormiembrodeldominio.Parainiciarsesinenquese
servidorenausenciadeADDS,iniciesesinutilizandoelmododerecuperacindeserviciosdedirectorio
contrasea.
https://translate.googleusercontent.com/translate_f
25/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Nota:WindowsServer2012respaldaladuplicacindeservidoresADDS.Antesdeserclonadouna
ADDSSeverdebesermiembrodelgrupocontroladoresdedominioCloneable.
Adems,elemuladorPDCdebeestarenlneaydisponibleparaelclonadodeCC,y
debeejecutarWindowsServer2012.
InstalacindeuncontroladordedominioenunainstalacinServerCore
deWindowsServer2012
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
30/45
pgina31
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
HayvariasopcionesparaconfigurarunservidorWindows2012ServerqueejecutaServidor
Corecomouncontroladordedominio.SinlainterfazgrficadeusuariodelAdministradordeservidores,esnecesarioutilizar
mtodosalternativosparainstalarlosarchivosdelafuncindecontroladordedominioyparainstalareldominio
mismafuncindecontrolador.
ParainstalarlosarchivosdeADDSenelservidorpuederealizarunadelassiguientesacciones:
UseelAdministradordeservidorparaconectarsedeformaremotaalservidorServerCoreeinstalarADDS
papelcomosedescribeeneltemaanterior.
UtiliceloscomandosADDomainServicesInstallWindowsFeaturedeWindowsPowerShell
parainstalarlosarchivos.
DespusdeinstalarlosarchivosdeADDS,puedecompletartodoexceptoelhardwaredela
lainstalacinylaconfiguracinenunadelassiguientesmaneras:
UsodelAdministradordelservidorparainiciarelAsistentedeconfiguracindeserviciosdedominiodeActiveDirectory
comosedescribeeneltemaanterior
CargarelmdulodeServiciosdeimplementacindedominiodeActiveDirectoryconWindows
PowerShellcomandoImportModuleADDSDeployment.Acontinuacin,ejecuteWindows
PowerShellcomandoInstallADDSDomainControllerysuministrarlanecesaria
informacinsobrelalneadecomandos.
https://translate.googleusercontent.com/translate_f
26/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Lecturaadicional:ParaobtenermsdetallessobreelusodeWindowsPowerShell
comandoInstallADDSDomainControllerverelartculo"InstalarActiveDirectory
Serviciosdedominio(Nivel100)"enhttp://go.microsoft.com/fwlink/?LinkID=331087.
Consulteelsitiosiguienteparaobtenermsinformacin:
ADDSdeimplementacindecmdletsdeWindowsPowerShell,http://go.microsoft.com/fwlink/?
Linkid=331089
Laactualizacindeuncontroladordedominio
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
31/45
pgina32
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
PuedeactualizaraundominiodeWindowsServer2012enunadedosmaneras.Puedeactualizarel
sistemaoperativoenloscontroladoresdedominioexistentesqueseejecutaWindowsServer2008o
WindowsServer2008R2.Comoalternativa,puedeagregarservidoresdeWindowsServer2012como
controladoresdedominioenundominioqueyacuentaconloscontroladoresdedominioqueejecutananterior
versionesdeWindowsServer.Delosdosmtodos,seprefierelasegunda,porquecuandose
acabado,tieneunainstalacinlimpiadelsistemaoperativodeWindowsServer2012yelAD
labasededatosDS.
CadavezqueseaadeunnuevocontroladordedominiodeldominioDNSseactualizanlosregistrosylosclientes
serencontraryutilizarestecontroladordedominioinmediatamente.
LaactualizacinaWindowsServer2012
ParaactualizarundominiodeADDSqueseestejecutandoenunnivelfuncionalanteriordeWindowsServerpara
undominiodeADDSenmarchaen2012elnivelfuncionaldeWindowsServer,primerodebeactualizar
todosloscontroladoresdedominioenelsistemaoperativoWindowsServer2012.Puedellevaracabo
estaactualizacinmediantelamejoradetodosloscontroladoresdedominioexistentesaWindowsServer2012,o
mediantelaintroduccindenuevoscontroladoresdedominioqueejecutanWindowsServer2012,yluego
laeliminacingradualdeloscontroladoresdedominioexistentes.
Unaactualizacindelsistemaoperativoinplacenorealizaautomticadelesquemaydedominio
preparacin.PararealizarunaactualizacininsitudeunequipoquetienelafuncindeADDSinstalado,
primerodebeutilizarloscomandosdelalneadecomandosadprep.exe/forestprepyadprep.exe
/Domainprepparaprepararelbosqueydominio.Adprep.exeseincluyeenlainstalacin
mediosdecomunicacinenlacarpeta\Support\Adprep.Nohaypasosdeconfiguracinadicionalesdespusdeeso
https://translate.googleusercontent.com/translate_f
27/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
punto,ypuedecontinuarparaejecutarelServer2012actualizacindelsistemaoperativodeWindows.
CuandosepromueveunservidordeWindowsServer2012paraseruncontroladordedominioenunayaexistente
dominio,yquehayaaccedidocomomiembrodelosAdministradoresdeesquemayAdministradoresdeempresa
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
32/45
pgina33
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
grupos,elesquemadeADDSseactualizarnautomticamenteaWindowsServer2012.Eneste
escenario,noesnecesarioparaejecutarloscomandosdeAdprep.exeantesdecomenzarlainstalacin.
LaimplementacindecontroladoresdedominiodeWindowsServer2012
ParaactualizarelsistemaoperativodeuncontroladordedominiodeWindowsServer2008aWindows
Server2012,lleveacabolossiguientespasos:
1.
InserteeldiscodeinstalacindeWindowsServer2012,yluegoejecutarelprogramadeinstalacin.
ElAsistenteparalainstalacindeWindowsconeltiemposeabrir.
2.
Despusdelapginadeseleccindeidioma,hagaclicenInstalarahora.
3.
DespusdelapginaSeleccindelsistemaoperativoylapginadeaceptacindelicencia,enel
Qutipodeinstalacindesea?pgina,hagaclicenActualizar:InstalarWindowsy
mantenerlosarchivos,configuracionesyaplicaciones.
Nota:Conestetipodeactualizacin,nohaynecesidaddeconservarlaconfiguracindelosusuariosy
reinstalarlasaplicaciones,todoesinsitumejorado.Recuerdamirar
compatibilidaddehardwareysoftwareantesderealizarlaactualizacin.
ParaintroducirunainstalacinlimpiadeWindowsServer2012comouncontroladordedominio,realiceel
siguientespasos:
1.
ImplementaryconfigurarunanuevainstalacindeWindowsServer2012yunirloal
dominio.
2.
Promoverelnuevoservidorparaqueseauncontroladordedominioeneldominiomedianteelusodelservidor
Manager2012ounodelosotrosmtodosdescritosanteriormente.
3.
ActualizacindelaconfiguracindeDNSdeclientequeseestrefiriendoalcontrolador(s)dedominiodeedadparautilizarel
nuevocontroladordedominio.
Nota:puedeactualizardirectamentedesdeWindowsServer2008yWindows
Server2008R2aWindowsServer2012.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
33/45
pgina34
16/10/2016
https://translate.googleusercontent.com/translate_f
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
28/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Instalacindeuncontroladordedominiomedianteinstalacindesdeunmedio
Siustedtieneunareddeintervencinqueeslenta,pocofiable,ocostoso,puedequeleresulte
necesarioaadirotrocontroladordedominioenunaubicacinremotaosucursal.Enesto
escenario,amenudoesmejorparaimplementarADDSaunservidormediantelainstalacindesdeunmedio(IFM)
Mtodo.
Porejemplo,siseconectaaunservidorqueestenunaoficinaremotayutilizarelAdministradordeservidoresde
instalarADDS,tienequecopiarlabasededatosdeADDSylacarpetaSYSVOLala
nuevocontroladordedominioatravsdeunaconexinWANpotencialmentepocofiables.Comounaalternativa,y
parareducirsignificativamentelacantidaddetrficoquesemueveatravsdelenlaceWAN,sepuedehaceruna
copiadeseguridaddeADDS(talvezaunaunidadUSB)ytomarestacopiadeseguridadalaubicacinremota.Cuando
ustedestenellugaryplazodelAdministradordelservidorremotoparainstalarADDS,sepuedeseleccionarel
opcinparalainstalacindesdelosmediosdecomunicacin.Lamayorpartedelacopiaacontinuacin,sellevaacaboanivellocal,yeselenlaceWAN
utilizasloparaeltrficoylaseguridadparagarantizarqueelnuevocontroladordedominiorecibeningn
loscambiosqueserealizaronenelcentrodeADDSdespusdecrearlacopiadeseguridaddeMFI.
ParainstalaruncontroladordedominiomedianteelMFI,verauncontroladordedominioquenoesuna
RODC.UtilicelaherramientaNtdsutilparacrearunainstantneadelabasededatosdeADDS,yluegocopiarel
instantneaenelservidorquesepromueveauncontroladordedominio.UtiliceelAdministradordeservidoresde
promoverelservidorauncontroladordedominioseleccionandolaopcinInstalardesdelosmediosdecomunicacin,yluego
proporcionandolarutalocalaldirectorioMFIquehacreadoanteriormente.
Elprocedimientoeselsiguiente:
1.
Enelcontroladordedominiocompleto,enunsmbolodelsistemaadministrativo,escribalosiguiente
comandos(dondeC:\MFIeseldirectoriodedestinoquecontendrlainstantneade
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
34/45
pgina35
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
labasededatosdeADDS):
Ntdstil
Activarntdsinstancia
ifm
crearSYSVOLcompletaC:\MFI
https://translate.googleusercontent.com/translate_f
29/39
17/10/2016
2.
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Enelservidorqueustedestpromoviendoauncontroladordedominio,realiceelsiguiente
pasos:
a.
UtiliceelAdministradordeservidoresparaagregarlafuncindeADDS.
segundo.
EspereaquelosarchivosdeinstalacindeADDS.
do.
EnAdministradordelservidor,hagacliceneliconodenotificacinybajoposterioralaimplementacin
Configuracin,hagaclicenPromoveresteservidorauncontroladordedominio.
ElAsistentedeconfiguracindeserviciosdedominiodeActiveDirectoryseejecuta.
re.
Enlapginacorrespondientedelasistente,seleccionelaopcindeinstalardesdeelMFI,y
acontinuacin,proporcionarlarutalocalaldirectoriodeinstantneas.
3.
ADDSinstalaacontinuacindelainstantnea.
4.
Cuandosereiniciaelcontroladordedominio,quehagacontactoconotroscontroladoresdedominiodeldominio
yactualizacionesdeADDSconloscambiosquesehicierondesdelacreacindelainstantnea.
Lecturaadicional:ParaobtenermsinformacinsobrelospasosnecesariosparainstalarAD
DS,veaInstalarlosServiciosdedominiodeActiveDirectory(Nivel100)a
http://go.microsoft.com/fwlink/?LinkID=266739.
QuesWindowsAzureActiveDirectory?
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
35/45
pgina36
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
WindowsAzureActiveDirectory(WindowsAzureAD)esunservicioqueproporcionalaidentidad
gestinycontroldeaccesoparasusaplicacionescloudbased.WindowsAzureADes
seutilizacuandosesuscribeaMicrosoftOffice365,ExchangeOnline,MicrosoftSharePoint
Enlnea,oMicrosoftLyncenlnea.Adems,WindowsAzureADsepuedeutilizarcon
AplicacionesdeWindowsAzureoInternetconectadosaplicacionesquerequierenautenticacin.Ustedpuede
sincronizarsusonpremisesADDSconWindowsAzureADparapermitirquelosusuariosutilicenel
mismaidentidadatravsdeambosrecursosinternosyrecursoscloudbased.
https://translate.googleusercontent.com/translate_f
30/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
WindowsAzureADnoincluyetodoslosserviciosdisponiblesconunventanasonpremises
solucindeADServer2012.WindowsServer2012ADescompatibleconcincoserviciosdiferentes:
ServiciodedominiodeActiveDirectory(ADDS)
ActiveDirectoryLightweightDirectoryService(ADLDS)
ActiveDirectorydeserviciodefederacin(ADFS)
ActiveDirectoryServiciodecertificados(ADCS)
ServiciodeGestindeDerechosdeActiveDirectory(ADRMS)
WindowsAzureADsloincluye:
WindowsAzureADquesoportalagestindeidentidadesenlanube
WindowsAzureAccesoalServiciodeControlquesoportafederacinconidentidadexterna
serviciosdegestin,incluidoelanuncioonpremisesDS
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
36/45
pgina37
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
WindowsAzureADnoescompatibleconaplicacionesintegradasDirectorioActivo,para
aplicacionesparaintegrarseconWindowsAzureADtienenqueserescritoparaWindowsAzure
ANUNCIO.
LaimplementacindecontroladoresdedominioenWindowsAzure
WindowsAzureproporcionainfraestructuracomoservicio(IaaS),queenesenciaeslavirtualizacin
enlasnubes.Todaslasconsideracionesparalavirtualizacindeaplicacionesyservidoresenonpremises
infraestructuraseaplicaalaimplementacindelasmismasaplicacionesyservidoresaWindowsAzure.
Nota:WindowsServer2012ADquetiene
hadesplegadoenWindowsAzurenoeselmismoqueWindowsAzureAD.
WindowsServer2012ADquesehadesplegadoenWindowsAzureessuspropiosrolesy
https://translate.googleusercontent.com/translate_f
31/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
servicios(ADDS,ADLDS,ADFS,ADCS,yADRMS),quesehandesplegadoen
WindowsAzure.
AlimplementarADDSenWindowsAzureustedesresponsabledemantenertodo
exceptoelhardware.
WindowsAzureADesunservicioqueMicrosofthaconfiguradoenlanube.Notiene
todaslasfuncionesqueundConpremisesDStiene,sinoqueseocupaprincipalmentedelaidentidad
gestinycontroldeacceso.
ConWindowsAzureADustedsloesresponsabledelagestindesusdatos.
WindowsServer2012sehadiseadoparaqueseafcilparaustedparaintegrarloenlanube
sistemasbasados.Unadelasdecisionesmsimportantesqueunadministradordebetomaressi
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
37/45
pgina38
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
laorganizacindebeutilizarIaaSdenubepblica,latecnologadevirtualizacindenubeprivada,o
seguirutilizandoservidoresfsicos.
AlimplementarADDSenWindowsAzureencuentalosiguiente:
Rollback.MientrasqueWindowsAzurenoproporcionaserviciosalosclientesderollback,
servidoresdeWindowsAzuresepuedenrodarhaciaatrscomounaparteregulardemantenimiento.Dominio
lareplicacindelcontroladordependedelosnmerosdesecuenciadeactualizacin(USN),cuandounanuncioDS
sistemasedeshaceUSNduplicadossepodrancrear.Paraevitaresto,elao2012DCdeWindows
DSintroduceunnuevoidentificadordellamadaVMGenerationID.VMGenerationIDpuededetectaruna
rollback,yevitaqueelcontroladordedominiovirtualizadodeduplicarloscambiossalientes
hastaquelaADDSvirtualizadohaconvergidoconlosotroscontroladoresdedominiodeldominio.
limitacionesdelamquinavirtual.mquinasvirtualesdeWindowsAzureestnlimitadosa14GBde
RAMyunadaptadordered.Adems,lafuncindeinstantneanoescompatible.
ImplementacindeWindowsServer2012ADenmquinasvirtualesdeWindowsAzureestsujetaala
mismaspautasqueseejecutaADDSonpremisesenunamquinavirtual.estasdirectrices
Incluyalosiguiente:
Sincronizacindelahora.UnainfraestructuradedominiosWindowsbasedADDSsebasalibrementeen
todaslasmquinasquesecomunicanconlahoracorrecta.Cuandolosrelojesdecontroladordedominioy
relojesdemiembrosdedominiotienenunadiferenciadetiempodemsdecincominutos,losclientesnopueden
identificarseoaccederarecursosenlared.Porlotanto,WindowstienelahoradeWindows
Servicio(w32time).Esteservicioseaseguradequeeltiemposesincronizaatravsdeldominiode
delasiguientemanera:
oLosmiembrosdedominiodeobtenereltiempodesucontroladordedominio.
LoscontroladoresdedominiooutilizarelemuladordePDCdesupropiodominioodesuspadres
https://translate.googleusercontent.com/translate_f
32/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
dominio.
oElemuladorPDCdeldominiorazdebeserconfiguradoconuntiempoexterno
fuente,comounproveedordetiempodeInternetutilizandoelprotocolodetiempodered(NTP).
Enentornosvirtualizadosdesincronizacindetiemponoestanfcilcomoenlosequiposfsicos.
Elmotordevirtualizacinregulaelusodeprocesamientocentraldelhostdevirtualizacin
unidades(CPU)yladistribuyeentrelasmquinasvirtualessegnseanecesario.Elrelojdela
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
38/45
pgina39
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
sistemaoperativosebasaenciclosdeCPUestables,quenoexistenenlosentornosvirtuales.
Losmotoresdevirtualizacinrealizarlasincronizacinconlascomputadorasdelosinvitadospordefecto..
Cuandohostsdevirtualizacinnoparticipanenlasincronizacindetiempo,esprobablequeeldominio
eltiempoyeltiempodehostdevirtualizacinseconvertirenfueradesincronizacin.Mientrasquela
equiposfsicosparticipanenlasincronizacindetiempo,lasmquinasvirtualesserestablecenala
tiempoenelhostdevirtualizacin.Debeconfigurarelhostdevirtualizacinparaparticiparen
sincronizacindetiempoodesactivarlasincronizacindeloscontroladoresdedominiovirtualesparael
sincronizacindetiempoparaquefuncionecorrectamente.
Puntonicodefallo.LoscontroladoresdedominiodeADDSsonlaspiezasmsimportantesde
suinfraestructura.Sifallan,losusuariosnopuedeniniciarsesin,accederarecursosoaplicaciones,
yciertosserviciospodrannofuncionar,ascomootrasaplicacionesoservicios.
Cuandolavirtualizacindeloscontroladoresdedominio,esmuyimportantequenohayunnicopuntode
elfracasodesuinfraestructuradeADDScontroladordedominio.Configuracindetodosloscontroladoresdedominiocomo
servidoresvirtualesenelmismoclsterdevirtualizacinseconsideraunnicopuntodefallo.
Delmismomodo,elusoderedesSANreplicadasentreloscentrosdedatospuedeconvertirseenunpuntonicodefallo
sisereplicanlosdatoscorruptos.
SiloscontroladoresdedominiosedistribuyencomosemencionaenlaseccindeAfiliacindedominio,
seasegurardequenohayunnicopuntodefallo.Estoleahorrareltenerque
recuperartodoelbosquesialgolesucedeasuinfraestructuradevirtualizacin.
Pregunta:CuleslaraznparaespecificarlacontraseaDSRM?
Delaboratorio:Instalacindeloscontroladoresdedominio
Guin
Selehapedidoporelgestordelainstalacindeunnuevocontroladordedominioenelcentrodedatospara
signinmejorarelrendimiento.Selehapedidotambinparacrearunnuevocontroladordedominiopara
unasucursalmedianteelusodelaGIC.
objetivos
Despusderealizarestaprcticadelaboratorio,ustedsercapazde:
https://translate.googleusercontent.com/translate_f
33/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
39/45
pgina40
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Instalaruncontroladordedominio.
InstalaruncontroladordedominiomedianteelMFI.
configuracindelaboratorio
Tiempoestimado:45minutos
Maquinasvirtuales
20410CLONDC1
20410CLONSVR1
20410CLONRTR
20410CLONSVR2
Nombredeusuario
Adatum\Administrador
Contrasea
w0rdPa$$
Enestelaboratorio,quevaautilizarelentornodemquinavirtualdisponible.Antesdecomenzarlaprctica,
deberealizarlossiguientespasos:
1.
Enelequipohost,hagaclicenInicio,seleccioneHerramientasadministrativasy,acontinuacin,hagaclicHyper
VManager.
2.
EnHyperVManager,hagaclic20410CLONDC1y,enelpaneldeacciones,hagaclicenInicio.
3.
Enelpaneldeacciones,hagaclicenConectar.Esperehastaqueseinicielamquinavirtual.
4.
Accedeatravsdelassiguientescredenciales:
5.
Nombredeusuario:Administrador
Contrasea:Pa$$w0rd
Dominio:Adatum
Repitalospasos2a4para20410CLONSVR1,20410CLONRTR,y20410C
LONSVR2.
Ejercicio1:Instalacindeuncontroladordedominio
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
40/45
pgina41
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Guin
LosusuarioshanestadoexperimentandosigninslentosenLondresdurantetiemposdeusodepico.Elequiposervidor
hadeterminadoqueloscontroladoresdedominiosonabrumadoscuandomuchosusuariosestn
https://translate.googleusercontent.com/translate_f
34/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
autenticardeformasimultnea.Paramejorarelrendimientosignin,vaaaadirunnuevodominio
controladorenelcentrodedatosdeLondres.
Lasprincipalestareasparaesteejerciciosonlossiguientes:
1.
AadirunpapelactivoDirectoryDomainServices(ADDS)aunservidormiembro.
2.
Configurarunservidorcomocontroladordedominio.
3.
Configurarunservidorcomounservidordecatlogoglobal.
Tarea1:AgregarunpapelactivoDirectoryDomainServices(ADDS)aunmiembro
servidor
1.
EnLONDC1,enelAdministradordeservidores,aadirLONSVR1alalistadeservidores.
2.
AadirlafuncindeservidordeserviciosdedominiodeActiveDirectoryparaLONSVR1.Aadirtodo
Lascaractersticasnecesariascuandoselesolicite.
Lainstalacintardarvariosminutos.
3.
Cuandosecompletalainstalacin,hagaclicenCerrarparacerrarelAgregarrolesycaractersticas
Mago.
Tarea2:Configurarunservidorcomocontroladordedominio
EnLONDC1,utiliceelAdministradordeservidoresparapromoverLONSVR1auncontroladordedominioy
elegirentrelassiguientesopciones:
oAgregaruncontroladordedominioparaeldominioexistenteAdatum.com
outilizarlascredencialesdeAdatum\AdministradorconlacontraseaPa$$w0rd
o
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
41/45
pgina42
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Paralasopcionesdelcontroladordedominio,instaleelsistemadenombresdedominio,peroquitarel
laseleccindeinstalarelcatlogoglobal
oLacontraseadeDSRMesPa$$w0rd
oParatodaslasdemsopciones,utilicelasopcionespredeterminadas
Tarea3:Configurarunservidorcomounservidordecatlogoglobal
1.
IniciarsesinenLONSVR1comoAdatum\AdministradorconlacontraseaPa$$w0rd.
2.
UseSitiosyserviciosdeActiveDirectoryparahacerLONSVR1unservidordecatlogoglobal.
https://translate.googleusercontent.com/translate_f
35/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Resultados:Despusdecompletaresteejercicio,sehanexploradoAdministradordeservidoresy
promovidounservidormiembroqueseauncontroladordedominio.
Ejercicio2:InstalacindeuncontroladordedominiomedianteelMFI
Guin
Ustedhasidoasignadoporlaadministracinparagestionarunadelasnuevassucursalesqueestn
estandoconfigurado.Unaconexinderedmsrpidoestprogramadoparaserinstaladoenunaspocassemanas.
Hastaesemomento,laconectividadderedesmuylenta.
Sehadeterminadoquelasucursalrequiereuncontroladordedominioparaapoyarlocales
signins.Paraevitarproblemasconlaconexinderedlenta,queestutilizandoparainstalarelMFI
elcontroladordedominioenlasucursal.
Lasprincipalestareasparaesteejerciciosonlossiguientes:
1.
UtilicelaherramientaNtdsutilparagenerarMFI.
2.
AadirlafuncindeADDSenelservidormiembro.
3.
UtilizarIFMparaconfigurarunservidormiembrocomounnuevocontroladordedominio.
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
42/45
pgina43
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Tarea1:UtilicelaherramientaNtdsutilparagenerarMFI
1.
EnLONDC1,abrirunainterfazdelneadecomandosdeadministracin,yutilizarNtdsutilpara
crearunacopiadeseguridaddeMFItantodelabasededatosdeADDSylacarpetaSYSVOL.los
loscomandosparacrearlacopiadeseguridadsonlossiguientes:
Ntdsutil
Activarntdsinstancia
ifm
Crearsysvolccompleto:\IFM
2.
EspereaqueelcomandodeMFIparacompletarycerrarelsmbolodelsistema.
Tarea2:AgregarlafuncindeADDSparaelservidormiembro
1.
CambiaraLONSVR2,yabrirunasesincomoAdatum\Administradorconlacontrasea
Pa$$w0rd.
https://translate.googleusercontent.com/translate_f
36/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
2.
AbraunsmbolodelsistemayasignarlaletradeunidadK:a\\LONDC1\C$\MFI.
3.
UtiliceelAdministradordelservidorparainstalarelroldeservidorADDSenLONSVR2.
Tarea3:UsodeMFIparaconfigurarunservidormiembrocomounnuevocontroladordedominio
1.
EnLONSVR2,enelsmbolodelsistemadecopiadeseguridadcopiarelMFIdeK:C:\IFM.
2.
EnLONSVR2,utiliceelAdministradordeservidoresconlassiguientesopcionespararealizarelcargo
configuracindelaimplementacindeADDS:
o
AadiruncontroladordedominioparaeldominioexistenteAdatum.com
UtiliceAdatum\AdministradorconlacontraseaPa$$w0rddecredenciales
UtilicePa$$w0rdlacontraseaDSRM
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
43/45
pgina44
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
UtilicelosmediosdeMFIparaconfigurareinstalarADDS.UtilicelaubicacinC:\MFIpara
losmediosdecomunicacinMFI
o
3.
Aceptartodoslosdemsvalorespredeterminados
LONSVR2reiniciarparacompletarlainstalacindeADDS.
Resultados:Despusdecompletaresteejercicio,sehaninstaladoundominioadicional
controladordelasucursalmedianteelusodelaGIC.
Prepararseparaelsiguientemdulo
Cuandohayacompletadoellaboratorio,revertirlasmquinasvirtualesdevueltaasuestadoinicial.
Paraello,realicelossiguientespasos:
1.
Enelequipohost,inicieelAdministradorHyperV.
2.
Enlalistademquinasvirtuales,rightclick20410CLONDC1y,acontinuacin,hagaclicenRevertir.
3.
EnelcuadrodedilogoVirtualMachineRevert,hagaclicenRevertir.
4.
Repitalospasos2y3para20410CLONSVR1,20410CLONRTR,y20410CLON
SVR2.
https://translate.googleusercontent.com/translate_f
37/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
Preguntasderepasodelaboratorio
Pregunta:PorquseutilizaeladministradordelservidorynoDcpromo.execuandopromovido
unservidorparaqueseauncontroladordedominio?
Pregunta:Culessonlostresmaestrosdeoperacionesqueseencuentranencadadominio?
Pregunta:Culessonlosdosmaestrosdeoperacionesqueestnpresentesenunbosque?
Pregunta:CuleselbeneficiodelarealizacindeunIFMdeinstalaruncontroladordedominio?
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
44/45
pgina45
16/10/2016
Mdulo2:IntroduccinalosServiciosdedominiodeActiveDirectory
Revisindelmduloycomidaparallevar
Preguntasderevisin
Pregunta:Culessonlosdosobjetivosprincipalesdelasunidadesorganizativas?
Pregunta:PorqusenecesitaparadesplegarunrboladicionalenelbosquedeADDS?
Pregunta:Qumtododeimplementacinusarasieranecesarioinstalarunadicional
controladordedominioenunaubicacinremotaquetenaunaconexinlimitadaWAN?
Pregunta:SiustednecesitaparapromoverunainstalacinServerCoredeWindowsServer2012
seruncontroladordedominio,quelaherramientaoherramientassepuedeutilizar?
https://translate.googleusercontent.com/translate_f
38/39
17/10/2016
Mdulo2:IntroduccinalndicedeServiciosdeDominiodeActiveDirectory:DescripcinGeneraldelmdulo
https://skillpipe.com/reader/esES/Book/BookPrintView/b65138855c3646a69564434c3cd728ae?ChapterNumber=4&FontSize=3&AnnotationFilterOw...
45/45
https://translate.googleusercontent.com/translate_f
39/39