Documentacion de Implementacion PDF

Migracin de Active Directory Microsoft
SUPERSERVICIOSN DEL VALLE S.A.
Migracin de Active Directory Domain Services

Implementacin de plataforma a Windows Server 2012 R2
Stalin D. Torres B. | Lder de Servicios

Oscar Eduardo Garca | Consultor Soluciones Microsoft
Jhonny Bazan | Gerente de Proyectos
Revisin: Diciembre 2014

Documento de Implementacion
Control de Cambios
tem Descripcin
Nombre Migracin de Active Directory
Fecha Septiembre del 2015
Categora Documento de Implementacin
Empresa SUPERSERVICIOS DEL VALLE
Grupo objetivo Infraestructura de TI
Estado del documento Enviado para aceptacin

Confidencialidad
La informacin contenida en este documento presentado a SUPERSERVICIOS DEL VALLE. es
propiedad intelectual de CONTROLES EMPRESARIALES LTDA.
Esta propuesta ha sido desarrollada en respuesta a una solicitud expresa SUPERSERVICIOS DEL
VALLE. y/o su representante dirigida a CONTROLES EMPRESARIALES LTDA. El uso o discusin de
este documento fuera del mbito del proceso de ofrecimiento y aceptacin de los productos y
servicios aqu mencionados, as como la reproduccin, distribucin o comunicacin del contenido
del mismo por cualquier medio, queda expresamente prohibido sin el consentimiento escrito de
CONTROLES EMPRESARIALES LTDA.
En caso de que SUPERSERVICIOS DEL VALLE. no acepte los trminos de renuncia y confidencialidad
de esta propuesta, deber informar por escrito a CONTROLES EMPRESARIALES LTDA. Dentro de los
cinco (5) das siguientes a la recepcin de esta propuesta; as mismo, SUPERSERVICIOS DEL VALLE.
se compromete a devolver las copias impresas de los documentos que Controles Empresariales
hubiese enviado con anterioridad para sustentar el proceso comercial. Si CONTROLES
EMPRESARIALES LTDA, no recibiera comunicacin alguna, asumir que la propuesta ha sido
aceptada para su evaluacin, junto con este acuerdo.
Se entiende que este documento es una propuesta de negocios y no constituye a priori un
compromiso formal de CONTROLES EMPRESARIALES LTDA, sus directivos o empleados, debido a
las fases subsiguientes en el proceso de seleccin que debern ser evacuadas por parte de
SUPERSERVICIOS DEL VALLE. Sin embargo; en caso de ser aprobada la propuesta, se generar un
acuerdo de trabajo conjunto entre CONTROLES EMPRESARIALES LTDA y SUPERSERVICIOS DEL
VALLE., el cual ser revisado y suscrito por las partes.
CONTROLES EMPRESARIALES LTDA se reserva el derecho de tomar las acciones que estimen
necesarias conforme a las leyes nacionales e internacionales, si considera que el acuerdo ha sido
transgredido y si las razones o perjuicios derivados pudiesen afectar su imagen o buen nombre.
El sello de confidencialidad hace referencia a que esta informacin no puede ser reproducida ni
revelada a terceros. Las normas que fundamentan el carcter reservado de la informacin son los
artculos 72 y siguientes de la decisin del acuerdo de Cartagena 344 de 1993, el artculo 238 del
cdigo penal y los artculos 16 y siguientes de la ley 256 de 1996.

Tabla de Contenido
Migracin de Active Directory Domain Services 1

Control de Cambios 2
Confidencialidad 3
Captulo 1 Plataforma del Servidor. 6
1.1 SSCVHV01 6
1.1.1 CONFIGURACION GENERAL 6
1.1.2 CONFIGURACION DE RED 6
1.1.3 CONFIGURACION DE VOLUMENES 8
1.2 SSCVDC01 9
1.3 SSCVFS01 11
Captulo 2 Servicios. 13
2.1 ACTIVE DIRECTORY DOMAIN SERVICES. 13
2.2 DNS 22
2.3 NTP. 26
2.4 FILE SERVICES 27
2.6 HYPER V 30
Captulo 3 Aplicacin de Mejores Prcticas 41
3.1. BPA AD DS 41
Captulo 4 Recomendaciones y Observaciones 42
ANEXOS 43
Guia De Movimiento Roles Fsmo 43
Gua paso a paso de copia de seguridad y recuperacin de AD DS 46
Otros 47

Confidencialidad 47
Aceptacin del documento 48

Captulo 1 Plataforma del Servidor.

El servicio de infraestructura relacionados a este proyecto est conformado por los siguientes
servidores y su correspondiente distribucin de roles.
SSCVHV01: Servidor Fsico con el Rol de Hyper V

SSCVDC01: Servidor Virtual con el Rol AD DS y DNS
SSCVFS01: Servidor Virtual con el Rol fe Dile and Print Server
A continuacin se describirn la configuracin establecida en cada Servidor.
1.1 SSCVHV01
1.1.1 CONFIGURACION GENERAL
1.1.2 CONFIGURACION DE RED

A continuacin se describen los adaptadores de red usados por el Hyper Visor:
LAN: Adaptador virtual usado para el direccionamiento del Host SSCVHC01
SWVirtual: Adaptador fsico usado como Swicthe Virtual, en el cual estn conectados los host
SSCVHV01 y SSCVDC01
SWVirtual I/O: Adaptador fsico usado como Swicthe Virtual, en el cual est conectado el host
SSCVFS01. La configuracin de este adaptador permite optimizar los recursos IO.


1.1.3 CONFIGURACION DE VOLUMENES
Estructura de Directorios.

1.2 SSCVDC01


1.3 SSCVFS01

Se generan los siguientes volmenes y estructura:

Captulo 2 Servicios.
2.1 ACTIVE DIRECTORY DOMAIN SERVICES.

ACTIVE DIRECTORY SITES AND SERVICES
Las subnets registradas en los Sites se describen a continuacin.
ROLES FSMO
NIVEL FUNCIONAL
NOTA: Se mantiene el nivel funcional 2003 con el fin de tener compatibilidad con el Domain
Controller 2003 existente.

ESTADO DE SALUD AD DS.

ESTADO DE REPLICACION
LOCALIZACION DE LA BASE DE DATOS

ESTRUCTURA DE ACTIVE DIRECTORY
GRUPOS ESPECIALES
A continuacion se describiran los grupos Globales (GSG) y los grupos locales (LSG) definidos:
Al recurso le sera asignado un grupo local.
El grupo local tendra como miembro al grupo global.
El grupo global tendra como miembro finalmente a los usuarios.


POLITICAS DE GRUPO
Las politicas de grupo son anidadas de la siguiente forma en la estructura de Active Directory

Se crea un filtro WMI para Windows 8.
Se crean las siguientes GPOs cuya configuracion sera descrita a continuacion:

Politica General
Permitir restricciones General
Restringir USB
Politica General

Permitir Restricciones Generales
En esta GPO se debe definir todas las configuraciones inversas que existan en la Politica General,
la cual sera aplicada unicamente a los usuarios de helpdesk con el fin de permitir aquellas
restricciones definidas en la Politica General.

Restringir USB
Si desean permitir que un usuario tenga permisos USB, debera ser agregado al grupo GSG-
Permitir USB Extraible

2.2 DNS
ZONAS DNS
CONFIGURACION GENERAL

REENVIADORES
SCAVENGING

ROOT HINTS
Se realiza actualizacin de Root Hints IPV4 segn la recomendacin de la IANA.
https://www.iana.org/domains/root/servers

2.2.4 CONFIGURACION ZONA

Zona GROUPAPUESTAS.COM

2.3 NTP.

2.4 FILE SERVICES

2.4.1 ESTRUCTURA
Se crea el Disco D (DatosCorp), el cual contiene una subcarpeta denominada Shares, que a su
vez tiene 2 Subcarpetas denominadas Aplicaciones y Departamentos:
El objetivo de la carpeta Aplicaciones es almacenar todas las carpetas compartidas que sean
para el funcionamiento de aplicativos.
El objetivo de la carpeta Departamentos es almacenar todas las carpetas compartidas que sean
solicitadas por los departamentos para almacenamiento de informacin
Se crea el Disco E (Homedir), el cual contiene una subcarpeta denominada Homedirs, que a su
vez contiene las subcarpetas 5GB, 10GB y 15GB.
El objetivo de estas carpetas es almacenar las carpetas personales de Homedir de los usuarios
de acuerdo a la cuota designada 5, 10 o 15GB dependiendo del valor a asignar.

2.4.2 CUOTAS
Si desean incrementar el tamao de cuota de un usuario se sugiere mover la carpeta del usuario
a la carpeta correspondiente de la cuota en lugar de asignar una cuota personalizada.
2.4.2 BLOQUEO DE ARCHIVOS

2.5 PRITN SERVICES

2.5.1 DRIVERS
2.5.2 PUERTOS
2.5.3 IMPRESORAS

2.6 HYPER V

2.6.1 CONFIGURACION SWITCHES

2.6.2 MAQUINAS VIRTUALES
SSCVDC01





SSCVFS01




Captulo 3 Aplicacin de Mejores Prcticas
3.1. BPA AD DS
Se aplic las mejores prcticas definidas por Microsoft superando de forma satisfactoria las 38
configuraciones de mejores prcticas para el servicio de Active Directory Domain and Services.
Se generaron 5 advertencias, los cuales hacen referencia a que no se ha realizado una copia de
respaldo del System State en los ltimos 8 das.
IMPACTO: La restauracin de AD DS desde copias de respaldo no frecuentadas pueden resultar
en prdida de datos adicionados, eliminados o modificados desde la ltima copia de seguridad.
RESOLUCION: Se debe garantizar que haya copias de respaldo recientes del Directorio activo y
estn disponibles para recuperar los datos que fueron recientemente adicionados, modificados
o eliminados, realizar copias de respaldo frecuentes de todas las particiones del bosque en un
tiempo no mayor a 8 das.

Captulo 4 Recomendaciones y Observaciones

Se sugiere la implementacin de un servidor WSUS, el cual ser encargado de optimizar los
recursos de ancho de banda evitando que los equipos clientes consuman trfico de internet
para la descarga de actualizaciones.
El Servidor WSUS se encargara de realizar una sola descarga de las actualizaciones desde
internet y posterior los equipos clientes descargaran las actualizaciones de forma local.
Se sugiere contemplar la posibilidad de la implementacin de los servicios NAP y NPS ofrecidos

por Windows Server 2012, ya que permite restringir el acceso y la conectividad de los recursos
de red protegindolos mediante autenticacin de directorio activo, al igual que se encargara de
aislar equipos que no cumplan con los criterios de seguridad de SUPERSERVICIOS tales como
sistemas operativos actualizados, antivirus o firewall.
Se sugiere realizar un IOM, el cual se encargara de realizar un anlisis de la infraestructura actual

para determinar vulnerabilidades y carencias de la tecnologa actual para poder ofrecer un plan
de optimizacin y presupuesto para mejorar los procesos de tecnologa.

ANEXOS
Guia De Movimiento Roles Fsmo
Hay cinco funciones Flexible Single Master Operations (FSMO) en un bosque de

Windows Server Hay dos maneras de transferir una funcin FSMO en Windows Server.
En este artculo se describe cmo transferir las cinco funciones FSMO utilizando
complementos de Microsoft Management Console (MMC). Las cinco funciones FSMO
son:
Maestro de esquema: un titular de la funcin de maestro por bosque. El titular de la
funcin FSMO de maestro de esquema es el controlador de dominio responsable de
realizar las actualizaciones al esquema del directorio.
Maestro de nombres de dominio: un titular de la funcin de maestro por bosque. El
titular de la funcin FSMO de maestro de nombres de dominio es el DC responsable de
realizar los cambios al espacio de nombres de dominio para todo el bosque del
directorio.
Maestro de infraestructura: un titular de la funcin de maestro por dominio. El titular de
la funcin FSMO de maestro de infraestructura es el DC responsable de actualizar el SID
y el nombre completo de un objeto en una referencia entre objetos de diferentes
dominios.
Maestro RID: un titular de la funcin de maestro por dominio. El titular de la funcin
FSMO de maestro RID es el nico DC responsable de procesar las peticiones de grupos
RID de todos los DC de un dominio dado.
Emulador de PDC: un titular de la funcin de maestro por dominio. El titular de la
funcin FSMO de emulador de PDC es un DC de Windows 2000 que se anuncia a s
mismo como el controlador principal de dominio (PDC) a las estaciones de trabajo, los
servidores miembro y los controladores de dominio de versiones anteriores. Tambin es
el examinador principal de dominio y se ocupa de las discrepancias en las contraseas.
Puede transferir las cinco funciones de FSMO mediante la herramienta MMC en

Windows 2000. Para que una transferencia se pueda realizar, ambos equipos deben
estar disponibles en conexin. Si un equipo ya no existe, su funcin debe transferirse a
otro equipo diferente. Para asumir una funcin, debe emplear una utilidad denominada
Ntdsutil.

Transferir funciones especficas del dominio: RID, PDC y maestro de infraestructura

1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a
continuacin, haga clic en Usuarios y equipos de Active Directory.
2. Haga clic con el botn secundario del mouse (ratn) en el icono situado junto a Usuarios
y equipos de Active Directory y, a continuacin, haga clic en Conectar con el
controlador de dominio.NOTA:
Si no est en el controlador de dominio donde desea transferir la funcin, necesita
realizar este paso. No es necesario realizar este paso si est conectado al controlador de
dominio cuya funcin desea transferir.
3. Haga clic en el controlador de dominio que ser el nuevo titular de la funcin y, a
continuacin, haga clic en Aceptar.
4. Haga clic con el botn secundario del mouse en el icono Usuarios y equipos de Active
Directory y, a continuacin, haga clic en Maestros de operaciones.
5. En el cuadro de dilogo Cambiar el maestro de operaciones, haga clic en la ficha
adecuada (RID, PDC o Infraestructura) para la funcin que desea transferir.
6. Haga clic en Cambiar en el cuadro de dilogo Cambiar el maestro de operaciones .
7. Haga clic en Aceptar para confirmar que desea transferir la funcin.
8. Haga clic en Aceptar.
9. Haga clic en Cancelar para cerrar el cuadro de dilogo.
Transferir la funcin de maestro de nombres de dominio

1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a
continuacin, haga clic en Dominios y confianzas de Active Directory.
2. Haga clic con el botn secundario del mouse en Dominios y confianzas de Active
Directory y, a continuacin, haga clic en Conectar con el controlador de dominio.NOTA:
3. Haga clic en el controlador de dominio que ser el nuevo titular de la funcin y, a
continuacin, haga clic en Aceptar.
4. Haga clic con el botn secundario del mouse en el icono Dominios y confianzas de
Active Directory y, a continuacin, haga clic en Maestros de operaciones.
5. En el cuadro de dilogo Cambiar el maestro de operaciones, haga clic en Cambiar.
6. Haga clic en Aceptar para confirmar que desea transferir la funcin.
Transferir la funcin de maestro de esquema

1. Haga clic en Inicio y en Ejecutar, escriba mmc y haga clic en Aceptar.

2. En el men Consola, haga clic en Agregar o quitar complemento.

3. Haga clic en Agregar.
4. Haga clic en Esquema de Active Directory.
5. Haga clic en Agregar.
6. Haga clic en Cerrar para cerrar el cuadro de dilogo Agregar un complemento
independiente.
7. Haga clic en Aceptar para agregar el complemento a la consola.
8. Haga clic con el botn secundario del mouse en el icono Esquema de Active Directory y,
a continuacin, haga clic en Cambiar el controlador de dominio.NOTA:
9. Haga clic en Especificar el controlador de dominio, escriba el nombre del controlador de
dominio que ser el nuevo titular de la funcin y haga clic en Aceptar.
10. Haga clic con el botn secundario del mouse en Esquema de Active Directory y, a
continuacin, haga clic en Maestros de operaciones.
11. En el cuadro de dilogo Cambiar el maestro de esquema, haga clic en Cambiar.

Gua paso a paso de copia de seguridad y recuperacin de AD DS
Esta gua paso a paso ofrece instrucciones e informacin bsica necesarias para realizar
copias de seguridad de la funcin del servidor de los Servicios de dominio de
ctive Directory (AD DS) y recuperarla en el sistema operativo Windows Server del
laboratorio de pruebas.
Las tareas incluyen la realizacin de copias de seguridad de servidor completo, copias de
seguridad de volmenes imprescindibles y restauraciones autoritativas y no
autoritativas de los objetos de Active Directory en la instalacin completa de Windows
Server o una instalacin Server Core de Windows Server.
La informacin en esta gua se aplica especficamente para realizar la copia de seguridad
y recuperacin de AD DS.
Los detalles de la funcionalidad de Copias de seguridad de Windows Server y
Recuperacin de Windows se analizan slo en referencia a su significado para los
escenarios de copia de seguridad y recuperacin de AD DS
En el siguiente enlace se describara paso a paso el proceso y el detalle con respecto a las
copias de seguridad de AD DS.
https://technet.microsoft.com/es-co/library/cc753359(v=ws.10).aspx

Otros
Confidencialidad
El contenido del presente documento, se considera de carcter confidencial y no podr ser

utilizado total o parcialmente por SUPERSERVICIOS DEL VALLE. para propsitos distintos al objeto
de este proyecto.
Este documento no podr ser reproducido en su totalidad o en parte, ni podr ser transmitido
sobre ningn formato o medio, electrnica o mecnicamente, para cualquier finalidad, sin el
expreso consentimiento escrito. Reservados todos los derechos.

Aceptacin del documento

Las siguientes partes debern firmar una copia maestra de este Documento de Visin y Alcance del proyecto
Migracin @BDI, para indicar que estn de acuerdo con el contenido. Este documento actualmente tiene
estado FINAL. El estado final se logra cuando todas las partes han firmado abajo. La aceptacin de este
documento asegura el cumplimiento y Finalizacin de la fase de Visin y Alcance.
He ledo y estoy de acuerdo con el contenido de este Documento de Visin y Alcance del proyecto [Nombre
del Proyecto]:
Nombre Cargo Rol Firma Fecha

Lder Funcional [DD/MM/AAAA]
Analista de Negocio [DD/MM/AAAA]


Documentacion de Implementacion PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Documentacion de Implementacion PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Migracin de Active Directory Microsoft

SUPERSERVICIOSN DEL VALLE S.A.

Migracin de Active Directory Domain Services

Stalin D. Torres B. | Lder de Servicios

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Migracin de Active Directory Domain Services 1

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Captulo 1 Plataforma del Servidor.

SSCVHV01: Servidor Fsico con el Rol de Hyper V

1.1.2 CONFIGURACION DE RED

Revisin: Diciembre 2014

Revisin: Diciembre 2014

1.1.3 CONFIGURACION DE VOLUMENES

Revisin: Diciembre 2014

Revisin: Diciembre 2014

1.2.2 CONFIGURACION DE RED

1.2.3 CONFIGURACION DE VOLUMENES

Revisin: Diciembre 2014

1.3.2 CONFIGURACION DE RED

Revisin: Diciembre 2014

1.3.3 CONFIGURACION DE VOLUMENES

Se generan los siguientes volmenes y estructura:

Revisin: Diciembre 2014

2.1 ACTIVE DIRECTORY DOMAIN SERVICES.

Revisin: Diciembre 2014

ESTADO DE SALUD AD DS.

Revisin: Diciembre 2014

LOCALIZACION DE LA BASE DE DATOS

Revisin: Diciembre 2014

ESTRUCTURA DE ACTIVE DIRECTORY

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Se crea un filtro WMI para Windows 8.

Se crean las siguientes GPOs cuya configuracion sera descrita a continuacion:

Revisin: Diciembre 2014

Permitir Restricciones Generales

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Revisin: Diciembre 2014

2.2.4 CONFIGURACION ZONA

Revisin: Diciembre 2014

Revisin: Diciembre 2014

2.4 FILE SERVICES

Revisin: Diciembre 2014

2.4.2 BLOQUEO DE ARCHIVOS

Revisin: Diciembre 2014

2.5 PRITN SERVICES

Revisin: Diciembre 2014

Revisin: Diciembre 2014

2.6.1 CONFIGURACION SWITCHES

Revisin: Diciembre 2014

2.6.2 MAQUINAS VIRTUALES

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Revisin: Diciembre 2014

Revisin: Diciembre 2014