C A P T U L O

Plan de un proyecto de implementacin de Active Directory

Al implementar el servicio de directorio de Active Directory de Microsoft Windows Server 2003 en el entorno, podr beneficiarse del modelo centralizado de administracin delegada y de la capacidad de inicio de sesin nico que ofrece Active Directory. Cuando haya identificado el entorno actual y los objetivos de implementacin en la empresa, podr crear una estrategia de implementacin de Active Directory que cumpla las necesidades de la organizacin. Las pruebas de implementacin en un entorno de laboratorio aislado y el perfeccionamiento del proceso en determinadas reas piloto del entorno de produccin contribuirn a garantizar una implementacin sin complicaciones en toda la organizacin.

En este captulo:
Informacin general sobre la planeacin de un proyecto de implementacin de Active Directory .......... 4 Determinacin de la estrategia de diseo e implementacin de Active Directory ...................................... 8 Pruebas y confirmacin del proceso de implementacin ..............................................................................19 Recursos adicionales ...........................................................................................................................................27

Informacin relacionada
Para obtener ms informacin sobre planeacin, pruebas y desarrollo piloto de un proyecto de implementacin, consulte las secciones Diseo de un entorno de pruebas y Planeacin y pruebas de la implementacin de aplicaciones, incluidas en el apartado Planeacin, pruebas y desarrollo piloto de proyectos de implementacin de este kit. Para obtener ms informacin sobre la implementacin del Sistema de nombres de dominio (DNS) de Windows Server 2003, consulte Implementacin de DNS, en el apartado Implementacin de servicios de red de este kit. Para obtener ms informacin sobre la directiva de grupo, consulte la Gua de servicios distribuidos del Kit de recursos de Microsoft Windows Server 2003 (puede estar en ingls) o consulte la Gua de servicios distribuidos en Internet, en la direccin http://www.microsoft.com/reskit (puede estar en ingls).

4 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Informacin general sobre la planeacin de un proyecto de implementacin de Active Directory

En los sistemas operativos Microsoft Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition y Windows Server 2003 Datacenter Edition, Active Directory permite a las organizaciones simplificar la administracin de usuarios y recursos al tiempo que posibilita la creacin de una infraestructura escalable, segura y fcil de administrar. Puede utilizar Active Directory para administrar la infraestructura de red, por ejemplo, en entornos de sucursales, de Microsoft Exchange Server y de varios bosques. Aunque las instrucciones proporcionadas en este libro son adecuadas para prcticamente cualquier implementacin de administracin del sistema operativo de red (NOS), estas instrucciones se han probado y validado especficamente en entornos con menos de 100.000 usuarios, un mximo de 1.000 sitios y conexiones de red de un mnimo de 28,8 Kbps. Si su entorno no se ajusta a estos criterios, considere la posibilidad de recurrir a una empresa de consultora con experiencia en la implementacin de Active Directory en entornos ms complejos. La implementacin de Active Directory ofrece las siguientes ventajas a su organizacin: Administracin general y de recursos simplificada. Podr delegar la administracin en todos los niveles de la empresa y centralizarla mediante la directiva de grupo. Seguridad de red mejorada e inicio de sesin nico para los usuarios. Active Directory admite varios protocolos de autenticacin y certificados X.509, adems de ofrecer compatibilidad con tarjetas inteligentes. Interoperabilidad con otros servicios de directorio. Active Directory proporciona interfaces abiertas basadas en estndares que interoperan con otros servicios de directorio y aplicaciones, por ejemplo, con programas de correo electrnico. Caractersticas que reducen los costos de administracin, incrementan la seguridad y ofrecen funcionalidad ampliada. Las particiones de directorios de aplicaciones permiten configurar parmetros de replicacin de datos especficos a las aplicaciones en controladores de dominio. La elevacin de los niveles funcionales de dominio o bosque a Windows Server 2003 le permitir: cambiar el nombre de dominios y controladores de dominio. establecer confianzas de bosques bidireccionales. reestructurar bosques. mejorar la replicacin. eliminar algunas limiaciones en entornos con un gran volumen de sitios.

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 5

Aunque las estrategias de diseo e implementacin de Active Directory de Windows Server 2003 presentadas en este libro se basan en pruebas extensas de laboratorio y programa piloto, as como en implementaciones satisfactorias en entornos de cliente, es probable que sea necesario personalizar el diseo y la implementacin de Active Directory para cumplir los requisitos de entornos complejos especficos. Para obtener ms informacin sobre la implementacin de Active Directory en entornos de sucursales, consulte la Gua de planeacin de Active Directory en sucursales (puede estar en ingls). Para obtener ms informacin sobre la implementacin de Active Directory en entornos de Exchange, consulte Recomendaciones para el diseo de Active Directory con Exchange 2000 (puede estar en ingls). Para obtener ms informacin sobre la implementacin de Active Directory en entornos de varios bosques, consulte Consideraciones sobre varios bosques (puede estar en ingls). Para descargar estas guas, use el vnculo de Active Directory en la pgina de recursos web en http://www.microsoft.com/windows/reskits/webresources y haga clic en Guas de planeacin e implementacin (puede estar en ingls). Este libro tambin proporciona diagramas de flujo, ayudas para trabajos y ejemplos de implementacin que le ayudarn a optimizar el diseo y la implementacin de Active Directory en su organizacin.

Proceso de planeacin de un proyecto de implementacin de Active Directory

Al planear un proyecto de implementacin de Active Directory de Windows Server 2003, determine primero su estrategia de diseo e implementacin y, luego, realice las pruebas necesarias para validar el diseo y la implementacin. La figura 1.1 muestra el proceso de planeacin de un proyecto de implementacin de Active Directory. Figura 1.1 Planeacin de un proyecto de implementacin de Active Directory

6 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Informacin general sobre Active Directory

Antes de disear e implementar Active Directory de Windows Server 2003, familiarcese con el ciclo del proyecto de implementacin de Active Directory y con los trminos relacionados con Active Directory requeridos para el proceso de implementacin de Active Directory de Windows Server 2003.

Ciclo del proyecto de implementacin de Active Directory

Un proyecto de implementacin de Active Directory se compone de tres fases: diseo, implementacin y operaciones. El equipo encargado de la primera fase crea un diseo de la estructura lgica de Active Directory con una adaptacin ptima a las necesidades de cada divisin de la empresa que se disponga a utilizar el servicio de directorio. Una vez que se ha aprobado este diseo, el equipo de implementacin se encarga de probarlo en un entorno de laboratorio y, seguidamente, lo implementa en el entorno de produccin. La realizacin de las pruebas queda al cargo del equipo de implementacin y los resultados pueden afectar a la fase de diseo, por lo que esta es una actividad intermedia que abarca ambas fases de diseo e implementacin. Cuando la implementacin ha finalizado, el equipo de operaciones se ocupa del mantenimiento del servicio de directorio. Las pruebas en laboratorio y la implementacin de un programa piloto continan mientras dure la implementacin de Active Directory. La figura 1.2 muestra la relacin entre las fases del ciclo del proyecto de Active Directory con referencia a la duracin del proyecto de implementacin. Figura 1.2 Relacin entre las fases del ciclo del proyecto de Active Directory

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 7

Trminos y definiciones
Los trminos siguientes son importantes a la hora de entender el proceso de implementacin de Active Directory de Windows Server 2003.

Dominio de Active Directory

Unidad administrativa en una red de equipos que simplifica la administracin mediante la agrupacin de varias capacidades, por ejemplo: Identidad de usuarios en toda la red. Con los dominios, slo es necesario crear las identidades de usuario una vez. Es posible hacer referencia a estas identidades desde cualquier equipo unido al bosque donde reside el dominio. Los controladores de dominio que forman un dominio se utilizan para almacenar cuentas y credenciales de usuario (como contraseas y certificados) de un modo seguro. Autenticacin. Los controladores de dominio proporcionan servicios de autenticacin para usuarios y ofrecen datos adicionales de autorizacin, por ejemplo, relacionados con las pertenencias a grupos de usuarios. Estos servicios pueden ser tiles para controlar el acceso a los recursos en la red. Relaciones de confianza. Los dominios extienden los servicios de autenticacin a usuarios de otros dominios en su propio bosque mediante confianzas bidireccionales automticas, as como a usuarios en dominios de otros bosques mediante confianzas externas o confianzas de bosque creadas manualmente. Administracin de directivas. El dominio es un mbito de las directivas administrativas, por ejemplo, sobre reglas de complejidad y reutilizacin de contraseas. Replicacin. El dominio define una particin del rbol de directorios que proporciona la informacin adecuada para proporcionar los servicios requeridos y que se replica entre controladores de dominio. As, todos los controladores de dominio son elementos del mismo nivel en un dominio y se administran como una sola unidad.

Bosque de Active Directory

Coleccin de uno o varios dominios de Active Directory que comparten la estructura lgica, el esquema de directorios y la configuracin de red, adems de relaciones automticas de confianza transitivas y bidireccionales. Cada bosque constituye una instancia nica del directorio y define un lmite de seguridad.

Nivel funcional de Active Directory

Parmetro de configuracin en Active Directory de Windows Server 2003 que habilita caractersticas avanzadas de Active Directory en todo el dominio o todo el bosque.

8 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Migracin
Proceso de transferencia de un objeto de un dominio de origen a un dominio de destino, a la vez que se conservan o se modifican las caractersticas del objeto para que resulte accesible en el dominio nuevo.

Reestructuracin de dominios
Proceso de migracin que implica la modificacin de la estructura de dominios de un bosque. La reestructuracin de dominios puede conllevar la consolidacin o la inclusin de dominios, y puede tener lugar entre bosques o en un mismo bosque.

Consolidacin de dominios
Proceso de reestructuracin que implica la eliminacin de dominios de Microsoft Windows NT 4.0 o de Active Directory al combinar su contenido con el contenido de otros dominios.

Actualizacin de dominios
Proceso de actualizacin del servicio de directorio de un dominio a una versin posterior del servicio de directorio. Esto incluye la actualizacin del sistema operativo en todos los controladores de dominio y la elevacin del nivel funcional de Active Directory donde corresponda.

Actualizacin local de dominios

Proceso de actualizacin del sistema operativo en todos los controladores de dominio basados en Windows NT 4.0 o en Microsoft Windows 2000 y de elevacin del nivel funcional del dominio si corresponde, sin modificar la ubicacin de los objetos de dominio, como usuarios y grupos.

Dominio regional
Dominio secundario creado segn una regin geogrfica concreta para optimizar el trfico de replicacin.

Determinacin de la estrategia de diseo e implementacin de Active Directory

Cuando haya realizado una evaluacin detallada del entorno actual y haya identificado los objetivos de implementacin de Active Directory en la empresa, podr determinar la estrategia de implementacin que se adaptar de forma ptima a su entorno. La figura 1.3 muestra los pasos de definicin del proceso de implementacin de Active Directory.

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 9

Figura 1.3 Determinacin de la estrategia de diseo e implementacin

La estrategia de implementacin de Active Directory que aplique variar en funcin de la configuracin de red existente. Por ejemplo, si actualmente la organizacin utiliza Windows 2000, bastar con que actualice el sistema operativo a Windows Server 2003. Sin embargo, si la organizacin se basa en Windows NT 4.0 o en un sistema operativo de red ajeno a Windows, tendr que disear una infraestructura de Active Directory antes de realizar la actualizacin a Windows Server 2003. El proceso de implementacin podra requerir la reestructuracin de dominios existentes, ya sea en un mismo bosque o entre bosques de Active Directory. Es posible que necesite reestructurar los dominios existentes despus de implementar Active Directory de Windows Server 2003 o cuando se produzcan cambios organizativos o adquisiciones corporativas. Tambin puede reestructurar dominios de un entorno de Windows NT 4.0 a un bosque de Active Directory con el fin de actualizar el entorno de produccin a Windows Server 2003.

10 Captulo 1 Plan de un proyecto de implementacin de Active Directory

La tabla 1.1 enumera los posibles puntos de inicio y objetivos de una implementacin de Active Directory de Windows Server 2003, as como los pasos de implementacin correspondientes y los captulos de este libro que se aplican a cada uno. Tabla 1.1 Entorno actual, objetivos y captulos correspondientes para la implementacin de Active Directory de Windows Server 2003
Entorno Objetivos de implementacin Crear diseo de bosques, dominios, DNS y unidades organizativas. Crear un diseo de sitio y de vnculo a sitios. Evaluar los requisitos de hardware. Nueva organizacin Implementar el dominio raz de bosque. Implementar dominios regionales. Elevar los niveles funcionales de dominio y bosque. Crear diseo de bosques, dominios, DNS y unidades organizativas. Crear un diseo de sitio y de vnculo a sitios. Windows NT 4.0 Evaluar los requisitos de hardware. Implementar el dominio raz de bosque. Implementar dominios regionales. Captulos correspondientes Captulo 2: Diseo de la estructura lgica de Active Directory

Captulo 3: Diseo de la topologa de sitios Captulo 4: Planeacin de la capacidad de los controladores de dominio Captulo 6: Implementacin del dominio raz de bosque de Windows Server 2003 Captulo 7: Implementacin de dominios regionales de Windows Server 2003 Captulo 5: Habilitacin de caractersticas avanzadas de Active Directory de Windows Server 2003 Captulo 2: Diseo de la estructura lgica de Active Directory

Captulo 3: Diseo de la topologa de sitios Captulo 4: Planeacin de la capacidad de los controladores de dominio Captulo 6: Implementacin del dominio raz de bosque de Windows Server 2003 Captulo 7: Implementacin de dominios regionales de Windows Server 2003

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 11

Realizar actualizacin local de dominios de Windows NT 4.0 que continuarn formando parte de la estructura de dominios de Active Directory. Reestructurar otros dominios de Windows NT 4.0. Elevar los niveles funcionales de dominio y bosque. Actualizar los controladores de dominio de Windows 2000. Elevar los niveles funcionales de dominio y bosque.

Captulo 8: Actualizacin de dominios de Windows NT 4.0 a Active Directory de Windows Server 2003

Captulo 10: Reestructuracin de dominios de Windows NT 4.0 en un bosque de Active Directory Captulo 5: Habilitacin de caractersticas avanzadas de Active Directory de Windows Server 2003 Captulo 9: Actualizacin de dominios de Windows 2000 a dominios de Windows Server 2003 Captulo 5: Habilitacin de caractersticas avanzadas de Active Directory de Windows Server 2003

Windows 2000

12 Captulo 1 Plan de un proyecto de implementacin de Active Directory

La tabla 1.2 enumera los objetivos y los captulos correspondientes aplicables a la reestructuracin de dominios, ya sea entre bosques o en un mismo bosque. Tabla 1.2 Objetivos y captulos correspondientes para la reestructuracin de dominios de Active Directory
Accin Objetivos de implementacin Crear diseo de bosques, dominios, DNS y unidades organizativas. Reestructurar dominios en un mismo bosque Crear un diseo de sitio y de vnculo a sitios. Usar una herramienta como la Herramienta de migracin Active Directory (ADMT) para reestructurar dominios en un mismo bosque. Crear diseo de bosques, dominios, DNS y unidades organizativas. Crear un diseo de sitio y de vnculo a sitios. Usar una herramienta como ADMT para reestructurar dominios entre bosques. Captulos correspondientes Captulo 2: Diseo de la estructura lgica de Active Directory Captulo 3: Diseo de la topologa de sitios Captulo 12: Reestructuracin de dominios de Active Directory en un mismo bosque

Captulo 2: Diseo de la estructura lgica de Active Directory Captulo 3: Diseo de la topologa de sitios Captulo 11: Reestructuracin de dominios de Active Directory entre bosques

Reestructurar dominios entre bosques

Determinacin de los requisitos de diseo de Active Directory

Si su entorno de red opera actualmente sin un servicio de directorio o, si necesita modificar su infraestructura actual de Active Directory, complete el proceso de diseo para la infraestructura de Active Directory. Debe completar un diseo exhaustivo de la estructura lgica de Active Directory antes de implementar Active Directory. La preparacin rigurosa del diseo de Active Directory es fundamental para conseguir una implementacin rentable.

Diseo de la estructura lgica

Antes de implementar Active Directory de Windows Server 2003, debe planear y disear la estructura lgica de Active Directory para el entorno. La estructura lgica de Active Directory determina la organizacin de los objetos de directorio y proporciona un mtodo eficaz para la administracin de cuentas de red y recursos compartidos. El diseo de la estructura lgica de Active Directory conlleva la definicin de una parte considerable de la infraestructura de red de la organizacin. Para disear la estructura lgica de Active Directory, determine el nmero de bosques que requiere la organizacin y, a continuacin, cree diseos para dominios, DNS y unidades organizativas.

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 13

Diseo de la topologa de sitios

Cuando ya tenga el diseo de la estructura lgica para la infraestructura de Active Directory, deber disear la topologa de sitios para la red. La topologa de sitios es una representacin lgica de la red fsica de la organizacin. Contiene informacin sobre la ubicacin de sitios de Active Directory, los controladores de dominio de Active Directory en cada sitio y los vnculos a sitios que admiten la replicacin de Active Directory entre sitios.

Planeacin de la capacidad de los controladores de dominio

Con el fin de garantizar el rendimiento eficaz de Active Directory, deber determinar el nmero adecuado de controladores de dominio para cada sitio y comprobar que cumplen los requisitos de hardware de Windows Server 2003. La planeacin meticulosa de capacidades con referencia a los controladores de dominio evitar que se subestimen los requisitos de hardware, lo que podra influir de forma negativa en el rendimiento de los controladores de dominio y el tiempo de respuesta de las aplicaciones.

Caractersticas avanzadas de Active Directory

Los niveles funcionales de Active Directory de Windows Server 2003 permiten habilitar caractersticas nuevas, por ejemplo, la replicacin mejorada de pertenencia a grupos, la desactivacin y la redefinicin de atributos y clases en el esquema y de relaciones de confianza de bosques que requieren la ejecucin de Windows Server 2003 por parte de todos los controladores de dominio en el dominio o el bosque participante. Parte del proceso de diseo de Active Directory implica la identificacin de los niveles funcionales de dominio y bosque que requiere la organizacin. Para implementar estas caractersticas de Active Directory de Windows Server 2003 en la empresa, primero deber implementar Active Directory de Windows Server 2003 y, seguidamente, elevar el bosque y el dominio al nivel funcional adecuado.

Determinacin de los requisitos de implementacin de Active Directory

La estructura del entorno existente determina la estrategia para la implementacin de Active Directory de Windows Server 2003. Si se dispone a crear un entorno de Active Directory y no cuenta con una estructura de dominios existente, deber completar el diseo de Active Directory antes de empezar a crear el entorno. Despus, podr implementar un nuevo dominio raz de bosque y aplicar el resto de la estructura de dominios de acuerdo con el diseo.

Raz de bosque de Windows Server 2003

Para implementar Active Directory, primero es necesario implementar un dominio raz de bosque de Windows Server 2003. Esto se consigue mediante la configuracin de DNS, la implementacin de controladores de dominio raz de bosque, la configuracin de la topologa de sitios para el dominio raz de bosque y la configuracin de funciones de maestro de operaciones.

14 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Dominios regionales de Windows Server 2003

Si se dispone a crear uno o varios dominios regionales en un bosque de Windows Server 2003, deber implementar cada dominio regional posteriormente a la implementacin del dominio raz de bosque. Para hacerlo, es necesario delegar una zona DNS e implementar controladores de dominio para cada dominio regional.

Actualizacin de dominios de Windows NT 4.0 a Windows Server 2003

Cuando haya llevado a cabo una actualizacin local de dominios de Windows NT 4.0, podr empezar a usar Active Directory sin realizar modificacin alguna en la estructura de dominios existente. De forma alternativa, si no desea conservar la estructura de dominios existente, puede reestructurar los dominios de Windows NT 4.0 en un bosque de Windows Server 2003. Para obtener ms informacin sobre la reestructuracin de dominios de Windows NT 4.0 en un bosque de Windows Server 2003, consulte la seccin "Determinacin de requisitos de reestructuracin", incluida ms adelante en este captulo.

Actualizacin de dominios de Windows 2000 a Windows Server 2003

La actualizacin de dominios de Windows 2000 a dominios de Windows Server 2003 constituye una forma eficaz y sencilla de aprovechar las caractersticas y la funcionalidad adicionales de Windows Server 2003. La actualizacin de Windows 2000 a Windows Server 2003 requiere una configuracin mnima de la red y tiene un impacto reducido en las operaciones de usuario.

Determinacin de los requisitos de reestructuracin

Quizs decida reestructurar el entorno existente como parte de la implementacin de Active Directory. Antes de hacerlo, deber determinar cmo y cundo se debe llevar a cabo la reestructuracin. Las organizaciones con una estructura de dominios existente basada en Windows NT 4.0 podran decantarse por la actualizacin local de algunos dominios y la reestructuracin de otros. Adems, es posible que decida reducir la complejidad del entorno mediante la reestructuracin de dominios entre bosques o la reestructuracin de dominios en un mismo bosque con posterioridad a la implementacin de Active Directory.

Reestructuracin de dominios de Windows NT 4.0 en un bosque de Windows Server 2003

Debido a su escalabilidad superior, un entorno de Active Directory de Windows Server 2003 requiere menos dominios que un entorno de Windows NT 4.0. En lugar de llevar a cabo la actualizacin local de los dominios de Windows NT 4.0, quizs resulte ms eficiente consolidar cierto nmero de dominios pequeos de recursos y cuentas de Windows NT 4.0 en unos pocos dominios ms grandes de Active Directory.

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 15

Reestructuracin de dominios de Active Directory entre bosques

Al reestructurar dominios entre bosques de Windows Server 2003, es posible reducir el nmero de dominios en el entorno y, as, reducir la sobrecarga y la complejidad de la administracin. Cuando se produce la migracin de objetos entre bosques como parte del proceso de reestructuracin, tenemos la existencia simultnea de los entornos de dominio de origen y de destino. Esto permite revertir al entorno de origen durante la migracin, en caso de ser necesario.

Reestructuracin de dominios de Active Directory en un mismo bosque

Al reestructurar dominios de Windows Server 2003 en un mismo bosque de Windows Server 2003, puede consolidar la estructura de dominios y, por lo tanto, reducir la sobrecarga y la complejidad de la administracin. A diferencia de lo que ocurre en el proceso de reestructuracin de dominios de Windows Server 2003 entre bosques, al reestructurar dominios en un mismo bosque, las cuentas migradas dejan de existir en el dominio de origen. La tabla 1.3 enumera las diferencias entre la reestructuracin de dominios entre bosques y en un mismo bosque. Tabla 1.3 Diferencias entre la reestructuracin de dominios entre bosques y en un mismo bosque
Consideracin de migracin Conservacin de objetos Reestructuracin entre bosques Reestructuracin en un mismo bosque

Los objetos se clonan en Los objetos se migran y dejan de existir en la lugar de migrarse. El objeto ubicacin de origen. original permanece en la ubicacin de origen para mantener el acceso de usuario a los recursos. Se requiere el historial SID. Las contraseas se retienen siempre. En estaciones de trabajo con Windows 2000 y versiones posteriores, los perfiles locales se migran automticamente porque se conserva el GUIDdel usuario. Sin embargo, deber usar herramientas como ADMT para migrar perfiles locales en estaciones de trabajo con Windows NT 4.0 y versiones anteriores. Deber migrar cuentas en conjuntos cerrados.

Mantenimiento de El mantenimiento del historial SID historial SID es opcional. Retencin de contraseas Migracin de perfiles locales La retencin de contraseas es opcional. Deber usar herramientas como ADMT para migrar perfiles locales.

Conjuntos cerrados

No es necesario migrar cuentas en conjuntos cerrados.

16 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Ejemplo: Establecimiento de una estrategia de implementacin de Active Directory

Para ilustrar el proceso de implementacin de Active Directory, los captulos de este libro presentan el ejemplo del modo en que una empresa ficticia, Contoso Pharmaceuticals, implementa Active Directory en su entorno. El entorno de Contoso incluye cuatro dominios; todos ellos ejecutan Active Directory de Windows 2000. La figura 1.4 muestra la estructura de dominios actual de Contoso. Figura 1.4 Estructura de dominios de Contoso

Despus de revisar el entorno existente e identificar los objetivos de implementacin, Contoso estableci la estrategia de implementacin de Active Directory siguiente: Actualizar los dominios de Windows 2000 a dominios de Windows Server 2003. Habilitar las caractersticas avanzadas de Active Directory mediante la elevacin de los niveles funcionales de dominio y bosque a Windows Server 2003.

Tras actualizar todos los dominios de Windows 2000 a dominios de Windows Server 2003, Contoso reestructurar el dominio africa.concorp.contoso.com en el mismo bosque para consolidarlo con el dominio emea.concorp.contoso.com.

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 17

La organizacin Contoso se encuentra en proceso de adquisicin de una empresa llamada Trey Research, que, actualmente, ejecuta un entorno basado en Windows NT 4.0, como muestra la figura 1.5. Figura 1.5 Entorno actual de Trey Research

Contoso estableci la estrategia de implementacin de Active Directory siguiente para la adquisicin de Trey Research: Disear la estructura lgica de Active Directory para crear diseos de bosques, dominios, DNS y unidades organizativas en el nuevo entorno de Windows Server 2003. Disear la topologa de sitios para crear los sitios, los vnculos a sitios y los puentes de vnculos a sitios requeridos. Planear la capacidad de los controladores de dominio para determinar los requisitos de hardware del nuevo entorno de Windows Server 2003. Implementar trccorp.treyresearch.net como dominio raz de bosque. Implementar tres dominios regionales. Diferentes equipos pueden crear estos dominios simultneamente. Actualizar el dominio EAST a Windows Server 2003 para convertirlo en east.trccorp.treyresearch.net. Crear dos dominios regionales nuevos de Windows Server 2003 llamados asia.trccorp.treyresearch.net y west.trccorp.treyresearch.net.

Reestructurar los dominios BOSTON, MAIL-APPS, PROD-APPS y OFFICE-APPS en el dominio east.trccorp.treyresearch.net de Windows Server 2003 mediante ADMT. Elevar los niveles funcionales de dominio y bosque a Windows Server 2003.

La figura 1.6 muestra el entorno intermedio para Trey Research.

18 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Figura 1.6 Entorno intermedio para Trey Research

Posteriormente, Contoso determin que un solo dominio sera ms rentable para Europa, Oriente Medio y la regin asitica, de modo que el paso final del proceso de implementacin consiste en reestructurar asia.trccorp.treyresearch.net en el dominio emea.concorp.contoso.com del bosque de Contoso mediante ADMT. La figura 1.7 presenta la estructura de dominios para la empresa Contoso despus de completar la adquisicin de Trey Research y el proceso de implementacin de Active Directory de Windows Server 2003. Figura 1.7 Entorno final de Contoso y Trey Research

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 19

Pruebas y confirmacin del proceso de implementacin

En cualquier implementacin de Active Directory, es posible reducir al mnimo el impacto en las operaciones empresariales habituales mediante la realizacin de pruebas de suposiciones de diseo y la comprobacin del proceso de implementacin en un programa piloto. Segn vaya creando el primer borrador del diseo de Active Directory, empiece a probar y confirmar. La realizacin de pruebas y la comprobacin comienzan en la fase de diseo y continan durante las fases de implementacin y operaciones. La figura 1.8 muestra el proceso de pruebas y confirmacin del diseo y la implementacin de Active Directory. Figura 1.8 Pruebas y confirmacin del diseo y la implementacin de Active Directory

Pruebas de diseo e implementacin en un entorno de laboratorio

Las pruebas en laboratorio constituyen la primera evaluacin del diseo de Active Directory. El proceso consiste en confirmar las suposiciones realizadas por los arquitectos de diseo. Cuando est a punto de completar el primer borrador del diseo de Active Directory, empiece a probar suposiciones de diseo especficas en el proceso de implementacin en un entorno de laboratorio. De este modo, descubrir posibles dificultades de diseo que afectan al proceso de implementacin y podr comunicrselas al equipo de diseo para que corrija los problemas de forma previa la implementacin.

20 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Asegrese de que el entorno del laboratorio de pruebas est aislado del resto de la red de produccin de la empresa y que representa, a escala reducida, la configuracin de sistema operativo y hardware de los equipos de la organizacin. Incluya en el entorno de laboratorio los controladores de dominio necesarios para respaldar una muestra representativa del diseo del sitio, incluidos asociados de replicacin entre sitios y en un mismo sitio, vnculos a sitios e intervalos de replicacin razonables. Incluya cuentas de usuario y grupo, y otros recursos designados exclusivamente para las pruebas. Compruebe que el entorno de pruebas ofrece acceso a configuraciones de prueba de servicios externos, como mainframe e Internet, segn se requiera. Conserve el laboratorio permanentemente para probar procedimientos nuevos y utilizarlo en sesiones de aprendizaje para el equipo de implementacin. El equipo de implementacin puede hacer uso del entorno de laboratorio para identificar los aspectos especficos de su proceso de implementacin y familiarizarse con las herramientas de migracin e implementacin utilizadas durante la implementacin de Active Directory. Comnmente, las pruebas de suposiciones de diseo y las pruebas del proceso de implementacin quedan al cargo de equipos diferentes. La tabla 1.4 enumera las pruebas de laboratorio y los miembros de equipo que las realizan. Tabla 1.4 Pruebas de laboratorio y miembros de equipo correspondientes
Proceso de pruebas Pruebas de laboratorio Analizar la topologa de sitios y la replicacin de Active Directory. Probar compatibilidad de equipos de escritorio y aplicaciones. Probar recuperacin ante desastres. Probar proceso de implementacin Probar migracin de cuentas y recursos. Evaluar delegacin, administracin y direccin. Miembros de equipo Equipo de diseo, propietario de topologa de sitios y equipo de implementacin. Equipo de diseo.

Probar suposiciones de diseo

Propietario del bosque y equipo de implementacin. Propietario del bosque y equipo de implementacin. Propietario del bosque.

Pruebas de suposiciones de diseo

El equipo encargado del proceso de diseo realiza suposiciones que se integran en el diseo de Active Directory, como la compatibilidad de aplicaciones y la replicacin de Active Directory. Cuando el equipo haya completado el borrador del diseo, ser necesario probar las suposiciones en el entorno de laboratorio. Para hacerlo, el equipo de diseo debe: analizar la topologa de sitios y la replicacin de Active Directory. desarrollar un plan de pruebas y, seguidamente, probar la compatibilidad de los equipos de escritorio y las aplicaciones.

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 21

Anlisis de la topologa de sitios y la replicacin de Active Directory

El diseo de la topologa de sitios especifica la latencia de replicacin mxima, es decir, el perodo de tiempo requerido para replicar cambios en todo el bosque. El equipo de diseo deber asegurarse de que la latencia de replicacin en el bosque es inferior o igual a la latencia mxima de replicacin especificada en el diseo. El equipo debe realizar una prueba representativa del peor caso basada en el nmero mximo de saltos supuestos en el diseo. El equipo deber observar el perodo de tiempo que conlleva la convergencia de replicacin cuando se produce algn error en controladores de dominio o en vnculos de comunicaciones.

Para analizar la conmutacin por error de la replicacin entre sitios de Active Directory
1. 2. 3. 4. 5. 6. Identifique los controladores de dominio responsables de la replicacin entre sitios mediante el uso de Sitios y servicios de Active Directory. Desconecte los controladores de dominio o deshabilite los vnculos de comunicaciones que se utilizan en la replicacin entre sitios. Permita que el comprobador de coherencia de la informacin (KCC) configure automticamente una topologa de replicacin nueva. Identifique los controladores de dominio que se encargan ahora de la replicacin entre sitios. Vuelva a conectar los controladores de dominio o habilite de nuevo los vnculos de comunicaciones. Compruebe que la topologa de replicacin entre sitios recupera el estado original, como se identifica en el paso 1.

Comprobacin de la compatibilidad de equipos de escritorio y aplicaciones

Adems, el equipo de diseo debe determinar la compatibilidad entre aplicaciones, sistemas operativos de escritorio y Active Directory. Por lo general, los aspectos de las pruebas de aplicaciones que resultan afectados por una migracin o una actualizacin de Active Directory tienen que ver con aplicaciones que se ejecutan en servidores y equipos cliente, y con el uso de acceso remoto. Compruebe las suposiciones de diseo relativas a la compatibilidad de equipos escritorio y aplicaciones mediante la creacin de una lista de aplicaciones crticas. Los miembros del equipo de diseo deben probar cada aplicacin para garantizar que su funcionamiento ser correcto en un entorno migrado. Al comprobar la compatibilidad de equipos de escritorio y aplicaciones, confirme que: las aplicaciones de servidor existentes, como las que se ejecutan actualmente en un controlador de dominio de reserva (BDC) de Windows NT 4.0, pueden ejecutarse en controladores de dominio y servidores miembro basados en Windows Server 2003. Por ejemplo, algunas aplicaciones de servidor que se ejecutan en BDC hacen uso de grupos locales compartidos. Para ejecutar estas aplicaciones de servidor en un controlador de dominio basado en Windows Server 2003, compruebe que las aplicaciones se ejecutan correctamente con el uso de grupos locales de dominio de Active Directory. Las aplicaciones de servidor que se ejecutan en una combinacin de servidores de Windows Server 2003 y Windows NT 4.0 pueden interoperar unas con otras.

22 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Por ejemplo, compruebe que un servidor basado en Windows Server 2003 con Microsoft SQL Server puede interactuar con un servidor basado en Windows NT 4.0 al ejecutar la misma aplicacin. Las aplicaciones de escritorio existentes se ejecutan correctamente cuando se lleva a cabo la migracin de la infraestructura de dominios a Active Directory de Windows Server 2003. Las aplicaciones existentes que usan la seguridad integrada de Windows se ejecutan correctamente cuando se lleva a cabo la migracin de la infraestructura de dominios a Active Directory de Windows Server 2003.

Si encuentra que alguna aplicacin de servidor no se puede migrar a un controlador de dominio basado en Windows Server 2003, pruebe a instalar de nuevo la aplicacin o instale una versin posterior de la misma en un servidor miembro basado en Windows Server 2003. Si la aplicacin no se ejecuta en un servidor con Windows Server 2003, puede continuar ejecutndola en el servidor con Windows NT 4.0 o Windows 2000. Comunique al equipo de diseo que no se puede realizar la actualizacin local del dominio de la aplicacin del servidor y tampoco se puede consolidar, por lo que deber permanecer tal cual hasta que haya disponible una versin de la aplicacin que se pueda ejecutar en un controlador de dominio basado en Windows Server 2003. Como objetivo de implementacin a largo plazo, traslade las aplicaciones que actualmente se ejecutan en controladores de dominio a servidores miembro.

Pruebas de procesos de implementacin

En un entorno de laboratorio y, de forma previa al comienzo del programa piloto, el equipo de implementacin debe probar tareas especficas fundamentales para el proceso de implementacin de Active Directory, por ejemplo, la migracin de cuentas y recursos de Windows NT 4.0 a Active Directory de Windows Server 2003. Para comprobar el proceso de implementacin en el entorno de laboratorio: pruebe la recuperacin ante desastres. pruebe la migracin de cuentas y recursos. evale la delegacin, administracin y direccin.

Pruebas de recuperacin ante desastres

Pruebe la recuperacin ante desastres en el entorno de laboratorio para confirmar que los usuarios pueden iniciar la sesin en un tiempo de respuesta aceptable en casos de restauracin de controladores de dominio con errores, as como para determinar el tiempo que requiere dicho proceso de restauracin. Para incluir un proceso de recuperacin ante desastres en la implementacin de Active Directory, realice una copia de seguridad de los datos de estado del sistema en un mnimo de dos controladores de dominio del entorno de laboratorio. Una vez hecho esto, compruebe la validez de la cinta de copia de seguridad y del proceso de restauracin. Realice las pruebas siguientes: Lleve a cabo una restauracin no autoritativa del controlador de dominio que presenta datos daados en la base de datos de servicios de directorio. Lleve a cabo una restauracin autoritativa de un controlador de dominio para recuperar los datos de Active Directory eliminados.

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 23

Asegrese de que las pruebas representan las velocidades de conexin mnimas en el entorno, as como el nmero mximo de cuentas de usuario. Por ejemplo, al determinar el tiempo requerido para restaurar un controlador de dominio con errores, asegrese de probar la restauracin de los datos de estado del sistema de la copia de seguridad para cualquier controlador de dominio que sea nico en un sitio conectado con una velocidad de datos mxima de 128 Kbps. Pruebe tambin la restauracin de los datos de estado del sistema de la copia de seguridad para cualquier controlador de dominio en un dominio con ms de 20.000 cuentas de usuario. Cuando un controlador de dominio est conectado a otros controladores de dominio con una velocidad de datos igual o superior a 128 Kbps, pruebe el proceso para instalar Active Directory en un controlador de dominio nuevo y dejar que la replicacin de Active Directory vuelva a llenar la base de datos de Active Directory. Para obtener ms informacin sobre pruebas de recuperacin ante desastres, consulte Recuperacin ante desastres de Active Directory (.doc) en la pgina de recursos web en http://www.microsoft.com/windows/reskits/webresources (puede estar en ingls).

Pruebas de migracin de cuentas y recursos

Para probar el proceso de implementacin con respecto a la migracin de cuentas y recursos, use los procedimientos del captulo referentes al proceso de reestructuracin que est planeando. Las organizaciones que se disponen a reestructurar dominios de Windows NT 4.0 tambin pueden llevar a cabo las pruebas siguientes relativas al proceso de reestructuracin:

Para probar el proceso de implementacin con respecto a la migracin de cuentas y recursos

1. 2. 3. 4. 5. 6. 7. En un mnimo de dos dominios de cuentas de produccin de Windows NT 4.0, cree nuevos controladores de dominio de reserva (BDC). Elimine los nuevos BDC de la red de produccin. Instale los nuevos BDC en el entorno de laboratorio. Aumente el nivel de los nuevos BDC: convirtalos en controladores de dominio principales (PDC). Realice actualizaciones locales y reestructure los dominios de cuentas en el laboratorio. Lleve a cabo la migracin de cuentas y recursos con una herramienta como ADMT. Compruebe que las cuentas migradas disponen de acceso a recursos y conservan los perfiles de usuario.

24 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Evaluacin de delegacin, administracin y direccin

Evale los procesos de delegacin, administracin y direccin mediante la creacin de la estructura de unidades organizativas especificada en el diseo de Active Directory. Delegue el control de unidades organizativas en cuentas de grupo concretas utilizadas para la administracin. Siga estos pasos para comprobar que la delegacin se realiza correctamente:

Para confirmar la delegacin correcta del control de unidades organizativas en grupos especficos
1. 2. 3. Inicie la sesin como usuario miembro de la cuenta de grupo en la que ha delegado el control. Realice tareas de administracin en objetos de la unidad organizativa (por ejemplo, modifique las propiedades de un usuario en una unidad organizativa de cuentas). Intente realizar (sin xito) tareas administrativas en unidades organizativas en las que el grupo de administracin no dispone de control delegado.

Comprobacin de la implementacin en un programa piloto

En el entorno de laboratorio, deber comprobar que el proceso de implementacin funciona fuera del entorno de produccin en cuentas y recursos que asemejan el entorno de produccin. Si su entorno ejecuta Active Directory de Windows 2000, haga uso del programa piloto existente para comprobar la implementacin de Windows Server 2003. En el programa piloto de implementacin, identifique un subconjunto controlado de las cuentas (usuarios, grupos y servicios) y los recursos existentes en el entorno de produccin. Aplique el proceso de implementacin en las cuentas y los recursos identificados. Los objetivos del programa piloto incluyen: realizar pruebas en un subconjunto del entorno de produccin. proporcionar un entorno de pruebas para otros grupos de diseo e implementacin, como la implementacin de Exchange 2000. comprobar el proceso y los procedimientos para actualizaciones de la infraestructura de red y sistema operativo. comprobar el funcionamiento adecuado de las actualizaciones de aplicaciones. evaluar el impacto de soluciones de supervisin en la infraestructura de red y los servidores supervisados. descubrir problemas potenciales en el proceso de implementacin causados por dificultades que no fue posible probar en el entorno de laboratorio. revisar el proceso de implementacin para corregir cualquier problema descubierto de forma previa a la implementacin de produccin.

En la implementacin piloto, empiece por los usuarios involucrados en el proyecto de implementacin y, despus, incluya usuarios representativos de la base de usuarios de la organizacin.

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 25

Para crear un programa piloto de implementacin en su entorno

1. Cree dominio_raz_bosque, donde dominio_raz_bosque es el nombre de un dominio raz de bosque vaco de Active Directory creado, al anexar -test al nombre del dominio raz de bosque de produccin. Cree dominio_regional, donde dominio_regional es el nombre del dominio regional en el programa piloto, al anexar -test al nombre del dominio regional de produccin. Establezca las relaciones de confianza adecuadas entre dominio_regional y dominio_winnt, donde dominio_winnt es un dominio de cuentas o recursos de Windows NT 4.0. Migre las cuentas y los recursos seleccionados de dominio_winnt a dominio_regional. Compruebe que los usuarios y los administradores pueden realizar, aunque en grado mnimo, las tareas que podan llevar a cabo antes de la migracin (por ejemplo, obtener acceso a recursos y administrar cuentas y recursos). Importante
Al realizar la migracin de usuarios de produccin al programa piloto, deje las cuentas de usuario habilitadas en los entornos piloto y de produccin. Al mantener habilitadas las cuentas de usuario en el entorno de produccin, contar con un plan de reserva en caso de que se presente alguna complicacin en el entorno piloto.

2. 3. 4. 5.

Ejemplo: Creacin de un programa piloto de implementacin para Trey Research

Contoso y Trey Research crearon un programa piloto para la implementacin de Active Directory. La tabla 1.5 muestra los nombres que proporcionaron para la implementacin piloto. Tabla 1.5 Ejemplo de un programa piloto de implementacin
Dominio dominio_raz_bosque dominio_regional dominio_winnt Nombre trccorp-test.treyresearch.net east-test.trccorp-test.treyresearch.net BOSTON para dominio de cuentas OFFICE-APPS para dominio de recursos

La figura 1.9 ilustra la configuracin de la implementacin piloto.

26 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Figura 1.9 Configuracin de la implementacin piloto

Finalizacin del programa piloto de implementacin

Cuando haya terminado el programa piloto de implementacin, conserve el entorno de implementacin piloto y selo como entorno de ensayo para la implementacin de produccin. Contine utilizando el bosque piloto para comprobar nuevos procesos de implementacin como, por ejemplo, la inclusin de nuevas aplicaciones o extensiones de esquema, la instalacin de sistemas operativos, la creacin de objetos de directiva de grupo y la reestructuracin de unidades organizativas. Como mencionamos anteriormente, a modo de plan de reserva, debera dejar habilitadas las cuentas de usuario tanto en el entorno de produccin original como en el entorno de implementacin piloto. Mantenga a los usuarios en el entorno de implementacin piloto para que realicen su trabajo de produccin; no migre las cuentas del entorno de implementacin piloto al bosque de produccin. En su lugar, si decide trasladar a usuarios piloto a otro bosque de produccin, lleve a cabo la migracin a partir de su entorno de produccin original. Esto garantiza que todos los usuarios del bosque de produccin disponen de cuentas coherentes y facilita la solucin de problemas.

Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 27

Ejemplo: Finalizacin del programa piloto de implementacin para Trey Research

La figura 1.10 muestra una comparacin entre el diseo del bosque piloto de Active Directory y la implementacin del bosque de produccin. Figura 1.10 Comparacin del bosque piloto y el bosque de produccin

Recursos adicionales
Los recursos siguientes ofrecen informacin y herramientas adicionales con referencia a este captulo.

Informacin relacionada
Diseo de la estructura lgica de Active Directory, en este libro. Diseo de la topologa de sitios, en este libro. Planeacin de la capacidad de los controladores de dominio, en este libro. Habilitacin de caractersticas avanzadas de Active Directory de Windows Server 2003, en este libro. Implementacin del dominio raz de bosque de Windows Server 2003, en este libro.

28 Captulo 1 Plan de un proyecto de implementacin de Active Directory

Implementacin de dominios regionales de Windows Server 2003, en este libro. Actualizacin de dominios de Windows NT 4.0 a Active Directory de Windows Server 2003, en este libro. Actualizacin de dominios de Windows 2000 a dominios de Windows Server 2003, en este libro. Reestructuracin de dominios de Windows NT 4.0 a un bosque de Active Directory, en este libro. Reestructuracin de dominios de Active Directory entre bosques, en este libro. Reestructuracin de dominios de Active Directory en un mismo bosque, en este libro. Implementacin de DNS, en el apartado Implementacin de servicios de red de este kit. Vnculo de Active Directory en la pgina de recursos web en http://www.microsoft.com/windows/reskits/webresources (puede estar en ingls). Haga clic en Guas de planeacin e implementacin (puede estar en ingls) para obtener acceso a vnculos adicionales que le permitirn descargar las guas siguientes: Gua de planeacin de Active Directory en sucursales (puede estar en ingls) Gua de operaciones de Active Directory (puede estar en ingls) Recomendaciones para el diseo de Active Directory con Exchange 2000 (puede estar en ingls) Consideraciones sobre varios bosques (puede estar en ingls) Gua de recomendaciones sobre la seguridad de instalaciones y operaciones habituales de Active Directory: Parte I (puede estar en ingls)

Temas de Ayuda relacionados

Para obtener los mejores resultados al identificar temas de Ayuda por ttulo, en el Centro de ayuda y soporte tcnico, bajo el cuadro Bsqueda, haga clic en Establecer opciones de bsqueda. Debajo de Temas de Ayuda, active la casilla de verificacin Buscar slo en Ttulo. Active Directory, en el Centro de ayuda y soporte tcnico de Windows Server 2003 (puede estar en ingls). Herramientas de soporte de Windows, dentro de Herramientas, en el Centro de ayuda y soporte tcnico de Windows Server 2003 (puede estar en ingls).