Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En este captulo:
Informacin general sobre la planeacin de un proyecto de implementacin de Active Directory .......... 4 Determinacin de la estrategia de diseo e implementacin de Active Directory ...................................... 8 Pruebas y confirmacin del proceso de implementacin ..............................................................................19 Recursos adicionales ...........................................................................................................................................27
Informacin relacionada
Para obtener ms informacin sobre planeacin, pruebas y desarrollo piloto de un proyecto de implementacin, consulte las secciones Diseo de un entorno de pruebas y Planeacin y pruebas de la implementacin de aplicaciones, incluidas en el apartado Planeacin, pruebas y desarrollo piloto de proyectos de implementacin de este kit. Para obtener ms informacin sobre la implementacin del Sistema de nombres de dominio (DNS) de Windows Server 2003, consulte Implementacin de DNS, en el apartado Implementacin de servicios de red de este kit. Para obtener ms informacin sobre la directiva de grupo, consulte la Gua de servicios distribuidos del Kit de recursos de Microsoft Windows Server 2003 (puede estar en ingls) o consulte la Gua de servicios distribuidos en Internet, en la direccin http://www.microsoft.com/reskit (puede estar en ingls).
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 5
Aunque las estrategias de diseo e implementacin de Active Directory de Windows Server 2003 presentadas en este libro se basan en pruebas extensas de laboratorio y programa piloto, as como en implementaciones satisfactorias en entornos de cliente, es probable que sea necesario personalizar el diseo y la implementacin de Active Directory para cumplir los requisitos de entornos complejos especficos. Para obtener ms informacin sobre la implementacin de Active Directory en entornos de sucursales, consulte la Gua de planeacin de Active Directory en sucursales (puede estar en ingls). Para obtener ms informacin sobre la implementacin de Active Directory en entornos de Exchange, consulte Recomendaciones para el diseo de Active Directory con Exchange 2000 (puede estar en ingls). Para obtener ms informacin sobre la implementacin de Active Directory en entornos de varios bosques, consulte Consideraciones sobre varios bosques (puede estar en ingls). Para descargar estas guas, use el vnculo de Active Directory en la pgina de recursos web en http://www.microsoft.com/windows/reskits/webresources y haga clic en Guas de planeacin e implementacin (puede estar en ingls). Este libro tambin proporciona diagramas de flujo, ayudas para trabajos y ejemplos de implementacin que le ayudarn a optimizar el diseo y la implementacin de Active Directory en su organizacin.
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 7
Trminos y definiciones
Los trminos siguientes son importantes a la hora de entender el proceso de implementacin de Active Directory de Windows Server 2003.
Migracin
Proceso de transferencia de un objeto de un dominio de origen a un dominio de destino, a la vez que se conservan o se modifican las caractersticas del objeto para que resulte accesible en el dominio nuevo.
Reestructuracin de dominios
Proceso de migracin que implica la modificacin de la estructura de dominios de un bosque. La reestructuracin de dominios puede conllevar la consolidacin o la inclusin de dominios, y puede tener lugar entre bosques o en un mismo bosque.
Consolidacin de dominios
Proceso de reestructuracin que implica la eliminacin de dominios de Microsoft Windows NT 4.0 o de Active Directory al combinar su contenido con el contenido de otros dominios.
Actualizacin de dominios
Proceso de actualizacin del servicio de directorio de un dominio a una versin posterior del servicio de directorio. Esto incluye la actualizacin del sistema operativo en todos los controladores de dominio y la elevacin del nivel funcional de Active Directory donde corresponda.
Dominio regional
Dominio secundario creado segn una regin geogrfica concreta para optimizar el trfico de replicacin.
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 9
La estrategia de implementacin de Active Directory que aplique variar en funcin de la configuracin de red existente. Por ejemplo, si actualmente la organizacin utiliza Windows 2000, bastar con que actualice el sistema operativo a Windows Server 2003. Sin embargo, si la organizacin se basa en Windows NT 4.0 o en un sistema operativo de red ajeno a Windows, tendr que disear una infraestructura de Active Directory antes de realizar la actualizacin a Windows Server 2003. El proceso de implementacin podra requerir la reestructuracin de dominios existentes, ya sea en un mismo bosque o entre bosques de Active Directory. Es posible que necesite reestructurar los dominios existentes despus de implementar Active Directory de Windows Server 2003 o cuando se produzcan cambios organizativos o adquisiciones corporativas. Tambin puede reestructurar dominios de un entorno de Windows NT 4.0 a un bosque de Active Directory con el fin de actualizar el entorno de produccin a Windows Server 2003.
La tabla 1.1 enumera los posibles puntos de inicio y objetivos de una implementacin de Active Directory de Windows Server 2003, as como los pasos de implementacin correspondientes y los captulos de este libro que se aplican a cada uno. Tabla 1.1 Entorno actual, objetivos y captulos correspondientes para la implementacin de Active Directory de Windows Server 2003
Entorno Objetivos de implementacin Crear diseo de bosques, dominios, DNS y unidades organizativas. Crear un diseo de sitio y de vnculo a sitios. Evaluar los requisitos de hardware. Nueva organizacin Implementar el dominio raz de bosque. Implementar dominios regionales. Elevar los niveles funcionales de dominio y bosque. Crear diseo de bosques, dominios, DNS y unidades organizativas. Crear un diseo de sitio y de vnculo a sitios. Windows NT 4.0 Evaluar los requisitos de hardware. Implementar el dominio raz de bosque. Implementar dominios regionales. Captulos correspondientes Captulo 2: Diseo de la estructura lgica de Active Directory
Captulo 3: Diseo de la topologa de sitios Captulo 4: Planeacin de la capacidad de los controladores de dominio Captulo 6: Implementacin del dominio raz de bosque de Windows Server 2003 Captulo 7: Implementacin de dominios regionales de Windows Server 2003 Captulo 5: Habilitacin de caractersticas avanzadas de Active Directory de Windows Server 2003 Captulo 2: Diseo de la estructura lgica de Active Directory
Captulo 3: Diseo de la topologa de sitios Captulo 4: Planeacin de la capacidad de los controladores de dominio Captulo 6: Implementacin del dominio raz de bosque de Windows Server 2003 Captulo 7: Implementacin de dominios regionales de Windows Server 2003
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 11
Realizar actualizacin local de dominios de Windows NT 4.0 que continuarn formando parte de la estructura de dominios de Active Directory. Reestructurar otros dominios de Windows NT 4.0. Elevar los niveles funcionales de dominio y bosque. Actualizar los controladores de dominio de Windows 2000. Elevar los niveles funcionales de dominio y bosque.
Captulo 8: Actualizacin de dominios de Windows NT 4.0 a Active Directory de Windows Server 2003
Captulo 10: Reestructuracin de dominios de Windows NT 4.0 en un bosque de Active Directory Captulo 5: Habilitacin de caractersticas avanzadas de Active Directory de Windows Server 2003 Captulo 9: Actualizacin de dominios de Windows 2000 a dominios de Windows Server 2003 Captulo 5: Habilitacin de caractersticas avanzadas de Active Directory de Windows Server 2003
Windows 2000
La tabla 1.2 enumera los objetivos y los captulos correspondientes aplicables a la reestructuracin de dominios, ya sea entre bosques o en un mismo bosque. Tabla 1.2 Objetivos y captulos correspondientes para la reestructuracin de dominios de Active Directory
Accin Objetivos de implementacin Crear diseo de bosques, dominios, DNS y unidades organizativas. Reestructurar dominios en un mismo bosque Crear un diseo de sitio y de vnculo a sitios. Usar una herramienta como la Herramienta de migracin Active Directory (ADMT) para reestructurar dominios en un mismo bosque. Crear diseo de bosques, dominios, DNS y unidades organizativas. Crear un diseo de sitio y de vnculo a sitios. Usar una herramienta como ADMT para reestructurar dominios entre bosques. Captulos correspondientes Captulo 2: Diseo de la estructura lgica de Active Directory Captulo 3: Diseo de la topologa de sitios Captulo 12: Reestructuracin de dominios de Active Directory en un mismo bosque
Captulo 2: Diseo de la estructura lgica de Active Directory Captulo 3: Diseo de la topologa de sitios Captulo 11: Reestructuracin de dominios de Active Directory entre bosques
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 13
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 15
Los objetos se clonan en Los objetos se migran y dejan de existir en la lugar de migrarse. El objeto ubicacin de origen. original permanece en la ubicacin de origen para mantener el acceso de usuario a los recursos. Se requiere el historial SID. Las contraseas se retienen siempre. En estaciones de trabajo con Windows 2000 y versiones posteriores, los perfiles locales se migran automticamente porque se conserva el GUIDdel usuario. Sin embargo, deber usar herramientas como ADMT para migrar perfiles locales en estaciones de trabajo con Windows NT 4.0 y versiones anteriores. Deber migrar cuentas en conjuntos cerrados.
Mantenimiento de El mantenimiento del historial SID historial SID es opcional. Retencin de contraseas Migracin de perfiles locales La retencin de contraseas es opcional. Deber usar herramientas como ADMT para migrar perfiles locales.
Conjuntos cerrados
Despus de revisar el entorno existente e identificar los objetivos de implementacin, Contoso estableci la estrategia de implementacin de Active Directory siguiente: Actualizar los dominios de Windows 2000 a dominios de Windows Server 2003. Habilitar las caractersticas avanzadas de Active Directory mediante la elevacin de los niveles funcionales de dominio y bosque a Windows Server 2003.
Tras actualizar todos los dominios de Windows 2000 a dominios de Windows Server 2003, Contoso reestructurar el dominio africa.concorp.contoso.com en el mismo bosque para consolidarlo con el dominio emea.concorp.contoso.com.
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 17
La organizacin Contoso se encuentra en proceso de adquisicin de una empresa llamada Trey Research, que, actualmente, ejecuta un entorno basado en Windows NT 4.0, como muestra la figura 1.5. Figura 1.5 Entorno actual de Trey Research
Contoso estableci la estrategia de implementacin de Active Directory siguiente para la adquisicin de Trey Research: Disear la estructura lgica de Active Directory para crear diseos de bosques, dominios, DNS y unidades organizativas en el nuevo entorno de Windows Server 2003. Disear la topologa de sitios para crear los sitios, los vnculos a sitios y los puentes de vnculos a sitios requeridos. Planear la capacidad de los controladores de dominio para determinar los requisitos de hardware del nuevo entorno de Windows Server 2003. Implementar trccorp.treyresearch.net como dominio raz de bosque. Implementar tres dominios regionales. Diferentes equipos pueden crear estos dominios simultneamente. Actualizar el dominio EAST a Windows Server 2003 para convertirlo en east.trccorp.treyresearch.net. Crear dos dominios regionales nuevos de Windows Server 2003 llamados asia.trccorp.treyresearch.net y west.trccorp.treyresearch.net.
Reestructurar los dominios BOSTON, MAIL-APPS, PROD-APPS y OFFICE-APPS en el dominio east.trccorp.treyresearch.net de Windows Server 2003 mediante ADMT. Elevar los niveles funcionales de dominio y bosque a Windows Server 2003.
Posteriormente, Contoso determin que un solo dominio sera ms rentable para Europa, Oriente Medio y la regin asitica, de modo que el paso final del proceso de implementacin consiste en reestructurar asia.trccorp.treyresearch.net en el dominio emea.concorp.contoso.com del bosque de Contoso mediante ADMT. La figura 1.7 presenta la estructura de dominios para la empresa Contoso despus de completar la adquisicin de Trey Research y el proceso de implementacin de Active Directory de Windows Server 2003. Figura 1.7 Entorno final de Contoso y Trey Research
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 19
Asegrese de que el entorno del laboratorio de pruebas est aislado del resto de la red de produccin de la empresa y que representa, a escala reducida, la configuracin de sistema operativo y hardware de los equipos de la organizacin. Incluya en el entorno de laboratorio los controladores de dominio necesarios para respaldar una muestra representativa del diseo del sitio, incluidos asociados de replicacin entre sitios y en un mismo sitio, vnculos a sitios e intervalos de replicacin razonables. Incluya cuentas de usuario y grupo, y otros recursos designados exclusivamente para las pruebas. Compruebe que el entorno de pruebas ofrece acceso a configuraciones de prueba de servicios externos, como mainframe e Internet, segn se requiera. Conserve el laboratorio permanentemente para probar procedimientos nuevos y utilizarlo en sesiones de aprendizaje para el equipo de implementacin. El equipo de implementacin puede hacer uso del entorno de laboratorio para identificar los aspectos especficos de su proceso de implementacin y familiarizarse con las herramientas de migracin e implementacin utilizadas durante la implementacin de Active Directory. Comnmente, las pruebas de suposiciones de diseo y las pruebas del proceso de implementacin quedan al cargo de equipos diferentes. La tabla 1.4 enumera las pruebas de laboratorio y los miembros de equipo que las realizan. Tabla 1.4 Pruebas de laboratorio y miembros de equipo correspondientes
Proceso de pruebas Pruebas de laboratorio Analizar la topologa de sitios y la replicacin de Active Directory. Probar compatibilidad de equipos de escritorio y aplicaciones. Probar recuperacin ante desastres. Probar proceso de implementacin Probar migracin de cuentas y recursos. Evaluar delegacin, administracin y direccin. Miembros de equipo Equipo de diseo, propietario de topologa de sitios y equipo de implementacin. Equipo de diseo.
Propietario del bosque y equipo de implementacin. Propietario del bosque y equipo de implementacin. Propietario del bosque.
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 21
Para analizar la conmutacin por error de la replicacin entre sitios de Active Directory
1. 2. 3. 4. 5. 6. Identifique los controladores de dominio responsables de la replicacin entre sitios mediante el uso de Sitios y servicios de Active Directory. Desconecte los controladores de dominio o deshabilite los vnculos de comunicaciones que se utilizan en la replicacin entre sitios. Permita que el comprobador de coherencia de la informacin (KCC) configure automticamente una topologa de replicacin nueva. Identifique los controladores de dominio que se encargan ahora de la replicacin entre sitios. Vuelva a conectar los controladores de dominio o habilite de nuevo los vnculos de comunicaciones. Compruebe que la topologa de replicacin entre sitios recupera el estado original, como se identifica en el paso 1.
Por ejemplo, compruebe que un servidor basado en Windows Server 2003 con Microsoft SQL Server puede interactuar con un servidor basado en Windows NT 4.0 al ejecutar la misma aplicacin. Las aplicaciones de escritorio existentes se ejecutan correctamente cuando se lleva a cabo la migracin de la infraestructura de dominios a Active Directory de Windows Server 2003. Las aplicaciones existentes que usan la seguridad integrada de Windows se ejecutan correctamente cuando se lleva a cabo la migracin de la infraestructura de dominios a Active Directory de Windows Server 2003.
Si encuentra que alguna aplicacin de servidor no se puede migrar a un controlador de dominio basado en Windows Server 2003, pruebe a instalar de nuevo la aplicacin o instale una versin posterior de la misma en un servidor miembro basado en Windows Server 2003. Si la aplicacin no se ejecuta en un servidor con Windows Server 2003, puede continuar ejecutndola en el servidor con Windows NT 4.0 o Windows 2000. Comunique al equipo de diseo que no se puede realizar la actualizacin local del dominio de la aplicacin del servidor y tampoco se puede consolidar, por lo que deber permanecer tal cual hasta que haya disponible una versin de la aplicacin que se pueda ejecutar en un controlador de dominio basado en Windows Server 2003. Como objetivo de implementacin a largo plazo, traslade las aplicaciones que actualmente se ejecutan en controladores de dominio a servidores miembro.
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 23
Asegrese de que las pruebas representan las velocidades de conexin mnimas en el entorno, as como el nmero mximo de cuentas de usuario. Por ejemplo, al determinar el tiempo requerido para restaurar un controlador de dominio con errores, asegrese de probar la restauracin de los datos de estado del sistema de la copia de seguridad para cualquier controlador de dominio que sea nico en un sitio conectado con una velocidad de datos mxima de 128 Kbps. Pruebe tambin la restauracin de los datos de estado del sistema de la copia de seguridad para cualquier controlador de dominio en un dominio con ms de 20.000 cuentas de usuario. Cuando un controlador de dominio est conectado a otros controladores de dominio con una velocidad de datos igual o superior a 128 Kbps, pruebe el proceso para instalar Active Directory en un controlador de dominio nuevo y dejar que la replicacin de Active Directory vuelva a llenar la base de datos de Active Directory. Para obtener ms informacin sobre pruebas de recuperacin ante desastres, consulte Recuperacin ante desastres de Active Directory (.doc) en la pgina de recursos web en http://www.microsoft.com/windows/reskits/webresources (puede estar en ingls).
Para confirmar la delegacin correcta del control de unidades organizativas en grupos especficos
1. 2. 3. Inicie la sesin como usuario miembro de la cuenta de grupo en la que ha delegado el control. Realice tareas de administracin en objetos de la unidad organizativa (por ejemplo, modifique las propiedades de un usuario en una unidad organizativa de cuentas). Intente realizar (sin xito) tareas administrativas en unidades organizativas en las que el grupo de administracin no dispone de control delegado.
En la implementacin piloto, empiece por los usuarios involucrados en el proyecto de implementacin y, despus, incluya usuarios representativos de la base de usuarios de la organizacin.
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 25
2. 3. 4. 5.
Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aqu. 27
Recursos adicionales
Los recursos siguientes ofrecen informacin y herramientas adicionales con referencia a este captulo.
Informacin relacionada
Diseo de la estructura lgica de Active Directory, en este libro. Diseo de la topologa de sitios, en este libro. Planeacin de la capacidad de los controladores de dominio, en este libro. Habilitacin de caractersticas avanzadas de Active Directory de Windows Server 2003, en este libro. Implementacin del dominio raz de bosque de Windows Server 2003, en este libro.
Implementacin de dominios regionales de Windows Server 2003, en este libro. Actualizacin de dominios de Windows NT 4.0 a Active Directory de Windows Server 2003, en este libro. Actualizacin de dominios de Windows 2000 a dominios de Windows Server 2003, en este libro. Reestructuracin de dominios de Windows NT 4.0 a un bosque de Active Directory, en este libro. Reestructuracin de dominios de Active Directory entre bosques, en este libro. Reestructuracin de dominios de Active Directory en un mismo bosque, en este libro. Implementacin de DNS, en el apartado Implementacin de servicios de red de este kit. Vnculo de Active Directory en la pgina de recursos web en http://www.microsoft.com/windows/reskits/webresources (puede estar en ingls). Haga clic en Guas de planeacin e implementacin (puede estar en ingls) para obtener acceso a vnculos adicionales que le permitirn descargar las guas siguientes: Gua de planeacin de Active Directory en sucursales (puede estar en ingls) Gua de operaciones de Active Directory (puede estar en ingls) Recomendaciones para el diseo de Active Directory con Exchange 2000 (puede estar en ingls) Consideraciones sobre varios bosques (puede estar en ingls) Gua de recomendaciones sobre la seguridad de instalaciones y operaciones habituales de Active Directory: Parte I (puede estar en ingls)