P. 1
Plan de un proyecto de implementación de Active Directory

Plan de un proyecto de implementación de Active Directory

|Views: 6.816|Likes:
Publicado porMauricio Villalobos

More info:

Published by: Mauricio Villalobos on Aug 31, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

06/30/2014

pdf

text

original

Plan de un proyecto de implementación de Active Directory

C A P Í T U L O 1
Al implementar el servicio de directorio de Active Directory® de Microsoft® Windows® Server 2003 en el

entorno, podrá beneficiarse del modelo centralizado de administración delegada y de la capacidad de inicio de sesión único que ofrece Active Directory. Cuando haya identificado el entorno actual y los objetivos de implementación en la empresa, podrá crear una estrategia de implementación de Active Directory que cumpla las necesidades de la organización. Las pruebas de implementación en un entorno de laboratorio aislado y el perfeccionamiento del proceso en determinadas áreas piloto del entorno de producción contribuirán a garantizar una implementación sin complicaciones en toda la organización.

En este capítulo:
Información general sobre la planeación de un proyecto de implementación de Active Directory...............................................................................................................5 Determinación de la estrategia de diseño e implementación de Active Directory10 Pruebas y confirmación del proceso de implementación.....................................21 Recursos adicionales...........................................................................................29

Información relacionada
• Para obtener más información sobre planeación, pruebas y desarrollo piloto de un proyecto de implementación, consulte las secciones “Diseño de un entorno de pruebas” y “Planeación y pruebas de la implementación de aplicaciones”, incluidas en el apartado Planeación, pruebas y desarrollo piloto de proyectos de implementación de este kit.

4

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Para obtener más información sobre la implementación del Sistema de nombres de dominio (DNS) de Windows Server 2003, consulte “Implementación de DNS”, en el apartado Implementación de servicios de red de este kit. Para obtener más información sobre la directiva de grupo, consulte la Guía de servicios distribuidos del Kit de recursos de Microsoft® Windows® Server 2003 (puede estar en inglés) o consulte la Guía de servicios distribuidos en Internet, en la dirección http://www.microsoft.com/reskit (puede estar en inglés).

Recursos adicionales

5

Información general sobre la planeación de un proyecto de implementación de Active Directory
En los sistemas operativos Microsoft® Windows® Server 2003 Standard Edition, Windows® Server 2003 Enterprise Edition y Windows® Server 2003 Datacenter Edition, Active Directory permite a las organizaciones simplificar la administración de usuarios y recursos al tiempo que posibilita la creación de una infraestructura escalable, segura y fácil de administrar. Puede utilizar Active Directory para administrar la infraestructura de red, por ejemplo, en entornos de sucursales, de Microsoft® Exchange Server y de varios bosques. Aunque las instrucciones proporcionadas en este libro son adecuadas para prácticamente cualquier implementación de administración del sistema operativo de red (NOS), estas instrucciones se han probado y validado específicamente en entornos con menos de 100.000 usuarios, un máximo de 1.000 sitios y conexiones de red de un mínimo de 28,8 Kbps. Si su entorno no se ajusta a estos criterios, considere la posibilidad de recurrir a una empresa de consultoría con experiencia en la implementación de Active Directory en entornos más complejos. La implementación de Active Directory ofrece las siguientes ventajas a su organización: • Administración general y de recursos simplificada. Podrá delegar la administración en todos los niveles de la empresa y centralizarla mediante la directiva de grupo. Seguridad de red mejorada e inicio de sesión único para los usuarios. Active Directory admite varios protocolos de autenticación y certificados X.509, además de ofrecer compatibilidad con tarjetas inteligentes. Interoperabilidad con otros servicios de directorio. Active Directory proporciona interfaces abiertas basadas en estándares que interoperan con otros servicios de directorio y aplicaciones, por ejemplo, con programas de correo electrónico. Características que reducen los costos de administración, incrementan la seguridad y ofrecen funcionalidad ampliada. Las particiones de directorios de aplicaciones permiten configurar parámetros de replicación de datos específicos a las aplicaciones en controladores de dominio. La elevación de los niveles funcionales de dominio o bosque a Windows Server 2003 le permitirá: • • • • cambiar el nombre de dominios y controladores de dominio. establecer confianzas de bosques bidireccionales. reestructurar bosques. mejorar la replicación.

6

Capítulo 1

Plan de un proyecto de implementación de Active Directory

eliminar algunas limiaciones en entornos con un gran volumen de sitios.

Recursos adicionales

7

Aunque las estrategias de diseño e implementación de Active Directory de Windows Server 2003 presentadas en este libro se basan en pruebas extensas de laboratorio y programa piloto, así como en implementaciones satisfactorias en entornos de cliente, es probable que sea necesario personalizar el diseño y la implementación de Active Directory para cumplir los requisitos de entornos complejos específicos. Para obtener más información sobre la implementación de Active Directory en entornos de sucursales, consulte la Guía de planeación de Active Directory en sucursales (puede estar en inglés). Para obtener más información sobre la implementación de Active Directory en entornos de Exchange, consulte Recomendaciones para el diseño de Active Directory con Exchange 2000 (puede estar en inglés). Para obtener más información sobre la implementación de Active Directory en entornos de varios bosques, consulte Consideraciones sobre varios bosques (puede estar en inglés). Para descargar estas guías, use el vínculo de Active Directory en la página de recursos web en http://www.microsoft.com/windows/reskits/webresources y haga clic en “Guías de planeación e implementación” (puede estar en inglés). Este libro también proporciona diagramas de flujo, ayudas para trabajos y ejemplos de implementación que le ayudarán a optimizar el diseño y la implementación de Active Directory en su organización.

Proceso de planeación de un proyecto de implementación de Active Directory
Al planear un proyecto de implementación de Active Directory de Windows Server 2003, determine primero su estrategia de diseño e implementación y, luego, realice las pruebas necesarias para validar el diseño y la implementación. La figura 1.1 muestra el proceso de planeación de un proyecto de implementación de Active Directory. Figura 1.1 Planeación de un proyecto de implementación de Active Directory

8

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Información general sobre Active Directory
Antes de diseñar e implementar Active Directory de Windows Server 2003, familiarícese con el ciclo del proyecto de implementación de Active Directory y con los términos relacionados con Active Directory requeridos para el proceso de implementación de Active Directory de Windows Server 2003.

Ciclo del proyecto de implementación de Active Directory
Un proyecto de implementación de Active Directory se compone de tres fases: diseño, implementación y operaciones. El equipo encargado de la primera fase crea un diseño de la estructura lógica de Active Directory con una adaptación óptima a las necesidades de cada división de la empresa que se disponga a utilizar el servicio de directorio. Una vez que se ha aprobado este diseño, el equipo de implementación se encarga de probarlo en un entorno de laboratorio y, seguidamente, lo implementa en el entorno de producción. La realización de las pruebas queda al cargo del equipo de implementación y los resultados pueden afectar a la fase de diseño, por lo que esta es una actividad intermedia que abarca ambas fases de diseño e implementación. Cuando la implementación ha finalizado, el equipo de operaciones se ocupa del mantenimiento del servicio de directorio. Las pruebas en laboratorio y la implementación de un programa piloto continúan mientras dure la implementación de Active Directory. La figura 1.2 muestra la relación entre las fases del ciclo del proyecto de Active Directory con referencia a la duración del proyecto de implementación. Figura 1.2 Relación entre las fases del ciclo del proyecto de Active Directory

Recursos adicionales

9

Términos y definiciones
Los términos siguientes son importantes a la hora de entender el proceso de implementación de Active Directory de Windows Server 2003.

Dominio de Active Directory
Unidad administrativa en una red de equipos que simplifica la administración mediante la agrupación de varias capacidades, por ejemplo: • Identidad de usuarios en toda la red. Con los dominios, sólo es necesario crear las identidades de usuario una vez. Es posible hacer referencia a estas identidades desde cualquier equipo unido al bosque donde reside el dominio. Los controladores de dominio que forman un dominio se utilizan para almacenar cuentas y credenciales de usuario (como contraseñas y certificados) de un modo seguro. Autenticación. Los controladores de dominio proporcionan servicios de autenticación para usuarios y ofrecen datos adicionales de autorización, por ejemplo, relacionados con las pertenencias a grupos de usuarios. Estos servicios pueden ser útiles para controlar el acceso a los recursos en la red. Relaciones de confianza. Los dominios extienden los servicios de autenticación a usuarios de otros dominios en su propio bosque mediante confianzas bidireccionales automáticas, así como a usuarios en dominios de otros bosques mediante confianzas externas o confianzas de bosque creadas manualmente. Administración de directivas. El dominio es un ámbito de las directivas administrativas, por ejemplo, sobre reglas de complejidad y reutilización de contraseñas. Replicación. El dominio define una partición del árbol de directorios que proporciona la información adecuada para proporcionar los servicios requeridos y que se replica entre controladores de dominio. Así, todos los controladores de dominio son elementos del mismo nivel en un dominio y se administran como una sola unidad.

Bosque de Active Directory
Colección de uno o varios dominios de Active Directory que comparten la estructura lógica, el esquema de directorios y la configuración de red, además de relaciones automáticas de confianza transitivas y bidireccionales. Cada bosque constituye una instancia única del directorio y define un límite de seguridad.

Nivel funcional de Active Directory
Parámetro de configuración en Active Directory de Windows Server 2003 que habilita características avanzadas de Active Directory en todo el dominio o todo el bosque.

10

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Migración
Proceso de transferencia de un objeto de un dominio de origen a un dominio de destino, a la vez que se conservan o se modifican las características del objeto para que resulte accesible en el dominio nuevo.

Reestructuración de dominios
Proceso de migración que implica la modificación de la estructura de dominios de un bosque. La reestructuración de dominios puede conllevar la consolidación o la inclusión de dominios, y puede tener lugar entre bosques o en un mismo bosque.

Consolidación de dominios
Proceso de reestructuración que implica la eliminación de dominios de Microsoft® Windows NT® 4.0 o de Active Directory al combinar su contenido con el contenido de otros dominios.

Actualización de dominios
Proceso de actualización del servicio de directorio de un dominio a una versión posterior del servicio de directorio. Esto incluye la actualización del sistema operativo en todos los controladores de dominio y la elevación del nivel funcional de Active Directory donde corresponda.

Actualización local de dominios
Proceso de actualización del sistema operativo en todos los controladores de dominio basados en Windows NT 4.0 o en Microsoft® Windows® 2000 y de elevación del nivel funcional del dominio si corresponde, sin modificar la ubicación de los objetos de dominio, como usuarios y grupos.

Dominio regional
Dominio secundario creado según una región geográfica concreta para optimizar el tráfico de replicación.

Determinación de la estrategia de diseño e implementación de Active Directory
Cuando haya realizado una evaluación detallada del entorno actual y haya identificado los objetivos de implementación de Active Directory en la empresa, podrá determinar la estrategia de implementación que se adaptará de forma óptima a su entorno. La figura 1.3 muestra los pasos de definición del proceso de implementación de Active Directory.

Recursos adicionales

11

Figura 1.3 Determinación de la estrategia de diseño e implementación

La estrategia de implementación de Active Directory que aplique variará en función de la configuración de red existente. Por ejemplo, si actualmente la organización utiliza Windows 2000, bastará con que actualice el sistema operativo a Windows Server 2003. Sin embargo, si la organización se basa en Windows NT 4.0 o en un sistema operativo de red ajeno a Windows, tendrá que diseñar una infraestructura de Active Directory antes de realizar la actualización a Windows Server 2003. El proceso de implementación podría requerir la reestructuración de dominios existentes, ya sea en un mismo bosque o entre bosques de Active Directory. Es posible que necesite reestructurar los dominios existentes después de implementar Active Directory de Windows Server 2003 o cuando se produzcan cambios organizativos o adquisiciones corporativas. También puede reestructurar dominios de un entorno de Windows NT 4.0 a un bosque de Active Directory con el fin de actualizar el entorno de producción a Windows Server 2003.

12

Capítulo 1

Plan de un proyecto de implementación de Active Directory

La tabla 1.1 enumera los posibles puntos de inicio y objetivos de una implementación de Active Directory de Windows Server 2003, así como los pasos de implementación correspondientes y los capítulos de este libro que se aplican a cada uno. Tabla 1.1 Entorno actual, objetivos y capítulos correspondientes para la implementación de Active Directory de Windows Server 2003
Entorno Objetivos de implementación Crear diseño de bosques, dominios, DNS y unidades organizativas. Crear un diseño de sitio y de vínculo a sitios. Evaluar los requisitos de hardware. Nueva organización Implementar el dominio raíz de bosque. Implementar dominios regionales. Elevar los niveles funcionales de dominio y bosque. Windows NT 4.0 Crear diseño de bosques, dominios, DNS y unidades organizativas. Crear un diseño de sitio y de vínculo a sitios. Evaluar los requisitos de hardware. Implementar el dominio raíz de bosque. Implementar dominios regionales. Capítulos correspondientes Capítulo 2: “Diseño de la estructura lógica de Active Directory”

Capítulo 3: “Diseño de la topología de sitios” Capítulo 4: “Planeación de la capacidad de los controladores de dominio” Capítulo 6: “Implementación del dominio raíz de bosque de Windows Server 2003” Capítulo 7: “Implementación de dominios regionales de Windows Server 2003” Capítulo 5: “Habilitación de características avanzadas de Active Directory de Windows Server 2003” Capítulo 2: “Diseño de la estructura lógica de Active Directory”

Capítulo 3: “Diseño de la topología de sitios” Capítulo 4: “Planeación de la capacidad de los controladores de dominio” Capítulo 6: “Implementación del dominio raíz de bosque de Windows Server 2003” Capítulo 7: “Implementación de dominios regionales de Windows Server 2003”

Recursos adicionales

13

Realizar actualización local de dominios de Windows NT 4.0 que continuarán formando parte de la estructura de dominios de Active Directory. Reestructurar otros dominios de Windows NT 4.0. Elevar los niveles funcionales de dominio y bosque. Actualizar los controladores de dominio de Windows 2000. Elevar los niveles funcionales de dominio y bosque.

Capítulo 8: ““Actualización de dominios de Windows NT 4.0 a Active Directory de Windows Server 2003”

Capítulo 10: “Reestructuración de dominios de Windows NT 4.0 en un bosque de Active Directory” Capítulo 5: “Habilitación de características avanzadas de Active Directory de Windows Server 2003” Capítulo 9: “Actualización de dominios de Windows 2000 a dominios de Windows Server 2003” Capítulo 5: “Habilitación de características avanzadas de Active Directory de Windows Server 2003”

Windows 2000

14

Capítulo 1

Plan de un proyecto de implementación de Active Directory

La tabla 1.2 enumera los objetivos y los capítulos correspondientes aplicables a la reestructuración de dominios, ya sea entre bosques o en un mismo bosque. Tabla 1.2 Objetivos y capítulos correspondientes para la reestructuración de dominios de Active Directory
Acción Objetivos de implementación Crear diseño de bosques, dominios, DNS y unidades organizativas. Reestructurar dominios en un mismo bosque Crear un diseño de sitio y de vínculo a sitios. Usar una herramienta como la Herramienta de migración Active Directory (ADMT) para reestructurar dominios en un mismo bosque. Crear diseño de bosques, dominios, DNS y unidades organizativas. Crear un diseño de sitio y de vínculo a sitios. Usar una herramienta como ADMT para reestructurar dominios entre bosques. Capítulos correspondientes Capítulo 2: “Diseño de la estructura lógica de Active Directory” Capítulo 3: “Diseño de la topología de sitios” Capítulo 12: “Reestructuración de dominios de Active Directory en un mismo bosque”

Capítulo 2: “Diseño de la estructura lógica de Active Directory” Capítulo 3: “Diseño de la topología de sitios” Capítulo 11: “Reestructuración de dominios de Active Directory entre bosques”

Reestructurar dominios entre bosques

Determinación de los requisitos de diseño de Active Directory
Si su entorno de red opera actualmente sin un servicio de directorio o, si necesita modificar su infraestructura actual de Active Directory, complete el proceso de diseño para la infraestructura de Active Directory. Debe completar un diseño exhaustivo de la estructura lógica de Active Directory antes de implementar Active Directory. La preparación rigurosa del diseño de Active Directory es fundamental para conseguir una implementación rentable.

Diseño de la estructura lógica
Antes de implementar Active Directory de Windows Server 2003, debe planear y diseñar la estructura lógica de Active Directory para el entorno. La estructura lógica de Active Directory determina la organización de los objetos de directorio y proporciona un método eficaz para la administración de cuentas de red y recursos compartidos. El diseño de la estructura lógica de Active Directory conlleva la definición de una parte considerable de la infraestructura de red de la organización. Para diseñar la estructura lógica de Active Directory, determine el número de bosques que requiere la organización y, a continuación, cree diseños para dominios, DNS y unidades organizativas.

Recursos adicionales

15

Diseño de la topología de sitios
Cuando ya tenga el diseño de la estructura lógica para la infraestructura de Active Directory, deberá diseñar la topología de sitios para la red. La topología de sitios es una representación lógica de la red física de la organización. Contiene información sobre la ubicación de sitios de Active Directory, los controladores de dominio de Active Directory en cada sitio y los vínculos a sitios que admiten la replicación de Active Directory entre sitios.

Planeación de la capacidad de los controladores de dominio
Con el fin de garantizar el rendimiento eficaz de Active Directory, deberá determinar el número adecuado de controladores de dominio para cada sitio y comprobar que cumplen los requisitos de hardware de Windows Server 2003. La planeación meticulosa de capacidades con referencia a los controladores de dominio evitará que se subestimen los requisitos de hardware, lo que podría influir de forma negativa en el rendimiento de los controladores de dominio y el tiempo de respuesta de las aplicaciones.

Características avanzadas de Active Directory
Los niveles funcionales de Active Directory de Windows Server 2003 permiten habilitar características nuevas, por ejemplo, la replicación mejorada de pertenencia a grupos, la desactivación y la redefinición de atributos y clases en el esquema y de relaciones de confianza de bosques que requieren la ejecución de Windows Server 2003 por parte de todos los controladores de dominio en el dominio o el bosque participante. Parte del proceso de diseño de Active Directory implica la identificación de los niveles funcionales de dominio y bosque que requiere la organización. Para implementar estas características de Active Directory de Windows Server 2003 en la empresa, primero deberá implementar Active Directory de Windows Server 2003 y, seguidamente, elevar el bosque y el dominio al nivel funcional adecuado.

Determinación de los requisitos de implementación de Active Directory
La estructura del entorno existente determina la estrategia para la implementación de Active Directory de Windows Server 2003. Si se dispone a crear un entorno de Active Directory y no cuenta con una estructura de dominios existente, deberá completar el diseño de Active Directory antes de empezar a crear el entorno. Después, podrá implementar un nuevo dominio raíz de bosque y aplicar el resto de la estructura de dominios de acuerdo con el diseño.

Raíz de bosque de Windows Server 2003
Para implementar Active Directory, primero es necesario implementar un dominio raíz de bosque de Windows Server 2003. Esto se consigue mediante la configuración de DNS, la implementación de controladores de dominio raíz de bosque, la configuración de la topología de sitios para el dominio raíz de bosque y la configuración de funciones de maestro de operaciones.

16

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Dominios regionales de Windows Server 2003
Si se dispone a crear uno o varios dominios regionales en un bosque de Windows Server 2003, deberá implementar cada dominio regional posteriormente a la implementación del dominio raíz de bosque. Para hacerlo, es necesario delegar una zona DNS e implementar controladores de dominio para cada dominio regional.

Actualización de dominios de Windows NT 4.0 a Windows Server 2003
Cuando haya llevado a cabo una actualización local de dominios de Windows NT 4.0, podrá empezar a usar Active Directory sin realizar modificación alguna en la estructura de dominios existente. De forma alternativa, si no desea conservar la estructura de dominios existente, puede reestructurar los dominios de Windows NT 4.0 en un bosque de Windows Server 2003. Para obtener más información sobre la reestructuración de dominios de Windows NT 4.0 en un bosque de Windows Server 2003, consulte la sección "Determinación de requisitos de reestructuración", incluida más adelante en este capítulo.

Actualización de dominios de Windows 2000 a Windows Server 2003
La actualización de dominios de Windows 2000 a dominios de Windows Server 2003 constituye una forma eficaz y sencilla de aprovechar las características y la funcionalidad adicionales de Windows Server 2003. La actualización de Windows 2000 a Windows Server 2003 requiere una configuración mínima de la red y tiene un impacto reducido en las operaciones de usuario.

Determinación de los requisitos de reestructuración
Quizás decida reestructurar el entorno existente como parte de la implementación de Active Directory. Antes de hacerlo, deberá determinar cómo y cuándo se debe llevar a cabo la reestructuración. Las organizaciones con una estructura de dominios existente basada en Windows NT 4.0 podrían decantarse por la actualización local de algunos dominios y la reestructuración de otros. Además, es posible que decida reducir la complejidad del entorno mediante la reestructuración de dominios entre bosques o la reestructuración de dominios en un mismo bosque con posterioridad a la implementación de Active Directory.

Reestructuración de dominios de Windows NT 4.0 en un bosque de Windows Server 2003
Debido a su escalabilidad superior, un entorno de Active Directory de Windows Server 2003 requiere menos dominios que un entorno de Windows NT 4.0. En lugar de llevar a cabo la actualización local de los dominios de Windows NT 4.0, quizás resulte más eficiente consolidar cierto número de dominios pequeños de recursos y cuentas de Windows NT 4.0 en unos pocos dominios más grandes de Active Directory.

Recursos adicionales

17

Reestructuración de dominios de Active Directory entre bosques
Al reestructurar dominios entre bosques de Windows Server 2003, es posible reducir el número de dominios en el entorno y, así, reducir la sobrecarga y la complejidad de la administración. Cuando se produce la migración de objetos entre bosques como parte del proceso de reestructuración, tenemos la existencia simultánea de los entornos de dominio de origen y de destino. Esto permite revertir al entorno de origen durante la migración, en caso de ser necesario.

Reestructuración de dominios de Active Directory en un mismo bosque
Al reestructurar dominios de Windows Server 2003 en un mismo bosque de Windows Server 2003, puede consolidar la estructura de dominios y, por lo tanto, reducir la sobrecarga y la complejidad de la administración. A diferencia de lo que ocurre en el proceso de reestructuración de dominios de Windows Server 2003 entre bosques, al reestructurar dominios en un mismo bosque, las cuentas migradas dejan de existir en el dominio de origen. La tabla 1.3 enumera las diferencias entre la reestructuración de dominios entre bosques y en un mismo bosque. Tabla 1.3 Diferencias entre la reestructuración de dominios entre bosques y en un mismo bosque
Consideración de migración Conservación de objetos Reestructuración entre bosques Reestructuración en un mismo bosque

Los objetos se clonan en Los objetos se migran y dejan de existir en la lugar de migrarse. El objeto ubicación de origen. original permanece en la ubicación de origen para mantener el acceso de usuario a los recursos. Se requiere el historial SID. Las contraseñas se retienen siempre. En estaciones de trabajo con Windows 2000 y versiones posteriores, los perfiles locales se migran automáticamente porque se conserva el GUID del usuario. Sin embargo, deberá usar herramientas como ADMT para migrar perfiles locales en estaciones de trabajo con Windows NT 4.0 y versiones anteriores. Deberá migrar cuentas en conjuntos cerrados.

Mantenimiento de El mantenimiento del historial SID historial SID es opcional. Retención de contraseñas Migración de perfiles locales La retención de contraseñas es opcional. Deberá usar herramientas como ADMT para migrar perfiles locales.

Conjuntos cerrados

No es necesario migrar cuentas en conjuntos cerrados.

18

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Ejemplo: Establecimiento de una estrategia de implementación de Active Directory
Para ilustrar el proceso de implementación de Active Directory, los capítulos de este libro presentan el ejemplo del modo en que una empresa ficticia, Contoso Pharmaceuticals, implementa Active Directory en su entorno. El entorno de Contoso incluye cuatro dominios; todos ellos ejecutan Active Directory de Windows 2000. La figura 1.4 muestra la estructura de dominios actual de Contoso. Figura 1.4 Estructura de dominios de Contoso

Después de revisar el entorno existente e identificar los objetivos de implementación, Contoso estableció la estrategia de implementación de Active Directory siguiente: • • Actualizar los dominios de Windows 2000 a dominios de Windows Server 2003. Habilitar las características avanzadas de Active Directory mediante la elevación de los niveles funcionales de dominio y bosque a Windows Server 2003.

Tras actualizar todos los dominios de Windows 2000 a dominios de Windows Server 2003, Contoso reestructurará el dominio africa.concorp.contoso.com en el mismo bosque para consolidarlo con el dominio emea.concorp.contoso.com.

Recursos adicionales

19

La organización Contoso se encuentra en proceso de adquisición de una empresa llamada Trey Research, que, actualmente, ejecuta un entorno basado en Windows NT 4.0, como muestra la figura 1.5. Figura 1.5 Entorno actual de Trey Research

Contoso estableció la estrategia de implementación de Active Directory siguiente para la adquisición de Trey Research: • Diseñar la estructura lógica de Active Directory para crear diseños de bosques, dominios, DNS y unidades organizativas en el nuevo entorno de Windows Server 2003. Diseñar la topología de sitios para crear los sitios, los vínculos a sitios y los puentes de vínculos a sitios requeridos. Planear la capacidad de los controladores de dominio para determinar los requisitos de hardware del nuevo entorno de Windows Server 2003. Implementar trccorp.treyresearch.net como dominio raíz de bosque. Implementar tres dominios regionales. Diferentes equipos pueden crear estos dominios simultáneamente. • • • Actualizar el dominio EAST a Windows Server 2003 para convertirlo en east.trccorp.treyresearch.net. Crear dos dominios regionales nuevos de Windows Server 2003 llamados asia.trccorp.treyresearch.net y west.trccorp.treyresearch.net.

• • • •

Reestructurar los dominios BOSTON, MAIL-APPS, PROD-APPS y OFFICE-APPS en el dominio east.trccorp.treyresearch.net de Windows Server 2003 mediante ADMT. Elevar los niveles funcionales de dominio y bosque a Windows Server 2003.

La figura 1.6 muestra el entorno intermedio para Trey Research.

20

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Figura 1.6 Entorno intermedio para Trey Research

Posteriormente, Contoso determinó que un solo dominio sería más rentable para Europa, Oriente Medio y la región asiática, de modo que el paso final del proceso de implementación consiste en reestructurar asia.trccorp.treyresearch.net en el dominio emea.concorp.contoso.com del bosque de Contoso mediante ADMT. La figura 1.7 presenta la estructura de dominios para la empresa Contoso después de completar la adquisición de Trey Research y el proceso de implementación de Active Directory de Windows Server 2003. Figura 1.7 Entorno final de Contoso y Trey Research

Recursos adicionales

21

Pruebas y confirmación del proceso de implementación
En cualquier implementación de Active Directory, es posible reducir al mínimo el impacto en las operaciones empresariales habituales mediante la realización de pruebas de suposiciones de diseño y la comprobación del proceso de implementación en un programa piloto. Según vaya creando el primer borrador del diseño de Active Directory, empiece a probar y confirmar. La realización de pruebas y la comprobación comienzan en la fase de diseño y continúan durante las fases de implementación y operaciones. La figura 1.8 muestra el proceso de pruebas y confirmación del diseño y la implementación de Active Directory. Figura 1.8 Pruebas y confirmación del diseño y la implementación de Active Directory

Pruebas de diseño e implementación en un entorno de laboratorio
Las pruebas en laboratorio constituyen la primera evaluación del diseño de Active Directory. El proceso consiste en confirmar las suposiciones realizadas por los arquitectos de diseño. Cuando esté a punto de completar el primer borrador del diseño de Active Directory, empiece a probar suposiciones de diseño específicas en el proceso de implementación en un entorno de laboratorio. De este modo, descubrirá posibles dificultades de diseño que afectan al proceso de implementación y podrá comunicárselas al equipo de diseño para que corrija los problemas de forma previa la implementación.

22

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Asegúrese de que el entorno del laboratorio de pruebas está aislado del resto de la red de producción de la empresa y que representa, a escala reducida, la configuración de sistema operativo y hardware de los equipos de la organización. Incluya en el entorno de laboratorio los controladores de dominio necesarios para respaldar una muestra representativa del diseño del sitio, incluidos asociados de replicación entre sitios y en un mismo sitio, vínculos a sitios e intervalos de replicación razonables. Incluya cuentas de usuario y grupo, y otros recursos designados exclusivamente para las pruebas. Compruebe que el entorno de pruebas ofrece acceso a configuraciones de prueba de servicios externos, como mainframe e Internet, según se requiera. Conserve el laboratorio permanentemente para probar procedimientos nuevos y utilizarlo en sesiones de aprendizaje para el equipo de implementación. El equipo de implementación puede hacer uso del entorno de laboratorio para identificar los aspectos específicos de su proceso de implementación y familiarizarse con las herramientas de migración e implementación utilizadas durante la implementación de Active Directory. Comúnmente, las pruebas de suposiciones de diseño y las pruebas del proceso de implementación quedan al cargo de equipos diferentes. La tabla 1.4 enumera las pruebas de laboratorio y los miembros de equipo que las realizan. Tabla 1.4 Pruebas de laboratorio y miembros de equipo correspondientes
Proceso de pruebas Pruebas de laboratorio Analizar la topología de sitios y la replicación de Active Directory. Probar compatibilidad de equipos de escritorio y aplicaciones. Probar recuperación ante desastres. Probar proceso de implementación Probar migración de cuentas y recursos. Evaluar delegación, administración y dirección. Miembros de equipo Equipo de diseño, propietario de topología de sitios y equipo de implementación. Equipo de diseño.

Probar suposiciones de diseño

Propietario del bosque y equipo de implementación. Propietario del bosque y equipo de implementación. Propietario del bosque.

Pruebas de suposiciones de diseño
El equipo encargado del proceso de diseño realiza suposiciones que se integran en el diseño de Active Directory, como la compatibilidad de aplicaciones y la replicación de Active Directory. Cuando el equipo haya completado el borrador del diseño, será necesario probar las suposiciones en el entorno de laboratorio. Para hacerlo, el equipo de diseño debe: • • analizar la topología de sitios y la replicación de Active Directory. desarrollar un plan de pruebas y, seguidamente, probar la compatibilidad de los equipos de escritorio y las aplicaciones.

Recursos adicionales

23

Análisis de la topología de sitios y la replicación de Active Directory
El diseño de la topología de sitios especifica la latencia de replicación máxima, es decir, el período de tiempo requerido para replicar cambios en todo el bosque. El equipo de diseño deberá asegurarse de que la latencia de replicación en el bosque es inferior o igual a la latencia máxima de replicación especificada en el diseño. El equipo debe realizar una prueba representativa del peor caso basada en el número máximo de saltos supuestos en el diseño. El equipo deberá observar el período de tiempo que conlleva la convergencia de replicación cuando se produce algún error en controladores de dominio o en vínculos de comunicaciones.

Para analizar la conmutación por error de la replicación entre sitios de Active Directory
1. Identifique los controladores de dominio responsables de la replicación entre sitios mediante el uso de Sitios y servicios de Active Directory. 2. Desconecte los controladores de dominio o deshabilite los vínculos de comunicaciones que se utilizan en la replicación entre sitios. 3. Permita que el comprobador de coherencia de la información (KCC) configure automáticamente una topología de replicación nueva. 4. Identifique los controladores de dominio que se encargan ahora de la replicación entre sitios. 5. Vuelva a conectar los controladores de dominio o habilite de nuevo los vínculos de comunicaciones. 6. Compruebe que la topología de replicación entre sitios recupera el estado original, como se identifica en el paso 1.

Comprobación de la compatibilidad de equipos de escritorio y aplicaciones
Además, el equipo de diseño debe determinar la compatibilidad entre aplicaciones, sistemas operativos de escritorio y Active Directory. Por lo general, los aspectos de las pruebas de aplicaciones que resultan afectados por una migración o una actualización de Active Directory tienen que ver con aplicaciones que se ejecutan en servidores y equipos cliente, y con el uso de acceso remoto. Compruebe las suposiciones de diseño relativas a la compatibilidad de equipos escritorio y aplicaciones mediante la creación de una lista de aplicaciones críticas. Los miembros del equipo de diseño deben probar cada aplicación para garantizar que su funcionamiento será correcto en un entorno migrado. Al comprobar la compatibilidad de equipos de escritorio y aplicaciones, confirme que: • las aplicaciones de servidor existentes, como las que se ejecutan actualmente en un controlador de dominio de reserva (BDC) de Windows NT 4.0, pueden ejecutarse en controladores de dominio y servidores miembro basados en Windows Server 2003. Por ejemplo, algunas aplicaciones de servidor que se ejecutan en BDC hacen uso de grupos locales compartidos. Para ejecutar estas aplicaciones de servidor en un controlador de dominio basado en Windows Server 2003, compruebe que las aplicaciones se ejecutan correctamente con el uso de grupos locales de dominio de Active Directory. • Las aplicaciones de servidor que se ejecutan en una combinación de servidores de Windows Server 2003 y Windows NT 4.0 pueden interoperar unas con otras.

24

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Por ejemplo, compruebe que un servidor basado en Windows Server 2003 con Microsoft® SQL Server™ puede interactuar con un servidor basado en Windows NT 4.0 al ejecutar la misma aplicación. • Las aplicaciones de escritorio existentes se ejecutan correctamente cuando se lleva a cabo la migración de la infraestructura de dominios a Active Directory de Windows Server 2003. Las aplicaciones existentes que usan la seguridad integrada de Windows se ejecutan correctamente cuando se lleva a cabo la migración de la infraestructura de dominios a Active Directory de Windows Server 2003.

Si encuentra que alguna aplicación de servidor no se puede migrar a un controlador de dominio basado en Windows Server 2003, pruebe a instalar de nuevo la aplicación o instale una versión posterior de la misma en un servidor miembro basado en Windows Server 2003. Si la aplicación no se ejecuta en un servidor con Windows Server 2003, puede continuar ejecutándola en el servidor con Windows NT 4.0 o Windows 2000. Comunique al equipo de diseño que no se puede realizar la actualización local del dominio de la aplicación del servidor y tampoco se puede consolidar, por lo que deberá permanecer tal cual hasta que haya disponible una versión de la aplicación que se pueda ejecutar en un controlador de dominio basado en Windows Server 2003. Como objetivo de implementación a largo plazo, traslade las aplicaciones que actualmente se ejecutan en controladores de dominio a servidores miembro.

Pruebas de procesos de implementación
En un entorno de laboratorio y, de forma previa al comienzo del programa piloto, el equipo de implementación debe probar tareas específicas fundamentales para el proceso de implementación de Active Directory, por ejemplo, la migración de cuentas y recursos de Windows NT 4.0 a Active Directory de Windows Server 2003. Para comprobar el proceso de implementación en el entorno de laboratorio: • • • pruebe la recuperación ante desastres. pruebe la migración de cuentas y recursos. evalúe la delegación, administración y dirección.

Pruebas de recuperación ante desastres
Pruebe la recuperación ante desastres en el entorno de laboratorio para confirmar que los usuarios pueden iniciar la sesión en un tiempo de respuesta aceptable en casos de restauración de controladores de dominio con errores, así como para determinar el tiempo que requiere dicho proceso de restauración. Para incluir un proceso de recuperación ante desastres en la implementación de Active Directory, realice una copia de seguridad de los datos de estado del sistema en un mínimo de dos controladores de dominio del entorno de laboratorio. Una vez hecho esto, compruebe la validez de la cinta de copia de seguridad y del proceso de restauración. Realice las pruebas siguientes: • • Lleve a cabo una restauración no autoritativa del controlador de dominio que presenta datos dañados en la base de datos de servicios de directorio. Lleve a cabo una restauración autoritativa de un controlador de dominio para recuperar los datos de Active Directory eliminados.

Recursos adicionales

25

Asegúrese de que las pruebas representan las velocidades de conexión mínimas en el entorno, así como el número máximo de cuentas de usuario. Por ejemplo, al determinar el tiempo requerido para restaurar un controlador de dominio con errores, asegúrese de probar la restauración de los datos de estado del sistema de la copia de seguridad para cualquier controlador de dominio que sea único en un sitio conectado con una velocidad de datos máxima de 128 Kbps. Pruebe también la restauración de los datos de estado del sistema de la copia de seguridad para cualquier controlador de dominio en un dominio con más de 20.000 cuentas de usuario. Cuando un controlador de dominio esté conectado a otros controladores de dominio con una velocidad de datos igual o superior a 128 Kbps, pruebe el proceso para instalar Active Directory en un controlador de dominio nuevo y dejar que la replicación de Active Directory vuelva a llenar la base de datos de Active Directory. Para obtener más información sobre pruebas de recuperación ante desastres, consulte Recuperación ante desastres de Active Directory (.doc) en la página de recursos web en http://www.microsoft.com/windows/reskits/webresources (puede estar en inglés).

Pruebas de migración de cuentas y recursos
Para probar el proceso de implementación con respecto a la migración de cuentas y recursos, use los procedimientos del capítulo referentes al proceso de reestructuración que está planeando. Las organizaciones que se disponen a reestructurar dominios de Windows NT 4.0 también pueden llevar a cabo las pruebas siguientes relativas al proceso de reestructuración:

Para probar el proceso de implementación con respecto a la migración de cuentas y recursos
1. En un mínimo de dos dominios de cuentas de producción de Windows NT 4.0, cree nuevos controladores de dominio de reserva (BDC). 2. Elimine los nuevos BDC de la red de producción. 3. Instale los nuevos BDC en el entorno de laboratorio. 4. Aumente el nivel de los nuevos BDC: conviértalos en controladores de dominio principales (PDC). 5. Realice actualizaciones locales y reestructure los dominios de cuentas en el laboratorio. 6. Lleve a cabo la migración de cuentas y recursos con una herramienta como ADMT. 7. Compruebe que las cuentas migradas disponen de acceso a recursos y conservan los perfiles de usuario.

26

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Evaluación de delegación, administración y dirección
Evalúe los procesos de delegación, administración y dirección mediante la creación de la estructura de unidades organizativas especificada en el diseño de Active Directory. Delegue el control de unidades organizativas en cuentas de grupo concretas utilizadas para la administración. Siga estos pasos para comprobar que la delegación se realiza correctamente:

Para confirmar la delegación correcta del control de unidades organizativas en grupos específicos
1. Inicie la sesión como usuario miembro de la cuenta de grupo en la que ha delegado el control. 2. Realice tareas de administración en objetos de la unidad organizativa (por ejemplo, modifique las propiedades de un usuario en una unidad organizativa de cuentas). 3. Intente realizar (sin éxito) tareas administrativas en unidades organizativas en las que el grupo de administración no dispone de control delegado.

Comprobación de la implementación en un programa piloto
En el entorno de laboratorio, deberá comprobar que el proceso de implementación funciona fuera del entorno de producción en cuentas y recursos que asemejan el entorno de producción. Si su entorno ejecuta Active Directory de Windows 2000, haga uso del programa piloto existente para comprobar la implementación de Windows Server 2003. En el programa piloto de implementación, identifique un subconjunto controlado de las cuentas (usuarios, grupos y servicios) y los recursos existentes en el entorno de producción. Aplique el proceso de implementación en las cuentas y los recursos identificados. Los objetivos del programa piloto incluyen: • • • • • • • realizar pruebas en un subconjunto del entorno de producción. proporcionar un entorno de pruebas para otros grupos de diseño e implementación, como la implementación de Exchange 2000. comprobar el proceso y los procedimientos para actualizaciones de la infraestructura de red y sistema operativo. comprobar el funcionamiento adecuado de las actualizaciones de aplicaciones. evaluar el impacto de soluciones de supervisión en la infraestructura de red y los servidores supervisados. descubrir problemas potenciales en el proceso de implementación causados por dificultades que no fue posible probar en el entorno de laboratorio. revisar el proceso de implementación para corregir cualquier problema descubierto de forma previa a la implementación de producción.

En la implementación piloto, empiece por los usuarios involucrados en el proyecto de implementación y, después, incluya usuarios representativos de la base de usuarios de la organización.

Recursos adicionales

27

Para crear un programa piloto de implementación en su entorno
1. Cree dominio_raíz_bosque, donde dominio_raíz_bosque es el nombre de un dominio raíz de bosque vacío de Active Directory creado, al anexar “-test” al nombre del dominio raíz de bosque de producción. 2. Cree dominio_regional, donde dominio_regional es el nombre del dominio regional en el programa piloto, al anexar “-test” al nombre del dominio regional de producción. 3. Establezca las relaciones de confianza adecuadas entre dominio_regional y dominio_winnt, donde dominio_winnt es un dominio de cuentas o recursos de Windows NT 4.0. 4. Migre las cuentas y los recursos seleccionados de dominio_winnt a dominio_regional. 5. Compruebe que los usuarios y los administradores pueden realizar, aunque en grado mínimo, las tareas que podían llevar a cabo antes de la migración (por ejemplo, obtener acceso a recursos y administrar cuentas y recursos). Importante
Al realizar la migración de usuarios de producción al programa piloto, deje las cuentas de usuario habilitadas en los entornos piloto y de producción. Al mantener habilitadas las cuentas de usuario en el entorno de producción, contará con un plan de reserva en caso de que se presente alguna complicación en el entorno piloto.

Ejemplo: Creación de un programa piloto de implementación para Trey Research
Contoso y Trey Research crearon un programa piloto para la implementación de Active Directory. La tabla 1.5 muestra los nombres que proporcionaron para la implementación piloto. Tabla 1.5 Ejemplo de un programa piloto de implementación
Dominio dominio_raíz_bosque dominio_regional dominio_winnt Nombre trccorp-test.treyresearch.net east-test.trccorp-test.treyresearch.net BOSTON para dominio de cuentas OFFICE-APPS para dominio de recursos

La figura 1.9 ilustra la configuración de la implementación piloto.

28

Capítulo 1

Plan de un proyecto de implementación de Active Directory

Figura 1.9 Configuración de la implementación piloto

Finalización del programa piloto de implementación
Cuando haya terminado el programa piloto de implementación, conserve el entorno de implementación piloto y úselo como entorno de ensayo para la implementación de producción. Continúe utilizando el bosque piloto para comprobar nuevos procesos de implementación como, por ejemplo, la inclusión de nuevas aplicaciones o extensiones de esquema, la instalación de sistemas operativos, la creación de objetos de directiva de grupo y la reestructuración de unidades organizativas. Como mencionamos anteriormente, a modo de plan de reserva, debería dejar habilitadas las cuentas de usuario tanto en el entorno de producción original como en el entorno de implementación piloto. Mantenga a los usuarios en el entorno de implementación piloto para que realicen su trabajo de producción; no migre las cuentas del entorno de implementación piloto al bosque de producción. En su lugar, si decide trasladar a usuarios piloto a otro bosque de producción, lleve a cabo la migración a partir de su entorno de producción original. Esto garantiza que todos los usuarios del bosque de producción disponen de cuentas coherentes y facilita la solución de problemas.

Recursos adicionales

29

Ejemplo: Finalización del programa piloto de implementación para Trey Research
La figura 1.10 muestra una comparación entre el diseño del bosque piloto de Active Directory y la implementación del bosque de producción. Figura 1.10 Comparación del bosque piloto y el bosque de producción

Recursos adicionales
Los recursos siguientes ofrecen información y herramientas adicionales con referencia a este capítulo.

Información relacionada
• • • • • “Diseño de la estructura lógica de Active Directory”, en este libro. “Diseño de la topología de sitios”, en este libro. “Planeación de la capacidad de los controladores de dominio”, en este libro. “Habilitación de características avanzadas de Active Directory de Windows Server 2003”, en este libro. “Implementación del dominio raíz de bosque de Windows Server 2003”, en este libro.

30

Capítulo 1

Plan de un proyecto de implementación de Active Directory

• • • • • • • •

“Implementación de dominios regionales de Windows Server 2003”, en este libro. “Actualización de dominios de Windows NT 4.0 a Active Directory de Windows Server 2003”, en este libro. “Actualización de dominios de Windows 2000 a dominios de Windows Server 2003”, en este libro. “Reestructuración de dominios de Windows NT 4.0 a un bosque de Active Directory”, en este libro. “Reestructuración de dominios de Active Directory entre bosques”, en este libro. “Reestructuración de dominios de Active Directory en un mismo bosque”, en este libro. “Implementación de DNS”, en el apartado Implementación de servicios de red de este kit. Vínculo de Active Directory en la página de recursos web en http://www.microsoft.com/windows/reskits/webresources (puede estar en inglés). Haga clic en “Guías de planeación e implementación” (puede estar en inglés) para obtener acceso a vínculos adicionales que le permitirán descargar las guías siguientes: • • • • • Guía de planeación de Active Directory en sucursales (puede estar en inglés) Guía de operaciones de Active Directory (puede estar en inglés) Recomendaciones para el diseño de Active Directory con Exchange 2000 (puede estar en inglés) Consideraciones sobre varios bosques (puede estar en inglés) Guía de recomendaciones sobre la seguridad de instalaciones y operaciones habituales de Active Directory: Parte I (puede estar en inglés)

Temas de Ayuda relacionados
Para obtener los mejores resultados al identificar temas de Ayuda por título, en el Centro de ayuda y soporte técnico, bajo el cuadro Búsqueda, haga clic en Establecer opciones de búsqueda. Debajo de Temas de Ayuda, active la casilla de verificación Buscar sólo en Título. • • “Active Directory”, en el Centro de ayuda y soporte técnico de Windows Server 2003 (puede estar en inglés). “Herramientas de soporte de Windows”, dentro de “Herramientas”, en el Centro de ayuda y soporte técnico de Windows Server 2003 (puede estar en inglés).

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->