Documentos de Académico
Documentos de Profesional
Documentos de Cultura
implementación de
Active Directory
C A P Í T U L O 1
Al implementar el servicio de directorio de Active Directory® de Microsoft® Windows® Server 2003 en el
entorno, podrá beneficiarse del modelo centralizado de administración delegada y de la capacidad de inicio
de sesión único que ofrece Active Directory. Cuando haya identificado el entorno actual y los objetivos de
implementación en la empresa, podrá crear una estrategia de implementación de Active Directory que
cumpla las necesidades de la organización. Las pruebas de implementación en un entorno de laboratorio
aislado y el perfeccionamiento del proceso en determinadas áreas piloto del entorno de producción
contribuirán a garantizar una implementación sin complicaciones en toda la organización.
En este capítulo:
Información general sobre la planeación de un proyecto de implementación de Active
Directory...............................................................................................................5
Determinación de la estrategia de diseño e implementación de Active Directory10
Pruebas y confirmación del proceso de implementación.....................................21
Recursos adicionales...........................................................................................29
Información relacionada
• Para obtener más información sobre planeación, pruebas y desarrollo piloto de un
proyecto de implementación, consulte las secciones “Diseño de un entorno de
pruebas” y “Planeación y pruebas de la implementación de aplicaciones”, incluidas
en el apartado Planeación, pruebas y desarrollo piloto de proyectos de
implementación de este kit.
4 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Aunque las estrategias de diseño e implementación de Active Directory de Windows Server 2003
presentadas en este libro se basan en pruebas extensas de laboratorio y programa piloto, así como en
implementaciones satisfactorias en entornos de cliente, es probable que sea necesario personalizar el diseño y
la implementación de Active Directory para cumplir los requisitos de entornos complejos específicos. Para
obtener más información sobre la implementación de Active Directory en entornos de sucursales, consulte la
Guía de planeación de Active Directory en sucursales (puede estar en inglés). Para obtener más información
sobre la implementación de Active Directory en entornos de Exchange, consulte Recomendaciones para el
diseño de Active Directory con Exchange 2000 (puede estar en inglés). Para obtener más información sobre
la implementación de Active Directory en entornos de varios bosques, consulte Consideraciones sobre
varios bosques (puede estar en inglés). Para descargar estas guías, use el vínculo de Active Directory en la
página de recursos web en http://www.microsoft.com/windows/reskits/webresources y haga clic en “Guías
de planeación e implementación” (puede estar en inglés).
Este libro también proporciona diagramas de flujo, ayudas para trabajos y ejemplos de implementación que
le ayudarán a optimizar el diseño y la implementación de Active Directory en su organización.
Términos y definiciones
Los términos siguientes son importantes a la hora de entender el proceso de implementación de Active
Directory de Windows Server 2003.
Dominio de Active Directory
Unidad administrativa en una red de equipos que simplifica la administración mediante la agrupación de
varias capacidades, por ejemplo:
• Identidad de usuarios en toda la red. Con los dominios, sólo es necesario crear las
identidades de usuario una vez. Es posible hacer referencia a estas identidades desde
cualquier equipo unido al bosque donde reside el dominio. Los controladores de
dominio que forman un dominio se utilizan para almacenar cuentas y credenciales de
usuario (como contraseñas y certificados) de un modo seguro.
• Autenticación. Los controladores de dominio proporcionan servicios de
autenticación para usuarios y ofrecen datos adicionales de autorización, por ejemplo,
relacionados con las pertenencias a grupos de usuarios. Estos servicios pueden ser
útiles para controlar el acceso a los recursos en la red.
• Relaciones de confianza. Los dominios extienden los servicios de autenticación a
usuarios de otros dominios en su propio bosque mediante confianzas bidireccionales
automáticas, así como a usuarios en dominios de otros bosques mediante confianzas
externas o confianzas de bosque creadas manualmente.
• Administración de directivas. El dominio es un ámbito de las directivas
administrativas, por ejemplo, sobre reglas de complejidad y reutilización de
contraseñas.
• Replicación. El dominio define una partición del árbol de directorios que
proporciona la información adecuada para proporcionar los servicios requeridos y
que se replica entre controladores de dominio. Así, todos los controladores de
dominio son elementos del mismo nivel en un dominio y se administran como una
sola unidad.
Bosque de Active Directory
Colección de uno o varios dominios de Active Directory que comparten la estructura lógica, el esquema de
directorios y la configuración de red, además de relaciones automáticas de confianza transitivas y
bidireccionales. Cada bosque constituye una instancia única del directorio y define un límite de seguridad.
Nivel funcional de Active Directory
Parámetro de configuración en Active Directory de Windows Server 2003 que habilita características
avanzadas de Active Directory en todo el dominio o todo el bosque.
10 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Migración
Proceso de transferencia de un objeto de un dominio de origen a un dominio de destino, a la vez que se
conservan o se modifican las características del objeto para que resulte accesible en el dominio nuevo.
Reestructuración de dominios
Proceso de migración que implica la modificación de la estructura de dominios de un bosque. La
reestructuración de dominios puede conllevar la consolidación o la inclusión de dominios, y puede tener
lugar entre bosques o en un mismo bosque.
Consolidación de dominios
Proceso de reestructuración que implica la eliminación de dominios de Microsoft® Windows NT® 4.0 o de
Active Directory al combinar su contenido con el contenido de otros dominios.
Actualización de dominios
Proceso de actualización del servicio de directorio de un dominio a una versión posterior del servicio de
directorio. Esto incluye la actualización del sistema operativo en todos los controladores de dominio y la
elevación del nivel funcional de Active Directory donde corresponda.
Actualización local de dominios
Proceso de actualización del sistema operativo en todos los controladores de dominio basados en
Windows NT 4.0 o en Microsoft® Windows® 2000 y de elevación del nivel funcional del dominio si
corresponde, sin modificar la ubicación de los objetos de dominio, como usuarios y grupos.
Dominio regional
Dominio secundario creado según una región geográfica concreta para optimizar el tráfico de replicación.
Determinación de la estrategia de
diseño e implementación de
Active Directory
Cuando haya realizado una evaluación detallada del entorno actual y haya identificado los objetivos de
implementación de Active Directory en la empresa, podrá determinar la estrategia de implementación que se
adaptará de forma óptima a su entorno. La figura 1.3 muestra los pasos de definición del proceso de
implementación de Active Directory.
Recursos adicionales 11
La tabla 1.1 enumera los posibles puntos de inicio y objetivos de una implementación de Active Directory de
Windows Server 2003, así como los pasos de implementación correspondientes y los capítulos de este libro
que se aplican a cada uno.
Tabla 1.1 Entorno actual, objetivos y capítulos correspondientes para la implementación
de Active Directory de Windows Server 2003
Entorno Objetivos de Capítulos correspondientes
implementación
Crear diseño de Capítulo 2: “Diseño de la estructura
bosques, dominios, DNS lógica de Active Directory”
y unidades
organizativas.
Crear un diseño de sitio Capítulo 3: “Diseño de la topología
y de vínculo a sitios. de sitios”
Evaluar los requisitos de Capítulo 4: “Planeación de la
hardware. capacidad de los controladores de
Nueva dominio”
organización Implementar el dominio Capítulo 6: “Implementación del
raíz de bosque. dominio raíz de bosque de Windows
Server 2003”
Implementar dominios Capítulo 7: “Implementación de
regionales. dominios regionales de Windows
Server 2003”
Elevar los niveles Capítulo 5: “Habilitación de
funcionales de dominio y características avanzadas de Active
bosque. Directory de Windows Server 2003”
Windows NT 4.0 Crear diseño de Capítulo 2: “Diseño de la estructura
bosques, dominios, DNS lógica de Active Directory”
y unidades
organizativas.
Crear un diseño de sitio Capítulo 3: “Diseño de la topología
y de vínculo a sitios. de sitios”
Evaluar los requisitos de Capítulo 4: “Planeación de la
hardware. capacidad de los controladores de
dominio”
Implementar el dominio Capítulo 6: “Implementación del
raíz de bosque. dominio raíz de bosque de Windows
Server 2003”
Implementar dominios Capítulo 7: “Implementación de
regionales. dominios regionales de Windows
Server 2003”
Recursos adicionales 13
La tabla 1.2 enumera los objetivos y los capítulos correspondientes aplicables a la reestructuración de
dominios, ya sea entre bosques o en un mismo bosque.
Tabla 1.2 Objetivos y capítulos correspondientes para la reestructuración de dominios de
Active Directory
Acción Objetivos de implementación Capítulos correspondientes
Crear diseño de bosques, Capítulo 2: “Diseño de la estructura
dominios, DNS y unidades lógica de Active Directory”
organizativas.
Reestructurar Crear un diseño de sitio y de Capítulo 3: “Diseño de la topología
dominios en vínculo a sitios. de sitios”
un mismo
Usar una herramienta como la Capítulo 12: “Reestructuración de
bosque
Herramienta de migración dominios de Active Directory en un
Active Directory (ADMT) para mismo bosque”
reestructurar dominios en un
mismo bosque.
Crear diseño de bosques, Capítulo 2: “Diseño de la estructura
dominios, DNS y unidades lógica de Active Directory”
organizativas.
Reestructurar
dominios Crear un diseño de sitio y de Capítulo 3: “Diseño de la topología
entre vínculo a sitios. de sitios”
bosques
Usar una herramienta como Capítulo 11: “Reestructuración de
ADMT para reestructurar dominios de Active Directory entre
dominios entre bosques. bosques”
Después de revisar el entorno existente e identificar los objetivos de implementación, Contoso estableció la
estrategia de implementación de Active Directory siguiente:
• Actualizar los dominios de Windows 2000 a dominios de Windows Server 2003.
• Habilitar las características avanzadas de Active Directory mediante la elevación de
los niveles funcionales de dominio y bosque a Windows Server 2003.
Tras actualizar todos los dominios de Windows 2000 a dominios de Windows Server 2003, Contoso
reestructurará el dominio africa.concorp.contoso.com en el mismo bosque para consolidarlo con el dominio
emea.concorp.contoso.com.
Recursos adicionales 19
La organización Contoso se encuentra en proceso de adquisición de una empresa llamada Trey Research,
que, actualmente, ejecuta un entorno basado en Windows NT 4.0, como muestra la figura 1.5.
Figura 1.5 Entorno actual de Trey Research
Contoso estableció la estrategia de implementación de Active Directory siguiente para la adquisición de Trey
Research:
• Diseñar la estructura lógica de Active Directory para crear diseños de bosques,
dominios, DNS y unidades organizativas en el nuevo entorno de Windows
Server 2003.
• Diseñar la topología de sitios para crear los sitios, los vínculos a sitios y los puentes
de vínculos a sitios requeridos.
• Planear la capacidad de los controladores de dominio para determinar los requisitos
de hardware del nuevo entorno de Windows Server 2003.
• Implementar trccorp.treyresearch.net como dominio raíz de bosque.
• Implementar tres dominios regionales. Diferentes equipos pueden crear estos
dominios simultáneamente.
• Actualizar el dominio EAST a Windows Server 2003 para convertirlo en
east.trccorp.treyresearch.net.
• Crear dos dominios regionales nuevos de Windows Server 2003 llamados
asia.trccorp.treyresearch.net y west.trccorp.treyresearch.net.
• Reestructurar los dominios BOSTON, MAIL-APPS, PROD-APPS y OFFICE-APPS
en el dominio east.trccorp.treyresearch.net de Windows Server 2003 mediante
ADMT.
• Elevar los niveles funcionales de dominio y bosque a Windows Server 2003.
La figura 1.6 muestra el entorno intermedio para Trey Research.
20 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Posteriormente, Contoso determinó que un solo dominio sería más rentable para Europa, Oriente Medio y la
región asiática, de modo que el paso final del proceso de implementación consiste en reestructurar
asia.trccorp.treyresearch.net en el dominio emea.concorp.contoso.com del bosque de Contoso mediante
ADMT.
La figura 1.7 presenta la estructura de dominios para la empresa Contoso después de completar la
adquisición de Trey Research y el proceso de implementación de Active Directory de Windows Server 2003.
Figura 1.7 Entorno final de Contoso y Trey Research
Recursos adicionales 21
Asegúrese de que el entorno del laboratorio de pruebas está aislado del resto de la red de producción de la
empresa y que representa, a escala reducida, la configuración de sistema operativo y hardware de los equipos
de la organización. Incluya en el entorno de laboratorio los controladores de dominio necesarios para
respaldar una muestra representativa del diseño del sitio, incluidos asociados de replicación entre sitios y en
un mismo sitio, vínculos a sitios e intervalos de replicación razonables.
Incluya cuentas de usuario y grupo, y otros recursos designados exclusivamente para las pruebas. Compruebe
que el entorno de pruebas ofrece acceso a configuraciones de prueba de servicios externos, como mainframe
e Internet, según se requiera. Conserve el laboratorio permanentemente para probar procedimientos nuevos y
utilizarlo en sesiones de aprendizaje para el equipo de implementación.
El equipo de implementación puede hacer uso del entorno de laboratorio para identificar los aspectos
específicos de su proceso de implementación y familiarizarse con las herramientas de migración e
implementación utilizadas durante la implementación de Active Directory.
Comúnmente, las pruebas de suposiciones de diseño y las pruebas del proceso de implementación quedan al
cargo de equipos diferentes. La tabla 1.4 enumera las pruebas de laboratorio y los miembros de equipo que
las realizan.
Tabla 1.4 Pruebas de laboratorio y miembros de equipo correspondientes
Proceso de pruebas Pruebas de laboratorio Miembros de equipo
Analizar la topología de Equipo de diseño, propietario
sitios y la replicación de de topología de sitios y
Probar suposiciones Active Directory. equipo de implementación.
de diseño Probar compatibilidad de Equipo de diseño.
equipos de escritorio y
aplicaciones.
Probar recuperación ante Propietario del bosque y
desastres. equipo de implementación.
Probar proceso de Probar migración de Propietario del bosque y
implementación cuentas y recursos. equipo de implementación.
Evaluar delegación, Propietario del bosque.
administración y dirección.
Por ejemplo, compruebe que un servidor basado en Windows Server 2003 con Microsoft®
SQL Server™ puede interactuar con un servidor basado en Windows NT 4.0 al ejecutar la
misma aplicación.
• Las aplicaciones de escritorio existentes se ejecutan correctamente cuando se lleva a
cabo la migración de la infraestructura de dominios a Active Directory de Windows
Server 2003.
• Las aplicaciones existentes que usan la seguridad integrada de Windows se ejecutan
correctamente cuando se lleva a cabo la migración de la infraestructura de dominios a
Active Directory de Windows Server 2003.
Si encuentra que alguna aplicación de servidor no se puede migrar a un controlador de dominio basado en
Windows Server 2003, pruebe a instalar de nuevo la aplicación o instale una versión posterior de la misma en
un servidor miembro basado en Windows Server 2003. Si la aplicación no se ejecuta en un servidor con
Windows Server 2003, puede continuar ejecutándola en el servidor con Windows NT 4.0 o Windows 2000.
Comunique al equipo de diseño que no se puede realizar la actualización local del dominio de la aplicación
del servidor y tampoco se puede consolidar, por lo que deberá permanecer tal cual hasta que haya disponible
una versión de la aplicación que se pueda ejecutar en un controlador de dominio basado en Windows
Server 2003. Como objetivo de implementación a largo plazo, traslade las aplicaciones que actualmente se
ejecutan en controladores de dominio a servidores miembro.
Asegúrese de que las pruebas representan las velocidades de conexión mínimas en el entorno, así como el
número máximo de cuentas de usuario.
Por ejemplo, al determinar el tiempo requerido para restaurar un controlador de dominio con errores,
asegúrese de probar la restauración de los datos de estado del sistema de la copia de seguridad para cualquier
controlador de dominio que sea único en un sitio conectado con una velocidad de datos máxima de
128 Kbps. Pruebe también la restauración de los datos de estado del sistema de la copia de seguridad para
cualquier controlador de dominio en un dominio con más de 20.000 cuentas de usuario.
Cuando un controlador de dominio esté conectado a otros controladores de dominio con una velocidad de
datos igual o superior a 128 Kbps, pruebe el proceso para instalar Active Directory en un controlador de
dominio nuevo y dejar que la replicación de Active Directory vuelva a llenar la base de datos de Active
Directory.
Para obtener más información sobre pruebas de recuperación ante desastres, consulte Recuperación ante
desastres de Active Directory (.doc) en la página de recursos web en
http://www.microsoft.com/windows/reskits/webresources (puede estar en inglés).
Comprobación de la implementación en
un programa piloto
En el entorno de laboratorio, deberá comprobar que el proceso de implementación funciona fuera del entorno
de producción en cuentas y recursos que asemejan el entorno de producción. Si su entorno ejecuta Active
Directory de Windows 2000, haga uso del programa piloto existente para comprobar la implementación de
Windows Server 2003. En el programa piloto de implementación, identifique un subconjunto controlado de
las cuentas (usuarios, grupos y servicios) y los recursos existentes en el entorno de producción. Aplique el
proceso de implementación en las cuentas y los recursos identificados.
Los objetivos del programa piloto incluyen:
• realizar pruebas en un subconjunto del entorno de producción.
• proporcionar un entorno de pruebas para otros grupos de diseño e implementación,
como la implementación de Exchange 2000.
• comprobar el proceso y los procedimientos para actualizaciones de la infraestructura
de red y sistema operativo.
• comprobar el funcionamiento adecuado de las actualizaciones de aplicaciones.
• evaluar el impacto de soluciones de supervisión en la infraestructura de red y los
servidores supervisados.
• descubrir problemas potenciales en el proceso de implementación causados por
dificultades que no fue posible probar en el entorno de laboratorio.
• revisar el proceso de implementación para corregir cualquier problema descubierto de
forma previa a la implementación de producción.
En la implementación piloto, empiece por los usuarios involucrados en el proyecto de implementación y,
después, incluya usuarios representativos de la base de usuarios de la organización.
Recursos adicionales 27
Importante
Al realizar la migración de usuarios de producción al programa piloto, deje las
cuentas de usuario habilitadas en los entornos piloto y de producción. Al
mantener habilitadas las cuentas de usuario en el entorno de producción,
contará con un plan de reserva en caso de que se presente alguna
complicación en el entorno piloto.
Recursos adicionales
Los recursos siguientes ofrecen información y herramientas adicionales con referencia a este capítulo.
Información relacionada
• “Diseño de la estructura lógica de Active Directory”, en este libro.
• “Diseño de la topología de sitios”, en este libro.
• “Planeación de la capacidad de los controladores de dominio”, en este libro.
• “Habilitación de características avanzadas de Active Directory de Windows
Server 2003”, en este libro.
• “Implementación del dominio raíz de bosque de Windows Server 2003”, en este
libro.
30 Capítulo 1 Plan de un proyecto de implementación de Active Directory