Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Active Directory
Active Directory
Es un sistema parejo al arbol de netware que sirve para compartir recursos en un conjunto
de dominios. Para ello utiliza un sistema común de resolución de nombres (dns) y un
catálogo común que contiene una réplica completa de todos los objetos de directorio del
dominio en que se aloja además de una replica parcial de todos los objetos de directorio de
cada dominio del bosque
Además contiene información sobre todos los objetos de todos los dominios del bosque, la
búsqueda de información en el directorio no requiere consultas innecesarias a los dominios.
Una única consulta al catálogo produce la información sobre donde se puede encontrar el
objeto.
Un servicio de directorio es uno de los componentes más importantes de una red. Los
usuarios y administradores con frecuencia no saben el nombre exacto de los objetos en que
están interesados. Quizá conozcan uno o más atributos de los objetos y puedan consultar el
directorio para obtener una lista de objetos que concuerden cono los atributos: por ejemplo,
"Encontar todas las impresoras duplex en Edificio B". Un servicio de directorio permite que
un usuario encuentre cualquier objeto con sólo uno de sus atributos.
¿Qué es un objeto?
Es cualquier cosa que tenga entidad en el directorio. Puede ser un programa, un usuario, un
ordenador, un router, una impresora, un proxy, ...
¿Qué es un dominio?
Es un conjunto de normas que especifican que administran los recursos y los clientes en
una red local.
En un dominio hay lo que se llama un servidor principal llamado pdc (primary domain
controller) que es quien asigna derechos controla usuarios y recursos.
Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es
posible instalar un servidor de réplica llamado bdc (backup domain controller) que
contiene siempre una réplica de la base de datos del pdc y actúa como pdc en cuanto a
peticiones de clientes.
En caso de haber varios bdc, uno de ellos se coloca como pdc y los demás se dedican a
respaldar a ese.
¿Que es un arbol?
¿Qué es un bosque?
¿Como se instala?
Al instalar cualquier versión de servidor win2k o windows 2003 se ejecutará el asistente de
active directory.
Este asistente lo que hace en realidad es crear un servidor de dominio bien pdc (si no
hubiera otro servidor) o bien bdc (si lo hubiera).
Después busca un servidor DNS y si lo encuentra lo anexa al arbol de active directory. Si
no lo encuentra instala uno
Además active directory utilizará dns para almacenar información sobre los controladores
de dominio de la red.
En adelante cada vez que queramos cambiar algo respecto a active directory deberemos
acceder a la consola desde el panel de control - herramientas administrativas -
configuración del servidor (también se puede ejecutar dcpromo.exe).
No, y no lo habrá por bastante tiempo. SAMBA con LDAP es algo que aún da muchos
problemas y probablemente no funcionará hasta que el equipo de desarrollo de Samba
solucione esos problemas.
Es util en redes grandes que se puedan dividir en dominios mas pequeños, centros de
trabajo con varios dominios y redes intranet donde hay sucursales que comparten recursos.
Las consultas a recursos de la red son mucho mas rápidas porque se resuelven mediante el
catálogo global en vez de búsquedas netbios.
Las consultas al servidor o a otros sitios se resuelven por dns y no por netbios.
Por cierto ¿Alguien ha conseguido utilizar samba como bdc en un directorio activo?
Instalación
Una vez hayamos acabado el proceso de instalar active Directory y haya acabado
correctamente es muy aconsejable ejecutar de nuevo el asistente y crear un bdc para tener
un sistema tolerante a fallos.
Si no teníamos instalado active directory debemos elegir la primera opción que instalará
además del dominio los archivos necesarios para la administración de active directory y le
cree una entrada en el dns. La segunda opción instala el bdc, pero no instala active
directory.
En este momento habremos creado un dominio y el ordenador será el pdc de ese dominio.
Creará el primer arbol que gestionará active directory y alojará en él al dominio recién
creado.
Inserta este dominio recién creado en un arbol ya existente (si deseamos agregar este
dominio a un directorio activo ya existente).
Si deseamos crear un bosque nuevo que inicialmente tendrá solo un árbol (el anterior)
Si estamos creando el directorio activo deberemos elegir crear un bosque nuevo que
inicialmente tendrá un solo arbol que inicialmente tendrá un solo dominio.
Luego podremos unir los demás árboles (si los hubiera) mediante la opción anterior.
Nombre de dominio
Este nombre puede ser cualquier cosa, no debe estar registrado ni nada, pero como cada día
mas se utiliza internet en la empresa, lo normal es poner el nombre registrado en internic de
la empresa (empresa.com)
Nombre netbios
Solo es necesario para los clientes que no soporten directorio activo. Este utiliza
únicamente dns, pero los clientes win9x y nt utilizan netbios para todos los recursos de red
(incluyendo los dominios).
SysVol
Es el recurso compartido del active directory. Debe ser volumen ntfs y contiene
información del dominio que se replica al resto de controladores de dominio de la red.
Log de actividad
Si en el directorio activo todos los dominios son win2k y superior no hace falta, pero si no,
todos los dominios deberían tener un servidor de catálogo global.
Primero hay que ver la base sobre la que se va a trabajar y como se va a realizar la
migración (tocaré este tema mas adelante).
El paso siguiente será configurar adecuadamente el servidor dns (tocaré este tema
próximamente).
Por último está el tema de la seguridad (que llegará al final de este tema)
Planificación
Para hacerme entender utilizaré el término sucursal para referirme a otra red de la empresa
que puede estar en otro piso del edificio o en otro edificio.
Inicialmente antes de ponerse a instalar nada hay que hacerse las siguientes preguntas:
¿Qué estructura tiene la empresa?
Para responder a esto es necesario conocer completamente la red corporativa (todas las
subredes con sus características).
Siempre que una determinada sucursal no deba conocer lo que se cuece en otra por motivos
organizativos se debe pensar en la necesidad de dividir el bosque.
En cambio si creo cinco dominios (200 usuarios cada dominio) solo se replican esos 200 en
cada dominio.
Además si creo servidores de catálogo global en cada sucursal el tráfico de red se reduce a
200 usuarios del dominio mas la mitad de los restantes 800 usuarios de los demás dominios
con lo que he reducido el tráfico de red por lo menos un cincuenta por ciento.
En casos muy grandes ahora se debería considerar la replicación pero dado que es un tema
complejo lo dejo para otro tema
Aquí habrá que considerar algunas cuestiones como el servidor DNS por lo que llegado a
este punto se deberíla tener una idea clara de los recursos que va a necesitar cada sucursal.
Cada administrador de sucursal debería tener ya establecido claramente como va a
funcionar cada cosa y que recursos necesita para ello.
Aquí se configura también el dominio raíz y el sistema de copia de seguridad sea cual sea.
Normalmente se pone un servidor y otro que hace de seguridad ante desastres. Ambos
tienen instalado un servidor dns de forma que tenemos el dns primario y secundario si por
alguna razón uno falla.
No tienen que ser ordenadores grandes (un pentium IV normalito vale). Solo deben tener al
menos 512Mb de memoria porque el dns consume mucha memoria y un disco de 20Gb es
suficiente.
El primer dominio que se instale será el propietario de las funciones del maestro de
operaciones.
En las redes muy grandes se colocan los llamados servidores de puente que se encargan de
replicar los datos entrantes y salientes del centro de datos a su sucursal y a la inversa. En
estos casos si que se deben considerar ordenadores potentes porque trabajan mucho y si se
atascan se reduce el rendimiento de la sucursal entera.
A veces se instala en ellos un dns que tiene las entradas únicamente del dominio que
controla.
Diseño de la sucursal
Aunque las comprobaciones a realizar son muchas para saber si conecta bien con el sitio
central, en general basta con ver si se comparte sysvol y si están las entradas del dns cname
del nuevo controlador de dominio, y que están grabados los registros SRV y A.
En resumen
Todo este proceso es casi una ciencia. Lleva mucho trabajo dificil porque se está trabajando
con redes que aún no existen y coordinando al equipo de administración de todas las
sucursales y del sitio raíz.
Cuando son sitios grandes es realmente complicado. En redes pequeñas (quinientos puestos
o menos) todo es mas sencillo porque suelen ser un par de edificios y dos redes físicas con
lo que las velocidades de conexión son elevadas. La complejidad aumenta en la medida en
que haya mas sucursales externas porque la velocidad de transmisión es pequeña y las
réplicas pueden llegar a ser un problema serio si no está bien planificado.
Por eso se recomienda en caso de duda la instalación de servidores puente que agilicen las
réplicas a pesar de un mayor coste.
Por último hay que tener especial cuidado con los ordenadores que mas sufren que son los
controladores de dominio pues son los que están mas cerca de los clientes y son los que
tienen mas facilidad de recibir ataques, virus, errores y demás.
Hola
Sé mas específico please, no se a que te refieres. Especifica en que punto te encuentras y
que quieres conseguir ¿has montado el arbol? ¿el dominio? ¿el servidor dns? ...
Un saludo
Parece que sabéis de este tema... Tengo un problema, a ver si podéis ayudarme.
En una red W2003 con 2 servidores en Active Directory, por razones varias, tuve que
reinstalar el servidor configurado como mastro de operaciones, pero sin poder antes
cambiar la función al otro servidor. Desde entonces, no puedo reasignar la función porque
parece ser que debe estar operativo el maestro actual para poder cambiar la función.
¿Algúien sabe cómo hacer este cambio?
Saludos...
Hola
rmarina, debiste haber cambiado al otro servidor. La base de datos está bloqueada y no
puedes cambiarla así como así por razones de seguridad.
cesaraq
Me extraña que debas agregar 5000 usuarios. Mira a ver si no tienes confundido algún
concepto. Una cosa es ser usuario de un dominio y otra del directorio activo.
De todas formas empieza por exportarlo a texto (desde excel no podrás) y luego mira hacer
un fichero bat (la verdad ahora no sé como, pero seguramente se puede) que lea y cree
mediante un perfil. Alguna vez he hecho algo parecido pero no tengo a mano la
información de como lo hice (y de eso hace dos años).
Un saludo
Hola,
TEngo una duda, necesito comprobar que la relación de confianza entre dos dominios A y
B, se ha establecido de A hacia B y no de B hacia A.
Entiendo que si verifico en el Active Directory Domain and Trusts, en las propiedades del
dominio B, en la pestaña Confia, en el apartado "Dominios en los que confia" no deberia
aparecer A. De esta manera confirmo que las relación no se ha establecido de B hacia A.
Luego compruebo en las propiedades de B en la pestaña Confia en el apartado "dominios
de confianza" y debe estar A y en las propiedades de A en la pestaña confía en el apartado
"Dominios en los que se confia" debe estar B. De esta forma compruebo que la relación es
de A hacia B.
Es correcta mi conclusión?
Gracias!!!
Hola
Citar
Como configurar active directory; paso por paso y el cliente .
>:(
Otra duda, al tener dos usuarios el buzon exchage solo se lo creo al usuario que va a usar el
terminal server. Al validarse con el usuario de local y querer configurar el correo de su
usuario de terminal me da fallo de permisos el outlook 2003. La cuenta la creo como cuenta
de exchange.
Pues si, en un entorno de directorio acativo los usuarios son usuarios del directorio, no del
dominio y tendrán el mismo usuario y clave en cualquier parte del directorio.
Un saludo
Hola
A lo mejor sabe alguno como me puede ayudar. Estoy a cargo de dos clusters que
recientemente han sido actualizados. En uno esta el Directorio activo en windows 2003
server y en otro sobre windows 2003 server también hay un exchange el cual durante la
instalación actualizó el esquema del directorio activo. El problema no se plantea con los
nuevos usuarios que se crean en el directorio activo que perfectamente tiene su alias de
exchange para otro software sino con los usuarios ya existentes que no me salen las
propiedades del exchange. No soy experto en directorio activo y supongo que alguna
solución no traumática habrá.
Saludos y gracias.
Como puedo hacer para sacar la base de datos del AD, el archivo NDIS (creo que se
llamaba asi), supongo que debe estar cifrado para que no lo tome cualquiera y pueda
obtener datos de usuarios.
Gracias
Bytes
Soplo, buenas tardes, no se si me puedas escribir un correo, ya que tengo unos probelmas
con un AD y un equipo de Terminal Server, muchas gracias de antemano
Miguel Angel
maqusa@yahoo.com
Hay alguna forma de hacer un backup del Active Directory, y despues levantarlo en el
Servidor nuevo?
Si creo una imagen (Acronis, Ghost, etc) y luego la levanto, quedara igual?
muchas gracias
Hola a todos.
Tengo una duda y no se si se puede hacer o cómo hacerlo. Tengo un servidor wn W2003
con dns y active directory. El tema es que he puesto un servidor adicional para ver si puedo
hacer algo de redundancia entre ellos. Dicho esto ... ¿cómo puedo hacer para replicar el
active directory del servidor principal en el secundario de forma que los cambios se reflejen
en los dos ?. ¿Como puedo hacer que trabajen sincronizados en cuanto a dns y AD ?.¿ Cabe
la posibilidad de que sean tolerantes a fallos ?
Usa las herramientas DCDIAG y NETDIAG para ver como anda todo.
slds
Hola soy nuevo en el foro y agradeceria que alguien me ayudara con este problema: tengo
una red de mas de 30 pc's y tengo un script el cual conecta una unidad de red (disco P) cada
vez que un usuario inicia sesión, el problema es que a veces en dos de las pc's éste disco no
se conecta pero en las demás si; probé crearle un acceso directo en el escritorio a cada
usuario, pero éste desaparece cuando inicia sesión el usuario; otro de los problemas es que
tienen un acceso directo a un programa ubicado en ese disco (disco P) y al no conectarse el
destino del acceso directo cambia y apunta a un disco Y, el cual no existe.....
Muchas gracias por su ayuda y espero que alguien me conteste, porque éste problema me
tiene loco...
Hola,
Soy nuevo en este foro y me gustaría saber si alguien podría orientarme en lo siguiente.
Tengo una aplicación J2EE que ha cambiado su administración de usuarios para registrar n
campos de un usuario (es decir crear un usuario y buscarlo) en el Active Directory. Alguien
me puede dar algún ejemplo de búsquedas e inserciones de alguna API que conecte con el
mismo en JAVA (?).
en el block de notas:
Código:
net user user1 P@ssw0rd /add
net user user2P@ssw0rd /add
net user user3P@ssw0rd /add
................
net user user5000P@ssw0rd /add
pause
donde net user es para especificar k eso es un unuasir
user1 es el nombre k kieres k tenga
P@ssw0rd......pos eso, la contraseña
/add para que lo añada a la OU users
pause k para cuando termine no se cierre asta k tu des a un boton
el archivo lo tienes k guardar como *.bat
hola, soy nuevo en esto, me decia que habria que dar de alta los usuarios y podria ingresar
al servidor de forma remota, despues de hacerlo lo he intentado desde mi computadora y
me dice que esta mal o el nombre de usuario o la contraseña alquien me puede decir por
que?
HOLAA la verdad es que tengo un gran problema anterior mente ya tenia operativo mi
active directory hasta que se malogro el disco duro del servidor asi que no me quedo que
volver a instalar en otro servidor el win2k3 y agregar de nuevo la funcion del active
directory exactamente como lo estaba en el anterior servidor yo dije problema resuelto pero
al principio nadie podia logearse pero despues de varios intentos todos comenzaron a
ingresar ya normalmente asi que ese problemita se soluciono y todos contentos pero
despues el problema surgio cuando en la red no podia instalar las impresoras que estaban
instaladas en otros clientes apesar de que estas se encontraban compartidas a la hora de
buscar la impresora (listado de impresoras compartidas) para instalarla por la red aparece el
cliente que la tiene instalada con signo mas al costado pero le doy click para que me la
muestre y nada :(
Esa preguntita esta guardatela para que se la hagas en persona a Bill Gates,
pero no aca mann ubicate...
Hola men, primero que nada muy buena explicacion del active directory ;D, aunque si es
mucho texto :silbar: jejjeje
me dispuse a tratar de resolver el problema y me decia que no le era posible obtener uan
direccion IP, y de hecho si me mostraba sin direccion, yo como mucha gente obtengo mi
conexion a traves de un modem 2wire, yo opte por ponerle una direccion IP de mi rango de
IP la configuracion fue la siguiente:
IP: 192.168.1.80
SM: 255.255.255.0
Puerta de enlace: 192.168.1.254
---------------
Aun asi me seguia mostrando un mensaje de coenctividad limitada o nula :S, quisiera saber
que hice mal al momento de instalar el server o si ahi que configurar algo despues de iniciar
la sesion,
de ante mano gracias por su respuesta y saludos.
Hola a todos, tengo una consulta ya que no conozco nada de active directory.
Me piden revisar si ademas de los usuarios que están autorizados a ingresar a un programa
que está instalado en un servidor exclusivo, si alguien mas podria eventualmente ingresar al
mismo, se supone que no ya que en la red hay active directory.
Gracias.