Está en la página 1de 43

Creacin de un dominio de Windows 2000

Contenido Descripcin general 1

Introduccin a la creacin de un dominio de Windows 2000 2 Instalacin de Active Directory 3 Proceso de Instalacin de Active Directory 13 Examinar la estructura predeterminada de Active Directory 24 Tareas posteriores a la instalacin de Active Directory 26 Solucionar problemas de la instalacin de Active Directory Quitar Active Directory Prcticas recomendadas 35 37 39

Creacin de un dominio de Windows 2000

Notas para el instructor


Este mdulo proporciona a los alumnos los conocimientos necesarios para instalar el servicio de directorio Active Directory en un equipo en el que se ejecute Microsoft Windows 2000 Advanced Server y realizar las tareas posteriores a la instalacin. Al final de este mdulo, los alumnos podrn: Identificar el objetivo de crear un dominio de Windows 2000 Crear un dominio de Windows 2000 instalando Active Directory Describir el proceso para instalar Active Directory Examinar la estructura predeterminada de Active Directory Realizar las tareas posteriores a la instalacin de Active Directory Solucionar los problemas que pueden surgir al crear un dominio de Windows 2000 Quitar Active Directory usando el Asistente de instalacin de Active Directory Aplicar las mejores prcticas para crear un dominio de Windows 2000 En los casos prcticos de este mdulo, los alumnos tendrn la oportunidad de crear un dominio de Windows 2000. En el primer caso prctico, los alumnos instalarn Active Directory usando el Asistente de instalacin de Active Directory. En el segundo caso prctico, los alumnos comprobarn que Active Directory est correctamente instalado, convertirn zonas DNS principales estndar en zonas integradas de Active Directory y convertirn un dominio de modo mixto a modo nativo. Los alumnos crearn despus unidades organizativas (UO) de acuerdo con el diseo de UO indicado en el ejercicio.

Creacion de un dominio de Windows 2000

ii

Desarrollo del mdulo


Utilice las siguiente estrategias para presentar el mdulo: Introduccin a la creacin de un dominio de Windows 2000 En este tema, introducir cmo crear un dominio de Windows 2000. Empiece el mdulo hablando sobre el objetivo de crear un dominio de Windows 2000 en Windows 2000. Instalacin de Active Directory En este tema, comentar cmo instalar Active Directory. Comience el mdulo indicando el hardware, el software, la red y la configuracin que hacen falta para instalar Active Directory. Explique cmo usar el Asistente de instalacin de Active Directory para crear el primer dominio. Utilice la simulacin para mostrar cmo crear el primer dominio, ya que en el equipo del profesor no se puede crear el primer dominio. Destaque que en este mdulo slo se explica cmo crear el primer dominio y cmo agregar la rplica de un controlador de dominio a un bosque existente. Diga a los alumnos que aprendern a crear dominios secundarios en el mdulo 10 de este curso. A continuacin, muestre cmo agregar un controlador de dominio adicional a un dominio existente. Por ltimo, muestre cmo usar un archivo de comandos de instalacin desatendida para instalar Active Directory. Muestre a los alumnos algunos archivos de respuesta de ejemplo y explique las diferentes entradas de un archivo de respuesta. Prepare a los alumnos para el caso prctico, en el que instalarn el primer dominio de un rbol nuevo y un bosque nuevo. Asegrese de dar a los alumnos una direccin de Protocolo de Internet (IP) esttica y un nombre de dominio. Dgales que observen los distintos procesos que tienen lugar mientras instalan Active Directory. Cuando los alumnos hayan terminado el caso prctico, pregnteles si tienen alguna pregunta. Proceso de Instalacin de Active Directory En este tema, comentar el proceso que tiene lugar al instalar Active Directory. Pregunte a los alumnos qu han observado mientras se instalaba Active Directory. Dgales que ahora va a pasar a comentar el proceso de instalacin, que incluye comprobar los parmetros de configuracin, determinar la configuracin del sitio, configurar el servicio de directorios e identificar otras operaciones de instalacin de Active Directory. Examinar la estructura predeterminada de Active Directory En este tema, explicar la estructura predeterminada que se crea despus de instalar Active Directory. Abra Usuarios y equipos de Active Directory y muestre a los alumnos los componentes predeterminados de Active Directory. Comente la finalidad de estos componentes. Deje bien clara la diferencia entre un contenedor y una UO. Tareas posteriores a la instalacin de Active Directory En este tema, explicar cmo realizar las tareas posteriores a la instalacin de Active Directory. Muestre cmo realizar las tareas posteriores a la instalacin de Active Directory, cmo verificar la instalacin de Active Directory, implementar las zonas integradas de Active Directory, proteger las actualizaciones de las zonas integradas de Active Directory y cambiar el modo del dominio. Por ltimo, presente el mtodo para implementar una estructura de unidades organizativas y definir lmites administrativos y de poltica de grupos en Active Directory.

Creacion de un dominio de Windows 2000

iii

Prepare a los alumnos para realizar la prctica B, en la que comprobarn si Active Directory est correctamente instalado, implementarn zonas integradas de Active Directory, cambiarn el modo del dominio de modo mixto a modo nativo y crearn una estructura de unidades organizativas basada en una situacin de la empresa. Cuando los alumnos hayan terminado el caso prctico, pregnteles si tienen alguna pregunta. Solucionar problemas de la instalacin de Active Directory En este tema, presentar las opciones posibles para solucionar problemas que pueden surgir al instalar Active Directory. Mencione algunos de los problemas ms comunes que pueden encontrarse al instalar Active Directory, junto con las estrategias que se sugieren para resolverlos. Quitar Active Directory En este tema, explicar cmo quitar Active Directory usando el Asistente de instalacin de Active Directory. Comente las operaciones que realiza el asistente al quitar Active Directory. Diga a los alumnos que algunas operaciones son comunes para todos los controladores de dominio, mientras que hay otras que dependen del tipo de controlador de dominio que se quita. Prcticas recomendadas Presente las mejores prcticas para crear un dominio de Windows 2000. Destaque los motivos por los cuales conviene poner en prctica cada una de ellas.

Creacin de un dominio de Windows 2000

Descripcin general
Objetivo de la diapositiva
n n n n n n n n n

Introducci n a la creaci n de un dominio de Windows 2000 Instalacin de Active Directory Proceso de Instalacin de Active Directory Prctica: Creacinde un dominio de Windows 2000 Examinar la estructura predeterminada de Active Directory Tareas posteriores a la instalaci n de Active Directory Solucionar problemas de la instalaci n de Active Directory Quitar Active Directory Prcticas recomendadas

Ofrecer una visin general de los temas y los objetivos del mdulo.

Introduccin

En este mdulo, aprender a instalar Active Directory en un equipo en el que se ejecute Windows 2000 Advanced Server, y a realizar las tareas posteriores a la instalacin de Active Directory.

Despus de instalar Microsoft Windows 2000, puede configurar un equipo en el que se ejecute Windows 2000 Server para que funcione como controlador de dominio en un dominio de Windows 2000. Al implementar una estructura de dominios en el servicio de directorios Windows 2000 Active Directory , crear una estructura administrativa para la red. Para implementar una estructura de dominios, necesita crear un dominio, as como unidades organizativas (UO) dentro del dominio, y despus el usuario, el grupo y los objetos de recursos dentro de las UO. Cuando cree el dominio, debe identificar el nombre DNS del nuevo dominio y la ubicacin de los archivos que se crean durante el proceso de instalacin. Windows 2000 utiliza el Asistente de instalacin de Active Directory para crear nuevos controladores de dominio. Al final del mdulo, podr: Identificar el objetivo de crear un dominio de Windows 2000 Crear un dominio de Windows 2000 instalando Active Directory Describir el proceso para instalar Active Directory Examinar la estructura predeterminada de Active Directory Realizar las tareas posteriores a la instalacin de Active Directory Solucionar los problemas comunes que pueden surgir al instalar Active Directory Quitar Active Directory usando el Asistente de instalacin de Active Directory Aplicar las mejores prcticas para crear un dominio de Windows 2000

Creacin de un dominio de Windows 2000

uIntroduccin a la creacin de un dominio de Windows 2000


2000
Objetivo de la diapositiva Introduccin
Un dominio es la unidad administrativa central de una red de Windows 2000. El dominio que se crea en un nuevo bosque es el dominio raz. Explicar el objetivo de crear un dominio de Windows 2000
n n

Los dominios son la unidad administrativa central El primer dominio que se crea es el dominio raz o la raz del bosque Con el Asistente de instalacin de Active Directory puede crear dominios y controladores de dominio
Nuevo bosque

Primer controlador de dominio


Raz del bosque (Primer dominio) Raz del bosque (Primer dominio)

Controlador de dominio adicional (Rplica)

Este mdulo slo cubre la creacin de un nuevo bosque y controladores de dominio adicionales en la raz del bosque. Diga a los alumnos que el Asistente de instalacin de Active Directory no slo se usa para crear un nuevo bosque y controladores de dominio adicionales, sino que tambin se emplea para crear un dominio secundario y un nuevo rbol en un bosque existente, lo cual se tratar ms adelante en este mismo curso.

Un dominio es la unidad administrativa central de una red de Windows 2000. En Windows 2000, los dominios se utilizan para definir cmo se organizan y almacenan la informacin y los recursos. El primer dominio que se crea en Active Directory es el dominio raz de todo el bosque. Este dominio tambin se denomina raz del bosque. Cuando se instala Active Directory por primera vez en una red Windows 2000, se debe crear el primer controlador de dominio en un nuevo bosque, establecindose el dominio raz. El Asistente de instalacin de Active Directory le gua en el proceso de instalacin de Active Directory para crear controladores de dominio y dominios de Windows 2000. Puede convertir cualquier servidor autnomo o miembro en controlador de dominio. Cuando convierta un servidor en controlador de dominio, puede crear: Un nuevo bosque, incluyendo el dominio raz (primer dominio del bosque) y el primer controlador de dominio Un controlador de dominio adicional en un dominio existente de Windows 2000

Puntos principales
Un dominio es la unidad administrativa central que se utiliza para definir cmo se organizan y almacenan la informacin y los recursos. El primer dominio que se crea en Active Directory es el dominio raz de todo el bosque, o la raz del bosque.

Creacin de un dominio de Windows 2000

u Instalacin de Active Directory


Objetivo de la diapositiva
Presentar los temas relacionados con la instalacin de Active Directory
n n n n

Preparar la instalacin de Active Directory Creacin del primer dominio Agregar la rplica de un controlador de dominio Usar un archivo de comandos de instalacin desatendida para instalar Active Directory

Introduccin

Deber utilizar DCPromo.exe para ejecutar el Asistente de instalacin de Active Directory. El Asistente de instalacin de Active Directory le guiar en el proceso de instalacin de Active Directory.

Cuando utilice el Asistente de instalacin de Active Directory para instalar Active Directory, debe comprobar antes que se cumplen todos los requisitos necesarios para instalar Active Directory. Despus, especifique la colocacin de un controlador de dominio dentro de la estructura de Active Directory. Cuando instale Active Directory, debe especificar tambin informacin detallada, como el nombre del domino y la ubicacin de los archivos que se crearon durante el proceso de instalacin. Tambin puede ejecutar una sesin desatendida del Asistente de instalacin de Active Directory usando archivos de respuesta. La sesin desatendida del Asistente de instalacin de Active Directory es til en la recuperacin de desastres y cuando se instala Active Directory en suc ursales en las que no se dispone de asistencia tcnica.

Creacin de un dominio de Windows 2000

Preparar la instalacin de Active Directory


Objetivo de la diapositiva
Identificar los requisitos del sistema para instalar Active Directory

Requisitos Requisitos para para la la instalacin instalacin de de Active Active Directory Directory
Equipo con Windows 2000 Server, Windows 2000 Advanced Server o Windows 2000 Datacenter Server Espacio de disco mnimo de 200 MB para Active Directory y 50 MB para los archivos de registro Particin o volumen formateado con el sistema de archivos NTFS TCP/IP instalado y configurado para usar DNS
TCP/IPun Privilegios administrativos adecuados para crear dominio en una red existente

Introduccin
Antes de instalar Active Directory, debera asegurarse de que el equipo en el que se va a instalar cumple los requisitos bsicos.

NTFS

Antes de instalar Active Directory, debe asegurarse de que el equipo que se configurar como controlador de dominio cumple determinados requisitos. En la siguiente lista se enumeran los requisitos para la instalacin de Active Directory:
Recuerde que los requisitos de espacio de disco duro indicados corresponden a la capacidad mnima necesaria para instalar Active Directory.

Un equipo en el que se ejecute Windows 2000 Server, Windows 2000 Advanced Server o Windows 2000 Datacenter Server. Un mnimo de 200 megabytes (MB) de espacio de disco para la base de datos de Active Directory y 50 MB adicionales para los archivos de registro de transacciones de la base de datos de Active Directory. Los requisitos de tamao de los archivos de registro y de base de datos de Active Directory dependen del nmero y el tipo de los objetos del dominio. Tambin hace falta ms espacio de disco si el controlador de dominio es adems un servidor de catlogo global. Una particin o volumen que se formatea con el sistema de archivos NTFS. Esto es necesario para la carpeta SYSVOL. Protocolo de control de transporte/Protocolo de Internet (TCP/IP) instalado y configurado para usar el Sistema de nombres de dominio (DNS). Los privilegios administrativos necesarios para crear un dominio si lo crea en una red de Windows 2000 existente. Nota El Asistente de instalacin de Active Directory ofrece la posibilidad de instalar el servicio Servidor DNS cuando se instala Active Directory. El servidor DNS es compatible con los registros de recursos (de servicio) SRV y el protocolo de actualizacin dinmica DNS.

Creacin de un dominio de Windows 2000

Creacin del primer dominio


Objetivo de la diapositiva
Mostrar cmo se crea el primer dominio en un rbol nuevo de un bosque nuevo
n n n

Iniciar el Asistente de instalacin de Active Directory Seleccionar el controlador de dominio y el tipo de dominio Especificar la informacin necesaria l Nombres de dominio, DNS y NetBIOS l Ubicacin de la base de datos, los archivos de registro y el volumen del sistema compartido l Seleccione actualizar los permisos
l

Introduccin
El primer dominio que se crea usando Active Directory es el dominio raz del bosque.

Especifique la contrasea que usar en el Modo de restauracin de servicios de directorio Instala Active Directory Convierte el equipo en controlador de dominio

El Asistente de instalacin de Active Directory:


l l

Cuando se instala Active Directory por primera vez en una red, se crea el dominio raz del bosque. El Asistente de instalacin de Active Directory le dirige para que especifique la informacin necesaria del nuevo controlador de dominio. La informacin que deber especificar al instalar Active Directory variar en funcin de las opciones que seleccione. Para crear el dominio raz, siga estos pasos: En el cuadro Ejecutar, escriba dcpromo.exe y despus presione ENTRAR. En el Asistente de instalacin de Active Directory, complete la instalacin usando la informacin de la siguiente tabla.
En esta pgina del asistente Tipo de controlador de dominio Crear rbol o dominio secundario Crear o asociar bosque Nuevo nombre de dominio Haga esto Haga clic en Controlador de dominio para un dominio nuevo . Haga clic en Crear un nuevo rbol de dominios . Haga clic en Crear un nuevo bosque de rboles de dominios . Especifique el nombre DNS del nuevo dominio. Si su red necesita estar presente en Internet, compruebe que tiene registrado un nombre de dominio de Internet y despus utilcelo como el nombre de la raz del bosque. Confirme o especifique el nombre NetBIOS del nuevo dominio. El nombre NetBIOS se utiliza para identificar el dominio en equipos cliente que ejecutan versiones anteriores de Windows y Microsoft Windows NT.

Nombre NetBIOS del dominio

Creacin de un dominio de Windows 2000 (continuacin) En esta pgina del asistente Ubicacin de la base de datos y el registro Haga esto

Especifique las ubicaciones de la base de datos y los archivos de registro de Active Directory. La base de datos almacena el directorio del nuevo dominio y el archivo de registro almacena temporalme nte los cambios realizados en la base de datos. La ubicacin predeterminada de la base de datos y los archivos de registros es systemroot\Ntds. Para obtener el mejor rendimiento, coloque la base de datos y los archivos de registros en discos duros distintos. Al instalar la base de datos y los archivos de registro en discos duros distintos se garantiza que las lecturas y escrituras en la base de datos y los archivos de registro no compiten por recursos de entrada y salida. Especifique la ubicacin del volumen del sistema compartido. El volumen del sistema compartido es una estructura de carpetas que albergan todos los controladores de dominio de Windows 2000. El volumen del sistema compartido almacena archivos, como archivos de comandos de inicio de sesin, cierre de sesin, inicio y cierre, e informacin de la directiva de grupo, que se replican entre los controladores de dominio. Debe especificar una particin o volumen que se formatee con el sistema de archivos NTFS. Especifique si desea asignar los permisos predeterminados a los objetos de usuario y de grupo compatibles con servidores que ejecutan versiones anteriores de Windows y Windows NT, o slo con servidores que ejecuten Windows 2000. Al asignar servidores qu e ejecuten versiones anteriores de permisos de Windows y Windows NT se agrega el grupo Todos al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de slo lectura a los atributos de objetos de usuario y grupo que existan en Windows NT 4.0.

Volumen del sistema compartido

Permis os

Creacin de un dominio de Windows 2000 (continuacin) En esta pgina del asistente Contrasea de administrador del Modo de restauracin de servicios de directorio Haga esto

Especifique la contrasea que utilizar al iniciar el equipo en Modo de restauracin de servicios de directorio. Los controladores de dominio de Windows 2000 mantienen una versin pequea de la base de datos de cuentas de Windows NT 4.0. La nica cuenta de esta base de datos es la cuenta Administrador, necesaria para realizar la autenticacin cuando se inicia el equipo en modo de restauracin de servicios del directorio, ya que el servicio de directorio Active Directory no se inicia en ese modo.

Cuando termine de especificar la informacin de instalacin, el Asistente de instalacin de Active Directory instala Active Directory y convierte el equipo en un controlador de dominio.

Creacin de un dominio de Windows 2000

Agregar la rplica de un controlador de dominio


Objetivo de la diapositiva
Mostrar cmo agregar la rplica de un controlador de dominio a un dominio existente.
n

La tolerancia a errores requiere un mnimo de dos controladores de dominio en un dominio Ms de un controlador de dominio en un dominio garantiza tambin que el controlador de dominio no se sobrecargue Ejecute Dcpromo para agregar un controlador de dominio a un dominio existente El Asistente de instalacin de Active Directory:
l l

Introduccin
Para que la tolerancia de errores sea mnima, debera tener dos controladores de dominio en un dominio.
n

Convierte el equipo en controlador de dominio Replica Active Directory desde un controlador de dominio existente

Consejo

Muestre cmo crear un controlador de dominio adicional. Explique las opciones de cada una de las pginas del asistente.

Para habilitar la tolerancia a errores en caso de que se desconecte un controlador de dominio de forma inesperada, debe tener como mnimo dos controladores de dominio en un nico dominio. Puesto que todos los controladores de dominio de un dominio replican los datos especficos de su dominio en otro, al instalar varios controladores de dominio en el dominio, automticamente se habilita la tolerancia de errores para los datos almacenados en Active Directory. Si falla un controlador de dominio, los dems controladores de dominio prestarn los servicios de autenticacin y acceso a los objetos de Active Directory para que el dominio funcione normalmente. Cuando se agrega un nuevo controlador de dominio a un dominio, se produce la replicacin para garantizar la coherencia en Active Directory. Adems, la existencia de ms de un controlador de dominio en un dominio contribuye a garantizar que el nico controlador de dominio no se sobrecargue al responder a las peticiones de inicio de sesin, las consultas del catlogo global y otros servicios proporcionados por los controladores de dominio.

Creacin de un dominio de Windows 2000

Para agregar un controlador de dominio a un dominio existente, siga estos pasos: En el cuadro Ejecutar, escriba dcpromo.exe y despus presione ENTRAR. En el Asistente de instalacin de Active Directory, complete la instalacin usando la informacin de la siguiente tabla:
En esta pgina del asistente Tipo de controlador de dominio Credenciales de red Haga esto Haga clic en Controlador de dominio adicional para un dominio existente . Especifique el nombre de usuario, la contrasea y el nombre de dominio de una cuenta de usuario que tenga los privilegios para crear controladores de dominio en Active Directory. Especifique el nombre DNS del dominio existente para el que este equipo se convertir en un controlador de dominio adicional.

Controlador de dominio adicional

Las dems opciones del Asistente de instalacin de Active Directory son idnticas a las opciones utilizadas para crear el primer dominio. Cuando termine de especificar la informacin de instalacin, el Asistente de instalacin de Active Directory convierte el equipo en un controlador de dominio y replica Active Directory desde un controlador de dominio existente.

Creacin de un dominio de Windows 2000

10

Usar un archivo de comandos de instalacin desatendida para instalar Active Directory


Objetivo de la diapositiva
Identificar cmo instalar Active Directory usando un archivo de comandos de instalacin desatendida
Cuaderno

Un archivo de respuesta:
l

Introduccin
Tiene la posibilidad de instalar Active Directory con un archivo de comandos de instalacin desatendida.
l

Contiene todos los parmetros necesarios [DCInstall] [DCInstall] para una instalacin desatendida de Active Directory Archivo Archivode de
respuesta respuesta Contiene slo el apartado [DCInstall] del archivo de parmetros de instalacin desatendida

[Desatendida] [Desatendida]

Se puede ejecutar despus de completar la configuracin de Windows 2000 Server y de que un usuario haya iniciado una sesin en el equipo dcpromo/answer:< archivo de respuesta>

Muestre a los alumnos un archivo de respuesta de ejemplo. Explique las entradas del apartado [DCInstall] y los valores necesarios para instalar el primer dominio. Diga a los alumnos que el comando para ejecutar un archivo de respuesta puede incluirse en el apartado GuiRunOnce de un archivo de respuesta usado para automatizar la instalacin de Windows 2000 Advanced Server. Al incluir el comando en el archivo de respuesta, puede automatizar totalmente la instalacin de un controlador de dominio.

Tambin puede instalar Active Directory usando un archivo de respuesta . Los administradores utilizan archivos de respuesta para especificar todos los parmetros de la instalacin de Active Directory. Estos parmetros incluyen el tipo de dominio y la configuracin del dominio que se crea. El archivo de respuesta puede usarlo cualquiera que no sepa cmo instalar Active Directory. El usuario que emplea el archivo de respuesta ha de tener los privilegios administrativos necesarios para completar correctamente la instalacin. Un archivo de respuesta del Asistente de instalacin de Active Directory slo contiene un apartado, [DCInstall]. Para cada operacin del asistente hacen falta valores para parmetros especficos del apartado [DCInstall] del archivo autnomo. Si no se especifica ningn valor para un parmetro, se utilizan valores predeterminados. En la siguiente tabla se describen las entradas del apartado [DCInstall] que permiten instalar automticamente Active Directory en el primer controlador de dominio de un nuevo bosque.
Claves de [DCInstall] RebootOnSuccess Valor S Descripcin Especifica si se debera reiniciar el equipo tras completar el proceso con xito. Especifica la ruta completa de la convencin de nomenclatura no universal (UNC) a una carpeta de un disco fijo del equipo local que contiene la base de datos del domino. La carpeta debe estar vaca. Crela si no existe.

Puntos principales

Cualquiera que no sepa instalar Active Directory puede usar el archivo de respuesta. El usuario que emplea el archivo de respuesta ha de tener los privilegios administrativos necesarios para completar correctamente la instalacin.

DatabasePath

C:\Winnt\Ntds

Creacin de un dominio de Windows 2000 (continuacin) Claves de [DCInstall] LogPath Valor C:\Winnt\Ntds Descripcin

11

Especifica la ruta completa de la convencin de nomenclatura no UNC a una carpeta de un disco fijo del equipo local que contiene los archivos de registro del domino. La carpeta debe estar vaca. Crela si no existe. Especifica la ruta comp leta de la convencin de nomenclatura no UNC a una carpeta de un disco fijo del equipo local. La carpeta debe estar vaca. Crela si no existe. Especifica el nombre de un sitio existente donde situar el nuevo controlador de dominio. Si no est especificado, se seleccionar un sitio adecuado. Slo es aplicable cuando se crea un nuevo rbol de domino en un bosque de dominios nuevo. Indica que debera instalarse un nuevo controlador de dominio como el primer controlador de dominio de un nuevo dominio del servicio de directorios. Si establece el valor en Dominio, deber especificar tambin un valor vlido en el parmetro TreeOrChild. Indica que el nuevo dominio es la raz del nuevo rbol. Si establece el valor en rbol, deber especificar tambin un valor vlido en el parmetro CreateOrJoin. Determina la creacin de un nuevo bosque de dominios. Asigna un nombre NetBIOS al nuevo dominio. Se trata de un valor obligatorio y el nombre especificado debe ser nico en el dominio. Especifica el nombre obligatorio cuando se instala un nuevo bosque de dominios. Indica que se est instalando un nuevo bosque de dominios y que no hay ningn cliente DNS configurado en el equipo. Al establecer el valor en No, se salta la configuracin del cliente DNS y se crea el archivo de configuracin automtica de DNS para el nuevo dominio. Se debe configurar DNS para el nuevo dominio si ha detectado que no hay disponibles actualizaciones

SYSVOLPath

C:\Winnt\Sysvol

SiteName

Nombre predeterminadoprimer-sitio

ReplicaOrNewDomain

Dominio

TreeOrChild

rbol

CreateOrJoin DomainNetbiosName

Crear contoso

NewDomainDNSName DNSOnNetwork

contoso.msft No

AutoConfigDNS

Creacin de un dominio de Windows 2000

12

Se puede ejecutar el archivo de respuesta despus de que se haya completado la instalacin de Windows 2000 Advanced Server y un usuario haya iniciado una sesin en el equipo. Para iniciar la instalacin desatendida de Active Directory, abra la ventana de smbolos del sistema y escriba lo siguiente: Dcpromo.exe /answer: archivo de respuesta Donde archivo de respuesta corresponde al archivo de respuesta. Nota Para obtener ms informacin sobre las instalaciones desatendidas, consulte unattend.doc del archivo Deploy.cab situado en la carpeta \Support\Tools del CD de Windows 2000 Advanced Server.

Creacin de un dominio de Windows 2000

13

u Proceso de Instalacin de Active Directory


Objetivo de la diapositiva
Presentar los temas relacionados con el proceso de instalacin de Active Directory.

n n n n n

Parmetros de configuracin Configuracin del sitio Configuracin del servicio de directorio Configuracin de servicios y seguridad Otras operaciones de instalacin de Active Directory

Introduccin
Durante la instalacin de Active Directory, el Asistente de instalacin de Active Directory confirma varias configuraciones y parmetros de seguridad.

Al instalar Active Directory, el Asistente de instalacin de Active Directory confirma varias configuraciones y parmetros de seguridad. Active Directory valida los parmetros que usted especifica durante el proceso de instalacin. El tipo de validacin que se realiza depende de si el controlador de dominio que se instala es el primero del bosque o el primero de la rplica. El objetivo de esta verificacin es validar los parmetros especificados durante el proceso de instalacin de Active Directory.

Creacin de un dominio de Windows 2000

14

Parmetros de configuracin
Objetivo de la diapositiva
Identificar cmo verificar el proceso de instalacin los parmetros de configuracin

Comprobaciones Comprobacionesque que realiza realiza el el Asistente Asistente de de instalacin instalacin de de Active Active Directory Directory antes antesde deinstalarlo instalarlo Comprueba los parmetros de la interfaz de usuario Comprueba el nombre NetBIOS y del servidor Comprueba la configuracin TCP/IP Comprueba los nombres de dominio DNS y NetBIOS Comprueba las credenciales del usuario Comprueba la ubicacin de los archivos

Introduccin
El Asistente de instalacin de Active Directory comprueba los parmetros de configuracin para garantizar la integracin del proceso de instalacin.

Puntos principales

La comprobacin de la interfaz de usuario garantiza que el usuario ha iniciado la sesin como miembro del grupo local Administradores. La comprobacin de la nomenclatura garantiza que el nombre NetBIOS del Nuevo domino es nico en el bosque. La comprobacin de la configuracin TCP/IP garantiza que se puede localizar el servidor DNS. La validacin del nombre DNS garantiza que el dominio principal existe y que el nombre del dominio es nico en el bosque. La comprobacin de las credenciales del usuario garantiza que el usuario que instala Active Directory tiene los permisos necesarios. La comprobacin de la ubicacin de los archivos es esencial para la replicacin entre controladores de dominio.

El Asistente de instalacin de Active Directory realiza varias comprobaciones antes de instalar Active Directory. Estas comprobaciones son necesarias para garantizar la integridad del proceso de instalacin.

Comprobacin de la interfaz de usuario


Antes de que se muestre la interfaz de usuario, el Asistente de instalacin de Active Directory comprueba lo siguiente: El usuario que est conectado actualmente es miembro del grupo local Administradores. En el equipo se est ejecutando Windows 2000 Advanced Server. No se ha instalado ni desinstalado Active Directory sin reiniciar el equipo. No se est realizando actualmente ninguna instalacin ni desinstalacin de Active Directory. Si falla alguna de estas cuatro comprobaciones, aparecer un mensaje de error y tendr que abandonar el asistente. Despus de que estas comprobaciones se hayan realizado correctamente, el Asistente de instalacin de Active Directory realiza las dems comprobaciones.

Comprobacin de la nomenclatura
Cada controlador de dominio tiene un objeto del servidor en el contenedor del sitio. Cuando se agrega un nuevo controlador de dominio a un dominio existente, se realiza una comprobacin para verificar que el nombre del servidor no existe en el Contenedor de servidores del sitio al que se agrega el controlador de dominio. Si el nombre del servidor ya existe, el asistente elimina el objeto existente y supone que se est realizando una nueva instalacin.

Creacin de un dominio de Windows 2000

15

Comprobacin de la configuracin TCP/IP


Si no est instalado TCP/IP, o si est instalado y configurado para usar el servicio Protocolo de configuracin de host dinmico (DHCP) y no existe ninguna direccin asignada al servicio DHCP, se interrumpe la instalacin para que corrija el problema. El asistente tambin comprueba la configuracin de resolucin de DNS del servidor. Active Directory utiliza DNS para localizar los servidores y servicios, de modo que la resolucin de DNS debe estar bien configurada para poder instalar correctamente Active Directory. Cuando instale el primer controlador de dominio de un dominio nuevo, el Asistente de instalacin de Active Directory intenta localizar un servidor DNS que sea compatible con el protocolo de actualizacin dinmica y un servidor DNS que est autorizado para el dominio DNS. Si alguna de estos dos comprobaciones falla, el usuario podr elegir entre que el asistente instale y configure DNS localmente durante el proceso de instalacin de Active Directory o hacerlo manualmente despus de que se instale Active Directory. Cuando se agrega un controlador de dominio a un dominio existente, se da por hecho que hay un servidor DNS apropiado y no se intenta verificar si realmente existe.

Comprobacin de nombres de dominio DNS y NetBIOS


Al crear un domino, debe especificar un nombre DNS para el dominio. El asistente comprueba que el nombre especificado para el nuevo dominio es nico en el bosque. Si el nombre no es nico, tendr que corregir la informacin. Tambin debe indicar un nombre de dominio NetBIOS. El nombre de dominio NetBIOS se genera a partir del nombre de dominio DNS. El nombre NetBIOS se forma con los 15 primeros caracteres de la etiqueta de la izquierda del nombre de dominio DNS. El asistente comprueba que el nombre de dominio NetBIOS es nico y en caso de que no lo sea, el usuario tendr que cambiar el nombre.

Comprobacin de las credenciales del usuario


Crear un nuevo controlador de dominio es una tarea delicada para la seguridad, por lo que el asistente comprueba que el usuario que intenta instalar Active Directory tiene los permisos de seguridad adecuados. Si las credenciales del usuario que est conectado en ese momento no coinciden con los permisos necesarios, se pide al usuario que especifique una cuenta con los privilegios adecuados. En la siguiente lista se describen los tipos de instalacin que se pueden realizar y los permisos de seguridad necesarios para cada instalacin. Si se va a crear un bosque nuevo, no se realiza ninguna comprobacin ni hacen falta credenciales especficas. Si se va a agregar un controlador de dominio duplicado a un dominio existente, las credenciales que se especifiquen deben ser suficientes para unir el equipo al dominio existente. A los miembros de los grupos Administradores del dominio y Administracin de empresas se les asigna de forma predeterminada los permisos necesarios para crear nuevos controladores de dominio.

Creacin de un dominio de Windows 2000

16

Nota El Asistente de instalacin Active Directory solicita credenciales en forma de nombre de usuario, contrasea y dominio. Por lo tanto, un nombre principal de usuario introducido como nombreUsuario@nombreDominio no se aceptar.

Comprobacin de la ubicacin de los archivos


La ubicacin del archivo de la base de datos de Active Directory, los archivos de registro y la carpeta SYSVOL se especifica durante la instalacin de Active Directory. El contenido de SYSVOL se copia en todos los controladores de dominio de ese dominio. Para crear SYSVOL hace falta un volumen formateado con NTFS. Si no es posible encontrar ningn volumen formateado con NTFS o si no hay suficiente espacio libre en el disco, la instalacin no podr continuar.

Creacin de un dominio de Windows 2000

17

Configuracin del sitio


Objetivo de la diapositiva
Describir el proceso de instalacin que determina el sitio al que se agregar el nuevo controlador de dominio
n

Se agrega el controlador de dominio al sitio asociado con su subred Si no se encuentra ningn objeto de subred, el servidor se coloca en el sitio Nombre-predeterminado-primer-sitio El Asistente de instalacin de Active Directory crea un objeto de servidor

Introduccin

Despus de comprobar los parmetros de configuracin, el Asistente de instalacin de Active Directory debe determinar el sitio al que se agregar el nuevo controlador de dominio.

Destaque que el sitio Nombre-predeterminadoprimer-sitio se crea cuando se crea el primer dominio de un bosque nuevo.

El Asistente de instalacin de Active Directory pide a Active Directory datos del sitio. Si la direccin de Protocolo de Internet (IP) del servidor que se va a convertir en controlador de dominio est dentro del rango de una subred concreta definida en Active Directory, el asistente configura la pertenencia del controlador de dominio en el sitio asociado con esa subred. Si no hay definido ningn objeto de subred o si la direccin IP del servidor no est dentro del rango de objetos de subred presentes en Active Directory, el servidor se pone en el sitio Nombre-predeterminado-primer-sitio. Nombrepredeterminado-primer-sitio es el primer sitio que se configura automticamente cuando se crea el primer controlador de dominio de un bosque. El Asistente de instalacin de Active Directory crea un objeto de servidor para el controlador de dominio del sitio correspondiente. El objeto del servidor contiene informacin necesaria para la duplicacin. El objeto del servidor contiene una referencia al objeto de equipo de la UO Controladores de dominio que representa el controlador de dominio que se est creando.

Puntos principales

Si no hay ningn objeto de subred, el servidor se coloca en el sitio Nombrepredeterminado-primer-sitio. El Asistente de instalacin de Active Directory crea un objeto del servidor para el controlador de dominio en el sitio correspondiente, y el objeto del servidor contiene una referencia al objeto del equipo de la UO Controladores de dominio.

Creacin de un dominio de Windows 2000

18

Configuracin del servicio de directorio


Objetivo de la diapositiva
Identificar cmo completa el Asistente de instalacin de Active Directory la configuracin del servicio de directorio

Operaciones Operaciones de de configuracin configuracin del del servicio servicio de de directorio directorio Operaciones para todos los tipos de instalaciones
Crea las entradas del registro necesarias Configura los contadores de rendimiento de Active Directory Configura el servidor para inscribirse automticamente para un certificado de controlador de dominio X.509 Inicia el servicio de autenticacin Kerberos V5 Establece la poltica de Autoridad de seguridad local(LSA) Instala mtodos abreviados a herramientas de administracin de Active Directory

Introduccin

Una vez finalizada la comprobacin de todos los componentes necesarios, el asistente confirma los valores especificados por el usuario.

Configuracin de particiones del directorio


Crea la particin del directorio de esquema Crea la particin del directorio de configuracin Crea la particin del directorio de dominio

Cuando el Asistente de instalacin de Active Directory realiza las comprobaciones necesarias, se abre una pgina de confirmacin en la que aparecen las opciones que seleccion en el asistente. Cuando acepta los valores, el asistente comienza el verdadero proceso de instalacin de Active Directory. Puntos principales
Algunas operaciones, como la creacin de entradas del registro y la configuracin de los contadores del rendimiento y la directiva LSA, son comunes a todos los tipos de instalacin de controladores de dominio. Otras operaciones, como la creacin de particiones del directorio y la creacin de principales de seguridad de dominios predeterminados dependen del tipo de instalacin.

Operaciones de Active Directory comunes para todas las instalaciones


El Asistente de instalacin de Active Directory realiza las siguientes operaciones para todos los tipos de instalaciones de controladores de dominio: Crea las entradas de registro necesarias. Instala los contadores de rendimiento de Active Directory. Configura el servidor para inscribirse automticamente en un certificado de controlador de dominio X.509 de la primera Entidad emisora de certificados que procese la solicitud. Este certificado es necesario para la duplicacin basada en el Protocolo simple de transferencia de correo (SMTP). Inicia el protocolo de autenticacin Kerberos versin 5. Establece la directiva de la Autoridad de seguridad local (LSA) para indicar que este servidor es un controlador de dominio. Instala mtodos administrados para las herramientas de administracin de Active Directory.

Creacin de un dominio de Windows 2000

19

Configuracin de las particiones del directorio


El archivo de plantilla de la base de datos del directorio, Ntds.dit, se copia desde su ubicacin en la carpeta systemroot\System32 a la ubicacin que especifique al ejecutar el Asistente de instalacin de Active Directory. El asistente configura el servidor local para albergar el servicio de directorios. Este proceso incluye la creacin de las particiones del directorio y los principales de seguridad del dominio, como el grupo Administradores del dominio. En Active Directory, una particin del directorio es una parte del espacio de nombre del directorio. Cada particin del directorio contiene una jerarqua o subrbol de objetos del rbol de directorios. Se pueden almacenar copias o rplicas de la misma particin del mismo directorio en muchos controladores de dominio, y las copias se actualizan a travs de una replicacin del directorio. Las siguientes particiones de directorio se crean en el primer controlador de dominio de un bosque y se actualizan mediante la replicacin de cada controlador de dominio que se crea posteriormente en el bosque: La particin del directorio de esquema. Contiene el contenedor de esquema, que almacena las definiciones de clase y atributos de todos los objetos posibles y existentes de Active Directory. La particin del directorio de esquema se copia en todos los controladores de dominio de un bosque. La particin del directorio de configuracin. Contiene el contenedor de configuracin, que almacena los objetos de configuracin de todo el bosque. Los objetos de configuracin almacenan informacin sobre sitios, servicios y particiones de directorio. La particin del directorio de configuracin se replica en todos los controladores de dominio de un bosque. La particin del directorio de dominio. Contiene un contenedor de dominio, como el contenedor contoso.msft, que almacena usuarios, equipos, grupos y otros objetos de un dominio especfico de Windows 2000. La particin de directorio de dominio se copia en todos los controladores de dominio de un nico dominio.

Creacin de un dominio de Windows 2000

20

Configuracin de servicios y seguridad


Objetivo de la diapositiva
Identificar los servicios que se configuran para que se inicien automticamente despus de la instalacin de Active Directory, y el tipo de seguridad establecido en el sistema de archivos, los objetos de Active Directory y los objetos predeterminados de la Directiva de grupo para habilitar otros servicios, como la seguridad.

Configuracin Configuracin de de servicios servicios y y seguridad seguridad Configuracin de servicios para su inicio automtico
Localizador de llamadas a procedimiento remoto (RPC) Inicio de sesin en red KDC Mensajera interna Servidor de seguimiento de vnculos distribuidos Horario de Windows

Introduccin
El Asistente de instalacin de Active Directory configura algunos servicios para que se inicien automticamente. Puede utilizar la Directiva de grupo para habilitar otros servicios, como la seguridad.

Establecimiento de seguridad
Establece la seguridad para el servicio de directorio y las carpetas de replicacin de archivos Configura DACLs predeterminadas en archivos y objetos de Active Directory Configura la Directiva de grupo predeterminada usando plantillas de seguridad

Durante la instalacin de Active Directory, se configuran servicios para que se inicien automticamente y se habilita la seguridad en el servicio de directorios.

Configuracin de servicios para que se inicien automticamente


Puntos principales Los siguientes servicios se configuran para iniciarse automticamente: Localizador de llamadas a procedimiento remoto (RPC). Este servicio permite a las aplicaciones distribuidas utilizar el servicio de nombres RPC. El servicio Localizador RCP administra la base de datos del servicio de nombres RPC. Inicio de sesin en red. Este servicio ejecuta el servicio de Ubicacin de controladores de dominio. El servicio Inicio de sesin en red tambin se encarga de crear un canal seguro entre los equipos cliente y los controladores de dominio durante el inicio de sesin, as como de registrar los registros de recursos SRV en DNS. KDC (Centro de distribucin de claves) . Este servicio mantiene una base de datos con informacin de las cuentas de todos los principales de seguridad de su campo, que es el equivalente de protocolo de autenticacin Kerberos V5 de un dominio de Windows 2000. Mensajera interna (ISM). Este servicio se utiliza para la rplica basada en correo entre sitios. Servidor de seguimiento de vnculos distribuidos. Este servicio ayuda a resolver mtodos abreviados y enlaces OLE a archivos residentes en NTFS cuyos nombres o rutas se han cambiado.
Las DACL se configuran en los objetos de Active Directory, los objetos del sistema de archivos SYSVOL y algunas claves del registro. Los valores de la Directiva de grupo del primer controlador de dominio se configuran usando las plantillas de seguridad ubicadas en la carpeta systemroot\inf.

Creacin de un dominio de Windows 2000

21

Horario de Windows. Este servicio sincroniza los relojes de los equipos cliente y los servidores que ejecutan Windows 2000.

Establecer la seguridad
Durante la instalacin de Active Directory, se habilita la seguridad en el servicio de directorio y las carpetas de rplica de archivos para controlar el acceso a los objetos de Active Directory.

DACL predeterminadas en objetos de Active Directory


En los objetos de Active Directory se configuran listas de control de acceso discrecional (DACL) predeterminadas. La DACL es una lista de entradas que identifican a quin se le permite o se le deniega el acceso, as como el nivel de acceso a un objeto que se permite o deniega. Tambin se configuran DACL para los siguientes objetos del sistema de archivos y las siguientes claves de registro: SYSVOL Archivos de programas Windir HKEY_LOCAL_MACHINE\SOFTWARE HKEY_LOCAL_MACHINE\SYSTEM HKEY_USERS\.DEFAULT

Configuracin predeterminada de la Directiva de grupo para controladores de dominio


Los valores de la Directiva de grupo del primer controlador de dominio se configuran usando las plantillas de seguridad DCFirst.inf, DefltDC.inf y DCUp.inf ubicadas en la carpeta systemroot \inf. Cuando se agregan a un dominio otros controladores de dominio, la Directiva de grupo se replica desde el primer controlador de domino del dominio a todos los dems controladores de dominio.

Creacin de un dominio de Windows 2000

22

Otras operaciones de instalacin de Active Directory


Objetivo de la diapositiva
Identificar otras operaciones que se realizan durante el proceso de instalacin de Active Directory

Otras Otras operaciones operaciones


Establece el nombre del dominio raz DNS del equipo Determina si el equipo servidor es miembro del dominio Crea una cuenta de equipo en la UO Controladores de dominio Aplica la contrasea proporcionada por el usuario para la cuenta de administrador Crea un objeto de referencia cruzada en el contenedor de configuracin Agrega mtodos abreviados Crea la carpeta SYSVOL Crea los contenedores de esquema y configuracin Asigna las funciones especficas al controlador de dominio

Introduccin
Independientemente del tipo de dominio que se cree, el Asistente de instalacin de Active Directory realiza tambin algunas operaciones adicionales durante la instalacin de Active Directory.

Independientemente del tipo de dominio que se cree, el Asistente de instalacin de Active Directory realiza estas otras operaciones durante la instalacin de Active Directory. Establece como nombre del dominio raz DNS el nombre del nuevo dominio. Determina si el equipo servidor ya es miembro del dominio. Si el equipo es miembro del dominio, el asistente quita del dominio la cuenta del equipo del servidor y la vuelve a crear en la UO Controladores de dominio. Si el equipo se va a convertir en un controlador de dominio de un dominio distinto, se notifica al usuario que debe quitarse del dominio original la cuenta del equipo del servidor miembro. Crea una cuenta de equipo en la UO Controladores de dominio del nuevo dominio. Tambin se agrega la cuenta del equipo al grupo global Controladores de dominio del contenedor Usuarios. Esta cuenta de equipo permite al equipo autenticarse ante otros controladores de dominio cuando realice operaciones como la rplica. Se utiliza la contrasea proporcionada por el usuario para la cuenta de administrador que se usa para iniciar el controlador de dominio en Modo de restauracin de servicios del directorio. Crea un objeto como referencia cruzada en el contenedor de configuracin. LDAP utiliza este objeto para localizar recursos de otros dominios. Agrega dos nuevos mtodos abreviados a la configuracin de seguridad de la Directiva de grupo. Estos mtodos abreviados son Directiva de seguridad de dominio y Directiva de seguridad del controlador de dominio.

Creacin de un dominio de Windows 2000

23

Crea la carpeta SYSVOL que contiene: La carpeta compartida SYSVOL. Esta carpeta compartida contiene informacin de la Directiva de grupo. La carpeta compartida Inicio de sesin en red. Esta car peta compartida contiene los archivos de comandos de inicio de sesin para los equipos que no estn basados en Windows 2000.

Realiza las siguientes operaciones mientras crea el dominio raz del bosque: Se crean los contenedores de esquema y configuracin. El Asistente de instalacin de Active Directory asigna al controlador de dominio las funciones de emulador de controlador de dominio principal (PDC), maestro de operaciones de identificadores relativos (RID), maestro de nomenclatura de dominios, maestro de esquema y maestro de infraestructura.

Creacin de un dominio de Windows 2000

24

u Examinar la estructura predeterminada de Active Directory


Objetivo de la diapositiva
Examinar la estructura lgica que se crea despus de instalar Active Directory

Contiene Contienelos los grupos grupos de deseguridad seguridad predeterminados predeterminadosde deWindows Windows2000 2000 Ubicacin Ubicacinpredeterminada predeterminadade delas las cuentas cuentasde de equipos equipos Ubicacin Ubicacin predeterminada predeterminadade de las las cuentas cuentas de deequipos equiposde de controlador controlador de dominio de dominio Identificadores Identificadoresde de seguridad seguridad(SIDs) (SIDs) de de dominios dominiosexternos externosfiables fiables Ubicacin Ubicacinpredeterminada predeterminadade de cuentas cuentasde de grupos gruposy yusuarios usuarios

Introduccin

Puede comprobar la instalacin de Active Directory buscando elementos especficos de la estructura predeterminada de Active Directory.

Diga a los alumnos que pueden aplicar la Directiva de grupo a una UO pero no a un contenedor.

Consejo

Durante la instalacin de Active Directory, en el primer controlador de dominio de un nuevo dominio, se crearn varios objetos predeterminados ms. Estos objetos incluyen contenedores, usuarios, equipos, grupos y unidades organizativas. Puede ver y administrar estos objetos predeterminados usando la herramienta administrativa Usuarios y equipos de Active Directory. En la siguiente lista se describe la finalidad de algunos de estos objetos predeterminados: Integrado (contenedor). Esto objeto se utiliza para albergar los grupos de seguridad predeterminados integrados. Equipos (contenedor). Este objeto es la ubicacin predeterminada de las cuentas de equipos. Controladores de dominio (unidad organizativa). Este objeto es la ubicacin predeterminada de las cuentas de equipos de controladores de dominio. PrincipalesdeSeguridadExternos (contenedor). Esto objeto se utiliza para albergar los identificadores de seguridad (SID) de dominios externos fiables. Usuarios (contenedor). Este objeto es la ubicacin predeterminada de cuentas de usuario y grupo.

Muestre a los alumnos la interfaz de Usuarios y Equipos de Active Directory. Abra cada objeto predeterminado para mostrar a los alumnos su contenido. Primero muestre a los alumnos los objetos predeterminados sin mostrar las Caractersticas avanzadas. Despus, en el men Ver , haga clic en Caractersticas avanzadas y muestre a los alumnos los objetos predeterminados adicionales.

Creacin de un dominio de Windows 2000

25

Puede ver otros objetos en Usuarios y equipos de Active Directory; para ello, en el men Ver, haga clic en Caractersticas avanzadas. En la siguiente lista se describe la finalidad de los otros objetos: LostAndFound. Este objeto contiene objetos hurfanos. Son objetos que se han quedado sueltos, o hurfanos, cuando se elimin sus contenedores principales. Sistema . Este objeto contiene configuraciones especficas integradas del sistema. Nota Puede aplicar la Directiva de grupo a una UO, pero no puede aplicrsela a un contenedor.

Creacin de un dominio de Windows 2000

26

u Tareas posteriores a la instalacin de Active Directory


Objetivo de la diapositiva
Presentar los temas relacionados con las tareas posteriores a la instalacin de Active Directory

n n n

Comprobar la instalacin de Active Directory Implementar zonas integradas de Active Directory Proteger las actualizaciones de zonas integradas de Active Directory Cambiar el modo de dominio Implementar una estructura de unidades organizativas

Introduccin
Despus de instalar Active Directory, es importante comprobar que los archivos y los registros SRV necesarios funcionan correctamente.

n n

Despus de instalar Active Directory, es importante comprobar que se han creado los archivos de base de datos del directorio, los archivos SYSVOL y los registros de recursos SRV de DNS necesarios para que Active Directory funcione correctamente. Despus de instalar Active Directory debera configurar tambin zonas DNS integradas de Active Directory para que DNS pueda usar las funcionalidades de Active Directory, como la rplica, la transferencia de zonas y las actualizaciones dinmicas seguras. Si todos los controladores de dominio de una red de Windows 2000 estn ejecutando Windows 2000, debera cambiar el modo del dominio de mixto a nativo. nicamente en modo nativo se puede agregar grupos nuevos en grupos existentes y agregar grupos de seguridad universal. Despus de crear un dominio, debera implementar una estructura de UO para mejorar el control administrativo y aplicar la Directiva de grupo. Puede crear una UO dentro de un dominio u otra UO. Despus de crear una UO, puede agregarle objetos.

Creacin de un dominio de Windows 2000

27

Comprobar la instalacin de Active Directory


Objetivo de la diapositiva
Describir cmo comprobar la instalacin de Active Directory examinando los registros SRV de DNS y cmo usar el Visor de sucesos para examinar los archivos de registro

Comprobar Comprobar la lainstalacin instalacin de de Active Active Directory Directory


Comprobar los registros de recursos SRV Comprobar SYSVOL Comprobar la base de datos del directorio y los archivos de registro Comprobar los resultados de la instalacin en los registros de sucesos
DNS DNS
Base Base de de datos datos y y archivos archivos de de registro registro

Introduccin
Despus de que el asistente complete la instalacin de Active Directory, puede comprobar el xito de la misma examinando la base de datos DNS, SYSVOL, la base de datos del directorio y los archivos de registro.

SYSVOL SYSVOL

Consejo

Cuando el asistente complete la instalacin de Active Directory, puede comprobar si se ha realizado correctamente de la siguiente manera: Examine la base de datos DNS para comprobar que se han creado los registros de recursos SRV necesarios. Compruebe que se ha creado y compartido correctamente SYSVOL. Compruebe que se han creado los archivos de registro y de la base de datos de Active Directory. Examine los registros de sucesos por si se hubiese producido algn error durante la instalacin.

Abra DNS y muestre a los alumnos algunos de los registros SRV comunes registrados por los controladores de dominio y el contenido de la carpeta SYSVOL y la carpeta Ntds.

Puntos principales

El nuevo controlador de dominio registra sus registros de recursos SRV en la base de datos DNS al reiniciarse. Para comprobar SYSVOL, compruebe antes que se ha creado la estructura de carpetas y despus verifique se han creado tambin las carpetas compartidas necesarias. Para comprobar la base de datos y los archivos de registro, asegrese de que se crearon los archivos Ntds.dit, Edb.* y Res*.log. Examine siempre los registros de sucesos por si se hubiera producido algn error durante el proceso de instalacin.

Comprobar los registros de recursos SRV


Despus de que se instale Active Directory, el nuevo controlador de dominio registra sus registros de recursos SRV en la base de datos DNS al reiniciarse. Puede comprobar la creacin de estos registros usando el complemento DNS desde el men Herramientas administrativas o usando el comando nslookup.

Usar el complemento DNS


Para comprobar si los registros de recursos SRV se han registrado correctamente usando el complemento DNS, siga estos pasos: 1. Abra DNS desde el men Herramientas administrativas. 2. Haga doble clic en Servidor (donde Servidor corresponde al nombre de su servidor DNS), haga doble clic en Zonas de bsqueda directa y despus haga doble clic en dominio (donde dominio corresponde al nombre de dominio).

Creacin de un dominio de Windows 2000

28

Si se registraron los registros de recursos SRV, en la carpeta dominio aparecern las siguientes carpetas: _msdcs _sites _tcp _udp

Usar Nslookup
Para comprobar que los registros de recursos SRV se han registrado correctamente usando el comando nslookup, siga estos pasos: Abra una ventana de smbolos del sistema. En el smbolo del sistema, escriba nslookup y despus presione ENTRAR. Escriba ls t SRV dominio (donde dominio es el nombre de dominio) y despus presione ENTRAR. Si se han creado correctamente, los registros de recursos SRV aparecern visibles. Para guardar los resultados de esta lista en un archivo, escriba ls t SRV dominio > nombredeArchivo (donde nombredeArchivo es el nombre que d al archivo). Nota Si no tiene configurada una zona de bsqueda directa, se producirn errores de tiempo de espera cuando ejecute nslookup por primera vez. Esto se debe a que nslookup genera una bsqueda inversa para determinar el nombre de host del servidor DNS basndose en su direccin IP.

Comprobar SYSVOL
Hay que seguir dos pasos para comprobar SYSVOL. Primero, compruebe que se ha creado la estructura de carpetas y despus asegrese de que se crearon las carpetas compartidas necesarias. Si la carpeta SYSVOL no se ha creado correctamente, los datos almacenados en la carpeta SYSVOL, como Directiva de grupo, y los archivos de comandos no se replicarn entre controladores de dominio. Para comprobar que se ha creado la estructura de carpetas, siga este paso: Haga clic en Inicio, haga clic en Ejecutar, escriba %systemroot%\sysvol en el cuadro Abrir, y despus haga clic en Aceptar.

Windows Explorer abre y muestra el contenido de la carpeta SYSVOL, que debera incluir las siguientes subcarpetas: Dominio Ensayo Zonas de ensayo Sysvol

Creacin de un dominio de Windows 2000

29

Para comprobar que se han creado los recursos compartidos necesarios, siga estos pasos: 1. Abra una ventana de smbolos del sistema. 2. En el smbolo del sistema, escriba net share y despus presione ENTRAR. En la lista de carpetas compartidas del equipo debera ver las carpetas compartidas que se enumeran en la siguiente tabla:
Recurso compartido NETLOGON Recurso razsistema\ SYSVOL \sysvol\dominio\ SCRIPTS razsistema \SYSVOL \sysvol Comentario Recurso compartido del servidor de inicio de sesin Recurso compartido del servidor de inicio de sesin

SYSVOL

Comprobar los archivos de registro y la base de datos del directorio


Para comprobar que se ha creado correctamente la base de datos del directorio y los archivos de registro, siga este paso: Haga clic en Inicio, haga clic en Ejecutar, escriba %systemroot%\sysvol en el cuadro Abrir, y despus haga clic en Aceptar.

Windows Explorer abre y muestra el contenido de la carpeta Ntds, que debera incluir los siguientes archivos: Ntds.dit. Es el archivo de la base de datos del directorio. Edb.*. Son los archivos de registro de transacciones y los archivos de controles. Res*.log. Son los archivos de registro reservados. Nota Si durante la instalacin cambi la ubicacin de los archivos de registro y de la base de datos del directorio, sustituya %systemroot% por la ubicacin correcta.

Comprobar los resultados de la instalacin examinando los registros de sucesos


Despus de instalar Active Directory, examine los registros de sucesos por si se hubiera producido algn error durante el proceso de instalacin. Los siguientes archivos de registro contienen los mensajes de error que se hayan generado durante la instalacin: Registro del sistema Servicio de directorio Servidor DNS Servicio de replicacin de archivos

Creacin de un dominio de Windows 2000

30

Implementar zonas integradas de Active Directory


Objetivo de la diapositiva
Mostrar cmo se implementan las zonas integradas de Active Directory
n

Utilizar DNS para integrar una zona DNS con Active Directory Implementar una zona de bsqueda directa Implementar una zona de bsqueda inversa
Servidor DNS

n n

Introduccin
Cuando integre una zona DNS con Active Directory, DNS puede usar Active Directory para almacenar y replicar las bases de datos de la zona DNS.

contoso.msft

Zona integrada de Active Directory

Base de datos datos de de zona la zona

Despus de instalar Active Directory, puede integrar una zona DNS con Active Directory de modo que DNS pueda usar Active Directory para almacenar y replicar bases de datos de zonas DNS. Las zonas de bsqueda directa e inversa integradas de Active Directory se implementan para que los equipos cliente puedan realizar bsquedas directas e inversas. Para implementar las zonas de bsqueda directa o inversa integradas de Active Directory, siga estos pasos: Consejo
Muestre cmo se usa DNS en MMC para implementar las zonas de bsqueda directa e inversa integradas de Active Directory.

1. Abra DNS desde el men Herramientas administrativas y despus haga doble clic en Servidor (donde Servidor corresponde a su servidor DNS). 2. Dependiendo de si est implementando una zona de bsqueda directa o inversa, realice uno de estos pasos: Para implementar la zona de bsqueda directa integrada de Active Directory, haga doble clic en Zonas de bsqueda directa, haga clic en dominio (donde dominio corresponde a su nombre de dominio), haga clic con el botn secundario en dominio y despus haga clic en Propiedades. Para implementar la zona de bsqueda inversa integrada de Active Directory, haga doble clic en Zonas de bsqueda inversa, haga clic en Subred AAA.BBB.CCC. x (donde AAA.BBB.CCC. x corresponde a su zona de bsqueda inversa), haga clic con el botn secundario en Subred AAA.BBB.CCC. x y despus haga clic en Propiedades.

Punto principal
Implemente zonas de bsqueda directa e inversa integradas de Active Directory para que los equipos cliente puedan realizar bsquedas directas e inversas.

3. En la pestaa General, haga clic en Cambiar. 4. En el cuadro de dilogo Cambiar tipo de zona , haga clic en Active Directory integrado y despus en Aceptar. 5. En el cuadro de dilogo DNS, vuelva a hacer clic en Aceptar para cerrar el cuadro de dilogo Propiedades del dominio o Propiedades de Subred AAA.BBB.CCC.x.

Creacin de un dominio de Windows 2000

31

Proteger actualizaciones de zonas integradas de Active Directory


Objetivo de la diapositiva
Mostrar cmo proteger las actualizaciones de zonas de bsqueda directa e inversa

Utilizar DNS para proteger las actualizaciones de zonas integradas de Active Directory Proteger las zonas integradas de Active Directory para poder controlar el acceso a zonas y registros de recursos
Servidor DNS Zona integrada de Active Directory Actualizacin segura
Base de datosde datos de la zona la

Introduccin
Tambin puede configurar zonas para actualizaciones dinmicas de forma que se pueda actualizar los registros sin que intervenga el administrador.

contoso.msft

Cliente

Consejo

Muestre cmo se usa DNS en MMC para permitir slo las actualizaciones seguras de las zonas de bsqueda directa e inversa.

Puntos principales

nicamente las zonas integradas de Active Directory se pueden configurar para realizar actualizaciones dinmicas seguras. Estableciendo las propiedades de una zona DNS integrada de Active Directory para permitir slo las actualizaciones seguras, puede controlar el acceso a zonas y registros de recursos.

Despus de implementar las zonas integradas de Active Directory, tambin puede configurar zonas para realizar actualizaciones dinmicas seguras. DNS es compatible con el protocolo de actualizacin dinmica DNS. El protocolo de actualizacin dinmica DNS permite a los equipos basados en Windows 2000 actualizar automticamente los servidores DNS para que se puedan actualizar los registros de recursos sin que intervenga el administrador. Cuando establezca las propiedades de una zona DNS integrada de Active Directory para permitir nicamente actualizaciones seguras, puede controlar el acceso a las zonas y los registros de recursos modificando la DACL de esa zona o ese registro de recursos. Para permitir slo las actualizaciones seguras de una zona de bsqueda directa o inversa, siga estos pasos: 1. Abra DNS desde el men Herramientas administrativas y despus haga doble clic en Servidor (donde Servidor corresponde a su servidor DNS). 2. Dependiendo de si est implementando una zona de bsqueda directa o inversa, realice uno de estos pasos: Para permitir slo las actualizaciones seguras de una zona de bsqueda directa, haga doble clic en Zonas de bsqueda directa, haga clic en dominio (donde dominio corresponde a su nombre de dominio), haga clic con el botn secundario en dominio y despus haga clic en Propiedades. Para permitir slo actualizaciones seguras de una zona de bsqueda inversa, haga clic en Subred AAA.BBB.CCC. x (donde AAA.BBB.CCC.x corresponde a su zona de bsqueda inversa), haga clic con el botn secundario en Subred AAA.BBB.CCC. x y despus haga clic en Propiedades.

3. En la pestaa General, en la lista Permitir actualizaciones dinmicas , haga clic en Slo actualizaciones seguras.

Creacin de un dominio de Windows 2000

32

Cambiar el modo de dominio


Objetivo de la diapositiva
Describir los distintos modos de dominio y cmo cambiarlo
n

Active Directory se instala en modo mixto para poder funcionar con los controladores de dominio existentes El anidamiento de grupos y los grupos de seguridad universales requieren que el dominio est en modo nativo
l Modo nativo

Introduccin

Despus de instalar Active Directory y establecer un dominio, el dominio y Active Directory se ejecutan en modo mixto. Sin embargo, necesita cambiar el modo del dominio a modo nativo para utilizar algunas funciones de Active Directory, como el anidamiento de grupos y los grupos universales de seguridad.

l Modo mixto

Controlador de dominio (Windows 2000) y Controlador de dominio (Windows NT 4.0)

Controladores Controladoresde dedominio dominio (slo (sloWindows Windows2000) 2000)

Consejo

Muestre cmo cambiar un dominio de modo mixto a modo nativo.

Puntos principales

El sistema operativo de los controladores de dominio determina el modo que puede usar su dominio. Algunas funciones de Active Directory, como el anidamiento de grupos y los grupos universales de seguridad requieren que el dominio est en modo nativo. Slo puede cambiar de modo mixto a modo nativo. No es posible cambiar de modo nativo a modo mixto.

Despus de instalar Active Directory y establecer un dominio, el dominio y Active Directory se ejecutan en modo mixto, que es el modo de dominio predeterminado. Un dominio en modo mixto es compatible con los controladores de dominio en los que se ejecuta tanto Windows 2000 como Microsoft Windows NT versin 4.0. Active Directory se instala en modo mixto para poder funcionar con los controladores de dominio existentes que no se han actualizado a Windows 2000. Puede trabajar con el dominio en modo mixto indefinidamente, lo que le permitir actualizar los controladores de dominio en los que se ejecute Windows NT 4.0 en cualquier momento, segn las necesidades de su organizacin. Si su red no tiene ningn controlador de dominio en el que se ejecute Windows NT 4.0 o cuando todos los controladores de dominio hayan sido actualizados a Windows 2000, puede convertir el dominio de modo mixto a modo nativo. En un dominio en modo nativo, todos los controladores de dominio ejecutan Windows 2000. Sin embargo, no es necesario actualizar a Windows 2000 los servidores miembro ni los equipos cliente antes de convertir un dominio a modo nativo. Algunas funciones de Active Directory, como el anidamiento de grupos y los grupos universales de seguridad requieren que el dominio est en modo nativo. Aunque ya no es posible agregar controladores de dominio en los que se ejecute Windows NT 4.0 a un dominio en modo nativo, s que puede tener clientes y servidores miembros que ejecuten otros sistemas operativos. Para cambiar el dominio de modo mixto a modo nativo, siga estos pasos: 1. Abra Usuarios y equipos de Active Directory o Dominios y confianzas de Active Directory desde el men Herramientas administrativas . 2. Abra el cuadro de dilogo Propiedades del dominio. 3. En la pestaa General, haga clic en Cambiar modo. 4. Haga clic en S y despus en Aceptar. Atencin El cambio de modo mixto a modo nativo es un proceso de una nica direccin; no se puede cambiar de modo nativo a modo mixto.

Creacin de un dominio de Windows 2000

33

Implementar una estructura de unidades organizativas


Objetivo de la diapositiva
Mostrar cmo se implementa una estructura de unidades organizativas en Active Directory
n

Implemente una estructura de UO si quiere:


l

Mejorar el control administrativo

Introduccin
Antes de crear las UO, debe planificar bien todo para estar seguro de organizar los usuarios y los recursos usando una jerarqua de UO que refleje el modelo administrativo de su organizacin.
n

Ventas Delegar el control administrativode los Usuarios recursos de red Agrupar recursos de red similares en una UO Equipos Simplificar la administracin de objetos y controlar la visibilidad de los recursos de red Conseguir una administracin de los recursos ms eficiente

Controlar la aplicacin de directiva de grupo

Cree una UO en un dominio o dentro de otra UO usando Usuarios y equipos de Active Directory

Consejo

Muestre cmo se crea una UO.

Puntos principales

Deber implementar una estructura de UO dentro de un dominio para mejorar el control administrativo y controlar la Directiva de grupo de modo que sea aplicable a un grupo determinado de usuarios. Para crear una UO, debe tener asignados determinados permisos, los cuales tambin pueden limitar dnde se le permite crear una UO. Para crear UO secundarias, los usuarios necesitan permisos de Lectura, Mostar contenido y Crear UO secundaria sobre una UO principal.

Puede utilizar las UO para tareas como satisfacer las necesidades administrativas de una organizacin y aplicar centralmente la Directiva de grupo. Debera crear unidades organizativas que sean significativas y que no vayan a cambiar a menudo. Debera implementar una estructura de UO dentro de un dominio para mejorar el control administrativo o controlar la Directiva de grupo. Mejorar el control administrativo significa que puede: Delegar el control administrativo, como agregar, eliminar y actualizar objetos de la UO, as como decidir quin tiene acceso a la UO. Delegar el control administrativo sobre los recursos de la red, pero manteniendo la capacidad de administrarlos. Puede asignar permisos administrativos a usuarios o grupos de usuarios desde la UO. Agrupar los recursos de red con las mismas necesidades de seguridad en una UO para facilitar su administracin. Por ejemplo, podra agrupar todas las cuentas de usuario de los empleados temporales en una UO. Simplificar la administracin de los objetos y controlar la visibilidad de los recursos de red, como impresoras, usuarios y equipos. Cuando se controla la visibilidad de los recursos, los usuarios slo pueden ver los recursos a los que tienen acceso. Conseguir una administracin ms eficiente de los recursos asignando una vez permisos a una UO con muchos recursos compartidos en vez de varias veces a cada recurso compartido.

Controlar la Directiva de grupo significa que puede crear una configuracin distinta de la Directiva de grupo para cada grupo de usuarios, como los empleados permanentes o los contratistas temporales.

Creacin de un dominio de Windows 2000

34

No podr crear una UO a menos que le hayan asignado los permisos para hacerlo; es ms, estos permisos tambin pueden limitar dnde se le permite crear las UO. De forma predeterminada, los miembros de los grupos Administradores de dominio y Administradores empresariales tienen permisos para crear las UO. A los usuarios que no sean miembros de estos grupos se les debe asignar el permiso de forma explcita. Los usuarios que tengan asignados permisos de Lectura, Mostrar contenido y Crear UO secundaria sobre una UO principal pueden crear UO secundarias. No hace falta el permiso para Mostrar contenido de la UO principal, pero sin l, no podr ver la UO secundaria cuando la cree. Para crear una UO, siga estos pasos: 1. En Usuarios y equipos de Active Directory, haga clic con el botn secundario en el dominio o la UO donde quiera crear la nueva UO. 2. Seleccione Nuevo y despus haga clic en Unidad organizativa . 3. Escriba el nombre de la UO y despus haga clic en Aceptar.

Creacin de un dominio de Windows 2000

35

u Solucionar problemas de instalacin de Active Directory


Objetivo de la diapositiva
Solucionar problemas comunes de la instalacin de Active Directory.

Err or Err or Err or Err or

Acceso Accesodenegado denegadoal al crear crearo o agregar agregarcontroladores controladoresde de dominio dominio Los Los nombres nombresde de dominio dominio DNS DNS o o NetBIOS NetBIOS no no son son nicos nicos No No se se puede puede contactar contactar con con el el dominio dominio Espacio Espaciode dedisco disco insuficiente insuficiente

Introduccin

Puede encontrar problemas al instalar Active Directory.

Puede encontrar problemas al instalar Active Directory. stos son algunos problemas comunes que puede encontrar y algunas estrategias para resolverlos. Acceso denegado al crear o agregar controladores de dominio. stas son las soluciones posibles ante los mensajes de error por acceso denegado en diferentes situaciones: Si recibe este mensaje mientras crea el primer controlador de dominio de un bosque nuevo, significa que no ha iniciado sesin en el servidor con una cuenta perteneciente al grupo Administradores locales. Cierre la sesin y vuelva a iniciarla usando una cuenta que pertenezca al grupo Administradores locales. Si recibe este mensaje al agregar un controlador de dominio a un dominio existente, debe proporcionar las credenciales de una cuenta de usuario que sea miembro del grupo Administradores del dominio.

Los nombres de dominio DNS o NetBIOS no son nicos. Cuando se est creando un dominio, tanto los nombres de dominio DNS como los nombres de dominio NetBIOS deben ser nicos. Si recibe un mensaje de error que indique que alguno de los nombres de dominio no es nico, cmbielo.

Creacin de un dominio de Windows 2000

36

No se puede contactar con el dominio. Cuando se agrega una rplica del controlador de dominio a un dominio existente, puede recibir un mensaje de error que indique que no se puede contactar con el dominio o que no es un dominio de Active Directory. stas son las posibles soluciones del problema: Compruebe DNS para asegurarse de que hay registros de recursos SRV para el dominio con el que se est contactando. Si no estn los registros de recursos SRV, puede provocar el registros de los registros de recursos SRV deteniendo el servicio Inicio de sesin en red y volvindolo a iniciar despus en un controlador de dominio existente. Si hay registros de recursos SRV en DNS, utilice nslookup para asegurarse de que puede resolver nombres DNS desde el equipo en el que est intentando instalar Active Directory.

Espacio de disco insuficiente. Active Directory requiere un espacio de disco mnimo de 250 MB, 200 MB para la base de datos y 50 MB para los registros de transacciones. Si recibe un mensaje de error de espacio de disco insuficiente, piense en usar otro volumen o particin para almacenar estos archivos.

Creacin de un dominio de Windows 2000

37

uQuitar Active Directory


Objetivo de la diapositiva
Mostrar cmo se usa el Asistente de instalacin de Active Directory para quitar Active Directory.
n

Puede quitar Active Directory


l l

Usando el Asistente de instalacin de Active Directory Proporcionando las credenciales administrativas adecuadas

Introduccin

Tambin se puede usar el Asistente de instalacin de Active Directory para quitar Active Directory. Cuando inicia el asistente sobre un controlador de dominio, el controlador de dominio se identifica como un servidor que contiene Active Directory y el asistente le pide la informacin necesaria para quitar Active Directory.

El Asistente de instalacin de Active Directory realiza operaciones especficas en funcin del tipo de controlador de dominio

Controlador de dominio (Windows 2000) Proporcionar Proporcionar credenciales: q qMiembro Miembro de de Admins. Admins.empresariales empresariales q qMiembro de Admins. Admins. de de dominio dominio Quitar Quitar Active Active Directory Directory

El Asistente de instalacin de Active Directory se usa para quitar Active Directory. Cuando inicia el asistente sobre un controlador de dominio, el controlador de dominio se identific a como un servidor que contiene Active Directory y el asistente le pide la informacin necesaria para quitar Active Directory. Puntos principales Para quitar Active Directory, debe proporcionar las siguientes credenciales administrativas: Para quitar Active Directory del lt imo controlador de dominio del bosque, debe iniciar sesin en el dominio como miembro del grupo Administradores de dominio. Para quitar Active Directory de un controlador de dominio que no es el ltimo de un dominio, necesita proporcionar credenciales. Sin embargo, debe haber iniciado sesin como miembro de los grupos Administradores de dominio o Administradores empresariales. Tanto si va a quitar Active Directory del ltimo controlador de domino del dominio o de otro controlador de dominio, las mismas operaciones son comunes para ambos procesos. Si falla alguna operacin, no se podr terminar de quitar Active Directory. Las siguientes operaciones son comunes para quitar Active Directory: Quita los mtodos abreviados a la configuracin de seguridad de Directiva de grupo y restaura el mtodo abreviado en el men Herramientas administrativas para dar acceso a la configuracin de seguridad local del servidor miembro o del servidor autnomo. Replica todos los cambios en las particiones del directorio de configuracin y esquema. En el caso de un controlador de dominio adicional, tambin se replican en la particin del directorio de dominio.

Para quitar Active Directory del ltimo controlador de dominio del bosque, debe iniciar sesin en el dominio como administrador o como miembro del grupo Administradores de dominio. Para quitar un controlador de dominio que no es el ltimo del dominio, debe haber iniciado sesin como miembro del grupo Administradores de dominio o Administradores empresariales.

Creacin de un dominio de Windows 2000

38

Transfiere a otro controlador de dominio cualquier funcin de maestro que tenga el controlador de dominio. Quita los objetos de volumen del sistema de la base de datos del directorio, quita los objetos de volumen del sistema de la base de datos del servicio de replicacin de archivos y borra la jerarqua de carpetas SYSVOL. El servicio de replicacin de archivos solicita que el Inicio de sesin en la red quite el recurso compartido del volumen del sistema. Quita el objeto Configuracin NTDS y los objetos de referencia cruzada. Actualiza DNS para quitar los registros del servicio de Ubicacin de controladores de dominio. Crea la base de datos Administrador de cuentas de seguridad (SAM) del mismo modo que en una instalacin nueva, incluso creando la cuenta de administrador y estableciendo la contrasea. Modifica la directiva de pertenencia a LSA para distinguir si el equipo es un servidor autnomo o un servidor miembro. Detiene el servicio Inicio de sesin en red y los dems servicios que se iniciaron durante la instalacin de Active Directory. Se configuran los servicios relacionados slo con el servicio de directorios para que no se inicien automticamente. Las siguientes operaciones son especficas para quitar un controlador de dominio adicional: Busca y se conecta a un controlador de dominio fuente del mismo dominio en el que existe la cuenta de controlador de dominio adicional y replica los cambios en ese controlador de dominio fuente. Establece el tipo de cuenta de equipo en servidor miembro y cambia la cuenta de equipo del servidor adicional de la UO Controladores de dominio al contenedor Equipos. Las siguientes son operaciones especficas para quitar el ltimo controlador de dominio del domino: Comprueba que no existe ningn dominio secundario. Busca y se conecta a un controlador de dominio fuente del dominio principal y replica los cambios en ese controlador de dominio fuente. Quita del rbol los objetos de Active Directory especficos de este dominio. Quita los objetos de confianza del servidor padre. Se eliminan los objetos del dominio de confianza de la carpeta Sistema. Sita el servidor en un grupo de trabajo llamado Grupo de trabajo.

Creacin de un dominio de Windows 2000

39

u Prcticas recomendadas
Objetivo de la diapositiva
Identificar las mejores prcticas para crear un dominio de Windows 2000

Implementar Implementarvarios varioscontroladores controladoresde dedominio dominioen enun undominio dominio


Reducir Reducirla lacarga carga administrativa administrativa agrupando agrupando objetos objetos en en una una UO UO Empezar Empezarcon con un un nico nico dominio dominio Establecer Estableceruna unainfraestructura infraestructura DNS DNS funcional funcional Instalar Instalar la la base base de de datos datos y y los los archivos archivosde deregistro registroen endiscos discosdistintos distintos Espacio Espaciode dedisco discolibre librepara parala labase basede dedatos datosy ylos losarchivos archivosde deregistro registro Dejar Dejar espacio espacio de de disco discolibre librepara paraSYSVOL SYSVOL

Introduccin
Revise esta lista de comprobacin antes de instalar Active Directory.

En la siguiente lista se enumeran las mejores prcticas para crear un dominio en Windows 2000: Piense en implementar varios controladores de dominio en cada dominio. Con varios controladores de dominio conseguir a la vez tolerancia a errores y equilibrio de carga. Reduzca la carga administrativa agrupando objetos con los mismos requisitos de seguridad en una UO. De este modo, podr asignar fcilmente permisos de acceso a todas las UO y a todos los objetos que estn dentro. Piense en implementar una estructura de Active Directory que conste de un nico dominio, lo que reduce los costes administrativos y de hardware y permite hacer frente a las reorganizaciones de la empresa con mayor eficiencia. Agregue dominios adicionales nicamente cuando una UO no satisfaga sus necesidades. Asegrese de que ha creado bien la infraestructura DNS y que funciona correctamente antes de crear el primer dominio. Para funcionar correctamente, Active Directory depende de DNS. Al instalar Active Directory, coloque la base de datos del directorio y los archivos de registro en discos duros distintos para que el rendimiento sea mayor. Compruebe que los volmenes que contienen la base de datos del directorio y los archivos de registro tienen suficiente espacio de disco libre para que la estructura de Active Directory pueda crecer. Asegrese de que el volumen que contiene la estructura de carpetas SYSVOL contiene suficiente espacio de disco libre para que pueda crecer en el futuro. Aunque puede mover los archivos de registro y de la base de datos del directorio usando la herramienta ntdsutil, no podr mover la estructura de carpetas SYSVOL sin quitar y reinstalar Active Directory.

Destaque los motivos por los cuales conviene poner en prctica cada una de ellas.