Documentos de Académico
Documentos de Profesional
Documentos de Cultura
5430.modulo 1 - Active Directory Caracteristicas y Mejoras PDF
5430.modulo 1 - Active Directory Caracteristicas y Mejoras PDF
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de
propiedad intelectual sobre los contenidos de este documento. Salvo que se prevea en un contrato escrito de
licencia de Microsoft, la posesión de este documento no le otorga ninguna licencia sobre estas patentes, marcas,
derechos de autor u otra propiedad intelectual.
Microsoft es una marca comercial registrada o marca comercial de Microsoft Corporation en Estados Unidos y / u
otros países.
Los nombres de compañías y productos reales aquí mencionados pueden ser marcas comerciales de sus
respectivos propietarios.
Este módulo presenta cada una de las nuevas características de Active Directory ® Domain Services
(AD DS). Explica los problemas que estas características de dirección y lo que se necesita para que
usted pueda implementarlo y utilizarlo. El módulo también explora las mejoras de AD DS, de
implementación y de virtualización, las nuevas características y mejoras en las características
existentes, así como mejoras en la gestión de AD DS.
Esta lección presenta las mejoras que Windows Server ® 2012 aporta a la implementación de AD DS.
En versiones anteriores de Windows Server, el proceso que se utilizó para crear los controladores de
dominio podría ser confuso para los administradores. También es posible que los administradores
lancen el DCPromo.exe cuando el servidor en el que se lanzó el comando no cumpla con los
requisitos para la promoción.
En Windows Server 2012, el proceso que se utiliza para crear los controladores de dominio dentro de
la empresa han sido mejorado. En las secciones siguientes se describen dichas mejoras.
La implementación de AD DS de Windows Server 2012 integra todos los pasos necesarios para
implementar nuevos controladores de dominio en una única interfaz gráfica. Se requiere una sola
credencial de nivel empresarial, y se puede preparar el bosque o dominio focalizando remotamente
para las operaciones de funciones maestras. Tenga en cuenta que el proceso de Adprep.exe está
integrado en el proceso de instalación del AD DS, lo que reduce el tiempo que se requiere para
instalar el AD DS y reduce las posibilidades de errores que podrían bloquear la promoción del
controlador de dominio.
Tenga en cuenta que usted puede completar la instalación del controlador de dominio y el
proceso de promoción en su totalidad con Windows PowerShell.
Sin embargo, como parte del proceso de creación de medios de comunicación, el comando
Ntdsutil.exe también realiza una desfragmentación sin conexión de la base de datos de AD DS. Esta
desfragmentación se obtiene un archivo de base de datos más pequeña, pero puede tomar mucho
tiempo para procesar.
En Windows Server 2012, puede optar por no llevar a cabo el paso de desfragmentación sin conexión,
lo que le permite crear los archivos multimedia con mayor rapidez. Tenga en cuenta que los archivos
resultantes de la instalación-desde-media pueden ser más grandes como resultado de pasar por el
proceso de desfragmentación, lo que podría dar como resultado tiempos más largos de copiado en
enlaces lentos que se conectan a los servidores de destino.
Muchas de las grandes organizaciones a nivel empresarial quieren ser capaces de compartir
información con otras empresas y / o consumidores. Por ejemplo, considere una empresa que quiere
permitir a sus clientes realizar pedidos directamente en su sistema de procesamiento de pedidos.
Active Directory Federation Services (AD FS) le permite a su organización implementar con éxito este
escenario, permitiendo los reclamos y fideicomisos necesarios para facilitarlo.
Lección 2: EL AD DS Virtualizado
Las organizaciones están buscando cada vez más la virtualización de cargas de trabajo para
optimizar su infraestructura de TI, lo paso a un entorno virtualizado abarca controladores de dominio.
La virtualización de entornos de AD DS ha sido constante durante un número de años. A partir de
Windows Server 2012, AD DS ofrece mayor soporte para la virtualización de los controladores de
dominio mediante la introducción de la virtualización, capacidades de seguridad y permitir un rápido
despliegue de los controladores de dominio virtuales a través de la clonación. Estas nuevas
características de virtualización proporcionar un mayor apoyo a las nubes públicas y privadas,
entornos híbridos, donde porciones de AD DS existentes en las instalaciones y en la nube, y AD DS
infraestructuras que se encuentran completamente en las instalaciones.
(RID) de la piscina. Desde este punto en adelante, todas las transacciones se asocian con
InvocationID nuevo el controlador de dominio. Otros controladores de dominio no reconocen la
InvocationID nuevo, por lo que se concluye que aún no lo han visto estos USN y aceptará las
actualizaciones que se identifican con la nueva y InvocationID USN, permitiendo al directorio a
converger.
Tenga en cuenta que lugares comunes de Windows Server 2012 de servicios que están co-
localizados con controladores de dominio son compatibles, por ejemplo: Sistema de Nombres de
Dominio (DNS), el Servicio de replicación de archivos (FRS) y replicación de sistema de archivos
distribuido (DFS-R).
Esta lección explora algunos de los cambios adicionales realizados en AD DS en Windows Server
2012, incluyendo la capacidad de dominio a unirse a equipos que no están conectados a la red
corporativa, soporte para cuentas conectadas, y varias otras mejoras de AD DS.
Mejoras RID
Los RID de AD DS se utilizan para identificar de forma única los objetos de la base de datos
distribuida AD DS. Cada controlador de dominio contiene un conjunto de RID y las utiliza para
identificar los objetos de nueva creación, como usuarios, grupos y equipos. El proceso de generación
de RID singulares es una operación de un solo maestro. Un controlador de dominio se asigna la
función de maestro RID, y se asigna una secuencia de RID a cada controlador de dominio del
dominio. Cuando una nueva cuenta de dominio o de grupo se crea en una réplica de controlador de
dominio de Active Directory, se le asigna un identificador de seguridad (SID). El RID para el nuevo
SID se ha tomado de la asignación del controlador de dominio de RID. Cuando el suministro de RID
comienza a agotarse, el controlador de dominio solicita otro bloque del maestro RID.
En versiones anteriores de Windows Server, que era posible que el conjunto de RID a agotarse
debido a una fuga. Por ejemplo, si un administrador ha intentado crear una cuenta nueva, pero la
creación de la cuenta fracasado debido a las propiedades de la cuenta que no cumplan con los
requisitos necesarios de AD DS de política de seguridad, el RID se asignó ya, pero no estaba
acostumbrado, el RID se había filtrado. En Windows Server 2012, el controlador de dominio
mantiene un contenedor en memoria de RID reutilizables, esta lista de RID reutilizables se utilizó por
primera vez, lo que reduce las fugas RID.
Windows Server 2012 también identifica cuando el conjunto de RID es invalidado por la creación de
una entrada en el registro de eventos. El conjunto de RID puede llegar a ser invalidados mediante la
realización de una restauración de base de datos de AD DS. AD DS en Windows Server 2012 también
impone un límite máximo en el tamaño de bloque RID. Anteriormente, se podía configurar este valor
en el soporte del RID función de operaciones de maestro único editando el registro y el límite
superior no tenía límites, y en Windows Server 2012, el límite máximo es de 15.000.
Como RID se consumen, Windows Server 2012 produce advertencias periódicas y registra estos para
el registro del sistema. La advertencia tales primero se produce cuando hay un diez por ciento de
espacio restante global. Estos eventos se vuelven más frecuentes a medida que el espacio global se
agota más.
Por último, un techo blando de noventa por ciento del espacio RID global se establece en AD DS en
Windows Server 2012. Llegar a este valor provoca un evento. El administrador puede cambiar este
"techo" al restablecer el valor de SDS-RIDPoolAllocationEnabled en el soporte del RID función de
operaciones de maestro único.
Indexación de los atributos de los objetos de AD DS permite a los atributos que deben buscarse más
rápido. Sin embargo, el mantenimiento de los índices de estos atributos puede imponer una carga
sobre los controladores de dominio de su empresa.
En Windows Server 2012, puede implementar DSheuristic, valor que le permite controlar la creación
del índice, efectivamente se aplaza hasta el controlador de dominio se reinicia o bien recibe un mod
rootDSE UpdateSchemaNow.
Cualquier atributo que se encuentra en un estado índice diferido se registra en la salida de iniciar
cada día:
• • 2944: Índice aplazado por medio de registros una vez
• • 2945: Índice todavía pendiente-registrados cada 24 horas
• • 1137: Índice creado por medio de registros una vez (no es un evento nuevo)
En el pasado, los equipos que querían unirse al dominio de su organización tenían que ser
conectados a la red de la organización. AD DS en Windows Server 2012 le permite unirse a un
dominio en equipos que están fuera del establecimiento. Por ejemplo, puede conectar un usuario a
domicilio portátil al dominio de su empresa sin que el usuario tenga que llevar el ordenador en la
oficina, lo que se logra mediante el uso de tecnología de DirectAccess.
Cuentas Conectadas
AD DS en Windows Server 2012 admite la posibilidad de vincular las cuentas de los usuarios con sus
cuentas de Microsoft, permitiendo a Windows ® 8 características y aplicaciones para aprovechar las
capacidades específicas en línea. Además, algunos aspectos del perfil de un usuario puede ser
vagaban entre equipos que comparten la misma cuenta de Microsoft.
Cuando usted piensa acerca de cómo implementar esta capacidad, tenga en cuenta los siguientes
puntos:
• Inicio de sesión de una cuenta de Microsoft a Windows con una cuenta de usuario de Active
Directory que no es compatible.
• SKUs Server no son compatibles con las cuentas conectadas.
• El administrador debe asociar la cuenta de Microsoft con la cuenta de destino.
• El usuario local conectada aparecerá en Usuarios y grupos locales.
En las redes actuales, las licencias por volumen generalmente se controlan mediante el uso de claves
de gestión de servicios de servidores (KMS). KMS tiene una serie de desventajas: que usa llamadas
de procedimiento remoto (RPC), que no es compatible con cualquier tipo de autenticación, y no
proporciona una consola gráfica.
AD DS en Windows Server 2012 puede proporcionar la activación por volumen necesario sin el
requisito de KMS, aunque se puede configurar la convivencia con KMS para apoyar las activaciones
por volumen para las versiones anteriores de los sistemas operativos de Windows del cliente.
Las ventajas de usar basado en Active Directory activación son:
• No se requiere hardware adicional de servidor para proporcionar servicios de activación.
• Se elimina el requisito de RPCs utilizando Lightweight Directory Access Protocol (LDAP)
exclusivamente.
• Es compatible sólo lectura controladores de dominio.
Cuando usted piensa acerca del uso de Active Directory basado en la activación, tenga en cuenta que
sólo computadoras con Windows 8 y Windows Server 2012 pueden activar utilizando este servicio.
Para sistemas operativos anteriores, se debe utilizar KMS.
El grupo logró cuenta de servicio proporciona la misma función en el dominio, pero también se
extiende esta funcionalidad a través de servidores múltiples. Cuando se conecte a un servicio de
alojada en un granja de servidores, como Equilibrio del carga de red, los protocolos de autenticación
que apoyan la autenticación de mutuo requieren que todos los las instancias de los servicios utilizan
el mismo principal. Cuando el grupo de cuentas de servicio administradas (gMSAs) se utilizan como
directores de servicio, el sistema operativo Windows administra la contraseña de la cuenta en lugar
de confiar en el administrador gestionar la contraseña.
Sólo se puede configurar y administrar gMSAs en equipos que ejecutan Windows Server 2012, pero
se pueden implementar como una solución de servicio único de identidad en dominios que todavía
tienen algunos controladores de dominio que ejecutan sistemas operativos anteriores a Windows
Server 2012. No hay dominio o requisitos funcionales de bosque de nivel.
Windows PowerShell para Active Directory en Windows Server 2012 incluye soporte para la
replicación y gestión de topología. Incluye la capacidad para administrar la replicación, sitios,
dominios y bosques, controladores de dominio y las particiones.
Funcionalidad similar está disponible mediante cmdlets de Windows PowerShell para que
previamente disponible en sitios de Active Directory y Servicios y Repadmin.exe. Además, los
cmdlets son compatibles con el actual de Windows PowerShell cmdlets de Active Directory, creando
así una experiencia simplificada y que le permite crear fácilmente secuencias de comandos de
automatización.
Por ejemplo, para obtener una lista de todos los sitios de AD DS, utilice el siguiente ejemplo de
código.
Get-ADReplicationSite-Filter *
AD DS en Windows Server 2012 ofrece una serie de mejoras de gestión. Esta lección explora estas
mejoras.
Como parte del compromiso de Microsoft con la plataforma de Windows PowerShell, el Centro de
administración de Active Directory ahora proporciona un fácil acceso al visualizador del historial de
Windows PowerShell.
El visualizador del historial de Windows PowerShell muestra los comandos de Windows PowerShell
cuando una tarea se lleva a cabo a través de la interfaz de usuario.
Hay muchos cmdlets de Windows PowerShell para AD DS, pero uno de los retos para los
administradores de AD DS es que hay una curva de aprendizaje empinada relativa alrededor de
Windows PowerShell para AD DS. Incluso después de enterarse de ellos, es difícil recordar todos los
cmdlets y sus parámetros.
En Windows Server 2012, tal como ejecutar acciones en la interfaz de usuario, el equivalente de
Windows PowerShell para el comando de Active Directory, se muestra al usuario en el Visor del
Historiarial de Windows PowerShell. Estos comandos a su vez, se pueden copiar y reutilizar en tus
scripts. Esta mejora reduce el tiempo para aprender de Windows PowerShell para Active Directory.
También puede aumentar la confianza de sus usuarios en la corrección de sus scripts de
automatización.
Estas áreas de enfoque fueron traducidos a un conjunto de capacidades de Windows que permiten el
cumplimiento de datos en soluciones de socios y Windows-based.
que pertenecen, sino también por las declaraciones como "El usuario está en el departamento de
Finanzas" y "autorización de seguridad del usuario es de alta . "
La infraestructura de clasificación de archivos en Windows Server 2012 se ha integrado con control
de acceso dinámico para que los dueños de negocios y los usuarios a identificar (tag) sus datos de
forma que los administradores de TI pueden dirigir las políticas basadas en este etiquetado. Esta
habilidad funciona en paralelo con la capacidad de la infraestructura de clasificación de archivos para
clasificar automáticamente los archivos basándose en el contenido o cualquier otra característica.
Control de acceso dinámico también se integra con Rights Management Services para proteger
automáticamente (encriptar) la información sensible en servidores de modo que incluso cuando la
información sale del servidor, sigue estando protegido.
La Consola de Manejo de Políticas Grupales incluye nuevas capacidades que le permiten rastrear más
fácilmente replicación SYSVOL y su relación con la directiva de grupo y la fuerza de las
actualizaciones de directiva de grupo desde una ubicación central.
La Delegación restringida de Kerberos (KCD) se introdujo con Windows Server 2003. KCD permite
una cuenta de servicios (front-end) para actuar en el nombre de los usuarios de aplicaciones de
varios niveles para un conjunto limitado de servicios back-end. Por ejemplo:
• Un usuario accede a un sitio web como usuario1.
• El usuario solicite información desde el sitio web (front-end) que requiere que el servidor web para
consultar un Microsoft ® SQL Server ® base de datos (back-end).
• El acceso a estos datos está autorizado de acuerdo con que accedió al front-end.
En este caso, el servicio web debe hacerse pasar por el usuario 1 al hacer la solicitud a SQL Server.
Para todo esto, debe configurar los servicios de front-end (por SPN) para que puede hacerse pasar
por usuarios. Además, la configuración y administración de dominio requieren privilegios de
administrador. Por último, la delegación KCD sólo funciona para los servicios de back-end en el
mismo dominio que el front-end de servicios-cuentas.
En Windows Server 2012, KCD mueve la decisión de autorización de los propietarios de los recursos.
Esto permite que el back-end para autorizar que front-end cuentas de servicio puede suplantar a los
usuarios en contra de sus recursos. Es compatible con varios dominios, entre bosques escenarios, ya
no se requieren privilegios de administrador de dominio para la configuración y administración, y
sólo requiere permisos de administrador para la cuenta de servicio de back-end.
Microsoft Virtual Academy Manual del Estudiante
32
Module 1: Active Directory Features and Improvements.
Para obtener más información sobre los temas tratados en esta sesión, vea los siguientes recursos:
• What’s New in Active Directory Domain Services
• http://technet.microsoft.com/en-us/library/hh831477.aspx#BKMK_actdir_adba
• Windows Server Blogs
• http://blogs.technet.com/b/windowsserver
• Windows Server 2012 Home Page and Product Download
http://www.microsoft.com/en-us/server-cloud/windows-server/2012-default.aspx