Microsoft Jump Start ®

M11: Implementando Active

Directory Domain Services

Rick Claus | Technical Evangelist | Microsoft

Ed Liberman | Technical Trainer | Train Signal
Jump Start Objetivo de la Agenda | Día Dos

Día 1 Día 2
Módulo 1: Instalando y Configurando Módulo 7: Implementando Failover
Servidores Basadoes en Windows Server Clustering
2012
Módulo 2: Monitorización y Módulo 8: Implementando Hyper-V
Mantenimiento de Windows Server 2012
Módulo 3: Gestión de Windows Server Módulo 9: Implementando Failover
2012 Usando PowerShell 3.0 Clustering con Hyper -V
- PAUSA PARA COMER - - PAUSA PARA COMER -
Módulo 4: Gestión del almacenamiento Módulo 10: Implementando Dynamic
de Windows Server 2012 Access Control
Módulo 5: Implementando Servicios Módulo 11: Implementando Active
de Redes Directory Domain Services
Módulo 6: Implementando Direct Access Módulo 12: Implementando Active
Directory Federation Services
Descripción general del módulo

• Implementación de AD DS controladores de dominio

• Configuración de los controladores de dominio de AD DS
• Implementar las cuentas de servicio
• Implementar la directiva de grupo en AD DS
• Mantenimiento de AD DS
¿Qué hay de nuevo en AD DS en Windows Server 2012?

• Nuevos métodos de implementación

• Administración simplificada
• Controladores de dominio virtualizados
• Módulo Active Directory para Windows PowerShell
• Windows PowerShell History Viewer
• Servicios de federación de Active Directory
• La activación basada en Active Directory
Implementación de controladores de dominio AD DS

• Toda la configuración de los controladores de dominio

se puede realizar a través de un asistente del
Administrador del servidor

• AD DS binarios puede ser

instalado mediante
Windows PowerShell
• Dism.exe es más
complejo de usar
• Asistente para la
instalación de
Active Directory
sólo se admite en
modo desatendido
Implementación de AD DS en controladores de
dominio de Server Core
Puede instalar AD DS:
• Localmente mediante cmdlets de Windows PowerShell
• Remotamente usando los cmdlets de
Windows PowerShell o el Administrador del servidor
Implementación de AD DS controladores de dominio
mediante el uso de instalación desde medios (IFM)
Utilice Ntdsutil.exe para crear el medio de instalación

Ntdsutil.exe puede crear los siguientes tipos de

medios de instalación:
• Controlador original (o escribir) de dominio
• Controlador de dominio completo (o escribir)
con los datos SYSVOL
• Sólo lectura del controlador de dominio con los datos SYSVOL

• Sólo lectura controlador de dominio

• Cree una defragmentación no completa

• Cree sysvol para una defragmentación no completa

Implementación de AD DS con sólo lectura de
controladores de dominio
RODCs ofrece:
• Replicación Unidireccionalñ

• Almacenamiento en caché de credenciales

• Separación de funciones Administrativas

• Sólo lectura de DNS

• Conjunto de atributos con filtro RODC

Clonación Virtual AD DS controladores de dominio

Puede clonar la seguridad de controladores de dominio

virtuales existentes (VDC) de:
• Creación de un archivo DcCloneConfig.xml y su almacenamiento
en la ubicación de la base de datos de AD DS.
• TomandolalíneaVCCyexportarlo.
• Cree una nueva máquina virtual importando el
VDC exportado.

DcCloneConfig.xml a
AD DS en la ubicación
de la base de datos
Exporte el VDC Importe el VDC
Actualizando a Windows Server 2012 AD DS

• Sólo los controladores de dominio que ejecutan

Windows Server 2008 x64 y Windows Server 2008
R2 se pueden actualizar
• No se puede realizar una actualización in situ
en un controlador de dominio de Windows Server 2003
• Forestprep y Domainprep ambos deben ser
ejecutados de forma manual antes de actualizar
Configurando el Catálogo Global
• El host del cátalogo global
Esquema alberga un conjunto de atributos
Configuración parciales de otros dominios
Dominio A
del bosque
• Soporta las consultas de objetos
Esquema en todo el bosque
Configuración Esquema

Dominio A Configuración

Dominio B Dominio B

Servidor del Catálogo Global

Esquema

Configuración

Dominio B
Configurando Universal Group Membership Caching

• Pertenencia al grupo universal replica en el catálogo global:

– Inicio de sesión normal: ficha del usuario construido con los grupos
universales de catálogo global
– El Catálogo global no está disponible al iniciar la sesión:
el controlador de dominio de autenticación es denegado
• Si cada controlador de dominio es un catálogo global,
esto no es un problema
• Si la conectividad a un catálogo global no es fiable:
– Los controladores de dominio pueden almacenar en caché la pertenencia al
grupo universal de un usuario cuando el usuario inicia una sesión
– El Catálogo global más adelante no esta disponible:
El Usuario autenticado con grupos universales en caché
• En sitios con conectividad fiable al catálogo global,
habilitar la caché pertenencia al grupo universal
• Haga clic derecho en Configuración de NTDS para el sitio,
y seleccione Propiedades:
– Permite universal caché la pertenencia a grupos de todos los controladores de
dominio en el sitio
Configurando Operations Masters

• Forest-wide:
– Nombres de dominio: Añade / elimina dominios / del forest
– Esquema: Hace cambios en el esquema

• Domain-wide:
– RID: proporciona "pools" de RID en controladores de dominio,
que los utilizan para el SID
– Infraestructura: Pistas cambios en los objetos de otros dominios
que son miembros de los grupos en este ámbito
– PDC: Desempeña varias funciones importantes:
• Emula un controlador de dominio principal (PDC): Compatibilidad
• Contraseña especial manejo de actualización
• Destino predeterminado para las actualizaciones de directiva de grupo
• Fuente de tiempo principal para el dominio
• Domain master browser
Gestión de dominios y Forest Functional Levels
• Niveles funcionales de dominio
• Forest functional levels
• Nueva funcionalidad requiere que los controladores
de dominio ejecuten:
– Windows 2000
– Windows Sever 2003
– Windows Sever 2008
– Windows Sever 2008 R2
– Windows Sever 2012
• Dominios y confianzas de Active Directory
• No se puede elevar el nivel funcional, mientras que los
controladores de dominio ejecutan versiones anteriores
de Windows
• No se puede agregar controladores de dominio que
ejecutan versiones anteriores de Windows después de
elevar el nivel funcional
Gestión de las cuentas de servicio

• Se utiliza para automatizar la gestión de contraseñas y SPN

para las cuentas de servicio utilizadas por los servicios y
aplicaciones
• Requiere un servidor de Windows Server 2008 R2 con:
– Microsoft .NET Framework 3.5.x
– Módulo Active Directory para Windows PowerShell

• Recomendado para funcionar con AD DS configurados en

el nivel funcional de Windows Server 2008 R2
• Puede ser utilizado en un entorno Windows Server 2003
o un entorno Windows Server 2008 AD DS:
– Con Windows Server 2008 R2 schema updates
– Con el servicio de puerta de enlace de administración
de Active Directory
¿Qué son los grupos de cuentas de servicio administradas?

Grupo de cuentas de servicio administradas proporcionan:

• Automática de contraseñas y administración de SPN a varios
servidores en una granja
• Una única identidad para los servicios que se ejecutan en
una granja
Granja
Servidor 1

Granja
Servidor 2
Gestión
de Grupo Granja
cuenta de Servidor 3
servicio
DEMO: Configurando un grupo de gestión
de cuenta de servicios
En esta demostración, verá cómo crear un grupo de gestión
de cuenta de servicio y asociar la cuenta con un servidor
¿Qué hay de nuevo: Directiva de grupo en
Windows Server 2012?

• Directiva de grupo estatus de la infraestructura

• Política de refresco remoto
• Nueva RSOP Registro de Datos
Administrando GPOs

• La GPMC es la herramienta principal de gestión de la

directiva de grupo. Se utiliza para:
– Crear GPOs
– Editar GPOs a través del Editor GPO
– Enlace s GPOs
– Copia de seguridad de GPOs
– Restaurar GPOs
– Copiar GPOs
– Importar GPOs
Configuración del procesamiento de directivas de grupo

• GPOs se aplican en un orden conocido como prioridad. Cuando se aplican

varias directivas para un mismo recipiente la prioridad se puede configurar.
• Configuración de GPOs heredan abajo y se unen para proporcionar el
efecto acumulativo de todos los ajustes. Heredado GPO se puede ver
en la ficha de herencia.
• La herencia puede ser bloqueada. La herencia no puede ser bloqueada
por GPO seleccionado solamente es todo o nada.
• Con los GPOs se puede hacer cumplir. La aplicación anula del bloqueo de
herencia y valores conflictivos.
• Loopback aplica la configuración de usuario de la política que aplica la
opción loopback. Se utiliza normalmente para Servicios de Escritorio
remoto y casos especiales.
• El filtrado de seguridad. Permisos en el GPO pueden controlar que
objeto recibir ajustes.
• Filtros WMI. WMI puede consultar las condiciones en las que se aplican
la configuración de GPO.
Directiva de grupo de extensiones del lado del cliente

• ¿Cómo se aplican los GPOs y sus ajustes

• Directiva de grupo de cliente recupera lista ordenada
de los GPOs
• GPOs se descargan y se almacenan en caché
• Componentes llamados CSE procesar los ajustes
para aplicar los cambios:
– Uno para cada categoría principal de configuración de la
directiva: seguridad, registro, escritura, instalación de software,
las preferencias de unidades asignadas, y así sucesivamente.
– La mayoría de las entidades centrales de almacenamiento se
aplican los ajustes sólo si el GPO como todo un cambió
• Mejora el rendimiento
• Seguridad CSE aplica cambios cada 16 horas
– Aplicación de GPO es el equipo del cliente impulsado (pull)
Solución de problemas de directiva de grupo

Cuestiones de política de grupo pueden ser causados por

problemas específicos de directiva de grupo, o pueden ser
causados por problemas no relacionados como la conectividad
de red o problemas de autenticación.
Protección de áreas de solución de problemas de grupo clave:
• Herencia
• Grupo de seguridad o el filtrado WMI
• Replicación
• Actualización de la directiva
Mejores prácticas para la implementación de la
directiva de grupo

• Planificar la implementación de directivas de grupo

• Crear configuraciones de escritorio estándar
• No utilice el GPO predeterminado para otros fines
• Utilice modificaciones herencia con moderación
• Emplear el procesamiento de bucle invertido para
los escenarios de casos especiales
• Implementar un proceso de solicitud de cambio
Opciones para la copia de seguridad de AD DS
• Complemento de la copia de seguridad
de Windows Server
• Wbadmin.exe
• Las copias de seguridad pueden ser manuales o automátic
• Realice una copia de seguridad en CD/DVD/ HDD
• Debe realizar una copia de seguridad de todos
los volúmenes críticos de AD DS
– Volumen del sistema

– Volumen del Boot

– Volúmenes de alojamiento SYSVOL, base de datos de
AD DS (NTDS.dit), registro
 Opciones para restaurar AD DS

• No autoriza una restauración (normal)

– Restaurar controlador de dominio ya conocido buen estado
de Active Directory
– Controlador de dominio se actualiza mediante la replicación
os estándar de los socios hasta al día
• Restauración autoritaria
– Restaurar controlador de dominio ya conocido buen estado
de Active Directory
– "Marcar" objetos que usted quiere autorizar
– Windows establece los números de versión muy alto
– Controlador de dominio se actualiza desde su hasta socios de fecha
– Controlador de dominio envía actualizaciones autorizadas a sus socios
• Restauración del servidor completo
– Por lo general es realizado en el entorno de recuperación de Windows
• Ubicación alternativa de restauración
¿Cómo funciona el trabajo de la papelera de
reciclaje de Active Directory?
• No puede ser desactivada una vez que se activa
• Now has a user interface to simplify restoration of objects
• Está habilitado y se accede a través del Centro de
administración de Active Directory
• No se puede restaurar los sub-árboles de objetos en una sola operación
• Requiere nivel del bosque sea al menos Windows Server 2008 R2
• Requiere Administradores de organización
• Aumenta el tamaño de la base de datos de Active Directory
• Los objetos se conservan en la papelera de reciclaje para la
duración de desecho: 180 días de forma predeterminada
• El objeto eliminado se puede ver en la carpeta de objetos eliminados
• Los objetos se pueden restaurar mediante la selección y la elección
de restauración
DEMO: Restauración de objetos de AD DS mediante la
papelera de reciclaje de Active Directory
En esta demostración, verá cómo:
• Activar la papelera de reciclaje de Active Directory
• Utilizar la papelera de reciclaje para restaurar
un objeto eliminado
¿Qué son AD DS Snapshots?

• Cree un snapshot de Active Directory:

– NTDSUtil

• Monte el snapshot a un puerto único:

– NTDSUtil

• Exponga el snapshot:
– Haga clic derecho en el nodo raíz de Usuarios y equipos de
Active Directory y seleccione Conectar a controlador de dominio
– Introduzca serverFQDN:port

• Ver (sólo lectura) snapshot:

– No se puede restaurar directamente los datos de snapshot

• Recuperación de datos:
– Vuelva a introducir los datos manualmente, o
– Restaure una copia de seguridad de la misma fecha
que el snapshot
Mantenimiento de la base de datos de AD DS

EDB.chk

Actualizar el
Escribe Solicitud checkpoint

Confirme la
transacción

Se inicia la Escribir en el búfer Escribir en la base

transacción de transacciones de datos en el disco

Escribir en el archivo
de registro de transacciones

EDB.log NTDS.dit on Disk