Active Directory

Servicio de directorios en Windows > W2K

Introducción
● Servicio de directorio
○ Apoyado en varios estándares
■ LDAP
■ DNS
■ Kerberos
■ DHCP
■ ...
● Estructuras física y lógica prácticamente
independientes
 Estructura lógica de A.D.
Bosque
Dominio
ol
Árb

aass.com otramarca.com

d es vas
ida izati
Un gan
or
tenerife.aass.co gc.aass.com
m
Dominios
Dominios
• Es una agrupación lógica de ordenadores, usuarios y otros
recursos que comparten la base de datos del directorio (LDAP)
• Cada dominio está gestionado por un administrador
• Cada dominio incluye uno o más controladores de dominios.
Controlador de dominio: Ordenador que ejecuta Windows Server y
almacena una copia completa del DA
• No existe una relación maestro-esclavo entre los controladores
del dominio:
• Las actualizaciones se pueden realizar en cualquiera de ellos
• El sistema de replicación los mantiene sincronizados
• Excepciones a estas reglas: Maestros de operaciones
Dominios
Dominios
• Almacena los “objetos” de la organización
• Usuarios
• Grupos
• Ordenadores
• Impresoras
• Unidades de red
• ...
Árboles
• Un árbol es una agrupación jerárquica de uno o más
dominios Windows que comparten un espacio de nombres
contiguo
• Cuando se añade un dominio a un árbol ya existente, el
nuevo dominio pasa a ser el hijo y su nombre se combina
con el del dominio padre para formar su nombre DNS.
• Cada dominio hijo establece
una relación de confianza
bidireccional y transitiva con
el dominio padre.
Bosque
• Es una agrupación jerárquica de uno o más árboles
• Los árboles en el bosque no comparten un espacio de nombres
contiguo.
• Los árboles en el bosque comparten un schema común y el
catálogo global.
• El primer dominio que se crea es el conocido como dominio raíz
del bosque
• Cada dominio raíz de un árbol
tiene una relación de confianza
bidireccional transitiva con el
dominio raíz del bosque
Bosque (ii)
Cosas compartidas en el bosque:
Además del catálogo global y el schema, también se comparte:
• Administradores:
• Administradores de schema: Capacidad para modificar el schema
• Administradores de la organización:
– Capacidad para realizar operaciones que afectan a todo el bosque,
como añadir o eliminar dominios del bosque
– Automáticamente se incluye en todos los grupos locales
Administradores de los dominios del bosque.
• Configuración de confianza compartida:
• Todos los dominios del bosque se configuran para que confíen en los
restantes dominios del bosque
Catálogo global
• Es un almacén de información que contiene un subconjunto de
los atributos de todos los objetos de DA (Partial Attributes Set
- PAS).
• Almacena aquellos atributos que se usan más frecuentemente
en las consultas:
• Identificación de usuarios: nombre, apellidos,...
• Localización de impresoras,...
Funciones:
● Búsqueda de información en todo el
bosque
● Utilización de grupos universales:
permite a los usuarios entrar en cualquier
dominio del bosque.
 Estructura lógica de A.D
Bosque
Dominio
ol
Árb

aass.com otramarca.com

d es vas
ida izati
Un gan
or
tenerife.aass.co gc.aass.com
m
Unidades Organizativas
● Son contenedores que permiten agrupar los objetos de
un dominio en grupos administrativos lógicos.
● Pueden contener cuentas de usuarios, grupos,
ordenadores, impresoras, ...
● También pueden contener otras OU’s
● No hay límite en la profundidad de la estructura
jerárquica (Recomendación: no hacerlas demasiado
profundas)
● Se usan para agrupar objetos de la forma que mejor se
ajuste a las necesidades de la organización
 Unidades Organizativas
● Ejemplo:

● Una de las utilidades de las OU’s es que permite delegar

el control administrativo de forma “controlada”:
• Es posible delegar el control total sobre todos los objetos de la
OU
• Es posible delegar control parcial de la OU .
Ejemplo: creación de cuentas de usuarios, cambios de
contraseñas,...
●
 DNS
Domain Name System
 Introducción
● DNS (Domain Name System)
○ Sistema jerárquico y descentralizado
○ Localización:
■ ordenadores
■ servicios
■ o cualquier recurso conectado a una red de datos
○ Internet y redes privadas
○ Usualmente traduce nombres de dominio en direcciones
numéricas IP
■ Los humanos recordamos mejor nombres.
■ Las máquinas trabajan mejor con números (usados por protocolos de red)
○ Y si no existiese DNS?:
■ Gran cantidad de máquinas y recursos en la red. Imposible de mantener en
bases de datos individuales
■ Anteriormente bastaban ficheros locales:
● C:\Windows\System32\Drivers\etc\...
● /etc/hosts
Distribuido y jerárquico
● Cada servidor DNS se encarga de una porción de todos los
nombres existentes (zona) de la que es responsable.
● Ejemplo de árbol jerárquico de dominios:
“.” (raíz)

top-level domains” (TLDs):

originales (.com, .org, .edu, etc.)
códigos de países (.es, .it, .ar, etc.)
.es .fr .com .org y otros…
http://data.iana.org/TLD/tlds-alpha-b
y-domain.txt
Segundo nivel:
ull.es ulpgc.es Habitualmente nombres de
organizaciones, empresas, etc.

etsii.ull.es
● Nombre dispositivo + ruta hasta la raíz: FQDN (Fully
Qualified Domain Name). Ejemplo: “exthost.etsii.ull.es.”
 Proceso de resolución de nombres

¿Cómo conoce
los serv. “.”?
fichero ¿Qué contienen?
mapa

dig +trace www.ull.es (Linux)

web
DNS lookup
Resolución inversa

link
 Tipos de servidores DNS
• Servidor Primario
• Es el único que contiene la copia original del fichero de la zona.
• Es donde se realizan las modificaciones de la zona.
• Después de modificar estos datos, se replican a los servidores secundarios
⇒transferencia de zona
• Servidores Secundarios
• Contienen una copia (sólo lectura) del fichero de zona
• Se actualizan a través de transferencias de zona (completas o incrementales)
• Proporcionan balanceo de carga (no tolerancia a fallos)
• Servidores cache
• No contienen copia de ningún fichero
• Almacenan temporalmente las resoluciones anteriores
Windows - Active Directory - DNS
DNS y Active Directory
• Resolución de nombres:La resolución de nombres de las distintas
máquinas en el dominio se realiza usando DNS
• Esquema de nombres en el dominio: El directorio Activo sigue el
mismo esquema de nombres que el servicio DNS:
Localización de servicios
• Los controladores de dominio en Windows 2000 se identifican
además de por su FQDN (Fully Qualified Domain Name), por
los servicios que proporciona. Registros SRV
• Cuando se arranca un controlador de dominio, el servicio Net Logon
usa el “DNS dynamic update” para registrarse automáticamente en
DNS.
• Windows (> 2000) usa DNS también para localizar servicios
en la red.
• Ejemplo: Para encontrar las distintas impresoras ⇒ catálogo global. En
Windows NT, el sistema de resolución de nombres utilizado era
NetBIOS
• Ejemplo: Cada controlador de dominio registraba el nombre dominio
con <1C> en el carácter 16, en el servidor WINS correspondiente.
Registros de recursos
• Para facilitar la localización de controladores de dominio se utilizan los
siguientes registros
Component Example Explanation

Service _ldap The service that this record identifies. Additional services include _kerberos, _kpassword, and
_gc.
Protocol _tcp The protocol used for this service. Can be either TCP or user datagram protocol (UDP).
Name contoso.com The domain name that this record refers to.

_ldap._tcp.contoso.com.
TTL 600
600 IN SRV 0 100 389 dc2.contoso.com
The default Time to Live for this record (in seconds).
Class IN The standard DNS Internet class.
Resource SRV Identifies the record as an SRV record.
Record
Priority 0 Identifies the priority of this record for the client. If multiple SRV records exist for the same
service, the clients will try to connect first to the server with the lowest priority value.
Weight 100 A load balancing mechanism. If multiple SRV records exist for the same service and the priority
is identical for all the records, clients will choose the records with the higher weights more
often.
Port 389 The port used by this service.
Target dc2.contoso. The host that provides the service identified by this record.
com
 Registros de recursos
• Ejemplo de servicios registrados por el primer controlador del bosque:
contoso.com. 600 IN A 192.168.1.201
_ldap._tcp.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com.
_ldap._tcp.Default-First-Site-Name._sites.contoso.com. 600 IN SRV 0 100 389
dc2.contoso.com.
gc._msdcs.contoso.com. 600 IN A 192.168.1.201
175170ad-0263-439f-bb4c-89eacc410ab1._msdcs.contoso.com. 600 IN CNAME
dc2.contoso.com.
_kerberos._tcp.dc._msdcs.contoso.com. 600 IN SRV 0 100 88 dc2.contoso.com.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com. 600 IN
SRV 0 100 88 dc2.contoso.com.
_kpasswd._tcp.contoso.com. 600 IN SRV 0 100 464 dc2.contoso.com.
_kpasswd._udp.contoso.com. 600 IN SRV 0 100 464 dc2.contoso.com.
Proceso de inicio de sesión
(login)
 Gestión DNS Windows
• Se realiza a través de servidores DNS (MS-Windows o no)
Varias posibilidades:
• Número de servidores para una zona. Recomendable más de uno
• Tolerancia a fallos y balanceo de carga
• Modelo Maestro- esclavos
• Modelo Multimaster
• Diferentes zonas: Delegación de zona
• Reparte la responsabilidad
• Distribuye la información
Zonas integradas en Active
Directory
• Una de las principales ventajas de DNS en W2k es la
posibilidad de integrar DNS con el AD
Ventajas:
• La información de la zona no se almacena en el fichero DNS sino en
la base de datos de AD ⇒Seguridad
• El proceso de transferencia de zona se sustituye por la replicación
de AD
• Sólo componentes modificados
• Replicación entre sitios optimizada
• Ofrece la posibilidad de configuración multimaster de servidores
• Evita tener un solo servidor primario
• Los cambios pueden realizarse en cualquier controlador del dominio
• Opción de actualización segura (secure updates)
• Se controla quién puede hacer modificaciones (dynamic updates)
Combinación modelos DNS
• Combinaciones zona integrada – zonas secundarias

CD

CD
DNS-AD
Transferencias de
zona
CD

DNS
Secundario
Dominio
Active Directory
Usuarios y grupos
 Usuarios y cuentas de
usuarios
Un usuario se entiende como cada persona que puede entrar (iniciar
sesión) en el sistema
○ Para controlar la entrada y sus acciones se utiliza el concepto
de “cuenta de usuario”
Cuenta de usuario:
○ Es la entrada LDAP donde se almacena toda la información
del usuario:
■ Nombre + Nombre completo
■ Contraseña
■ Directorio de conexión
■ Horas de conexión
■ Activación de la cuenta
■ ...
 Usuarios y cuentas de
usuarios
Internamente se le asigna dos números de identifcación
○ Número de identificador único global GUID
■ Número de 128 bits asignado a cada objeto en AD
■ Es único en el bosque … y más allá
■ Asociado al objeto hasta que se borra
○ Número de identificador de seguridad SID
■ Este número es único en el dominio
■ Si un usuario cambia de dominio, se le asigna un nuevo SID
■ Es el número que se utiliza para las ACLs
■ No se modifica cuando se renombra la cuenta
○ User Principal Name (UPN)
■ Permite identificar al usuario en
cualquier parte del bosque
Tipos de cuentas de usuarios
Tipo de
cuenta de Descripción
usuario
Cuenta de •Permite a un usuario entrar a un ordenador específico y
usuario acceder a los recursos de ese ordenador
local •La cuenta reside en la SAM (Security Accounts Manager)
del ordenador

•Permite a un usuario entrar al dominio y acceder a los

Cuenta de
recursos de cualquier ordenador de la red
usuario del
•La cuenta reside en el Directorio Activo
dominio
•Permite a un usuario realizar ciertas tareas administrativas
Cuenta de o acceder temporalmente a ciertos recursos
usuario •Hay dos cuentas básicas (no pueden ser borradas):
predefinida administrador e invitado (local y del dominio)
•Se crean automáticamente
Planificación cuentas de
usuarios
• Adoptar una convención de nombres que asegure la
unicidad y comodidad de las cuentas
• Política de contraseñas
• Establecer horas válidas para entrar al sistema
• Limitar el acceso al dominio desde determinadas
estaciones
• Determinar la situación de los directorios de trabajo
de los usuarios
• Descentralizada: Difícil de gestionar
• Centralizada: Recomendable
Entorno de trabajo: Perfiles
• Un perfil de usuario es una estructura predeterminada de
carpetas y los correspondientes datos de registro.
• Cada usuario necesita un perfil asociado a su cuenta para
acceder al sistema
• El perfil contiene la configuración que el usuario ha definido
para su entorno de trabajo: escritorio, conexiones, datos...
• El perfil se crea cuando un usuario entra a un ordenador por
primera vez. La configuración se almacena en el directorio:
(C:)\Users\User name
• (Sólo) cuando el usuario abandona la sesión, se actualiza el
perfil en ese ordenador
Entorno de trabajo: Perfiles
• Tipos de perfiles de usuario
Perfil de usuario por defecto
• Es la base para todos los perfiles de usuario.
Inicialmente, cada usuario realiza una copia del
perfil por defecto
Perfil de usuario local
• Se crea la primera vez
que el usuario entra en
el ordenador.
 Entorno de trabajo: Perfiles
Perfil de usuario flotante
• Se crea por el administrador y se almacena
en un servidor. Este perfil está disponible al
usuario desde cualquier ordenador de la red
(ventajas e inconvenientes)
• Se puede combinar con “redirección de
carpetas”
Perfil de usuario obligatorio
• Se crea por el administrador para especificar
la configuración particular de los usuarios.
• Puede ser local o flotante
• No permite a los usuarios almacenar las
modificaciones (ntuser.man)
 Grupos de usuarios
● Un grupo es una colección de cuentas de usuarios.
● Permiten simplificar la gestión del acceso a los recursos por
múltiples usuarios.
● Puesto que los grupos son una “lista de miembros”, pueden
anidarse.
Grupos de usuarios
Tipos de grupos
Grupos de seguridad:
● Son los grupos que se usan para todos los
asuntos relacionados con la seguridad
(control de acceso,...)
Grupos de distribución:
• Son listas de usuarios utilizadas para
asuntos no relacionadas con la seguridad
(envío de e-mail a un grupo de
usuarios,...).
• No pueden ser utilizados para asignar
permisos
Ámbito de los grupos
• El ámbito de un grupo determina dónde se puede
utilizar un determinado grupo en la organización
• Va a marcar cuáles son los posibles miembros que
pueden formar parte así como el anidado (grupos
incluidos en otros grupos).
• Tres ámbitos:
• Grupos globales del dominio
• Grupos locales del dominio
• Grupos universales
 Grupos globales
Se usan para organizar usuarios que comparten las mismas tareas y
necesitan requerimientos de acceso a la red similares
● Pueden contener cuentas de
usuarios y grupos globales del
mismo dominio donde están
definidos
● Pueden ser miembros de grupos
universales y de grupos locales
del dominio de cualquier
dominio y de grupos globales del
mismo dominio
● Se le pueden asignar permisos en
cualquier dominio del bosque
 Grupos locales del dominio
Son usados para asignar permisos de acceso a los recursos que se
encuentran en el mismo dominio donde reside el grupo

● Pueden contener cuentas de

usuarios, grupos globales y
grupos universales de cualquier
dominio del bosque, además de
otros grupos locales del mismo
dominio
● Pueden ser miembros de otros
grupos locales del mismo
dominio
● Se le pueden asignar permisos
sólo en el dominio donde se crea.
Grupos. Visión general
Grupos universales
Se usan habitualmente para asignar permisos comunes a grupos de
diferentes dominios.
● Pueden contener cuentas de usuarios, grupos
globales de cualquier dominio del bosque.
● Pueden ser miembros de grupos locales del
dominio y de otros grupos universales
● Se le pueden asignar permisos en cualquier
dominio del bosque.
● Residen en el catálogo global, es aconsejable
limitar su uso a aquellas situaciones en las que
sea estrictamente necesario
● Es aconsejable no incluir usuarios directamente
en estos grupos (cualquier modificación implica
la replicación del catálogo global)
Grupos universales
Visión general
Grupos. Estrategia
recomendada
a) Estrategia A G DL P

b) Estrategia A G G DL P
 Usuario o Usuario o
computador computador

Pertenece a

Grupo Grupo
global global

Pertenece a

Grupo Grupo
local local

Permisos

Recurso Recurso

Dominio A Dominio B
Aeropuerto TFN Usuarios

SG_PLT SG_CTL SG_GV

Tipos de empleados

● Controladores (CTL)
● Gestores de vuelos (GV)
● Pilotos (PLT)
Aeropuerto TFN Recursos
Recursos y accesos

● Horarios de vuelos (Vuel - Carpeta)

○ Pilotos y controladores pueden leerlos. Permisos: Lectura
○ Gestores de vuelos, los crean, modifican, eliminan. Permisos: Control Total
● Pista de aterrizaje (PA - Archivo)
○ Pilotos pueden leer el archivo Permisos: Lectura
○ Controladores lo modifican Permisos: Modificación

SL_Vuel_lec SL_Vuel_CT SL_PA_lec SL_PA_mod

Lectura Control Lectura Modificación

Total

Vuelos
Pista Aterrizaje
TFN.aerop.org

SG_PLT SG_CTL SG_GV

SL_Vuel_lec SL_Vuel_CT SL_PA_lec SL_PA_mod

Lectura Control Lectura Modificación

Total

Vuelos
Pista Aterrizaje
TFN.aerop.org aerop.org

SG_PLT SG_CTL SG_GV SG_Jefes

SL_Vuel SL_Vuel SL_PA_ SL_PA_ SL_Inf_

_lec _CT lec mod lec

Lectura Control Lectura Modificación Lectura

Total

Vuelos Informe anual

Pista Aterrizaje
Active Directory
Seguridad en recursos:
Compartición y permisos
 Almacenamiento de
información
Diferentes escenarios:

a) Almacenamiento
distribuido

b) Almacenamiento
centralizado
● Backups
● Tolerancia a fallos
redundancia de la información
(sistemas RAID)
 Formato de la información
Windows soporta diferentes formatos:
○ FAT,FAT32
■ Sin soporte de seguridad.
■ Límites al tamaño de la partición y al tamaño de los archivos
○ extFAT
■ Pensado para flash drives
○ NTFS
■ Soporta seguridad a nivel de archivos mediante ACLs
■ Compresión
■ Cifrado
■ Cuotas,...
Acceso a la información
● Acceso local
● Acceso remoto (mediante conexión de red)
Control de acceso (seguridad)
● Permisos NTFS (a nivel de sistema de
archivos)
● Permisos compartidos. Sólo se aplican
cuando se accede por la red
● Protocolo SMB (Server Message Block), Puerto 139
Para acceder a la carpeta compartida se usa el “Universal Naming
Convention” (UNC)
\\NombreServidor\NombreCarpetaCompartida
● Ej: Si la carpeta está en el servidor “Server1”:
Permisos compartidos
Se establecen a nivel de carpeta y se aplica a
todo lo que cuelga de esa carpeta
Recursos compartidos
 Permisos NTFS
Se aplican tanto cuando se accede tanto de forma local como
cuando se accede de forma remota
• NTFS almacena una lista de control de acceso (ACL) para cada
fichero y directorio de la unidad NTFS.
• La ACL contiene una lista de todas las cuentas de usuarios y
grupos a los que se le ha asignado permisos para ese directorio o
fichero así como el tipo de acceso
• Cuando un usuario intenta acceder a un recurso, es
necesario que éste contenga una entrada en la lista
(access control entry ACE) para el usuario o algún grupo
al que el usuario pertenece.
• Si no existe ningún ACE para el usuario, se deniega el
permiso.
Permisos NTFS
• Reglas para la asignación de permisos NTFS
• Los usuarios pueden acceder a un objeto sólo con permiso,
ya sea como usuario o como miembro de algún grupo
• Los permisos son acumulativos.
• La excepción es el permiso “Denegar” que prevalece sobre
los demás
Permisos NTFS
• Herencia de permisos NTFS
• Por defecto, los permisos que se asignan a un directorio son heredados
y propagados a los subdirectorios y ficheros que contiene.
• Se puede prevenir que los permisos se hereden
• Cuando se inhabilita la herencia de permisos en una carpeta, ésta se
convierte en la carpeta padre, de modo que los hijos heredan sus
permisos
Opciones cuando se elimina la herencia:
Copiar: Copia los permisos del
directorio padre y evita cualquier
propagación posterior

Borrar: Sólo mantienen los permisos

asignados explícitamente al objeto
Permisos especiales
• Normalmente los permisos estándar son suficientes para la mayoría de las
situaciones.
• En caso contrario, se pueden asignar/denegar permisos individuales/especiales:
Combinación de permisos:
NTFS + compartidos
• Sólo se aplican cuando se accede al recurso de forma remota
• El permiso efectivo es el más restrictivo de los dos.
Directorios
compartido Volumen
s NTFS
L
data
CT

Todos
CT Fichero1

L Fichero2

Usuario 2
Active Directory
Directivas de Grupo (GPOs)
 Introducción
Es un mecanismo que implementa a partir deWindows 2000 para
aumentar la eficiencia de las organizaciones:
■ En las empresas se observa habitualmente una pérdida de
productividad como consecuencia de errores en la
manipulación del sistema (ficheros de configuración, entorno,
instalación de aplicaciones,…)
○ Una directiva de grupo es una colección de parámetros de
configuración que se pueden establecer a distintos ámbitos: sitios,
dominios o Unidades Organizativas.

Por ejemplo, usando estas políticas se puede fijar los programas a

los que los usuarios pueden tener acceso, la configuración del
escritorio, reglas del firewall, impresoras de red,…
○
Visión general
Definición de directivas de
grupo
Nombre y definiciones:

MCSE Core Elective Exams in a Nutshell: Covers

Exams 70-270, 70-297, and 70-298:

“Group Policy, as the name suggest, is a group of policies that includes several
settings that can be enforced in a single computer or multiple computers at a
once.”

MCTS 70-640 Cert Guide: Windows Server 2008

Active Directory, Configuring

“As its name implies, a group policy is a group of policies that are applied
together.”
Definición de directivas de
grupo
Algunos críticos (con el nombre):
Drew Heywood's Windows 2000 Network Services

“Group policy has nothing to do with groups. Group policy is a group of

policies (Clever, huh?) that can be applied to sites, domains, and OUs.”

Inside Active Directory Second Edition

“The term "Group Policy" is a bit misleading. Although it implies a direct

relationship with user or computer groups, there is actually no such
relationship. Rather, the term "Group Policy" refers to a group of policy
settings. And to complicate matters more, you can control the effect of these
Group Policy settings by filtering them with permissions defined for security
groups. Thus, Group Policy is loosely related to security groups. However,
the term "Policy Group" or "Group of Policies" might have been a better
choice by Microsoft.”
Directivas de grupo
¿A qué le puedo aplicar directivas?
• Las políticas de grupo permiten establecer configuraciones
que afectan a usuarios u ordenadores.

Los tipos de configuraciones disponibles son:

• Plantillas administrativas: Incluye parámetros de configuración de
escritorio, aplicaciones,...
• Seguridad: Políticas de cuentas, auditoría,...
• Instalación de software: Gestión centralizada de instalación de
software, actualizaciones, ...
• Scripts: Arranque y parada del ordenador, inicio y cierre de sesión.
• Servicios de instalación remota: Opciones disponibles durante la
instalación remota del sistema operativo (nombre del ordenador, tipo de
cliente,...)
• Redirección de carpetas: Permite la redirección de carpetas como “Mis
Documentos” a unidades de red
Directivas de grupo
Los parámetros de configuración pueden tener 3 valores:
• Habilitado
• Deshabilitado
• No configurado

A partir de Windows 2008

• Preference settings (configuraciones preferidas)
• Se establecen pero no de forma forzada como las configuraciones
tradicionales.
• Los usuarios pueden cambiar estas configuraciones (menú de
inicio…)
 Implementación de GPOs
Los GPO se gestionan a través de:
• Contenedores de directivas de grupo
(GPC)
• Plantillas de directivas de grupo (GPT)
Aplicación de GPOs
GPO’s y Directorio Activo
• Los GPO’s están asociados a sitios, dominios y OU’s
• Con esta estructura, es posible establecer políticas
centralizadas que afecten a la organización y otras políticas
que afecten a un departamento en concreto.
Aplicación de GPOs
En una organización pueden existir un conjunto
arbitrario de GPO’s en función de las necesidades
• Se puede asociar una GPO a múltiples contenedores (sitios,
dominios, OU)
Ej.: Se puede crear una GPO con los scripts de arranque y
asociarlo a todos los departamentos de la organización
• Se pueden asociar varias GPO’s a un único contenedor
Ej.: Se pueden establecer diferentes GPO’s para diferentes
configuraciones (usuarios, ordenadores,...) y aplicarlas
selectivamente a los contenedores apropiados.
Aplicación de GPOs
Windows procesa la configuración establecida en los GPO’s en un orden
determinado y con una frecuencia establecida:

• A partir de ahí, periódicamente se comprueba si existen directivas

nuevas o modificadas (aprox. 90 mins)
• Si detecta conexiones lentas con el controlador de dominio, no se
procesan las directivas
• Si la misma directiva se aplica “user” y “computer”, gana esta última
Orden de procesamiento de
GPOs
Indica el orden en el que se aplican los distintos
GPO’s asociados a un contenedor.
• Este orden afecta a la configuración que finalmente
se aplica a los usuarios y ordenadores
Los GPO’s se aplican en el orden:
•sitio (sólo ordenadores)
•dominio
•Unidades Organizativas
 Procesamiento de GPOs
Por defecto, los GPO’s se heredan. El contenedor hijo
hereda las GPOs del padre.
• Puede ocurrir que un contenedor esté anidado a otros con
GPO’s con configuraciones distintas.
• En este caso, primero se aplica la configuración del GPO
asociado al contenedor padre y luego el del hijo
• Cuando los contenedores padre
e hijo tienen configuraciones
compatibles, se aplican ambas
• Para las configuraciones que no
sean compatibles, se aplica la
del contendor hijo
Gestión de la herencia de
GPOs
Cuatro posibilidades
• Bloquear la herencia
• Forzar la herencia
• Filtrar la herencia a ciertos elementos del contenedor
• Cambio del orden de procesamiento de las directivas
Bloqueo de la herencia
• Al habilitar esta opción, el contenedor hijo
no hereda las configuraciones de los
contenedores padre
Ej.: Para permitir a un administrador de
una OU tener control total sobre toda la
configuración de la OU
Gestión de la herencia de
GPOs
Forzar la herencia
Al habilitar la opción “no reemplazar” en un GPO se consigue que
las configuraciones establecidas en ese GPO, se aplican en todos
los contenedores hijos, incluso cuando éstos han habilitado la
opción de bloquear la herencia
Ej.: Establecer esta opción para aquellas configuraciones críticas
en la organización (seguridad,...)
Cuando existe más de un
contenedor con un GPO que haya
habilitado esta opción y las
configuraciones entran en
conflicto, se aplica aquél que se
encuentra en más alto en la
organización jerárquica
Gestión de la herencia de
GPOs
Filtrar la configuración de una directiva de grupo
○ Por defecto, la configuración contenida en los GPO’s que
afectan a un determinado contenedor, se aplica a todos los
usuarios y ordenadores de ese contenedor.
○ En ocasiones, es deseable filtrar la directiva a algunos
elementos del contenedor.
• Para realizar este filtrado, se realiza usando
los grupos de seguridad y las ACL’s para
las GPO’s
• Para que se aplique la directiva a un usuario
o a un ordenador, la cuenta necesita tener
una ACE para la GPO que tenga habilitado
el permiso “Aplicar Directivas de Grupo”
Gestión de la herencia de
GPOs
Cambio del orden de procesamiento de las directivas
• En el caso de que existan varias asociaciones de GPO’s a
un contenedor (sitio, dominio, OU), la configuración que
finalmente tenga efecto sobre ese contenedor va a depender
del orden de procesamiento de los GPO’s.
• Si las configuraciones son compatibles, se establecen la
combinación de ellas
• Si las configuraciones son incompatibles, prevalecen
aquellas que se encuentran situadas más alto en el listado
de GPO’s. (contenedor → propiedades → directiva de
grupo)
• Es posible modificar el orden en esa lista
Ejemplos:
Forzar la herencia
Ejemplos:
Herencia de directivas
Ejemplos:
Bloqueo de herencia
Ejemplos:
Filtrar la directiva
Administración de directivas
● Modificación de las directivas de grupo ya existentes
Para realizar estas tareas, es necesario disponer de los permisos
lectura y escritura sobre el GPO

● Creación de nuevas GPO’s

En W2k, por defecto, sólo las cuentas Sistema, Administradores del
Dominio, Administración de Empresas y Propietarios Creadores de
Directivas de Grupo pueden crear GPO.
Añadiendo los usuarios en el grupo Propietarios Creadores de
Directivas de Grupo permite la creación de nuevas directivas

● Vinculación/Desvinculación de GPO’s a contenedores

En este caso, se puede utilizar el asistente “Delegar control” para
permitir a los usuarios “Administrar vínculos de directiva de grupo”
Ejemplo
domain: hsh.org
Pantalla: Verde
GPOf:
Quitar ejecutar: Habilitado

ou: Desarrollo

Ocultar C: Deshabilitado
GPOs: Quitar ejecutar: Deshabilitado
(herencia forzada)

juani

ou: Juegos (bloqueo de herencia)

GPOa: Ocultar C: Habilitado

Ocultar Panel control: Habilit.

manolo

GG_aspirantes

Pantalla: Azul
GPOl:
Quitar ejecutar: Habilitado
site: LaPalma
 DFS
Distributed File System
Conceptos Básicos
DFS
● Mejora el uso de carpetas compartidas, permitiendo su
organización y el reparto por múltiples servidores.
● Conjunto de tecnologías:
○ Espacio de nombres DFS (namespace):
■ Organización de ficheros compartidos (SMB)
■ Pueden residir en distintos servidores
■ Facilita el acceso a datos para los usuarios
○ Replicación DFS :
■ Proporciona redundancia. Aumenta la disponibilidad de los datos.
■ Minimiza el tráfico a través de conexiones WAN
 DFS
● Visión actual
\\server1\recurso1

c:

\\server2\recurso2
p:

q:

\\server3\recurso3

r:
 DFS
● Visión dfs \\dominio\dfsroot
\\server1\recurso1

c:

r
\\server2\recurso2
fold1

fold2

\\server3\recurso3

fold3
Ejemplo

https://msdn.microsoft.com/en-us/library/cc730736.aspx
Roles en Server 2012
Tipos de espacios de nombres
● Existen dos tipos de espacios de nombres DFS:
○ Basado en un dominio
■ La configuración se almacena en Active Directory
■ No dependemos de un único servidor para el espacio de nombres
■ Pueden cambiar los servidores DFS sin cambiar el espacio de
nombres
■ Admite redundancia en los enlaces
○ Autónomo
■ La configuración se guarda en el servidor DFS
■ El nombre del servidor aparece en el espacio de nombres
Referencias (Referrals)
● Un “referral” es una lista ordenada de servidores
○ Cada cliente lo recibe de un “controlador de dominio” o un “servidor
de espacio de nombres” cuando accede a la raíz del DFS o a una de sus
carpetas.
■ Se intenta escoger un servidor en el mismo “site” que el cliente
■ También se pueden ordenar aleatoriamente el resto de servidores
(balanceo de carga)
○ El cliente accede al primer servidor de la lista
○ Si no responde, al segundo, etc.
Replicación DFS
● La replicación DFS permite replicar carpetas entre
múltiples servidores.
● Usa la red de forma eficiente:
○ Sólo se propagan los cambios (los bloques modificados y no el fichero
entero) y utiliza compresión (Remote Differential Compression -
RDC).
■ La replicación DFS replica también SYSVOL (Reemplaza a FRS -
File Replication Service - a partir de WS 2012)
○ Se puede definir una planificación de réplicas (optimización de la red)
● Limitaciones
○ Un grupo de replicación (conjunto de servidores de réplica) puede
tener hasta:
■ 256 miembros
■ 256 carpetas replicadas
○ Cada servidor puede ser miembro de hasta 256 grupos de replicación
○ Un servidor puede soportar 1TB de ficheros replicados
○ Hasta 8 millones de ficheros replicados por volumen
Active Directory
Diseño de la infraestructura
Estructura lógica y física
 Diseño lógico
No existe un diseño “único” para una organización
○ Diferentes administradores pueden ofrecer diseños diferentes
que son igual de válidos
○ Como norma general, la solución más sencilla es la mejor
■ Diseños con un único dominio
Restricciones a considerar cuando se realiza el diseño
○ La frontera de seguridad en AD es el bosque. Alguien con
privilegios de Administrador de Empresa tiene control sobre
todos los dominios
○ No se puede eliminar el CD raíz del bosque
○ Cada CD puede gestionar un único dominio
○ Diseños complejos de GPOs afectan a la eficiencia del sistema
Diseño lógico. Ejemplos

Diseño de una
organización con un
único dominio pero
con una gran
complejidad de
Unidades
Organizativas
 Diseño lógico. Ejemplos

Diseño de una
organización
con múltiples
dominios y
múltiples sedes
(sites)
 Diseño lógico. Pasos previos
Información necesaria para realizar el diseño
○ Estructura de la organización donde se describan las diferentes
unidades de negocio / departamentos
○ Estructura geográfica de la organización: sedes, oficinas
descentralizadas,...
○ Diagrama de las redes de comunicaciones en la empresa,
indicando los anchos de banda de las diferentes conexiones.
○ Información de los sistemas que van a interactuar con Active
Directory.
■ Algún servicio de directorio ya existente
■ Aplicaciones que hacen uso de LDAP
 Fases en el diseño lógico.
El diseño de la estructura AD consta de dos grandes fases
○ Diseño del espacio de nombres
■ Definir número de dominios
■ Estructura del bosque: número de árboles
■ Criterio de nombres para los elementos de la red:
● Servidores, equipos de usuarios, elementos de red,...
○ Diseño de la estructura interna de cada dominio
■ Organizar la información “interna” del dominio
■ Aplicar configuraciones homogéneas (GPO’s)
■ Delegación de control
 Diseño del espacio de
nombres
Paso 1: Decidir número de bosques.

La mejor opción es diseñar un único bosque salvo que:

○ Unidades en una organización que son completamente
independientes (recordar Administradores de Empresa)
○ Razones políticas o legales. Por ejemplo, separar el
departamento de finanzas o dos “marcas” que se pueden
vender en el futuro
○ Necesidades de schemas diferentes
■ Necesidad de diferentes clases
■ Necesidad de atributos diferentes
○ El diseño de cada bosque es independiente
 Diseño del espacio de
nombres
Paso 2: Decidir número de dominios.

Recordamos que cada dominio supone una base de datos LDAP

diferente. Cada CD sólo contiene la copia de la base de datos de “su
dominio”.
La mejor opción es diseñar un único dominio salvo que:
○ Queramos dividir las responsabilidades de administración
■ Cada administrador tiene control total sobre su dominio
○ Algunas políticas relacionadas con Kerberos o con el cifrado
de información pueden ser establecidas únicamente a nivel de
dominio
■ Duración de los tickets de usuarios
■ Desvío permitido de la hora del sistema
 Diseño del espacio de
nombres
○ Optimización tráfico de replicación
Ejemplo. Organización con dos sedes unidas por un enlace de baja
velocidad
CD1 CD2

replicación

WAN
Tenerife Gran Canaria
puchero.com

Evaluar el impacto de la replicación en el uso de la línea WAN

 Diseño del espacio de
nombres
○ Optimización tráfico de replicación
Ejemplo. Organización con dos sedes unidas por un enlace de baja
velocidad
CD1 CD2

WAN
Tenerife Gran Canaria

puchero.com sancocho.co
m
 Diseño de la estructura del
bosque
Elección del dominio raíz del bosque.
● Implementar un dominio raíz vacío
○ Aislamos a los administradores de empresa.co
m
empresa
○ Necesitamos CDs para gestionarlo
○ Útil en organizaciones de tamaño europa.empresa.co asia.empresa.com
m
grande
● Emplear un dominio raíz que va a
perdurar lo mismo que la empresa.co
m
organización
○ Modelo aplicado en
organizaciones simples gc.empresa.com
 Diseño de la estructura del
bosque
Elección de los nombres de los dominios
Dominio raíz
● Hacer coincidir el nombre del dominio raíz con el nombre DNS
de la organización. Ejemplo: empresa.com
● Usar una zona hija como nombre para la infraestructura AD.
○ Ejemplo: ad.empresa.com
● Espacio de nombres paralelo. Ejemplo: empresa.local
Otros dominios
● Selección de diferentes árboles cuando se tengan diferentes
“marcas”
 Diseño de la estructura interna
del dominio: Unidades
Organizativas
Este diseño tiene que hacerse de forma independiente en cada uno de
los dominios implementados
Unidades Organizativas
● Contenedores que permiten almacenar objetos: usuarios,
grupos, ordenadores, carpetas compartidas, impresoras
● Son flexibles: pueden crearse, eliminarse, moverse dentro del
dominio,...
● Se pueden anidar, aunque no es recomendable muchos niveles
de anidamiento
 Diseño de Unidades
Organizativas
Requerimientos para la creación de OUs
● Representar el modelo de negocios
Produ comer

de nuestra organización. Facilita la cción ciales

gestión (usuarios del departamento sumini

stros
diseño
tienda
s

de…)
● Delegación de control
○ Permite delegar ciertas tareas de
administración sobre un conjunto
Conta comer
de objetos a un usuario/grupo. bilidad ciales

○ Ej.: Pepe puede cambiar las Comp Venta tienda

ras s s

contraseñas de Contabilidad
 Diseño de Unidades
Organizativas
Requerimientos para la creación de OUs
● Aplicación de directivas: GPO’s

Producción GPO2:
GPO1: ● Ocultar panel de control
● Redirección de carpetas ● No permitir medios extraíbles
● Fondo de escritorio
corporativo

Gran
Tenerife Canaria
Estructura lógica y física
Diseño físico
Estructura física del Directorio Activo
• En Active Directory, la estructura lógica del
dominio está separada de la estructura física
• La estructura lógica permite organizar los recursos de la
red
• La estructura física permite configurar y gestionar el
tráfico de la red.
• Involucra dos conceptos clave:
• Sitios (Sites)
• Replicación
 Diseño físico. Sites
● Proporcionan la conexión entre la estructura
lógica de la organización y la infraestructura
física de red
● Se define como un área de la red donde los
equipos están conectados por una conexión
rápida, fiable y barata
● Normalmente contiene una o más subredes IP
● Se conectan al resto de la red por redes WAN
(más lentas).
● La principal razón de su existencia es la de
optimizar el tráfico que viaja por las líneas de
baja velocidad.
● Un site puede contener varios dominios
● No hay relación entre dominios y sites. ● Un dominio puede distribuirse en varios
sites
Diseño físico. Sites. ¿Por qué?

● AD mejora la eficiencia de las replicaciones al conocer si las

conexiones entre sus DCs son WAN o LAN.

● Los clientes tratan de iniciar sesión en DCs de su mismo site. Si no

hay, en el más próximo.

● DFS intentará devolver al cliente un servidor de ficheros que esté

en su mismo site.

● Es posible definir “grupos de directivas” en un site.

● Otras aplicaciones compatibles con AD pueden hacer uso de la

información de los sitios definidos.
 Diseño físico.
Controladores de dominio
● Los controladores de dominio desempeñan un rol básico
¿Por qué tener DCs (domain controllers) redundantes?

● Tolerancia a fallos: Si un DC cae, podemos acceder al resto

de DCs, que deberían contener la misma información.

● Balanceo de carga: Si muchas estaciones de trabajo deben

acceder a la información, es más rápido si se puede acceder a
varios DCs simultáneamente.

● Proximidad de la información: Las estaciones de trabajo

intentarán obtener la información de un DC local y no a
través de conexiones WAN.
 Diseño físico.
Replicación
● La replicación sigue un modelo multimaster: La información
se puede actualizar en cualquier CD
● La información tiene que estar actualizada → Replicación
● Problema de consistencia de la información
○ Cambio de la misma información en dos CDs diferentes
 Controladores de dominio
Réplicas
Algunas réplicas se realizan de forma inmediata (Ej.:
deshabilitación de una cuenta de usuario)
Algunas operaciones no pueden ser realizadas en el
modelo multimaster.
Un controlador asume el papel de “maestro de
operaciones”. Ej: añadir un nuevo dominio a un bosque
Maestros de operaciones en AD
● Maestro de Schema
● Maestro de nombres en el Dominio
● Maestro RID
● Emulador PDC
● Maestro de Infraestructuras
Naming contexts
(particiones)
• Particiones del Directorio Activo
• La base de datos de AD se encuentra dividida en una serie
de particiones lógicas que almacenan diferentes tipos de
información
• Estas particiones (naming contexts) contienen información
del dominio o del bosque
• Las replicaciones se realizan por particiones
• Para cada partición tenemos una topología de replicación
diferente, puesto que los CDs implicados no son los
mismos
Naming contexts
(particiones)
Nombre de partición Número DC papa modificar Contiene

Schema Una por Maestro de schema Shema: definición de clases de

bosque objetos y atributos del bosque

Configuración Una por Cualquier DC del Info. sobre sites, particiones,

bosque bosque (en algunos permisos extendidos, etc.
casos: maestro de
nombres de dominio)

Aplicación Cualquiera Cualquier DC que Datos de la aplicación que creó la

contenga la partición partición. No puede contener
“security principals” (usuarios,
grupos, computadores)

Directorio de dominio Una por Cualquier DC de ese Objetos del dominio: usuarios,
dominio dominio computadores, OUs, ...

Catálogo global Una por Réplicas de sólo Algunos atributos de cada uno de
bosque lectura. Se replican los objetos del bosque
desde otras
particiones del
dominio.
Replicación
- ¿Qué replicar?
- Información de los naming Contexts que gestiona
cada controlador
- Sólo se replican las modificaciones

- ¿Cómo replicar? site

Tenerife

- Topología de replicación
- Intrasite site Gran
Canaria

- Intersite
Replicación intra-site
Objetivo: Conseguir que los CD se encuentren
sincronizados en el menor tiempo posible
(convergencia)
• La replicación ocurre casi
inmediatamente después de realizarse
un cambio en DA
• Los datos no se comprimen
• Se usa topología en anillo
• El CD que modifica la base de datos
informa a sus partners
• Cada partner inicia el proceso de
replicación solicitando sólo aquellas
modificaciones que no tenga
actualizadas
Replicación inter-site
Objetivo: Reducir el ancho de banda utilizado para
la replicación por las líneas de baja velocidad
• La replicación se inicia atendiendo
a una planificación
• Para gestionar la replicación, hay
que configurar las vinculaciones a
sitios (horas de replicación, etc)
• Se comprimen los datos a replicar
• El administrador tiene un papel
importante
• El tráfico de replicación se realiza a
través de servidores cabeza de
puente (por partición), en lugar de
replicaciones multimaster
 Implementación de sites
Sitios (sites):
• Redes que forman parte del site
• Controladores de dominio que pertenecen al site
Enlaces a sitios (site links)
• Factores:
• Protocolo transporte (IP/SMTP)
• Coste:
– Es un número que representa la velocidad y fiabilidad de la línea de
comunicaciones que une los sitios
– Si hay múltiples vínculos, la replicación se realizará por el vínculo con menor
coste (entre 1 y 32767)
– Planificación de las replicaciones
– Intervalo de replicación. Sólo aplicable durante el horario de la planificación
P.ej: Planificación de 10PM a 7 AM. Intervalo: 180 minutos
Implementación de sites.
Ejemplo
 Caso práctico de diseño con AD
Empresa con dos nombres registrados:
todogofio.com, mojopicon.com
Requisitos:

Comunicaciones saturadas TF-GC de

08:00 a 17:00
Fases del diseño
Diseño lógico Diseño físico

● Bosques ● Sites
● Dominios ● Controladores de dominio
○ Árboles ● Replicación
● DNS ● Distribución de servidores
● Unidades Organizativas
○ GPOs
○ Delegación de control
● Grupos
● Permisos
Diseño lógico
Objetivo:

Realizar el diseño más sencillo que cumpla con las restricciones. Situación
ideal: 1 bosque con 1 dominio. La pregunta es: ¿Nos vale esta solución?

1. ¿Cuántos bosques? En principio 1, salvo

● Esquemas diferentes (clases diferentes, atributos diferentes, …)
● Queremos separar completamente partes de la organización
(administradores de empresa)
● Marcas diferentes que sospechamos que van a separarse

En nuestro caso: 1 bosque

Diseño lógico
2. ¿Cuántos dominios? En principio 1, salvo
● Administradores diferentes (no confundir con delegación de control)
● Políticas kerberos diferentes
● Optimización tráfico de replicación

CD1 CD2 CD1 CD2

replicación

WAN
WAN
Tenerife Gran
Tenerif Gran
Canaria
e puchero.co Canaria
m puchero.com sancocho.com
Diseño lógico
2. ¿Cuántos dominios? En principio 1, salvo
● Administradores diferentes (no confundir con delegación de control)
● Políticas kerberos diferentes
En nuestro caso:
● 2 dominios
Optimización tráfico de replicación

CD1 CD2 CD1 CD2

replicación

WAN
WAN
Tenerife Gran
Tenerif Gran
Canaria
e puchero.co Canaria
m puchero.com sancocho.com
Diseño lógico
Estructura del bosque y espacio de nombres

3. ¿Cuántos árboles?
● Viene dado por los nombres que le vayamos a asignar a los dominios

Estructura del bosque

empresa.co empresa.co
m ? m

europa.empresa.co asia.empresa.com gc.empresa.com

m
Diseño lógico
Estructura del bosque y espacio de nombres

3. ¿Cuántos árboles?
●
En nuestro caso 2 árboles:
Viene dado por los nombres que le vayamos a asignar a los dominios
todogofio.com mojopicon.com
Estructura del bosque

empresa.co empresa.co
m ? m

europa.empresa.co asia.empresa.com gc.empresa.com

m
Diseño lógico
Diseño por dominio. Unidades organizativas

3. ¿Cuántas unidades organizativas?

● Delegación de control (no confundir con administradores diferentes)
● GPOs
4. Delegación de control
Sobre Unidades Organizativas se delega el control para realizar ciertas
tareas a ciertos usuarios
Ejemplo:
● Cambiar Contraseñas
● Crear usuarios y grupos
Diseño lógico
Diseño por dominio. Unidades organizativas

3. ¿Cuántas unidades organizativas?

● Delegación de control (no confundir con administradores diferentes)
● En nuestro caso: Tanausú
GPOs
Tendremos que aislar todos los objetos de La Palma en una OU
4. Delegación de control
Sobre Unidades Organizativas se delega el control para realizar ciertas
tareas a ciertos usuarios
Ejemplo:
● Cambiar Contraseñas
● Crear usuarios y grupos
Diseño lógico
5. GPOs
Las GPOs se pueden aplicar a sites (ordenadores), dominios y OUs
Si no podemos aplicarlas al site o al dominio → Unidades Organizativas
Tener en cuenta:
● Una GPO se puede aplicar a varios contenedores
● Orden de aplicación de GPOs
● Herencia de GPOs
● Modificación de la herencia:
○ Bloqueo de herencia
○ Forzar herencia
○ Cambio de orden de procesamiento
● Gestión de las GPOs (creación, modificación, delegación vínculos)
Diseño lógico
En nuestro caso:
● Se ha adquirido una aplicación de diseño de etiquetas que queremos que sea
accesible a todos los usuarios de producción
● Queremos que esta información sea accesible (lectura y modificación) a través de
la unidad K: a todos los usuarios de dicho departamento
● En Gran Canaria disponemos de unos puestos (ordenadores) a los cuales los
clientes pueden acceder para ver la información web de la organización.
Queremos que estos ordenadores tengan desactivadas la opción ejecutar y que
se oculten las unidades locales
 Posible diseño Tanausú
SITE TF
todogofio.com mojopicon.com

Contabilidad Contabilidad
TF TF

GC GC

LP LP

Producción Producción
TF TF

GC GC

LP LP
GPO1

Comercial Comercial
GPO2
TF TF

GC GC
GPO3

LP LP
Posible diseño
Para la información compartida:
● Compartir la carpeta en el servidor. Asignar permisos compartidos (ej. Todos
control total)
● Crear grupos globales en cada dominio (incluir usuarios)
● Crear grupos locales en dominio donde se encuentra el recurso.
○ Un grupo local por tipo de permiso diferente
● Incluir grupos globales (de los distintos dominios) en los grupos locales
● Asignar permisos NTFS a los grupos locales
● Mapear el recurso compartido para que el usuario tenga acceso.
○ Nombre del recurso \\maquina\recurso\<subdir>
○ Posibilidad de implementar DFS.
Diseño físico
● Sites / Site-links
● Controladores de dominio
● Replicación
● Distribución de servidores
- En principio no guarda relación con el diseño lógico, aunque hay algunas
dependencias.

Sites
● Pueden ser considerados como el conjunto de redes de área local de la
organización (conectadas entre sí por alta velocidad >10Mbps)
● Están conectados entre sí por enlaces de baja velocidad (WAN)
● Optimizan las comunicaciones
Diseño físico
Sites
En nuestro caso tenemos 3 sites: Tenerife, Gran Canaria y La Palma

Site-links
Establece las características de las conexiones entre los sitios. Lo utilliza Active
Directory para optimizar el tráfico de replicación.
El administrador debe indicar sus preferencias.
Por cada site-link, el administrador debe especificar:
● Protocolo para la replicación (IP/SMTP)
● Coste del enlace (número < 32767)
● Horario / frecuencia de replicación
Diseño físico
Site-links
En nuestro caso, como la línea de TF-GC está saturada, podemos hacer:
TF-La Palma
● Protocolo: IP
● Coste: 100
● Planificación: Todo el día/cada 15 minutos
La Palma-Gran Canaria
● Protocolo: IP
● Coste: 200
● Planificación: Todo el día/cada 15 minutos
TF-Gran Canaria
● Protocolo: IP
● Coste: 400
● Planificación: de 17:00 a 08:00 cada 15 minutos
Diseño físico
Servidores
Como norma general, debemos implantar, al menos:
● 1 CD /dominio en cada site
● 1 Catálogo Global en cada site (tiene que ser algún CD de algún dominio del
bosque)
● 1 Servidor DNS/dominio en cada site
● Pueden estar integrados en AD, por lo que puede ser desempeñados por los
CDs elegidos para ello
● Evaluar Delegación de zona
● Un servidor puede gestionar más de un dominio
● Modelo Maestro/secundarios
Diseño físico
CD TG
Posible propuesta: /CG
fileserver.mojopicon.com
CD
MP DNS (M)
TG/MP

CD TG

DNS (S) CD
TG/MP MP
/CG CD
MP
CD TG /CG
TG: todogofio.com
MP: mojopicon.com
CG: Catálogo global
M: Maestro
S: Secundario DNS (S)
TG/MP