El Directorio Activo. La Consola de Administración de Servidores © ADR Infor SL

El Directorio Activo.
La consola de
administración de servidores © ADR
Infor SL
Índice
Nº 4. El Directorio Activo. La consola de administración de servidores 4
1. Introducción 4
1.1. Definición 4
1.2. La funcionalidad 4
1.3. Estructura Lógica del Directorio Activo 5
1.4. Estructura física de Active Directory 7
1.5. Los Maestros de Operaciones 9
Maestro de operaciones 10
Funciones del maestro de operaciones 10
Transferencia de funciones de "Maestros de operaciones" 12
Resumen 12
1.6 Novedades en Windows 2012 12
Funciones y características de servidor 13
Controladores de dominio de solo lectura (RODC) 13
Server Core 13
Servicios de directorio activo reiniciables 13
Servicio de certificados de Directorio activo (AD CS) 13
Servicios de directorio ligero de Directorio activo (AD LDS) 13
Servicios de administración de derechos de Directorio Activo (AD RMS) 14
Directivas de grupo avanzadas 14
Mejoras de seguridad 14
2. Servicios de directorio 14
2.1. El Esquema 15
2.2 El Catálogo Global 16
2.3 Nombres distinguidos y nombres distinguidos relativos 17
2.4 Active Directory Snap-ins y Herramientas 19
3. Instalación del Directorio Activo 21
3.1 Instalación 21
Nivel funcional Windows Server 2003: 28
Nivel funcional Windows Server 2008 28
Nivel funciona Windows Server 2012 29
3.2 Probar el instalación. 32
3.3 Añadir un equipo al Directorio Activo 35
4. Las zonas DNS integradas con el Directorio Activo 41
4.1 Zonas integradas en el Directorio Activo 42
4.2 Registros SRV 43
5. Replicación en Active Directory 44
5.1 Replicación dentro de Sites 45
5.2 Generación automática de la topología de replicación 46
6. Copia de seguridad del Directorio Activo 46
6.1 Proceso de copia de seguridad 48
6.2 Restauración 53
6.3 Programar una tarea 57
7. Detalles sobre la instalación del directorio activo. 57
7.1 DHCP en el dominio 58
7.2 Actualización desde Windows 2003/2008 59
7.3 Revisión de los roles de servidor 60
Configurar el catálogo global 61
2/96
Configurar los maestros de operaciones 62
Maestro de esquema. 62
Maestro de nombre de dominio 67
Emulador PDC 67
Maestro de infraestructura 67
Maestro RID 67
7.4 Ubicación y transferencia de los maestros. 68
Trasferencia de maestros 68
7.5 Reconfigurar un maestro 71
8. Desplegar un controlador de dominio de sólo lectura RODC 73
9. Administración del servidor 75
9.1 Más opciones de la consola central de administración. 76
Administrar más servidores 76
Grupos de servidores 78
Colectar eventos de forma conjunta 79
Administrar los roles 80
Administración local del servidor. 82
10. PowerShell 82
10.1 Instalación de roles y características desde PowerShell 82
10.2 PowerShell y el directorio activo 84
10.3 Automatizar tareas 85
Trabajos en segundo plano 85
Trabajos programados 86
Sesiones desconectadas 87
10.4 Ayuda de PowerShell 88
11. Tolerancia a fallos con DHCP. 88
Ejercicios 95
Ejercicio 1. Instalación del directorio activo 95
Ejercicio 2. Registro de equipos y comprobaciones de DNS 95
3/96
El Directorio Activo. La consola de administración de servidores
Nº 4. El Directorio Activo. La consola de

administración de servidores
1. Introducción
En este capítulo veremos qué es el Directorio Activo, cómo se instala y su configuración. Normalmente
Microsoft no traduce los nombres de sus programas o tecnología (Excel, Word, ...) así que veremos en
muchas pantallas que aparece como Active Directory o Servicios de dominio de Active Directory (AD
DS), nosotros lo llamaremos Directorio Activo porque es un nombre que está ampliamente utilizado.
1.1. Definición
En una red de Microsoft Windows Server 2012 (y 2008-2003-2000), el servicio de Directorio Activo
proporciona la estructura y las funciones para organizar, administrar y controlar el acceso a los recursos
de red.
El Directorio Activo proporciona también la capacidad de centralizar las administración de la red de

Windows Server 2008. Esta capacidad significa que almacena en un único sitio la información sobre los
recursos de nuestra empresa: información de usuarios, grupos, impresoras... Esto permite que desde una
sola ubicación y con la consola administrativa tendremos la capacidad de controlar el Directorio
completamente, aunque nuestra estructura contenga varias empresas y sitios .
El Directorio Activo admite la delegación del control administrativo sobre los objetos de él mismo. Esta
delegación permite que los administradores asignen a un grupo determinado de administradores
permisos administrativos específicos para objetos, como cuentas de usuario o de grupo.
El Directorio Activo es el servicio de directorio de una red de Windows Server 2012, un servicio de
directorio almacena información sobre los recursos de la red y permite que los mismos resulten
accesibles a los usuarios y a las aplicaciones. Los servicios de directorio proporcionan una manera
coherente de nombrar, describir, localizar, tener acceso, administrar y asegurar la información relativa a
los recursos de red.
1.2. La funcionalidad
El Directorio Activo proporciona funcionalidad de servicio de directorio, como medio para organizar,
administrar y controlar centralmente el acceso a los recursos de red. Asimismo hace que la topología
física de red y los protocolos pasen desapercibidos, de manera que un usuario de una red pueda tener
acceso a cualquier recurso sin saber dónde está el mismo o cómo está conectado físicamente a la red.
El Directorio Activo está organizado en secciones que permiten el almacenamiento de una gran cantidad
de objetos. Como resultado, es posible ampliar el Directorio Activo a medida que crece una
organización, permitiendo que una organización que tenga un único servidor con unos cuantos
centenares de objetos, crezca hasta tener miles de servidores y millones de objetos.
4/96
Un servidor que ejecuta Windows Server 2012 almacena la configuración del sistema, la información de
las aplicaciones y la información acerca de la ubicación de los perfiles de usuario. En combinación con
las directivas de grupo, el Directorio Activo permite a los administradores controlar escritorios
distribuidos, servicios de red y aplicaciones desde una ubicación central, al tiempo que utiliza una
interfaz de administración coherente.
Además, el Directorio Activo proporciona un control centralizado del acceso a los recursos de red, al
permitir que los usuarios sólo inicien sesión una sola vez para obtener pleno acceso a los recursos
mediante el Directorio Activo. Como ves parece que no hay más que ventajas con estos servicios y la
verdad es que si porque con esto montamos una red "de verdad" con una gestión sencilla de recursos y
con gran potencia. Además, es la base para gran cantidad de programas: Exchange, SQL Server, ISA
Server, ... todos estos nos pedirán un Directorio Activo para centralizar su administración.
1.3. Estructura Lógica del Directorio Activo

El Directorio Activo proporciona el almacenamiento seguro de la información sobre objetos en su
estructura jerárquica lógica. Los objetos de Active Directory representan usuarios y recursos, como por
ejemplo, los ordenadores y las impresoras. A su vez algunos objetos pueden ser "contenedores" de otros
objetos. Por ejemplo un grupo de usuarios que se llame "grupo_Informática" donde estén todos los
usuarios de ese departamento.
La estructura lógica de Active Directory incluye los siguientes componentes:
Objetos. Son los componentes básicos de la estructura lógica.
5/96
Clases de objetos . Son las plantillas o los modelos para los tipos de objetos que se pueden
crear en Active Directory. Cada clase de objeto es definida por un grupo de atributos, los
cuales definen los valores posibles que se pueden asociar a un objeto. Cada objeto tiene una
combinación única de los valores de atributos.
Unidades organizativas . Podemos utilizar estos objetos contenedores para organizar otros
objetos con propósitos administrativos, por ejemplo dividir nuestra empresa en departamentos.
Organizando éstos es más fácil localizar localizar y administrar objetos. También podemos
delegar la autoridad para administrar estas unidades organizativas de manera que podemos
tener administradores de cada una de ellas.
Dominios. Son las unidades funcionales clave de la estructura lógica de Active Directory, son
colecciones de los objetos administrativos definidos, que comparten en una base de datos
común del directorio, políticas de la seguridad y relaciones de confianza con otros dominios.
Los dominios proporcionan estas tres funciones:
Un límite administrativo para los objetos

Medios de administrar la seguridad para los recursos compartidos
Una unidad de réplica para los objetos
Árbol de dominios. Son dominios agrupados en estructuras jerárquicas. Cuando se agrega un

segundo dominio a un árbol, se convierte en hijo del dominio raíz. El dominio al cual un
"dominio hijo" se une se llama "Dominio Padre". El dominio hijo a si vez puede tener sus
propios hijos, combinándose con el nombre de su padre para formar su propio y único nombre,
Domain Name System (DNS). Por ejemplo "ventas.miempresa.com" "ventas" sería un dominio
hijo del principal "miempresa.com"
Bosque. Un bosque es una instancia completa del Directorio Activo y consta en uno o más
árboles. En un solo árbol de dos niveles, lo recomendado para la mayoría de las
organizaciones, todos los dominios hijos se hacen "hijos" del dominio raíz del bosque para
formar un árbol contiguo. El primer dominio en el bosque se llama Dominio raíz del bosque y
el nombre de ese dominio se refiere al bosque, por ejemplo miempresa.com. Por defecto, la
información en Active Directory se comparte solamente dentro del bosque. De esta manera, la
seguridad del bosque estará contenida en una sola instancia de Active Directory. Así que la
mayoría de las veces nuestra organización será de un sólo dominio (miempresa.com) dentro de
un solo bosque.
Anotación
En un árbol los nombres de dominio comparten un espacio de nombres contiguo:
usa.miempresa.com< ->europa.miempresa.com. Mientras que un bosque no comparte un
espacio de nombres contiguo, por ejemplo si adquirimos una empresa con otro nombre de
dominio distinto y la juntamos con el nuestro construyendo un bosque de varios dominios.
Lee con mucha atención estas partes de la jerarquía del Directorio ya que son fundamentales entenderlas.
Asocia cada una de ellas con el gráfico para que te sitúes... Veamos algunas recomendaciones para la
creación de la estructura.
6/96
Cuantos más Bosques, Árboles y Dominios tengamos más complejo será administrarlo llegando a unos
niveles de complejidad elevados así que debemos diseñar bien nuestra estructura de red. Te pongo
algunas recomendaciones:
Tengo una empresa de hasta 50 equipos en una sola oficina comportándose como una unidad
conectada por switches. En este caso diseñaríamos la estructura de un sólo bosque con un sólo
árbol y un sólo dominio, es decir la más sencilla funcionará perfectamente :"miempresa.com"
Tengo más de 100 equipos y algunos de ellos están conectados por VPN, es decir, a través de
Internet con la planta principal. En este caso sigo recomendando la anterior, todo una
estructura lógica de un solo bosque-árbol-dominio: "miempresa.com"
Tengo dos empresas grandes con el mismo tamaño en equipos y separadas por una conexión
"lenta": Internet, Fame Relay, ... En ese caso y, para independizar las dos administraciones ya
que se necesitará más de un administrador, lo idóneo es un solo bosque pero con un árboles de
dos dominios: "norte.miempresa.com" y "sur.miempresa.com"
La idea es evitar en lo posible la creación de bosques porque aumentan la complejidad y administración.

Tienen sentido por ejemplo en una gran empresa multinacional donde cada país representaría una rama
de un bosque. En ese caso si sería necesario el bosque. O por ejemplo nuestra empresa "miempresa.com"
adquiere otra que tiene su propio dominio "otraempresa.com". En este caso, si no queremos fusionarlas
en una para mantener sus nombres, podemos crear un bosque uniendo los dos dominios.
1.4. Estructura física de Active Directory
7/96
En contraste con la estructura lógica y los requisitos administrativos, la estructura física del Directorio
Activo optimiza el tráfico de la red, determinando cómo y cuándo se debe replicar. Para optimizar el uso
del ancho de banda de la red del Directorio Activo debemos conocer su estructura de red. Aquí entran en
funcionamiento los procesos para replicar los objetos entre los distintos servidores, tema muy importante
que veremos mas adelante. Si nuestra red está en un solo sitio físico (site) no necesitaremos de éstas pero
si abrimos una empresa u oficina en un sitio distinto y lo tenemos conectado a través de Internet por
ejemplo, necesitaremos replicar los datos del directorio activo: recursos, usuarios, grupos... Las réplicas
van a mantener la coherencia de los objetos de nuestra red en los distintos "sites"
Ahora veremos las partes en las que se divide internamente el Directorio Activo y las que deberán estar
perfectamente ensambladas para crear la estructura de red. Los elementos de la estructura física del
Directorio Activo son:
Controladores de Dominio . Son servidores ejecutando Windows Server 2008, 2003 o

Windows 2000 y el software del Directorio Activo. Cada controlador de dominio realiza
funciones de almacenamiento y replicación y sólo pueden contener un dominio. Para asegurar
una disponibilidad continua del Directorio Activo, cada dominio debe tener más de un
controlador de dominio. Esto asegura que podamos seguir trabajando en caso de error en el
controlador principal, en este curso instalaremos un servidor de backup para poder seguir
dando servicio en caso de caída del servidor principal.
Sitios del Directorio Activo. Los sitios son grupos de equipos conectados en las distintas
ubicaciones físicas y que pertenecen al dominio principal creado en el anterior punto. Por
ejemplo un dominio donde tenemos dos oficinas conectadas Madrid-Barcelona, conformando
cada una de ellas un sitio o "site". Cuando creamos sitios, los controladores de dominio que
están dentro de un solo sitio se comunican con frecuencia. Esta comunicación reduce al
mínimo el estado de la latencia dentro del sitio, esto es, el tiempo requerido para un cambio que
se realice en un controlador de dominio y sea replicado a otros controladores. Crearemos sitios
para optimizar el uso del ancho de banda entre los controladores de dominio de diversas
locaciones.
En contraste con la agrupación lógica que hemos visto antes de forma jerárquica, se incluye
ahora el concepto de Site para agrupar recursos dentro de un bosque de acuerdo a su ubicación
física o subred. Un sitio puede contener objetos de más de un dominio o árbol dentro del
bosque y árboles individuales pueden contener más de un sitio. La utilización de sitios permite
controlar la replicación de datos de las bases de datos del directorio activo y aplicar distintas
directivas dependiendo solo de su ubicación física.
Normalmente definiremos un único "site" a todos los recursos que estén en nuestra red local o
conectados por líneas de muy alta velocidad (LAN) y definiremos Sites adicionales para las
ubicaciones que estén conectadas por líneas más lentas (WAN)
8/96
Catálogo Global. El catálogo global es una parte de información del dominio creado con el
propósito de habilitar a controladores de dominio de otros dominios del mismo bosque a
localizar recursos de cualquier dominio. Por ejemplo, los usuarios que estén buscando
recursos como ficheros, carpetas o impresoras de otro dominio lo harán en el catálogo global
para así buscar no solo en su dominio sino en la base de datos completa. El catálogo global
también nos va a permitir iniciar una sesión en otro dominio que no sea el nuestro poniendo
simplemente el "nombre principal de usuario" (UPN) que es el nombre construido en forma de
email: usuario@dominio.com
Particiones del Directorio Activo. Cada Controlador de dominio contiene las siguientes
particiones:
Partición del dominio, contiene la réplica de todos los objetos en ese dominio. Esta
partición se replica solamente a otros controladores de dominio del mismo dominio.
Partición de configuración, contiene la topología del bosque. La topología (esquema

de conexión de los sitios) registra todas las conexiones de los Controladores de
Dominio en el mismo bosque. Si tenemos una empresa con dos fábrica Logroño-
Madrid la topología es precisamente esa: dos sitios conectados
Partición del esquema, contiene el esquema del bosque. Cada bosque tiene un
esquema para que la definición de cada clase del objeto sea única. Las particiones de
configuración y esquema se replican en cada controlador de dominio del bosque.
Particiones de aplicaciones, contienen los objetos relacionados a la seguridad y se

utilizan en las aplicaciones. Se replican en controladores de dominio específicos del
bosque.
Tranquilo con toda esta cantidad de definiciones, cuando empecemos a trabajar te será mucho mas
sencillo. Estamos definiendo todas las partes del Directorio Activo y son las mismas ya sea para una
tienda con 10 ordenadores o para una multinacionales con bosques y miles de equipos.
1.5. Los Maestros de Operaciones

Dada la complejidad que puede adquirir un directorio: varios sitios que pueden ser fábricas cercanas o
complejas estructuras en distintos países debe haber por fuerza un mecanismo que haga que toda la
información sea coherente entre los sitios. Es decir si un usuario ha bloqueado su cuenta en Barcelona
yo debo, como administrador, desbloqueársela. Para ello me iré al administrador de usuarios y lo haré. Si
todo está bien configurado internamente las sincronizaciones entre los sitios dejarán la base de datos
coherente, al usuario le llegará ese desbloqueo inmediatamente y en el controlador de dominio de ese
sitio estarán actualizados los cambios.
9/96
Por tanto cuando se realiza un cambio en un dominio, éste se replica a todos los controladores de
dominio existentes. Algunos cambios, por ejemplo los que se hacen en el esquema, se replican a todos
los dominios del bosque. Este tipo de replicación se llama Replicación con Múltiples Maestros.
Las distintas operaciones que realiza un controlador de dominio se llaman "roles". Un rol diremos
simplemente que es una tarea o función, así que aunque puedes ver en otras documentaciones sin
traducir "rol" nosotros lo vamos a traducir como "funciones" que pueden desempeñar. Algunos de ellos
son a nivel del servidor, otros a nivel del dominio y otros a nivel del bosque, que es la estructura
jerárquica que ya conocemos. Por ejemplo:
Maestro de operaciones
Durante la replicación de múltiples maestros puede darse un conflicto de réplica donde se estén
originando actualizaciones concurrentes en el mismo atributo del objeto y en dos controladores de
dominio. Para evitar estos conflictos en las importantes réplica, podemos utilizar la replicación con un
solo maestro, así será el que manda. Esto se asigna a un controlador de dominio como el único que
puede realizar cambios de directorio.
De esta manera, los cambios no se pueden dar en varios sitios de la red al mismo tiempo. Active
Directory utiliza las replicaciones de un solo maestro para los cambios importantes, por ejemplo, la
adición de un nuevo dominio o cambios en el esquema del bosque.
Funciones del maestro de operaciones

Las operaciones que utilizan la replicación de un solo maestro se realizan a nivel de bosque y de
dominio. Estas funciones se llaman "Funciones de Maestro de Operaciones". Para cada función del
maestro de operaciones, solamente el controlador de dominio que tiene la función puede realizar los
cambios asociados al directorio. El controlador de dominio es responsable de una función llamada
"Maestro de operaciones" de esa función. Active Directory, por su parte, almacena la información sobre
los controladores de dominio que cumplen una función especifica.
10/96
Son muchos conceptos y además las traducciones no ayudan mucho, pero verás como más adelante
encajamos estos conceptos sobre todo cuando creemos el directorio activo.
Las funciones de Maestro de Operaciones se realizan a nivel de bosque o dominio, Active Directory
define cinco tipos de funciones que tienen una localización por defecto.
1. Funciones de ámbito en el bosque. Por supuesto son las de más alto nivel porque actúan sobre
toda nuestra estructura...
Maestro de Esquema. Controla todas las actualizaciones del esquema. El esquema

contiene la definición de clases de objetos y atributos que se utilizan para crear todos
los objetos de Active Directory, como usuarios, equipos, impresoras, ...
Maestro de Nombres de Dominio. Controla el proceso de añadir o quitar dominios al
bosque. Cuando se añade un nuevo dominio al bosque, solamente el controlador de
dominio que tenga la función de Maestro de Nombres de Dominio podrá realizar esta
operación. Hay solamente un Maestro de esquema y un Maestro de nombre del
dominio por bosque.
2. Funciones que se realizan a nivel de dominio, si hay varios dominios en un bosque cada uno de
ellos pueden realizar...
Maestro emulador de PDC. Antes con redes basadas en Windows NT 4.0 los
controladores de dominio se llamaban PDC. Esta función de "emulador de PDC"
permite que el controlador de dominio emule esa función y así poder comunicarse con
estos antiguos dominio.
Maestro de RID. Los RID son secuencias de Id. relativas para asignar a los
controladores de dominio. Cuando se crea un nuevo objeto, el controlador de dominio
crea un nuevo identificador que representa al objeto asignándole un Unique Security
Identifier (SID). El RID Master asigna bloques de RIDs a cada controlador de dominio.
En todo momento sólo puede haber un controlador de dominio que actúe como maestro
de RID en cada dominio del bosque.
Siempre que un controlador de dominio crea un usuario, un grupo o un objeto de
equipo, asigna un Id. de seguridad (SID) único al objeto creado. Este SID se compone
de un SID de dominio, que es el mismo para todos los SID creados en el dominio, y de
un RID, que es único para cada uno de los SID creados en el dominio.
Maestro de infraestructura. Cuando los objetos se mueven de un dominio a otro, el
maestro de infraestructuras actualiza las referencias al objeto en ese dominio y la
referencia al objeto en el otro dominio. El maestro de infraestructuras es el responsable
de actualizar las referencias de los objetos de su dominio en los objetos de los otros
dominios. El maestro de infraestructuras compara sus datos con los del catálogo global.
Los catálogos globales reciben actualizaciones periódicas de los objetos de todos los
dominios mediante la replicación, de forma que los datos de los catálogos globales
siempre están actualizados. Si el maestro de infraestructuras encuentra datos sin
actualizar, solicita los datos actualizados a un catálogo global. Después el maestro de
infraestructuras replica los datos actualizados en los otros controladores del dominio.
11/96
Anotación
Si estamos creando una estructura sencilla con un solo bosque y dominio el servidor inicial
que creemos que será el controlador de dominio realizará estos cinco trabajos. No son
mucha carga para el servidor, simplemente son las tareas que realiza nuestro directorio
activo. En redes muy grandes se mueven estas tareas a varios servidores para distribuir la
carga de red que generan estas operaciones.
Transferencia de funciones de "Maestros de operaciones"
Cuando creamos una estructura de bosque y dominio se crean automáticamente estas funciones de
maestros de operaciones. Cuando se hace un cambio importante en la estructura se transfieren estas
funciones de maestros de operaciones. Estos cambios incluyen la "democión" o degradación de un
controlador de dominio y la "promoción" de uno nuevo que asuma una de estas funciones.
Anotación
Cuando un servidor lo convertimos en controlador de dominio se dice que lo
"promovemos" o "promocionamos" a controlador de dominio (promote). Si queremos hacer
la operación contraria para que ese servidor vuelva a ser "normal" y no haga ninguna
función del dominio debemos "demotarlo" que es la traducción del proceso contrario que
hicimos antes (demote). Hasta Windows Server 2012 había que ejecutar este comando de
"DCPROMO". Ahora, en esta nueva versión se hace todo por interfaz gráfica.
Cuando transferimos estas operaciones mediante un sencillo proceso no se produce ninguna pérdida de
datos. Se realizan los suficientes controles de seguridad para que no se produzcan problemas y se
transfieran correctamente.
Resumen
Ahora quiero volver a tranquilizarte y repasar un poco toda esta cantidad de conceptos con un ejemplo.
Cuando instalamos por primera vez un dominio para nuestra empresa "miempresa.com" se crea la figura
del "controlador de dominio" que es el servidor donde lo estamos instalando. Ese equipo va a ser el
centro de "miempresa.com". Y ¿porque necesitaremos instalar más controladores de dominio? Por
ejemplo, por estas dos importantes razones, una es para que sea una copia del primero y así en caso de
avería este toma el control del dominio "miempresa.com" y así no paramos la red. La otra razón es que
estamos ampliando la empresa y creamos otro dominio (francia.miempresas.com). En ese caso los dos
dominios están creados bajo un "bosque" que es un grupo de dominios que se administran como una
unidad.
Además nuestro directorio activo realiza, como hemos visto antes, 5 funciones fundamentales para el
buen funcionamiento del bosque. Estas funciones se llaman "maestros". Cada uno de ellos podemos
instalarla en uno o varios servidores y en distintos sitios o "sites". Obviamente si tenemos un solo
dominio todas esas funciones estarán en ese mismo servidor. Esto no supone ningún problema y, de
hecho, así es en la mayoría de las redes sencillas. Lógicamente, si nuestra instalación va creciendo estas
funciones podremos moverlas a otros servidores para bajar la carga de trabajo del principal y así mejorar
el rendimiento.
1.6 Novedades en Windows 2012
12/96
Si ya conoces Windows 2008 Server te estarás preguntando que dónde están las novedades, pues bien,
como la esencia es la misma y no ha cambiado, lo visto hasta ahora nos sirve perfectamente pero ahora te
voy a enumerar las mejoras o ampliaciones que se han añadido en esta nueva versión.
Funciones y características de servidor
Ya lo hemos visto en el capítulo anterior y en la instalación. Partiendo de un núcleo más compacto

podemos añadir distintas funciones a nuestro servidor, de esta forma queda mejor definida su función en
nuestra red.
Controladores de dominio de solo lectura (RODC)
Un controlador de dominio de solo lectura (RODC) es un controlador de dominio que contiene una base
de datos de sólo lectura del directorio activo. Puede realizar funciones de autenticación de usuarios,
distribuir directivas de grupo, pero no se pueden realizar cambios en las base de datos. Por ejemplo para
tener una réplica del directorio activo en una sede donde no hay nadie que lo administre, así los datos
nunca se podrán modificar en esa red a menos que lo haga alguien desde la "oficina central".
Server Core
Un Server Core es un servidor en su mínima expresión, sin interfaz gráfica, barra de tareas o menú de
inicio. De siempre se ha pedido que un servidor sea eso, un servidor. Sin el sobrecoste en recursos de
interfaces gráficas ni elementos visuales, del mismo modo que funcionan los Linux con sus pantallas de
comandos. Todos los comandos se ejecutan en una nueva línea de comandos muy ampliada (llamada
"poweshell") para realizar todas las tareas de administración.
Estos servidores no gastan recursos en interfaces y son más estables al tener menos "drivers" o
controladores cargados.
Servicios de directorio activo reiniciables
Ahora podremos hacer varias operaciones sin conexión como la desfragmentación de la base de datos,
simplemente deteniendo el directorio activo. Así reducimos el número de veces que hay que iniciar el
servidor en "modo recuperación" y aumenta el tiempo de servicio
Servicio de certificados de Directorio activo (AD CS)
Es uno de los elementos que más ha avanzado respecto a versiones anteriores. Podemos incluir
certificados en dispositivos de red.
Servicios de directorio ligero de Directorio activo (AD LDS)
13/96
Es el equivalente al "ADAM" que era el directorio activo limitado de Server 2003 R2. Nos permitía tener
una nueva base datos de usuarios y recursos sin tener que crear un directorio o dominio. Es decir,
imagina que un programa requiera una gestión de usuarios, podemos hacer una lista de recursos
independiente del directorio activo con AD LDS
Servicios de administración de derechos de Directorio Activo (AD RMS)
Se han añadido muchas características, como una nueva interfaz, delegación o administración e
integración con los servicios de federación de directorio activo
Directivas de grupo avanzadas
Se han añadido nuevas directivas, en particular todas las referentes al control de Windows 7 y 8.
Mejoras de seguridad
Es uno de los temas más amplios en este servidor ya que la mayoría de las novedades están relacionadas
con las mejoras de seguridad. Sobre todo con la inclusión de los controladores de solo lectura RODC, la
protección de acceso de red NAP, un nuevo IIS8 más seguro, directivas de grupo ampliadas y mayor
control de las cuentas de usuario.
2. Servicios de directorio
Un servicio de directorio es un depósito estructurado de información sobre personas y recursos en una
organización. En una red Windows Server 2012, el servicio de directorio es el Directorio Activo
14/96
Los servicios de directorio fundamentalmente...
Permite a usuarios y aplicaciones tener acceso a la información sobre objetos. Esta información
se almacena en forma de propiedades, por ejemplo el nombre de un usuario es una propiedad
del objeto "usuario". Buscaremos objetos basándonos en su clase, atributo, valor del atributo,
localización dentro de la estructura del Directorio Activo , o con cualquier combinación de
estos valores.
Hace transparentes la topología y los protocolos físicos de la red. El "maestro de

infraestructura" se encarga de configurar la disposición de los controladores de dominio.
Después, todo se maneja como un único sitio lógico. De esta manera, un usuario en una red
puede tener acceso a cualquier recurso, por ejemplo a una impresora, sin saber dónde está el
recurso o dónde está conectado físicamente con la red. Dado que se organiza en particiones, el
Directorio Activo puede ampliarse a la vez que crece la organización. Por ejemplo, un
directorio puede ampliarse de un solo servidor con algunos objetos a millares de servidores y
millones de objetos.
2.1. El Esquema
15/96
Hemos hablado otras veces del esquema y todavía no tenemos muy claro que es, seguimos aprendiendo
todos los conceptos, luego iremos encajando todas las piezas al crear nuestro Directorio así que un poco
de paciencia. El esquema del Directorio Activo contiene las definiciones de todos los objetos, como por
ejemplo usuarios, equipos e impresoras almacenados en él. Es decir, cuando creamos un usuario le
ponemos distintos parámetros o atributos: nombre, teléfonos, departamento, .... todos estos son valores
del esquema. En un Controlador de dominio hay solamente un esquema para todo el bosque, de esta
manera, todos los objetos que se crean en el directorio cumplen con las mismas reglas.
El esquema tiene dos tipos de definiciones: Clases de objetos y atributos:
Objetos Atributos o propiedades
Nombre
Departamento
Contraseña
Nombre
Ubicación
Nombre
Ubicación
En la programación orientada a objetos se define la clase como una plantilla para crear objetos. Es decir
para crear un botón en un formulario de Windows utilizaremos la clase "Botón". Esta clase le dice al
programa de que partes se compone el botón y como debe crearlo. Una vez creado ya existe el objeto
"botón" en el formulario y se puede utilizar, las clases son pues, las plantillas para crear los objeto. Esos
botones que creamos tienen además una serie de propiedades: color, tamaño, ... que identifican su
aspecto, a estos valores se les llama atributos o propiedades.
Un ejemplo de clase son los usuarios, los ordenadores y la impresora que describen los objetos posibles
que se pueden crear en el directorio. Cada objeto es una colección de atributos. Cada atributo se define
solamente una vez y se puede utilizar en muchos objetos. Por ejemplo, el atributo de la descripción se
utiliza en muchos objetos: equipos, usuarios, ...pero se define solamente una vez en el esquema para
asegurar consistencia.
Podemos crear además nuevos tipos de objetos en el Directorio Activo ampliando el esquema. El
ejemplo más claro es el programa de correo electrónico de Microsoft: Exchange. En la instalación lo
primero que hace es ampliar el esquema para almacenar los objetos y atributos necesarios para la
mensajería.
2.2 El Catálogo Global

El catálogo global es un contenedor de información de los atributos de todos los objetos del directorio
activo. Este contenedor lo verás en muchos sitios llamado como repositorio. Los miembros del grupo
"Administradores del esquema" pueden cambiar los atributos que se almacenan en el Catálogo Global,
dependiendo de los requisitos de la organización.
El catálogo global contiene:
16/96
Los atributos que se utilizan con más frecuencia en las consultas, por ejemplo, nombre,
apellidos, nombre de usuario, ...
La información que necesaria para determinar la localización de cualquier objeto en el

directorio.
Un subconjunto por defecto de los atributos para cada tipo de objeto.
Los permisos de acceso para cada objeto y atributos, almacenados en el Catálogo Global. Si
buscamos un objeto y no tenemos los permisos apropiados para acceder a él, el objeto no
aparecerá en los resultados de la búsqueda. Los permisos de acceso aseguran que los usuarios
puedan encontrar solamente los objetos a los que se les han asignado el acceso.
El servidor del Catálogo Global es un controlador de dominio que procesa las consultas dentro del
bosque. Cuando creemos el primer controlador de dominio de nuestra estructura, éste se convierte
automáticamente en Catálogo Global. Pero para balancear o compensar la carga de trabajo podemos
configurar catálogos globales adicionales. Todas estas funciones estarán inicialmente en el mismo
servidor cuando creemos la red. Será en la segunda fase, cuando pongamos un servidor adicional de
respaldo (backup) cuando analizaremos si debemos repartir esta carga. En redes pequeñas y medianas no
hará falta nunca este tipo de movimientos ya que el controlador principal puede asumir tranquilamente
gran carga de trabajo ya que no lo vamos a destinar a ninguna otra función. En ocasiones he visto que al
servidor principal además se le instalan otros programas, hace de servidor de ficheros y muchas
funciones mas. Esto es totalmente erróneo y arriesgado, nuestro controlador de dominio, responsable de
la lógica de toda la red no debe hacer absolutamente nada más que ser el centro de nuestra estructura sin
ejecutar otras aplicaciones.
Los servidores de catálogo global replican su contenido en un esquema de replicación. Hasta Windows
2000 estas réplicas eran del tipo "full sync" (es decir siempre completa), pero a partir de Windows
Server 2003 se hacen de modo "partial sync", es decir, solo se replican cambios producidos en lugar de
enviar el catálogo completo.
Estas réplicas parciales solo se realizarán entre los servidores de catálogo global que ejecuten Windows
Server 2003/2008/2012, con la versión 2000 seguirán haciendo la antigua sincronización completa.
2.3 Nombres distinguidos y nombres distinguidos relativos

Sabemos que el directorio activo trabaja con en una estructura jerárquica. Tiene una raíz principal y de
ahí se expanden otros objeto como unidades organizativas, usuarios, equipos:
17/96
Existe un servicio estándar que se encarga de ponerle nomenclatura a estos objetos y así poder
consultarlos y trabajar con ellos de forma normalizada. Este servicio se llama LDAP. Por ejemplo, fíjate
en el gráfico y su nombre al interpretarlo en el árbol:
Nombre LDAP: CN=Fernando Perez,OU=Ventas,OU=Finanzas,DC=Miempresa,DC=Com
LDAP es el servicio que utiliza internamente el Directorio Activo para poder consultar su catálogo. Este
servicio utiliza un nombre que representa objetos en el Directorio Activo que mantiene la estructura y
jerárquica del sistema de dominios. Esta representación se llama "Nombre Distinguido" del objeto e
identifica el dominio donde se localiza el objeto y la trayectoria completa para alcanzar el objeto. Este
nombre distinguido es único en el bosque del directorio activo.
18/96
El "nombre distinguido relativo" de un objeto identifica únicamente el objeto en su contenedor. Dos

objetos en el mismo contenedor no pueden tener el mismo nombre. y el nombre distinguido relativo
siempre es el primer componente del nombre distinguido.
Por ejemplo, si un usuario se llama "Jose Rodriguez" de la Unidad Organizativa "Informática" del
dominio "miempresa.com"... el nombre distinguido de cada elemento de la estructura lógica sería:
CN=Jose Rodriguez,OU=Informática,DC=miempresa,DC=com
CN es el Common Name (Nombre principal o común) del objeto en su container.
OU es la Organizational Unit (Unidad organizativa) que contiene el objeto. Puede haber más
de un valor de OU si el objeto está en una Unidad Organizativa anidada dentro de más niveles.
DC es el Domain Component (el dominio), por ejemplo .com. o .msft.. Hay siempre al menos
dos Domain Components: miempresa.com
Ya ves que de paso estamos aprendiendo la nomenclatura que se utiliza prácticamente a nivel universal
en informática, y esto te será muy útil con cualquier herramienta administrativa. Los "domain
components" de los nombres distinguidos están basados en el sistema de nombres de dominio (DNS).
2.4 Active Directory Snap-ins y Herramientas

Windows Server 2012 proporciona varios complementos para las consolas MMC y herramientas de línea
de comandos para administrar el Directorio Activo.
La tabla siguiente describe los complementos administrativos que más utilizaremos en la administración
del Directorio Activo, ya sabes que las tenemos en la consola MMC o en el menú "Herramientas
Administrativas"
19/96
Complemento Descripción Menú
Usuarios y equipos de Administra y publica la información en el directorio,

Active Directory sin duda será la más utilicemos ya que será donde
administremos cuentas de usuarios, equipos, grupos.
Podremos añadir equipos al dominio, administra
políticas, en fin, el centro de nuestro directorio
Dominios y confianzas de Administra las relaciones de confianza entre dominios

Active DIrectory y bosques. Poco uso porque es para estructuras muy
complejas
Sitios y servicios de Active Administra la réplicas del directorio. Imprescindible si

Directory tenemos varias localizaciones que administrar
Editor ADSI Administra el esquema del directorio activo
Administrador de directivas Las directivas de grupo nos permitirán desplegar

de grupo. aplicaciones y configurar los equipos pertenecientes al
directorio activo.
Módulo de Active Directory Consola avanzada de comandos PowerShell para el

para Windows PowerShell directorio activo
Todas las funciones que se pueden hacer desde las consolas administrativas se pueden utilizar desde
línea de comandos. La tabla siguiente muestra las herramientas disponibles para ejecutar desde la
consola:
Programa Descripción
Dasadd
Añade objetos al Directorio Activo: ordenadores, usuarios, grupos, unidades organizativas y
contactos.
Dsmod
Modifica objetos en el Directorio: ordenadores, servidores, usuarios, grupos, unidades organizativas y
contactos.
Dsquery
Ejecuta consultas en el Directorio Activo según criterios especificados.
Dsmove
Mueve objetos dentro de un dominio a una nueva localización en el Directorio Activo o renombra de
un solo objeto sin moverlo.
Dsrm
Suprime un objeto de Active Directory.
Dsget
Muestra atributos seleccionados de una ordenador , contacto, grupo, unidad organizativa, servidor o
usuario del Directorio
Csvde
Importa y exporta datos de Directorio Activo utilizando el formato CSV que es el de texto separado
por comas.
Ldifde
Crea, modifica y borra objetos del Directorio Activo. Amplia el esquema del directorio y exportar
información de usuarios y grupos a otras aplicaciones o servicios.
20/96
En el capítulo siguiente veremos la forma de realizar acciones en el directorio activo mediante la consola
de comandos.
3. Instalación del Directorio Activo

Por fin vamos a realizar la instalación, verás como vamos a conocer ya muchos de los conceptos que nos
va a solicitar. Y lo que es mejor, una vez instalado deberíamos encajar ya todas las partes que hemos ido
viendo por separado: DNS, DHCP, ...
3.1 Instalación
Veamos los requisitos necesarios para la instalación del Directorio Activo:
Una servidor ejecutando Microsoft Windows Server 2012.

Una partición o un volumen con formato NTFS
Privilegios administrativos necesarios para crear un dominio
TCP/IP instalado y configurado para utilizar DNS.
Un DNS Server autoritativo para el dominio DNS
El proceso de la instalación va a realizar todas las tareas que vamos a ver ahora, muchas de ellas ya las
hemos comentado pero otras de momento no las hemos visto.
Inicia el protocolo de autenticación Kerberos

Aplica la política Local Security Authority (LSA). Esta configuración indica que el servidor es
un Controlador de Dominio
Crea las particiones del Directorio Activo. Una partición del directorio es una porción del
Directorio que contiene una jerarquía de los objetos del directorio. Durante la instalación, se
crean las particiones siguientes en el primer controlador de dominio del bosque, que es nuestro
caso:
Esquema del Directorio
Partición de configuración
Partición del Dominio del Directorio
Zona DNS del bosque
Partición del dominio en el DNS
21/96
Las particiones se actualizarán a través de la réplica en cada uno de los controladores de dominio
que se vayan añadiendo al dominio.
Crea la base de datos del directorio Activo. La ubicación por defecto para la base de datos y los
archivos de registros es systemroot\Ntds.
Crea el dominio raíz del bosque. Si el servidor es el primer Controlador de Dominio de la red,
la instalación crea el Dominio raíz del bosque y le asignará las funciones del maestro de
operaciones incluyendo:
Emulación de Controlador Primario del Dominio (PDC)

Maestro de operaciones de identificadores relativos (RID)
Maestro de nombre de dominio
Maestro de esquema
Maestro de infraestructura
Crea la carpeta compartida del volumen del sistema. Esta estructura de carpetas reside en todos
los controladores de dominio de Windows Server y contiene las estas carpetas:
La carpeta compartida SYSVOL, que contiene información de las políticas de grupo.
La carpeta compartida Net Logon, que contiene los scripts (comandos) de inicio de
sesión
Configura la pertenencia al sitio apropiado para el Controlador de Dominio. Si la IP del

servidor que está promoviendo a controlador de dominio está dentro de una subred definida en
el Directorio Activo, el asistente de instalación colocará este controlador en el sitio asociado
con la subred. Si no se define ningún objeto de subnet o si la IP del servidor no está dentro del
rango de la subred presente en el Directorio Activo, el servidor se colocará en sitio
predeterminado. El primer sitio se instala automáticamente cuando creamos el primer
Controlador de Dominio del bosque. El asistente de instalación del Directorio Activo crea un
objeto servidor del Controlador de Dominio en el sitio apropiado. El objeto servidor contiene la
información necesaria para la réplica y una referencia al objeto del servidor en la unidad
organizativa OU, es la mejor forma para saber que se ha creado bien. (tranquilo, lo veremos
todo)
Configura la seguridad en el servicio de directorio y en las carpetas de replicación de ficheros.
Esto implica controlar el acceso de usuario a objetos del Directorio Activo
Aplica la contraseña en la cuenta del administrador.
De todas formas si al finalizar el curso repasamos todo estos conceptos con toda seguridad serán muy
familiares. Ahora vamos con la instalación física en el servidor...
Para instalar el Directorio activo utilizaremos el panel de administración del servidor para añadir:
22/96
Al marcarlo nos solicitará si queremos también las consolas administrativas:
Diremos que si, que añada las herramientas necesarias y confirmamos para que inicie la instalación.
23/96
Una vez terminado ya podemos ejecutar la instalación de los servicios de dominio del directorio activo.
Volvemos al panel de administración del servidor y seleccionamos el rol que acabamos de abrir:
Vemos que tenemos destacado un aviso que nos indica que todavía falta algo para configurar. En
realidad sólo nos ha instalado los programas necesarios para ejecutar este rol y ahora hay que lanzarlo.
Hacemos clic en este mensaje en la palabra "Más" que aparece como hipervínculo:
24/96
Esta pantalla es una novedad en esta versión de Windows Server. Su función es recolectar todas las
tareas administrativas pendientes de todos los servidores que estemos administrando. En este caso,
puesto que la instalación del directorio activo necesita de un proceso posterior para activarlo, lo anota
como tarea pendiente.
El proceso de pasar un servidor a un controlador de dominio se llama "promover", de ahí que el mensaje
nos indique que ahora debemos:
Hacemos clic en esta acción recomendada para que comience la instalación.
En la versión anterior...
Desaparece el comando "DCPROMO" que desde Windows 2000 era el que lanzaba esta
instalación del directorio activo.
La instalación inicia un asistente:
25/96
N os está preguntando si nuestro servidor va a ser para un Controlador de dominio nuevo o va a ser un
controlador adicional en un dominio o bosque existente. En nuestro caso vamos a crear un dominio
nuevo en un bosque nuevo así que elegiremos la tercera opción. El primer caso lo utilizaremos cuando
creemos un controlador de dominio de backup para tener una copia del dominio y así estar preparados
para posibles fallos del servidor, tema que veremos en la parte avanzada del curso. La segunda opción es
para cuando queramos un nuevo dominio dentro del bosque.
Indicamos la tercera opción para un bosque nuevo y le ponemos un nombre, por ejemplo
"miempresa.com":
Pulsamos en "Siguiente":
Anotación
Para no confundirnos con los ejemplos que hicimos en el tema anterior con el DNS, abra la
consola administrativa de este servicio y borra, si es que lo tienes, el ejemplo de zona
principal del DNS. Así lo tendremos limpio y veremos los cambios que se van a producir
cuando se instale el directorio activo.
¡IMPORTANTE!
Recuerda lo que comentamos de no poner caracteres especiales: acentos, "ñ" o
espacios en blanco, en los nombres de los objetos de Windows
El nombre de nuestro ejemplo será "miempresa.com". No importa que no exista el dominio en Internet,
es para uso interno y nunca será visible en el exterior, así que puede utilizar tranquilamente el nombre de
tu empresa, por ejemplo: "adr.es". Pulsamos en "siguiente" y al cabo de un rato (tienen que hacer varios
procesos así que puede tardar un poco) saldrá esta pantalla:
26/96
Lo que ha hecho es la comprobación de que no exista ya un dominio llamado "miempresa.com". Si todo

es correcto nos pedirá esta información. Primero nos va a pedir el nivel funcional del bosque y del
dominio. Se refiere al resto de los servidores del bosque, si todos los servidores van a ser Windows 2012
Server podremos dejar el nivel funcionar de Windows 2012, tal y como nos ofrece esta pantalla.
Vamos a modificarlo para dejar el nivel funcional de Server 2008 R2, ya que en nuestra instalación
tenemos servidores con este sistema operativo. Más adelante veremos cómo poder aumentar este nivel
funcional.
¿que ganamos o perdemos con un nivel funcional u otro?
El nivel funcional simplemente indica el nivel de compatibilidad con el que debe ejecutarse el servidor.
SI tenemos un Windows Server 2003 en nuestra instalación, debemos poner obligatoriamente el nivel
funcional de 2003. Lo mejor lógicamente es tener el mayor nivel funcional, así dispondremos de más
opciones. Pero lo lógico es que no cambiemos, si los tenemos, todos los servidores que hagan de
controlador de dominio, a la vez. Por lo que es muy importante que, hasta que no tengamos todos los
servidores con 2012, no indiquemos este nivel funcional.
27/96
¡IMPORTANTE!
Subir de nivel funcional es un proceso inmediato y muy sencillo. Sin embargo no
podemos bajar de versión una vez que hayamos si nivel funcional. Por tanto hay que
asegurarse de elegir el nivel funcional correcto.
Nivel funcional Windows Server 2003:
Acepta las versiones Windows Server 2003, 2008, 2008 R2 y 2012. En este nivel tenemos estas
prestaciones:
La herramienta de management netdom.exe, para prepararse para cambiar el nombre de

controlador de dominio.
Actualización del logon time stamp . El atributo lastLogonTimestamp será actualizado con la
última hora de inicio de sesión del usuario o de la máquina. Este atributo se replica en el
dominio.
La capacidad para establecer el atributo userPassword como la contraseña efectiva del usuario
inetOrgPerson y de los objetos de usuario.
La capacidad para redirigir contenedores de usuarios y equipos. Por defecto, existen dos
contenedores para almacenar las cuentas de equipos, usuarios y grupos; cn=Computers,
<domain root> y cn=Users,<domain root>. Esta característica hace posible tener controladores
que sean realmente representativos para conocer la ubicación de estas cuentas.
Tenemos la posibilidad de que el Authorization Manager almacene todas las directivas de
autorización en el directorio activo.
Incluye la delegación limitada, de modo que las aplicaciones pueden garantizar la delegación
de credenciales de usuario por medio del protocolo de autentificación Kerberos. La delegación
puede ser configurada para permitir sólo a determinados servicios de destino.
Soporta autenticación selectiva, a través de la cual es posible especificar los usuarios y grupos
de un bosque de confianza que se les permite autenticar a los servidores de recursos en un
bosque de confianza.
Nivel funcional Windows Server 2008
Este nivel esta soportado solamente para ejecutarse en controladores de dominio de Window Server
2008, R2 y 2012. Con este nivel, tenemos todos las funcionalidades de Windows Server 2008 ; además
de las vistas en el nivel funcional de Windows Server 2003
Están disponibles las siguientes características están disponibles:
Distributed File System (DFS), soporte de replicación de SYSVOL

Advanced Encryption Standard (AES 128 and AES 256) (para el protocolo Kerberos )
Directivas avanzadas de contraseñas
28/96
Last Interactive Logon Information nos muestra la siguiente información:
El tiempo del último inicio de sesión para un usuario

El nombre de la estación de trabajo que ha utilizado un usuario
El número de intentos fallidos desde el último logon aceptado
Nivel funciona Windows Server 2012
Es el nivel máximo que podemos configurar. Aporta novedades como:
Virtualización de controladores de dominio

nuevos principios de seguridad cuando el emulador de PDC ejecuta Windows Server 2012.
El maestro de RID tiene nueva emisión de RID y funcionalidad de supervisión. Las mejoras
incluyen un mejor registro de eventos, límites más apropiados y, en caso de emergencia, la
capacidad para incrementar la asignación general de bloque de RID en un bit.
Sigamos con la instalación. Nos habíamos quedado con estos datos en pantalla:
La primera opción nos solicita que instalemos un servidor DNS. Como ya lo tenemos instalado aparece
marcado. La opción de catálogo global también es imprescindible para el primer controlador de dominio,
así que aparece también marcado.
Si alguna vez tenemos un fallo grave en el servidor perderíamos, en principio, el Directorio Activo y
sería una pequeña catástrofe. Por suerte al iniciar Windows tenemos la posibilidad de iniciar la sesión en
un modo especial para ejecutar comandos para intentar recuperar el servidor. En este caso la contraseña
que nos pide es para poder acceder a la configuración del Directorio y así poder restaurarlo. Esta
contraseña es distinta que la contraseña del usuario "Administrador" del Dominio así que ten cuidado
con ella y mantenla segura. Tiene lógica que sea distinta ya que si por ejemplo la base de datos está
corrupta y precisamente queremos arreglarla no podemos hacerlo con la cuenta de Administrador porque
no se puede acceder a ella. Ponemos una contraseña y continuamos.
La siguiente pantalla sobre configuración adicional del DNS no es necesaria. En la siguiente:
29/96
Nos solicita el nombre "NetBIOS" del dominio que estamos creando. Este nombre es el equivalente a
"miempresa.com" para compatibilidad con dominios antiguos. Es un nombre más corto y no permite la
notación de DNS normal: nombre.com. Lo habitual es dejar el mismo nombre del dominio pero sin la
extensión, como vemos en la pantalla de ejemplo.
Continuamos para ver las rutas donde se almacenará la base de datos del directorio activo:
Ya comentamos antes dónde se guardan los datos del directorio activo. Como vemos aquí, nos sugiere
esas carpetas y las dejaremos como están. En caso de querer hacer copias de seguridad, ya sabemos en
qué rutas se almacenan las bases de datos. Sigamos...
30/96
Parece que ya está todo listo, nos muestra una pantalla de resumen de todo lo seleccionado. Pulsamos en
"Siguiente" para comenzar con la instalación, superando primero unos prerequisitos:
Al comenzar la instalación veremos varios mensajes de los procesos que está realizando:
Una vez finalizado se reiniciará el servidor siendo ya un controlador de dominio del dominio
"miempesa.com". Resumiendo, los datos proporcionados han sido:
Nombre de dominio
Nombre de dominio Netbios (para compatibilidad)
Nivel funcional del bosque
31/96
Nivel funcional del dominio

Contraseña para el modo de recuperación
Servidor DNS
Carpeta para la base de datos. (%windir%\NTDS)
Carpeta para los ficheros de registro. (%windir%\NTDS)
Carpeta para la carpeta compartida "SYSVOL". (%windir%\SYSVOL)
3.2 Probar el instalación.

Una vez reiniciado entraremos con la contraseña de administrador y podemos ver en la nueva interfaz de
iconos las novedades que nos ha instalado en cuanto a consolas administrativas:
Como ves, se trata de las herramientas que comentamos anteriormente para administrar todo lo relativo
al directorio activo.
Primero veamos que aspecto tiene ahora la consola del servicio de nombres o DNS. Abriremos la
consola administrativa del servicio de DNS. Sabemos que tiene que haber muchos cambios desde la
última vez que lo abrimos porque ahora debe haber una zona nueva con el nuevo dominio y unos cuantos
registros nuevos, veamos:
32/96
Abriremos las "Zonas de búsqueda Directa" para comprobar que la instalación nos ha creado una zona
con el mismo nombre que el dominio "miempresa.com". Haz clic en el nombre del dominio (o actualiza
con el botón derecho) para que refresque la parte derecha y verás las entradas creadas: la del inicio de
autoridad (SOA), la que identifica que es un servidor DNS (NS) y la entrada del propio equipo (A).
Un vistazo al DNS del directorio activo
Hacemos clic con el botón derecho en el nombre del dominio y selecciona "Propiedades", si no aparece
esta opción pulsaremos en "Actualizar" para que refresque las opciones. Veremos esta pantalla:
33/96
Resume muchas de las cosas que hemos estudiado. Al instalar el Dominio en el Directorio Activo lo ha
integrado con el DNS para que así sea el Directorio Activo quien administre este DNS. Nos fijamos en la
segunda opción Tipo: "integrado con Active Directory" así que no tendremos que mantenerlo
manualmente ya que va a ser el Directorio quien lo haga.
Para terminar esta comprobación veremos la pantalla de administración de usuarios. Abrimos el panel
principal de administración y seleccionamos:
Aparecerá la consola que más utilizaremos para administrar el directorio activo:
34/96
Expandimos las ramas para llegar hasta la que pone "Domain Controllers" y la seleccionamos. Debe
aparecer nuestro servidor, ya que ahora es un controlador de dominio. Nos quedamos aquí en esta
pequeña comprobación para seguir viendo más cosas del Directorio Activo...
La consola de usuarios y equipos del D.A.
3.3 Añadir un equipo al Directorio Activo

Vamos a añadir un Windows 7 al directorio activo para ver también qué cambios sufre. Además, si
queremos administrar de forma remota este servidor con las consolas administrativas debemos primero
meterlo en el dominio que hemos creado.
Para acceder a la pantalla de introducción en el dominio tenemos que llegar hasta las propiedades del
equipo. Esto lo podemos hacer desde varios sitios. Por ejemplo con el botón derecho en el equipo desde
el botón de inicio:
35/96
También podemos acceder desde el panel de control y luego en "Sistema y seguridad":
En ambas opciones accedemos a esta pantalla:
Esa es la sección que configura un equipo para trabajar de forma aislada en un grupo de trabajo o
integrado en un directorio activo.
36/96
¡IMPORTANTE!
En el DNS de este equipo tenemos que poner obligatoriamente la dirección IP de
nuestro nuevo servidor, será imprescindible para poder meterlo en el dominio y así
funcionar correctamente. Revisa en la configuración de la red que has puesto una
dirección IP del mismo rango que la que tiene el servidor y que le has puesto como
DNS nuestro nuevo servidor.
Por un momento no utilizaremos el servicio de DHCP y le pondremos una IP fija:
Pulsamos en el enlace de la pantalla anterior de las propiedades del equipo donde indica "Cambiar
configuración". Esta es la pantalla donde le indicamos a los clientes el nombre del equipo y el grupo de
trabajo o dominio al que pertenece:
37/96
Como hasta ahora formaba parte de un grupo de trabajo, vamos a meterlo en el dominio:
Y pulsamos "Aceptar", si todo va bien nos pedirá los credenciales para identificarnos:
38/96
Los introducimos y pulsamos en "Aceptar", si todo va bien nos avisará que se ha conseguido introducir
en el dominio:
Anotación
Recuerda que el DNS de todos los equipos debe apuntar al controlador de dominio. De no
ser así, no podrán localizarlo y no podrá pertenecer al directorio activo. La mayoría de los
problemas de las redes con Windows se producen por este motivo. Hay que asegurar que
bien con IP fija, como hemos hecho ahora o con DHCP, como veremos más adelante, los
equipos apuntan al servidor DNS del controlador de dominio.
Una vez reiniciado podremos entrar finalmente en el dominio pero vamos a realizar algunas
comprobaciones primero. Abrimos otra vez las consolas de administración del DNS y de los usuarios y
equipos. Si las teníamos abiertas pulsaremos con el botón derecho para actualizarlos. En primer lugar si
ha ido todo bien, el equipo debería pertenecer al directorio activo así que lo comprobamos:
39/96
Efectivamente lo tenemos dentro de la consola de equipos y usuarios en la carpeta especial "Computers".

Veamos que información nos proporciona si hacemos doble clic en el "EQUIPO1":
Si exploramos los detalles podemos ver:
40/96
Recuerda que Windows Vista es la versión 6.0 de Windows, Windows 7 es la 6.1 y Windows 8 es la 6.2.
Cosas del marketing.
Bien, nos ha detectado el sistema operativo y vemos su nombre completo con el DNS: pcWindows7-
PC.miempresa.com. También sabemos que al registrar el equipo debería estar metido su nombre en el
DNS, así que vamos a comprobarlo:
Vemos que encima del servidor aparece "pcWindows7-PC" con su dirección IP: 192.168.0.50.
Recordemos que si no hubiéramos puesto en la dirección IP de este equipos el DNS del controlador de
dominio, con toda seguridad no nos habría funcionado porque el DNS es la parte fundamental para la
localización de los recursos del Directorio Activo.
Tenemos por tanto el equipo en el directorio activo registrado en las dos consolas:
DNS. Se ha creado automáticamente un registro "A" en e DNS con el nombre del pc y su IP
Directorio Activo. Se ha creado una cuenta de equipo en el directorio activo dentro de la

carpeta "Computers".
4. Las zonas DNS integradas con el Directorio Activo

Una ventaja de integrar el DNS y el Directorio Activo es la capacidad de integrar zonas de DNS en su
base de datos. Una zona es una porción del espacio de nombres del dominio que agrupa registros
lógicamente, permitiendo transferencias de zona de éstos registros para funcionar como una unidad.
41/96
4.1 Zonas integradas en el Directorio Activo

Los servidores DNS almacenan la información necesaria para resolver nombres de equipos en
direcciones IP y direcciones IP a nombres de equipos. Para esto, utiliza, como vimos en el capítulo
anterior, una base de datos en formato de archivo de texto con la extensión .dns para cada zona.
Las zonas integradas en el Directorio Activo son primarias y se almacenan como objetos en la base del
Directorio Activo. Estas zonas tienen varias ventajas:
Replicación de múltiples maestros. Cuando configuramos esta zona integrada, las

actualizaciones dinámicas del DNS se basan en el modelo de múltiples maestros. En este
modelo, cualquier servidor autoritativo DNS, por ejemplo un controlador de dominio que
ejecute un DNS es primario para la zona. Dado que la copia maestra Master de la zona se
mantiene en la base del Directorio Activo (que se replica completamente a todos los
controladores de dominio), la zona se puede actualizar por cualquier DNS funcionando en
cualquier controlador de dominio.
Actualizaciones dinámicas seguras. Debido a que las zonas de DNS son objetos del Directorio
Activo, podemos aplicar permisos a los registros dentro de esas zonas y también podemos
controlar qué equipos pueden actualizar sus registros. De esta manera, las actualizaciones que
utilizan el protocolo dinámico de actualización vendrán solamente de los equipos autorizados.
Veamos otra vez si nuestra zona está integrada:
Pulsamos en "Cambiar" el tipo de zona para ver los tipos disponibles:
42/96
Esta pantalla la vimos en el capítulo anterior, donde creamos una zona primaria de pruebas. Lo
importante está en la parte de abajo. Al instalar el Directorio Activo automáticamente habilitó la casilla
inferior que hace que la zona primaria se almacene en el directorio. Este es uno de los pasos que hace la
instalación del directorio activo: la creación de una zona principal y almacenarla en el Directorio Activo.
En la pantalla anterior a ésta vemos que está activada la opción de permitir las actualizaciones dinámica.
Esto hace que si cambiamos la dirección IP de nuestro equipo, éste le envía esta información al DNS. Al
admitir actualizaciones dinámicas, aceptará la información y actualizará la base de datos del DNS.
4.2 Registros SRV

Los registros SRV, según vimos en el capítulo anterior, son registros que resuelven nombres de
servidores que proveen servicios. Servicios por ejemplo, como servidores web o servidores de inicio de
sesión. Fíjate en la pantalla:
43/96
Tenemos varios registros de tipo SRV para los servicios de red de autenticación y consulta de esquema
(kerberos y ldap). Se han creado nuevos porque son servicios de red del directorio activo. Estas entradas
en el controlador de dominio son muy importantes ya que van a permitir a los clientes localizar donde
están esos servicios y, de esta forma, saber dónde tienen que ir a iniciar la sesión.
5. Replicación en Active Directory

La replicación es un punto muy importante de nuestra red. Ya lo hemos comentado en este capítulo, si
los datos de los servidores no se replican correctamente dejarán de ser coherentes. Y esto significa que
por ejemplo cambiemos un atributo o propiedad de un usuario (la dirección de email por ejemplo) y será
distinta si la consulta al servicio LDAP se hace desde un servidor u otro.
44/96
Debemos tener en cuenta que lo mejor para nuestra red es que exista siempre un controlador de dominio
de respaldo o backup. De esta forma si tenemos una avería importante en el principal o simplemente lo
queremos reiniciar para labores de mantenimiento, tendremos uno de respaldo donde los usuarios podrán
autenticarse. Dedicaremos un capítulo a esta instalación de un servidor de backup ya que es
imprescindible que lo tengamos funcionando. Eso si, no hace falta que sea un servidor, podemos utilizar
un buen PC ya que va a estar "ocioso" la mayor parte del tiempo al ser un servicio que consume pocos
recursos. También podemos crear un servidor virtual para esta tarea y que además haga otras menores
como "WSUS", que veremos más adelante. Recuerda que estamos invirtiendo en seguridad y estabilidad.
El coste de poner ese equipo en marcha es muchísimo menor que las horas que dedicarías a reparar un
servidor corrupto o con un fallo de hardware grave.
5.1 Replicación dentro de Sites

Los "sites", como sabemos, son ubicaciones de nuestra red (por ejemplo, dos oficinas conectadas: una
en Madrid y otra en Logroño). Los puntos dominantes de la replicación del Directorio Activo dentro de
estos sitios se da cuando:
Se añade un objeto al Directorio Activo
Se modifica un valor de un atributo o propiedad de un objeto
Se cambia el nombre de un contenedor de objetos.
Eliminamos un objeto del directorio.
Como conceptos o procesos en la replicación tenemos:
Notificación de cambio. Cuando se produce un cambio en un Controlador de Dominio éste lo

notifica a los demás controladores del mismo sitio. Este proceso se llama Notificación de
cambio.
Latencia de replicación. Es el tiempo que transcurre desde que se produce el cambio hasta que
alcanza a todos los controladores de dominio del sitio. Por defecto este tiempo es de 15
segundos.
Replicación urgente. En lugar de esperar los 15 segundos por defecto, los atributos sensibles de
seguridad que se actualizan disparan un inmediato mensaje de notificación de cambio.
Convergencia. Cada actualización en el Directorio Activo eventualmente propaga a todos los
controladores de dominio en el sitio. Esta propagación completa se llama convergencia.
Evita replicaciones innecesarias. Cada controlador de dominio asigna a cada cambio de
atributo y objeto un número de secuencia de actualización (Update Sequence Number USN)
para prevenir la réplica innecesaria.
Conflictos. Cuando actualizaciones concurrentes que originan en dos réplicas maestras
separadas son inconsistentes pueden darse conflictos pueden presentarse. El Directorio Activo
resuelve tres tipos de conflictos: atributo, contenedores eliminados y conflictos de Relative
Distinguished Name (RDN).
45/96
Globally unique stamp. Active Directory mantiene una marca que contiene la versión, fecha e
identificador de servidor único global.
5.2 Generación automática de la topología de replicación

Cuando añadimos controladores de dominio entra en funcionamiento la replicación de datos y además se
establece una trayectoria de réplica entre éstos. De esta forma sabe dónde se encuentran y establecerá
distintos parámetros para su sincronización. Hay que tener en cuenta que en nuestra red es posible que
tengamos dos servidores: el principal y uno de backup. Si añadimos una nueva delegación a nuestra
empresa seguramente tengamos un tercer servidor con la función de controlador de dominio. Dado que
las líneas de comunicaciones son distintas (unas más lentas que otras) y los rangos de direcciones IP
también son distintos, Windows utiliza el comprobador de consistencias (Knowledge Consistency
Checker KCC) para establecer la trayectoria correcta para comunicar los controladores de dominio de
todos los sitios.
El KCC es un proceso que funciona en cada controlador de dominio y genera la topología de la réplica
para todas las particiones del directorio que se contengan en ese controlador. El KCC se ejecuta en
intervalos de 15 minutos por defecto y diseña las rutas de replicación entre controladores con las
conexiones más favorables que están disponibles en ese momento.
Este proceso fue mejorado con respecto al proceso de Windows 2000 y Windows 2003, haciendo que
esta nueva característica elimine la limitación existente de un máximo de 500 sites.
6. Copia de seguridad del Directorio Activo

Antes hemos comentado que la mejor técnica para tener seguridad en nuestra red, es instalar un
controlador de dominio adicional en nuestra red. Pero si no podemos instalarlo por la razón que sea,
debemos realizar obligatoriamente copias de seguridad del directorio activo.
Hacer backup del controlador de dominio es fundamental para poder restaurar la base de datos del
directorio activo en caso de avería. Podemos hacer esta copia de respaldo utilizando aplicaciones
comerciales como BackupExec o DataProtector. Pero tenemos suficientes herramientas como para
hacerlo también desde nuestro Windows.
46/96
Debemos copiar con relativa frecuencia el estado del sistema de los controladores de dominio para así
recuperar ese punto cuando queramos. De esta forma, si esto lo hacemos todos los días perderíamos sólo
un parte del día de trabajo. Para automatizarlo para estos periodos estableceremos una regla en el
planificador de tareas.
Anotación
Insisto en que la mejor opción es mantener otro equipo físico o virtual como controlador de
dominio. Así, en caso de avería del principal no tendríamos que restaurar la copia de
seguridad ya que este equipo asumiría todos los roles y podríamos seguir dando servicio.
El estado del sistema de controlador de dominio incluye los siguientes componentes:
El Directorio Activo
La carpeta compartida SYSVOL. Esta carpeta compartida, contiene plantillas de políticas de

grupo y secuencias de comando de inicios de sesión. La carpeta compartida SYSVOL está
presente solamente en controladores de dominio.
Registro. Esta base de datos contiene la información sobre la configuración del equipo.
Ficheros de inicio del sistema. Windows Server requiere estos archivos durante su fase de
inicio físico del equipo. Incluye el arranque y archivos de sistema
La base de datos de registros de clases COM+. Contiene información sobre servicios de

aplicaciones
Base de datos del servicio de certificados. Esta base de datos contiene los certificados del
servidor que Windows Server utiliza para autenticar usuarios. Esta base solamente está
presente si el servidor está funcionando como "servidor de certificados".
Para realizar la operación de backup utilizaremos una herramienta de copias de respaldo provista por
Windows Server . Esta herramienta, al tratarse de algo de uso local no es una función sino una
característica, así que nos vamos a las características y seleccionamos:
47/96
Este programa es suficiente para procesos sencillos de copias de seguridad. Si, además, tenemos
instaladas dispositivos de backup como unidades de cinta, las gestionará para realizar las copias en ellas.
6.1 Proceso de copia de seguridad

Buscamos dentro de las herramientas administrativas el programa "Copias de Seguridad de Windows".
Lo ejecutamos y nos mostrará una pantalla similar a esta:
Este programa, que ha simplificado mucho su manejo (y ampliado funcionalidades) respecto a la versión
anterior, permite crear tareas repetitivas de copias de seguridad. Es decir, programar una tarea para que
todos los días a las 23:00 realice una copia de seguridad completa del servidor. Veamos su pantalla de
inicio:
En nuestro ejemplo vamos a elegir la segunda opción de "Hacer copia de seguridad una vez". La
programación de una tarea sólo es establecer una repetición a lo que vamos a definir ahora.
Seleccionamos la opción de hacer copia una vez:
48/96
Comenzamos con un mensaje de inicio donde nos indica que utilizaremos unas opciones particulares ya
que no se trata de una tarea programada. Pulsaremos en siguiente:
Seleccionaremos la opción de "Personalizada" para ver que opciones nos muestra.
49/96
Aquí añadiremos los elementos que queremos que nos guarde. Si pulsamos en "Agregar elementos":
Veremos que podemos seleccionar algunas de las unidades y dos elementos muy importante:
Estado del sistema: Guarda una copia de seguridad de todo lo relativo al directorio activo.
Reconstrucción del sistema. Guarda una copia de todo el servidor complete: unidades lógicas,
físicas y estado del sistema
En nuestro caso queremos guardar el estado del sistema, lo marcamos y pulsamos en "Aceptar". Las
opciones avanzadas son:
50/96
Por un lado podemos excluir determinados archivos de la copia de seguridad, por ejemplo los MP3 o los
AVI. En la segunda solapa tenemos la "Configuración de VSS". Esta opción está reservada para
programas que trabajen con archivos de registro, como es Microsoft Exchange. Al activar esta opción, le
indica a Exchange que se ha hecho un copia y le pone el "contador a cero" para que genere archivos de
registros nuevos a partir de este punto.
Sigamos con el salvado. Hemos añadido solo el estado del sistema:
Indicaremos en el siguiente paso dónde realizaremos la copia de seguridad. Como estamos con pruebas
lo haremos en las propias unidades físicas:
No podremos hacer la copia en el mismo disco así que debemos tener otra unidad.
51/96
Anotación
Para hacer pruebas podemos crear una nueva unidad virtual o "encoger" la unidad física
para poder crear una nueva. Si sólo disponemos de una unidad, no podremos hacer copia de
seguridad.
Hemos seleccionado una unidad. Pulsamos para continuar:
Confirmamos que esta es la operación que queremos realizar. En unos segundos comenzará el proceso de
copia:
Una pantalla nos mostrará el progreso de la copia:
52/96
Si es correcto ,veremos un mensaje como el de la pantalla de "Copia de seguridad completada". Ya

hemos hecho la copia de seguridad, algo imprescindible como administradores. Pero ojo, esto lo debes
hacer todos los días. Ya sabes las "leyes de murphy": si hacemos copia de seguridad nunca pasará nada,
pero si un día no la hacemos, será precisamente el día más importante en el que tenía que estar todo
funcionando. Ahora en la pantalla principal del programa nos mostrará un registro con las copias
realizadas y su estado:
Vamos ahora al proceso contrario, a recuperar nuestro servidor.
6.2 Restauración
Veamos ahora los pasos para realizar el proceso contrario y así restaurar nuestro controlador de dominio.
Ejecutamos el programa de copias de seguridad y seleccionamos la opción de "Recuperar":
53/96
Pulsamos en siguiente:
Nos indica que "hay copias de seguridad disponibles para las fechas que se muestran en negrita". Esto es
porque en el registro de la aplicación queda almacenado las fechas de los salvados correctos. Si hacemos
copias regulares, como seguro que vas a hacer, podremos recuperar el estado del sistema a la fecha que le
indiquemos aquí.
54/96
Ahora le podemos indicar el tipo de restauración:
Archivos o carpetas. Para restaurar un dato concreto

Hyper-V. Lo veremos en la parte avanzada dedicada a Hyper-V. Permitirá restaurar una
máquina virtual
Volúmenes. Restaura una unidad completa
Aplicaciones. Para aplicaciones especiales que se registran en Windows, como Microsoft
Exchange
Estado del sistema. Restaura todos los componentes relativos al directorio activo.
Como estamos restaurando el estado del sistema, lo marcamos y continuamos:
55/96
Confirmaríamos la opción y podríamos restaurar el estado del directorio activo.
Un detalle más que seguramente habrás caído si has utilizado programas para copia de seguridad, y es el
método para realizarla. Si hacemos clic en el panel de tareas sobre la opción "Configurar opciones de
rendimiento":
Se refiere a como debe hacer la copia, si completa (por defecto), incremental (solo los cambios desde la
última copia de seguridad) o personalizada (indicamos en cada volumen el tipo de copia de seguridad).
56/96
6.3 Programar una tarea

En el panel de tareas teníamos la opción de programar una tarea de copia de seguridad. Muy interesante
si no disponemos de un software de backup y queremos utilizar este para realizar copias regulares:
Las opciones son similares a las anteriores, con el añadido de la programación de la tarea:
De esta forma se realizará todos los días a las 21:00. Opcionalmente, como vemos en la parte inferior,
podemos programas más de una copia diaria.
7. Detalles sobre la instalación del directorio activo.
57/96
7.1 DHCP en el dominio

En el capítulo pasado cuando vimos los servicios de red, aprendimos que un servidor DHCP debe
"autorizarse" en el dominio para que éste funcione correctamente.
Al Autorizar al servidor DHCP proporcionamos la capacidad de controlar la adición de servidores DHCP

al dominio. La autorización debe ocurrir antes que el servidor DHCP pueda dar concesiones a los
clientes. Solicitar la autorización de servidores DHCP previene que otros servidores DHCP no
autorizados ofrezcan direcciones IP inválidas a clientes.
Si estamos configurando un servidor DHCP, la autorización debe hacerse como parte del dominio del
Directorio Activo. Si no autorizamos el servidor DHCP en el Directorio Activo, el servicio DHCP no se
podrá iniciar correctamente y no responderá a las solicitudes. El servidor DHCP controla el
direccionamiento IP enviado a los clientes DHCP en la red, por lo tanto si el servidor DHCP Server se
configura incorrectamente, los clientes recibirán una configuración incorrecta de direccionamiento IP.
Vamos a la consola de DHCP y podremos comprobar como el servidor que en el capítulo anterior
funcionaba, ahora no está operativo, marcando con una flecha roja hacia abajo este estado:
Para autorizarlos, pulsaremos con el botón derecho en el nombre del servidor y le indicamos "Autorizar":
58/96
Una vez autorizado veremos que tenemos en verde los ámbitos creados. Nuestro DHCP está ahora
funcionando y perfectamente integrado con el directorio activo:
7.2 Actualización desde Windows 2003/2008

Muchas empresas tienen sus instalaciones controladores de dominio con las anteriores versiones de
Windows: Windows 2003 o Windows 2008 y se plantean ahora aprovecharse de las mejoras que ofrece
la nueva versión 2.012.
Podemos actualizar un servidor 2003 a esta nueva versión pero, ojo, no podemos actualizar un Windows
2003 a Windows 2012, primero tendremos que actualizarlo a Windows 2008 y de ahí a 2012. Aunque,
dado lo que valen actualmente los servidores será mejor adquirir uno con Windows 2012 y migrar los
componentes o programas que teníamos en el Windows 2003 y que procederemos a darle un merecido
retiro.
Si vamos actualizando los servidores y todos los controladores de dominio los tenemos en la misma
versión, podremos ampliar el nivel de funcionalidad para proporcionar más posibilidades a nuestra red.
Este paso es muy sencillo de realizar y se hace desde la consola de administración de usuarios y
equipos.
Seleccionamos el dominio en el árbol de la izquierda y pulsamos con el botón derecho:
59/96
En nuestro ejemplo, puesto que hicimos la instalación en el nivel funcional de 2008 R2, tendríamos la
posibilidad de elevar al nivel funciona del nuevo Server 2012:
No tiene más opciones porque una vez elevado el nivel funciona no se puede "degradar".
¡IMPORTANTE!
Esto afecta directamente a los demás controladores de domino de nuestra instalación.
Desde el momento que elevamos el nivel funcional, todos los servidores de nuestra red
que tengan el "rol" de directorio activo deben ser de la misma versión.
Si tenemos otros servidores con otras tareas: servidor de ficheros, SQL Server,
Exchange, ... este cambio no les afecta. Sólo se refiere al nivel funcional de los
controladores de dominio, o lo que es lo mismo, lo servidores con el directorio activo.
7.3 Revisión de los roles de servidor
60/96
7.3 Revisión de los roles de servidor
Configurar el catálogo global
El catálogo global mantiene un subconjunto de información perteneciente a todos los objetos del
dominio y del bosque. Además, habilita estas características:
Valida el inicio de sesión a los miembros del "grupo universal"

Habilita la posibilidad de que los usuarios puedan buscar objetos en todo el bosque
Valida la nomenclatura UPN (recuerda: nombre@dominio) en todo el bosque permitiendo el
inicio de sesión en otros dominios.
Es muy importante que tengamos al menos dos catálogos globales en nuestra red para estar protegidos
con tolerancia a fallos. Por defecto el primer controlador de dominio se designa automáticamente como
catálogo global. En la consola de usuarios y equipos nos lo marca de esta forma:
"GC" indica que es un catálogo global.
Si queremos añadir más solo tenemos que abrir la consola de administración de sitios y servicios de
Active Directory, que entre otras cosas, administra la conexión entre los distintos "sites". Una vez abierta
abrimos el primer sitio "Default-First-Site-Name" y en con el botón derecho en las propiedades de NTDS
marcaríamos:
61/96
Para eliminar un catálogo global simplemente desmarcaríamos esta opción.
Configurar los maestros de operaciones
Ahora que tenemos nuestro servidor veremos algunos detalles de cada uno de los maestros de
operaciones que vimos en la parte teórica.
Maestro de esquema.
El maestro de esquema contiene una copia de todo el esquema del directorio activo. El esquema lo
compone la colección de objetos y atributos que soporta nuestro directorio activo: usuarios, rutas DFS,
sites, impresoras, equipos.... En el esquema encontramos esta información:
Objetos. Equipos, carpetas, usuarios, impresoras, unidades organizativas, ....

Contenedores. Es un tipo de objeto que puede contener otros objetos
Atributos. Son los valores de los objetos. Por ejemplo el objeto Usuario tiene varios atributos o
propiedades que almacenan el nombre del usuario, apellidos, teléfono, ...
Clases. Son atributos asociados con cada objeto.
Veamos ahora la herramienta para explorar y modificar el esquema.
62/96
¡IMPORTANTE!
El esquema es como el "registro de Windows" de nuestra red. Modificar un valor o un
objeto de él puede hacer que dejen de funcionar cosas importantes en la red.
Modifícalo sólo si están seguro de lo que vas a realizar y sus efectos.
Vamos a abrir una consola para ver este esquema. Por defecto no está instalada en los controladores de
dominio así que tendremos que registrarla, abre una consola de comandos y ejecuta este comando:
regsvr32 schmmgt.dll
Ahora ejecuta el comando "mmc" para tener la consola administrativa y luego selecciona "agregar o
quitar complemento":
Añadimos "Esquema de Active Directory" y terminamos:
63/96
Ahora podemos explorar el esquema del directorio activo con mucho cuidado de no borrar ni modificar
ningún elemento. Por ejemplo, buscamos el objeto "User":
Podemos ver en la parte la derecha todos los atributos que contiene, entre ellos el nombre del usuario en
"name". Ya ves la importancia del esquema, ya que contiene todos los objetos de nuestro directorio
activo.
Además de esta (necesariamente oculta) herramienta, disponemos de otra que si está accesible, y es:
64/96
Este editor permite ver y editar el contenido del directorio activo. El esquema anterior es la estructura de
datos, es decir los objetos que puede tener y con este editor accedemos al contenido de los datos. La
ejecutamos e indicamos que queremos conectarnos:
Al mostrarlo expandiremos la ramas para ver por ejemplo la carpeta "Users":
65/96
En esta carpeta están todos los grupos y usuarios del directorio activo. Por ejemplo, vemos a la derecha
un usuario llamado "Invitado", que si hacemos clic con el botón derecho del ratón para ver sus
propiedades, podremos ver:
Es decir, todos sus datos completos. El esquema indica cómo son los objetos, y aquí podemos verlos
creados.
66/96
Maestro de nombre de dominio

Este maestro solo entra en juego si un administrador crea un nuevo dominio en el bosque, o renombra o
elimina el dominio actual. Normalmente no ejecuta ningún proceso, de ahí que no de apenas problemas
porque solo se activa en las operaciones que he comentado. Solo es necesario un maestro de nombre de
dominio para todo el bosque y por defecto se encuentra en el primer controlador de dominio del bosque.
Puesto que en nuestros ejemplos hemos creado un nuevo dominio, nuestro servidor está ejecutando todos
estos maestros o "roles" ya que es el primer controlador de dominio.
Emulador PDC
En Windows 2000/2003/2008 Server, el emulador de PDC hacia las funciones de controlador primario
de dominio (PDC) que necesitaba para compatibilidad de Windows NT 4.0. En Windows 2012 ya no es
necesario este servicio porque ya no están soportados los controladores de Windows NT 4.0.
De todas formas equipos con Windows NT y Windows 98 pueden estar todavía integrados en una red de
Windows 2012 Server haciendo este servicio emulación de las comunicaciones entre las dos partes. Solo
se necesita un emulador de PDC en todo el bosque. Se recomienda dejar este emulador en el dominio
raíz del bosque y en un controlador de dominio de Windows 2012 Server.
Si no existiera este emulador, los equipos "pre-Windows 2000" no podrán, por ejemplo, cambiar sus
contraseñas.
Maestro de infraestructura
Este maestro de operaciones realiza dos operaciones críticas en bosques de varios dominios:
Actualiza las referencias de objetos en otros dominios del bosque. Por ejemplo, si dos
administradores de dos ciudades distintas crean un usuario a la vez que se llame "Antonio" se
produciría un error. El maestro de infraestructura se encargará de mantener esta coherencia.
Rastrea los cambios de miembros de grupos a través de los dominios del bosque para mantener
la coherencia e integridad.
Maestro RID
Ya sabemos que todos los objetos de nuestro directorio activo: usuarios, grupos, ... tienen un
identificador único llamado SID. Si nosotros creamos una cuenta de usuario con el nombre "jose Lopez"
le asignará un único valor SID. Pero... si borramos esa cuenta y la volvemos a crear con los mismos
datos exactamente le asignará un nuevo número SID, es por tanto siempre, un valor único.
67/96
El maestro RID mantiene esta lista de identificadores en bloques de 500 que asigna a los servidores,
creando nuevos bloques cuando llega al 80% de su ocupación. Por tanto el RID asigna a los
controladores de dominio bloques de 500 Id's. Cuando los agota el maestro vuelve a conceder otro grupo
de identificadores. Si el maestro de RID queda fuera de línea, los controladores no podrán obtener más
grupos de identificadores y no podrán crear cuentas.
Recuerda que un RODC, es decir un directorio activo de solo lectura, no puede ser ni catálogo global ni
maestro de operaciones ya que se trata de un modelo especial de sólo lectura en el que no se pueden
grabar objetos.
7.4 Ubicación y transferencia de los maestros.

Ya tenemos un bosque con un solo controlador de dominio en el dominio creado. Como es el primer y
único servidor contiene los 5 maestros de operaciones vistos antes. En redes más extensas donde
tengamos ya más elementos en el árbol, la distribución de estos maestros va a afectar al rendimiento de
la red. Veamos una serie de factores interesantes que debemos saber para nuestra estrategia del diseño de
nuestra red en el contexto de la distribución de los maestros y transferencia de ellos.
Cuando creamos un nuevo árbol o un dominio "hijo" en un bosque, el servidor que estamos
promocionando debe ser capaz de comunicarse perfectamente con el maestro de nombres de
dominio, sino, la promoción fallará.
Si necesitamos modificar el esquema, el servidor con el que estamos haciendo esa edición debe
ser capaza de comunicarse con el maestro de esquema. Esto incluye la instalación de
aplicaciones como Exchange Server en los que hace una modificación del esquema.
Los equipos "pre-Windows" 2000 deben ser capaces de contactar con el maestro del emulador
de PDC si los usuarios quieren realizar modificaciones de las cuentas, como el cambio de
contraseñas.
El emulador de PDC asegura que todos los relojes de los equipos del dominio estén
sincronizados. También podemos configurar otro controlador de dominio con "GTIMESERV"
para asegurarnos de que están perfectamente sincronizados.
Cuando creemos usuarios o grupos demos conectarnos con el maestro de infraestructura para
asegurarnos que no se producen conflictos en los cambios. Recuerda que este maestro también
controla los datos de pertenencia de grupos a través de los dominios y esos cambios no se
podrán guardar si el maestro de infraestructura no está disponible.
Cuando creemos un usuario, grupo o cuenta de equipo, el servidor en el que estamos realizando
estas tareas debe tener maestros de RID disponibles. Cuando el servidor agota su grupo de
identificadores RID, debe contactar con el maestro de RID o sino no podrá crear nuevas
cuentas.
Trasferencia de maestros
68/96
Cuando creamos nuevos dominios en un bosque, todos los maestros de operaciones se encuentran por
defecto en el primer controlador de dominio. Seguramente vamos a querer transferir esos maestros a
otros controladores de dominio por varias razones. Por ejemplo, si nos quedamos sin un maestro por
avería debemos habilitar a otro servidor para que recoja esta función. Otras razones pueden ser por
ejemplo:
Queremos balancear o equilibrar la carga para no sobrecargar un servidor y repartir las tareas.
Queremos realizar tareas de mantenimiento en el servidor que aloja alguno de los maestros y
por tanto, no quedará disponible durante un tiempo.
Un maestro situado en la WAN puede estar creando un tráfico excesivo impactando en el

rendimiento de la línea.
Queremos mover maestros a zonas cercanas de otros administradores, para que se hagan
responsables de ellos.
En general debemos mantener el maestro de esquema y el maestro de nombre de dominio en el

mismo servidor y además debe estar cerca de un servidor de backup de estos maestros.
Podemos transferir los tres maestros con ámbito de dominio desde la consola de "Usuarios y equipos del
Directorio Activo". Primero en el árbol de la consola seleccionaremos el controlador de dominio del que
queremos hacer las transferencias:
Es decir, los maestros se encuentran en otro servidor y nos conectaremos a otro para mover a ese el
maestro que queramos. Una vez seleccionado seleccionaremos en el mismo menú la opción de "Maestro
de operaciones":
69/96
Como vemos, podemos modificar los tres maestros principales de nivel de dominio: RID, Infraestructura
y PDC o controlador principal de dominio. En el ejemplo no me deja realizar ningún cambio ya que sólo
tengo un servidor que aloja los 5 maestros, pero si tuviera más de uno podríamos transferir de esta forma
tan sencilla los maestros entre ellos.
Para transferir el maestro de nombre de dominio nos iremos a la consola de "Dominios y confianzas de
Active Directory" ya que es la consola donde añadiríamos los dominios que configurarían nuestro
bosque. Puesto que este maestro es el encargado de la coherencia de los nombres de dominio del bosque
es lógico que se encuentre en esta consola para "controlar" todo el bosque:
Seleccionamos el primer nivel de árbol y seleccionamos "Maestro de operaciones":
70/96
Donde podríamos cambiar este maestro. Como nos hayamos en un bosque de un solo dominio y con un
solo controlador de dominio no podremos hacer cambios.
Nos queda la transferencia del último maestro, el del esquema. Esta operación la haremos desde la
consola administrativa del esquema:
Si has comprendido bien la estructura: bosque-dominio y los 5 maestros de operaciones tienes la base
perfecta para conocer el funcionamiento del directorio activo. Pero... ¿que pasa si se nos "estropea" uno
de estos maestros? Ya sabes que según Murphy nos pasará solo en el caso de que tengas un solo
controlador de dominio y el daño sea importante. Si tienes uno de backup seguramente no te pase nada
pero veamos ahora como podemos trabajar internamente con estos maestros.
Ubicación de los maestros del directorio activo
7.5 Reconfigurar un maestro
71/96
Supongamos que nos ha pasado que, efectivamente, uno de los maestros ha dejado de funcionar. Esto
puede crearnos un gran problema en la red sino tenemos un backup que esté asumiendo esas operaciones.
Además, como el maestro no funciona no me deja conectarme para poder transferir esa operación.
En este caso tendremos que acudir a la consola de comandos para utilizar un importante comando
llamado "ntdsutil". Este comando será nuestra salvación en muchos casos porque es muy versátil y
permitirá restaurar muchas partes dañadas de nuestra estructura.
Abriremos una consola y escribimos el comando NTDSUTIL y luego la palabra "roles":
Ya estamos en el mantenimiento de los roles, ahora escribimos "connection" para conectarnos con el
servidor que queramos. Escribiremos entonces con que servidor nos queremos conectar con "connect to
server server2008":
Ya estamos conectado con el servidor que queremos, ahora decimos "quit" porque ya nos hemos
conectado al servidor y volvemos a la opción anterior. Ya en esta opción es cuando escribiremos el
comando "seize 'maestro'" donde le indicamos el maestro que queremos recuperar. Escribimos "help":
Ahí tienes la sintaxis para restaurar cada uno de los maestros. Por ejemplo, si escribimos "Seize PDC",
obtendremos este mensaje:
72/96
Así que si parece que va a funcionar porque le traspasaría el maestro de PDC al servidor llamado
"servidor" que es con el que nos hemos conectado con el comando "connect to". Repasa bien esta
sección porque es muy importante tenerla presente por si algún día tuvieras necesidad de utilizarla. Aquí
tienes más información de este vital comando NTDSUTIL:
Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de

dominio
NTDSUTIL
8. Desplegar un controlador de dominio de sólo lectura

RODC
Además de instalar un directorio activo "normal" podemos instalar uno de sólo lectura. Éste mantiene
una copia del bosque completo de sólo lectura. ¿utilidad? Si, pero en entornos un poco especiales, por
ejemplo para una oficina o delegación lejana donde no hay una buena seguridad y así sabemos que no
podrán manipular los datos.
Podremos así poner un controlador de dominio con la seguridad de que no podrán modificar los datos.
Antes de desplegar un controlador de dominio con esta particularidad debemos saber algunas de sus
características:
Los RODC pueden instalarse en un Windows 2012 Server Core, con lo que reducimos
enormemente la capacidad de acceder y manipular datos en esa oficina lejana.
La replicación de los RODC se realiza en una sola dirección. Lógico, recibirá las
actualizaciones de los demás controladores de dominio pero como no puede modificarlo un
usuario no necesita replicar sus cambios a los demás, porque no los hay.
Nivel funcional a partir de Windows Server 2013
Si un RODC ejecuta el servicio de DNS, mantendrá también una copia de solo lectura del
DNS. Si los clientes necesitan escribir nuevos registros, lo harán en un servidor estándar y
luego los replicará a este servidor.
La instalación es muy sencilla, instalaremos el rol de los servicios de directorio y ejecutaremos la tarea
de promoción a controlador de dominio. Comenzamos la instalación:
73/96
En este caso, instalaremos un controlador de dominio adicional que será de sólo lectura. Por tanto, en
esta primera pantalla, debe ser la primera opción para "Agregar un controlador de dominio a un dominio
existente". Al continuar podremos seleccionar ahora que este nuevo controlador de dominio se de sólo
lectura:
Anotación
En la primera instalación, esta opción estaba deshabilitada:
Lógico, ya que al tratarse del primero, no puede crearse uno de sólo lectura. Ya que éstos
son una copia de uno existente. En nuestro ejemplo este segundo controlador de dominio
sería una copia del primero que instalamos.
Continuamos con la instalación:
74/96
Solicita las cuentas de quienes tienen permisos para lanzar la replicación desde el principal a éstos de
sólo lectura. La siguiente pantalla:
Le indicamos desde dónde se va a actualizar. Podemos indicarle un servidor en concreto o simplemente

que lo haga desde cualquier controlador de dominio. Podría ser interesante para indicarle un controlador
de dominio que esté conectado con una buena línea de comunicaciones.
En la siguiente pantalla indicamos la ruta de almacenamiento de la base de datos, registro y carpeta

compartida:
Con esto, ya tendríamos toda la información necesaria para instalar el controlador de dominio de sólo
lectura.
9. Administración del servidor
75/96
9. Administración del servidor

¡IMPORTANTE!
Sería buen momento para instalar un segundo servidor para ver las prácticas de forma
conjunta. La instalación sería de la misma forma que se vio en el capítulo de
instalación. La IP debe ser fija, por ejemplo, la 192.168.0.253 y sin ningún servicio
adicional. El nombre es libre, en el curso hemos puesto por ejemplo "serverbk".
Instalaremos sólo las funciones de un servidor para nuestra red. Más adelante ya le
daremos funciones.
9.1 Más opciones de la consola central de administración.
En el capítulo de la instalación del servidor vimos la existencia de la consola de administración que

hemos utilizado hasta ahora de forma básica.
Vamos a ver ahora capacidades muy interesantes que nos van a facilitar la administración conjunta de
varios equipos.
Administrar más servidores
Esta consola pretende centralizar todos los servidores de nuestra red. Por tanto, podemos añadir más
servidores a la consola para así administrar todos de forma centralizada. Por ejemplo, en el menú
"Administrar" seleccionamos "Agregar servidores":
Nos mostrará esta pantalla:
76/96
Como podemos ver, podemos añadir otros servidores a la consola. Si hacemos clic en "Sistema
operativo" podremos filtrar la lista para añadir los servidores que queramos:
En esta pantalla hemos añadido un segundo servidor que tiene unos determinados servicios en ejecución:
77/96
El resultado es que podemos ver en el árbol de la izquierda todos los servicios que ejecutan los
servidores seleccionados. Por ejemplo, el servicio "NAP" que se ve en la parte avanzada del curso, en la
parte de seguridad, está instalado en el segundo servidor "ServerBk", pero podemos administrar el
servicio aquí de forma centralizada.
Grupos de servidores
Crear grupos de servidores supone realizar tareas de forma conjunta en ellos. Veamos un ejemplo
seleccionando al menos dos.
Anotación
Esta práctica la podrás realizar más adelante cuando tengas más servidores configurados en
el directorio activo.
Para crear un grupo de administración, seleccionaremos la opción de la consola:
Nos mostrará en este caso, sólo los servidores de nuestra red:
Le indicamos un nombre y terminamos. Ahora podemos ver de un vistazo todos los datos de cada uno de
los servidores que conforman el grupo:
78/96
Al tener el grupo de servidores podemos acceder a toda la administración completa de cada uno de ellos.
Por ejemplo, si hacemos clic con el botón derecho en el primer servidor, que tiene instalado un buen
número de roles, el menú contextual nos muestra todas las consolas y comandos administrativos
disponibles, según los roles instalados:
Colectar eventos de forma conjunta
Ya que estamos administrando varios servidores de una vez, sería buena idea hacer una colecta de los
eventos que se den en cada uno de ellos y que aparezcan en esta consola de forma conjunta. Para hacer
esto, seleccionaremos la opción "Configurar datos de eventos" de la sección de eventos del grupo de
servidores:
79/96
Indicaremos el tipo de eventos a recoger y la antigüedad que queremos de ellos. La lista se actualizará
con la colecta de eventos de todos los servidores.
Administrar los roles
Hemos visto cómo en el árbol de la izquierda tenemos los roles que va adquiriendo nuestro servidor.
También hemos visto que al seleccionarlo nos muestra una completa información en la parte derecha.
Además de esto, y muy importante, si seleccionamos en el servidor con el botón derecho del ratón, nos
mostrará las opciones de este rol. Por ejemplo, para el DNS:
80/96
Nos muestra funciones que podemos realizar y acceso a la consola de administración del servicio o rol
de DNS. Esta pantalla es dinámica. Por ejemplo, en el servicio del directorio activo, que instalaremos en
un par de capítulos, nos muestra todas sus consolas administrativas y acceso a los comandos de
administración más importantes:
Así que estaremos al tanto en cada servicio o rol que instalemos, ya que podremos realizar las tarea más
importantes directamente.
81/96
Administración local del servidor.
El panel de administración se centra en las tareas administrativas de los servicios que proporciona
nuestro servidor a la red. Además permite crear, como hemos visto, grupos de servidores para realizar
una gestión conjunta.
La administración local del servidor nos permite acceder a la gestión del propio servidor: servicios
locales, tareas de mantenimiento, cortafuegos, ... Por tanto el panel de administración gestiona los
servicios que ofrece el servidor a nuestra infraestructura mientras que el panel de administración local
permite centrarse en el funcionamiento del propio servidor.
Hace dos capítulos vimos una parte de lo que nos ofrecía la consola administrativa del servidor. Ahora
vamos a ver el resto de esta importantísima consola porque centraliza todo lo que necesitamos para
supervisar el funcionamiento de nuestro servidor.
Además de acceder desde la opción del menú "Herramientas", también podemos hacerlo desde este panel
central:
10. PowerShell
Hemos comentado que desde la consola de comandos "PowerSell" podemos realizar todas las
operaciones de administración. Estas tareas incluyen la gestión completa de los roles.
10.1 Instalación de roles y características desde PowerShell

Ya sea porque estamos en la versión "Core", sin interfaz gráfica, o porque queremos hacer estas
operaciones por consola, disponemos de varias instrucciones para gestionar la instalación de roles y
características desde esta consola.
Los comandos o "cmd-let" disponibles son:
82/96
Get-WindowsFeature. Muestra información completa de todos los roles y características

disponibles.
Install-WindowsFeature. Instala uno o más roles o características.
Uninstall-WindowsFeature. Desinstala y borra el roles o característica especificado.
Si ejecutamos el primero veremos todo lo que tenemos disponible para instalar y lo que ya tenemos
instalado:
Podemos ponerle como parámetro el servidor del que queremos extraer esta información:
Get-WindowsFeature -Computername serverbk
Y aplicarle filtros, por ejemplo para que nos muestre los que estén instalados le diremos que la propiedad
de "InstallState" sea igual "eq" a instalado "Installed":
Get-WindowsFeature -Computername serverbk | Where-Object InstallState -eq Installed
Filtrará la salida para mostrarnos sólo los que cumplan con esa condición:
Podemos indicar caracteres comodín "*" para indicar que nos muestre solo los roles con un nombre en
concreto. Por ejemplo, los roles que comiencen por "Print*"
83/96
Get-WindowsFeature -Name Print* -Computername serverbk | Where-Object InstallState -eq Insta

lled
Vemos que, efectivamente, los comandos "Get" obtienen y muestran la información solicitada. De la
misma forma los comandos "Install" realiza la instalación del rol indicado. Por ejemplo, para instalar el
servicio de DHCP en un servidor:
Install-WindowsFeature -Name DHCP -Computername serverbk
Al terminar nos mostrará el resultado de la ejecución del comando, por ejemplo:
Truco o consejo
Tenemos una completa ayuda de los comandos utilizando:
Get-Help Install-WindowsFeature -examples
Al ejecutarlo por primera vez, puede que nos indique que debemos descargarnos la última
versión de la ayuda. Indicaremos que sí. Pero si no lo hacemos siempre podemos
descargar la ayuda con el comando:
Update-Help
Para instalar roles en varios servidores utilizaremos "Invoke-Command". Sirva este ejemplo para otros
comandos que permiten ejecutar algún proceso en varios equipos:
invoke-Command -Computername serverbk, server2012 -ScriptBlock {Install-WindowsFeature -

Name DHCP}
10.2 PowerShell y el directorio activo

Cuando realizamos la instalación del directorio activo, la instalación nos incorporó una herramienta
llamada:
Complemento Descripción Menú
Módulo de Active Directory Consola avanzada de comandos PowerShell para el

para Windows PowerShell directorio activo
84/96
Esta consola es una personalización de PowerShell en la que incorpora los comandos relacionados con el
Directorio Activo.
Anotación
Esta ampliación o personalización de PowerShell es ya común en el mundo de los
servidores. Microsoft Exchange incorpora la suya para disponer de una consola de
comandos con todas las operaciones posibles de Exchange.
A lo largo del curso capítulo veremos cómo realizar tareas administrativas mediante comandos
PowerShell
10.3 Automatizar tareas

La automatización de tareas es una tarea fundamental en la administración de nuestros equipos. Multitud
de trabajos se programan o ejecutan en un determinado eventos. Cuando veamos las actualizaciones del
sistema operativo, realizaremos tareas para que lo hagan, por ejemplo, a las 7:00am.
Hemos realizado tareas de forma interactiva en nuestra consola de PowerShell, ahora veamos dos nuevas
posibilidades:
Trabajos en segundo plano

Trabajos programados
Trabajos en segundo plano

Los trabajos en segundo plano se ejecutan "de fondo", es decir, de forma asíncrona. Los lanzamos y
podemos seguir realizando otras tareas. Esto es fácil de entender, nuestro sistema operativo es multitarea
y lo que hacemos es lanzar una más de fondo. Para lanzar un trabajo de fondo utilizaremos el comando
"Start-Job". Por ejemplo, para lanzar una instalación en un proceso:
Start-Job -ScriptBlock {Install-WindowsFeature -Name XPS-Viewer -ComputerName server2012

}
Hemos lanzado la ejecución de la instalación del visor de documentos "XPS":
85/96
Podemos ver el identificador del proceso "Job6", que podemos consultar por su estado en cualquier
momento con:
Get-Job -Name Job6
Una forma de saber si está completo es preguntando por su estado, de forma parecida al filtro que
aplicamos en un ejemplo anterior:
Get-Job -Name Job6 | Select-Object State
Trabajos programados
Los trabajos programados sin similares a los que realizábamos con el programador de tareas. Haciendo
un ejemplo similar al anterior, vamos a programar la instalación del visor XPS pero que lo realice a las 3
de la mañana. El comando es en este caso "New-JobTrigger":
$trigger = New-JobTrigger -Once -At 3:00
Una vez creado con el nombre "$trigger", lo añadimos como una tarea que luego podemos ver en el
administrador de tareas.
Anotación
La instrucción:
$trigger = New-JobTrigger -Once -At 3:00
No realiza ninguna acción en sí. Simplemente estamos definiendo una variable llamada
"$trigger" que utilizaremos posteriormente
Ahora creamos la tarea a partir de la variable que hemos declarado antes:
Register-ScheduledJob -Name InstalarXPS -ScriptBlock {Install-WindowsFeature -Name XPS-Vi

ewer
-ComputerName server2012} -Trigger $trigger
86/96
Dentro del administrador de tareas podemos comprobar como está ya preparada:
Sesiones desconectadas
Una más de las interesantes opciones que nos ofrece PowerShell es la creación de una sesión de
comandos PowerShell en un equipo remoto. Al crearla, mantenemos una conexión persistente con el otro
servidor, pudiendo ejecutar más comandos. Esta conexión persistente se llama "PSSessions"
La idea es que podamos lanzar un comando en un equipo remoto creando una sesión persistente. Por
ejemplo, crearemos primero dos variables con unos comandos que lanzaremos luego.
$script1 = {Start-Job -ScriptBlock {Install-WindowsFeature -Name XPS-Viewer}}

$script2 = {Start-Job -ScriptBlock {UnInstall-WindowsFeature -Name XPS-Viewer}}
No hemos puesto el nombre del servidor ya que vamos a establecer una conexión con el servidor remoto.
Al indicarle que ejecute estos comandos obviamente los hará en él. Vamos con la creación de la variable
para la sesión persistente:
$miservidor=New PS-PSSession -ComputerName miservidor
Ahora invocaremos al comando:
Invoke-Command $miservidor $script1
Nos mostrará que ha lanzado la ejecución de un proceso en el servidor remoto. Ahora nos
desconectaremos de esta sesión dejando que continúe el trabajo en el servidor destino.
Disconnect-PSSession -Name $miservidor
87/96
Por supuesto podemos consultar si se ha instalado ya el visor de XPS en el destino, tal y como vimos al
comienzo de esta sección:
Get-WindowsFeature --Name XPS-Viewer -Computername miservidor
Ahora desinstalaremos este visor de forma remota conectándonos a la sesión persistente que abrimos
antes:
Connect-PSSession -Name serverremoto
y lanzamos la desinstalación del programa:
Invoke-Command $miservidor $script2
En definitiva, PowerShell permite realizar desde nuestra consola cualquier operación administrativa en
nuestros servidores.
10.4 Ayuda de PowerShell

La mejor manera de aprender PowerShell es practicando. Ya vimos la cantidad de comandos
disponibles, así que no es tarea en este momento de aprenderlos. Sabemos como ejecutarlos y conceptos
básicos de la sintaxis. Veamos ahora dónde disponemos de una referencia y ayuda completa de él.
Para una ayuda básica:
Get-Help Install-WindowsFeature
Si la queremos con más detalle:
Get-Help Install-WindowsFeature -datailed
Si además queremos ejemplo:
Get-Help Install-WindowsFeature -examples
También podemos actualizar la ayuda instalada con:
Update-Help
y por último, y el "arma definitiva", la ayuda "online". Se abrirá un navegador con la ayuda on-line de la
página de Microsoft
Get-Help Install-WindowsFeature -Online
11. Tolerancia a fallos con DHCP.
88/96
En el capítulo anterior dejamos sin configurar la configuración de la conmutación por erro en el servicio
de DHCP. Todavía no teníamos las herramientas necesarias. Ahora ya tenemos lo necesario:
Una instalación de directorio activo

Un segundo servidor para instalar el rol de DHCP
Un servicio de DHCP autorizado en el directorio activo.
El primer paso será la instalación del servicio de DHCP en el segundo servidor. En este caso, en lugar de
hacerlo en el propio servidor, y así servirnos de práctica, instalaremos el rol con un comando PowerShell
Install-WindowsFeature -Name DHCP -Computername serverbk
Comenzará la instalación:
Después de unos minutos tendremos la instalación terminada:
Recojamos los roles instalados en el servidor para ver si es correcto:
Get-WindowsFeature -Computername serverbk | Where-Object InstallState -eq Installed
Ahora abrimos la consola de DHCP para añadir este segundo servidor:
89/96
El primer paso es autorizarlo:
Una vez autorizado ya tenemos todo lo necesario. Vamos a crear la conmutación por error:
Nos muestra primero información sobre su funcionamiento y el ámbito disponible
90/96
Continuamos:
Ahora nos pide el servidor que contiene ese servicio DHCP. Como ya tenemos un segundo servidor
autorizado, se lo indicamos. Ahora configuraremos los parámetros de sincronización.
91/96
El secreto compartido es una contraseña que le ponemos para cuando hacer modificaciones en esta
configuración del servidor destino.
Terminamos y tendremos ahora nuestro DHCP protegido contra fallos:
La comprobación es muy sencilla. Abrimos el segundo servidor y vemos que ha aparecido este ámbito:
92/96
Sin crearlo nosotros, ha creado esta copia del ámbito en el destino y sincronizado los datos. Para ver
ahora la configuración de esta sincronización, iremos a las propiedades del protocolo y luego a la pestaña
de "Conmutación por error"
93/96
Vemos que "serverbk" está configurado como réplica del otro servidor DHCP. Además el modo
"Equilibrio de carga" que muestra la parte inferior indica que ambos servidores están escuchando
peticiones de DHCP equilibrando la carga de trabajo entre ambos.
94/96
Ejercicios
Ejercicio 1. Instalación del directorio activo
30
Instala el directorio activo con:
Nombre de dominio: miempresa.com

Nombre prew2000: miempresa
Haz login en él y comprueba en la consola del DNS que están creadas las entradas SOA, NS y A del
servidor
Ejercicio 2. Registro de equipos y comprobaciones de

DNS
30
Registrar un equipo cliente. Asegúrate de poner como DNS el del nuevo servidor y registra el equipo en
el dominio.
Comprobar que el equipo aparece registrado en la administración de usuarios y equipos.
95/96
96/96

El Directorio Activo. La Consola de Administración de Servidores © ADR Infor SL

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

El Directorio Activo. La Consola de Administración de Servidores © ADR Infor SL

Cargado por

Copyright:

Formatos disponibles

El Directorio Activo.

Nº 4. El Directorio Activo. La consola de

El Directorio Activo proporciona también la capacidad de centralizar las administración de la red de

1.3. Estructura Lógica del Directorio Activo

La estructura lógica de Active Directory incluye los siguientes componentes:

Objetos. Son los componentes básicos de la estructura lógica.

Un límite administrativo para los objetos

Árbol de dominios. Son dominios agrupados en estructuras jerárquicas. Cuando se agrega un

La idea es evitar en lo posible la creación de bosques porque aumentan la complejidad y administración.

1.4. Estructura física de Active Directory

Controladores de Dominio . Son servidores ejecutando Windows Server 2008, 2003 o

Partición de configuración, contiene la topología del bosque. La topología (esquema

Particiones de aplicaciones, contienen los objetos relacionados a la seguridad y se

1.5. Los Maestros de Operaciones

Funciones del maestro de operaciones

Maestro de Esquema. Controla todas las actualizaciones del esquema. El esquema

Transferencia de funciones de "Maestros de operaciones"

1.6 Novedades en Windows 2012

Funciones y características de servidor

Ya lo hemos visto en el capítulo anterior y en la instalación. Partiendo de un núcleo más compacto

Controladores de dominio de solo lectura (RODC)

Servicios de directorio activo reiniciables

Servicio de certificados de Directorio activo (AD CS)

Servicios de directorio ligero de Directorio activo (AD LDS)

Servicios de administración de derechos de Directorio Activo (AD RMS)

Directivas de grupo avanzadas

Los servicios de directorio fundamentalmente...

Hace transparentes la topología y los protocolos físicos de la red. El "maestro de

El esquema tiene dos tipos de definiciones: Clases de objetos y atributos:

Objetos Atributos o propiedades

2.2 El Catálogo Global

El catálogo global contiene:

La información que necesaria para determinar la localización de cualquier objeto en el

Un subconjunto por defecto de los atributos para cada tipo de objeto.

2.3 Nombres distinguidos y nombres distinguidos relativos

Nombre LDAP: CN=Fernando Perez,OU=Ventas,OU=Finanzas,DC=Miempresa,DC=Com

El "nombre distinguido relativo" de un objeto identifica únicamente el objeto en su contenedor. Dos

CN es el Common Name (Nombre principal o común) del objeto en su container.

2.4 Active Directory Snap-ins y Herramientas

Complemento Descripción Menú

Usuarios y equipos de Administra y publica la información en el directorio,

Dominios y confianzas de Administra las relaciones de confianza entre dominios

Sitios y servicios de Active Administra la réplicas del directorio. Imprescindible si

Editor ADSI Administra el esquema del directorio activo

Administrador de directivas Las directivas de grupo nos permitirán desplegar

Módulo de Active Directory Consola avanzada de comandos PowerShell para el

3. Instalación del Directorio Activo

Una servidor ejecutando Microsoft Windows Server 2012.

Inicia el protocolo de autenticación Kerberos

Esquema del Directorio

Partición del Dominio del Directorio

Zona DNS del bosque

Partición del dominio en el DNS

Emulación de Controlador Primario del Dominio (PDC)

La carpeta compartida SYSVOL, que contiene información de las políticas de grupo.

Configura la pertenencia al sitio apropiado para el Controlador de Dominio. Si la IP del

Al marcarlo nos solicitará si queremos también las consolas administrativas:

Hacemos clic en esta acción recomendada para que comience la instalación.

La instalación inicia un asistente:

Lo que ha hecho es la comprobación de que no exista ya un dominio llamado "miempresa.com". Si todo

¿que ganamos o perdemos con un nivel funcional u otro?

Nivel funcional Windows Server 2003:

La herramienta de management netdom.exe, para prepararse para cambiar el nombre de