Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La consola de
administración de servidores © ADR
Infor SL
Índice
Nº 4. El Directorio Activo. La consola de administración de servidores 4
1. Introducción 4
1.1. Definición 4
1.2. La funcionalidad 4
1.3. Estructura Lógica del Directorio Activo 5
1.4. Estructura física de Active Directory 7
1.5. Los Maestros de Operaciones 9
Maestro de operaciones 10
Funciones del maestro de operaciones 10
Transferencia de funciones de "Maestros de operaciones" 12
Resumen 12
1.6 Novedades en Windows 2012 12
Funciones y características de servidor 13
Controladores de dominio de solo lectura (RODC) 13
Server Core 13
Servicios de directorio activo reiniciables 13
Servicio de certificados de Directorio activo (AD CS) 13
Servicios de directorio ligero de Directorio activo (AD LDS) 13
Servicios de administración de derechos de Directorio Activo (AD RMS) 14
Directivas de grupo avanzadas 14
Mejoras de seguridad 14
2. Servicios de directorio 14
2.1. El Esquema 15
2.2 El Catálogo Global 16
2.3 Nombres distinguidos y nombres distinguidos relativos 17
2.4 Active Directory Snap-ins y Herramientas 19
3. Instalación del Directorio Activo 21
3.1 Instalación 21
Nivel funcional Windows Server 2003: 28
Nivel funcional Windows Server 2008 28
Nivel funciona Windows Server 2012 29
3.2 Probar el instalación. 32
3.3 Añadir un equipo al Directorio Activo 35
4. Las zonas DNS integradas con el Directorio Activo 41
4.1 Zonas integradas en el Directorio Activo 42
4.2 Registros SRV 43
5. Replicación en Active Directory 44
5.1 Replicación dentro de Sites 45
5.2 Generación automática de la topología de replicación 46
6. Copia de seguridad del Directorio Activo 46
6.1 Proceso de copia de seguridad 48
6.2 Restauración 53
6.3 Programar una tarea 57
7. Detalles sobre la instalación del directorio activo. 57
7.1 DHCP en el dominio 58
7.2 Actualización desde Windows 2003/2008 59
7.3 Revisión de los roles de servidor 60
Configurar el catálogo global 61
2/96
Configurar los maestros de operaciones 62
Maestro de esquema. 62
Maestro de nombre de dominio 67
Emulador PDC 67
Maestro de infraestructura 67
Maestro RID 67
7.4 Ubicación y transferencia de los maestros. 68
Trasferencia de maestros 68
7.5 Reconfigurar un maestro 71
8. Desplegar un controlador de dominio de sólo lectura RODC 73
9. Administración del servidor 75
9.1 Más opciones de la consola central de administración. 76
Administrar más servidores 76
Grupos de servidores 78
Colectar eventos de forma conjunta 79
Administrar los roles 80
Administración local del servidor. 82
10. PowerShell 82
10.1 Instalación de roles y características desde PowerShell 82
10.2 PowerShell y el directorio activo 84
10.3 Automatizar tareas 85
Trabajos en segundo plano 85
Trabajos programados 86
Sesiones desconectadas 87
10.4 Ayuda de PowerShell 88
11. Tolerancia a fallos con DHCP. 88
Ejercicios 95
Ejercicio 1. Instalación del directorio activo 95
Ejercicio 2. Registro de equipos y comprobaciones de DNS 95
3/96
El Directorio Activo. La consola de administración de servidores
1. Introducción
En este capítulo veremos qué es el Directorio Activo, cómo se instala y su configuración. Normalmente
Microsoft no traduce los nombres de sus programas o tecnología (Excel, Word, ...) así que veremos en
muchas pantallas que aparece como Active Directory o Servicios de dominio de Active Directory (AD
DS), nosotros lo llamaremos Directorio Activo porque es un nombre que está ampliamente utilizado.
1.1. Definición
En una red de Microsoft Windows Server 2012 (y 2008-2003-2000), el servicio de Directorio Activo
proporciona la estructura y las funciones para organizar, administrar y controlar el acceso a los recursos
de red.
El Directorio Activo admite la delegación del control administrativo sobre los objetos de él mismo. Esta
delegación permite que los administradores asignen a un grupo determinado de administradores
permisos administrativos específicos para objetos, como cuentas de usuario o de grupo.
El Directorio Activo es el servicio de directorio de una red de Windows Server 2012, un servicio de
directorio almacena información sobre los recursos de la red y permite que los mismos resulten
accesibles a los usuarios y a las aplicaciones. Los servicios de directorio proporcionan una manera
coherente de nombrar, describir, localizar, tener acceso, administrar y asegurar la información relativa a
los recursos de red.
1.2. La funcionalidad
El Directorio Activo proporciona funcionalidad de servicio de directorio, como medio para organizar,
administrar y controlar centralmente el acceso a los recursos de red. Asimismo hace que la topología
física de red y los protocolos pasen desapercibidos, de manera que un usuario de una red pueda tener
acceso a cualquier recurso sin saber dónde está el mismo o cómo está conectado físicamente a la red.
El Directorio Activo está organizado en secciones que permiten el almacenamiento de una gran cantidad
de objetos. Como resultado, es posible ampliar el Directorio Activo a medida que crece una
organización, permitiendo que una organización que tenga un único servidor con unos cuantos
centenares de objetos, crezca hasta tener miles de servidores y millones de objetos.
4/96
El Directorio Activo. La consola de administración de servidores
Un servidor que ejecuta Windows Server 2012 almacena la configuración del sistema, la información de
las aplicaciones y la información acerca de la ubicación de los perfiles de usuario. En combinación con
las directivas de grupo, el Directorio Activo permite a los administradores controlar escritorios
distribuidos, servicios de red y aplicaciones desde una ubicación central, al tiempo que utiliza una
interfaz de administración coherente.
Además, el Directorio Activo proporciona un control centralizado del acceso a los recursos de red, al
permitir que los usuarios sólo inicien sesión una sola vez para obtener pleno acceso a los recursos
mediante el Directorio Activo. Como ves parece que no hay más que ventajas con estos servicios y la
verdad es que si porque con esto montamos una red "de verdad" con una gestión sencilla de recursos y
con gran potencia. Además, es la base para gran cantidad de programas: Exchange, SQL Server, ISA
Server, ... todos estos nos pedirán un Directorio Activo para centralizar su administración.
5/96
El Directorio Activo. La consola de administración de servidores
Clases de objetos . Son las plantillas o los modelos para los tipos de objetos que se pueden
crear en Active Directory. Cada clase de objeto es definida por un grupo de atributos, los
cuales definen los valores posibles que se pueden asociar a un objeto. Cada objeto tiene una
combinación única de los valores de atributos.
Unidades organizativas . Podemos utilizar estos objetos contenedores para organizar otros
objetos con propósitos administrativos, por ejemplo dividir nuestra empresa en departamentos.
Organizando éstos es más fácil localizar localizar y administrar objetos. También podemos
delegar la autoridad para administrar estas unidades organizativas de manera que podemos
tener administradores de cada una de ellas.
Dominios. Son las unidades funcionales clave de la estructura lógica de Active Directory, son
colecciones de los objetos administrativos definidos, que comparten en una base de datos
común del directorio, políticas de la seguridad y relaciones de confianza con otros dominios.
Los dominios proporcionan estas tres funciones:
Bosque. Un bosque es una instancia completa del Directorio Activo y consta en uno o más
árboles. En un solo árbol de dos niveles, lo recomendado para la mayoría de las
organizaciones, todos los dominios hijos se hacen "hijos" del dominio raíz del bosque para
formar un árbol contiguo. El primer dominio en el bosque se llama Dominio raíz del bosque y
el nombre de ese dominio se refiere al bosque, por ejemplo miempresa.com. Por defecto, la
información en Active Directory se comparte solamente dentro del bosque. De esta manera, la
seguridad del bosque estará contenida en una sola instancia de Active Directory. Así que la
mayoría de las veces nuestra organización será de un sólo dominio (miempresa.com) dentro de
un solo bosque.
Anotación
En un árbol los nombres de dominio comparten un espacio de nombres contiguo:
usa.miempresa.com< ->europa.miempresa.com. Mientras que un bosque no comparte un
espacio de nombres contiguo, por ejemplo si adquirimos una empresa con otro nombre de
dominio distinto y la juntamos con el nuestro construyendo un bosque de varios dominios.
Lee con mucha atención estas partes de la jerarquía del Directorio ya que son fundamentales entenderlas.
Asocia cada una de ellas con el gráfico para que te sitúes... Veamos algunas recomendaciones para la
creación de la estructura.
6/96
El Directorio Activo. La consola de administración de servidores
Cuantos más Bosques, Árboles y Dominios tengamos más complejo será administrarlo llegando a unos
niveles de complejidad elevados así que debemos diseñar bien nuestra estructura de red. Te pongo
algunas recomendaciones:
Tengo una empresa de hasta 50 equipos en una sola oficina comportándose como una unidad
conectada por switches. En este caso diseñaríamos la estructura de un sólo bosque con un sólo
árbol y un sólo dominio, es decir la más sencilla funcionará perfectamente :"miempresa.com"
Tengo más de 100 equipos y algunos de ellos están conectados por VPN, es decir, a través de
Internet con la planta principal. En este caso sigo recomendando la anterior, todo una
estructura lógica de un solo bosque-árbol-dominio: "miempresa.com"
Tengo dos empresas grandes con el mismo tamaño en equipos y separadas por una conexión
"lenta": Internet, Fame Relay, ... En ese caso y, para independizar las dos administraciones ya
que se necesitará más de un administrador, lo idóneo es un solo bosque pero con un árboles de
dos dominios: "norte.miempresa.com" y "sur.miempresa.com"
7/96
El Directorio Activo. La consola de administración de servidores
En contraste con la estructura lógica y los requisitos administrativos, la estructura física del Directorio
Activo optimiza el tráfico de la red, determinando cómo y cuándo se debe replicar. Para optimizar el uso
del ancho de banda de la red del Directorio Activo debemos conocer su estructura de red. Aquí entran en
funcionamiento los procesos para replicar los objetos entre los distintos servidores, tema muy importante
que veremos mas adelante. Si nuestra red está en un solo sitio físico (site) no necesitaremos de éstas pero
si abrimos una empresa u oficina en un sitio distinto y lo tenemos conectado a través de Internet por
ejemplo, necesitaremos replicar los datos del directorio activo: recursos, usuarios, grupos... Las réplicas
van a mantener la coherencia de los objetos de nuestra red en los distintos "sites"
Ahora veremos las partes en las que se divide internamente el Directorio Activo y las que deberán estar
perfectamente ensambladas para crear la estructura de red. Los elementos de la estructura física del
Directorio Activo son:
Sitios del Directorio Activo. Los sitios son grupos de equipos conectados en las distintas
ubicaciones físicas y que pertenecen al dominio principal creado en el anterior punto. Por
ejemplo un dominio donde tenemos dos oficinas conectadas Madrid-Barcelona, conformando
cada una de ellas un sitio o "site". Cuando creamos sitios, los controladores de dominio que
están dentro de un solo sitio se comunican con frecuencia. Esta comunicación reduce al
mínimo el estado de la latencia dentro del sitio, esto es, el tiempo requerido para un cambio que
se realice en un controlador de dominio y sea replicado a otros controladores. Crearemos sitios
para optimizar el uso del ancho de banda entre los controladores de dominio de diversas
locaciones.
En contraste con la agrupación lógica que hemos visto antes de forma jerárquica, se incluye
ahora el concepto de Site para agrupar recursos dentro de un bosque de acuerdo a su ubicación
física o subred. Un sitio puede contener objetos de más de un dominio o árbol dentro del
bosque y árboles individuales pueden contener más de un sitio. La utilización de sitios permite
controlar la replicación de datos de las bases de datos del directorio activo y aplicar distintas
directivas dependiendo solo de su ubicación física.
Normalmente definiremos un único "site" a todos los recursos que estén en nuestra red local o
conectados por líneas de muy alta velocidad (LAN) y definiremos Sites adicionales para las
ubicaciones que estén conectadas por líneas más lentas (WAN)
8/96
El Directorio Activo. La consola de administración de servidores
Catálogo Global. El catálogo global es una parte de información del dominio creado con el
propósito de habilitar a controladores de dominio de otros dominios del mismo bosque a
localizar recursos de cualquier dominio. Por ejemplo, los usuarios que estén buscando
recursos como ficheros, carpetas o impresoras de otro dominio lo harán en el catálogo global
para así buscar no solo en su dominio sino en la base de datos completa. El catálogo global
también nos va a permitir iniciar una sesión en otro dominio que no sea el nuestro poniendo
simplemente el "nombre principal de usuario" (UPN) que es el nombre construido en forma de
email: usuario@dominio.com
Particiones del Directorio Activo. Cada Controlador de dominio contiene las siguientes
particiones:
Partición del dominio, contiene la réplica de todos los objetos en ese dominio. Esta
partición se replica solamente a otros controladores de dominio del mismo dominio.
Partición del esquema, contiene el esquema del bosque. Cada bosque tiene un
esquema para que la definición de cada clase del objeto sea única. Las particiones de
configuración y esquema se replican en cada controlador de dominio del bosque.
Tranquilo con toda esta cantidad de definiciones, cuando empecemos a trabajar te será mucho mas
sencillo. Estamos definiendo todas las partes del Directorio Activo y son las mismas ya sea para una
tienda con 10 ordenadores o para una multinacionales con bosques y miles de equipos.
9/96
El Directorio Activo. La consola de administración de servidores
Por tanto cuando se realiza un cambio en un dominio, éste se replica a todos los controladores de
dominio existentes. Algunos cambios, por ejemplo los que se hacen en el esquema, se replican a todos
los dominios del bosque. Este tipo de replicación se llama Replicación con Múltiples Maestros.
Las distintas operaciones que realiza un controlador de dominio se llaman "roles". Un rol diremos
simplemente que es una tarea o función, así que aunque puedes ver en otras documentaciones sin
traducir "rol" nosotros lo vamos a traducir como "funciones" que pueden desempeñar. Algunos de ellos
son a nivel del servidor, otros a nivel del dominio y otros a nivel del bosque, que es la estructura
jerárquica que ya conocemos. Por ejemplo:
Maestro de operaciones
Durante la replicación de múltiples maestros puede darse un conflicto de réplica donde se estén
originando actualizaciones concurrentes en el mismo atributo del objeto y en dos controladores de
dominio. Para evitar estos conflictos en las importantes réplica, podemos utilizar la replicación con un
solo maestro, así será el que manda. Esto se asigna a un controlador de dominio como el único que
puede realizar cambios de directorio.
De esta manera, los cambios no se pueden dar en varios sitios de la red al mismo tiempo. Active
Directory utiliza las replicaciones de un solo maestro para los cambios importantes, por ejemplo, la
adición de un nuevo dominio o cambios en el esquema del bosque.
10/96
El Directorio Activo. La consola de administración de servidores
Son muchos conceptos y además las traducciones no ayudan mucho, pero verás como más adelante
encajamos estos conceptos sobre todo cuando creemos el directorio activo.
Las funciones de Maestro de Operaciones se realizan a nivel de bosque o dominio, Active Directory
define cinco tipos de funciones que tienen una localización por defecto.
1. Funciones de ámbito en el bosque. Por supuesto son las de más alto nivel porque actúan sobre
toda nuestra estructura...
2. Funciones que se realizan a nivel de dominio, si hay varios dominios en un bosque cada uno de
ellos pueden realizar...
Maestro emulador de PDC. Antes con redes basadas en Windows NT 4.0 los
controladores de dominio se llamaban PDC. Esta función de "emulador de PDC"
permite que el controlador de dominio emule esa función y así poder comunicarse con
estos antiguos dominio.
Maestro de RID. Los RID son secuencias de Id. relativas para asignar a los
controladores de dominio. Cuando se crea un nuevo objeto, el controlador de dominio
crea un nuevo identificador que representa al objeto asignándole un Unique Security
Identifier (SID). El RID Master asigna bloques de RIDs a cada controlador de dominio.
En todo momento sólo puede haber un controlador de dominio que actúe como maestro
de RID en cada dominio del bosque.
Siempre que un controlador de dominio crea un usuario, un grupo o un objeto de
equipo, asigna un Id. de seguridad (SID) único al objeto creado. Este SID se compone
de un SID de dominio, que es el mismo para todos los SID creados en el dominio, y de
un RID, que es único para cada uno de los SID creados en el dominio.
Maestro de infraestructura. Cuando los objetos se mueven de un dominio a otro, el
maestro de infraestructuras actualiza las referencias al objeto en ese dominio y la
referencia al objeto en el otro dominio. El maestro de infraestructuras es el responsable
de actualizar las referencias de los objetos de su dominio en los objetos de los otros
dominios. El maestro de infraestructuras compara sus datos con los del catálogo global.
Los catálogos globales reciben actualizaciones periódicas de los objetos de todos los
dominios mediante la replicación, de forma que los datos de los catálogos globales
siempre están actualizados. Si el maestro de infraestructuras encuentra datos sin
actualizar, solicita los datos actualizados a un catálogo global. Después el maestro de
infraestructuras replica los datos actualizados en los otros controladores del dominio.
11/96
El Directorio Activo. La consola de administración de servidores
Anotación
Si estamos creando una estructura sencilla con un solo bosque y dominio el servidor inicial
que creemos que será el controlador de dominio realizará estos cinco trabajos. No son
mucha carga para el servidor, simplemente son las tareas que realiza nuestro directorio
activo. En redes muy grandes se mueven estas tareas a varios servidores para distribuir la
carga de red que generan estas operaciones.
Cuando creamos una estructura de bosque y dominio se crean automáticamente estas funciones de
maestros de operaciones. Cuando se hace un cambio importante en la estructura se transfieren estas
funciones de maestros de operaciones. Estos cambios incluyen la "democión" o degradación de un
controlador de dominio y la "promoción" de uno nuevo que asuma una de estas funciones.
Anotación
Cuando un servidor lo convertimos en controlador de dominio se dice que lo
"promovemos" o "promocionamos" a controlador de dominio (promote). Si queremos hacer
la operación contraria para que ese servidor vuelva a ser "normal" y no haga ninguna
función del dominio debemos "demotarlo" que es la traducción del proceso contrario que
hicimos antes (demote). Hasta Windows Server 2012 había que ejecutar este comando de
"DCPROMO". Ahora, en esta nueva versión se hace todo por interfaz gráfica.
Cuando transferimos estas operaciones mediante un sencillo proceso no se produce ninguna pérdida de
datos. Se realizan los suficientes controles de seguridad para que no se produzcan problemas y se
transfieran correctamente.
Resumen
Ahora quiero volver a tranquilizarte y repasar un poco toda esta cantidad de conceptos con un ejemplo.
Cuando instalamos por primera vez un dominio para nuestra empresa "miempresa.com" se crea la figura
del "controlador de dominio" que es el servidor donde lo estamos instalando. Ese equipo va a ser el
centro de "miempresa.com". Y ¿porque necesitaremos instalar más controladores de dominio? Por
ejemplo, por estas dos importantes razones, una es para que sea una copia del primero y así en caso de
avería este toma el control del dominio "miempresa.com" y así no paramos la red. La otra razón es que
estamos ampliando la empresa y creamos otro dominio (francia.miempresas.com). En ese caso los dos
dominios están creados bajo un "bosque" que es un grupo de dominios que se administran como una
unidad.
Además nuestro directorio activo realiza, como hemos visto antes, 5 funciones fundamentales para el
buen funcionamiento del bosque. Estas funciones se llaman "maestros". Cada uno de ellos podemos
instalarla en uno o varios servidores y en distintos sitios o "sites". Obviamente si tenemos un solo
dominio todas esas funciones estarán en ese mismo servidor. Esto no supone ningún problema y, de
hecho, así es en la mayoría de las redes sencillas. Lógicamente, si nuestra instalación va creciendo estas
funciones podremos moverlas a otros servidores para bajar la carga de trabajo del principal y así mejorar
el rendimiento.
12/96
El Directorio Activo. La consola de administración de servidores
Si ya conoces Windows 2008 Server te estarás preguntando que dónde están las novedades, pues bien,
como la esencia es la misma y no ha cambiado, lo visto hasta ahora nos sirve perfectamente pero ahora te
voy a enumerar las mejoras o ampliaciones que se han añadido en esta nueva versión.
Un controlador de dominio de solo lectura (RODC) es un controlador de dominio que contiene una base
de datos de sólo lectura del directorio activo. Puede realizar funciones de autenticación de usuarios,
distribuir directivas de grupo, pero no se pueden realizar cambios en las base de datos. Por ejemplo para
tener una réplica del directorio activo en una sede donde no hay nadie que lo administre, así los datos
nunca se podrán modificar en esa red a menos que lo haga alguien desde la "oficina central".
Server Core
Un Server Core es un servidor en su mínima expresión, sin interfaz gráfica, barra de tareas o menú de
inicio. De siempre se ha pedido que un servidor sea eso, un servidor. Sin el sobrecoste en recursos de
interfaces gráficas ni elementos visuales, del mismo modo que funcionan los Linux con sus pantallas de
comandos. Todos los comandos se ejecutan en una nueva línea de comandos muy ampliada (llamada
"poweshell") para realizar todas las tareas de administración.
Estos servidores no gastan recursos en interfaces y son más estables al tener menos "drivers" o
controladores cargados.
Ahora podremos hacer varias operaciones sin conexión como la desfragmentación de la base de datos,
simplemente deteniendo el directorio activo. Así reducimos el número de veces que hay que iniciar el
servidor en "modo recuperación" y aumenta el tiempo de servicio
Es uno de los elementos que más ha avanzado respecto a versiones anteriores. Podemos incluir
certificados en dispositivos de red.
13/96
El Directorio Activo. La consola de administración de servidores
Es el equivalente al "ADAM" que era el directorio activo limitado de Server 2003 R2. Nos permitía tener
una nueva base datos de usuarios y recursos sin tener que crear un directorio o dominio. Es decir,
imagina que un programa requiera una gestión de usuarios, podemos hacer una lista de recursos
independiente del directorio activo con AD LDS
Se han añadido muchas características, como una nueva interfaz, delegación o administración e
integración con los servicios de federación de directorio activo
Se han añadido nuevas directivas, en particular todas las referentes al control de Windows 7 y 8.
Mejoras de seguridad
Es uno de los temas más amplios en este servidor ya que la mayoría de las novedades están relacionadas
con las mejoras de seguridad. Sobre todo con la inclusión de los controladores de solo lectura RODC, la
protección de acceso de red NAP, un nuevo IIS8 más seguro, directivas de grupo ampliadas y mayor
control de las cuentas de usuario.
2. Servicios de directorio
Un servicio de directorio es un depósito estructurado de información sobre personas y recursos en una
organización. En una red Windows Server 2012, el servicio de directorio es el Directorio Activo
14/96
El Directorio Activo. La consola de administración de servidores
Permite a usuarios y aplicaciones tener acceso a la información sobre objetos. Esta información
se almacena en forma de propiedades, por ejemplo el nombre de un usuario es una propiedad
del objeto "usuario". Buscaremos objetos basándonos en su clase, atributo, valor del atributo,
localización dentro de la estructura del Directorio Activo , o con cualquier combinación de
estos valores.
2.1. El Esquema
15/96
El Directorio Activo. La consola de administración de servidores
Hemos hablado otras veces del esquema y todavía no tenemos muy claro que es, seguimos aprendiendo
todos los conceptos, luego iremos encajando todas las piezas al crear nuestro Directorio así que un poco
de paciencia. El esquema del Directorio Activo contiene las definiciones de todos los objetos, como por
ejemplo usuarios, equipos e impresoras almacenados en él. Es decir, cuando creamos un usuario le
ponemos distintos parámetros o atributos: nombre, teléfonos, departamento, .... todos estos son valores
del esquema. En un Controlador de dominio hay solamente un esquema para todo el bosque, de esta
manera, todos los objetos que se crean en el directorio cumplen con las mismas reglas.
Nombre
Departamento
Contraseña
Nombre
Ubicación
Nombre
Ubicación
En la programación orientada a objetos se define la clase como una plantilla para crear objetos. Es decir
para crear un botón en un formulario de Windows utilizaremos la clase "Botón". Esta clase le dice al
programa de que partes se compone el botón y como debe crearlo. Una vez creado ya existe el objeto
"botón" en el formulario y se puede utilizar, las clases son pues, las plantillas para crear los objeto. Esos
botones que creamos tienen además una serie de propiedades: color, tamaño, ... que identifican su
aspecto, a estos valores se les llama atributos o propiedades.
Un ejemplo de clase son los usuarios, los ordenadores y la impresora que describen los objetos posibles
que se pueden crear en el directorio. Cada objeto es una colección de atributos. Cada atributo se define
solamente una vez y se puede utilizar en muchos objetos. Por ejemplo, el atributo de la descripción se
utiliza en muchos objetos: equipos, usuarios, ...pero se define solamente una vez en el esquema para
asegurar consistencia.
Podemos crear además nuevos tipos de objetos en el Directorio Activo ampliando el esquema. El
ejemplo más claro es el programa de correo electrónico de Microsoft: Exchange. En la instalación lo
primero que hace es ampliar el esquema para almacenar los objetos y atributos necesarios para la
mensajería.
16/96
El Directorio Activo. La consola de administración de servidores
Los atributos que se utilizan con más frecuencia en las consultas, por ejemplo, nombre,
apellidos, nombre de usuario, ...
Los permisos de acceso para cada objeto y atributos, almacenados en el Catálogo Global. Si
buscamos un objeto y no tenemos los permisos apropiados para acceder a él, el objeto no
aparecerá en los resultados de la búsqueda. Los permisos de acceso aseguran que los usuarios
puedan encontrar solamente los objetos a los que se les han asignado el acceso.
El servidor del Catálogo Global es un controlador de dominio que procesa las consultas dentro del
bosque. Cuando creemos el primer controlador de dominio de nuestra estructura, éste se convierte
automáticamente en Catálogo Global. Pero para balancear o compensar la carga de trabajo podemos
configurar catálogos globales adicionales. Todas estas funciones estarán inicialmente en el mismo
servidor cuando creemos la red. Será en la segunda fase, cuando pongamos un servidor adicional de
respaldo (backup) cuando analizaremos si debemos repartir esta carga. En redes pequeñas y medianas no
hará falta nunca este tipo de movimientos ya que el controlador principal puede asumir tranquilamente
gran carga de trabajo ya que no lo vamos a destinar a ninguna otra función. En ocasiones he visto que al
servidor principal además se le instalan otros programas, hace de servidor de ficheros y muchas
funciones mas. Esto es totalmente erróneo y arriesgado, nuestro controlador de dominio, responsable de
la lógica de toda la red no debe hacer absolutamente nada más que ser el centro de nuestra estructura sin
ejecutar otras aplicaciones.
Los servidores de catálogo global replican su contenido en un esquema de replicación. Hasta Windows
2000 estas réplicas eran del tipo "full sync" (es decir siempre completa), pero a partir de Windows
Server 2003 se hacen de modo "partial sync", es decir, solo se replican cambios producidos en lugar de
enviar el catálogo completo.
Estas réplicas parciales solo se realizarán entre los servidores de catálogo global que ejecuten Windows
Server 2003/2008/2012, con la versión 2000 seguirán haciendo la antigua sincronización completa.
17/96
El Directorio Activo. La consola de administración de servidores
Existe un servicio estándar que se encarga de ponerle nomenclatura a estos objetos y así poder
consultarlos y trabajar con ellos de forma normalizada. Este servicio se llama LDAP. Por ejemplo, fíjate
en el gráfico y su nombre al interpretarlo en el árbol:
LDAP es el servicio que utiliza internamente el Directorio Activo para poder consultar su catálogo. Este
servicio utiliza un nombre que representa objetos en el Directorio Activo que mantiene la estructura y
jerárquica del sistema de dominios. Esta representación se llama "Nombre Distinguido" del objeto e
identifica el dominio donde se localiza el objeto y la trayectoria completa para alcanzar el objeto. Este
nombre distinguido es único en el bosque del directorio activo.
18/96
El Directorio Activo. La consola de administración de servidores
Por ejemplo, si un usuario se llama "Jose Rodriguez" de la Unidad Organizativa "Informática" del
dominio "miempresa.com"... el nombre distinguido de cada elemento de la estructura lógica sería:
CN=Jose Rodriguez,OU=Informática,DC=miempresa,DC=com
OU es la Organizational Unit (Unidad organizativa) que contiene el objeto. Puede haber más
de un valor de OU si el objeto está en una Unidad Organizativa anidada dentro de más niveles.
DC es el Domain Component (el dominio), por ejemplo .com. o .msft.. Hay siempre al menos
dos Domain Components: miempresa.com
Ya ves que de paso estamos aprendiendo la nomenclatura que se utiliza prácticamente a nivel universal
en informática, y esto te será muy útil con cualquier herramienta administrativa. Los "domain
components" de los nombres distinguidos están basados en el sistema de nombres de dominio (DNS).
La tabla siguiente describe los complementos administrativos que más utilizaremos en la administración
del Directorio Activo, ya sabes que las tenemos en la consola MMC o en el menú "Herramientas
Administrativas"
19/96
El Directorio Activo. La consola de administración de servidores
Todas las funciones que se pueden hacer desde las consolas administrativas se pueden utilizar desde
línea de comandos. La tabla siguiente muestra las herramientas disponibles para ejecutar desde la
consola:
Programa Descripción
Dasadd
Añade objetos al Directorio Activo: ordenadores, usuarios, grupos, unidades organizativas y
contactos.
Dsmod
Modifica objetos en el Directorio: ordenadores, servidores, usuarios, grupos, unidades organizativas y
contactos.
Dsquery
Ejecuta consultas en el Directorio Activo según criterios especificados.
Dsmove
Mueve objetos dentro de un dominio a una nueva localización en el Directorio Activo o renombra de
un solo objeto sin moverlo.
Dsrm
Suprime un objeto de Active Directory.
Dsget
Muestra atributos seleccionados de una ordenador , contacto, grupo, unidad organizativa, servidor o
usuario del Directorio
Csvde
Importa y exporta datos de Directorio Activo utilizando el formato CSV que es el de texto separado
por comas.
Ldifde
Crea, modifica y borra objetos del Directorio Activo. Amplia el esquema del directorio y exportar
información de usuarios y grupos a otras aplicaciones o servicios.
20/96
El Directorio Activo. La consola de administración de servidores
En el capítulo siguiente veremos la forma de realizar acciones en el directorio activo mediante la consola
de comandos.
3.1 Instalación
Veamos los requisitos necesarios para la instalación del Directorio Activo:
El proceso de la instalación va a realizar todas las tareas que vamos a ver ahora, muchas de ellas ya las
hemos comentado pero otras de momento no las hemos visto.
Partición de configuración
21/96
El Directorio Activo. La consola de administración de servidores
Las particiones se actualizarán a través de la réplica en cada uno de los controladores de dominio
que se vayan añadiendo al dominio.
Crea la base de datos del directorio Activo. La ubicación por defecto para la base de datos y los
archivos de registros es systemroot\Ntds.
Crea el dominio raíz del bosque. Si el servidor es el primer Controlador de Dominio de la red,
la instalación crea el Dominio raíz del bosque y le asignará las funciones del maestro de
operaciones incluyendo:
Crea la carpeta compartida del volumen del sistema. Esta estructura de carpetas reside en todos
los controladores de dominio de Windows Server y contiene las estas carpetas:
La carpeta compartida Net Logon, que contiene los scripts (comandos) de inicio de
sesión
De todas formas si al finalizar el curso repasamos todo estos conceptos con toda seguridad serán muy
familiares. Ahora vamos con la instalación física en el servidor...
Para instalar el Directorio activo utilizaremos el panel de administración del servidor para añadir:
22/96
El Directorio Activo. La consola de administración de servidores
Diremos que si, que añada las herramientas necesarias y confirmamos para que inicie la instalación.
23/96
El Directorio Activo. La consola de administración de servidores
Una vez terminado ya podemos ejecutar la instalación de los servicios de dominio del directorio activo.
Volvemos al panel de administración del servidor y seleccionamos el rol que acabamos de abrir:
Vemos que tenemos destacado un aviso que nos indica que todavía falta algo para configurar. En
realidad sólo nos ha instalado los programas necesarios para ejecutar este rol y ahora hay que lanzarlo.
Hacemos clic en este mensaje en la palabra "Más" que aparece como hipervínculo:
24/96
El Directorio Activo. La consola de administración de servidores
Esta pantalla es una novedad en esta versión de Windows Server. Su función es recolectar todas las
tareas administrativas pendientes de todos los servidores que estemos administrando. En este caso,
puesto que la instalación del directorio activo necesita de un proceso posterior para activarlo, lo anota
como tarea pendiente.
El proceso de pasar un servidor a un controlador de dominio se llama "promover", de ahí que el mensaje
nos indique que ahora debemos:
En la versión anterior...
Desaparece el comando "DCPROMO" que desde Windows 2000 era el que lanzaba esta
instalación del directorio activo.
25/96
El Directorio Activo. La consola de administración de servidores
N os está preguntando si nuestro servidor va a ser para un Controlador de dominio nuevo o va a ser un
controlador adicional en un dominio o bosque existente. En nuestro caso vamos a crear un dominio
nuevo en un bosque nuevo así que elegiremos la tercera opción. El primer caso lo utilizaremos cuando
creemos un controlador de dominio de backup para tener una copia del dominio y así estar preparados
para posibles fallos del servidor, tema que veremos en la parte avanzada del curso. La segunda opción es
para cuando queramos un nuevo dominio dentro del bosque.
Indicamos la tercera opción para un bosque nuevo y le ponemos un nombre, por ejemplo
"miempresa.com":
Pulsamos en "Siguiente":
Anotación
Para no confundirnos con los ejemplos que hicimos en el tema anterior con el DNS, abra la
consola administrativa de este servicio y borra, si es que lo tienes, el ejemplo de zona
principal del DNS. Así lo tendremos limpio y veremos los cambios que se van a producir
cuando se instale el directorio activo.
¡IMPORTANTE!
Recuerda lo que comentamos de no poner caracteres especiales: acentos, "ñ" o
espacios en blanco, en los nombres de los objetos de Windows
El nombre de nuestro ejemplo será "miempresa.com". No importa que no exista el dominio en Internet,
es para uso interno y nunca será visible en el exterior, así que puede utilizar tranquilamente el nombre de
tu empresa, por ejemplo: "adr.es". Pulsamos en "siguiente" y al cabo de un rato (tienen que hacer varios
procesos así que puede tardar un poco) saldrá esta pantalla:
26/96
El Directorio Activo. La consola de administración de servidores
Vamos a modificarlo para dejar el nivel funcional de Server 2008 R2, ya que en nuestra instalación
tenemos servidores con este sistema operativo. Más adelante veremos cómo poder aumentar este nivel
funcional.
El nivel funcional simplemente indica el nivel de compatibilidad con el que debe ejecutarse el servidor.
SI tenemos un Windows Server 2003 en nuestra instalación, debemos poner obligatoriamente el nivel
funcional de 2003. Lo mejor lógicamente es tener el mayor nivel funcional, así dispondremos de más
opciones. Pero lo lógico es que no cambiemos, si los tenemos, todos los servidores que hagan de
controlador de dominio, a la vez. Por lo que es muy importante que, hasta que no tengamos todos los
servidores con 2012, no indiquemos este nivel funcional.
27/96
El Directorio Activo. La consola de administración de servidores
¡IMPORTANTE!
Subir de nivel funcional es un proceso inmediato y muy sencillo. Sin embargo no
podemos bajar de versión una vez que hayamos si nivel funcional. Por tanto hay que
asegurarse de elegir el nivel funcional correcto.
Acepta las versiones Windows Server 2003, 2008, 2008 R2 y 2012. En este nivel tenemos estas
prestaciones:
Este nivel esta soportado solamente para ejecutarse en controladores de dominio de Window Server
2008, R2 y 2012. Con este nivel, tenemos todos las funcionalidades de Windows Server 2008 ; además
de las vistas en el nivel funcional de Windows Server 2003
28/96
El Directorio Activo. La consola de administración de servidores
Sigamos con la instalación. Nos habíamos quedado con estos datos en pantalla:
La primera opción nos solicita que instalemos un servidor DNS. Como ya lo tenemos instalado aparece
marcado. La opción de catálogo global también es imprescindible para el primer controlador de dominio,
así que aparece también marcado.
Si alguna vez tenemos un fallo grave en el servidor perderíamos, en principio, el Directorio Activo y
sería una pequeña catástrofe. Por suerte al iniciar Windows tenemos la posibilidad de iniciar la sesión en
un modo especial para ejecutar comandos para intentar recuperar el servidor. En este caso la contraseña
que nos pide es para poder acceder a la configuración del Directorio y así poder restaurarlo. Esta
contraseña es distinta que la contraseña del usuario "Administrador" del Dominio así que ten cuidado
con ella y mantenla segura. Tiene lógica que sea distinta ya que si por ejemplo la base de datos está
corrupta y precisamente queremos arreglarla no podemos hacerlo con la cuenta de Administrador porque
no se puede acceder a ella. Ponemos una contraseña y continuamos.
29/96
El Directorio Activo. La consola de administración de servidores
Nos solicita el nombre "NetBIOS" del dominio que estamos creando. Este nombre es el equivalente a
"miempresa.com" para compatibilidad con dominios antiguos. Es un nombre más corto y no permite la
notación de DNS normal: nombre.com. Lo habitual es dejar el mismo nombre del dominio pero sin la
extensión, como vemos en la pantalla de ejemplo.
Continuamos para ver las rutas donde se almacenará la base de datos del directorio activo:
Ya comentamos antes dónde se guardan los datos del directorio activo. Como vemos aquí, nos sugiere
esas carpetas y las dejaremos como están. En caso de querer hacer copias de seguridad, ya sabemos en
qué rutas se almacenan las bases de datos. Sigamos...
30/96
El Directorio Activo. La consola de administración de servidores
Parece que ya está todo listo, nos muestra una pantalla de resumen de todo lo seleccionado. Pulsamos en
"Siguiente" para comenzar con la instalación, superando primero unos prerequisitos:
Al comenzar la instalación veremos varios mensajes de los procesos que está realizando:
Una vez finalizado se reiniciará el servidor siendo ya un controlador de dominio del dominio
"miempesa.com". Resumiendo, los datos proporcionados han sido:
Nombre de dominio
Nombre de dominio Netbios (para compatibilidad)
Nivel funcional del bosque
31/96
El Directorio Activo. La consola de administración de servidores
Como ves, se trata de las herramientas que comentamos anteriormente para administrar todo lo relativo
al directorio activo.
Primero veamos que aspecto tiene ahora la consola del servicio de nombres o DNS. Abriremos la
consola administrativa del servicio de DNS. Sabemos que tiene que haber muchos cambios desde la
última vez que lo abrimos porque ahora debe haber una zona nueva con el nuevo dominio y unos cuantos
registros nuevos, veamos:
32/96
El Directorio Activo. La consola de administración de servidores
Abriremos las "Zonas de búsqueda Directa" para comprobar que la instalación nos ha creado una zona
con el mismo nombre que el dominio "miempresa.com". Haz clic en el nombre del dominio (o actualiza
con el botón derecho) para que refresque la parte derecha y verás las entradas creadas: la del inicio de
autoridad (SOA), la que identifica que es un servidor DNS (NS) y la entrada del propio equipo (A).
Hacemos clic con el botón derecho en el nombre del dominio y selecciona "Propiedades", si no aparece
esta opción pulsaremos en "Actualizar" para que refresque las opciones. Veremos esta pantalla:
33/96
El Directorio Activo. La consola de administración de servidores
Resume muchas de las cosas que hemos estudiado. Al instalar el Dominio en el Directorio Activo lo ha
integrado con el DNS para que así sea el Directorio Activo quien administre este DNS. Nos fijamos en la
segunda opción Tipo: "integrado con Active Directory" así que no tendremos que mantenerlo
manualmente ya que va a ser el Directorio quien lo haga.
Para terminar esta comprobación veremos la pantalla de administración de usuarios. Abrimos el panel
principal de administración y seleccionamos:
34/96
El Directorio Activo. La consola de administración de servidores
Expandimos las ramas para llegar hasta la que pone "Domain Controllers" y la seleccionamos. Debe
aparecer nuestro servidor, ya que ahora es un controlador de dominio. Nos quedamos aquí en esta
pequeña comprobación para seguir viendo más cosas del Directorio Activo...
Para acceder a la pantalla de introducción en el dominio tenemos que llegar hasta las propiedades del
equipo. Esto lo podemos hacer desde varios sitios. Por ejemplo con el botón derecho en el equipo desde
el botón de inicio:
35/96
El Directorio Activo. La consola de administración de servidores
Esa es la sección que configura un equipo para trabajar de forma aislada en un grupo de trabajo o
integrado en un directorio activo.
36/96
El Directorio Activo. La consola de administración de servidores
¡IMPORTANTE!
En el DNS de este equipo tenemos que poner obligatoriamente la dirección IP de
nuestro nuevo servidor, será imprescindible para poder meterlo en el dominio y así
funcionar correctamente. Revisa en la configuración de la red que has puesto una
dirección IP del mismo rango que la que tiene el servidor y que le has puesto como
DNS nuestro nuevo servidor.
Por un momento no utilizaremos el servicio de DHCP y le pondremos una IP fija:
Pulsamos en el enlace de la pantalla anterior de las propiedades del equipo donde indica "Cambiar
configuración". Esta es la pantalla donde le indicamos a los clientes el nombre del equipo y el grupo de
trabajo o dominio al que pertenece:
37/96
El Directorio Activo. La consola de administración de servidores
Como hasta ahora formaba parte de un grupo de trabajo, vamos a meterlo en el dominio:
Y pulsamos "Aceptar", si todo va bien nos pedirá los credenciales para identificarnos:
38/96
El Directorio Activo. La consola de administración de servidores
Los introducimos y pulsamos en "Aceptar", si todo va bien nos avisará que se ha conseguido introducir
en el dominio:
Anotación
Recuerda que el DNS de todos los equipos debe apuntar al controlador de dominio. De no
ser así, no podrán localizarlo y no podrá pertenecer al directorio activo. La mayoría de los
problemas de las redes con Windows se producen por este motivo. Hay que asegurar que
bien con IP fija, como hemos hecho ahora o con DHCP, como veremos más adelante, los
equipos apuntan al servidor DNS del controlador de dominio.
Una vez reiniciado podremos entrar finalmente en el dominio pero vamos a realizar algunas
comprobaciones primero. Abrimos otra vez las consolas de administración del DNS y de los usuarios y
equipos. Si las teníamos abiertas pulsaremos con el botón derecho para actualizarlos. En primer lugar si
ha ido todo bien, el equipo debería pertenecer al directorio activo así que lo comprobamos:
39/96
El Directorio Activo. La consola de administración de servidores
40/96
El Directorio Activo. La consola de administración de servidores
Recuerda que Windows Vista es la versión 6.0 de Windows, Windows 7 es la 6.1 y Windows 8 es la 6.2.
Cosas del marketing.
Bien, nos ha detectado el sistema operativo y vemos su nombre completo con el DNS: pcWindows7-
PC.miempresa.com. También sabemos que al registrar el equipo debería estar metido su nombre en el
DNS, así que vamos a comprobarlo:
Vemos que encima del servidor aparece "pcWindows7-PC" con su dirección IP: 192.168.0.50.
Recordemos que si no hubiéramos puesto en la dirección IP de este equipos el DNS del controlador de
dominio, con toda seguridad no nos habría funcionado porque el DNS es la parte fundamental para la
localización de los recursos del Directorio Activo.
Tenemos por tanto el equipo en el directorio activo registrado en las dos consolas:
41/96
El Directorio Activo. La consola de administración de servidores
Las zonas integradas en el Directorio Activo son primarias y se almacenan como objetos en la base del
Directorio Activo. Estas zonas tienen varias ventajas:
42/96
El Directorio Activo. La consola de administración de servidores
Esta pantalla la vimos en el capítulo anterior, donde creamos una zona primaria de pruebas. Lo
importante está en la parte de abajo. Al instalar el Directorio Activo automáticamente habilitó la casilla
inferior que hace que la zona primaria se almacene en el directorio. Este es uno de los pasos que hace la
instalación del directorio activo: la creación de una zona principal y almacenarla en el Directorio Activo.
En la pantalla anterior a ésta vemos que está activada la opción de permitir las actualizaciones dinámica.
Esto hace que si cambiamos la dirección IP de nuestro equipo, éste le envía esta información al DNS. Al
admitir actualizaciones dinámicas, aceptará la información y actualizará la base de datos del DNS.
43/96
El Directorio Activo. La consola de administración de servidores
Tenemos varios registros de tipo SRV para los servicios de red de autenticación y consulta de esquema
(kerberos y ldap). Se han creado nuevos porque son servicios de red del directorio activo. Estas entradas
en el controlador de dominio son muy importantes ya que van a permitir a los clientes localizar donde
están esos servicios y, de esta forma, saber dónde tienen que ir a iniciar la sesión.
44/96
El Directorio Activo. La consola de administración de servidores
Debemos tener en cuenta que lo mejor para nuestra red es que exista siempre un controlador de dominio
de respaldo o backup. De esta forma si tenemos una avería importante en el principal o simplemente lo
queremos reiniciar para labores de mantenimiento, tendremos uno de respaldo donde los usuarios podrán
autenticarse. Dedicaremos un capítulo a esta instalación de un servidor de backup ya que es
imprescindible que lo tengamos funcionando. Eso si, no hace falta que sea un servidor, podemos utilizar
un buen PC ya que va a estar "ocioso" la mayor parte del tiempo al ser un servicio que consume pocos
recursos. También podemos crear un servidor virtual para esta tarea y que además haga otras menores
como "WSUS", que veremos más adelante. Recuerda que estamos invirtiendo en seguridad y estabilidad.
El coste de poner ese equipo en marcha es muchísimo menor que las horas que dedicarías a reparar un
servidor corrupto o con un fallo de hardware grave.
45/96
El Directorio Activo. La consola de administración de servidores
Globally unique stamp. Active Directory mantiene una marca que contiene la versión, fecha e
identificador de servidor único global.
El KCC es un proceso que funciona en cada controlador de dominio y genera la topología de la réplica
para todas las particiones del directorio que se contengan en ese controlador. El KCC se ejecuta en
intervalos de 15 minutos por defecto y diseña las rutas de replicación entre controladores con las
conexiones más favorables que están disponibles en ese momento.
Este proceso fue mejorado con respecto al proceso de Windows 2000 y Windows 2003, haciendo que
esta nueva característica elimine la limitación existente de un máximo de 500 sites.
Hacer backup del controlador de dominio es fundamental para poder restaurar la base de datos del
directorio activo en caso de avería. Podemos hacer esta copia de respaldo utilizando aplicaciones
comerciales como BackupExec o DataProtector. Pero tenemos suficientes herramientas como para
hacerlo también desde nuestro Windows.
46/96
El Directorio Activo. La consola de administración de servidores
Debemos copiar con relativa frecuencia el estado del sistema de los controladores de dominio para así
recuperar ese punto cuando queramos. De esta forma, si esto lo hacemos todos los días perderíamos sólo
un parte del día de trabajo. Para automatizarlo para estos periodos estableceremos una regla en el
planificador de tareas.
Anotación
Insisto en que la mejor opción es mantener otro equipo físico o virtual como controlador de
dominio. Así, en caso de avería del principal no tendríamos que restaurar la copia de
seguridad ya que este equipo asumiría todos los roles y podríamos seguir dando servicio.
El Directorio Activo
Registro. Esta base de datos contiene la información sobre la configuración del equipo.
Ficheros de inicio del sistema. Windows Server requiere estos archivos durante su fase de
inicio físico del equipo. Incluye el arranque y archivos de sistema
Base de datos del servicio de certificados. Esta base de datos contiene los certificados del
servidor que Windows Server utiliza para autenticar usuarios. Esta base solamente está
presente si el servidor está funcionando como "servidor de certificados".
Para realizar la operación de backup utilizaremos una herramienta de copias de respaldo provista por
Windows Server . Esta herramienta, al tratarse de algo de uso local no es una función sino una
característica, así que nos vamos a las características y seleccionamos:
47/96
El Directorio Activo. La consola de administración de servidores
Este programa es suficiente para procesos sencillos de copias de seguridad. Si, además, tenemos
instaladas dispositivos de backup como unidades de cinta, las gestionará para realizar las copias en ellas.
Este programa, que ha simplificado mucho su manejo (y ampliado funcionalidades) respecto a la versión
anterior, permite crear tareas repetitivas de copias de seguridad. Es decir, programar una tarea para que
todos los días a las 23:00 realice una copia de seguridad completa del servidor. Veamos su pantalla de
inicio:
En nuestro ejemplo vamos a elegir la segunda opción de "Hacer copia de seguridad una vez". La
programación de una tarea sólo es establecer una repetición a lo que vamos a definir ahora.
Seleccionamos la opción de hacer copia una vez:
48/96
El Directorio Activo. La consola de administración de servidores
Comenzamos con un mensaje de inicio donde nos indica que utilizaremos unas opciones particulares ya
que no se trata de una tarea programada. Pulsaremos en siguiente:
49/96
El Directorio Activo. La consola de administración de servidores
Aquí añadiremos los elementos que queremos que nos guarde. Si pulsamos en "Agregar elementos":
Veremos que podemos seleccionar algunas de las unidades y dos elementos muy importante:
Estado del sistema: Guarda una copia de seguridad de todo lo relativo al directorio activo.
Reconstrucción del sistema. Guarda una copia de todo el servidor complete: unidades lógicas,
físicas y estado del sistema
En nuestro caso queremos guardar el estado del sistema, lo marcamos y pulsamos en "Aceptar". Las
opciones avanzadas son:
50/96
El Directorio Activo. La consola de administración de servidores
Por un lado podemos excluir determinados archivos de la copia de seguridad, por ejemplo los MP3 o los
AVI. En la segunda solapa tenemos la "Configuración de VSS". Esta opción está reservada para
programas que trabajen con archivos de registro, como es Microsoft Exchange. Al activar esta opción, le
indica a Exchange que se ha hecho un copia y le pone el "contador a cero" para que genere archivos de
registros nuevos a partir de este punto.
Indicaremos en el siguiente paso dónde realizaremos la copia de seguridad. Como estamos con pruebas
lo haremos en las propias unidades físicas:
No podremos hacer la copia en el mismo disco así que debemos tener otra unidad.
51/96
El Directorio Activo. La consola de administración de servidores
Anotación
Para hacer pruebas podemos crear una nueva unidad virtual o "encoger" la unidad física
para poder crear una nueva. Si sólo disponemos de una unidad, no podremos hacer copia de
seguridad.
Confirmamos que esta es la operación que queremos realizar. En unos segundos comenzará el proceso de
copia:
52/96
El Directorio Activo. La consola de administración de servidores
6.2 Restauración
Veamos ahora los pasos para realizar el proceso contrario y así restaurar nuestro controlador de dominio.
Ejecutamos el programa de copias de seguridad y seleccionamos la opción de "Recuperar":
53/96
El Directorio Activo. La consola de administración de servidores
Pulsamos en siguiente:
Nos indica que "hay copias de seguridad disponibles para las fechas que se muestran en negrita". Esto es
porque en el registro de la aplicación queda almacenado las fechas de los salvados correctos. Si hacemos
copias regulares, como seguro que vas a hacer, podremos recuperar el estado del sistema a la fecha que le
indiquemos aquí.
54/96
El Directorio Activo. La consola de administración de servidores
55/96
El Directorio Activo. La consola de administración de servidores
Un detalle más que seguramente habrás caído si has utilizado programas para copia de seguridad, y es el
método para realizarla. Si hacemos clic en el panel de tareas sobre la opción "Configurar opciones de
rendimiento":
Se refiere a como debe hacer la copia, si completa (por defecto), incremental (solo los cambios desde la
última copia de seguridad) o personalizada (indicamos en cada volumen el tipo de copia de seguridad).
56/96
El Directorio Activo. La consola de administración de servidores
Las opciones son similares a las anteriores, con el añadido de la programación de la tarea:
De esta forma se realizará todos los días a las 21:00. Opcionalmente, como vemos en la parte inferior,
podemos programas más de una copia diaria.
57/96
El Directorio Activo. La consola de administración de servidores
Si estamos configurando un servidor DHCP, la autorización debe hacerse como parte del dominio del
Directorio Activo. Si no autorizamos el servidor DHCP en el Directorio Activo, el servicio DHCP no se
podrá iniciar correctamente y no responderá a las solicitudes. El servidor DHCP controla el
direccionamiento IP enviado a los clientes DHCP en la red, por lo tanto si el servidor DHCP Server se
configura incorrectamente, los clientes recibirán una configuración incorrecta de direccionamiento IP.
Vamos a la consola de DHCP y podremos comprobar como el servidor que en el capítulo anterior
funcionaba, ahora no está operativo, marcando con una flecha roja hacia abajo este estado:
Para autorizarlos, pulsaremos con el botón derecho en el nombre del servidor y le indicamos "Autorizar":
58/96
El Directorio Activo. La consola de administración de servidores
Una vez autorizado veremos que tenemos en verde los ámbitos creados. Nuestro DHCP está ahora
funcionando y perfectamente integrado con el directorio activo:
Podemos actualizar un servidor 2003 a esta nueva versión pero, ojo, no podemos actualizar un Windows
2003 a Windows 2012, primero tendremos que actualizarlo a Windows 2008 y de ahí a 2012. Aunque,
dado lo que valen actualmente los servidores será mejor adquirir uno con Windows 2012 y migrar los
componentes o programas que teníamos en el Windows 2003 y que procederemos a darle un merecido
retiro.
Si vamos actualizando los servidores y todos los controladores de dominio los tenemos en la misma
versión, podremos ampliar el nivel de funcionalidad para proporcionar más posibilidades a nuestra red.
Este paso es muy sencillo de realizar y se hace desde la consola de administración de usuarios y
equipos.
59/96
El Directorio Activo. La consola de administración de servidores
En nuestro ejemplo, puesto que hicimos la instalación en el nivel funcional de 2008 R2, tendríamos la
posibilidad de elevar al nivel funciona del nuevo Server 2012:
No tiene más opciones porque una vez elevado el nivel funciona no se puede "degradar".
¡IMPORTANTE!
Esto afecta directamente a los demás controladores de domino de nuestra instalación.
Desde el momento que elevamos el nivel funcional, todos los servidores de nuestra red
que tengan el "rol" de directorio activo deben ser de la misma versión.
Si tenemos otros servidores con otras tareas: servidor de ficheros, SQL Server,
Exchange, ... este cambio no les afecta. Sólo se refiere al nivel funcional de los
controladores de dominio, o lo que es lo mismo, lo servidores con el directorio activo.
60/96
El Directorio Activo. La consola de administración de servidores
El catálogo global mantiene un subconjunto de información perteneciente a todos los objetos del
dominio y del bosque. Además, habilita estas características:
Es muy importante que tengamos al menos dos catálogos globales en nuestra red para estar protegidos
con tolerancia a fallos. Por defecto el primer controlador de dominio se designa automáticamente como
catálogo global. En la consola de usuarios y equipos nos lo marca de esta forma:
Si queremos añadir más solo tenemos que abrir la consola de administración de sitios y servicios de
Active Directory, que entre otras cosas, administra la conexión entre los distintos "sites". Una vez abierta
abrimos el primer sitio "Default-First-Site-Name" y en con el botón derecho en las propiedades de NTDS
marcaríamos:
61/96
El Directorio Activo. La consola de administración de servidores
Ahora que tenemos nuestro servidor veremos algunos detalles de cada uno de los maestros de
operaciones que vimos en la parte teórica.
Maestro de esquema.
El maestro de esquema contiene una copia de todo el esquema del directorio activo. El esquema lo
compone la colección de objetos y atributos que soporta nuestro directorio activo: usuarios, rutas DFS,
sites, impresoras, equipos.... En el esquema encontramos esta información:
62/96
El Directorio Activo. La consola de administración de servidores
¡IMPORTANTE!
El esquema es como el "registro de Windows" de nuestra red. Modificar un valor o un
objeto de él puede hacer que dejen de funcionar cosas importantes en la red.
Modifícalo sólo si están seguro de lo que vas a realizar y sus efectos.
Vamos a abrir una consola para ver este esquema. Por defecto no está instalada en los controladores de
dominio así que tendremos que registrarla, abre una consola de comandos y ejecuta este comando:
regsvr32 schmmgt.dll
Ahora ejecuta el comando "mmc" para tener la consola administrativa y luego selecciona "agregar o
quitar complemento":
63/96
El Directorio Activo. La consola de administración de servidores
Ahora podemos explorar el esquema del directorio activo con mucho cuidado de no borrar ni modificar
ningún elemento. Por ejemplo, buscamos el objeto "User":
Podemos ver en la parte la derecha todos los atributos que contiene, entre ellos el nombre del usuario en
"name". Ya ves la importancia del esquema, ya que contiene todos los objetos de nuestro directorio
activo.
Además de esta (necesariamente oculta) herramienta, disponemos de otra que si está accesible, y es:
64/96
El Directorio Activo. La consola de administración de servidores
Este editor permite ver y editar el contenido del directorio activo. El esquema anterior es la estructura de
datos, es decir los objetos que puede tener y con este editor accedemos al contenido de los datos. La
ejecutamos e indicamos que queremos conectarnos:
65/96
El Directorio Activo. La consola de administración de servidores
En esta carpeta están todos los grupos y usuarios del directorio activo. Por ejemplo, vemos a la derecha
un usuario llamado "Invitado", que si hacemos clic con el botón derecho del ratón para ver sus
propiedades, podremos ver:
Es decir, todos sus datos completos. El esquema indica cómo son los objetos, y aquí podemos verlos
creados.
66/96
El Directorio Activo. La consola de administración de servidores
Puesto que en nuestros ejemplos hemos creado un nuevo dominio, nuestro servidor está ejecutando todos
estos maestros o "roles" ya que es el primer controlador de dominio.
Emulador PDC
En Windows 2000/2003/2008 Server, el emulador de PDC hacia las funciones de controlador primario
de dominio (PDC) que necesitaba para compatibilidad de Windows NT 4.0. En Windows 2012 ya no es
necesario este servicio porque ya no están soportados los controladores de Windows NT 4.0.
De todas formas equipos con Windows NT y Windows 98 pueden estar todavía integrados en una red de
Windows 2012 Server haciendo este servicio emulación de las comunicaciones entre las dos partes. Solo
se necesita un emulador de PDC en todo el bosque. Se recomienda dejar este emulador en el dominio
raíz del bosque y en un controlador de dominio de Windows 2012 Server.
Si no existiera este emulador, los equipos "pre-Windows 2000" no podrán, por ejemplo, cambiar sus
contraseñas.
Maestro de infraestructura
Este maestro de operaciones realiza dos operaciones críticas en bosques de varios dominios:
Actualiza las referencias de objetos en otros dominios del bosque. Por ejemplo, si dos
administradores de dos ciudades distintas crean un usuario a la vez que se llame "Antonio" se
produciría un error. El maestro de infraestructura se encargará de mantener esta coherencia.
Rastrea los cambios de miembros de grupos a través de los dominios del bosque para mantener
la coherencia e integridad.
Maestro RID
Ya sabemos que todos los objetos de nuestro directorio activo: usuarios, grupos, ... tienen un
identificador único llamado SID. Si nosotros creamos una cuenta de usuario con el nombre "jose Lopez"
le asignará un único valor SID. Pero... si borramos esa cuenta y la volvemos a crear con los mismos
datos exactamente le asignará un nuevo número SID, es por tanto siempre, un valor único.
67/96
El Directorio Activo. La consola de administración de servidores
El maestro RID mantiene esta lista de identificadores en bloques de 500 que asigna a los servidores,
creando nuevos bloques cuando llega al 80% de su ocupación. Por tanto el RID asigna a los
controladores de dominio bloques de 500 Id's. Cuando los agota el maestro vuelve a conceder otro grupo
de identificadores. Si el maestro de RID queda fuera de línea, los controladores no podrán obtener más
grupos de identificadores y no podrán crear cuentas.
Recuerda que un RODC, es decir un directorio activo de solo lectura, no puede ser ni catálogo global ni
maestro de operaciones ya que se trata de un modelo especial de sólo lectura en el que no se pueden
grabar objetos.
Cuando creamos un nuevo árbol o un dominio "hijo" en un bosque, el servidor que estamos
promocionando debe ser capaz de comunicarse perfectamente con el maestro de nombres de
dominio, sino, la promoción fallará.
Si necesitamos modificar el esquema, el servidor con el que estamos haciendo esa edición debe
ser capaza de comunicarse con el maestro de esquema. Esto incluye la instalación de
aplicaciones como Exchange Server en los que hace una modificación del esquema.
Los equipos "pre-Windows" 2000 deben ser capaces de contactar con el maestro del emulador
de PDC si los usuarios quieren realizar modificaciones de las cuentas, como el cambio de
contraseñas.
El emulador de PDC asegura que todos los relojes de los equipos del dominio estén
sincronizados. También podemos configurar otro controlador de dominio con "GTIMESERV"
para asegurarnos de que están perfectamente sincronizados.
Cuando creemos usuarios o grupos demos conectarnos con el maestro de infraestructura para
asegurarnos que no se producen conflictos en los cambios. Recuerda que este maestro también
controla los datos de pertenencia de grupos a través de los dominios y esos cambios no se
podrán guardar si el maestro de infraestructura no está disponible.
Cuando creemos un usuario, grupo o cuenta de equipo, el servidor en el que estamos realizando
estas tareas debe tener maestros de RID disponibles. Cuando el servidor agota su grupo de
identificadores RID, debe contactar con el maestro de RID o sino no podrá crear nuevas
cuentas.
Trasferencia de maestros
68/96
El Directorio Activo. La consola de administración de servidores
Cuando creamos nuevos dominios en un bosque, todos los maestros de operaciones se encuentran por
defecto en el primer controlador de dominio. Seguramente vamos a querer transferir esos maestros a
otros controladores de dominio por varias razones. Por ejemplo, si nos quedamos sin un maestro por
avería debemos habilitar a otro servidor para que recoja esta función. Otras razones pueden ser por
ejemplo:
Queremos balancear o equilibrar la carga para no sobrecargar un servidor y repartir las tareas.
Queremos realizar tareas de mantenimiento en el servidor que aloja alguno de los maestros y
por tanto, no quedará disponible durante un tiempo.
Queremos mover maestros a zonas cercanas de otros administradores, para que se hagan
responsables de ellos.
Podemos transferir los tres maestros con ámbito de dominio desde la consola de "Usuarios y equipos del
Directorio Activo". Primero en el árbol de la consola seleccionaremos el controlador de dominio del que
queremos hacer las transferencias:
Es decir, los maestros se encuentran en otro servidor y nos conectaremos a otro para mover a ese el
maestro que queramos. Una vez seleccionado seleccionaremos en el mismo menú la opción de "Maestro
de operaciones":
69/96
El Directorio Activo. La consola de administración de servidores
Como vemos, podemos modificar los tres maestros principales de nivel de dominio: RID, Infraestructura
y PDC o controlador principal de dominio. En el ejemplo no me deja realizar ningún cambio ya que sólo
tengo un servidor que aloja los 5 maestros, pero si tuviera más de uno podríamos transferir de esta forma
tan sencilla los maestros entre ellos.
Para transferir el maestro de nombre de dominio nos iremos a la consola de "Dominios y confianzas de
Active Directory" ya que es la consola donde añadiríamos los dominios que configurarían nuestro
bosque. Puesto que este maestro es el encargado de la coherencia de los nombres de dominio del bosque
es lógico que se encuentre en esta consola para "controlar" todo el bosque:
70/96
El Directorio Activo. La consola de administración de servidores
Donde podríamos cambiar este maestro. Como nos hayamos en un bosque de un solo dominio y con un
solo controlador de dominio no podremos hacer cambios.
Nos queda la transferencia del último maestro, el del esquema. Esta operación la haremos desde la
consola administrativa del esquema:
Si has comprendido bien la estructura: bosque-dominio y los 5 maestros de operaciones tienes la base
perfecta para conocer el funcionamiento del directorio activo. Pero... ¿que pasa si se nos "estropea" uno
de estos maestros? Ya sabes que según Murphy nos pasará solo en el caso de que tengas un solo
controlador de dominio y el daño sea importante. Si tienes uno de backup seguramente no te pase nada
pero veamos ahora como podemos trabajar internamente con estos maestros.
71/96
El Directorio Activo. La consola de administración de servidores
Supongamos que nos ha pasado que, efectivamente, uno de los maestros ha dejado de funcionar. Esto
puede crearnos un gran problema en la red sino tenemos un backup que esté asumiendo esas operaciones.
Además, como el maestro no funciona no me deja conectarme para poder transferir esa operación.
En este caso tendremos que acudir a la consola de comandos para utilizar un importante comando
llamado "ntdsutil". Este comando será nuestra salvación en muchos casos porque es muy versátil y
permitirá restaurar muchas partes dañadas de nuestra estructura.
Ya estamos en el mantenimiento de los roles, ahora escribimos "connection" para conectarnos con el
servidor que queramos. Escribiremos entonces con que servidor nos queremos conectar con "connect to
server server2008":
Ya estamos conectado con el servidor que queremos, ahora decimos "quit" porque ya nos hemos
conectado al servidor y volvemos a la opción anterior. Ya en esta opción es cuando escribiremos el
comando "seize 'maestro'" donde le indicamos el maestro que queremos recuperar. Escribimos "help":
Ahí tienes la sintaxis para restaurar cada uno de los maestros. Por ejemplo, si escribimos "Seize PDC",
obtendremos este mensaje:
72/96
El Directorio Activo. La consola de administración de servidores
Así que si parece que va a funcionar porque le traspasaría el maestro de PDC al servidor llamado
"servidor" que es con el que nos hemos conectado con el comando "connect to". Repasa bien esta
sección porque es muy importante tenerla presente por si algún día tuvieras necesidad de utilizarla. Aquí
tienes más información de este vital comando NTDSUTIL:
NTDSUTIL
Podremos así poner un controlador de dominio con la seguridad de que no podrán modificar los datos.
Antes de desplegar un controlador de dominio con esta particularidad debemos saber algunas de sus
características:
Los RODC pueden instalarse en un Windows 2012 Server Core, con lo que reducimos
enormemente la capacidad de acceder y manipular datos en esa oficina lejana.
La replicación de los RODC se realiza en una sola dirección. Lógico, recibirá las
actualizaciones de los demás controladores de dominio pero como no puede modificarlo un
usuario no necesita replicar sus cambios a los demás, porque no los hay.
Nivel funcional a partir de Windows Server 2013
Si un RODC ejecuta el servicio de DNS, mantendrá también una copia de solo lectura del
DNS. Si los clientes necesitan escribir nuevos registros, lo harán en un servidor estándar y
luego los replicará a este servidor.
La instalación es muy sencilla, instalaremos el rol de los servicios de directorio y ejecutaremos la tarea
de promoción a controlador de dominio. Comenzamos la instalación:
73/96
El Directorio Activo. La consola de administración de servidores
En este caso, instalaremos un controlador de dominio adicional que será de sólo lectura. Por tanto, en
esta primera pantalla, debe ser la primera opción para "Agregar un controlador de dominio a un dominio
existente". Al continuar podremos seleccionar ahora que este nuevo controlador de dominio se de sólo
lectura:
Anotación
En la primera instalación, esta opción estaba deshabilitada:
Lógico, ya que al tratarse del primero, no puede crearse uno de sólo lectura. Ya que éstos
son una copia de uno existente. En nuestro ejemplo este segundo controlador de dominio
sería una copia del primero que instalamos.
74/96
El Directorio Activo. La consola de administración de servidores
Solicita las cuentas de quienes tienen permisos para lanzar la replicación desde el principal a éstos de
sólo lectura. La siguiente pantalla:
Con esto, ya tendríamos toda la información necesaria para instalar el controlador de dominio de sólo
lectura.
75/96
El Directorio Activo. La consola de administración de servidores
Vamos a ver ahora capacidades muy interesantes que nos van a facilitar la administración conjunta de
varios equipos.
Esta consola pretende centralizar todos los servidores de nuestra red. Por tanto, podemos añadir más
servidores a la consola para así administrar todos de forma centralizada. Por ejemplo, en el menú
"Administrar" seleccionamos "Agregar servidores":
76/96
El Directorio Activo. La consola de administración de servidores
Como podemos ver, podemos añadir otros servidores a la consola. Si hacemos clic en "Sistema
operativo" podremos filtrar la lista para añadir los servidores que queramos:
En esta pantalla hemos añadido un segundo servidor que tiene unos determinados servicios en ejecución:
77/96
El Directorio Activo. La consola de administración de servidores
El resultado es que podemos ver en el árbol de la izquierda todos los servicios que ejecutan los
servidores seleccionados. Por ejemplo, el servicio "NAP" que se ve en la parte avanzada del curso, en la
parte de seguridad, está instalado en el segundo servidor "ServerBk", pero podemos administrar el
servicio aquí de forma centralizada.
Grupos de servidores
Crear grupos de servidores supone realizar tareas de forma conjunta en ellos. Veamos un ejemplo
seleccionando al menos dos.
Anotación
Esta práctica la podrás realizar más adelante cuando tengas más servidores configurados en
el directorio activo.
Le indicamos un nombre y terminamos. Ahora podemos ver de un vistazo todos los datos de cada uno de
los servidores que conforman el grupo:
78/96
El Directorio Activo. La consola de administración de servidores
Al tener el grupo de servidores podemos acceder a toda la administración completa de cada uno de ellos.
Por ejemplo, si hacemos clic con el botón derecho en el primer servidor, que tiene instalado un buen
número de roles, el menú contextual nos muestra todas las consolas y comandos administrativos
disponibles, según los roles instalados:
Ya que estamos administrando varios servidores de una vez, sería buena idea hacer una colecta de los
eventos que se den en cada uno de ellos y que aparezcan en esta consola de forma conjunta. Para hacer
esto, seleccionaremos la opción "Configurar datos de eventos" de la sección de eventos del grupo de
servidores:
79/96
El Directorio Activo. La consola de administración de servidores
Indicaremos el tipo de eventos a recoger y la antigüedad que queremos de ellos. La lista se actualizará
con la colecta de eventos de todos los servidores.
Hemos visto cómo en el árbol de la izquierda tenemos los roles que va adquiriendo nuestro servidor.
También hemos visto que al seleccionarlo nos muestra una completa información en la parte derecha.
Además de esto, y muy importante, si seleccionamos en el servidor con el botón derecho del ratón, nos
mostrará las opciones de este rol. Por ejemplo, para el DNS:
80/96
El Directorio Activo. La consola de administración de servidores
Nos muestra funciones que podemos realizar y acceso a la consola de administración del servicio o rol
de DNS. Esta pantalla es dinámica. Por ejemplo, en el servicio del directorio activo, que instalaremos en
un par de capítulos, nos muestra todas sus consolas administrativas y acceso a los comandos de
administración más importantes:
Así que estaremos al tanto en cada servicio o rol que instalemos, ya que podremos realizar las tarea más
importantes directamente.
81/96
El Directorio Activo. La consola de administración de servidores
El panel de administración se centra en las tareas administrativas de los servicios que proporciona
nuestro servidor a la red. Además permite crear, como hemos visto, grupos de servidores para realizar
una gestión conjunta.
La administración local del servidor nos permite acceder a la gestión del propio servidor: servicios
locales, tareas de mantenimiento, cortafuegos, ... Por tanto el panel de administración gestiona los
servicios que ofrece el servidor a nuestra infraestructura mientras que el panel de administración local
permite centrarse en el funcionamiento del propio servidor.
Hace dos capítulos vimos una parte de lo que nos ofrecía la consola administrativa del servidor. Ahora
vamos a ver el resto de esta importantísima consola porque centraliza todo lo que necesitamos para
supervisar el funcionamiento de nuestro servidor.
Además de acceder desde la opción del menú "Herramientas", también podemos hacerlo desde este panel
central:
10. PowerShell
Hemos comentado que desde la consola de comandos "PowerSell" podemos realizar todas las
operaciones de administración. Estas tareas incluyen la gestión completa de los roles.
82/96
El Directorio Activo. La consola de administración de servidores
Si ejecutamos el primero veremos todo lo que tenemos disponible para instalar y lo que ya tenemos
instalado:
Podemos ponerle como parámetro el servidor del que queremos extraer esta información:
Y aplicarle filtros, por ejemplo para que nos muestre los que estén instalados le diremos que la propiedad
de "InstallState" sea igual "eq" a instalado "Installed":
Filtrará la salida para mostrarnos sólo los que cumplan con esa condición:
Podemos indicar caracteres comodín "*" para indicar que nos muestre solo los roles con un nombre en
concreto. Por ejemplo, los roles que comiencen por "Print*"
83/96
El Directorio Activo. La consola de administración de servidores
Vemos que, efectivamente, los comandos "Get" obtienen y muestran la información solicitada. De la
misma forma los comandos "Install" realiza la instalación del rol indicado. Por ejemplo, para instalar el
servicio de DHCP en un servidor:
Truco o consejo
Tenemos una completa ayuda de los comandos utilizando:
Al ejecutarlo por primera vez, puede que nos indique que debemos descargarnos la última
versión de la ayuda. Indicaremos que sí. Pero si no lo hacemos siempre podemos
descargar la ayuda con el comando:
Update-Help
Para instalar roles en varios servidores utilizaremos "Invoke-Command". Sirva este ejemplo para otros
comandos que permiten ejecutar algún proceso en varios equipos:
84/96
El Directorio Activo. La consola de administración de servidores
Esta consola es una personalización de PowerShell en la que incorpora los comandos relacionados con el
Directorio Activo.
Anotación
Esta ampliación o personalización de PowerShell es ya común en el mundo de los
servidores. Microsoft Exchange incorpora la suya para disponer de una consola de
comandos con todas las operaciones posibles de Exchange.
A lo largo del curso capítulo veremos cómo realizar tareas administrativas mediante comandos
PowerShell
Hemos realizado tareas de forma interactiva en nuestra consola de PowerShell, ahora veamos dos nuevas
posibilidades:
85/96
El Directorio Activo. La consola de administración de servidores
Podemos ver el identificador del proceso "Job6", que podemos consultar por su estado en cualquier
momento con:
Una forma de saber si está completo es preguntando por su estado, de forma parecida al filtro que
aplicamos en un ejemplo anterior:
Trabajos programados
Los trabajos programados sin similares a los que realizábamos con el programador de tareas. Haciendo
un ejemplo similar al anterior, vamos a programar la instalación del visor XPS pero que lo realice a las 3
de la mañana. El comando es en este caso "New-JobTrigger":
Una vez creado con el nombre "$trigger", lo añadimos como una tarea que luego podemos ver en el
administrador de tareas.
Anotación
La instrucción:
No realiza ninguna acción en sí. Simplemente estamos definiendo una variable llamada
"$trigger" que utilizaremos posteriormente
86/96
El Directorio Activo. La consola de administración de servidores
Sesiones desconectadas
Una más de las interesantes opciones que nos ofrece PowerShell es la creación de una sesión de
comandos PowerShell en un equipo remoto. Al crearla, mantenemos una conexión persistente con el otro
servidor, pudiendo ejecutar más comandos. Esta conexión persistente se llama "PSSessions"
La idea es que podamos lanzar un comando en un equipo remoto creando una sesión persistente. Por
ejemplo, crearemos primero dos variables con unos comandos que lanzaremos luego.
No hemos puesto el nombre del servidor ya que vamos a establecer una conexión con el servidor remoto.
Al indicarle que ejecute estos comandos obviamente los hará en él. Vamos con la creación de la variable
para la sesión persistente:
Nos mostrará que ha lanzado la ejecución de un proceso en el servidor remoto. Ahora nos
desconectaremos de esta sesión dejando que continúe el trabajo en el servidor destino.
87/96
El Directorio Activo. La consola de administración de servidores
Por supuesto podemos consultar si se ha instalado ya el visor de XPS en el destino, tal y como vimos al
comienzo de esta sección:
Ahora desinstalaremos este visor de forma remota conectándonos a la sesión persistente que abrimos
antes:
En definitiva, PowerShell permite realizar desde nuestra consola cualquier operación administrativa en
nuestros servidores.
Get-Help Install-WindowsFeature
Update-Help
y por último, y el "arma definitiva", la ayuda "online". Se abrirá un navegador con la ayuda on-line de la
página de Microsoft
88/96
El Directorio Activo. La consola de administración de servidores
En el capítulo anterior dejamos sin configurar la configuración de la conmutación por erro en el servicio
de DHCP. Todavía no teníamos las herramientas necesarias. Ahora ya tenemos lo necesario:
El primer paso será la instalación del servicio de DHCP en el segundo servidor. En este caso, en lugar de
hacerlo en el propio servidor, y así servirnos de práctica, instalaremos el rol con un comando PowerShell
Comenzará la instalación:
89/96
El Directorio Activo. La consola de administración de servidores
Una vez autorizado ya tenemos todo lo necesario. Vamos a crear la conmutación por error:
90/96
El Directorio Activo. La consola de administración de servidores
Continuamos:
Ahora nos pide el servidor que contiene ese servicio DHCP. Como ya tenemos un segundo servidor
autorizado, se lo indicamos. Ahora configuraremos los parámetros de sincronización.
91/96
El Directorio Activo. La consola de administración de servidores
El secreto compartido es una contraseña que le ponemos para cuando hacer modificaciones en esta
configuración del servidor destino.
La comprobación es muy sencilla. Abrimos el segundo servidor y vemos que ha aparecido este ámbito:
92/96
El Directorio Activo. La consola de administración de servidores
Sin crearlo nosotros, ha creado esta copia del ámbito en el destino y sincronizado los datos. Para ver
ahora la configuración de esta sincronización, iremos a las propiedades del protocolo y luego a la pestaña
de "Conmutación por error"
93/96
El Directorio Activo. La consola de administración de servidores
Vemos que "serverbk" está configurado como réplica del otro servidor DHCP. Además el modo
"Equilibrio de carga" que muestra la parte inferior indica que ambos servidores están escuchando
peticiones de DHCP equilibrando la carga de trabajo entre ambos.
94/96
El Directorio Activo. La consola de administración de servidores
Ejercicios
30
Haz login en él y comprueba en la consola del DNS que están creadas las entradas SOA, NS y A del
servidor
30
Registrar un equipo cliente. Asegúrate de poner como DNS el del nuevo servidor y registra el equipo en
el dominio.
95/96
El Directorio Activo. La consola de administración de servidores
96/96