Funcin de controlador de dominio: configurar un controlador de dominio

Funcin de controlador de dominio: configurar un controlador de dominio

Los controladores de dominio almacenan datos y administran las interacciones entre el usuario y el dominio, como los procesos de inicio de sesin, la autenticacin y las bsquedas de directorio. Si ha pensado utilizar este servidor para proporcionar el servicio de directorio Active Directory a los usuarios y equipos de la red, configure este servidor como controlador de dominio. Para configurar un servidor como un controlador de dominio, instale Active Directory en el servidor. Hay cuatro opciones en el Asistente para instalacin de Active Directory. Se puede crear un controlador de dominio adicional en un dominio existente, un controlador de dominio para un nuevo dominio secundario, un controlador de dominio para un nuevo rbol de dominios o un controlador de dominio para un nuevo bosque. Si no est seguro de la funcin que necesita, haga clic en la opcin de funcin deseada para obtener ms informacin. Notas

Si ya ha instalado una funcin de controlador de dominio y desea ver los pasos siguientes, haga clic en la lista inferior en la configuracin del controlador de dominio que haya instalado y, a continuacin, en Pasos siguientes: Completar tareas adicionales.

Si necesita volver a configurar el servidor para una funcin diferente, podr quitar las funciones de servidor existentes. Al quitar la funcin de controlador de dominio, se desinstalar Active Directory del servidor. Tras desinstalar Active Directory, este servidor no continuar participando en la replicacin de objetos de directorio y solicitudes de autenticacin de usuario basadas en dominios. Para obtener ms informacin, consulte las secciones siguientes. Haga clic en la funcin de controlador del tipo de dominio que desea crear: Crear un controlador de dominio adicional para un dominio existente Crear un controlador de dominio para un nuevo bosque Crear un controlador de dominio para un nuevo dominio secundario Crear un controlador de dominio para un nuevo rbol de dominios

Crear un controlador de dominio adicional para un dominio existente

Cree controladores de dominio adicionales cuando desee aumentar la disponibilidad y confiabilidad de los servicios de red. Mediante la adicin de controladores de dominio adicionales, podr proporcionar tolerancia a errores, equilibrar la carga de los controladores de dominio existentes, proporcionar compatibilidad de infraestructura con sitios y mejorar el rendimiento, con lo que ofrecer a los clientes un acceso ms fcil a un controlador de dominio cuando inicien la sesin en la red. Por ejemplo, como se muestra en la siguiente ilustracin, mediante la adicin de un nuevo controlador de dominio (DC2) al dominio microsoft.com, se facilita el desplazamiento de la carga en otros controladores de dominio.

En este tema se explican los pasos bsicos que debe seguir para crear un controlador de dominio adicional en la organizacin. Este proceso implica el uso del Asistente para configurar su servidor y elAsistente para instalacin de Active Directory con el fin de instalar Active Directory en el servidor. Cuando haya terminado de configurar el controlador de dominio, podr completar otras tareas de configuracin. En este tema se trata: Antes de comenzar Configurar el controlador de dominio Pasos siguientes: Completar tareas adicionales

Antes de comenzar
Antes de configurar el servidor como un controlador de dominio, compruebe lo siguiente:

Las opciones configuracin de TCP/IP para el servidor son correctas, en particular las que se utilizan para la resolucin de nombres DNS. Para obtener ms informacin, consulte Configurar TCP/IP para utilizar DNS. Todos los volmenes de disco existentes utilizan el sistema de archivos NTFS. Active Directory requiere como mnimo un volumen NTFS en el que poder almacenar la carpeta SYSVOL y su contenido. Los volmenes FAT32 no son seguros y no admiten compresin de archivos y carpetas, cuotas de disco, cifrado de archivos ni permisos de archivo individuales. Firewall de Windows est habilitado. Para obtener ms informacin, vea Help: Activar Firewall de Windows sin excepciones.

El Asistente para configuracin de seguridad est instalado y habilitado. Para obtener ms informacin acerca del Asistente para configuracin de seguridad, vea Introduccin al Asistente para configuracin de seguridad. En la siguiente tabla se enumera la informacin de la que debe disponer antes de agregar un controlador de dominio.

Antes de agregar una funcin de controlador de dominio Determine los sitios que requieren un controlador de dominio.

Comentarios Si la red est dividida en varios sitios, resulta conveniente poner al menos un controlador de dominio en cada sitio para mejorar el rendimiento de la red. Cuando los usuarios inician la sesin en la

red, es necesario ponerse en contacto con un controlador de dominio como parte del proceso de inicio de sesin. Si los clientes deben conectarse a un controlador de dominio ubicado en un sitio diferente, el proceso de inicio de sesin puede llevar mucho tiempo. Determine si se va a agregar un controlador de dominio adicional en la red o a travs de un medio de copia de seguridad tomado de un controlador de dominio existente. Con servidores que ejecuten Windows Server 2003, puede instalar Active Directory en servidores miembros mediante una copia de seguridad restaurada tomada de un controlador de dominio que ejecute Windows Server 2003. Esta copia de seguridad se puede almacenar en cualquier medio (cinta, CD o DVD) o recurso compartido de red. Si se utilizan los archivos de copia de seguridad restaurados para crear un controlador de dominio adicional, reducir considerablemente el ancho de banda de red utilizado al instalar Active Directory en un recurso compartido de red. An ser necesaria la conectividad de red para replicar todos los objetos nuevos y cambios recientes para los objetos existentes en el nuevo controlador de dominio. Para obtener ms informacin acerca de la creacin de un controlador de dominio adicional a partir de un medio de copia de seguridad, consulte Crear un controlador de dominio adicional. En un catlogo global se almacena una copia completa de todos los objetos del directorio para su dominio host y una copia parcial de todos los objetos de los dems dominios del bosque. Para optimizar el rendimiento de la red en un entorno con varios sitios, puede agregar catlogos globales para sitios especficos. En un entorno con un solo sitio, un nico catlogo global suele ser suficiente para cubrir las consultas comunes de Active Directory. Sin embargo, en un entorno con varios sitios se recomienda utilizar catlogos globales en cada sitio. Para obtener ms informacin acerca de cundo se deben agregar catlogos globales en un entorno con varios sitios, consulte Catlogos globales y sitios. Para agregar un controlador de dominio adicional, el dominio debe contener al menos otro controlador de dominio que ejecute Windows 2000 o Windows Server 2003. Los controladores de dominio de Active Directory no se pueden configurar como controladores de reserva (BDC) para dominios de Windows NT. Para agregar un controlador de dominio a un dominio existente, debe ser miembro del grupo Administradores del dominio o del grupo Administradores de organizacin de Active Directory, o bien debe tener delegada la autoridad correspondiente. Al utilizar el Asistente para instalacin de Active Directory es necesario introducir el nombre del dominio DNS.

Determine si desea que el nuevo controlador de dominio aloje un catlogo global.

Compruebe que estn disponibles los controladores de dominio que ejecutan Windows 2000 o Windows Server 2003.

Obtenga las credenciales administrativas necesarias para agregar un controlador de dominio.

Identifique el nombre del dominio DNS del dominio de Active Directory al que desee agregar el controlador de dominio adicional.

Configurar el controlador de dominio

Para configurar un controlador de dominio, inicie el Asistente para configurar su servidor mediante una de las acciones siguientes:

En Administre su servidor, haga clic en Agregar o quitar funcin. De forma predeterminada, Administre su servidor se inicia automticamente al iniciar la sesin. Para abrir Administre su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Administre su servidor.

Para abrir el Asistente para configurar su servidor, haga clic en Inicio, haga clic en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Asistente para configurar su servidor. En la pgina Funcin del servidor, haga clic en Controlador de dominio (Active Directory) y, a continuacin, en Siguiente. En esta seccin se describe cada uno de los pasos de este proceso y se exponen las opciones y decisiones requeridas a medida que configura el controlador de dominio. En las siguientes secciones se tratan dichos pasos de configuracin: Resumen de las selecciones Utilizar el Asistente para instalacin de Active Directory Completar el Asistente para configurar su servidor Quitar la funcin de controlador de dominio Resumen de las selecciones En la pgina Resumen de las selecciones del Asistente para configurar su servidor, puede ver y confirmar las opciones que ha seleccionado. Si ha seleccionadoControlador de dominio (Active Directory) en la pgina anterior, aparecer el siguiente mensaje: Ejecute el Asistente para instalacin de Active Directory a fin de configurar este servidor como un controlador de dominio Para aplicar las selecciones que aparecen en la pgina Resumen de las selecciones, haga clic en Siguiente. Utilizar el Asistente para instalacin de Active Directory Tras hacer clic en Siguiente, el Asistente para instalacin de Active Directory se iniciar automticamente. Si esta es la primera vez que instala Active Directory en un servidor, haga clic en la pgina de Bienvenida del Asistente para instalacin de Active Directory; a continuacin, haga clic en Ayuda de Active Directory para obtener ms informacin acerca de Active Directory. Despus de consultar la informacin acerca de Active Directory, haga clic en Siguiente. Puede volver a esta pgina desde cualquier lugar del asistente hasta que haga clic enFinalizar en la ltima pgina. En la pgina Compatibilidad de sistema operativo, lea la informacin y haga clic en Siguiente. Si sta es la primera vez que instala Active Directory en un servidor que ejecuta Windows Server 2003, haga clic en Ayuda sobre compatibilidad para obtener ms informacin al respecto. En esta seccin se describen los siguientes pasos del Asistente para instalacin de Active Directory: Tipo de controlador de dominios Credenciales de red Controlador de dominio adicional

Carpetas de la base de datos y del registro Volumen del sistema compartido Contrasea de administrador del Modo de restauracin de servicios de directorio Resumen Tipo de controlador de dominios En la pgina Tipo de controlador de dominios haga clic en Controlador de dominio para un dominio nuevo. Cuando termine, haga clic en Siguiente. Credenciales de red En la pgina Credenciales de red, escriba el nombre de usuario, la contrasea y el dominio de la cuenta de usuario que desee utilizar.

Opcin Nombre de usuario

Comentarios Escriba el nombre de una cuenta de usuario que tenga las credenciales administrativas necesarias. La cuenta de usuario debe ser miembro del grupo Administradores de dominio (en el dominio raz del bosque) o del grupo Administradores de organizacin, o bien, se le debe haber delegado la autoridad correspondiente. Escriba la contrasea de la cuenta de usuario. Debe ser siempre una contrasea segura. Para obtener ms informacin, consulteContraseas seguras. Escriba el nombre DNS completo del dominio en el que son vlidos el nombre de usuario y la contrasea.

contrasea

Dominio

Controlador de dominio adicional En la pgina Controlador de dominio adicional, escriba el nombre DNS completo del dominio en el que desee agregar este controlador de dominio. Un nombre DNS completo se conoce tambin como nombre de dominio completo (FQDN). Los dominios de Active Directory se designan con nombres DNS y siguen la misma estructura jerrquica que DNS. Cuando termine, haga clic en Siguiente. Carpetas de la base de datos y del registro En la pgina Carpetas de la base de datos y del registro, escriba la ubicacin en la que desea instalar las carpetas de la base de datos y el registro o haga clic enExaminar para elegir la ubicacin. Para evitar problemas con la instalacin o eliminacin de Active Directory, es importante confirmar que tiene suficiente espacio en disco para alojar los archivos de la base de datos y el registro del directorio. El Asistente para instalacin de Active Directory requiere 250 megabytes (MB) de espacio en disco para la base de datos de Active Directory y 50 MB para los archivos de registro. Se recomienda almacenar dichos archivos en una particin NTFS. Cuando termine, haga clic en Siguiente. Volumen del sistema compartido En la pgina Volumen del sistema compartido, escriba la ubicacin predeterminada en la que desea instalar la carpeta Sysvol o haga clic en Examinar para seleccionar una ubicacin. La carpeta Sysvol se debe almacenar en un volumen NTFS, puesto que contiene archivos que se replican entre los controladores de dominio de un dominio o bosque. Entre estos archivos se incluyen secuencias de comandos, directivas de sistema de Windows NT 4.0 y versiones anteriores, los recursos compartidos NETLOGON y SYSVOL, y la configuracin de Directiva de grupo.

Cuando termine, haga clic en Siguiente. Contrasea de administrador del Modo de restauracin de servicios de directorio En la pgina Contrasea de administrador del Modo de restauracin de servicios de directorio, escriba y confirme la contrasea que desee asignar a la cuenta Administrador del modo de restauracin para el servidor. Debe utilizar contraseas seguras para las contraseas del modo de restauracin de directorio. Para obtener ms informacin, consulte Contraseas seguras. Importante Debe saber esta contrasea para restaurar una copia de seguridad del Estado del sistema para este controlador de dominio. Utilice esta contrasea cuando el controlador de dominio se inicie en el modo de restauracin de servicios de directorio. Si esta es la primera vez que instala Active Directory en un servidor, haga clic en Ayuda de Active Directory para obtener ms informacin acerca de la contrasea del modo de restauracin. Cuando termine, haga clic en Siguiente. Resumen En la pgina Resumen, revise la informacin y, a continuacin, haga clic en Siguiente. Tras completar la instalacin, haga clic en Finalizar. Para reiniciar el equipo e implementar los cambios, haga clic en Reiniciar ahora. Completar el Asistente para configurar su servidor Despus de reiniciar el servidor, el Asistente para configurar su servidor mostrar la pgina Este servidor es ahora un controlador de dominio. Para revisar todos los cambios que el Asistente para configurar su servidor haya realizado en el servidor o comprobar que se ha instalado correctamente una nueva funcin, haga clic en elregistro de Configuracin de su servidor. El registro del Asistente para configurar su servidor se encuentra en razDelSistema\Debug\Configure Your Server.log. Para cerrar este asistente, haga clic en Finalizar. Despus de completar el Asistente para configurar su servidor, debe visitar Windows Update para descargar las actualizaciones adicionales disponibles. Para obtener ms informacin, consulte Windows Update. Adems, tambin deber ejecutar el Asistente para configuracin de seguridad a fin de asegurar con mayor detalle su controlador de dominio. Puede ejecutar el Firewalls de Windows en un controlador de dominio, pero slo si ejecuta el Asistente para configuracin de seguridad para instalarlo y configurarlo. Para obtener ms informacin, consulte Asistente para configuracin de seguridad. Quitar la funcin de controlador de dominio Si necesita volver a configurar el servidor para una funcin diferente, podr quitar las funciones de servidor existentes. Al quitar la funcin de controlador de dominio, se desinstalar Active Directory del servidor. Tras desinstalar Active Directory, este servidor no continuar participando en la replicacin de objetos de directorio y solicitudes de autenticacin de usuario basadas en dominios. Para quitar la funcin de controlador de dominio, reinicie el Asistente para configurar su servidor mediante una de las acciones siguientes:

En Administre su servidor, haga clic en Agregar o quitar funcin. De forma predeterminada, Administre su servidor se inicia automticamente al iniciar la sesin. Para abrir Administre su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Administre su servidor. Para abrir el Asistente para configurar su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Asistente para configurar su servidor.

En la pgina Funcin del servidor, haga clic en Controlador de dominio (Active Directory) y, a continuacin, en Siguiente. En la pgina Confirmacin de supresin de funcin, revise los elementos que aparecen en Resumen, active la casilla de verificacin Quitar la funcin de controlador de dominio, haga clic enSiguiente y, a continuacin, siga los pasos del Asistente para instalacin de Active Directory. --------------------------------------------------------------------------------

Pasos siguientes: Completar tareas adicionales

Despus de completar el Asistente para instalacin de Active Directory, el servidor estar configurado como un controlador de dominio. Se puede utilizar para almacenar datos, administrar objetos y proporcionar informacin a los usuarios, equipos y aplicaciones. Hasta el momento ha creado un nuevo dominio o un controlador de dominio adicional para un dominio existente. En la siguiente tabla se enumeran algunas de las tareas adicionales que puede desear llevar a cabo en el controlador de dominio.

Tarea Proteger el nuevo controlador de dominio en una sala cerrada. Usar tcnicas seguras de cifrado.

Objetivo de la tarea Asegurarse de que nadie pueda obtener acceso fsicamente al controlador de dominio. Proteger la informacin de las contraseas de las cuentas almacenada en el controlador del nuevo dominio.

Consulte Controladores de dominio;Proteger Active Directory Utilidad de clave del sistema

Crear un controlador de dominio para un nuevo bosque

Cree un controlador de dominio para un bosque nuevo cuando desee actualizar a un dominio de Windows NT para que pase a ser el primer dominio de un bosque, segmentar la red en bsqueda de autonoma administrativa, proporcionar un lmite de seguridad para proteger los datos confidenciales, aislar el mbito de la replicacin de directorios o utilizar un espacio de nombres DNS no contiguo que sea diferente de cualquier bosque existente en la red. Por ejemplo, como se muestra en la siguiente ilustracin, el bosque microsoft.com es el primer dominio Active Directory de una organizacin.

En este tema se explican los pasos bsicos que debe seguir para configurar un controlador de dominio para un nuevo bosque en la organizacin. Este proceso implica el uso del Asistente para configurar su servidor y el Asistente para instalacin de Active Directory con el fin de instalar Active Directory en el servidor. Cuando haya terminado de configurar el controlador de dominio, podr completar otras tareas de configuracin.

En este tema se trata: Antes de comenzar Configurar el controlador de dominio Pasos siguientes: Completar tareas adicionales

Antes de comenzar
Antes de configurar el servidor como un controlador de dominio, compruebe lo siguiente:

Las opciones configuracin de TCP/IP para el servidor son correctas, en particular las que se utilizan para la resolucin de nombres DNS. Para obtener ms informacin, consulte Configurar TCP/IP para utilizar DNS. Todos los volmenes de disco existentes utilizan el sistema de archivos NTFS. Active Directory requiere como mnimo un volumen NTFS en el que poder almacenar la carpeta SYSVOL y su contenido. Los volmenes FAT32 no son seguros y no admiten compresin de archivos y carpetas, cuotas de disco, cifrado de archivos ni permisos de archivo individuales. Firewall de Windows est habilitado. Para obtener ms informacin, vea Help: Activar Firewall de Windows sin excepciones.

El Asistente para configuracin de seguridad est instalado y habilitado. Para obtener ms informacin acerca del Asistente para configuracin de seguridad, vea Introduccin al Asistente para configuracin de seguridad. En la siguiente tabla se enumera la informacin de la que debe disponer antes de agregar un controlador de dominio a un nuevo bosque.

Antes de agregar una nueva funcin de controlador de dominio para un nuevo bosque Compruebe que DNS est configurado correctamente para la organizacin.

Comentarios Es necesario confirmar que DNS est configurado correctamente en la red y que es compatible con actualizaciones dinmicas y registros de recursos de servicio (SRV). Si est configurando Active Directory por primera vez en la organizacin y no tiene una infraestructura DNS configurada, el Asistente para instalacin de Active Directory instalar y configurar DNS en este servidor durante el proceso de instalacin de Active Directory. Active Directory requiere que funcione DNS y compartir la misma estructura jerrquica de dominios. Por ejemplo, microsoft.com es un dominio DNS y un dominio de Active Directory. Para crear un nuevo bosque, debe ser un miembro del grupo Administradores del equipo local, o bien debe tener delegada la autoridad correspondiente.

Obtenga las credenciales administrativas necesarias para crear un bosque.

Configurar el controlador de dominio

Para configurar un controlador de dominio, inicie el Asistente para configurar su servidor mediante una de las acciones siguientes:

En Administre su servidor, haga clic en Agregar o quitar funcin. De forma predeterminada, Administre su servidor se inicia automticamente al iniciar la sesin. Para abrir Administre su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Administre su servidor.

Para abrir el Asistente para configurar su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Asistente para configurar su servidor. En la pgina Funcin del servidor, haga clic en Controlador de dominio (Active Directory) y, a continuacin, en Siguiente. En esta seccin se describe cada uno de los pasos de este proceso y se exponen las opciones y decisiones requeridas a medida que configura el controlador de dominio. En las siguientes secciones se tratan dichos pasos de configuracin: Resumen de las selecciones Utilizar el Asistente para instalacin de Active Directory Completar el Asistente para configurar su servidor Quitar la funcin de controlador de dominio Resumen de las selecciones En la pgina Resumen de las selecciones del Asistente para configurar su servidor, puede ver y confirmar las opciones que ha seleccionado. Si ha seleccionadoControlador de dominio (Active Directory) en la pgina anterior, aparecer el siguiente mensaje: Ejecute el Asistente para instalacin de Active Directory a fin de configurar este servidor como un controlador de dominio Para aplicar las selecciones que aparecen en la pgina Resumen de las selecciones, haga clic en Siguiente. Utilizar el Asistente para instalacin de Active Directory Tras hacer clic en Siguiente, el Asistente para instalacin de Active Directory se iniciar automticamente. Si esta es la primera vez que instala Active Directory en un servidor, haga clic en la pgina de Bienvenida del Asistente para instalacin de Active Directory; a continuacin, haga clic en Ayuda de Active Directory para obtener ms informacin acerca de Active Directory. Despus de consultar la informacin acerca de Active Directory, haga clic en Siguiente. Puede volver a esta pgina desde cualquier lugar del asistente hasta que haga clic enFinalizar en la ltima pgina. En la pgina Compatibilidad de sistema operativo, lea la informacin y haga clic en Siguiente. Si sta es la primera vez que instala Active Directory en un servidor que ejecuta Windows Server 2003, haga clic en Ayuda sobre compatibilidad para obtener ms informacin al respecto. En esta seccin se describen los siguientes pasos del Asistente para instalacin de Active Directory: Tipo de controlador de dominios Crear nuevo dominio Nuevo nombre de dominio Nombre de dominio NetBIOS Carpetas de la base de datos y del registro Volumen del sistema compartido

Diagnsticos de registro de DNS Permisos Contrasea de administrador del Modo de restauracin de servicios de directorio Resumen Tipo de controlador de dominios En la pgina Tipo de controlador de dominios haga clic en Controlador de dominio para un dominio nuevo. Cuando termine, haga clic en Siguiente. Crear nuevo dominio En la pgina Crear nuevo dominio, haga clic en Dominio en un nuevo bosque. Cuando termine, haga clic en Siguiente. Nuevo nombre de dominio En la pgina Nuevo nombre de dominio, escriba el nombre DNS completo para el nuevo dominio. Proporcione un nombre DNS completo para el nuevo bosque de Active Directory que va a crear (por ejemplo, oficinacentral.ejemplo.microsoft.com). Un nombre DNS completo se conoce tambin como nombre de dominio completo (FQDN). Los dominios de Active Directory se designan con nombres DNS y siguen la misma estructura jerrquica que DNS. Al seleccionar los nombres DNS que se van a utilizar en el bosque de Active Directory, comience por el sufijo del dominio DNS registrado que la organizacin haya reservado para su uso en Internet como, por ejemplo, microsoft.com. Cuando termine, haga clic en Siguiente. Nombre de dominio NetBIOS En la pgina Nombre de dominio NetBIOS, compruebe el nombre NetBIOS. Aunque los nombres de los dominios de Active Directory se nombran segn los estndares de nomenclatura DNS, se debe definir tambin un nombre NetBIOS al crear dominios de Active Directory. Siempre que sea posible, los nombres NetBIOS deben ser iguales que la primera etiqueta del nombre del dominio DNS. Si el dominio de Active Directory tiene un nombre DNS cuya primera etiqueta es diferente de su nombre NetBIOS, el FQDN se crear con el nombre de dominio DNS, no con el nombre NetBIOS. Por ejemplo, si la primera etiqueta del nombre de dominio DNS es "secundario" (secundario.microsoft.com es el FQDN) y el nombre NetBIOS es "ventas", el FQDN ser "secundario.microsoft.com". Cuando termine, haga clic en Siguiente. Carpetas de la base de datos y del registro En la pgina Carpetas de la base de datos y del registro, escriba la ubicacin en la que desea instalar las carpetas de la base de datos y el registro o haga clic enExaminar para elegir la ubicacin. Para evitar problemas con la instalacin o eliminacin de Active Directory, es importante confirmar que tiene suficiente espacio en disco para alojar los archivos de la base de datos y el registro del directorio. El Asistente para instalacin de Active Directory requiere 250 megabytes (MB) de espacio en disco para la base de datos de Active Directory y 50 MB para los archivos de registro. Se recomienda almacenar dichos archivos en una particin NTFS. Cuando termine, haga clic en Siguiente. Volumen del sistema compartido En la pgina Volumen del sistema compartido, escriba la ubicacin predeterminada en la que desea instalar la carpeta Sysvol o haga clic en Examinar para seleccionar una ubicacin. La carpeta Sysvol se debe almacenar en un volumen NTFS, puesto que contiene archivos que se replican entre los controladores de dominio de un dominio o bosque. Entre estos archivos se incluyen secuencias de comandos, directivas de sistema de Windows NT 4.0 y versiones anteriores, los recursos compartidos NETLOGON y SYSVOL, y la configuracin de Directiva de grupo.

Cuando termine, haga clic en Siguiente. Diagnsticos de registro de DNS En la pgina Diagnsticos de registro de DNS, compruebe que la configuracin de DNS es correcta. Si aparece un diagnstico de error en Resultados de diagnstico, haga clic Ayudapara obtener ms informacin acerca de cmo solucionar el error. Cuando termine, haga clic en Siguiente. Permisos En la pgina Permisos, haga clic en el nivel de compatibilidad de aplicaciones con sistemas operativos anteriores a Windows 2000, de Windows 2000 o Windows Server 2003. En los servidores que ejecuten Windows NT 4.0 y versiones anteriores, se asigna acceso de lectura para la informacin de usuarios y grupos a los usuarios annimos, de forma que funcionen correctamente las aplicaciones existentes, incluidas Microsoft BackOffice, SQL Server y algunas aplicaciones que no son de Microsoft. En Windows 2000 y la familia Windows Server 2003, los miembros del grupo Inicio de sesin annimo slo tienen acceso de lectura a dicha informacin si el grupo se agrega al grupo Acceso compatible anterior a Windows 2000.

Opcin Permisos compatibles con sistemas operativos de servidor anteriores a Windows 2000 Permisos compatibles slo con sistemas operativos Windows 2000 o Windows Server 2003

Comentarios Seleccione esta opcin si desea que el grupo Inicio de sesin annimo y los grupos de seguridad Todos se agreguen al grupo Acceso compatible anterior a Windows 2000. Haga clic en esta opcin para impedir que los miembros del grupo Inicio de sesin annimo obtengan acceso de lectura a la informacin de usuarios y grupos.

Despus de seleccionar una de estas opciones, podr cambiar manualmente entre la configuracin de compatibilidad con versiones anteriores y de alta seguridad en los objetos de Active Directory. Para ello, abra Usuarios y equipos de Active Directory y, a continuacin, agregue el grupo de seguridad Inicio de sesin annimo al grupo de seguridad Acceso compatible anterior a Windows 2000. Cuando termine, haga clic en Siguiente. Contrasea de administrador del Modo de restauracin de servicios de directorio En la pgina Contrasea de administrador del Modo de restauracin de servicios de directorio, escriba y confirme la contrasea que desee asignar a la cuenta Administrador del modo de restauracin para el servidor. Debe utilizar contraseas seguras para las contraseas del modo de restauracin de directorio. Para obtener ms informacin, consulte Contraseas seguras. Importante Debe saber esta contrasea para restaurar una copia de seguridad del Estado del sistema para este controlador de dominio. Utilice esta contrasea cuando el controlador de dominio se inicie en el modo de restauracin de servicios de directorio. Si es la primera vez que instala Active Directory en un servidor, haga clic en Ayuda de Active Directory para obtener ms informacin acerca de la contrasea del modo de restauracin. Cuando termine, haga clic en Siguiente. Resumen En la pgina Resumen, revise la informacin y, a continuacin, haga clic en Siguiente.

Tras completar la instalacin, haga clic en Finalizar. Para reiniciar el equipo e implementar los cambios, haga clic en Reiniciar ahora. Completar el Asistente para configurar su servidor Despus de reiniciar el servidor, el Asistente para configurar su servidor mostrar la pgina Este servidor es ahora un controlador de dominio. Para revisar todos los cambios que el Asistente para configurar su servidor haya realizado en el servidor o comprobar que se ha instalado correctamente una nueva funcin, haga clic en elregistro de Configuracin de su servidor. El registro del Asistente para configurar su servidor se encuentra en razDelSistema\Debug\Configure Your Server.log. Para cerrar este asistente, haga clic en Finalizar. Despus de completar el Asistente para configurar su servidor, debe visitar Windows Update para descargar las actualizaciones adicionales disponibles. Para obtener ms informacin, consulte Windows Update. Adems, tambin deber ejecutar el Asistente para configuracin de seguridad a fin de asegurar con mayor detalle su controlador de dominio. Puede ejecutar el Firewalls de Windows en un controlador de dominio, pero slo si ejecuta el Asistente para configuracin de seguridad para instalarlo y configurarlo. Para obtener ms informacin, consulte Asistente para configuracin de seguridad. Quitar la funcin de controlador de dominio Si necesita volver a configurar el servidor para una funcin diferente, podr quitar las funciones de servidor existentes. Al quitar la funcin de controlador de dominio, se desinstalar Active Directory del servidor. Tras desinstalar Active Directory, este servidor no continuar participando en la replicacin de objetos de directorio y solicitudes de autenticacin de usuario basadas en dominios. Para quitar la funcin de controlador de dominio, reinicie el Asistente para configurar su servidor mediante una de las acciones siguientes:

En Administre su servidor, haga clic en Agregar o quitar funcin. De forma predeterminada, Administre su servidor se inicia automticamente al iniciar la sesin. Para abrir Administre su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Administre su servidor.

Para abrir el Asistente para configurar su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Asistente para configurar su servidor. En la pgina Funcin del servidor, haga clic en Controlador de dominio (Active Directory) y, a continuacin, en Siguiente. En la pgina Confirmacin de supresin de funcin, revise los elementos que aparecen en Resumen, active la casilla de verificacin Quitar la funcin de controlador de dominio, haga clic enSiguiente y, a continuacin, siga los pasos del Asistente para instalacin de Active Directory.

Pasos siguientes: Completar tareas adicionales

Despus de completar el Asistente para instalacin de Active Directory, el servidor estar configurado como un controlador de dominio. Se puede utilizar para almacenar datos, administrar objetos y proporcionar informacin a los usuarios, equipos y aplicaciones. Hasta este momento, ha creado un controlador de dominio para un nuevo bosque. En la siguiente tabla se enumeran algunas de las tareas adicionales que puede desear llevar a cabo en el controlador de dominio.

Tarea Proteger el nuevo

Objetivo de la tarea Asegurarse de que nadie pueda

Consulte Controladores de dominio;Proteger Active Directory

controlador de dominio en una sala cerrada. Usar tcnicas seguras de cifrado.

obtener acceso fsicamente al controlador de dominio. Proteger la informacin de las contraseas de las cuentas almacenada en el controlador del nuevo dominio. Mejorar la seguridad en todo el bosque mediante cifrado de clave pblica. Evitar el acceso no autorizado a la organizacin. Utilidad de clave del sistema

Comprobar y autenticar la validez de cada usuario. Exigir que los usuarios del dominio utilicen contraseas seguras. Habilitar la directiva de auditora.

Infraestructura de claves pblicas

Contraseas seguras

Recibir notificacin de acciones que puedan conllevar riesgo para la seguridad. Reducir la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesin. Reducir la posibilidad de que un intruso ponga en peligro el dominio. Reducir la posibilidad de que un intruso ponga en peligro el dominio.

Directiva de auditora

Promover los bloqueos de cuenta en las cuentas de los usuarios.

Cuentas de usuarios y equipos

Promover el historial de contraseas en las cuentas de los usuarios. Promover la duracin mnima y mxima de la contrasea en las cuentas de los usuarios. Implementar el filtrado de identificadores de seguridad (SID).

Forzar el historial de contraseas

Duracin mnima de la contrasea;Duracin mxima de la contrasea

Evitar ataques de usuarios malintencionados que pueden intentar conceder derechos de usuario elevados a otra cuenta de usuario. Proporcionar autenticacin de

Consulte la pgina de utilizacin del filtrado de identificadores de seguridad (SID) para impedir ataques de elevacin de privilegios en el sitio Web de Microsoft.(http://www.microsoft.com/)

Implementar las tarjetas

Introduccin a las tarjetas inteligentes

inteligentes.

usuario difcil de manipular y seguridad de correo electrnico. Proteger recursos. Tipos de grupos

Limitar el acceso de usuarios, grupos y equipos a los recursos compartidos y filtrar la configuracin de Directiva de grupo. Crear confianzas de bosque, segn corresponda.

Administrar la relacin de seguridad entre dos bosques y simplificar la administracin de seguridad y la autenticacin entre bosques. Definir especficamente la funcin administrativa de los miembros del dominio.

Confianzas de bosque

Asignar derechos de usuario a los nuevos grupos de seguridad.

Tipos de grupos

Crear un controlador de dominio para un nuevo dominio secundario

Cree un nuevo controlador de dominio para un nuevo dominio secundario cuando desee crear un dominio que comparta un espacio de nombres contiguo con uno o varios dominios existentes. Esto significa que el nombre del dominio nuevo contiene el nombre completo del dominio principal. Por ejemplo, como se muestra en la siguiente ilustracin, secundario.microsoft.com sera un dominio secundario de microsoft.com. Es recomendable que cree los dominios nuevos como secundarios del dominio raz del bosque.

En este tema se explican los pasos bsicos que debe seguir para configurar un controlador de dominio para un nuevo dominio secundario en la organizacin. Este proceso implica el uso del Asistente para configurar su servidor y el Asistente para instalacin de Active Directory con el fin de instalar Active Directory en el servidor. Cuando haya terminado de configurar el controlador de dominio, podr completar otras tareas de configuracin. En este tema se trata: Antes de comenzar Configurar el controlador de dominio Pasos siguientes: Completar tareas adicionales

Antes de comenzar
Antes de configurar el servidor como un controlador de dominio, compruebe lo siguiente:

Las opciones configuracin de TCP/IP para el servidor son correctas, en particular las que se utilizan para la resolucin de nombres DNS. Para obtener ms informacin, consulte Configurar TCP/IP para utilizar DNS. Todos los volmenes de disco existentes utilizan el sistema de archivos NTFS. Active Directory requiere como mnimo un volumen NTFS en el que poder almacenar la carpeta SYSVOL y su contenido. Los volmenes FAT32 no son seguros y no admiten compresin de archivos y carpetas, cuotas de disco, cifrado de archivos ni permisos de archivo individuales. Firewall de Windows est habilitado. Para obtener ms informacin, vea Help: Activar Firewall de Windows sin excepciones.

El Asistente para configuracin de seguridad est instalado y habilitado. Para obtener ms informacin acerca del Asistente para configuracin de seguridad, vea Introduccin al Asistente para configuracin de seguridad. En la siguiente tabla se enumera la informacin de la que debe disponer antes de agregar un controlador de dominio.

Antes de agregar un controlador de dominio Identifique el nombre del dominio DNS del dominio de Active Directory al que desee agregar el controlador de dominio. Al instalar Active Directory, compruebe que la velocidad de la red es adecuada. Determine los sitios que requieren un controlador de dominio.

Comentarios Es necesario proporcionar el nombre de dominio DNS para el dominio principal de este dominio secundario.

El servidor en el que desee instalar Active Directory y crear un dominio secundario debe tener acceso a la red mediante una conexin de alta velocidad. Si la red est dividida en varios sitios, resulta conveniente poner al menos un controlador de dominio en cada sitio para mejorar el rendimiento de la red. Cuando los usuarios inician la sesin en la red, es necesario ponerse en contacto con un controlador de dominio como parte del proceso de inicio de sesin. Si los clientes deben conectarse a un controlador de dominio ubicado en un sitio diferente, el proceso de inicio de sesin puede llevar mucho tiempo. Un catlogo global almacena una copia de todos los objetos de Active Directory de un bosque en un controlador de dominio. En el catlogo global se almacena una copia completa de todos los objetos del directorio para su dominio host y una copia parcial de todos los objetos para los dems dominios del bosque. Para optimizar el rendimiento de la red en un entorno con varios sitios, puede agregar catlogos globales para sitios especficos. En un entorno con un solo sitio, un nico catlogo global suele ser suficiente para cubrir las consultas comunes de Active Directory. Sin embargo, en un entorno con varios sitios se recomienda utilizar catlogos globales en cada sitio. Para obtener ms informacin acerca de cundo se deben agregar catlogos globales en un entorno con varios sitios, consulte Catlogos globales y sitios. Para agregar un nuevo dominio secundario, debe ser miembro del grupo Administradores del dominio (en el dominio principal) o del grupo Administradores de organizacin de Active Directory, o bien debe tener delegada la autoridad correspondiente.

Determine si desea que el nuevo controlador de dominio aloje un catlogo global.

Obtenga las credenciales administrativas necesarias para crear un dominio secundario.

Configurar el controlador de dominio

Para configurar un controlador de dominio, inicie el Asistente para configurar su servidor mediante una de las acciones siguientes:

En Administre su servidor, haga clic en Agregar o quitar funcin. De forma predeterminada, Administre su servidor se inicia automticamente al iniciar la sesin. Para

abrir Administre su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Administre su servidor. Para abrir el Asistente para configurar su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Asistente para configurar su servidor. En la pgina Funcin del servidor, haga clic en Controlador de dominio (Active Directory) y, a continuacin, en Siguiente. En esta seccin se describe cada uno de los pasos de este proceso y se exponen las opciones y decisiones requeridas a medida que configura el controlador de dominio. En las siguientes secciones se tratan dichos pasos de configuracin: Resumen de las selecciones Utilizar el Asistente para instalacin de Active Directory Completar el Asistente para configurar su servidor Quitar la funcin de controlador de dominio Resumen de las selecciones En la pgina Resumen de las selecciones del Asistente para configurar su servidor, puede ver y confirmar las opciones que ha seleccionado. Si ha seleccionadoControlador de dominio (Active Directory) en la pgina anterior, aparecer el siguiente mensaje: Ejecute el Asistente para instalacin de Active Directory a fin de configurar este servidor como un controlador de dominio Para aplicar las selecciones que aparecen en la pgina Resumen de las selecciones, haga clic en Siguiente. Utilizar el Asistente para instalacin de Active Directory Tras hacer clic en Siguiente, el Asistente para instalacin de Active Directory se iniciar automticamente. Si esta es la primera vez que instala Active Directory en un servidor, haga clic en la pgina de Bienvenida del Asistente para instalacin de Active Directory; a continuacin, haga clic en Ayuda de Active Directory para obtener ms informacin acerca de Active Directory. Despus de consultar la informacin acerca de Active Directory, haga clic en Siguiente. Puede volver a esta pgina desde cualquier lugar del asistente hasta que haga clic enFinalizar en la ltima pgina. En la pgina Compatibilidad de sistema operativo, lea la informacin y haga clic en Siguiente. Si sta es la primera vez que instala Active Directory en un servidor que ejecuta Windows Server 2003, haga clic en Ayuda sobre compatibilidad para obtener ms informacin al respecto. En esta seccin se describen los siguientes pasos del Asistente para instalacin de Active Directory: Tipo de controlador de dominios Crear nuevo dominio Credenciales de red Instalacin del dominio secundario Nombre de dominio NetBIOS Carpetas de la base de datos y del registro Volumen del sistema compartido

Diagnsticos de registro de DNS Permisos Contrasea de administrador del Modo de restauracin de servicios de directorio Resumen Tipo de controlador de dominios En la pgina Tipo de controlador de dominios haga clic en Controlador de dominio para un dominio nuevo. Cuando termine, haga clic en Siguiente. Crear nuevo dominio En la pgina Crear nuevo dominio haga clic en Dominio secundario en un rbol de dominios existente. Cuando termine, haga clic en Siguiente. Credenciales de red En la pgina Credenciales de red, escriba el nombre de usuario, la contrasea y el dominio de la cuenta de usuario que desee utilizar.

Opcin Nombre de usuario

Comentarios Escriba el nombre de una cuenta de usuario que tenga las credenciales administrativas necesarias. La cuenta de usuario debe ser miembro del grupo Administradores del dominio (en el dominio principal), miembro del grupo Administradores de organizacin, o bien debe tener delegada la autoridad correspondiente. Escriba la contrasea de la cuenta de usuario. Debe ser siempre una contrasea segura. Para obtener ms informacin, consulteContraseas seguras. Escriba el nombre DNS completo del dominio en el que son vlidos el nombre de usuario y la contrasea.

contrasea

Dominio

Cuando termine, haga clic en Siguiente. Instalacin del dominio secundario En la pgina Instalacin del dominio secundario, compruebe el dominio principal y, a continuacin, el nombre del nuevo dominio secundario. Los dominios de Active Directory se designan con nombres DNS y siguen la misma estructura jerrquica que DNS. Al seleccionar los nombres DNS para el dominio secundario, considere la posibilidad de elegir nombres con mbito geogrfico o de divisin dentro de la organizacin (por ejemplo, nuevayork.microsoft.com o ventas.microsoft.com). Segn los estndares de DNS, los nombres de dominio son nombres de dominio completos (FQDN), compuestos por el nombre del dominio anexado a los nombres del dominio principal y del dominio raz en el formato de caracteres con puntos (.). Por ejemplo, el FQDN (tambin conocido como nombre DNS completo) del dominio de Active Directory "secundario" y el dominio principal "microsoft.com" sera "secundario.microsoft.com". Cuando termine, haga clic en Siguiente. Nombre de dominio NetBIOS En la pgina Nombre de dominio NetBIOS, compruebe el nombre NetBIOS. Aunque los nombres de los dominios de Active Directory se nombran segn los estndares de nomenclatura DNS, se debe definir tambin un nombre NetBIOS al crear dominios de Active Directory. Siempre que sea posible,

los nombres NetBIOS deben ser iguales que la primera etiqueta del nombre del dominio DNS. Si el dominio de Active Directory tiene un nombre DNS cuya primera etiqueta es diferente de su nombre NetBIOS, el FQDN se crear con el nombre de dominio DNS, no con el nombre NetBIOS. Por ejemplo, si la primera etiqueta del nombre de dominio DNS es "secundario" (secundario.microsoft.com es el FQDN) y el nombre NetBIOS es "ventas", el FQDN ser "secundario.microsoft.com". Carpetas de la base de datos y del registro En la pgina Carpetas de la base de datos y del registro, escriba la ubicacin en la que desea instalar las carpetas de base de datos y registro, o bien haga clic enExaminar para elegir una ubicacin y haga clic en Siguiente. Para evitar problemas con la instalacin o eliminacin de Active Directory, es importante confirmar que tiene suficiente espacio en disco para alojar los archivos de la base de datos y el registro del directorio. El Asistente para instalacin de Active Directory requiere 250 megabytes (MB) de espacio en disco para la base de datos de Active Directory y 50 MB para los archivos de registro. Se recomienda almacenar dichos archivos en una particin NTFS. Cuando termine, haga clic en Siguiente. Volumen del sistema compartido En la pgina Volumen del sistema compartido, escriba la ubicacin predeterminada en la que desea instalar la carpeta Sysvol o haga clic en Examinar para seleccionar una ubicacin. La carpeta Sysvol se debe almacenar en un volumen NTFS, puesto que contiene archivos que se replican entre los controladores de dominio de un dominio o bosque. Entre estos archivos se incluyen secuencias de comandos, directivas de sistema de Windows NT 4.0 y versiones anteriores, los recursos compartidos NETLOGON y SYSVOL, y la configuracin de Directiva de grupo. Cuando termine, haga clic en Siguiente. Diagnsticos de registro de DNS En la pgina Diagnsticos de registro de DNS, compruebe que la configuracin de DNS es correcta. Si aparece un diagnstico de error en Resultados de diagnstico, haga clic Ayudapara obtener ms informacin acerca de cmo solucionar el error. Cuando termine, haga clic en Siguiente. Permisos En la pgina Permisos, haga clic en el nivel de compatibilidad de aplicaciones con sistemas operativos anteriores a Windows 2000, de Windows 2000 o Windows Server 2003. En los servidores que ejecuten Windows NT 4.0 y versiones anteriores, se asigna acceso de lectura para la informacin de usuarios y grupos a los usuarios annimos, de forma que funcionen correctamente las aplicaciones existentes, incluidas Microsoft BackOffice, SQL Server y algunas aplicaciones que no son de Microsoft. En Windows 2000 y la familia Windows Server 2003, los miembros del grupo Inicio de sesin annimo slo tienen acceso de lectura a dicha informacin si el grupo se agrega al grupo Acceso compatible anterior a Windows 2000.

Opcin Permisos compatibles con sistemas operativos de servidor anteriores a Windows 2000 Permisos compatibles slo con sistemas operativos Windows 2000 o Windows Server 2003

Comentarios Seleccione esta opcin si desea que el grupo Inicio de sesin annimo y los grupos de seguridad Todos se agreguen al grupo Acceso compatible anterior a Windows 2000. Haga clic en esta opcin para impedir que los miembros del grupo Inicio de sesin annimo obtengan acceso de lectura a la informacin de usuarios y grupos.

Despus de seleccionar una de estas opciones, podr cambiar manualmente entre la configuracin de compatibilidad con versiones anteriores y de alta seguridad en los objetos de Active Directory. Para

ello, abra Usuarios y equipos de Active Directory y, a continuacin, agregue el grupo de seguridad Inicio de sesin annimo al grupo de seguridad Acceso compatible anterior a Windows 2000. Cuando termine, haga clic en Siguiente. Contrasea de administrador del Modo de restauracin de servicios de directorio En la pgina Contrasea de administrador del Modo de restauracin de servicios de directorio, escriba y confirme la contrasea que desee asignar a la cuenta Administrador del modo de restauracin para el servidor. Debe utilizar contraseas seguras para las contraseas del modo de restauracin de directorio. Para obtener ms informacin, consulte Contraseas seguras. Importante Debe saber esta contrasea para restaurar una copia de seguridad del Estado del sistema para este controlador de dominio. Utilice esta contrasea cuando el controlador de dominio se inicie en el modo de restauracin de servicios de directorio. Si esta es la primera vez que instala Active Directory en un servidor, haga clic en Ayuda de Active Directory para obtener ms informacin acerca de la contrasea del modo de restauracin. Cuando termine, haga clic en Siguiente. Resumen En la pgina Resumen, revise la informacin y, a continuacin, haga clic en Siguiente. Tras completar la instalacin, haga clic en Finalizar. Para reiniciar el equipo e implementar los cambios, haga clic en Reiniciar ahora. Completar el Asistente para configurar su servidor Despus de reiniciar el servidor, el Asistente para configurar su servidor mostrar la pgina Este servidor es ahora un controlador de dominio. Para revisar todos los cambios que el Asistente para configurar su servidor haya realizado en el servidor o comprobar que se ha instalado correctamente una nueva funcin, haga clic en elregistro de Configuracin de su servidor. El registro del Asistente para configurar su servidor se encuentra en razDelSistema\Debug\Configure Your Server.log. Para cerrar este asistente, haga clic en Finalizar. Despus de completar el Asistente para configurar su servidor, debe visitar Windows Update para descargar las actualizaciones adicionales disponibles. Para obtener ms informacin, consulte Windows Update. Adems, tambin deber ejecutar el Asistente para configuracin de seguridad a fin de asegurar con mayor detalle su controlador de dominio. Puede ejecutar el Firewalls de Windows en un controlador de dominio, pero slo si ejecuta el Asistente para configuracin de seguridad para instalarlo y configurarlo. Para obtener ms informacin, consulte Asistente para configuracin de seguridad. Quitar la funcin de controlador de dominio Si necesita volver a configurar el servidor para una funcin diferente, podr quitar las funciones de servidor existentes. Al quitar la funcin de controlador de dominio, se desinstalar Active Directory del servidor. Tras desinstalar Active Directory, este servidor no continuar participando en la replicacin de objetos de directorio y solicitudes de autenticacin de usuario basadas en dominios. Para quitar la funcin de controlador de dominio, reinicie el Asistente para configurar su servidor mediante una de las acciones siguientes:

En Administre su servidor, haga clic en Agregar o quitar funcin. De forma predeterminada, Administre su servidor se inicia automticamente al iniciar la sesin. Para abrir Administre su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Administre su servidor.

Para abrir el Asistente para configurar su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Asistente para configurar su servidor. En la pgina Funcin del servidor, haga clic en Controlador de dominio (Active Directory) y, a continuacin, en Siguiente. En la pgina Confirmacin de supresin de funcin, revise los elementos que aparecen en Resumen, active la casilla de verificacin Quitar la funcin de controlador de dominio, haga clic enSiguiente y, a continuacin, siga los pasos del Asistente para instalacin de Active Directory.

Pasos siguientes: Completar tareas adicionales

Despus de completar el Asistente para instalacin de Active Directory, el servidor estar configurado como un controlador de dominio. Se puede utilizar para almacenar datos, administrar objetos y proporcionar informacin a los usuarios, equipos y aplicaciones. Hasta el momento ha creado un nuevo dominio o un controlador de dominio adicional para un dominio existente. En la siguiente tabla se enumeran algunas de las tareas adicionales que puede desear llevar a cabo en el controlador de dominio.

Tarea Proteger el nuevo controlador de dominio en una sala cerrada. Usar tcnicas seguras de cifrado.

Objetivo de la tarea Asegurarse de que nadie pueda obtener acceso fsicamente al controlador de dominio. Proteger la informacin de las contraseas de las cuentas almacenada en el controlador del nuevo dominio. Evitar el acceso no autorizado a la organizacin.

Consulte Controladores de dominio;Proteger Active Directory

Utilidad de clave del sistema

Exigir que los usuarios del dominio utilicen contraseas seguras. Habilitar la directiva de auditora.

Contraseas seguras

Recibir notificacin de acciones que puedan conllevar riesgo para la seguridad. Reducir la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesin. Reducir la posibilidad de que un intruso ponga en

Directiva de auditora

Promover los bloqueos de cuenta en las cuentas de los usuarios.

Cuentas de usuarios y equipos

Promover el historial de contraseas en

Forzar el historial de contraseas

las cuentas de los usuarios. Promover la duracin mnima y mxima de la contrasea en las cuentas de los usuarios. Implementar el filtrado de identificadores de seguridad (SID).

peligro el dominio. Reducir la posibilidad de que un intruso ponga en peligro el dominio. Duracin mnima de la contrasea;Duracin mxima de la contrasea

Evitar ataques de usuarios malintencionados que pueden intentar conceder derechos de usuario elevados a otra cuenta de usuario. Proporcionar autenticacin de usuario difcil de manipular y seguridad de correo electrnico. Proteger recursos.

Consulte la pgina de utilizacin del filtrado de identificadores de seguridad (SID) para impedir ataques de elevacin de privilegios en el sitio Web de Microsoft.(http://www.microsoft.com/)

Implementar las tarjetas inteligentes.

Introduccin a las tarjetas inteligentes

Limitar el acceso de usuarios, grupos y equipos a los recursos compartidos y filtrar la configuracin de Directiva de grupo. Asignar derechos de usuario a los nuevos grupos de seguridad.

Tipos de grupos

Definir especficamente la funcin administrativa de los miembros del dominio.

Tipos de grupos

Crear un controlador de dominio para un nuevo rbol de dominios

Cree un controlador de dominio para un nuevo rbol de dominios cuando desee crear un dominio que tenga un espacio de nombres DNS que no est relacionado con el resto de dominios del bosque. Esto significa que no es necesario que el nombre del dominio raz del rbol (y todos sus dominios secundarios) contenga el nombre completo del dominio principal. Un bosque puede contener uno o ms rboles de dominio. Por ejemplo, tal como se muestra en la ilustracin siguiente, msn.com es un nuevo rbol de dominios del bosque microsoft.com.

En este tema se explican los pasos bsicos que debe seguir para configurar un controlador de dominio para un nuevo rbol de dominios en la organizacin. Este proceso implica el uso del Asistente para configurar su servidor y el Asistente para instalacin de Active Directory con el fin de instalar Active Directory en el servidor. Cuando haya terminado de configurar el controlador de dominio, podr completar otras tareas de configuracin. En este tema se trata: Antes de comenzar Configurar el controlador de dominio Pasos siguientes: Completar tareas adicionales

Antes de comenzar
Antes de configurar el servidor como un controlador de dominio, compruebe lo siguiente:

Las opciones configuracin de TCP/IP para el servidor son correctas, en particular las que se utilizan para la resolucin de nombres DNS. Para obtener ms informacin, consulte Configurar TCP/IP para utilizar DNS. Todos los volmenes de disco existentes utilizan el sistema de archivos NTFS. Active Directory requiere como mnimo un volumen NTFS en el que poder almacenar la carpeta SYSVOL y su contenido. Los volmenes FAT32 no son seguros y no admiten compresin de archivos y carpetas, cuotas de disco, cifrado de archivos ni permisos de archivo individuales. Firewall de Windows est habilitado. Para obtener ms informacin, vea Help: Activar Firewall de Windows sin excepciones.

El Asistente para configuracin de seguridad est instalado y habilitado. Para obtener ms informacin acerca del Asistente para configuracin de seguridad, vea Introduccin al Asistente para configuracin de seguridad. En la siguiente tabla se enumera la informacin de la que debe disponer antes de agregar un controlador de dominio.

Antes de agregar una funcin de controlador de dominio Al instalar Active Directory, compruebe que la velocidad de la red es adecuada. Determine si desea que el nuevo controlador de dominio aloje un catlogo global.

Comentarios El servidor en el que desee instalar Active Directory debe tener acceso a la red mediante una conexin de alta velocidad. Un catlogo global almacena una copia de todos los objetos de Active Directory de un bosque en un controlador de dominio. En el catlogo global se almacena una copia completa de todos los objetos del directorio para su dominio host y una copia parcial de todos los objetos para los dems dominios del bosque. Para optimizar el rendimiento de la red en un entorno con varios sitios, puede agregar catlogos globales para sitios especficos. En un entorno con un solo sitio, un nico catlogo global suele ser suficiente para cubrir las consultas comunes de Active Directory. Sin embargo, en un entorno con varios sitios se recomienda utilizar catlogos globales en cada sitio. Para obtener ms informacin acerca de cundo se deben agregar catlogos globales en un entorno con varios sitios, consulte Catlogos globales y sitios. Para crear un nuevo dominio rbol de dominios, debe ser miembro del grupo Administradores del dominio (en el dominio raz del bosque) o del grupo Administradores de organizacin de Active Directory, o bien debe tener delegada la autoridad correspondiente.

Obtenga las credenciales administrativas necesarias para agregar un rbol de dominios.

Configurar el controlador de dominio

Para configurar un controlador de dominio, inicie el Asistente para configurar su servidor mediante una de las acciones siguientes:

En Administre su servidor, haga clic en Agregar o quitar funcin. De forma predeterminada, Administre su servidor se inicia automticamente al iniciar la sesin. Para abrir Administre su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Administre su servidor.

Para abrir el Asistente para configurar su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Asistente para configurar su servidor. En la pgina Funcin del servidor, haga clic en Controlador de dominio (Active Directory) y, a continuacin, en Siguiente. En esta seccin se describe cada uno de los pasos de este proceso y se exponen las opciones y decisiones requeridas a medida que configura el controlador de dominio. En las siguientes secciones se tratan dichos pasos de configuracin:

Resumen de las selecciones Utilizar el Asistente para instalacin de Active Directory Completar el Asistente para configurar su servidor Quitar la funcin de controlador de dominio Resumen de las selecciones En la pgina Resumen de las selecciones del Asistente para configurar su servidor, puede ver y confirmar las opciones que ha seleccionado. Si ha seleccionadoControlador de dominio (Active Directory) en la pgina anterior, aparecer el siguiente mensaje: Ejecute el Asistente para instalacin de Active Directory a fin de configurar este servidor como un controlador de dominio Para aplicar las selecciones que aparecen en la pgina Resumen de las selecciones, haga clic en Siguiente. Utilizar el Asistente para instalacin de Active Directory Tras hacer clic en Siguiente, el Asistente para instalacin de Active Directory se iniciar automticamente. Si esta es la primera vez que instala Active Directory en un servidor, haga clic en la pgina de Bienvenida del Asistente para instalacin de Active Directory; a continuacin, haga clic en Ayuda de Active Directory para obtener ms informacin acerca de Active Directory. Despus de consultar la informacin acerca de Active Directory, haga clic en Siguiente. Puede volver a esta pgina desde cualquier lugar del asistente hasta que haga clic enFinalizar en la ltima pgina. En la pgina Compatibilidad de sistema operativo, lea la informacin y haga clic en Siguiente. Si sta es la primera vez que instala Active Directory en un servidor que ejecuta Windows Server 2003, haga clic en Ayuda sobre compatibilidad para obtener ms informacin al respecto. En esta seccin se describen los siguientes pasos del Asistente para instalacin de Active Directory: Tipo de controlador de dominios Crear nuevo dominio Credenciales de red Nuevo rbol de dominios Nombre de dominio NetBIOS Carpetas de la base de datos y del registro Volumen del sistema compartido Diagnsticos de registro de DNS Permisos Contrasea de administrador del Modo de restauracin de servicios de directorio Resumen Tipo de controlador de dominios En la pgina Tipo de controlador de dominios haga clic en Controlador de dominio para un dominio nuevo. Cuando termine, haga clic en Siguiente.

Crear nuevo dominio En la pgina Crear Nuevo dominio, haga clic en rbol de dominios en un bosque existente. Cuando termine, haga clic en Siguiente. Credenciales de red En la pgina Credenciales de red, escriba el nombre de usuario, la contrasea y el dominio de la cuenta de usuario que desee utilizar.

Opcin Nombre de usuario

Comentarios Escriba el nombre de una cuenta de usuario que tenga las credenciales administrativas necesarias. La cuenta de usuario debe ser miembro del grupo Administradores del dominio (en el dominio raz del bosque), miembro del grupo Administradores de organizacin, o bien debe tener delegada la autoridad correspondiente. Escriba la contrasea de la cuenta de usuario. Debe ser siempre una contrasea segura. Para obtener ms informacin, consulteContraseas seguras. Escriba el nombre DNS completo del dominio en el que son vlidos el nombre de usuario y la contrasea.

contrasea

Dominio

Nuevo rbol de dominios En la pgina Nuevo nombre de dominio, escriba el nombre DNS completo para el nuevo rbol de dominios. Introduzca un nombre DNS completo para el nuevo rbol de dominios que desee crear. Los dominios de Active Directory se designan con nombres DNS y siguen la misma estructura jerrquica que DNS. Segn los estndares de DNS, los nombres de dominio son nombres de dominio completos (FQDN), compuestos por el nombre del dominio anexado a los nombres del dominio principal y del dominio raz en el formato de caracteres con puntos (.). No se recomienda utilizar un nombre DNS de etiqueta nica para un nombre de dominio de Active Directory. Un nombre DNS de etiqueta nica es un nombre que no tiene un nombre de dominio principal o raz. Cuando termine, haga clic en Siguiente. Nombre de dominio NetBIOS En la pgina Nombre de dominio NetBIOS, compruebe el nombre NetBIOS. Aunque los nombres de los dominios de Active Directory se nombran segn los estndares de nomenclatura DNS, se debe definir tambin un nombre NetBIOS al crear dominios de Active Directory. Siempre que sea posible, los nombres NetBIOS deben ser iguales que la primera etiqueta del nombre del dominio DNS. Si el dominio de Active Directory tiene un nombre DNS cuya primera etiqueta es diferente de su nombre NetBIOS, el FQDN se crear con el nombre de dominio DNS, no con el nombre NetBIOS. Por ejemplo, si la primera etiqueta del nombre de dominio DNS es "secundario" (secundario.microsoft.com es el FQDN) y el nombre NetBIOS es "ventas", el FQDN ser "secundario.microsoft.com". Cuando termine, haga clic en Siguiente. Carpetas de la base de datos y del registro En la pgina Carpetas de la base de datos y del registro, escriba la ubicacin en la que desea instalar las carpetas de la base de datos y el registro o haga clic enExaminar para elegir la ubicacin. Para evitar problemas con la instalacin o eliminacin de Active Directory, es importante confirmar que tiene suficiente espacio en disco para alojar los archivos de la base de datos y el registro del directorio. El Asistente para instalacin de Active Directory requiere 250 megabytes (MB) de espacio en disco para la base de datos de Active Directory y 50 MB para los archivos de registro. Se recomienda almacenar dichos archivos en una particin NTFS. Cuando termine, haga clic en Siguiente.

Volumen del sistema compartido En la pgina Volumen del sistema compartido, escriba la ubicacin predeterminada en la que desea instalar la carpeta Sysvol o haga clic en Examinar para seleccionar una ubicacin. La carpeta Sysvol se debe almacenar en un volumen NTFS, puesto que contiene archivos que se replican entre los controladores de dominio de un dominio o bosque. Entre estos archivos se incluyen secuencias de comandos, directivas de sistema de Windows NT 4.0 y versiones anteriores, los recursos compartidos NETLOGON y SYSVOL, y la configuracin de Directiva de grupo. Cuando termine, haga clic en Siguiente. Diagnsticos de registro de DNS En la pgina Diagnsticos de registro de DNS, compruebe que las configuraciones de DNS son correctas. Si aparece un diagnstico de error en Resultados de diagnstico, haga clic Ayudapara obtener ms informacin acerca de cmo solucionar el error. Cuando termine, haga clic en Siguiente. Permisos En la pgina Permisos, haga clic en el nivel de compatibilidad de aplicaciones con sistemas operativos anteriores a Windows 2000, de Windows 2000 o Windows Server 2003. En los servidores que ejecuten Windows NT 4.0 y versiones anteriores, se asigna acceso de lectura para la informacin de usuarios y grupos a los usuarios annimos, de forma que funcionen correctamente las aplicaciones existentes, incluidas Microsoft BackOffice, SQL Server y algunas aplicaciones que no son de Microsoft. En Windows 2000 y la familia Windows Server 2003, los miembros del grupo Inicio de sesin annimo slo tienen acceso de lectura a dicha informacin si el grupo se agrega al grupo Acceso compatible anterior a Windows 2000.

Opcin Permisos compatibles con sistemas operativos de servidor anteriores a Windows 2000 Permisos compatibles slo con sistemas operativos Windows 2000 o Windows Server 2003

Comentarios Seleccione esta opcin si desea que el grupo Inicio de sesin annimo y los grupos de seguridad Todos se agreguen al grupo Acceso compatible anterior a Windows 2000. Haga clic en esta opcin para impedir que los miembros del grupo Inicio de sesin annimo obtengan acceso de lectura a la informacin de usuarios y grupos.

Despus de seleccionar una de estas opciones, podr cambiar manualmente entre la configuracin de compatibilidad con versiones anteriores y de alta seguridad en los objetos de Active Directory. Para ello, abra Usuarios y equipos de Active Directory y, a continuacin, agregue el grupo de seguridad Inicio de sesin annimo al grupo de seguridad Acceso compatible anterior a Windows 2000. Contrasea de administrador del Modo de restauracin de servicios de directorio En la pgina Contrasea de administrador del Modo de restauracin de servicios de directorio, escriba y confirme la contrasea que desee asignar a la cuenta Administrador del modo de restauracin para el servidor. Debe utilizar contraseas seguras para las contraseas del modo de restauracin de directorio. Para obtener ms informacin, consulte Contraseas seguras. Importante Debe saber esta contrasea para restaurar una copia de seguridad del Estado del sistema para este controlador de dominio. Utilice esta contrasea cuando el controlador de dominio se inicie en el modo de restauracin de servicios de directorio. Si esta es la primera vez que instala Active Directory en un servidor, haga clic

en Ayuda de Active Directory para obtener ms informacin acerca de la contrasea del modo de restauracin. Cuando termine, haga clic en Siguiente. Resumen En la pgina Resumen, revise la informacin y, a continuacin, haga clic en Siguiente. Tras completar la instalacin, haga clic en Finalizar. Para reiniciar el equipo e implementar los cambios, haga clic en Reiniciar ahora. Completar el Asistente para configurar su servidor Despus de reiniciar el servidor, el Asistente para configurar su servidor mostrar la pgina Este servidor es ahora un controlador de dominio. Para revisar todos los cambios que el Asistente para configurar su servidor haya realizado en el servidor o comprobar que se ha instalado correctamente una nueva funcin, haga clic en elregistro de Configuracin de su servidor. El registro del Asistente para configurar su servidor se encuentra en razDelSistema\Debug\Configure Your Server.log. Para cerrar este asistente, haga clic en Finalizar. Despus de completar el Asistente para configurar su servidor, debe visitar Windows Update para descargar las actualizaciones adicionales disponibles. Para obtener ms informacin, consulte Windows Update. Adems, tambin deber ejecutar el Asistente para configuracin de seguridad a fin de asegurar con mayor detalle su controlador de dominio. Puede ejecutar el Firewalls de Windows en un controlador de dominio, pero slo si ejecuta el Asistente para configuracin de seguridad para instalarlo y configurarlo. Para obtener ms informacin, consulte Asistente para configuracin de seguridad. Quitar la funcin de controlador de dominio Si necesita volver a configurar el servidor para una funcin diferente, podr quitar las funciones de servidor existentes. Al quitar la funcin de controlador de dominio, se desinstalar Active Directory del servidor. Tras desinstalar Active Directory, este servidor no continuar participando en la replicacin de objetos de directorio y solicitudes de autenticacin de usuario basadas en dominios. Para quitar la funcin de controlador de dominio, reinicie el Asistente para configurar su servidor mediante una de las acciones siguientes:

En Administre su servidor, haga clic en Agregar o quitar funcin. De forma predeterminada, Administre su servidor se inicia automticamente al iniciar la sesin. Para abrir Administre su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Administre su servidor.

Para abrir el Asistente para configurar su servidor, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Asistente para configurar su servidor. En la pgina Funcin del servidor, haga clic en Controlador de dominio (Active Directory) y, a continuacin, en Siguiente. En la pgina Confirmacin de supresin de funcin, revise los elementos que aparecen en Resumen, active la casilla de verificacin Quitar la funcin de controlador de dominio, haga clic enSiguiente y, a continuacin, siga los pasos del Asistente para instalacin de Active Directory.

Pasos siguientes: Completar tareas adicionales

Despus de completar el Asistente para instalacin de Active Directory, el servidor estar configurado como un controlador de dominio. Se puede utilizar para almacenar datos, administrar objetos y proporcionar informacin a los usuarios, equipos y aplicaciones. Hasta el momento ha creado un nuevo dominio o un controlador de dominio adicional para un dominio existente. En la siguiente tabla se enumeran algunas de las tareas adicionales que puede desear llevar a cabo en el controlador de dominio.

Tarea Proteger el nuevo controlador de dominio en una sala cerrada. Usar tcnicas seguras de cifrado.

Objetivo de la tarea Asegurarse de que nadie pueda obtener acceso fsicamente al controlador de dominio. Proteger la informacin de las contraseas de las cuentas almacenada en el controlador del nuevo dominio. Evitar el acceso no autorizado a la organizacin.

Consulte Controladores de dominio;Proteger Active Directory

Utilidad de clave del sistema

Exigir que los usuarios del dominio utilicen contraseas seguras. Habilitar la directiva de auditora.

Contraseas seguras

Recibir notificacin de acciones que puedan conllevar riesgo para la seguridad. Reducir la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesin. Reducir la posibilidad de que un intruso ponga en peligro el dominio. Reducir la posibilidad de que un intruso ponga en peligro el dominio.

Directiva de auditora

Promover los bloqueos de cuenta en las cuentas de los usuarios.

Cuentas de usuarios y equipos

Promover el historial de contraseas en las cuentas de los usuarios. Promover la duracin mnima y mxima de la contrasea en las cuentas de los usuarios. Implementar el filtrado de identificadores de seguridad (SID).

Forzar el historial de contraseas

Duracin mnima de la contrasea;Duracin mxima de la contrasea

Evitar ataques de usuarios malintencionados que pueden intentar conceder derechos de usuario elevados a otra cuenta de usuario. Proporcionar autenticacin de

Consulte la pgina de utilizacin del filtrado de identificadores de seguridad (SID) para impedir ataques de elevacin de privilegios en el sitio Web de Microsoft.(http://www.microsoft.com/)

Implementar las tarjetas

Introduccin a las tarjetas inteligentes

inteligentes.

usuario difcil de manipular y seguridad de correo electrnico. Proteger recursos. Tipos de grupos

Limitar el acceso de usuarios, grupos y equipos a los recursos compartidos y filtrar la configuracin de Directiva de grupo. Asignar derechos de usuario a los nuevos grupos de seguridad.

Definir especficamente la funcin administrativa de los miembros del dominio.

Tipos de grupos