Utilizamos cookies propias y de terceros. [Más información sobre las cookies].
Política de cookies
Proyecto AjpdSoft

· Inicio
· Buscar
· Contactar
· Cookies
· Descargas
· Foros
· Historia
· Nosotros
· Temas
· Top 10
· Trucos
· Tutoriales
· Wiki

Sistemas Operativos: Promocionar un equipo con Windows Server 2003 a controlador de dominio
Windows


Os explicamos en esta ocasión cómo promocionar un equipo con Windows Server 2003 a controlador de dominio (PDC ó Controlador de Dominio Primario) para instalar Active Directory. Este equipo contendrá todos los roles de seguridad o funciones FSMO (Flexible Single Master Operations).



Conceptos previos

Un directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la red y un servicio de directorio proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de los administradores y los usuarios de la red.

El Directorio Activo (Active Directory ó AD) es el servicio de directorio incorporado en Windows Server 2000, 2003 y 2008 que almacena objetos de la red y facilita la búsqueda y utilización de esa información por parte de usuarios y administradores. El servicio Active Directory proporciona la capacidad de establecer un único inicio de sesión y un repositorio central de información para toda su infraestructura, lo que simplifica ampliamente la administración de usuarios y equipos, proporcionando además la obtención de un acceso mejorado a los recursos en red.

Un controlador de dominio no es más que un Servidor con Windows Server 2000, 2003 ó 2008 con Active Directory (Directorio Activo) instalado que almacena, mantiene y gestiona la base de datos de usuarios y recursos de la red.

En un dominio con Windows Server 2000, 2003 ó 2008 la estructura y el contenido del esquema es responsabilidad del controlador de dominio, que mantiene la función de servidor principal de operaciones de esquemas. Si hay más de un controlador de dominio (secundarios) el esquema del controlador principal se replicará a todos los controladores secundarios que forman el bosque para asegurar la integridad y coherencia de los datos.

LDAP ("Lightweight Directory Access Protocol" ó "Protocolo Ligero de Acceso a Directorios") es un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio (como Active Directory, Novell Directory Services, iPlanet, OpenLDAP, Red Hat Directory Server, Apache Directory Server, Open DS, etc.) ordenado y distribuido para buscar diversa información en un entorno de red.

En versiones anteriores de Windows NT (NT 3.51 y 4) había un único servidor principal (single-master) que era el PDC (Primary Domain Controller) y por el que debían ser procesados todos los cambios. En cambio, a partir de Windows 2000, se permiten tantos controladores de dominio como se quiera, todos ellos contendrán una copia de los datos del esquema del controlador principal. Sin embargo para ciertas tareas, por su naturaleza, se ha seguido utilizando el modelo anterior de NT, en lo que se llama roles de FSMO (Flexible Single Master Operation). Hay cinco roles distintos, tres que son necesarios a nivel de bosque, mientras que dos son necesarios en cada dominio:

  • Emulador de PDC (PDC Emulator): afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para el controlador de dominio que envía actualizaciones de base de datos a los controladores de dominio de reserva (secundarios).
  • Maestro RID (RID Master): es el maestro de identificadores relativos. Cada objeto debe tener un único numero global, afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para asignar el grupo de RID, con objeto de que los controladores de dominio nuevos o existentes puedan crear cuentas de usuario y de equipo, así como grupos de seguridad con un identificador único para todo el bosque.
  • Maestro de infraestructuras (Infrastructure Master): responsable de chequear objetos en otros dominios, afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para que los controladores de dominio puedan ejecutar correctamente el comando adprep /forestprep, así como para actualizar los atributos SID y Distinguised Name (DN) para los objetos a los que se hace referencia entre varios dominios.
  • Maestro de nombres de dominio (Domain Naming Master): asegura que cada dominio tenga un nombre único, afecta a todo el bosque y hay uno para cada bosque. Esta función es necesaria para agregar o eliminar dominios o particiones de aplicaciones en un bosque.
  • Maestro de esquema (Schema Master): controla las actualizaciones que se producen en el esquema del directorio (LDAP). Afecta a todo el bosque y hay uno para cada bosque. Esta función es necesaria para expandir el esquema de un bosque de Active Directory o para ejecutar el comando adprep /forestprep para introducir controladores de dominio de 2003 en un entorno Windows 2000.

Cuando se instala Active Directory en un servidor Windows 2000, 2003 ó 2008 se le asignan las cinco funciones FSMO al primer controlador de dominio del dominio raíz del bosque. Las tres funciones específicas del dominio (PDC Emulator, RID Master y Infrastructure Master) se asignan al primer controlador de dominio de cada nuevo dominio secundario o árbol, las otras dos son únicas en el bosque. Los roles PDC Emulator, RID Master y Infrastructure Master van a estar presentes en cada dominio, mientras que los roles Domain Naming Master y Schema Master son únicos en todo el bosque.

 

Instalación de Active Directory en Windows Server 2003 (promoción a Controlador de Dominio)

A continuación explicamos cómo promocionar un servidor con Windows Server 2003 para que sea Controlador de Dominio y contenga Active Directory (Directorio Activo).

En primer lugar deberemos disponer de un equipo con Windows Server 2000, 2003 ó 2008.

Antes de empezar con el proceso, es recomendable comprobar la configuración de la red del equipo. Hay que tener en cuenta que si el equipo con Windows Server 2003 tiene activada la opción de obtener la IP por DHCP el proceso de promoción fallará. El servidor en el que se instalar Active Directory debe tener IP fija.

Iniciaremos la instalación de Active Directory, desde el botón "Inicio" - "Ejecutar" escribiremos "dcpromo" y pulsaremos "Aceptar":

Windows Server 2003 a controlador de dominio - Ejecutar dcpromo

Se iniciará el Asistente para instalación de Active Directory. Pulsaremos "Siguiente" para continuar:

Windows Server 2003 a controlador de dominio - Asistente de instalación de Active Directory

Nos mostrará una ventana avisando de que las versiones anteriores de Windows (Windows 95 y NT 4.0) no cumplen con los requisitos de la implementación de seguridad de Windows Server 2003. Pulsaremos "Siguiente" para continuar:

Windows Server 2003 a controlador de dominio - Asistente de instalación de Active Directory

Esta parte del asistente de instalación de Active Directory es importante. Nos pregunta si el controlador de dominio va a pertenecer a un dominio existente o a uno nuevo. En nuestro caso, puesto que estamos configurando el servidor como el primer controlador de dominio (no hay ninguno más) seleccionaremos la opción "Controlador de dominio para un dominio nuevo". En el caso en que ya tengamos algún controlador de dominio y queramos agregar ésta a ese dominio seleccionaremos la opción "Controlador de dominio adicional para un dominio existente". Pulsaremos "Siguiente" para continuar:

Windows Server 2003 a controlador de dominio - Asistente de instalación de Active Directory

Si ya disponemos de un bosque de Windows Server seleccionaremos "Dominio secundario en un árbol de dominios existente" ó bien "Árbol de dominios en un bosque existente". En nuestro caso, al ser el primer controlador de dominio y no tener bosques creados seleccionaremos "Dominio en un nuevo bosque":

Windows Server 2003 a controlador de dominio - Asistente de instalación de Active Directory

Introduciremos el nombre para el nuevo dominio (normalmente con el formato xxx.xxxxxxx.com), en nuestro caso "oficina.ajpdsoft.com":

Windows Server 2003 a controlador de dominio - Nombre del dominio

Introduciremos el nombre NetBIOS para el dominio que se creará. Este nombre será usado por equipos con sistemas operativos anteriores (Windows 95-98, Windows Millenium y WIndows NT), no debe contener más de 15 caracteres (en nuestro caso "OFICINA"):

Windows Server 2003 a controlador de dominio - Nombre NetBIOS del dominio

A continuación podremos indicar la ubicación de las carpetas de la base de datos de Active Directory del registro de Active Directory:

Windows Server 2003 a controlador de dominio - Ubicación NTDS

Indicaremos también la ubicación de la carpeta SYSVOL que almacena la copia para el servidor de los archivos públicos del dominio. El contenido de la carpeta SYSVOL se replica en todos los controladores exisntentes dentro del dominio:

Windows Server 2003 a controlador de dominio - Ubicación SYSVOL

El asistente para la instalación de Active Directory iniciará una prueba de diagnóstico de registro de DNS, si encuentra algún error lo mostrará. Podemos seguir con la instalación (si se produce algún error) marcando "Corregiré el problema más adelante, configurando el DNS manualmente". Marcaremos esta opción y pulsaremos "Siguiente":

Windows Server 2003 a controlador de dominio - Diagnóstico de registro de DNS

A continuación indicaremos si queremos mantener compatibilidad con sistemas anteriores a Windows 2000. Si marcamos la opción "Permisos compatibles con sistemas operativos de servidor anteriores a Windows 2000" indicaremos al asistente que queremos permitir que los usuarios anónimos (sin autenticación en el sistema) podrán leer información del dominio. En nuestro caso, puesto que sólo tenemos un servidor con Windows 2003 y los equipos clientes con Windows XP y Vista marcaremos la opción "Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 ó Windows Server 2003". Pulsaremos "Siguiente" para continuar:

Windows Server 2003 a controlador de dominio - Compatibilidad de permisos

Indicaremos en este punto la contraseña para el usuario administrador del Modo de restauración de servicios de directorio. Esta contraseña se utiliza cuando se inicie el equipo en Modo de restauración de servicios de directorio. Esta cuenta no tiene nada que ver con el usuario administrador del dominio, sólo es utilizada cuando se inicie el servidor en el modo de restauración de servicios de directorio:

Windows Server 2003 a controlador de dominio - Contraseña para inicio  en modo restauración de servicios de directorio

Por último antes de iniciar el proceso final de instalación de Acitve Directory, el asistente nos mostrará una ventana con el resumen de las opciones seleccionadas anteriormente. Pulsaremos "Siguiente" para iniciar el proceso de instalación de Active Directory:

Windows Server 2003 a controlador de dominio - Resumen de las opciones seleccionadas

Se iniciará el proceso, mostrando el progreso del mismo y las tareas que está realizando:

Windows Server 2003 a controlador de dominio - Progreso de la instalación de Active Directory

Cuando termine de instalarse Active Directory, el asistente mostrará una ventana indicando el resultado del mismo. Pulsaremos "Finalizar" para concluir el proceso:

Windows Server 2003 a controlador de dominio - Finalización del proceso

Nos pedirá reiniciar el equipo para que los cambios realizados surtan efecto. Pulsaremos "Reiniciar":

Windows Server 2003 a controlador de dominio - Petición de reinicio del equipo

Tras el reinicio, abriendo una ventana de shell de comandos (MS-DOS) y escribiendo los comandos "set userdomain" y "set userdnsdomain" podremos ver el nombre del dominio de nuestro controlador de dominio recién promocionado con Active Directory:

Windows Server 2003 a controlador de dominio - Variables de entorno del controlador de dominio

En "Inicio" - "Configuración" - "Panel de control" - "Herramientas administrativas" podremos ver las nuevas opciones que aparecen tras la instalación de Active Directory, como por ejemplo "Usuarios y equipos de Active Directory":

Windows Server 2003 a controlador de dominio - Herramientas administrativas - Usuarios y equipos de Active Directory

O también "Directiva de seguridad del controlador de dominio":

Windows Server 2003 a controlador de dominio - Herramientas administrativas - Directivas

Desde la que podremos, por ejemplo, establecer la longitud mínima de la contraseña de los usuarios:

Windows Server 2003 a controlador de dominio - Configuración de seguridad de dominio predeterminada

Con esto ya dispondremos de Active Directory y todas sus herramientas.

Por ejemplo, podremos hacer que un equipo con Windows XP o Vista pertenezca al dominio creado. Si tenemos equipos con Windows XP, pulsando con el botón derecho sobre "Mi PC", seleccionaremos "Propiedades":

Abrir propiedades del sistema para agregar equipo cliente al dominio Windows

Seleccionaremos la pestaña "Nombre de equipo", pulsaremos el botón "Cambiar":

Agregar un equipo cliente con XP al dominio de Windows Server 2003 con Active Directory

Marcaremos "Dominio" e introduciremos el nombre del dominio (en nuestro caso "oficina):

Agregar un equipo cliente con XP al dominio de Windows Server 2003 - Introducción del nombre del dominio

Introduciremos usuario y contraseña del controlador de dominio con Active Directory (necesario para realizar la validación con el dominio)::

Agregar un equipo cliente con XP al dominio de Windows Server 2003 - Introducción del usuario y contraseña del controlador de dominio

Si todo es correcto nos mostrará un mensaje indicando que ya hemos sido agregados al dominio "oficina":

Agregar un equipo cliente con XP al dominio de Windows Server 2003 - Aviso de bienvenida al dominio

También nos indicará que debemos reiniciar el equipo cliente con Windows XP para validar en el dominio:

c

Nota: Algunas de estas pantallas pueden cambiar en función de la configuración del equipo, de las opciones seleccionadas y de las versiones de los sistemas operativos..

 

Tecnología empleada


Anuncios


Enviado el Sábado, 04 octubre a las 02:29:15 por ajpdsoft
Visita nuestro nuevo sitio web con programas y contenidos actualizados: Proyecto A