|
Sistemas Operativos: Promocionar un equipo con Windows Server 2003 a controlador de dominio
Os explicamos en esta ocasión cómo promocionar un equipo con Windows Server 2003 a controlador de dominio (PDC ó Controlador de Dominio Primario) para instalar Active Directory. Este equipo contendrá todos los roles de seguridad o funciones FSMO (Flexible Single Master Operations). Conceptos previosUn directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la red y un servicio de directorio proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de los administradores y los usuarios de la red. El Directorio Activo (Active Directory ó AD) es el servicio de directorio incorporado en Windows Server 2000, 2003 y 2008 que almacena objetos de la red y facilita la búsqueda y utilización de esa información por parte de usuarios y administradores. El servicio Active Directory proporciona la capacidad de establecer un único inicio de sesión y un repositorio central de información para toda su infraestructura, lo que simplifica ampliamente la administración de usuarios y equipos, proporcionando además la obtención de un acceso mejorado a los recursos en red. Un controlador de dominio no es más que un Servidor con Windows Server 2000, 2003 ó 2008 con Active Directory (Directorio Activo) instalado que almacena, mantiene y gestiona la base de datos de usuarios y recursos de la red. En un dominio con Windows Server 2000, 2003 ó 2008 la estructura y el contenido del esquema es responsabilidad del controlador de dominio, que mantiene la función de servidor principal de operaciones de esquemas. Si hay más de un controlador de dominio (secundarios) el esquema del controlador principal se replicará a todos los controladores secundarios que forman el bosque para asegurar la integridad y coherencia de los datos. LDAP ("Lightweight Directory Access Protocol" ó "Protocolo Ligero de Acceso a Directorios") es un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio (como Active Directory, Novell Directory Services, iPlanet, OpenLDAP, Red Hat Directory Server, Apache Directory Server, Open DS, etc.) ordenado y distribuido para buscar diversa información en un entorno de red. En versiones anteriores de Windows NT (NT 3.51 y 4) había un único servidor principal (single-master) que era el PDC (Primary Domain Controller) y por el que debían ser procesados todos los cambios. En cambio, a partir de Windows 2000, se permiten tantos controladores de dominio como se quiera, todos ellos contendrán una copia de los datos del esquema del controlador principal. Sin embargo para ciertas tareas, por su naturaleza, se ha seguido utilizando el modelo anterior de NT, en lo que se llama roles de FSMO (Flexible Single Master Operation). Hay cinco roles distintos, tres que son necesarios a nivel de bosque, mientras que dos son necesarios en cada dominio:
Cuando se instala Active Directory en un servidor Windows 2000, 2003 ó 2008 se le asignan las cinco funciones FSMO al primer controlador de dominio del dominio raíz del bosque. Las tres funciones específicas del dominio (PDC Emulator, RID Master y Infrastructure Master) se asignan al primer controlador de dominio de cada nuevo dominio secundario o árbol, las otras dos son únicas en el bosque. Los roles PDC Emulator, RID Master y Infrastructure Master van a estar presentes en cada dominio, mientras que los roles Domain Naming Master y Schema Master son únicos en todo el bosque.
Instalación de Active Directory en Windows Server 2003 (promoción a Controlador de Dominio)A continuación explicamos cómo promocionar un servidor con Windows Server 2003 para que sea Controlador de Dominio y contenga Active Directory (Directorio Activo). En primer lugar deberemos disponer de un equipo con Windows Server 2000, 2003 ó 2008. Antes de empezar con el proceso, es recomendable comprobar la configuración de la red del equipo. Hay que tener en cuenta que si el equipo con Windows Server 2003 tiene activada la opción de obtener la IP por DHCP el proceso de promoción fallará. El servidor en el que se instalar Active Directory debe tener IP fija. Iniciaremos la instalación de Active Directory, desde el botón "Inicio" - "Ejecutar" escribiremos "dcpromo" y pulsaremos "Aceptar": Se iniciará el Asistente para instalación de Active Directory. Pulsaremos "Siguiente" para continuar: Nos mostrará una ventana avisando de que las versiones anteriores de Windows (Windows 95 y NT 4.0) no cumplen con los requisitos de la implementación de seguridad de Windows Server 2003. Pulsaremos "Siguiente" para continuar: Esta parte del asistente de instalación de Active Directory es importante. Nos pregunta si el controlador de dominio va a pertenecer a un dominio existente o a uno nuevo. En nuestro caso, puesto que estamos configurando el servidor como el primer controlador de dominio (no hay ninguno más) seleccionaremos la opción "Controlador de dominio para un dominio nuevo". En el caso en que ya tengamos algún controlador de dominio y queramos agregar ésta a ese dominio seleccionaremos la opción "Controlador de dominio adicional para un dominio existente". Pulsaremos "Siguiente" para continuar: Si ya disponemos de un bosque de Windows Server seleccionaremos "Dominio secundario en un árbol de dominios existente" ó bien "Árbol de dominios en un bosque existente". En nuestro caso, al ser el primer controlador de dominio y no tener bosques creados seleccionaremos "Dominio en un nuevo bosque": Introduciremos el nombre para el nuevo dominio (normalmente con el formato xxx.xxxxxxx.com), en nuestro caso "oficina.ajpdsoft.com": Introduciremos el nombre NetBIOS para el dominio que se creará. Este nombre será usado por equipos con sistemas operativos anteriores (Windows 95-98, Windows Millenium y WIndows NT), no debe contener más de 15 caracteres (en nuestro caso "OFICINA"): A continuación podremos indicar la ubicación de las carpetas de la base de datos de Active Directory del registro de Active Directory: Indicaremos también la ubicación de la carpeta SYSVOL que almacena la copia para el servidor de los archivos públicos del dominio. El contenido de la carpeta SYSVOL se replica en todos los controladores exisntentes dentro del dominio: El asistente para la instalación de Active Directory iniciará una prueba de diagnóstico de registro de DNS, si encuentra algún error lo mostrará. Podemos seguir con la instalación (si se produce algún error) marcando "Corregiré el problema más adelante, configurando el DNS manualmente". Marcaremos esta opción y pulsaremos "Siguiente": A continuación indicaremos si queremos mantener compatibilidad con sistemas anteriores a Windows 2000. Si marcamos la opción "Permisos compatibles con sistemas operativos de servidor anteriores a Windows 2000" indicaremos al asistente que queremos permitir que los usuarios anónimos (sin autenticación en el sistema) podrán leer información del dominio. En nuestro caso, puesto que sólo tenemos un servidor con Windows 2003 y los equipos clientes con Windows XP y Vista marcaremos la opción "Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 ó Windows Server 2003". Pulsaremos "Siguiente" para continuar: Indicaremos en este punto la contraseña para el usuario administrador del Modo de restauración de servicios de directorio. Esta contraseña se utiliza cuando se inicie el equipo en Modo de restauración de servicios de directorio. Esta cuenta no tiene nada que ver con el usuario administrador del dominio, sólo es utilizada cuando se inicie el servidor en el modo de restauración de servicios de directorio: Por último antes de iniciar el proceso final de instalación de Acitve Directory, el asistente nos mostrará una ventana con el resumen de las opciones seleccionadas anteriormente. Pulsaremos "Siguiente" para iniciar el proceso de instalación de Active Directory: Se iniciará el proceso, mostrando el progreso del mismo y las tareas que está realizando: Cuando termine de instalarse Active Directory, el asistente mostrará una ventana indicando el resultado del mismo. Pulsaremos "Finalizar" para concluir el proceso: Nos pedirá reiniciar el equipo para que los cambios realizados surtan efecto. Pulsaremos "Reiniciar": Tras el reinicio, abriendo una ventana de shell de comandos (MS-DOS) y escribiendo los comandos "set userdomain" y "set userdnsdomain" podremos ver el nombre del dominio de nuestro controlador de dominio recién promocionado con Active Directory: En "Inicio" - "Configuración" - "Panel de control" - "Herramientas administrativas" podremos ver las nuevas opciones que aparecen tras la instalación de Active Directory, como por ejemplo "Usuarios y equipos de Active Directory": O también "Directiva de seguridad del controlador de dominio": Desde la que podremos, por ejemplo, establecer la longitud mínima de la contraseña de los usuarios: Con esto ya dispondremos de Active Directory y todas sus herramientas. Por ejemplo, podremos hacer que un equipo con Windows XP o Vista pertenezca al dominio creado. Si tenemos equipos con Windows XP, pulsando con el botón derecho sobre "Mi PC", seleccionaremos "Propiedades": Seleccionaremos la pestaña "Nombre de equipo", pulsaremos el botón "Cambiar": Marcaremos "Dominio" e introduciremos el nombre del dominio (en nuestro caso "oficina): Introduciremos usuario y contraseña del controlador de dominio con Active Directory (necesario para realizar la validación con el dominio):: Si todo es correcto nos mostrará un mensaje indicando que ya hemos sido agregados al dominio "oficina": También nos indicará que debemos reiniciar el equipo cliente con Windows XP para validar en el dominio: Nota: Algunas de estas pantallas pueden cambiar en función de la configuración del equipo, de las opciones seleccionadas y de las versiones de los sistemas operativos.. Tecnología empleada
Anuncios
Enviado el Sábado, 04 octubre a las 02:29:15 por ajpdsoft
|
|