Guia de Implementacion AD

March 22, 2018 | Author: Dabeat Negrete | Category: Active Directory, Windows 2000, Microsoft Windows, Domain Name System, Microsoft
Share
Report this link


Comments



Description

1/9/2015Mi colección Mi colección Este documento se proporciona "tal cual". La información y los puntos de vista expresados en este documento, incluyendo las referencias a sitios web de Internet y direcciones URL, está sujeta a cambios sin aviso. Este documento no implica ningún derecho legal respecto a ninguna propiedad intelectual de ningún nombre de producto o producto de Microsoft. Puede copiar y utilizar este documento con fines internos y de referencia. Se permite que modifique este documento para sus fines internos y de referencia. © 2015 Microsoft. Reservados todos los derechos. Términos de uso ﴾https://technet.microsoft.com/cc300389.aspx﴿ | Marcas comerciales ﴾http://www.microsoft.com/library/toolbar/3.0/trademarks/en‐us.mspx﴿ http://pabprod.blob.core.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.html 1/80 1/9/2015 Mi colección Table Of Contents Capítulo 1 Planeamiento de una implementación de los Servicios de dominio de Active Directory http://pabprod.blob.core.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.html 2/80 1/9/2015 Mi colección Capítulo 1 Planeamiento de una implementación de los Servicios de dominio de Active Directory Actualizado: abril de 2008 Se aplica a: Windows Server 2008, Windows Server 2008 R2 Al implementar los Servicios de dominio de Active Directory ﴾AD DS﴿ de Windows Server 2008 en un entorno, se aprovechan las ventajas del modelo administrativo centralizado y delegado, y de la funcionalidad de inicio de sesión único ﴾SSO﴿ que AD DS ofrece. Después de identificar las tareas de implementación y el entorno actual de la organización, se puede crear una estrategia de implementación de AD DS que reúna los requisitos de la misma. Acerca de esta guía Esta guía ofrece recomendaciones que ayudan a desarrollar una estrategia de implementación de AD DS a partir de los requisitos de la organización y del diseño concreto que se desee crear. Los destinatarios de esta guía son especialistas en infraestructuras o arquitectos de sistemas. Antes de leerla, es necesario conocer bien el funcionamiento de AD DS en un nivel funcional, así como los requisitos organizativos que se verán reflejados en la estrategia de implementación de AD DS. Esta guía describe conjuntos de tareas para los varios puntos de partida posibles para una implementación de AD DS de Windows Server 2008. La guía le ayudará a determinar la estrategia de implementación más adecuada para su entorno. Aunque las estrategias que se presentan en esta guía son adecuadas para casi todas las implementaciones de sistemas operativos de servidor, se han probado y validado específicamente para entornos que tienen menos de 100.000 usuarios y menos de 1.000 sitios, con conexiones de red de 28,8 kilobits por segundo ﴾Kbps﴿ como mínimo. Si su entorno no satisface estos criterios, considere la posibilidad de solicitar los servicios de una empresa de consultoría que tenga experiencia en la implementación de AD DS en entornos más complejos. Para obtener más información acerca de la comprobación del proceso de implementación de AD DS, consulte el tema que describe las pruebas y comprobaciones del proceso de implementación ﴾http://go.microsoft.com/fwlink/?LinkId=100206, puede estar en inglés﴿. En esta guía Descripción de la implementación de AD DS Identificación de las tareas de diseño e implementación de AD DS Asignación de las tareas de diseño e implementación a una estrategia de implementación de AD DS Ejemplos de evaluación de la estrategia de implementación de AD DS Apéndice A: Revisión de los conceptos fundamentales de AD DS © 2015 Microsoft Descripción de la implementación de AD DS Actualizado: febrero de 2011 Se aplica a: Windows Server 2008, Windows Server 2008 R2 Las organizaciones pueden usar los Servicios de dominio de Active Directory ﴾AD DS﴿ en Windows Server 2008 para simplificar la administración de usuarios y recursos al tiempo que se crean infraestructuras escalables, seguras y fáciles de administrar. AD DS se puede usar para administrar la infraestructura de la red, incluidos los entornos de sucursal, de Microsoft Exchange Server y de varios bosques. Un proyecto de implementación de AD DS se compone de tres fases: una fase de diseño, una fase de implementación y una fase de operaciones. Durante la primera fase, el equipo de diseño crea un diseño para la estructura lógica de AD DS que se adapte a las necesidades de cada división de la organización que vaya a usar el servicio de directorio. Una vez aprobado el diseño, el equipo de implementación lo prueba en un entorno de laboratorio y, después, lo implementa en el entorno de producción. Dado que las pruebas las realiza el equipo de implementación y existe la posibilidad de que afecten a la fase de diseño, es una actividad intermedia que se solapa con el diseño y la implementación. Una vez completada la implementación, es el equipo de operaciones el responsable de mantener el servicio de directorio. http://pabprod.blob.core.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.html 3/80 1/9/2015 Mi colección Aunque las estrategias de diseño e implementación de AD DS de Windows Server 2008 que se presentan en esta guía se basan en exhaustivas pruebas de laboratorio y del programa piloto y en su correcta implementación en entornos de clientes, es posible que deba personalizar el diseño y la implementación de AD DS para que se ajusten a la perfección a entornos complejos específicos. Para obtener más información acerca de la implementación de AD DS en un entorno de sucursal, consulte la guía de planeación de sucursales ﴾http://go.microsoft.com/fwlink/?LinkId=100207, puede estar en inglés﴿. Para obtener más información acerca de la implementación de AD DS en un entorno de Exchange, consulte el tema que trata acerca de la planeación de Active Directory para Exchange 2007 ﴾http://go.microsoft.com/fwlink/?LinkId=88904, puede estar en inglés﴿. Para obtener más información acerca de la implementación de AD DS en un entorno de varios bosques, consulte el tema donde se plantean las consideraciones acerca del uso de varios bosques en Windows 2000 y Windows Server 2003 ﴾http://go.microsoft.com/fwlink/?LinkId=88905, puede estar en inglés﴿. © 2015 Microsoft Identificación de las tareas de diseño e implementación de AD DS Actualizado: abril de 2008 Se aplica a: Windows Server 2008, Windows Server 2008 R2 Realizar una evaluación de alto nivel del entorno actual e identificar correctamente las tareas de implementación de los Servicios de dominio de Active Directory ﴾AD DS﴿ son puntos esenciales para el éxito de la estrategia de implementación de AD DS. La estrategia de implementación de AD DS depende de la configuración de la red existente. Por ejemplo, si la organización ejecuta actualmente Windows Server 2003, se puede actualizar el sistema operativo a Windows Server 2008. El proceso de implementación puede requerir la reestructuración de los dominios existentes, ya sea dentro de un bosque o entre bosques de Active Directory. Es posible que sea necesario reestructurar los dominios existentes después de implementar AD DS de Windows Server 2008 o después de realizar cambios organizativos o adquisiciones corporativas. En la tabla siguiente se enumeran las principales tareas para formular, refinar y, finalmente, alcanzar los objetivos de implementación de AD DS.   Tareas de implementación Vínculos de referencia Evaluar las tareas de implementación de AD DS predefinidas que se proporcionan en esta sección de la guía y combinarlas para lograr los objetivos organizativos. Diseño de AD DS Diseño de la estructura lógica de los Servicios de dominio de Active Directory ﴾http://go.microsoft.com/fwlink/?LinkId=89024, puede estar en inglés﴿ Diseño de la topología del sitio para los Servicios de dominio de Active Directory ﴾http://go.microsoft.com/fwlink/?LinkId=89026, puede estar en inglés﴿ Planeación de la capacidad del controlador de dominio ﴾http://go.microsoft.com/fwlink/?LinkId=89027, puede estar en inglés﴿ Habilitación de las características avanzadas de Windows Server 2008 para los Servicios de dominio de Active Directory ﴾http://go.microsoft.com/fwlink/?LinkId=89030, puede estar en inglés﴿ Implementación de AD DS Implementación de un dominio raíz del bosque de Windows Server 2008 ﴾http://go.microsoft.com/fwlink/?LinkId=89028, puede estar en inglés﴿ Implementación de dominios regionales de Windows Server 2008 ﴾http://go.microsoft.com/fwlink/?LinkId=89029, puede estar en inglés﴿ Actualización de dominios de AD DS a Windows Server 2008 ﴾http://go.microsoft.com/fwlink/?LinkId=89032, puede estar en inglés﴿ Reestructuración de los dominios de AD DS entre y dentro de bosques. Para obtener más información, consulte la guía de migración de ADMT v3.1 ﴾http://go.microsoft.com/fwlink/?LinkId=82740, puede estar en inglés﴿. Asignar una tarea o una combinación de las tareas de implementación de AD DS predefinidas a la estrategia de Asignación de las tareas de diseño e implementación a una estrategia de http://pabprod.blob.core.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.html 4/80 Cuando se diseña la estructura lógica de AD DS. Para obtener más información. Contiene información sobre la ubicación de los sitios de AD DS. Diseño de la topología del sitio Una vez que haya diseñado la estructura lógica de la infraestructura de AD DS. http://pabprod. La estructura lógica de AD DS determina la forma en que se organizan los objetos de directorio y constituye un método eficaz para administrar las cuentas y recursos compartidos de la red.core. después. se define una parte importante de la infraestructura de red de una organización. cree diseños para los dominios.com/fwlink/?LinkId=89024. la infraestructura del Sistema de nombres de dominio ﴾DNS﴿ y las unidades organizativas ﴾OU﴿. implementación de AD DS © 2015 Microsoft Diseño de AD DS Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Para diseñar la estructura lógica de AD DS. debe planear y diseñar la estructura lógica de AD DS para el entorno.microsoft. los controladores de dominio de AD DS de cada sitio y los vínculos a sitios y puentes de vínculos a sitios que admiten la replicación de AD DS entre los sitios.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. La topología del sitio es una representación lógica de la red física. Windows Server 2008 R2 Diseño de la estructura lógica de Active Directory Antes de implementar los Servicios de dominio de Active Directory ﴾AD DS﴿ de Windows Server 2008. determine el número de bosques que la organización requiere y. En la siguiente ilustración se muestra el proceso de diseño de la topología del sitio.html 5/80 . En la ilustración siguiente se muestra el proceso de diseño de la estructura lógica.blob.1/9/2015 Mi colección implementación de AD DS que se ha seleccionado. puede estar en inglés﴿.windows. consulte el tema que trata acerca del diseño de la estructura lógica de los Servicios de dominio de Active Directory ﴾http://go. debe diseñar la topología del sitio para la red. microsoft.microsoft. Habilitación de las características avanzadas de AD DS de Windows Server 2008 Puede usar AD DS de Windows Server 2008 para dotar a su entorno de características avanzadas mediante la elevación del nivel funcional del dominio o del bosque. si así lo decide.windows. configurar el servicio DNS para el dominio raíz del bosque y crear el dominio raíz del bosque. En la ilustración siguiente se muestra a grandes rasgos el proceso de implementar un dominio raíz del bosque. Además. la configuración de la topología del sitio para el dominio raíz del bosque y la configuración de las funciones del maestro de operaciones ﴾también conocidas como FSMO o Flexible Single Master Operations﴿. puede estar en inglés﴿. que consiste en la implementación de controladores de dominio raíz del bosque. puede estar en inglés﴿. consulte el tema que explica cómo habilitar las características avanzadas de Windows Server 2008 para los Servicios de dominio de Active Directory ﴾http://go.microsoft. Para implementar AD DS.blob. lo que puede provocar un mal rendimiento del controlador de dominio y un tiempo de respuesta de aplicación lento. y elevar los niveles funcionales del bosque y del dominio. complete el diseño de AD DS antes de empezar a crear el entorno de AD DS.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Si se planea exhaustivamente la capacidad de los controladores de dominio. Después. Para ello. © 2015 Microsoft Implementación de AD DS Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Para obtener más información. http://pabprod. Puede elevar el nivel funcional a Windows Server 2008 cuando todos los controladores de dominio del bosque o del dominio ejecutan Windows Server 2008. puede implementar un nuevo dominio raíz del bosque y la estructura de dominios restante de acuerdo con su diseño. puede realizar una actualización en contexto de algunos dominios y reestructurar otros. Si va a crear un entorno con AD DS pero no tiene una estructura de dominios existente. como parte de la implementación de AD DS. es necesario determinar cuál es el número adecuado de controladores de dominio para cada sitio y comprobar que cumplen los requisitos de hardware de Windows Server 2008.com/fwlink/?LinkId=89027. debe revisar el diseño de AD DS.core. Asimismo. Planeamiento de la capacidad del controlador de dominio Para garantizar un rendimiento eficaz de AD DS. se garantiza que no se infravaloren los requisitos de hardware. consulte el tema que trata acerca del diseño de la topología del sitio para los Servicios de dominio de Active Directory ﴾http://go. Para obtener más información. consulte el tema donde se explica el procedimiento para planear la capacidad del controlador de dominio ﴾http://go. si la organización cuenta con una estructura de dominios de Windows 2000 existente. En la ilustración siguiente se muestra el proceso de planeación de la capacidad del controlador de dominio. Por ejemplo.com/fwlink/?LinkId=89026.html 6/80 . Implementación de un dominio raíz del bosque de Windows Server 2008 El dominio raíz del bosque ofrece las bases para la infraestructura del bosque de AD DS. puede estar en inglés﴿.com/fwlink/?LinkId=89030. puede que decida reducir la complejidad del entorno mediante la reestructuración de dominios entre bosques o la reestructuración de dominios dentro de un bosque después de implementar AD DS. Windows Server 2008 R2 La estructura del entorno existente determina la estrategia de implementación de los Servicios de dominio de Active Directory ﴾AD DS﴿ de Windows Server 2008. tiene la opción de actualizar y reestructurar el entorno. primero se debe implementar un dominio raíz del bosque.1/9/2015 Mi colección Para obtener más información. puede estar en inglés﴿. Para obtener más información acerca del uso de la herramienta de migración de Active Directory ﴾ADMT﴿ versión 3.com/fwlink/?LinkId=89028.1﴿ para reestructurar dominios. Implementación de los dominios regionales de Windows Server 2008 Después de completar la implementación del dominio raíz del bosque. Por otra parte.html 7/80 .microsoft. La actualización de Windows 2000 o Windows Server 2003 a Windows Server 2008 requiere una configuración de red mínima.1 ﴾ADMT v3.1/9/2015 Mi colección Para obtener más información. reducir la complejidad y la carga administrativas. puede estar en inglés﴿. puede implementar cualquier dominio regional nuevo de Windows Server 2008 que el diseño especifique. Cuando se reestructuran dominios dentro de un bosque. consulte el tema que trata acerca de la implementación de los dominios regionales de Windows Server 2008 ﴾http://go.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Para obtener más información. Cuando se reestructuran dominios de Windows Server 2008 en un bosque de Windows Server 2008 ﴾reestructuración dentro del bosque﴿. Reestructuración de dominios de AD DS Cuando se reestructuran dominios entre bosques de Windows Server 2008 ﴾reestructuración entre bosques﴿. si es necesario. las cuentas migradas dejan de existir en el dominio de origen. se puede reducir el número de dominios del entorno y. Para obtener más información.microsoft. Con este fin.microsoft. consulte la guía de migración de ADMT v3. escalabilidad y facilidad de administración de la infraestructura de red.microsoft.com/fwlink/?LinkId=89032. Cuando se migran objetos entre bosques como parte de este proceso de reestructuración.core. por lo tanto. deberá implementar controladores de dominio para cada dominio regional.blob. se puede consolidar la estructura de dominios y. En la ilustración siguiente se muestra el proceso de implementación de los dominios regionales. Actualización de dominios de Active Directory a Windows Server 2008 Actualizar los dominios de Windows 2000 o Windows Server 2003 a dominios de Windows Server 2008 es una manera eficaz y sencilla de aprovechar las características y funcionalidad adicionales de Windows Server 2008. puede estar en inglés﴿. consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 ﴾http://go.com/fwlink/?LinkId=82740. Esto permite revertir al entorno de origen durante la migración. por lo tanto. © 2015 Microsoft http://pabprod. consulte el tema que trata acerca de la actualización de dominios de AD DS a Windows Server 2008 ﴾http://go. el entorno del dominio de origen y el entorno del dominio de destino coexisten. también la complejidad y la carga administrativas.com/fwlink/?LinkId=89029. puede estar en inglés﴿.windows. Puede actualizar los dominios para mantener la configuración actual de red y dominios al tiempo que mejora la seguridad. tiene poco impacto en las operaciones de los usuarios.1 ﴾http://go. puede estar en inglés﴿. pero todos los controladores de dominio del entorno deben ejecutar Windows Server 2008 antes de establecer el nivel funcional del dominio o del bosque en Windows Server 2008. ﴾"Sí" significa que se requiere una tarea específica para la estrategia de implementación. Actualización de dominios de AD DS a Windows Server 2008 ﴾http://go.com/fwlink/? No Yes Yes http://pabprod.microsoft.com/fwlink/? LinkId=89030.core.microsoft. puede estar en inglés﴿ Yes Sí. Sí. puede estar en inglés﴿ Yes No No Implementación de dominios regionales de Windows Server 2008 ﴾http://go. puede crear una estrategia de implementación de AD DS personalizada o combinar las tareas de diseño e implementación de AD DS para satisfacer las necesidades de la organización. puede estar en inglés﴿ Yes Yes Yes Habilitación de las características avanzadas de Windows Server 2008 para los Servicios de dominio de Active Directory ﴾http://go.﴿ Esta tabla se refiere únicamente a las tres estrategias de implementación de AD DS principales que se describen en esta guía.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.windows.microsoft.microsoft. puede asignarlas a una estrategia de implementación de AD DS específica.1/9/2015 Mi colección Asignación de las tareas de diseño e implementación a una estrategia de implementación de AD DS Actualizado: junio de 2009 Se aplica a: Windows Server 2008.   Tareas de diseño e implementación de AD DS Planeamiento de la implementación de AD DS en una organización nueva Planeamiento de la implementación de AD DS en una organización con Windows Server 2003 Planeamiento de la implementación de AD DS en una organización con Windows 2000 Diseño de la estructura lógica de los Servicios de dominio de Active Directory ﴾http://go. Windows Server 2008 R2 Cuando termine de revisar e identificar las tareas de diseño e implementación de los Servicios de dominio de Active Directory ﴾AD DS﴿ y después de determinar cuáles están asociadas con su implementación concreta. "No" significa que no se requiere una tarea específica para la estrategia de implementación.com/fwlink/? LinkId=89024. Use la tabla siguiente para determinar qué estrategia de implementación de AD DS se corresponde con la combinación correcta de tareas de diseño e implementación de AD DS de su organización. puede estar en inglés﴿. pero todos los controladores de dominio del entorno deben ejecutar Windows Server 2008 antes de establecer el nivel funcional del dominio o del bosque en Windows Server 2008. puede estar en inglés﴿ Yes Yes Yes Implementación de un dominio raíz del bosque de Windows Server 2008 ﴾http://go.com/fwlink/? LinkId=89029.com/fwlink/? LinkId=89026.microsoft.microsoft.blob.html 8/80 .com/fwlink/? LinkId=89028.com/fwlink/? LinkId=89027. Sin embargo. Yes Yes Yes Planeación de la capacidad del controlador de dominio ﴾http://go.microsoft. Yes Yes Yes Diseño de la topología del sitio para los Servicios de dominio de Active Directory ﴾http://go. En la ilustración siguiente se muestran los pasos para implementar AD DS de Windows Server 2008 en un entorno de red que actualmente carece de un servicio de directorio. diseñe un plan integral de la estructura lógica de AD DS antes de implementar AD DS. si desea realizar una fusión con otra organización y consolidar las dos infraestructuras de TI o consolidar los dominios de recursos y cuentas que se actualizaron en contexto desde entornos con Windows 2000 o Windows Server 2003. Después. puede estar en inglés﴿ Reestructuración de dominios de AD DS entre bosques ﴾http://go. si es necesario reducir el número de dominios. o simplificar la administración de la directiva de grupo. Reestructuración de dominios de AD DS dentro de bosques ﴾http://go. Si su entorno de red actualmente funciona sin un servicio de directorio. Sí.com/fwlink/? LinkId=82740.microsoft.1/9/2015 Mi colección LinkId=89032.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Sí. si desea realizar una fusión con otra organización y consolidar las dos infraestructuras de TI o consolidar los dominios de recursos y cuentas que se actualizaron en contexto desde entornos con Windows 2000 o Windows Server 2003. el tráfico de replicación y el volumen de administración de usuarios y grupos.windows.com/fwlink/? LinkId=82740. el tráfico de replicación y el volumen de administración de usuarios y grupos.core.html 9/80 . © 2015 Microsoft Planeamiento de la implementación de AD DS en una organización con Windows Server 2003 Actualizado: abril de 2008 http://pabprod. © 2015 Microsoft Planeamiento de la implementación de AD DS en una organización nueva Actualizado: abril de 2008 Se aplica a: Windows Server 2008.blob. si desea migrar un dominio piloto en el entorno de producción. Sí. Windows Server 2008 R2 Es esencial preparar minuciosamente el diseño de los Servicios de dominio de Active Directory ﴾AD DS﴿ para que la implementación sea rentable.microsoft. puede estar en inglés﴿ No Sí. puede implementar un nuevo dominio raíz del bosque y la estructura de dominios restante de acuerdo con su diseño. puede estar en inglés﴿ Sí. o simplificar la administración de la directiva de grupo. realizar una fusión con otra organización y consolidar las dos infraestructuras de tecnologías de la información ﴾TI﴿ o consolidar los dominios de recursos y cuentas que se actualizaron en contexto desde entornos con Windows 2000 o Windows Server 2003. si es necesario reducir el número de dominios. Windows Server 2008 R2 Si actualmente su organización ejecuta Active Directory de Windows 2000. así como los costos administrativos asociados. actualiza los descriptores de seguridad predeterminados de objetos seleccionados y agrega los nuevos objetos de directorio que requieren determinadas aplicaciones. puede implementar los Servicios de dominio de Active Directory ﴾AD DS﴿ de Windows Server 2008 por medio de la actualización en contexto de una parte o la totalidad de los sistemas operativos de los controladores de dominio a Windows Server 2008 o mediante la incorporación al entorno de controladores de dominio que ejecuten Windows Server 2008. consulte Adprep ﴾http://go. Para obtener más información. La consolidación de dominios de recursos y dominios de cuentas que se actualizan en contexto desde un entorno de Windows Server 2003 como parte de la implementación de AD DS de Windows Server 2008 puede requerir la reestructuración de dominios entre bosques o dentro del bosque. es preciso ejecutar adprep.core. Nota Si desea establecer el nivel funcional del dominio o del bosque en Windows Server 2008.exe﴿. una herramienta de línea de comandos. Antes de agregar un controlador de dominio que ejecute Windows Server 2008 a un dominio existente de Active Directory de Windows Server 2003. Adprep extiende el esquema de AD DS.blob.windows.exe﴿. consulte la guía de migración de ADMT v3. puede estar en inglés﴿. © 2015 Microsoft Planeamiento de la implementación de AD DS en una organización con Windows 2000 Actualizado: abril de 2008 Se aplica a: Windows Server 2008.microsoft. http://pabprod. Para obtener más información.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. En la ilustración siguiente se muestran los pasos para implementar AD DS de Windows Server 2008 en un entorno de red que actualmente ejecuta Active Directory de Windows Server 2003.1/9/2015 Mi colección Se aplica a: Windows Server 2008.html 10/80 .microsoft. La reestructuración de dominios de AD DS entre bosques ayuda a reducir la complejidad de la representación de la organización en AD DS. Adprep está disponible en el disco de instalación de Windows Server 2008 ﴾\sources\adprep\adprep. una herramienta de línea de comandos. Adprep extiende el esquema de AD DS.com/fwlink/?LinkId=99215. y al simplificar la administración de la directiva de grupo. Adprep está disponible en el disco de instalación de Windows Server 2008 ﴾\sources\adprep\adprep.com/fwlink/?LinkId=99215. Windows Server 2008 R2 Si actualmente su organización ejecuta Active Directory de Windows Server 2003. Para obtener más información. La reestructuración de dominios de AD DS dentro de un bosque ayuda a reducir la carga administrativa de la organización al disminuir el tráfico de replicación y el volumen de administración de usuarios y grupos. Antes de agregar un controlador de dominio que ejecute Windows Server 2008 a un dominio existente de Active Directory de Windows 2000.com/fwlink/?LinkId=82740. actualiza los descriptores de seguridad predeterminados de objetos seleccionados y agrega los nuevos objetos de directorio que requieren determinadas aplicaciones. todos los controladores de dominio del entorno deben ejecutar el sistema operativo Windows Server 2008. es preciso ejecutar adprep.microsoft. puede implementar los Servicios de dominio de Active Directory ﴾AD DS﴿ de Windows Server 2008 por medio de la actualización en contexto de una parte o la totalidad de los sistemas operativos de los controladores de dominio a Windows Server 2008 o mediante la incorporación al entorno de controladores de dominio que ejecuten . puede estar en inglés﴿. consulte Adprep ﴾http://go. puede estar en inglés﴿.1 ﴾http://go. todos los controladores de dominio del entorno deben ejecutar el sistema operativo Windows Server 2008. y admiten también aplicaciones habilitadas para directorio. En la ilustración siguiente se muestran los pasos para implementar AD DS de Windows Server 2008 en un entorno de red que actualmente ejecuta Active Directory de Windows 2000. puede estar en inglés﴿. La reestructuración de dominios de AD DS entre bosques ayuda a reducir la complejidad de la organización y los costos administrativos asociados. Windows Server 2008 R2 Los Servicios de dominio de Active Directory® ﴾AD DS﴿ del sistema operativo de Windows Server® 2008 permiten a las organizaciones crear una infraestructura segura. según corresponda Una repercusión reducida sobre el ancho de banda de la red El uso compartido simplificado de los recursos http://pabprod. La consolidación de dominios de recursos y de cuentas que se actualizan en contexto desde un entorno de Windows 2000 como parte de la implementación de AD DS de Windows Server 2008 puede requerir la reestructuración de dominios entre bosques o dentro del bosque.com/fwlink/?LinkId=82740.1 ﴾http://go. consulte la guía de migración de ADMT v3.html 11/80 . © 2015 Microsoft Diseño de una estructura lógica para AD DS en Windows Server 2008 Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Una estructura lógica de Active Directory bien diseñada presenta las siguientes ventajas: Administración simplificada de redes basadas en Microsoft® Windows® que contienen un gran número de objetos Una estructura de dominio consolidada y costos de administración reducidos La capacidad de delegar el control administrativo sobre los recursos.windows. y al simplificar la administración de la directiva de grupo.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. primero debe actualizar el servidor a Windows Server 2003 y después a Windows Server 2008.core. Nota Si desea establecer el nivel funcional del dominio o del bosque en Windows Server 2008. La reestructuración de dominios de AD DS dentro de un bosque ayuda a reducir la carga administrativa de la organización al disminuir el tráfico de replicación y el volumen de administración de usuarios y grupos. escalable y administrable para la administración de recursos y usuarios. Para obtener más información.microsoft.1/9/2015 Mi colección Nota Si desea realizar una actualización en contexto de un controlador de dominio de AD DS de Windows 2000 existente a Windows Server 2008.blob. blob. distribución de software y administración de usuarios. Además. como la necesidad de controlar la replicación. Los controladores de dominio proporcionan servicios de autenticación a los usuarios y datos de autorización adicionales. Autenticación. Se trata de un modelo lógico porque es independiente de los aspectos físicos de la implementación.core. Relaciones de confianza. De esta manera. Los controladores de dominio que forman parte del mismo se usan para almacenar cuentas y credenciales de usuario ﴾como contraseñas o certificados﴿ de forma segura. El dominio permite crear identidades de usuario y hacer referencia a ellas en cualquier equipo unido al bosque en el que se encuentra el dominio. es posible optimizar el proceso de implementación para aprovechar mejor las ventajas que ofrecen las características de Active Directory de Windows Server 2008. http://pabprod. grupos. Los dominios pueden ampliar los servicios de autenticación a los usuarios de dominios situados fuera de su propio bosque mediante relaciones de confianza.windows. Por último. AD DS es una base de datos distribuida que almacena y administra información acerca de los recursos de red así como datos específicos de las aplicaciones con directorio habilitado. AD DS permite a los administradores organizar los elementos de una red ﴾por ejemplo. infraestructura de clave pública ﴾PKI﴿ y un sistema de archivos distribuido ﴾DFS﴿ basado en dominio. los equipos y los dispositivos﴿ en una estructura de contención jerárquica. como Microsoft Exchange Server. Para diseñar la estructura lógica de Active Directory. el directorio se puede adaptar globalmente en una red que dispone de un ancho de banda limitado. las unidades organizativas ﴾OU﴿. Cuando se diseña una estructura lógica de Active Directory antes de implementar AD DS. Windows Server 2008 R2 Diseñar la estructura lógica de los Servicios de dominio de Active Directory ﴾AD DS﴿ implica definir las relaciones entre los contenedores del directorio. Bosque de Active Directory Un bosque es un conjunto de uno o varios dominios de Active Directory que comparten una estructura lógica. Antes de diseñar la estructura lógica de Active Directory. entre las que se incluyen: Identidad de usuario en toda la red. como el número de controladores de dominio necesarios en cada dominio y topología de red. como la delegación de autoridad. basándose en esa información. el dominio es compatible con otras funciones clave relacionadas con la administración. Estas relaciones pueden basarse en requisitos administrativos.html 12/80 . el equipo de diseño identifica la estructura de la unidad organizativa ﴾OU﴿ necesaria para delegar la administración de los recursos de la organización.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.1/9/2015 Mi colección Óptimo rendimiento de búsqueda Un bajo costo total de propiedad Una estructura lógica de Active Directory bien diseñada facilita la integración eficaz en el sistema de características tales como directiva de grupo. el equipo de diseño decide cómo configurar el entorno del Sistema de nombres de dominio ﴾DNS﴿ para satisfacer las necesidades del bosque. es importante entender el modelo lógico de Active Directory. o pueden venir definidas por requisitos operativos. un esquema del directorio ﴾definiciones de clase y atributo﴿. como pertenencia a grupos de usuarios. La partición de datos permite a las organizaciones replicar los datos únicamente donde es necesario. El contenedor de nivel superior es el bosque. Los dominios del mismo bosque se vinculan automáticamente con relaciones de confianza transitivas bidireccionales. A continuación. Dentro de los bosques están los dominios y dentro de los dominios. Además. Dominio de Active Directory Un dominio es una partición dentro de un bosque de Active Directory. estaciones de trabajo y servidores. una estructura lógica diseñada cuidadosamente facilta la integración de servicios y aplicaciones de Microsoft y que no son de Microsoft. decide dónde colocar los límites del dominio y el bosque. bloqueo de escritorio. el equipo de diseño identifica en primer lugar los requisitos de la organización y. En esta guía Descripción del modelo lógico de Active Directory Identificación de los participantes en el proyecto de implementación Creación del diseño de un bosque Creación del diseño de un dominio Creación del diseño de una infraestructura DNS Creación del diseño de una unidad organizativa Búsqueda de recursos adicionales para el diseño de la estructura lógica de Active Directory de Windows Server 2008 Apéndice A: Inventario de DNS © 2015 Microsoft Descripción del modelo lógico de Active Directory Actualizado: abril de 2008 Se aplica a: Windows Server 2008. que se pueden usar para controlar el acceso a los recursos de la red. los usuarios. una configuración de directorio ﴾información de replicación y del sitio﴿ y un catálogo global ﴾capacidades de búsqueda en todo el bosque﴿ comunes. La delegación es importante porque ayuda a distribuir la administración de un gran número de objetos entre una serie de usuarios en quienes se confía para realizar tareas de administración. los propietarios pueden transferir un control administrativo total o limitado sobre los objetos a otros usuarios o grupos. deben identificarse las personas y grupos que serán los propietarios del directorio y los responsables de mantenerlo una vez completada la implementación. Además. implementación y operaciones Entender las necesidades de las aplicaciones integradas en AD DS http://pabprod.core. puede que desee contratar a un asesor externo experto en el diseño e implementación de Active Directory. El dominio define una partición del directorio que contiene datos suficientes para proporcionar servicios de dominio y.windows. Una vez designados el administrador y el arquitecto del proyecto. El arquitecto aporta conocimientos técnicos que ayudan durante el proceso de diseño e implementación de AD DS. crearán las programaciones del proyecto e identificarán a las personas que formarán parte de los equipos del proyecto. Estas personas son responsables de ejecutar el proyecto de implementación de Active Directory. Por este motivo.1/9/2015 Mi colección Replicación. el arquitecto del proyecto y el administrador del proyecto. Para facilitar la administración de un gran número de objetos. es importante contar con un patrocinador ejecutivo que entienda el valor comercial de la implementación. todos los controladores están en el mismo nivel dentro del dominio y se administran como una unidad. Las OU se usan para agrupar objetos con fines administrativos. Definición de las funciones específicas del proyecto Determinación de los propietarios y administradores Creación de los equipos del proyecto Definición de las funciones específicas del proyecto Un paso importante a la hora de definir los equipos del proyecto es identificar a las personas que desempeñarán las funciones específicas del mismo. a continuación. El control ﴾sobre una OU y los objetos de la misma﴿ está determinado por las listas de control de acceso ﴾ACL﴿ de la OU y de los objetos de la OU. apoye el proyecto en el nivel ejecutivo y pueda ayudar a resolver conflictos en toda la organización. De esta manera. empezando por los diversos propietarios. Nota Si el personal de la organización no tiene experiencia en el diseño de directorios. AD DS es compatible con el concepto de delegación de autoridad. como la aplicación de una directiva de grupo o la delegación de autoridad. Arquitecto del proyecto Toda implementación de Active Directory requiere un arquitecto de proyectos que administre el diseño y el proceso de toma de decisiones de la implementación. Patrocinador ejecutivo Implementar una infraestructura como AD DS puede tener una amplia repercusión en la organización. Mediante la delegación. la replica entre los controladores del dominio. Unidades organizativas de Active Directory Las OU se pueden usar para formar una jerarquía de contenedores dentro de un dominio. éstos establecerán los canales de comunicación en toda la organización.blob. Entre ellas se incluyen el patrocinador ejecutivo. Las responsabilidades del arquitecto del proyecto de Active Directory incluyen: Ser propietario del diseño de Active Directory Entender y registrar las razones que sustentan las decisiones clave del diseño Asegurarse de que el diseño satisface las necesidades empresariales de la organización Alcanzar el consenso entre los equipos de diseño.html 13/80 .net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Windows Server 2008 R2 El primer paso a la hora de establecer un proyecto de implementación para los Servicios de dominio de Active Directory ﴾AD DS﴿ consiste en configurar los equipos del proyecto de diseño e implementación que serán responsables de administrar las fases de diseño e implementación del ciclo de proyectos de Active Directory. © 2015 Microsoft Identificación de los participantes en el proyecto de implementación Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Es importante identificar con antelación a los propietarios de datos y servicios de Active Directory para que puedan participar en la mayor parte del proceso de diseño que sea posible. Los administradores son responsables de implementar el diseño en la red conforme a las especificaciones de diseño. es importante que estas personas proporcionen información relativa a las necesidades organizativas y estén familiarizadas con los motivos y la forma en que se toman determinadas decisiones de diseño. el equipo de implementación de Active Directory necesita incluir a administradores de servicios. Por este motivo. como de mantener los equipos miembros del dominio. Hay que tener cuidado de asignar las funciones de administrador de servicios únicamente a personas de confianza dentro de la organización.1/9/2015 Mi colección El diseño final de Active Directory debe reflejar una combinación de objetivos empresariales y decisiones técnicas. Los propietarios de datos. Por lo tanto. Entre los propietarios de servicios se incluyen el propietario del bosque. Es preciso asegurarse de que los administradores de servicios de la organización sean personas que estén familiarizadas con las directivas operativas y de seguridad vigentes en la red y que entiendan la necesidad de hacer que se cumplan. como la creación de nuevos controladores de dominio dentro del bosque. los administradores de servicios crean controladores de dominio adicionales y establecen o eliminan las relaciones de confianza entre los dominios. La función del propietario es estratégica y administrativa. empezando por el diseño y continuando por la implementación. Ello incluye la administración de cuentas de equipo y usuario y la administración de recursos locales.windows.blob. Los administradores de servicios implementan las decisiones de la directiva tomadas por los propietarios de servicios y hacen cargo de las tareas diarias asociadas al mantenimiento de la infraestructura y el servicio del directorio. mientras que en algunas organizaciones pequeñas. Entre los propietarios de datos se incluye a los propietarios de la unidad organizativa ﴾OU﴿. controlar la configuración de las opciones de todo el bosque y garantizar que el directorio esté siempre disponible. http://pabprod. El administrador del proyecto supervisa todo el proyecto de implementación. Propietarios de datos y servicios En la administración diaria de AD DS intervienen dos tipos de propietarios: Propietarios de servicios. que son responsables del mantenimiento de la información almacenada en el directorio. Lo ideal es que el administrador del proyecto de implementación de Active Directory sea alguien de dentro de la organización que esté familiarizado tanto con las directivas operativas del grupo de TI como con los requisitos de diseño de los grupos que se están preparando para implementar AD DS. Los administradores de datos son usuarios de un dominio responsables tanto de mantener los datos que se almacenan en AD DS. como estaciones de trabajo y servidores miembro. el propietario del Sistema de nombres de dominio ﴾DNS﴿ de Active Directory y el propietario de la topología del sitio. Puesto que estas personas tienenla capacidad de modificar los archivos del sistema en los controladores de dominio.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Los administradores de servicios son responsables también de completar las tareas continuas de implementación de Active Directory que son necesarias una vez que se ha completado el proceso inicial de implementación de Active Directory de Windows Server 2008. administrar otros servicios de red como DNS necesarios para AD DS. personas diferentes ocupan las funciones de propietario y administrador. los propietarios en un proyecto de implementación de Active Directory son responsables de asegurarse de que las tareas de implementación se completan y de que las especificaciones de diseño de Active Directory satisfacen las necesidades de la organización. y se asegura de que el proyecto se ajuste a la programación y se mantenga dentro del presupuesto. Entre las responsabilidades del administrador del proyecto se incluyen las siguientes: Proporcionar la planificación básica del proyecto. Los administradores tienen los permisos y el acceso de red necesarios para manipular el directorio y su infraestructura.html 14/80 . como la programación y el presupuesto Impulsar los progresos en el proyecto de diseño e implementación de Active Directory Asegurarse de que las personas adecuadas participen en cada una de las fases del proceso de diseño Servir como punto de contacto único para el proyecto de implementación de Active Directory Establecer la comunicación entre los equipos de diseño. que son responsables de la planificación y el mantenimiento a largo plazo de la infraestructura de Active Directory y de garantizar que el directorio continúa funcionando y de que se mantienen los objetivos establecidos en los acuerdos de nivel de servicios. el arquitecto del proyecto debe revisar las decisiones de diseño para asegurarse de que se alinean con los objetivos empresariales. como cuentas de grupo y usuario. implementación y operaciones Establecer y mantener la comunicación con el patrocinador ejecutivo en todo el proyecto de implementación Determinación de los propietarios y administradores Para los administradores. pueden modificar el comportamiento de AD DS. Los administradores de datos controlan subconjuntos de objetos dentro del directorio y no tienen ningún control sobre la instalación o configuración del servicio de directorio. según sea necesario. Ello incluye administrar los controladores de dominio que hospedan el servicio de directorio. Los administradores son las personas responsables de realizar las tareas de implementación necesarias.core. la misma persona actúa como propietaria y administradora al mismo tiempo. Administradores de datos y servicios Dos tipos de administradores intervienen en el funcionamiento de AD DS: administradores de servicios y administradores de datos. Puesto que los propietarios de datos y servicios son responsables del mantenimiento a largo plazo del directorio una vez que ha finalizado el proyecto de implementación. Por ejemplo. En las organizaciones de gran tamaño. Los propietarios son responsables de comunicar a los administradores las tareas necesarias para la implementación del diseño de Active Directory. Administrador del proyecto Al administrador del proyecto facilita la cooperación entre las unidades empresariales y entre los grupos de administración de tecnología. a medida que aumentan las demandas sobre el directorio. Los propietarios no necesariamente tendrán acceso directo a la infraestructura del directorio ni podrán manipularlo. como la creación de nuevas cuentas de usuario para los empleados nuevos del departamento. En un entorno de Active Directory. incluidas las directivas de cuenta de usuario de dominio como las directivas de bloqueo de cuenta y de contraseñas específicas. Trabajar con el equipo de implementación para garantizar que la nueva infraestructura de DNS se implemente conforme a las especificaciones del equipo de diseño y de que ésta está funcionando adecuadamente. Los administradores de servicios requieren un conjunto de destrezas mucho más amplio. ya que son responsables de mantener el directorio y la infraestructura que lo sustenta. Las funciones de estos propietarios de datos y servicios se explican en las siguientes secciones. Ello incluye saber cómo instalar el software para convertir un servidor en un controlador de dominio y cómo manipular el entorno DNS para que el controlador de domino pueda combinarse sin problemas con el entorno de Active Directory. Propietario de la topología del sitio El propietario de la topología del sitio está familiarizado con la estructura física de la red de la organización. Una vez que ha finalizado el proyecto de implementación. incluido el servicio Servidor DNS y los datos DNS El propietario de DNS para AD DS es un propietario de servicios. La mayor parte del trabajo administrativo pueden llevarla a cabo los administradores de datos.1/9/2015 Mi colección De manera predeterminada no se proporcionan cuentas de administradores de datos. Propietario de DNS para AD DS El propietario de DNS para AD DS es una persona que tiene un conocimiento profundo de la infraestructura de DNS y del espacio de nombres existentes de la organización.html 15/80 . el propietario de la topología del sitio y el propietario de la unidad organizativa ﴾OU﴿. Los administradores de datos sólo requieren las habilidades necesarias para administrar su parte del directorio. Una vez que el equipo de diseño determina cómo deben administrarse los recursos para la organización.windows. Es mejor limitar el número de administradores de servicios de la organización al número mínimo necesario para garantizar que la infraestructura siga funcionando. enrutadores y áreas de red que están conectadas mediante vínculos lentos. Administrar la infraestructura de DNS para AD DS. los propietarios del dominio deben crear cuentas de administradores de datos y delegar en ellos los permisos correspondientes basándose en el conjunto de objetos de los que van a ser responsables los administradores. El propietario del bosque es responsable de lo siguiente: Implementación del dominio raíz del bosque para crear el bosque Implementación del primer controlador de dominio de cada dominio para crear los dominios necesarios para el bosque Pertenencias de los grupos de administradores de servicios de todos los dominios del bosque Creación del diseño de la estructura de la unidad organizativa para cada dominio del bosque Delegación de la autoridad administrativa a los propietarios de la OU Cambios en el esquema Cambios en las opciones de configuración de todo el bosque Implementación de determinadas opciones de directiva de la directiva de grupo. Por ejemplo. ya que sólo es preciso impartir formación a un número reducido de administradores para que haga funcionar y mantenga todo el directorio y su infraestructura. Un administrador de datos sólo necesita saber cómo administrar los datos específicos de los que son responsables. Estos grupos deben designar a los propietarios de datos y servicios responsables de representar a los distintos grupos durante el proceso de diseño e implementación. un administrador de servicios necesita entender cómo agregar un dominio a un bosque. El propietario del bosque es un propietario de servicios.core. Opciones de directiva de negocio que se aplican a los controladores de dominio Cualquier otra configuración de directiva de grupo que se aplica en el nivel de dominio El propietario del bosque tiene autoridad sobre todo el bosque. en última instancia.blob. estos propietarios de datos y servicios siguen siendo responsables de la parte de la infraestructura administrada por su grupo. Propietario del bosque El propietario del bosque suele ser un administrador jefe de tecnologías de la información ﴾TI﴿ de la organización que es responsable del proceso de implementación de Active Directory y de administrar.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. incluida la asignación de subredes individuales. Implementar AD DS requiere la coordinación y la comunicación entre los diversos grupos involucrados en el funcionamiento de la infraestructura de red. estos propietarios son el propietario del bosque. El propietario de la topología del sitio es responsable de lo siguiente: Entender la topología de la red física y cómo afecta a AD DS http://pabprod. el propietario de DNS para AD DS. la prestación de los servicios dentro del bosque una vez finalizada la implementación. El propietario del bosque designa a las personas que desempeñarán las demás funciones de propietarios identificando al personal clave de la organización capaz de aportar la información necesaria sobre la infraestructura de la red y las necesidades administrativas. Es responsabilidad del propietario del bosque establecer las directivas de negocio y la directiva de grupo para seleccionar a las personas que serán administradores de servicios. El propietario de DNS para AD DS es responsable de lo siguiente: Servir como enlace entre el equipo de diseño y el grupo de TI que posee actualmente la infraestructura de DNS Proporcionar información sobre el espacio de nombres de DNS existente en la organización para ayudar a crear el nuevo espacio de nombres de Active Directory. Dividir las asignaciones de trabajo de esta manera tiene como resultado un ahorro de costos para la organización. modifica o elimina una subred Crear vínculos de sitio. y sólo pueden realizar dichas tareas en las unidades organizativas a las que están asignados. El tamaño de los equipos de proyecto varía dependiendo del tamaño de la organización. Creación de los equipos del proyecto Los equipos de proyecto de Active Directory son grupos temporales responsables de completar las tareas de diseño e implementación de Active Directory. En las organizaciones pequeñas. Diseñar estructuras de unidad organizativa ﴾OU﴿ que permitan niveles de protección apropiados y una adecuada delegación de autoridad a los propietarios de los datos. La separación entre la administración de datos y la de servicios en AD DS permite al grupo ﴾o grupos﴿ de TI de la infraestructura de una organización administrar el servicio de directorio mientras los administradores de cada grupo administran los datos que pertenecen a sus propios grupos. Identificación de los potenciales propietarios de bosque Identifique los grupos de la organización que poseen y tienen el control de los recursos necesarios para proporcionar los servicios de directorio a los usuarios de la red. así como para modificarlo en caso de que sea necesario solucionar cualquier problema que pudiera surgir. Trabajar con los representantes del grupo de seguridad de la organización para garantizar que el diseño satisface las directivas de seguridad establecidas. los propietarios del bosque actuales son también los propietarios potenciales del bosque para nuevas implementaciones.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. http://pabprod. Seleccione uno de los propietarios potenciales del bosque para que actúe como propietario de cualquier bosque que esté considerando implementar. Esta persona necesita estar familiarizado con las directivas operativas y de seguridad vigentes en la red.windows. Los propietarios de la unidad organizativa ﴾OU﴿ sólo pueden realizar las tareas que han delegado en ellos los administradores de servicios.blob. Trabajar con el equipo de implementación para probar el diseño en un entorno de laboratorio a fin de garantizar que funciona conforme a lo planeado. dicho grupo es generalmente el propietario del bosque y.core.1/9/2015 Mi colección Entender cómo repercutirá la implementación de Active Directory en la red Determinar los sitios lógicos de Active Directory que necesitan crearse Actualizar los objetos del sitio para los controladores de dominio cuando se agrega. Cuando finaliza el proyecto de implementación de Active Directory. Las organizaciones de gran tamaño pueden requerir equipos más grandes con personas diferentes o incluso equipos distintos que abarquen las diversas áreas de responsabilidad. Estos propietarios potenciales del bosque son responsables de trabajar con el equipo de diseño para determinar si se implementará realmente o no su bosque o si hay algún curso de acción alternativo ﴾como unirse a un bosque existente﴿ con el que se haga un mejor uso de los recursos disponibles al tiempo que se satisfacen sus necesidades.html 16/80 . Para las organizaciones que tienen un grupo de TI de infraestructura centralizado. puentes de vínculo a sitio y objetos de conexión manual El propietario de la topología del sitio es un propietario de servicios. Entre las responsabilidades del equipo de diseño se incluyen las siguientes: Determinar cuántos bosques y dominios se necesitan y qué relaciones habrá entre los bosques y los dominios Trabajar con los propietarios de los datos para garantizar que el diseño satisface sus requisitos administrativos y de seguridad Trabajar con los administradores de red actuales para garantizar que la infraestructura de red existente es compatible con el diseño y que éste no tendrá efectos adversos sobre las aplicaciones implementadas en la red. El propietario ﴾o propietarios﴿ del bosque de la organización es miembro del equipo de diseño de Active Directory. Estos grupos se consideran propietarios del bosque en potencia. Si la organización ya tiene una infraestructura de Active Directory. el propietario en potencia del bosque para cualquier implementación futura. Creación de un equipo de diseño El equipo de diseño de Active Directory es responsable de reunir toda la información necesaria para tomar decisiones acerca del diseño de la estructura lógica de Active Directory. Los propietarios potenciales del bosque tienen la autoridad necesaria sobre la infraestructura de la red para implementar y dar soporte técnico a AD DS. una única persona puede abarcar varias áreas de responsabilidad en un equipo de proyecto y participar en diversas fases de la implementación. Entre las tareas que podrían asignarse al propietario de la OU se incluyen las siguientes: Realizar todas las tareas de administración de cuentas dentro de sus unidades organizativas ﴾OU﴿ asignadas Administrar estaciones de trabajo y servicios miembro que son miembros de sus unidades organizativas asignadas Delegar la autoridad en los administradores locales dentro de sus unidades organizativas ﴾OU﴿ asignadas El propietario de la unidad organizativa ﴾OU﴿ es un propietario de datos. El tamaño de los equipos no es importante siempre que se asignen todas las áreas de responsabilidad y que los objetivos de diseño de la organización se satisfagan. por tanto. Propietario de unidad organizativa ﴾OU﴿ El propietario de la unidad organizativa ﴾OU﴿ es responsable de administrar los datos almacenados en el directorio. los propietarios asumen la responsabilidad del directorio y los equipos de proyecto pueden disolverse. Las organizaciones que contienen una serie de grupos de TI de infraestructura independientes tienen un número de propietarios potenciales del bosque. Tenga en cuenta que tendrá que actualizar su documentación a medida que cambien los miembros del equipo y a medida que identifique a los distintos propietarios de Active Directory durante el proceso de diseño. El equipo de diseño también se encarga de realizar los cambios en el diseño conforme a los comentarios recibidos de las pruebas. el equipo de diseño identifica a los demás propietarios. Estas personas deben empezar a participar en el proceso de diseño tan pronto como sean designadas. puede que necesite crear nuevos equipos de diseño para bosques adicionales.com/fwlink/?LinkID=102558 ﴾puede estar en inglés﴿ y abra "Design and Deployment Team Information" ﴾DSSLOGI_1.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go. Esto conlleva realizar las siguientes tareas: Establecer un entorno de prueba que emule suficientemente el entorno de producción Probar el diseño implementando la estructura de dominio y bosque propuesta en un entorno de laboratorio a fin de verificar que satisface los objetivos de cada uno de los propietarios de las funciones Desarrollar y probar cualquiera de los escenarios de migración propuestos por el diseño en un entorno de laboratorio Asegurarse de que los propietarios cierran la sesión en el proceso de comprobación para garantizar que se están comprobando las características de diseño correctas Probar la operación de implementación en un entorno piloto Una vez completadas las tareas de diseño y prueba.1/9/2015 Mi colección Crear un diseño de topología de sitio que satisfaga los requisitos de replicación del bosque al tiempo que evita la sobrecarga del ancho de banda disponible.microsoft. el administrador del proyecto y el arquitecto del proyecto.html 17/80 . la responsabilidad de mantener el nuevo entorno de Active Directory pasa al equipo de operaciones. Al término del proceso de implementación. Esto ayuda a garantizar que la transición de propiedad se realice con fluidez una vez completada la operación de implementación. Trabajar con el equipo de implementación para garantizar que el diseño se implementa correctamente Entre los miembros del equipo de diseño se incluyen: Propietarios potenciales del bosque Arquitecto del proyecto Administrador del proyecto Personas responsables de establecer y mantener las directivas de seguridad en la red Durante el proceso de diseño de la estructura lógica. © 2015 Microsoft http://pabprod. Documentar los equipos de diseño e implementación Documente los nombres y la información de contacto de las personas que participarán en el diseño e implementación de AD DS. consulte el tema que trata acerca del diseño de la topología del sitio de los Servicios de dominio de Active Directory en http://go. el equipo de implementación realiza las siguientes tareas: Crea los bosques y dominios conforme al diseño de la estructura lógica de Active Directory Crea los sitios y objetos de vínculo a sitios basándose en el diseño de la topología del sitio Garantiza que la infraestructura de DNS se configure para admitir AD DS y que todos los espacios de nombres nuevos se integren en el espacio de nombres existente de la organización Entre los miembros del equipo de implementación de Active Directory se incluyen: Propietario del bosque Propietario de DNS para AD DS Propietario de la topología del sitio Propietarios de unidad organizativa ﴾OU﴿ El equipo de implementación trabaja con los administradores de datos y servicios durante la fase de implementación para garantizar que los miembros del equipo de operaciones están familiarizados con el nuevo diseño. Identifique a las personas responsables de cada función dentro de los equipos de diseño e implementación.windows. En principio.core. Una vez que el proyecto de implementación se entrega al equipo de implementación.blob. Para obtener más información sobre el diseño de la topología del sitio. Para ver una hoja de trabajo que le ayude a documentar los equipos de diseño e implementación para cada bosque.microsoft.doc﴿. el equipo de diseño es responsable de supervisar el proceso de implementación para garantizar que el diseño se implemente correctamente.com/fwlink/?LinkId=89026 ﴾puede estar en inglés﴿.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Creación de un equipo de implementación El equipo de implementación de Active Directory es responsable de probar e implementar el diseño de la estructura lógica de Active Directory. descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. en esta lista se encuentran los propietarios potenciales del bosque. Cuando determine el número de bosques que desea implementar. Esta documentación ayudará al equipo de diseño a garantizar que todas las personas adecuadas participen en el proceso de diseño y a aclarar el alcance del proyecto de implementación. En esta sección Identificación de los requisitos de diseño del bosque Determinación del número de bosques requeridos © 2015 Microsoft Identificación de los requisitos de diseño del bosque Actualizado: abril de 2008 Se aplica a: Windows Server 2008.1/9/2015 Mi colección Creación del diseño de un bosque Actualizado: abril de 2008 Se aplica a: Windows Server 2008. se debe documentar el diseño de bosque propuesto. Por ejemplo. descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. la información de contacto del propietario del bosque. disponibilidad o configuración del servicio de directorio. Puesto que todos los dominios del bosque comparten el esquema del directorio. Los grupos de la organización podrían tener algunos de los siguientes tipos de requisitos: Requisitos de estructura organizativa. pero requerir la capacidad de operar de forma independiente del resto de la organización. Algunas organizaciones deben cumplir requisitos de seguridad para operar en redes internas aisladas.doc﴿. un grupo de investigación de una organización de gran tamaño podría necesitar mantener el control sobre la totalidad de sus datos de investigación. Requisitos operativos. como por ejemplo limitar el acceso a ciertos datos especificados en un contrato comercial. Requisitos legales.microsoft.windows. Esto conlleva determinar el grado de autonomía que los grupos de la organización necesitan para administrar sus recursos de red y si cada grupo necesita o no aislar sus recursos en la red de los demás grupos. Una vez asignados todos los requisitos de diseño a modelos de bosque y seleccionado el modelo de bosque que satisface las necesidades de la organización. crear varios bosques es una solución para casos como este. Para ver una hoja de trabajo que le ayude a documentar el diseño de bosque propuesto. Parte de la identificación de los requisitos de diseño del bosque consiste en identificar el grado de confianza que los grupos de la organización pueden tener en los potenciales propietarios del bosque y sus administradores de servicios y en identificar los requisitos de autonomía y aislamiento de cada grupo de la organización. Para ver una http://pabprod. Partes de una organización podrían participar en una infraestructura compartida para ahorrar costos. El equipo de diseño debe documentar los requisitos de autonomía y aislamiento en materia de administración de datos y servicios para cada grupo de la organización que desee usar AD DS. unidades de negocio individuales dentro de una organización podrían implementar aplicaciones habilitadas para el uso de directorios que modifiquen el esquema del directorio y que no hayan implementado otras unidades de negocio. Por último. Se pueden encontrar otros ejemplos en los siguientes casos y organizaciones: Organizaciones militares Escenarios de hospedaje Organizaciones que mantienen un directorio disponible tanto interna como externamente ﴾como aquellos a los que los usuarios pueden obtener acceso públicamente en Internet﴿.core. a continuación. Windows Server 2008 R2 A la hora de crear el diseño de un bosque para la organización es preciso identificar los requisitos comerciales a los que necesita ajustarse la estructura del directorio. Los Servicios de dominio de Active Directory ﴾AD DS﴿ permiten diseñar una infraestructura de directorios que dé cabida a varios grupos de una organización con requisitos de administración únicos y conseguir la independencia estructural y operativa que sea necesaria entre los grupos. El incumplimiento de dichos requisitos puede dar lugar a la pérdida del contrato y al inicio de posibles acciones legales. es preciso determinar el número de bosques que se requieren para satisfacer las necesidades de la organización. El equipo de diseño debe documentar los requisitos de autonomía y aislamiento en materia de administración de datos y servicios para cada grupo de la organización que desee usar AD DS.com/fwlink/?LinkID=102558 ﴾puede estar en inglés﴿ y abra "Forest Design" ﴾DSSLOGI_3. Una parte de una organización podría imponer restricciones únicas sobre la seguridad. Algunas organizaciones deben cumplir requisitos legales para operar de una forma determinada. Windows Server 2008 R2 La creación del diseño de un bosque conlleva identificar primero los grupos de la organización que disponen de recursos para alojar un bosque de Active Directory y. En la documentación se incluirá el nombre del grupo para el que se diseña el bosque.blob.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.html 18/80 . definir los requisitos de diseño del bosque. el tipo de cada uno de los bosques que incluya y los requisitos que cada bosque satisface. El equipo debe también tomar nota de las áreas de conectividad limitada que podrían repercutir en la implementación de AD DS. El equipo debe también tomar nota de las áreas de conectividad limitada que podrían repercutir en la implementación de AD DS. o usar aplicaciones que impongan restricciones únicas en el directorio. Por ejemplo. es importante entender que el propietario del bosque y los administradores de servicios tendrán acceso total a los datos.com/fwlink/?LinkID=102558 ﴾puede estar en inglés﴿ y abra "Forest Design Requirements" ﴾DSSLOGI_2.html 19/80 . Algunos grupos podrían determinar que las ventajas en cuanto a colaboración y ahorro de costos que supone participar en una infraestructura compartida superan a los riesgos de que los administradores de servicios hagan un mal uso de su autoridad o sean coaccionados para ello.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go. Por este motivo. Windows Server 2008 R2 http://pabprod. Modificar el software del sistema de un controlador de dominio para pasar por alto las comprobaciones de seguridad normales. Entiende y acepta el riesgo potencial que supondría que los administradores de servicios de confianza fueran coaccionados a poner en peligro la seguridad del sistema. también confiará en los administradores de servicios que éste administra.doc﴿.microsoft. Esto permite al administrador de servicios leer. Estos grupos pueden compartir un bosque y usar unidades organizativas ﴾OU﴿ para delegar autoridad.1/9/2015 Mi colección hoja de trabajo que le ayude a documentar las regiones identificadas.core. el acceso físico a los controladores de dominio debe estar limitado al personal de confianza. con independencia de la ACL del objeto.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. los grupos que almacenan datos en unidades organizativas ﴾OU﴿ en el bosque y que unen equipos a un bosque deben confiar en los administradores de servicios. Restablecer contraseñas o cambiar la pertenencia a grupos de los usuarios. El propietario del bosque limita adecuadamente el acceso físico a los controladores de dominio. © 2015 Microsoft Autonomía y aislamiento Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Esto permite al administrador de servicios ver o manipular cualquier objeto del dominio. Los controladores de dominio de un bosque no se pueden aislar entre sí. Un grupo que se una a un bosque debe decidir confiar en todos los administradores de servicios del bosque. con ello. Los administradores de servicios tienen capacidad para hacer lo siguiente: Corregir errores en listas de control de acceso ﴾ACL﴿ de objetos. ver o manipular datos almacenados en cualquier lugar del bosque. Los propietarios del bosque son responsables de seleccionar y administrar a los administradores de servicios. descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. si confía en un propietario de bosque. Sin embargo. Esto conlleva asegurarse de que: Se puede confiar en que el propietario del bosque actuará conforme a los intereses del grupo y que no tiene motivos para comportarse de forma malintencionada en contra del grupo. debe confiar en el propietario del bosque y en los administradores de servicios. y ver o manipular los datos almacenados en cualquier equipo unido al bosque. En esta sección Ámbito de autoridad del administrador de servicios Autonomía y aislamiento © 2015 Microsoft Ámbito de autoridad del administrador de servicios Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Los administradores de servicios tienen acceso a todos los recursos del bosque. De esta manera. Estos grupos requieren bosques independientes. interferir en el funcionamiento de cualquier dominio del bosque. Antes de tomar la decisión de participar en un bosque. otros grupos podrían no aceptar este riesgo porque las consecuencias de poner en peligro la seguridad sean demasiado graves. modificar o eliminar objetos con independencia de las ACL definidas en los mismos. los administradores de servicios pueden obtener el control de cualquier equipo unido al dominio con independencia de las intenciones del propietario del equipo. ver o manipular los datos de configuración del mismo. ver o manipular los datos almacenados en cualquier dominio. Windows Server 2008 R2 Si decide participar en un bosque de Active Directory. Un atacante que tuviera acceso físico a un solo controlador de dominio podría realizar sin conexión cambios en la base de datos del directorio y. Usar la directiva de seguridad de grupos restringidos para conceder acceso administrativo a cualquier usuario o grupo a cualquier equipo unido al dominio. Por esta razón.blob. Obtener acceso a otros dominios del bosque modificando el software del sistema de un controlador de dominio. Todos los administradores de servicios de un bosque tienen un control absoluto sobre todos los datos y servicios de todos los equipos del bosque. Este acceso no puede impedirse. y ver o manipular datos almacenados en cualquier equipo unido al bosque. por lo tanto. Los administradores de servicios pueden influir en el funcionamiento de cualquier dominio del bosque.windows. Autonomía de datos. Las organizaciones para las que un ataque con software malintencionado o por parte de un administrador de servicios coaccionado puede tener consecuencias importantes podrían optar por crear un bosque independiente a fin de lograr el aislamiento de los datos. Impide a los administradores ﴾que no hayan sido designados específicamente para controlar la administración del servicio﴿ controlar o interferir en la administración de los servicios. Los administradores que requieren aislamiento tienen el control exclusivo sobre la administración de los datos y servicios. Aislamiento de datos. Por lo general. la única manera de que un grupo de una organización logre un completo aislamiento de datos es crear un bosque independiente para dichos datos. es menos caro crear un diseño para lograr autonomía que crear un diseño para lograr aislamiento. Concretamente. incluida la toma de decisiones administrativas acerca de los datos y la realización de cualquier tarea administrativa necesaria sin que sea precisa la aprobación de otra autoridad. Por lo tanto. dicho grupo debe asumir también la responsabilidad de la administración de los servicios. La autonomía de datos no impide a los administradores de servicios del bosque obtener acceso a los datos. Los administradores que requieren sólo autonomía aceptan que otros administradores con una autoridad administrativa mayor o igual a la suya tengan un control igual o mayor que ellos sobre la administración de los datos y servicios. El cifrado podría no proteger los datos frente a los aministradores de servicios. los requisitos legales crean la necesidad de este tipo de aislamiento de datos. Hay que tener en cuenta que el cifrado no siempre es una alternativa a esta solución. Es posible diseñar la estructura lógica de Active Directory para conseguir los siguientes tipos de aislamiento: Aislamiento del servicio.windows. Aunque la institución confíe en administradores de servicios que trabajan fuera del área protegida. aislamiento de servicios y autonomía de servicios. una institución financiera se ve obligada a limitar el acceso a los datos pertenecientes a los clientes de una jurisdicción concreta a los usuarios. Si el requisito de aislamiento consiste en aislar los datos frente a administradores de datos y usuarios comunes. equipos y administradores situados en dicha jurisdicción. puede usar para ello listas de control de acceso ﴾ACL﴿. Implica el control independiente pero no exclusivo de un recurso. Para identificar los requisitos de diseño del bosque deben identificarse los requisitos de autonomía y aislamiento de todos los grupos de la organización. deberá decidir si necesita aislar los datos frente a los administradores de servicios o frente a los administradores de datos y los usuarios comunes. los administradores pueden delegar tanto la administración de datos como la de servicios para lograr bien autonomía o bien aislamiento entre las organizaciones. hay que identificar la necesidad de aislamiento de datos. Si un grupo requiere aislamiento de datos. Los administradores de datos no pueden impedir que los administradores de servicios obtengan acceso a los recursos que ellos controlan. Implica el control independiente y exclusivo de un recurso.blob. A los efectos de este proceso de diseño. Aunque el contratista confíe en administradores de servicios que controlan sistemas informáticos relacionados con otros proyectos. y ningún otro administrador puede retirar dicho control. En Servicios de dominio de Active Directory ﴾AD DS﴿. Por ejemplo: Por ley. la institución financiera debe aislar los datos frente a los administradores de servicios que se encuentran fuera de esa jurisdicción. Es posible diseñar la estructura lógica de Active Directory para conseguir los siguientes tipos de autonomía: Autonomía del servicio.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Aislamiento. Un contratista de defensa está obligado por ley a limitar el acceso a los datos protegidos a un conjunto de usuarios específico. Normalmente. hay administradores con mayor autoridad que también tienen el control sobre dichos recursos y pueden retirar dicho control en caso necesario. Nota Si tiene un requisito de aislamiento de datos. Puesto que los datos almacenados en AD DS y en equipos unidos a AD DS no se pueden aislar de los administradores de servicios. los miembros de un grupo de investigación de http://pabprod. Aislamiento de datos El aislamiento de datos conlleva el control exclusivo sobre los datos por parte del grupo u organización dueños de los mismos. si se infringe la limitación de acceso la institución no podrá volver a realizar negocios en dicha jurisdicción. También es necesario identificar las áreas de conectividad limitada de la organización. Por ejemplo. Por lo tanto. el aislamiento frente a administradores de datos y usuarios comunes no se considera un requisito de aislamiento de datos. autonomía y aislamiento de una organización influye en los contenedores de Active Directory que se usan para delegar la administración. administración de datos. Cuando se logra la autonomía.1/9/2015 Mi colección Es posible diseñar la estructura lógica de Active Directory para conseguir uno de estos dos objetivos: Autonomía. Cuando se consigue el aislamiento.core. los administradores tienen autoridad para administrar un recurso de forma independiente. Autonomía de datos La autonomía de datos tiene que ver con la capacidad de un grupo u organización para administrar sus propios datos. Requisitos de aislamiento y autonomía El número de bosques que es preciso implementar se basa en los requisitos de autonomía y aislamiento de cada grupo de la organización. Este tipo de autonomía conlleva el control sobre la totalidad o parte de la administración del servicio. no obstante. no se puede lograr el aislamiento de datos si otro grupo de la organización es responsable de la administración de los servicios. autonomía de datos. cualquier infracción de esta limitación de acceso provocará que el contratista pierda el negocio. los administradores tienen autoridad para administrar los recursos de forma independiente. Impide a los administradores ﴾que no hayan sido designados específicamente para controlar o ver los datos﴿ controlar o ver un subconjunto de datos del directorio o de los equipos miembro unidos al directorio. La combinación de los requisitos de administración de servicios. Este tipo de autonomía conlleva el control sobre la totalidad o parte de los datos almacenados en el directorio o en equipos miembro unidos al directorio. Es importante destacar que los administradores de servicios tienen la capacidad de retirar el control de un recurso a los administradores de datos.html 20/80 . lo que hace difícil exigirle a cada uno las correspondientes responsabilidades en el cumplimiento de los acuerdos de nivel de servicios. Esta información es necesaria para poder tomar decisiones en relación con el diseño del bosque. Las organizaciones multinacionales que tienen grupos en diferentes países o regiones podrían decidir subcontratar la administración de los servicios con un asociado externo diferente en cada país o región. las acciones de uno de ellos pueden repercutir en el servicio de otro. Un modelo de bosque único es la opción más rentable y la que menos sobrecarga administrativa supone. ya que: Todos los objetos de un bosque único se incluyen en el catálogo global. Por lo tanto. No se puede permitir que las interrupciones en el servicio de otras partes de la red de la organización interfieran en el funcionamiento de la fábrica. Si bien algún grupo de la organización podría preferir un funcionamiento autónomo de los servicios. modificar el espacio de nombres del Sistema de nombres de dominio ﴾DNS﴿ o modificar el esquema﴿ sin la aprobación del propietario del bosque. No se recomienda subcontratar la administración de servicios con más de un asociado externo. quizá sea más rentable para la organización suscribirse a un grupo de servicios centralizados de tecnologías de la información ﴾TI﴿ de confianza. Cada uno de los clientes requiere aislamiento de servicios para que ninguna interrupción de los mismos que afecte a un cliente pueda afectar a los demás. por ejemplo. Por lo tanto. Conectividad limitada Si un grupo dentro de la organización posee redes que están separadas mediante dispositivos que restringen o limitan la conectividad entre las redes. Asegúrese de que los grupos de la organización tengan tiempo suficiente para realizar una investigación adecuada que les permita identificar sus necesidades. A la hora de identificar los requisitos de diseño del bosque. Asegúrese de que los diversos grupos de la organización entienden con claridad los conceptos de aislamiento y autonomía. Puede que los grupos tengan dificultades para ponerse de acuerdo sobre la propiedad y los usos de los recursos disponibles. Aislamiento de servicios El aislamiento de servicios conlleva el control exclusivo de la infraestructura de Active Directory. Puesto que no es posible aislar entre sí a varios asociados externos. La negociación del diseño puede ser un proceso largo. © 2015 Microsoft Determinación del número de bosques requeridos Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Una empresa de hospedaje da servicio a varios clientes. http://pabprod.blob. No se recomienda que dos organizaciones de TI autónomas e independientes compartan la propiedad de un bosque único. En el futuro podrían cambiar los objetivos de los dos grupos de TI y dejar de aceptar el control compartido.html 21/80 . El equilibrio entre costos y beneficios podría requerir la intervención del patrocinador ejecutivo.1/9/2015 Mi colección una organización de gran tamaño podrían requerir la capacidad de administrar los datos específicos de un proyecto ellos mismos. asegúrese de que los grupos realmente necesitan aislamiento de datos y que la autonomía de datos no es suficiente para ellos. en caso necesario﴿ o para un grupo que requiriera la capacidad de instalar aplicaciones habilitadas para directorio que requiriesen extensiones de esquema.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.windows. cuando un grupo desea realizar cambios en la infraestructura ﴾como agregar o eliminar dominios. pero no de proteger los datos frente a otros administradores del bosque. Tenga en cuenta lo siguiente a la hora de determinar el número de bosques que desea implementar en la organización: Los requisitos de aislamiento limitan las opciones de diseño. asegúrese de anotar las ubicaciones en las que tiene una conectividad de red limitada. no es necesaria ninguna sincronización entre bosques. Los requisitos legales o de funcionamiento suelen crear la necesidad de aislamiento de servicios. La autonomía de servicios podría requerirse dentro de una organización para un grupo que requiriera la capacidad de controlar el nivel de servicio de AD DS ﴾agregando y eliminando controladores de dominio. Los grupos que requieren aislamiento de servicios requieren que ningún administrador externo al grupo pueda interferir en el funcionamiento del servicio de directorio. ello puede afectar al diseño del bosque. Esto permite al grupo ser dueño de la administración de los datos sin incurrir en los costos añadidos de la administración de servicios. Windows Server 2008 R2 Para determinar el número de bosques que deben implementarse es necesario identificar y evaluar cuidadosamente los requisitos de autonomía y aislamiento de cada grupo de la organización y asignar dichos requisitos a los modelos de diseño de bosque adecuados. como firewalls y dispositivos de traducción de direcciones de red ﴾NAT﴿. Permite la máxima colaboración dentro del entorno. La determinación del número de bosques que se van a implementar conlleva equilibrar costos y beneficios. Por ejemplo: Una empresa de fabricación tiene una aplicación crítica que controla los equipos de la fábrica. Un bosque único es la configuración más fácil de administrar. si identifica requisitos de aislamiento. Autonomía del servicio La autonomía del servicio conlleva la capacidad para administrar la infraestructura sin el requisito del control exclusivo. Establezca plazos estrictos para tomar las decisiones de diseño y obtenga el consenso de todas las partes respecto de los mismos.core. No es necesario administrar una infraestructura duplicada. 2.1/9/2015 Mi colección Sólo debe haber una instancia de un dominio de Active Directory en cada momento. por lo tanto. Migrar los datos del directorio necesarios desde los dominios o el bosque del vendedor a uno o más dominios del comprador. no pueden establecerse entre ellos relaciones de confianza. Para obtener más información sobre esta limitación. incluidos todos los controladores de dominio y datos del directorio del bosque entero del vendedor. Concretamente. el comprador podría desear adquirir la totalidad o parte de los controladores de dominio que hospedan las cuentas de usuario. unidad de negocio o línea de productos. Windows Server 2008 R2 Puede aplicar uno de los tres modelos de diseño de bosque siguientes en el entorno de Active Directory: Modelo de bosque organizativo Modelo de bosque de recursos Modelo de bosque de acceso restringido Es probable que necesite usar una combinación de estos modelos para satisfacer las necesidades de todos los grupos de la organización. http://pabprod. el bosque contiene los recursos y cuentas de usuario. En esta sección Modelos de diseño de bosques Asignación de requisitos de diseño a los modelos de diseño de bosque Uso del modelo de bosque de dominio organizativo © 2015 Microsoft Modelos de diseño de bosques Actualizado: abril de 2008 Se aplica a: Windows Server 2008. consulte la siguiente sección. cuentas de equipo y grupos de seguridad correspondientes a los activos comerciales que se van a comprar. Los únicos métodos que se admiten para que el comprador adquiera los activos de TI almacenados en el bosque de Active Directory del vendedor son los siguientes: 1. Esta limitación existe porque: A cada dominio de un bosque de Active Directory se le asigna una identidad única durante la creación del bosque. puede que desee adquirir también los correspondientes activos de TI al vendedor. que se administran de forma independiente. Limitaciones de reestructuración Cuando una empresa adquiere otra empresa. Esto permite que los administradores concedan acceso a los recursos de los demás bosques.html 22/80 . Si los usuarios de un bosque organizativo necesitan obtener acceso a los recursos de otros bosques ﴾o a la inversa﴿. En la siguiente ilustración se muestra el modelo de bosque organizativo. pueden establecer relaciones de confianza entre un bosque organizativo y los demás bosques. eliminaciones y modificaciones de información del directorio si los controladores de dominio de un dominio clonado establecen alguna vez una conexión de red con los controladores de dominio del dominio original Los dominios clonados comparten una misma identidad de seguridad.windows.core. si el bosque está configurado para impedir el acceso a cualquier usuario externo al mismo.blob. El bosque organizativo se puede usar para proporcionar autonomía de servicios. dividir o copiar los controladores de dominio de un dominio para intentar establecer una segunda instancia del mismo dominio. Copiar controladores de dominio de un dominio original en un dominio clonado pone en peligro la seguridad tanto de los dominios como del bosque.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Microsoft no permite clonar. Adquirir la única instancia del bosque. Entre las amenazas al dominio original y el dominio clonado se incluyen las siguientes: Uso compartido de contraseñas que se pueden usar para obtener acceso a los recursos Conocimiento de los grupos y cuentas de usuario privilegiados Asignación de direcciones IP a nombres de equipos Adiciones. aislamiento de servicios o aislamiento de datos. aun cuando se haya cambiado el nombre de uno o de los dos dominios. Modelo de bosque organizativo En el modelo de bosque organizativo. El destino de dicha migración podría ser un bosque totalmente nuevo o uno o más dominios existentes que ya estén implementados en el bosque del comprador. html 23/80 .net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Los bosques de acceso restringido proporcionan aislamiento de datos en situaciones en las que poner en peligro los datos de un proyecto tenga graves consecuencias. En la siguiente ilustración se muestra el modelo de bosque de recursos. si la empresa tiene unas instalaciones de fabricación que deben seguir funcionando cuando haya problemas en el resto de la red.1/9/2015 Mi colección Todos los diseños de Active Directory incluyen al menos un bosque organizativo.windows. En la siguiente ilustración se muestra el modelo de bosque de acceso restringido. Modelo de bosque de acceso restringido En el modelo de bosque de acceso restringido se crea un bosque independiente para incluir datos y cuentas de usuario que deban aislarse del resto de la organización.core. Por ejemplo. Se establecen confianzas de bosque para que los usuarios de otros bosques puedan obtener acceso a los recursos incluidos en el bosque de recursos. http://pabprod. puede crear un bosque de recursos independiente para el grupo de fabricación. Los bosques de recursos no contienen cuentas de usuario distintas de las requeridas para la administración del servicio y de las necesarias para proporcionar acceso alternativo a los recursos de dicho bosque en caso de que las cuentas de usuario del bosque organizativo dejen de estar disponibles. Modelo de bosque de recursos En el modelo de bosque de recursos se usa un bosque independiente para administrar los recursos. Los bosques de recursos proporcionan un aislamiento de servicios que se usa para proteger las áreas de la red que necesitan mantener un estado de alta disponibilidad.blob. los usuarios tienen una cuenta en un bosque organizativo para obtener acceso a los recursos organizativos generales y una cuenta de usuario independiente en el bosque de acceso restringido para obtener acceso a los datos clasificados. Puesto que el bosque organizativo inicial puede hospedar a varios grupos de la organización. aislamiento y conectividad. deberá ampliar el diseño del bosque para adaptarlo a las necesidades de los distintos grupos. Windows Server 2008 R2 La mayoría de los grupos de la organización pueden compartir un único bosque organizativo administrado por un solo grupo de tecnología de la información que contenga los recursos y cuentas de usuario de todos los grupos que comparten el bosque. determine si necesita tomar alguna decisión adicional para satisfacer sus especificaciones de diseño. Este bosque compartido. En caso de que no todos los grupos de la organización puedan compartir un único bosque organizativo.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. no es necesario tenerlo en cuenta porque está contemplado en otros requisitos. Esto conlleva identificar los requisitos de diseño aplicables a los grupos basándose en sus necesidades de autonomía y aislamiento y en si tienen o no una red de conectividad limitada. Una vez identificado el escenario de diseño del bosque que mejor se adapta a los requisitos.   Escenario Conectividad limitada Aislamiento de datos Autonomía de datos Aislamiento de servicios Autonomía del servicio Escenario 1: Unirse a un bosque existente para obtener autonomía de datos No No Yes No No http://pabprod. y después identificar el modelo de bosque que se puede usar para dar respuesta a estos requisitos. es la base del modelo de diseño del bosque para la organización.html 24/80 . Esto protege tanto a los grupos individuales como al propietario del bosque gracias a la creación de expectativas de servicio acordadas. En este modelo.windows. el bosque de acceso restringido podría mantenerse en una red física independiente. Las organizaciones que trabajan en proyectos gubernamentales clasificados mantienen a veces bosques de acceso restringido en redes independientes para satisfacer los requisitos de seguridad. el propietario del bosque debe formalizar acuerdos de nivel de servicio con cada uno para que todas las partes entiendan lo que se espera de ellas.blob.core. En la tabla siguiente se enumeran los escenarios de modelos de diseño de bosque basados en los factores de autonomía. Nota Si un factor se identifica como no aplicable. Estos usuarios deben disponer de dos estaciones de trabajo independientes: una conectada al bosque organizativo y la otra conectada al bosque de acceso restringido. denominado bosque organizativo inicial. En casos extremos.1/9/2015 Mi colección No puede concederse el acceso a los datos restringidos a los usuarios de otros bosques porque no existe confianza. © 2015 Microsoft Asignación de requisitos de diseño a los modelos de diseño de bosque Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Ello protege contra la posibilidad de que un administrador de servicios de un bosque pueda obtener acceso a una estación de trabajo del bosque restringido. Para satisfacer un requisito de autonomía de servicios realice una de las acciones siguientes: Crear un bosque organizativo. grupos y equipos en un dominio distinto de un bosque organizativo existente. Escenario 2: Usar un dominio o bosque organizativo para obtener autonomía de servicios Si un grupo de la organización identifica la autonomía de servicios como un requisito. Usar un bosque de recursos. http://pabprod. Siempre que se pueda obtener acceso a los controladores de dominio en una red. Si el grupo necesita obtener acceso a recursos o compartirlos con otros bosques de la organización. es posible establecer una relación de confianza entre el bosque organizativo y los demás bosques. no se recomienda este enfoque porque el acceso a recursos a través de grupos universales está muy restringido en escenarios de confianza de bosque. grupos y equipos del grupo que requiere autonomía de servicios en un bosque organizativo distinto. Coloque los usuarios. la seguridad del bosque aislado podría ponerse en peligro porque los administradores de servicios del bosque no tienen el control exclusivo. consulte Uso del modelo de bosque de dominio organizativo. Restrinja el acceso a la red o redes que hospedan a los controladores de dominio. Coloque los usuarios. No obstante.1/9/2015 Mi colección Escenario 2: Usar un dominio o bosque organizativo para obtener autonomía de servicios No No No aplicable No Yes Escenario 3: Usar un bosque organizativo o un bosque de recursos para obtener aislamiento de servicios No No No aplicable Yes No aplicable Escenario 4: Usar un bosque organizativo o un bosque de acceso restringido para obtener aislamiento de datos No aplicable Yes No aplicable No aplicable No aplicable Escenario 5: Usar un bosque organizativo o reconfigurar el firewall para obtener conectividad limitada Yes No No aplicable No No Escenario 6: Usar un dominio o bosque organizativo y reconfigurar el firewall para obtener autonomía de servicios con conectividad limitada Yes No No aplicable No Yes Escenario 7: Usar un bosque de recursos y reconfigurar el firewall para obtener aislamiento de servicios con conectividad limitada Yes No No aplicable Yes No aplicable Escenario 1: Unirse a un bosque existente para obtener autonomía de datos Puede satisfacer el requisito de autonomía de datos con sólo hospedar el grupo en unidades organizativas ﴾OU﴿ dentro de un bosque organizativo existente. aislamiento de servicios ni aislamiento de datos. se recomienda en primer lugar reconsiderar este requisito. y no una total autonomía de servicios. a fin de que los usuarios puedan obtener acceso a los recursos del bosque mientras usan sus cuentas de usuario habituales. Las cuentas alternativas deben contar con la autoridad necesaria para iniciar sesión en el bosque de recursos y mantener el control de los recursos hasta que el bosque organizativo vuelva a estar conectado.windows. grupos y equipos del grupo que requiere aislamiento de servicios en un bosque organizativo distinto. Si se incluyen usuarios de otros bosques en grupos administrativos del bosque aislado.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.blob. Este modelo proporciona autonomía de servicios en el nivel del dominio únicamente. Lograr la autonomía de servicios crea una mayor sobrecarga administrativa y costos adicionales para la organización. al tiempo que permite a los usuarios volver a las cuentas alternativas del bosque de recursos en caso de que el bosque organizativo deje de estar disponible. Puede hacer lo siguiente para protegerse contra la posibilidad de un ataque: Hospede a los controladores de dominio únicamente en redes que se consideren seguras. consulte Creación del diseño de una unidad organizativa. Asegúrese de que el requisito de autonomía de servicios no se debe simplemente a razones de comodidad y de que puede justificar los costos derivados de satisfacer dicho requisito. Para obtener más información acerca del uso de los dominios organizativos. Si es necesario. es posible establecer una relación de confianza entre el bosque organizativo y los demás bosques. Para obtener más información acerca de la delegación de control mediante unidades organizativas ﴾OU﴿. pueden crearse cuentas alternativas en el bosque de recursos para obtener acceso a los recursos del bosque de recursos en caso de que el bosque organizativo deja de estar disponible. pero no deben incluir a usuarios de otros bosques en sus grupos de administradores de servicios. Coloque las cuentas de servicios y recursos en un bosque de recursos diferente. éstos serán susceptibles de sufrir ataques ﴾como los ataques de denegación de servicio﴿ por parte de software malintencionado en dicha red. Coloque los usuarios. Esta configuración permite la administración centralizada de las cuentas de usuario. Entre las consideraciones para el aislamiento de servicios se incluyen: Los bosques creados para el aislamiento de servicios pueden confiar en los dominios de otros bosques. Elija un individuo de dicho grupo para que sea el propietario del bosque. manteniendo las cuentas de usuario en un bosque organizativo existente. Delegue el control sobre las unidades organizativas en los administradores de datos de dicho grupo para lograr la autonomía de datos. Establecer una relación de confianza entre los bosques organizativos y de recursos. Escenario 3: Usar un bosque organizativo o un bosque de recursos para obtener aislamiento de servicios Para satisfacer un requisito de aislamiento de servicios realice una de las acciones siguientes: Usar un bosque organizativo.core.html 25/80 . Usar dominios organizativos. Si el grupo necesita obtener acceso a recursos o compartirlos con otros bosques de la organización. Elija un individuo de dicho grupo para que sea el propietario del bosque. existe la posibilidad de que los datos del área restringida se transmitan a la otra red. los usuarios deberán tener dos estaciones de trabajo: una para obtener acceso al bosque restringido y otra para obtener acceso a las áreas no restringidas de la red. Si implementa el bosque en otra red distinta. siempre que se pueda obtener acceso a los controladores de dominio del bosque aislado y a los equipos que hospedan la información protegida en una red. establezca una relación de confianza entre el bosque organizativo y los demás bosques. pero los usuarios de otros bosques no deben incluirse en ninguno de los siguientes grupos: Grupos responsables de la administración de servicios o grupos que pueden administrar la pertenencia de los grupos de administradores de servicios Grupos que tienen el control administrativo sobre los equipos que almacenan datos protegidos Grupos que tienen acceso a datos protegidos o grupos que son responsables de administrar objetos de usuarios o de grupos con acceso a datos protegidos Si los usuarios de otro bosque se incluyen en cualquiera de estos grupos. Se pueden configurar otros bosques para que confíen en el bosque organizativo creado para el aislamiento de datos de manera que los usuarios del bosque aislado puedan obtener a los recursos de otros bosques.html 26/80 . Usar un bosque de acceso restringido.1/9/2015 Mi colección El aislamiento de servicios requiere la creación de un bosque adicional. los usuarios del bosque aislado no deben iniciar nunca la sesión interactivamente en estaciones de trabajo del bosque confiado. Evalúe si el costo de mantener la infraestructura para que admita el bosque adicional supera los costos asociados a la pérdida de acceso a los recursos debido a que el bosque organizativo deje de estar disponible. éstos serán susceptibles de sufrir los ataques lanzados desde los equipos de dicha red. Nota Si hay algún tipo de conectividad de red entre un bosque de acceso restringido y otra red. Elija un individuo de dicho grupo para que sea el propietario del bosque. Coloque los usuarios.core. Si bien crear un bosque distinto habilita el aislamiento de datos. No se crea ninguna relación de confianza entre el bosque de acceso restringido y los demás bosques de la empresa. Las organizaciones que deciden que el riesgo de ataque es demasiado elevado o que las consecuencias de un ataque o una infracción de la seguridad son demasiado grandes necesitan limitar el acceso a la red o redes que hospedan los controladores de dominio y a los equipos que hospedan los datos protegidos. Se trata de un bosque distinto que contiene los datos restringidos y las cuentas de usuario que se usan para obtener acceso a dichos datos. Entre las consideraciones para la creación bosques para aislamiento de datos se incluyen las siguientes: Los bosques organizativos creados para aislamiento de datos pueden confiar en los dominios de otros bosques.windows. consulte el tema que trata acerca de la delegación de autenticación en http://go. Podría ser necesario crear un firewall entre el bosque organizativo y los demás bosques de la organización para limitar el acceso de los usuarios a la información situada fuera del bosque.microsoft. No obstante. El acceso puede limitarse mediante tecnologías como los firewalls y el protocolo de seguridad de Internet ﴾IPsec﴿. Los usuarios tienen una cuenta que usan para obtener acceso tanto a los datos clasificados de su propio bosque como a los datos sin clasificar de otros bosques mediante relaciones de confianza. Un software malintencionado podría poner en peligro el equipo del bosque confiado y usarlo para captar las credenciales de inicio de sesión del usuario. Nota Para evitar que los servidores de un bosque confiado suplanten a los usuarios del bosque aislado y después obtengan acceso a los recursos del bosque aislado. Escenario 4: Usar un bosque organizativo o un bosque de acceso restringido para obtener aislamiento de datos Para lograr el aislamiento de datos realice una de las acciones siguientes: Usar un bosque organizativo. Es posible restringir aún más el bosque implementándolo en una red física independiente. grupos y equipos del grupo que requiere aislamiento de datos en un bosque organizativo distinto. En el nuevo bosque organizativo sólo estarán los usuarios que requieran acceso a la información clasificada. En los bosques organizativos existentes se mantienen cuentas de usuario diferentes que se usan para obtener acceso a los recursos no restringidos de la red. Si el grupo necesita obtener acceso a recursos o compartirlos con otros bosques de la organización. el propietario del bosque puede deshabilitar la autenticación delegada o usar la característica de delegación limitada.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. las organizaciones podrían elegir mantener los datos protegidos en una red independiente que no tenga conexión física con ninguna otra red de la organización. de manera que no pueda conectarse a otros bosques. Escenario 5: Usar un bosque organizativo o reconfigurar el firewall para obtener conectividad limitada http://pabprod.com/fwlink/?LinkID=106614 ﴾puede estar en inglés﴿. en caso de que se ponga en peligro un bosque ello podría representar un peligro para el bosque aislado y conllevar la divulgación de los datos protegidos. Para obtener más información acerca de la autenticación delegada y la delegación restringida.blob. En casos extremos. El bosque organizativo proporciona un entorno independiente al otro lado del firewall. El bosque incluye recursos y cuentas de usuario que se administran dentro del mismo. Coloque los usuarios. consulte Uso del modelo de bosque de dominio organizativo.blob. Por esta razón. Estas necesidades pueden abordarse de forma individual abriendo las interfaces correspondientes del firewall. Este modelo proporciona autonomía de servicios en el nivel del dominio únicamente. Las cuentas alternativas deben contar con la autoridad necesaria para iniciar sesión en el bosque de recursos y mantener el control de los recursos hasta que el bosque organizativo vuelva a estar conectado. grupos y equipos del grupo para los que la conectividad es limitada en un bosque organizativo distinto. puede realizar una de las acciones siguientes: Usar un bosque organizativo. El bosque organizativo proporciona un entorno independiente al otro lado del firewall. incluidas las necesarias para que las relaciones de confianza funcionen. la seguridad del bosque aislado podría ponerse en peligro porque los administradores de servicios del bosque no tienen el control exclusivo. Lograr la autonomía de servicios crea una mayor sobrecarga administrativa y costos adicionales para la organización. Usar un bosque organizativo.microsoft. manteniendo las cuentas de usuario en un bosque organizativo existente. este enfoque no es recomendable. Puede hacer lo siguiente para protegerse contra la posibilidad de un ataque: Hospede a los controladores de dominio únicamente en redes que se consideren seguras. abrir el firewall lo bastante para permitir que el tráfico de Active Directory pase a través. pero no deben incluir a usuarios de otros bosques en sus grupos de administradores de servicios. éstos serán susceptibles de sufrir ataques ﴾como los ataques de denegación de servicio﴿ por parte de los equipos de dicha red. Los demás grupos del bosque deben confiar en los administradores de servicios del nuevo dominio en la misma medida en que confían en el propietario del bosque. Elija un individuo de dicho grupo para que sea el propietario del bosque.com/fwlink/?LinkId=37928 ﴾puede estar en inglés﴿. Coloque los usuarios. Elija un individuo de dicho grupo para que sea el propietario del bosque. grupos y equipos del grupo que requiere aislamiento de servicios en un bosque organizativo distinto. Asegúrese de que el requisito de autonomía de servicios no se debe simplemente a razones de comodidad y de que puede justificar los costos derivados de satisfacer dicho requisito. de manera que los usuarios no necesitan atravesar el firewall para realizar sus tareas diarias. de manera que los usuarios no necesitan atravesar el firewall para realizar sus tareas diarias.com/fwlink/?LinkId=37928 ﴾puede estar en inglés﴿. de manera que los usuarios no necesitan atravesar el firewall para realizar sus tareas diarias. Usar un bosque de recursos. Elija un individuo de dicho grupo para que sea el propietario del bosque. El bosque incluye recursos y cuentas de usuario que se administran dentro del mismo. incluidas las necesarias para que las relaciones de confianza funcionen. consulte la documentación sobre Active Directory en redes segmentadas por firewalls en http://go. Si la conectividad limitada es un problema y necesita autonomía de servicios. Aplicaciones o usuarios específicos podrían tener necesidades especiales que requieran la capacidad de atravesar el firewall para entablar contacto con otros bosques. Estas necesidades pueden abordarse de forma individual abriendo las interfaces correspondientes del firewall.html 27/80 . Esta configuración permite la administración centralizada de las cuentas de usuario. Podría ser necesario crear algunas cuentas de usuario alternativas en el bosque de recursos para mantener el acceso al bosque de recursos en caso de que el bosque organizativo deje de estar disponible. incluidas las necesarias para que las relaciones de confianza funcionen. Para obtener información acerca de cómo configurar firewalls para su uso con los Servicios de dominio de Active Directory ﴾AD DS﴿. Escenario 6: Usar un dominio o bosque organizativo y reconfigurar el firewall para obtener autonomía de servicios con conectividad limitada Si un grupo de la organización identifica la autonomía de servicios como un requisito. Escenario 7: Usar un bosque de recursos y reconfigurar el firewall para obtener aislamiento de servicios con conectividad limitada Si la conectividad limitada es un problema y necesita aislamiento de servicios. consulte la documentación sobre Active Directory en redes segmentadas por firewalls en http://go.1/9/2015 Mi colección Para satisfacer un requisito de conectividad limitada puede realizar una de las siguientes acciones: Colocar a los usuarios en un bosque organizativo existente y. a continuación. El bosque organizativo proporciona un entorno independiente al otro lado del firewall. puede realizar una de las acciones siguientes: Usar un bosque organizativo. Si se incluyen usuarios de otros bosques en grupos administrativos del bosque aislado. grupos y equipos en un dominio distinto de un bosque organizativo existente. al tiempo que permite a los usuarios volver a las cuentas alternativas del bosque de recursos en caso de que el bosque organizativo deje de estar disponible. Para obtener más información acerca del uso de los dominios organizativos. grupos y equipos del grupo que requiere autonomía de servicios en un bosque organizativo distinto.microsoft.core. Aplicaciones o usuarios específicos podrían tener necesidades especiales que requieran la capacidad de atravesar el firewall para entablar contacto con otros bosques.windows. Coloque los usuarios. Estas necesidades pueden abordarse de forma individual abriendo las interfaces correspondientes del firewall. a fin de que los usuarios puedan obtener acceso a los recursos del bosque mientras usan sus cuentas de usuario habituales. se recomienda en primer lugar reconsiderar este requisito. Siempre que se pueda obtener acceso a los controladores de dominio en una red. Aplicaciones o usuarios específicos podrían tener necesidades especiales que requieran la capacidad de atravesar el firewall para entablar contacto con otros bosques. Establecer una relación de confianza entre los bosques organizativos y de recursos. http://pabprod. También es necesario abrir el firewall lo suficiente para permitir que el tráfico de Active Directory pase a través. aislamiento de servicios ni aislamiento de datos. Entre las consideraciones para el aislamiento de servicios se incluyen: Los bosques creados para el aislamiento de servicios pueden confiar en los dominios de otros bosques. Coloque los usuarios.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Coloque las cuentas de servicios y recursos en un bosque de recursos diferente. El bosque incluye recursos y cuentas de usuario que se administran dentro del mismo. y no una total autonomía de servicios. Para obtener información acerca de cómo configurar firewalls para su uso con AD DS. lo que les permite ocuparse de determinados aspectos de la administración de servicios de forma autónoma mientras el propietario del bosque controla la administración de servicios del nivel del bosque. Aplicaciones o usuarios específicos podrían tener necesidades especiales que requieran la capacidad de atravesar el firewall para entablar contacto con otros bosques. consulte la documentación sobre Active Directory en redes segmentadas por firewalls en http://go. incluidas las necesarias para que las relaciones de confianza funcionen.blob.microsoft. Evalúe si el costo de mantener la infraestructura para que admita el bosque adicional supera los costos asociados a la pérdida de acceso a los recursos debido a que el bosque organizativo deje de estar disponible. Para obtener información acerca de cómo configurar firewalls para su uso con AD DS.1/9/2015 Mi colección Limite el acceso a la red o redes que hospedan a los controladores de dominio.html 28/80 .windows. Windows Server 2008 R2 En el modelo de bosque de dominio organizativo.com/fwlink/?LinkId=37928 ﴾puede estar en inglés﴿. Estas necesidades pueden abordarse de forma individual abriendo las interfaces correspondientes del firewall.core.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. En la tabla siguiente se enumeran los tipos de administración de servicios que se pueden controlar en el nivel de dominio. © 2015 Microsoft Uso del modelo de bosque de dominio organizativo Actualizado: abril de 2008 Se aplica a: Windows Server 2008.   Tipo de administración de servicios Administración de operaciones de controlador de dominio Tareas asociadas Creación y eliminación de controladores de dominio Supervisión del funcionamiento de los controladores de dominio Administración de los servicios que se ejecutan en controladores de dominio Copia de seguridad y restauración del directorio http://pabprod. varios grupos autónomos poseen cada uno un dominio dentro del bosque. El aislamiento de servicios requiere la creación de un bosque adicional. En la siguiente ilustración se muestra un modelo de bosque de dominio organizativo. Cada grupo controla la administración de servicios del nivel del dominio. Autonomía de servicios del nivel de dominio El modelo de bosque de dominio organizativo permite delegar la autoridad para la administración de servicios del nivel de dominio. Todos los propietarios del dominio deben tener en cuenta que. Antes del lanzamiento de Windows Server 2008. como actualizar un controlador.core. De esta manera. Tenga en cuenta que si un propietario de dominio delega la administración de servicios del nivel de domino a un propietario de dominio. como directivas de bloqueo de cuenta. Windows Server 2008 R2 El propietario del bosque es responsable de crear el diseño de un dominio para el bosque. crear una estructura de dominio que permita a los Servicios de dominio de Active Directory ﴾AD DS﴿ http://pabprod. si cualquiera de estas condiciones cambia en el futuro. podría ser necesario mover los dominios organizativos a una implementación de varios bosques.html 29/80 . lo que requiere la implementación de un controlador de dominio de sólo lectura ﴾RODC﴿ en la infraestructura de Active Directory. © 2015 Microsoft Creación del diseño de un dominio Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Nota Otra forma de minimizar los riesgos de seguridad para un dominio de Active Directory de Windows Server 2008 es emplear una separación de funciones de administrador. cualquier tarea de mantenimiento de servidores en un controlador de dominio tenía que realizarla un administrador del dominio.1/9/2015 Mi colección Configuración de las opciones de todo el dominio Creación de directivas de dominio y de cuenta de usuario de dominio. son responsabilidad del propietario del bosque. como la administración de esquemas o de topología de replicación. Propietario del dominio En un modelo de bosque de dominio organizativo. No obstante. Un RODC es un tipo de controlador de dominio nuevo del sistema operativo de Windows Server 2008 que hospeda particiones de sólo lectura de la base de datos de Active Directory.windows. Por este motivo. consulte lo relativo a los controladores de dominio de sólo lectura de AD DS en http://go. los propietarios del dominio deben ser personas de confianza seleccionadas por el propietario del bosque. Delegue la administración de servicios del nivel de dominio a un propietario de dominio si se cumplen las siguientes condiciones: Todos los grupos que participan en el bosque confían en el nuevo propietario del dominio y en las prácticas de administración de servicios del nuevo dominio. Los propietarios del dominio tienen autoridad sobre todo el dominio. así como sobre el acceso a todos los demás dominios del bosque.microsoft. los propietarios del dominio son responsables de las tareas de administración de servicios del nivel de dominio. a continuación.com/fwlink/?LinkId=106616 ﴾puede estar en inglés﴿. Todos los propietarios de dominio del bosque aceptan que los controladores de dominio administrados por el nuevo propietario del dominio en el nuevo dominio sean físicamente seguros. Todos los propietarios del dominio del bosque aceptan que el nuevo propietario del dominio disponga de prácticas y directivas de selección y administración de administrador de servicios que sean iguales a las suyas o más estrictas. se puede delegar en cualquier usuario de confianza la capacidad para administrar eficazmente el RODC sin poner en peligro la seguridad del resto del dominio. Para obtener más información acerca de RODC.blob. El nuevo propietario del dominio confía en el propietario del dominio y en todos los demás propietarios del mismo. En Windows Server 2008 puede delegar los permisos administrativos locales de un RODC en cualquier usuario de dominio sin conceder a ese usuario derechos administrativos para el dominio ni para otros controladores de dominio.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Esto permite que el usuario en el que se ha delegado inicie sesión en un RODC y lleve a cabo tareas de mantenimiento en el servidor. otros grupos podrían elegir no unirse a ese bosque si no confían en ese propietario del dominio. Crear el diseño de un dominio conlleva examinar los requisitos de replicación y la capacidad de la infraestructura de red y. el usuario en el que se ha delegado no puede iniciar sesión en otro controlador de dominio ni realizar otras tareas de administración en el dominio. Kerberos y contraseña Creación y aplicación de directiva de grupo en todo el dominio Delegación de administración de nivel de datos Creación de unidades organizativas ﴾OU﴿ y delegación de administración Solución de problemas de la estructura de la OU que los propietarios de la misma no pueden resolver por falta de derechos de acceso Administración de confianzas externas Establecimiento de relaciones de confianza con dominios fuera del bosque Otros tipos de administración de servicios. a todos los usuarios del dominio. implementar más de un dominio permite hacer una partición de los datos y proporciona un mayor control sobre el volumen de tráfico de replicación que pasará a través de una determinada conexión de red. Es mejor minimizar el número de dominios que se implementan en el bosque. Así se reduce la complejidad general de la implementación y.windows. Mantenimiento de la coherencia entre opciones de directiva de grupo que son comunes a varios dominios La aplicación de las opciones de directiva de grupo que deban aplicarse en todo el bosque deberá realizarse por separado a cada dominio individual del bosque. o bien implementar varios dominios.html 30/80 . Mantenimiento de la coherencia entre opciones de auditoría y control de acceso que son comunes a varios dominios La aplicación de las opciones de auditoría y control de acceso que deban aplicarse en el bosque deberá realizarse por separado a cada dominio individual del bosque. El diseño de dominio más sencillo es el dominio único. si quería disponer de una configuración de bloqueo de cuenta y contraseña distinta para varios conjuntos de usuarios. La pertenencia de estos grupos de administradores de servicios debe controlarse cuidadosamente. En un diseño de dominio único. consulte la Guía paso a paso de configuración de directivas de bloqueo de cuentas y contraseñas específicas en http://go.microsoft. toda la información se replica para la totalidad de los controladores del dominio. en caso necesario es posible implementar dominios regionales adicionales. No obstante. que la replicación no consuma demasiado ancho de banda y no interfiera en el funcionamiento diario de la red. En la siguiente tabla se relacionan los costos administrativos asociados a la adición de dominios regionales. Windows Server 2008 R2 Los siguientes factores repercuten en el modelo de diseño del dominio que elija: Capacidad disponible en la red que desea asignar a los Servicios de dominio de Active Directory ﴾AD DS﴿.core.com/fwlink/?LinkID=91477 ﴾puede estar en inglés﴿. Los dominios se usan para crear una partición del directorio de manera que la información del mismo se pueda distribuir y administrar de forma eficiente en toda la empresa. se reduce el costo total de propiedad.blob. Para obtener más información acerca de las directivas de bloqueo de cuenta y contraseña específica. http://pabprod.1/9/2015 Mi colección funcionar de la forma más eficiente. especificada en la directiva predeterminada de dominio del dominio. Ello permite controlar dónde se replican los datos y reduce la carga creada por el tráfico de replicación sobre los vínculos de baja velocidad de la red. El objetivo a la hora de diseñar un dominio es maximizar la eficacia de la topología de replicación de Active Directory y garantizar. sólo se podía aplicar una directiva de bloqueo de cuenta y contraseña. al mismo tiempo. Ahora se pueden usar directivas de contraseña específica para establecer varias directivas de contraseña y para aplicar diversas restricciones de contraseña y directivas de bloqueo de cuenta a grupos de usuarios diferentes dentro de un solo dominio.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Aumento de las probabilidades de que se muevan objetos entre dominios A mayor número de dominios. En esta sección Revisión de los modelos de dominio Determinación del número de dominios requeridos Determinación de si hay que actualizar los dominios existentes o implementar otros nuevos Asignación de nombres de dominio Selección del dominio raíz del bosque © 2015 Microsoft Revisión de los modelos de dominio Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Esto podría ocurrir si partes de la infraestructura de red están conectadas por vínculos de baja velocidad y el propietario del bosque desea asegurarse de que el tráfico de replicación no sobrepasa la capacidad asignada a AD DS. Nota Las directivas de bloqueo de cuenta y contraseña específica de Windows Server 2008 pueden repercutir también en el modelo de diseño del dominio que se seleccione. Como resultado. Si la organización tiene un número elevado de usuarios. como resultado.   Costo Implicaciones Administración de varios grupos de administradores de servicios Cada dominio tiene sus propios grupos de administradores de servicios que es preciso administrar de forma independiente. Este movimiento puede afectar a los usuarios finales. mayor es la probabilidad de que los usuarios necesiten moverse de un dominio a otro. El objetivo es seleccionar un modelo que proporcione una replicación eficaz de la información con una mínima repercusión sobre el ancho de banda disponible de la red. Número de usuarios de la organización. Antes de la aparición de esta versión de Windows Server 2008. tenía que crear un filtro de contraseña. Se usa el Sistema de nombres de dominio ﴾DNS﴿ integrado en Active Directory®. El modelo de bosque de dominio único reduce la complejidad administrativa y ofrece las siguientes ventajas: Cualquier controlador del dominio puede autenticar a cualquier usuario del bosque. Base las regiones usadas para definir los dominios del modelo en elementos estables. Todos los controladores de dominio pueden ser catálogos globales. © 2015 Microsoft Determinación del número de dominios requeridos Actualizado: abril de 2008 Se aplica a: Windows Server 2008. si el bosque tiene un gran número de usuarios distribuidos en diferentes ubicaciones geográficas conectadas por una red de área extensa ﴾WAN﴿. Crear el diseño de un modelo de dominio regional conlleva identificar el dominio raíz del bosque y determinar el número de dominios adicionales que se necesitan para satisfacer los requisitos de replicación. podría ser necesario implementar dominios regionales a fin de reducir el tráfico de replicación a través de los vínculos WAN.core.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. como los grupos de la organización. también crea el mayor volumen de tráfico de replicación de los dos modelos de dominio.blob. pueden cambiar con frecuencia y podrían requerir la reestructuración del entorno. como límites continentales. Consulte a un diseñador de Active Directory experimentado para que le indique las recomendaciones aplicables a los bosques que contienen más de 100. Confirme que la red puede dar cabida al tráfico de replicación comprobando en un laboratorio la cantidad y frecuencia estimadas de los cambios en el diseño antes de implementar los dominios. Si la organización incluye grupos que requieren el aislamiento de datos o de servicios frente a otros grupos de la organización.8 Kbps. todos los datos del directorio se replican en todas las ubicaciones geográficas que hospedan controladores de dominio. El modelo de dominio regional permite mantener un entorno estable a lo largo del tiempo. Cada usuario es miembro de cinco grupos globales y cinco grupos universales. Este dominio es el dominio raíz del bosque. La relación entre usuarios y equipos es de 1:1. la velocidad del vínculo más lento y el porcentaje de ancho de banda que se desea reservar para la replicación. por lo que no es necesario planear la ubicación de un servidor de catálogo global. Se compone de un bosque que contiene un solo dominio.   http://pabprod.1/9/2015 Mi colección Modelo de dominio único El modelo de dominio único es el más fácil de administrar y el menos costoso de mantener. La cantidad de tráfico de replicación depende en gran medida en el número de cambios realizados en el directorio en un tiempo determinado.html 31/80 . cree un bosque independiente para dichos grupos. El número máximo de usuarios que puede contener un bosque de un solo dominio se basa en el vínculo de menor velocidad que debe dar cabida a la replicación entre los controladores de dominio y el ancho de banda disponible que se desea asignar a los Servicios de dominio de Active Directory ﴾AD DS﴿. Windows Server 2008 R2 Todos los bosques tienen al principio un único dominio. Los valores de la tabla siguiente se basan en el tráfico de replicación que se genera en un entorno con las siguientes características: Cada año se une al bosque un 20% de nuevos usuarios. Esta información se aplica a bosques que contienen un máximo de 100. Modelo de dominio regional Todos los objetos de datos de un dominio se replican en todos los controladores de dominio de dicho dominio. Nota Las cifras indicadas en la tabla siguiente son aproximaciones. Si bien este modelo es el más fácil de administrar. En la tabla siguiente se indica el número máximo recomendado de usuarios que un dominio puede contener en función del bosque de un único dominio.000 usuarios o una conectividad inferior a 28.000 usuarios y una conectividad igual o superior a 28. Los dominios regionales basados geográficamente se pueden organizar en función de la conectividad WAN de red. El modelo de dominio regional consiste en un dominio raíz del bosque y uno o más dominios regionales. Los dominios no proporcionan aislamiento de datos ni aislamiento de servicios. Por este motivo.windows. La partición del directorio en varios dominios limita la replicación de objetos a regiones geográficas específicas. y contiene todas las cuentas de grupo y usuario del bosque. pero da lugar a una mayor sobrecarga administrativa.8 kilobits por segundo ﴾Kbps﴿. Cada año deja el bosque un 15% de usuarios. Se usa la eliminación de DNS. En un bosque de dominio único. Los dominios basados en otros factores. 000 56 10. puesto que necesita crear un dominio de Active Directory para cada región que establezca. En la fila correspondiente a la velocidad del vínculo más lento. La cantidad de tráfico de replicación depende en gran medida en el número de cambios realizados en el directorio en un tiempo determinado.000 100.000 40.000 256 50. Al dividir la organización en dominios regionales deberá alcanzar el adecuado equilibrio entre optimizar el ancho de banda de replicación y minimizar la complejidad administrativa.core. En primer lugar. Asegúrese de tener en cuenta el crecimiento futuro planeado al tomar esta decisión.1/9/2015 Mi colección Vínculo de menor velocidad que conecta un controlador de dominio ﴾Kbps﴿ Número máximo de usuarios si se dispone de un 1% de ancho de banda Número máximo de usuarios si se dispone de un 5% de ancho de banda Número máximo de usuarios si se dispone de un 10% de ancho de banda 28.000 50. La relación entre usuarios y equipos es de 1:1. Se usa DNS integrado en Active Directory.000 1.000 100.000 64 10.windows. Cada año se une al bosque un 20% de nuevos usuarios.000 100. Base esta decisión en el vínculo más lento del bosque a través del cual se replicarán los controladores de dominio y en la cantidad media de ancho de banda que desea asignar a la replicación de Active Directory. Divida la organización en regiones de una manera que tenga sentido para la misma y para la red existente.000 100. busque la columna que representa el porcentaje de ancho de banda que desea asignar a AD DS. 2. En la columna Vínculo de menor velocidad que conecta un controlador de dominio. Si determina que el número total de usuarios del bosque es inferior al número máximo de usuarios que puede contener el dominio. Tenga en cuenta que.000 512 80.000 100.000 100. Por ejemplo.500 100.000 100.000 25. División de la organización en dominios regionales Si no puede incluir a todos los usuarios en un único dominio. aumentar la velocidad del vínculo o dividir la organización en dominios regionales. Se usa la eliminación de DNS.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. En la siguiente tabla se indica el número máximo recomendado de usuarios que puede contener un bosque.000 100. busque el valor que coincida con la velocidad del vínculo más lento a través del cual AD DS se replicará en el dominio.8 10.000 32 10.000 25. Si bien es posible incluir un número ilimitado de dominios en un bosque. El valor en dicha ubicación es el número máximo de usuarios que puede contener el dominio de un bosque de un único dominio.000 100. Nota Las cifras indicadas en la tabla siguiente son aproximaciones.000 Para usar esta tabla: 1.000 100. Cada año deja al bosque un 15% de usuarios. Este número se basa en la velocidad del vínculo más lento y en el porcentaje de ancho de banda que se desea reservar para la replicación. para facilitar la administración se recomienda que un boque no contenga más de 10 dominios. determine el número máximo de usuarios que puede hospedar el bosque.8 Kbps.000 128 25.html 32/80 . podría crear regiones basadas en límites continentales.blob. Esta información se aplica a bosques que contienen un máximo de 100. Confirme que la red puede dar cabida al tráfico de replicación comprobando en un laboratorio la cantidad y frecuencia estimadas de los cambios en el diseño antes de implementar los dominios.000 50. necesitará reservar un porcentaje mayor de ancho de banda para la replicación. Si determina que el número total de usuarios del bosque es superior al número máximo de usuarios que puede contener el dominio.000 50. Los usuarios son miembros de cinco grupos globales y cinco grupos universales. puede usar un dominio único. http://pabprod. Los valores de la tabla se basan en las siguientes suposiciones: Todos los controladores de dominio son servidores de catálogo global. deberá seleccionar el modelo de dominio regional.000 usuarios y una conectividad igual o superior a 28. es recomendable minimizar el número de regiones que se van a definir para AD DS. 8 Kbps. asignar un mayor porcentaje de ancho de banda para AD DS o implementar bosques adicionales. Estas regiones serán la base de la estructura del dominio cuando haya identificado el número máximo de usuarios. Si necesita hospedar más usuarios que el número máximo identificado.1/9/2015 Mi colección   Vínculo de menor velocidad que conecta un controlador de dominio ﴾Kbps﴿ Número máximo de usuarios si se dispone de un 1% de ancho de banda Número máximo de usuarios si se dispone de un 5% de ancho de banda Número máximo de usuarios si se dispone de un 10% de ancho de banda 28.000 100. Divida los bosques en regiones que tengan sentido desde su punto de vista. un único bosque funcionará para su diseño.000 100.windows. Este número se basa en la velocidad del vínculo más lento y en el porcentaje de ancho de banda que se desea reservar para la replicación. En la siguiente tabla se indica el número máximo recomendado de usuarios que puede contener un dominio regional. Los usuarios son miembros de cinco grupos globales y cinco grupos universales. Cada año se une al bosque un 20% de nuevos usuarios.000 100. Determine el número de usuarios que necesita hospedar en cada región y. Confirme que la red puede dar cabida al tráfico de replicación comprobando en un laboratorio la cantidad y frecuencia estimadas de los cambios en el diseño antes de implementar los dominios. Nota Las cifras indicadas en la tabla siguiente son aproximaciones. El valor que aparece ahí es el número máximo de usuarios que el bosque puede hospedar.000 100. Se usa la eliminación de DNS. Esta información se aplica a bosques que contienen un máximo de 100.000 256 75. La cantidad de tráfico de replicación depende en gran medida en el número de cambios realizados en el directorio en un tiempo determinado.000 64 25.000 75. Asegúrese de que su decisión se basa en factores que no es probable que cambien. Por ejemplo. compruebe que no sobrepasa el máximo permitido conforme a la velocidad del vínculo más lento y el ancho de banda asignado a AD DS en dicha región.500 100.000 100.000 100.core.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Si el número máximo de usuarios que el bosque puede hospedar es superior al número de usuarios que necesita hospedar.000 32 10. La relación entre usuarios y equipos es de 1:1.000 75.html 33/80 . 2.000 100.8 10. En la fila correspondiente a la velocidad del vínculo más lento. Los valores de la tabla se basan en las siguientes suposiciones: Todos los controladores de dominio son servidores de catálogo global. En la columna Vínculo de menor velocidad que conecta un controlador de dominio.000 56 10.000 Para usar esta tabla: 1.000 usuarios y una conectividad igual o superior a 28.000 75. Se usa DNS integrado en Active Directory.000 100. el siguiente paso es determinar el número máximo de usuarios que puede admitir cada región basándose en el vínculo más lento de dicha región.000 50.000 100.000 128 50.000 512 100. busque la columna que representa el porcentaje de ancho de banda que desea asignar a AD DS. use continentes en lugar de regiones de ventas.000 75. Cada año deja al bosque un 15% de usuarios. Si determina que un único bosque dará cabida al número de usuarios que necesita hospedar.000 50.blob.000 1.000 100. a continuación. necesita aumentar la velocidad mínima del vínculo. busque el valor que coincida con la velocidad del vínculo más lento a través del cual AD DS se replicará en el bosque.   http://pabprod. html 34/80 .000 32 10.000 100. Para obtener más información sobre la actualización de dominios de Active Directory a Windows Server 2008.microsoft.000 100.com/fwlink/?LinkId=82740 ﴾puede estar en inglés﴿.microsoft.000 Para usar esta tabla: 1.blob.000 18.000 512 80.000 40. considere la posibilidad de dividir el diseño en regiones más pequeñas y vuelva a calcular el número máximo de usuarios que se puede hospedar en cada una. busque el valor que coincida con la velocidad del vínculo más lento a través del cual AD DS se replicará en la región. anote la velocidad de los vínculos más lentos de cada región que se usarán para la replicación de Active Directory. Evalúe cada una de las regiones propuestas y determine si el número máximo de usuarios de cada región es inferior al número máximo recomendado de usuarios que puede contener un dominio. Ese valor representa el número máximo de usuarios que la región puede hospedar.core.000 50.000 100.000 50.000 1. consulte el tema que trata acerca de la actualización de dominios de AD DS a Windows Server 2008 en http://go.com/fwlink/?LinkID=102558 ﴾puede estar en inglés﴿ y abra "Identifying Regions" ﴾DSSLOGI_4. Si bien el número total de usuarios que se puede incluir en un dominio de un bosque con varios dominios es menor que el número de usuarios del dominio de un bosque de dominio único. Si determina que la región puede hospedar el número de usuarios que necesita. © 2015 Microsoft Determinación de si hay que actualizar los dominios existentes o implementar otros nuevos Actualizado: abril de 2008 Se aplica a: Windows Server 2008.000 100.000 100. el número global de usuarios de un bosque con varios dominios puede ser más elevado. El número más pequeño de usuarios por dominio de un bosque con varios dominios se adapta a la sobrecarga de replicación adicional que se crea al mantener el catálogo global en dicho entorno. Mover cuentas de un dominio a otro puede afectar a los usuarios finales.windows.1 en http://go.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go.000 100. Esta información se usa para determinar si son necesarios dominios o bosques adicionales. documente las regiones que desea que estén representadas y el número de usuarios que habrá en cada una.000 128 15. Si determina que no puede hospedar a tantos usuarios. Los usuarios de dominios existentes que no actualice deberán moverse a dominios nuevos.000 100.8 Kbps.000 20. 2.000 56 10. Además. http://pabprod.000 256 30.8 10. Documentación de las regiones identificadas Una vez dividida la organización en dominios regionales. En la columna Vínculo de menor velocidad que conecta un controlador de dominio. Para obtener más información acerca de la reestructuración de los dominios de AD DS dentro de los bosques y entre bosques. En la fila correspondiente a la velocidad del vínculo más lento.000 64 10. Las otras alternativas son asignar más ancho de banda o aumentar la velocidad del vínculo.500 100. Windows Server 2008 R2 Los dominios del diseño pueden ser dominios nuevos o actualizaciones de dominios existentes.doc﴿. evalúe las ventajas administrativas a largo plazo de contar con un dominio de AD DS nuevo frente a los costos de mover a los usuarios al dominio. consulte la guía de migración de la herramienta de migración de Active Directory versión 3. busque la columna que representa el porcentaje de ancho de banda que desea asignar a AD DS. Consulte a un diseñador de Active Directory experimentado para que le indique las recomendaciones aplicables a los bosques que contienen más de 100. Para ver una hoja de trabajo que le ayude a documentar las regiones identificadas.000 40.000 100.com/fwlink/?LinkId=89032.000 usuarios o una conectividad inferior a 28.microsoft.1/9/2015 Mi colección Vínculo de menor velocidad que conecta un controlador de dominio ﴾Kbps﴿ Número máximo de usuarios si se dispone de un 1% de ancho de banda Número máximo de usuarios si se dispone de un 5% de ancho de banda Número máximo de usuarios si se dispone de un 10% de ancho de banda 28.000 100. Antes de elegir entre mover los usuarios a un dominio nuevo o actualizar los dominios existentes. puede crear un dominio para dicha región. descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.000 100.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. microsoft. Para cada dominio nuevo que implemente.microsoft. sitios y unidades organizativas ﴾OU﴿ en http://go. Estos grupos de administradores de servicios se usan para administrar operaciones en el nivel del bosque. Windows Server 2008 R2 El primer dominio que se implementa en un bosque de Active Directory se denomina dominio raíz del bosque. A‐Z. Seleccione un prefijo que incluya únicamente caracteres estándar de Internet. En la siguiente tabla se detallan las reglas de nomenclatura de prefijos para nombres DNS. Para obtener más información.com/fwlink/?LinkID=102558 ﴾puede estar en inglés﴿ y abra "Domain Planning" ﴾DSSLOGI_5.windows. Puede agregar la información del nombre NetBIOS y DNS a la hoja de trabajo "Domain Planning" que creó para documentar el plan de los dominios nuevos y actualizados.com/fwlink/?LinkID=102558 ﴾puede estar en inglés﴿ y abra "Domain Planning" ﴾DSSLOGI_5. dominios. Al crear nombres de dominio hay que determinar primero el prefijo DNS.   Regla Explicación Seleccione un prefijo que no tenga probabilidades de quedarse obsoleto. a‐z. Para obtener más información.doc﴿.microsoft.com/fwlink/?LinkID=106631 ﴾puede estar en inglés﴿. Si el nombre NetBIOS actual del dominio no es adecuado para representar la región o no satisface las reglas de nomenclatura de prefijos. Se recomienda que el nombre NetBIOS del dominio sea el mismo que el prefijo DNS. el nombre NetBIOS será igual al prefijo. 0‐9 y ﴾‐﴿.com/fwlink/?LinkId=106629 ﴾puede estar en inglés﴿.core. Se recomienda usar nombres geográficos. Nota No se recomienda usar dominios de Active Directory que tengan nombres DNS de etiqueta única. Incluya 15 caracteres o menos en el prefijo. descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.doc﴿.blob. consulte el artículo 30068 de Microsoft Knowledge Base en http://go. El dominio raíz del bosque contiene los grupos Administradores de organización y Administradores de esquema. seleccione otro prefijo. Si elige un prefijo de longitud igual o inferior a 15 caracteres. pero no enteramente numérico. Para abrirla. Este dominio permanece como dominio raíz del bosque durante el ciclo de vida de la implementación de AD DS. En este caso. seleccione un prefijo que sea apropiado a la región y que satisfaga las reglas de nomenclatura de prefijos. Seleccionar el dominio raíz del bosque implica determinar si uno de los dominios de Active Directory del diseño puede funcionar como dominio raíz del bosque o si es necesario implementar uno dedicado. el nombre NetBIOS del dominio será diferente al prefijo DNS del dominio. El sufijo se determina al seleccionar el nombre del dominio raíz del bosque. Windows Server 2008 R2 Debe asignarse un nombre a cada dominio del plan.html 35/80 . los usuarios finales pueden ver ambos nombres.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go. © 2015 Microsoft Selección del dominio raíz del bosque Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Documente el prefijo DNS y los nombres NetBIOS que seleccione para cada dominio del bosque. Para obtener información sobre la implementación de un dominio raíz del bosque. Se trata de la primera etiqueta en el nombre DNS del dominio. como la adición o eliminación de dominios y la implementación de cambios en el esquema.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go. consulte el tema que trata acerca de la implementación de un dominio raíz del http://pabprod.microsoft.1/9/2015 Mi colección Para ver una hoja de trabajo que le ayude a documentar los planes de dominios nuevos y actualizados. Los nombres DNS de los dominios de Active Directory constan de dos partes: un prefijo y un sufijo. consulte todo lo relativo a las convenciones de nomenclatura de Active Directory para equipos. descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. © 2015 Microsoft Asignación de nombres de dominio Actualizado: agosto de 2009 Se aplica a: Windows Server 2008. Evite nombres como los de una línea de productos o un sistema operativo que pudieran cambiar en el futuro. En general.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Los dominios de Servicios de dominio de Active Directory ﴾AD DS﴿ tienen dos tipos de nombres: nombres DNS ﴾Sistema de nombres de dominio﴿ y nombres NetBIOS. Por ejemplo. como el dominio que representa a sus oficinas centrales o la región que tiene las conexiones de red más rápidas. Dominio raíz del bosque dedicado Un dominio raíz del bosque dedicado es un dominio que se crea específicamente para funcionar como raíz del bosque. Se recomienda usar nombres DNS que estén registrados en una entidad de Internet en el espacio de nombres de Active Directory. La creación de un espacio de nombres nuevo para los Servicios de dominio de Active Directory ﴾AD DS﴿ garantiza que cualquier infraestructura DNS existente no tenga que modificarse para acomodar a AD DS. Póngase en contacto con el propietario de DNS de la organización para obtener una lista de los sufijos de DNS registrados que se usan en la red que albergará a AD DS. la replicación del dominio raíz del bosque tiene una repercusión mínima sobre la infraestructura de red. 2. Sólo los nombres registrados tienen garantías de ser únicos globalmente. La diferencia principal es que incluye también los grupos Administradores de organización y Administradores de esquema. La ventaja de seleccionar un dominio regional para que funcione como el dominio raíz del bosque es que no crea la carga administrativa adicional que conlleva mantener un dominio adicional. Seleccione un dominio regional adecuado para que sea la raíz del bosque. el sufijo.blob. Protección frente a cambios operativos en otros dominios. Consulte al propietario de DNS para seleccionar un sufijo que se pueda usar con AD DS. una organización podría usar contosopharma. En un entorno de dominio único. Si otra organización registra posteriormente el mismo nombre de dominio DNS ﴾o si su organización se fusiona con. Cuando se usa un dominio raíz del bosque dedicado. En un bosque que usa un dominio raíz del bosque dedicado. Elección de un dominio raíz del bosque dedicado o regional Si se aplica un modelo de dominio único. es posible elegir entre implementar un dominio raíz del bosque dedicado o seleccionar un dominio regional para que funcione como dominio raíz del bosque. En un entorno de dominio regional múltiple en el que se usa una raíz del bosque dedicada. por lo que ninguna región aparece subordinada a otra.com en la red corporativa interna. Selección de un sufijo Para seleccionar un sufijo para el dominio raíz del bosque: 1.html 36/80 . Este dominio es el dominio principal de todos los demás dominios regionales y será el primer dominio que implemente. no se ve afectado por reorganizaciones u otros cambios que den lugar al cambio de nombre o reestructuración de los dominios. Dominio regional como dominio raíz del bosque Si elige no implementar un dominio raíz del bosque dedicado. Para el prefijo. Precaución http://pabprod. Usar una raíz del bosque dedicada ofrece las siguientes ventajas: Separación operativa de los administradores de servicios del bosque de los administradores de servicios del dominio. donde "corp" es el prefijo y "contoso. una organización podría tener el nombre de raíz del bosque corp. Seleccione el sufijo de una lista de nombres existente en la red. adquiere o es adquirida por otra empresa que usa el mismo nombre DNS﴿. no representa a ninguna región en la estructura de dominios. Por este motivo.windows. Por ejemplo. El nombre de la raíz del bosque es un nombre del Sistema de nombres de dominio ﴾DNS﴿ que se compone de un prefijo y de un sufijo con el formato prefijo. éste funcionará como dominio raíz del bosque. Esto es así porque la raíz del bosque sólo alberga cuentas de administradores de servicios.1/9/2015 Mi colección bosque de Windows Server 2008 en http://go. Además. Un dominio raíz del bosque dedicado no representa a ninguna región concreta en la estructura del dominio. Tenga en cuenta que los sufijos usados en la red interna pueden ser diferentes de los que se usan externamente. Agregando un prefijo nuevo a un sufijo existente se crea un espacio de nombres único.microsoft. registre un nombre nuevo en una entidad de nomenclatura de Internet. seleccione un nombre nuevo que no se haya usado en la red con anterioridad.com en Internet y contoso. los miembros de los grupos Administradores del dominio y Administradores integrado pueden usar procedimientos y herramientas estándar para convertirse a sí mismos en miembros de los grupos Administradores de organización y Administradores de esquema. El dominio raíz del bosque contiene cuentas de usuario y se administra de la misma manera que los demás dominios regionales.com".contoso.com. Si se aplica un modelo de dominio múltiple.core. deberá seleccionar un dominio regional para que funcione como el dominio raíz del bosque.com/fwlink/?LinkId=89028 ﴾puede estar en inglés﴿. Algunas organizaciones podrían preferir evitar que un país o región aparecieran subordinados a otros en el espacio de nombres. las dos infraestructuras no podrán interactuar entre sí. Funciona como raíz neutral. Si no existen sufijos adecuados. No contiene ninguna cuenta de usuario que no sean las cuentas del administrador del servicio para el dominio raíz del bosque. puede elegir en su lugar usar un modelo de raíz del bosque dedicado.sufijo. Una desventaja de usar un dominio raíz del bosque dedicado es que crea más carga administrativa para admitir el dominio adicional.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Si a su organización le resulta difícil seleccionar un dominio regional para que sea el dominio raíz del bosque. Asignación del nombre del dominio raíz del bosque El nombre del dominio raíz del bosque es también el nombre del bosque. La mayoría de las cuentas de usuario del bosque y otros datos específicos del dominio se almacenan en los dominios regionales. Todos los demás dominios del bosque son dominios secundarios del dominio raíz del bosque dedicado. los miembros de los grupos Administradores del dominio y Administradores integrado de los dominios regionales no se pueden convertir en miembros de los grupos de administradores de servicios del nivel del bosque usando procedimientos y herramientas estándar. todos los dominios regionales pueden encontrarse en el mismo nivel dentro de la jerarquía del dominio. Para ver una hoja de trabajo que le ayude a documentar el diseño de la infraestructura DNS existente.   Regla Explicación Seleccione un prefijo que no tenga probabilidades de quedarse obsoleto. consulte todo lo relativo a la configuración de Windows para dominios con nombres DNS de etiqueta única en http://go. un nombre basado en una región podría no ser adecuado. Los Servicios de dominio de Active Directory ﴾AD DS﴿ de Windows Server 2008 requieren DNS. Windows Server 2008 R2 Una vez creados los diseños del dominio y el bosque de Active Directory. Si ha seleccionado un dominio regional para que funcione como dominio raíz del bosque. puede utilizarlo como nombre del dominio raíz del bosque sin elegir ningún prefijo adicional. © 2015 Microsoft Creación del diseño de una infraestructura DNS Actualizado: abril de 2008 Se aplica a: Windows Server 2008.microsoft. se debe integrar el espacio de nombres de Active Directory en ese entorno.com. En la siguiente tabla se enumeran las reglas de selección de prefijos para nombres DNS registrados. debe asegurarse de que comprende la forma en que ésta interactuará con el espacio de nombres de Active Directory.local.com/fwlink/?LinkID=102558 ﴾puede estar en inglés﴿ y abra "DNS Inventory" ﴾DSSLOGI_8. pero no sólo números. DNS permite a los usuarios usar nombres descriptivos fáciles de recordar para conectarse a los equipos y otros recursos de las redes IP. 0‐9 y ﴾‐﴿.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go. Por ejemplo. Incluya 15 caracteres o menos en el prefijo. Selección de un prefijo Si elige un sufijo registrado que ya se esté usando en la red. consulte el tema que trata acerca de la implementación del Sistema de nombres de dominio ﴾DNS﴿ en http://go. el nombre NetBIOS será igual al prefijo. descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.com/fwlink/?LinkId=106631 ﴾puede estar en inglés﴿. Puede agregar la información del nombre del dominio raíz del bosque a la hoja de trabajo "Domain Planning" que creó para documentar el plan de los dominios nuevos y actualizados y los nombres de dominio.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go. Agregue un prefijo que no se encuentre en uso actualmente para crear un nuevo nombre subordinado.microsoft.doc﴿. podría ser necesario seleccionar un nuevo prefijo para el dominio. seleccione un prefijo para el nombre del dominio raíz del bosque usando las reglas para prefijos de la tabla siguiente. Puesto que el nombre del dominio raíz del bosque afecta a todos los demás nombres de dominio del bosque. Si en la organización ya existe una infraestructura DNS. Tampoco se recomienda usar sufijos no registrados. Es importante que el propietario de DNS de Active Directory y el propietario de DNS trabajen juntos para que la organización obtenga la propiedad del nombre que se usará para el espacio de nombres de Active Directory.1/9/2015 Mi colección No use nombres DNS de etiqueta única. Nota http://pabprod.core.com/fwlink/?LinkID=102558 ﴾puede estar en inglés﴿ y abra "Domain Planning" ﴾DSSLOGI_5.contoso. como corp o ds.microsoft. identifique el dominio que será la raíz del bosque. Seleccione un prefijo que incluya únicamente caracteres estándar de Internet. Para obtener más información.com.doc﴿.microsoft.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. si el nombre raíz de DNS es contoso. Si no tiene una infraestructura DNS. Para obtener más información. Esta nueva rama del espacio de nombres estará dedicará a AD DS y puede integrarse fácilmente con la implementación de DNS existente.com/fwlink/? LinkId=93656 ﴾puede estar en inglés﴿. a‐z.html 37/80 . Para obtener más información sobre cómo diseñar una infraestructura de DNS para admitir AD DS.windows. Si usa un sufijo nuevo que no se está usando actualmente en la red. Si elige un prefijo de longitud igual o inferior a 15 caracteres. como . puede crear el nombre del dominio raíz del bosque de Active Directory concorp.contoso. Evite nombres como los de una línea de productos o un sistema operativo que pudieran cambiar en el futuro. A‐Z.com no se esté usando ya en la red. descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. Se recomienda usar nombres genéricos. consulte Creación del diseño de una infraestructura DNS.blob. Documentar el nombre del dominio raíz del bosque Documente el sufijo y el prefijo de DNS seleccionados para el dominio raíz del bosque. debe diseñar e implementar una nueva infraestructura DNS para que sea compatible con AD DS. siempre que el espacio de nombres concorp. es preciso diseñar una infraestructura de Sistema de nombres de dominio ﴾DNS﴿ que sea compatible con la estructura lógica de Active Directory. El proceso para diseñar un DNS que admita AD DS varía dependiendo de si en la organización existe ya un servicio Servidor DNS o si se está implementando un nuevo servicio Servidor DNS: Si ya existe una infraestructura DNS. Llegados a este punto. Para abrirla. Para obtener más información. consulte Integración de AD DS en una infraestructura DNS existente. Las delegaciones permiten a los servidores de una zona enviar a los clientes a los servidores de otras zonas. el proceso de resolución de nombres de DNS y la compatibilidad de DNS con AD DS. Cuando un servidor DNS hospeda una zona. Estas rutas de acceso se crean mediante delegación. responde a la consulta desde dicha zona. ya que tienen una repercusión directa sobre el diseño de la estructura lógica de Active Directory. Antes de diseñar la infraestructura DNS compatible con AD DS.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Un servidor DNS responde a las consultas de una de las siguientes maneras: Si la respuesta está en su caché. Si la respuesta se encuentra en una zona hospedada por el servidor DNS. http://pabprod. debe tener una ruta de acceso directa o indirecta a todas las zonas del espacio de nombres. como delegación. un servidor que hospede la zona contoso. consulte la referencia técnica de compatibilidad entre DNS y AD DS en http://go.core.com.windows. Para obtener más información acerca de la compatibilidad de DNS y AD DS.1/9/2015 Mi colección Además de con las direcciones IP versión 4 ﴾IPv4﴿. El espacio de nombres contiene toda la información necesaria para que cualquier cliente consulte cualquier nombre. Windows Server 2008 es compatible también con las direcciones IP versión 6 ﴾IPv6﴿.microsoft. consulte DNS y AD DS.microsoft. En esta sección Revisión de los conceptos de DNS DNS y AD DS Asignación de DNS para la función de propietario de AD DS Integración de AD DS en una infraestructura DNS existente © 2015 Microsoft Revisión de los conceptos de DNS Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Para obtener más información acerca del proceso de resolución de nombres y la jerarquía de DNS. Delegación Para que un servidor DNS responda a consultas sobre cualquier nombre.com/fwlink/?LinkID=48147 ﴾puede estar en inglés﴿. Si el servidor no puede responder a la consulta desde su caché o zonas. Todos los servidores DNS pueden responder a las consultas sobre cualquier nombre de su espacio de nombres. En la siguiente ilustración se muestra un ejemplo de delegación. consulte Apéndice A: Inventario de DNS. consulte la referencia técnica de DNS en http://go.com/fwlink/?LinkID=48145 ﴾puede estar en inglés﴿.blob. Una delegación es un registro en una zona principal que presenta un servidor de nombres autoritativo para la zona del siguiente nivel de la jerarquía. Para ver una hoja de trabajo que le ayude a realizar una lista de las direcciones IPv6 mientras documenta el método de resolución de nombres recursivos de la estructura DNS actual. el servidor DNS puede responder a consultas sobre cualquier nombre de la zona﴿. Para obtener más información acerca de DNS y los Servicios de dominio de Active Directory ﴾AD DS﴿. es autoritativo para los nombres de dicha zona ﴾es decir. Es importante entender las principales características de DNS. consultará la respuesta a otros servidores.com puede responder a consultas sobre cualquier nombre de contoso. Una zona es una porción del árbol DNS almacenada en un servidor DNS. puede ser útil leer información acerca de la jerarquía de DNS. resolución de nombres recursivos y zonas DNS integradas en Active Directory.html 38/80 . responde a la consulta desde la caché. Por ejemplo. Windows Server 2008 R2 El Sistema de nombres de dominio ﴾DNS﴿ es una base de datos distribuida que representa un espacio de nombres. directa o indirectamente. y cada delegación. http://pabprod. a todas las demás zonas de la jerarquía. los servidores DNS incluyen sugerencias de raíz ﴾es decir.windows. la delegación de la zona com le indica al servidor Com que. Cada zona representa una capa dentro de la jerarquía. En algunas configuraciones. Resolución de nombres recursivos La resolución de nombres recursivos es el proceso por el cual un servidor DNS usa la jerarquía de zonas y delegaciones para responder a las consultas para las que no es autoritativo. La delegación de la zona raíz indica al servidor de raíz DNS que. un servidor de raíz DNS puede encontrar cualquier nombre en el espacio de nombres DNS. Con la jerarquía de zonas y delegaciones. una rama del árbol. los servidores envían todas las consultas que no pueden responder a otro servidor. puede resolver cualquier consulta para dicho espacio de nombres. Una vez que un servidor DNS encuentra el servidor de raíz DNS. De la misma manera.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. El registro de recursos de servidor de nombres ﴾NS﴿ proporciona el nombre de un servidor autoritativo. La zona raíz incluye delegaciones que conducen.core. Este sistema de zonas y delegaciones crea un árbol jerárquico que representa el espacio de nombres DNS. Resolución de nombres mediante sugerencias de raíz Las sugerencias de raíz permiten a cualquier servidor DNS encontrar los servidores de raíz DNS. Nota Una delegación usa dos tipos de registros. ﴿. para encontrar la zona com. En otras configuraciones. La zona raíz contiene una delegación a una zona del siguiente nivel de la jerarquía. Los registros de recursos del host ﴾A﴿ y del host ﴾AAAA﴿ proporcionan las direcciones IP versión 4 ﴾IPv4﴿ e IP versión 6 ﴾IPv6﴿ de un servidor autoritativo. la zona com. En la siguiente ilustración se describe la forma en que DNS resuelve un nombre mediante sugerencias de raíz. Cualquier servidor que pueda consultar al servidor de raíz DNS puede usar la información de las delegaciones para buscar cualquier nombre en el espacio de nombres.html 39/80 .com. para encontrar la zona contoso.1/9/2015 Mi colección El servidor de raíz DNS hospeda la zona raíz representada por un punto ﴾ . Tanto el reenvío como las sugerencias de raíz son métodos que los servidores DNS pueden usar para resolver consultas para las que no son autoritativos. debe ponerse en contacto con el servidor Com. una lista de nombres y direcciones IP﴿ que les permiten consultar los servidores de raíz DNS.blob. debe ponerse en contacto con el servidor Contoso. el servidor Com devuelve una referencia al servidor Contoso que hospeda la zona contoso.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. A continuación. El servidor DNS usa una consulta iterativa para pedirle al servidor Com que resuelva el nombre ftp.com.com. Puesto que el nombre ftp. Una consulta recursiva indica que el cliente desea recibir una respuesta definitiva a su consulta. Un cliente envía una consulta recursiva a un servidor DNS para solicitar la dirección IP correspondiente al nombre ftp. El servidor DNS usa una consulta iterativa para solicitarle al servidor de raíz DNS que resuelva el nombre ftp. Puesto que el servidor DNS no es autoritativo para el nombre y no tiene la respuesta en su caché. 2.1/9/2015 Mi colección En este ejemplo se producen los siguientes eventos: 1.com. 3. el servidor devuelve el resultado al cliente. El servidor Contoso encuentra la respuesta en los datos de su zona y devuelve entonces la respuesta al servidor.contoso.com termina con la etiqueta com.windows.com. http://pabprod. Puesto que el nombre ftp.core. En la siguiente ilustración se describe la forma en que DNS resuelve un nombre mediante reenvío.com termina por contoso.contoso. el servidor DNS usa sugerencias de raíz para buscar la dirección IP del servidor de raíz DNS. El servidor DNS usa una consulta iterativa para pedirle al servidor Contoso que resuelva el nombre ftp. La respuesta a la consulta recursiva debe ser una dirección válida o un mensaje que indique que la dirección no se encuentra.contoso.contoso. 5.contoso.com. 6. Una consulta iterativa indica que el servidor aceptará una referencia a otro servidor en lugar de una respuesta definitiva a la consulta.contoso.com. Resolución de nombres mediante reenvío El reenvío permite enrutar la resolución de nombres a través de servidores específicos en lugar de usar sugerencias de raíz. el servidor de raíz DNS devuelve una referencia al servidor Com que hospeda la zona com. 4.blob.html 40/80 . com. http://pabprod. AD DS permite una fácil integración del espacio de nombres de Active Directory en un espacio de nombres DNS existente.com termina por com.com. Windows Server 2008 R2 Los Servicios de dominio de Active Directory ﴾AD DS﴿ usan los servicios de resolución de nombres del Sistema de nombres de dominio ﴾DNS﴿ para permitir que los clientes localicen controladores de dominio y que los controladores de dominio que hospedan el servicio de directorio se comuniquen entre sí. el servidor de raíz DNS devuelve una referencia al servidor Com que hospeda la zona com. 7.com termina por contoso. © 2015 Microsoft DNS y AD DS Actualizado: abril de 2008 Se aplica a: Windows Server 2008. El servidor Contoso encuentra la respuesta en los archivos de su zona y devuelve entonces la respuesta al servidor.1/9/2015 Mi colección En este ejemplo se producen los siguientes eventos: 1.windows.com. usa sugerencias de raíz para buscar la dirección IP del servidor de raíz DNS. consulte la referencia técnica de compatibilidad entre DNS y AD DS en http://go. 5. transferencias de zona. Puesto que el nombre ftp. Un cliente consulta a un servidor DNS el nombre ftp. Nota Si implementa un espacio de nombres no contiguo en el que el nombre de dominio de AD DS difiera del sufijo DNS primario que usan los clientes. A continuación. 2.contoso. Puesto que el nombre ftp.contoso.contoso. después. El reenviador usa una consulta iterativa para pedirle al servidor Com que resuelva el nombre ftp.contoso. El reenviador usa una consulta iterativa para pedirle al servidor de raíz DNS que resuelva el nombre ftp.html 41/80 . El reenviador usa una consulta iterativa para pedirle al servidor Contoso que resuelva el nombre ftp.contoso. 3. 6. la integración de AD DS con DNS es más compleja.microsoft. el servidor Com devuelve una referencia al servidor Contoso que hospeda la zona contoso. Puesto que el reenviador no es autoritativo para el nombre y no tiene la respuesta en su caché.contoso. el reenviador devuelve el resultado al servidor DNS original. Para obtener más información acerca de la compatibilidad de DNS y AD DS.core.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.com. El servidor DNS original devuelve entonces el resultado al cliente.com/fwlink/?LinkID=48147 ﴾puede estar en inglés﴿. 8. Para obtener más información.blob. que se denomina reenviador. consulte Espacio de nombres no contiguo. 4. El servidor DNS reenvía la consulta a otro servidor DNS.com. Características como las zonas DNS integradas en Active Directory facilitan la implementación de DNS eliminando la necesidad de configurar zonas secundarias y.com. De esta manera.microsoft. Nota Se recomienda instalar DNS al ejecutar el Asistente para la instalación de los Servicios de dominio de Active Directory ﴾Dcpromo.windows. el asistente crea automáticamente la delegación de zonas DNS.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. No se necesita una topología de transferencia de zonas DNS independiente. Windows Server 2008 R2 Los servidores de Sistema de nombres de dominio ﴾DNS﴿ que se ejecutan en controladores de dominio pueden almacenar sus zonas en Servicios de dominio de Active Directory ﴾AD DS﴿. denominadas DomainDnsZones Para obtener más información sobre cómo almacena AD DS la información de DNS en particiones de aplicaciones. denominada ForestDnsZones Particiones del directorio de aplicaciones de todo el dominio para cada dominio del bosque. Esto simplifica el proceso de implementación de DNS y proporciona las siguientes ventajas: Se crean varios maestros para la replicación de DNS. Windows Server 2008 R2 Los clientes usan el Sistema de nombres de dominio ﴾DNS﴿ para encontrar controladores de dominio que realicen operaciones como procesamiento de solicitudes de inicio de sesión o búsqueda del directorio de recursos publicados.core. ﴾No hay cambios de comportamiento respecto a la integración con Active Directory de DNS basado en Windows Server 2003.﴿ Durante la instalación de AD DS se crean las siguientes particiones del directorio de aplicaciones específicas de DNS: Una partición del directorio de aplicaciones de todo el bosque. En conjunto. Los controladores de dominio registran diversos registros en DNS para ayudar a los clientes y a otros equipos a encontrarlos.com/fwlink/?LinkId=89028 ﴾puede estar en inglés﴿.microsoft. http://pabprod. El DNS integrado en Active Directory de Windows Server 2008 almacena los datos de zona en particiones del directorio de aplicaciones. ya que todos los datos de la zona se replican automáticamente mediante replicación de Active Directory.1/9/2015 Mi colección En esta sección Ubicación del controlador de dominio Zonas DNS integradas en Active Directory Nomenclatura de equipos Espacio de nombres no contiguo © 2015 Microsoft Ubicación del controlador de dominio Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Se admiten las actualizaciones dinámicas seguras. Por tanto. consulte la referencia técnica de DNS en http://go.blob. Los controladores de dominio usan también DNS para buscar otros controladores de dominio y realizar tareas tales como la replicación. Para obtener más información consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 en http://go. no es necesario configurar una topología de replicación de DNS independiente que use transferencias de zona DNS ordinarias. © 2015 Microsoft Zonas DNS integradas en Active Directory Actualizado: abril de 2008 Se aplica a: Windows Server 2008. El proceso por el cual los controladores de dominio buscan otros controladores de dominio es igual al que usan los clientes para buscar controladores de dominio. Las actualizaciones dinámicas seguras permiten a un administrador controlar qué equipos actualizan qué nombres e impedir a los equipos no autorizados sobrescribir los nombres existentes en DNS.html 42/80 . cualquier controlador de dominio del dominio en el que se ejecuta el servicio Servidor DNS puede escribir actualizaciones en las zonas DNS integradas en Active Directory para el nombre de dominio para el que son autoritativas.exe﴿.com/fwlink/?LinkId=106636 ﴾puede estar en inglés﴿. Si lo instala. estos registros se conocen como registros de ubicador. se asigna a sí mismo de manera predeterminada un nombre. consulte todo lo relativo a las convenciones de nomenclatura de Active Directory para equipos.corp.com que use zonas DNS como hr. el FQDN del equipo es distinto del nombre que se registró anteriormente. deberán comprobarse cuidadosamente todas las aplicaciones y sus respectivos sistemas operativos antes de implementar un espacio de nombres no contiguo.com.contoso.contoso.fabrikam. sitios y unidades organizativas ﴾OU﴿ en http://go. mantenimiento y solución de problemas que un espacio de nombres contiguo. Cuando los equipos miembros del dominio registran sus registros de recursos de esta manera.com que usa un sufijo de DNS primario de corp. Windows Server 2008.html 43/80 .core.contoso. Por ejemplo: si un equipo con el nombre de host Server1 se une al dominio corp. Windows XP.com.corp.corp. lo que se conoce también como zona DNS.com http://pabprod. Si un equipo ya tiene un nombre de dominio DNS diferente que se especificó estáticamente en una zona DNS o fue registrado por un servicio de Servidor de Protocolo de configuración dinámica de host ﴾DHCP﴿/DNS integrado. y que use un único espacio de nombres DNS. Windows Server 2008 o Windows Vista® se une a un dominio.corp. lo que hace posible la ubicación del servicio.contoso. Compatibilidad para espacios de nombres no contiguos Los equipos miembros del dominio. production. Nombre del equipo en Propiedades del sistema﴿ y del nombre del Sistema de nombres de dominio ﴾DNS﴿ del dominio de Active Directory al que está unido el equipo ﴾es decir.fabrikam. Para obtener más información acerca de las convenciones de nomenclatura en los Servicios de dominio de Active Directory ﴾AD DS﴿.windows.com en un dominio de Active Directory de nombre na.com registra registros de recursos de host ﴾AAAA﴿ de IPv6 y de host ﴾A﴿ en la zona DNS de corp. Windows Server 2008 R2 Cuando un equipo con el sistema operativo Windows 2000.com. incluidos los controladores de dominio. supóngase que un controlador de dominio para el dominio de Active Directory denominado na.fabrikam. El controlador de dominio sigue registrando registros de recursos de servicio ﴾SRV﴿ específicos del sitio y globales en las zonas de DNS _msdcs.fabrikam. En un espacio de nombres contiguo. Por este motivo.1/9/2015 Mi colección © 2015 Microsoft Nomenclatura de equipos Actualizado: abril de 2008 Se aplica a: Windows Server 2008.com. Cuando un dominio de Active Directory se divide en espacios de nombres DNS independientes Un ejemplo de ello es una empresa con un dominio de Active Directory de nombre corp. como corp.fabrikam. Un ejemplo de ello es una empresa que use dominios regionales.microsoft.com.fabrikam. las aplicaciones escritas para asumir que el sufijo de DNS primario es el mismo que el sufijo del dominio de Active Directory pueden no funcionar en dicho entorno.com. Sufijo DNS primario en Propiedades del sistema﴿.fabrikam. La concatenación del nombre de host y del nombre DNS del dominio se conoce como nombre de dominio completo ﴾FQDN﴿.fabrikam.fabrikam.na. con nombres como na.com.corp.com y asia. Un espacio de nombres no contiguo es más complejo en todo lo relativo a su administración.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.contoso.com/fwlink/?LinkId=106629 ﴾puede estar en inglés﴿.corp. un equipo miembro que use un sufijo de DNS primario de corp. sa. Windows Server 2003.corp.fabrikam.com estará usando un espacio de nombres no contiguo.corp. Los equipos miembros del dominio pueden registrar su registro de recursos de host ﴾A﴿ y registro de recursos de host ﴾AAAA﴿ de IP versión 6 ﴾IPv6﴿ en un espacio de nombres DNS no contiguo. Cualquiera de los dos nombres puede usarse para hacer referencia al equipo.y na. dominios. el FQDN del equipo es server1.corp. Las aplicaciones de red escritas para asumir que el espacio de nombres de Active Directory es idéntico al sufijo de DNS primario de todos los equipos miembros del dominio no funcionan adecuadamente en un espacio de nombres no contiguo. Importante Aunque los sistemas operativos de Windows pueden admitir un espacio de nombres no contiguo. Por ejemplo. © 2015 Microsoft Espacio de nombres no contiguo Actualizado: agosto de 2011 Se aplica a: Windows Server 2003.corp.corp. pueden funcionar en un espacio de nombres no contiguo.com e it. el sufijo de DNS primario coincide con el nombre del dominio de Active Directory. los controladores de dominio continúan registrando registros de recursos de servicio ﴾SRV﴿ específicos del sitio y globales en la zona DNS que es idéntica al nombre del dominio de Active Directory.blob.com.contoso. Un espacio de nombres no contiguo debería funcionar ﴾y se admite﴿ en las siguientes situaciones: Cuando un bosque con varios dominios de Active Directory usa un espacio de nombres DNS único.fabrikam. Por ejemplo. El nombre que se asigna se compone del nombre de host del equipo ﴾es decir. Windows Server 2008 R2 Un espacio de nombres no contiguo se produce cuando uno o más equipos miembros del dominio tienen un sufijo del Sistema de nombres de dominio ﴾DNS﴿ primario que no coincide con el nombre DNS del dominio de Active Directory del que son miembros los equipos. core. consulte el artículo 936628 de Microsoft Knowledge Base en http://go. Es preciso comprobar cuidadosamente si hay problemas de compatibilidad en las aplicaciones.1/9/2015 Mi colección Un espacio de nombres no funciona adecuadamente ﴾y no se admite﴿ en las siguientes situaciones: Cuando los controladores de dominio del mismo dominio no usan el mismo sufijo DNS primario Cuando los servidores de entidad de certificación ﴾CA﴿ del miembro del dominio no usan el mismo sufijo DNS primario que usan los controladores de dominio del dominio del que son miembros los servidores de CA. hay que asegurarse de comprobar la compatibilidad de todas las aplicaciones que se usan para realizar el análisis. Desventajas de los espacios de nombres no contiguos Usar un espacio de nombres no contiguo puede tener las siguientes desventajas: Es preciso crear y administrar zonas DNS independientes para cada dominio de Active Directory del bosque que tiene equipos miembros que usan un espacio de nombres no contiguo.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Ello incluye las aplicaciones de Microsoft y de otros desarrolladores de software. Compatibilidad de aplicaciones Como se ha mencionado previamente. es preciso configurar adecuadamente el orden de búsqueda de sufijos DNS para todos los dominios de Active Directory del bosque. se requiere una configuración adicional y más compleja. Para obtener más información. Para optimizar la resolución de nombres. país o región.windows.﴿ Deben realizarse pasos manuales para modificar y administrar el atributo de Active Directory que permite a los miembros del dominio usar sufijos DNS primarios especificados. Cuando el entorno requiere varios sufijos DNS primarios. un espacio de nombres no contiguo puede causar problemas en cualquier aplicación o servicio escrito para asumir que un sufijo DNS primario de un equipo es idéntico al nombre del dominio del que es miembro.microsoft. Ventajas de los espacios de nombres no contiguos Usar un espacio de nombres no contiguo puede tener las siguientes ventajas: Puesto que el sufijo DNS primario de un equipo puede indicar información diferente.html 44/80 .com/fwlink/?LinkId=102306 ﴾puede http://pabprod. dichos equipos pueden requerir configuración adicional para cambiar los SPN. También puede modificarse el registro. o edificio. ﴾Es decir. Por ejemplo. Así mismo. como continente. Consideraciones para espacios de nombres no contiguos Las siguientes consideraciones pueden ayudarle a decidir si debe usar un espacio de nombres no contiguo. Nota Se puede usar el Servicio de nombres Internet de Windows ﴾WINS﴿ para contrarrestar esta desventaja resolviendo nombres de etiqueta única. Puede separarse el espacio de nombres DNS en función de la estructura empresarial o la ubicación geográfica. Para definir el orden de búsqueda de sufijos DNS se pueden usar objetos de directiva de grupo o parámetros del servicio de Servidor DHCP ﴾Protocolo de configuración dinámica de host﴿. Ello puede dar lugar a errores de autenticación.com/fwlink/?LinkId=106638 ﴾puede estar en inglés﴿.microsoft.com/fwlink/?LinkId=102304 ﴾puede estar en inglés﴿.blob. Para obtener más información. lea las siguientes consideraciones.microsoft.microsoft. consulte lo relativo a creación de un espacio de nombres no contiguo en http://go. que se aplican a las transiciones de espacios de nombres contiguos a espacios de nombres no contiguos ﴾o a la inversa﴿: Puede que los nombres principales de servicio ﴾SPN﴿ configurados manualmente ya no coincidan con los nombres DNS tras un cambio de espacio de nombres. es preciso realizar pasos manuales a fin de modificar y mantener la directiva de grupo para configurar equipos miembros con sufijos DNS primarios alternativos. consulte lo relativo a errores de inicio de sesión de servicio provocados por SPN definidos incorrectamente enhttp://go. Si usa equipos basados en Windows Server 2003 con delegación restringida. es posible administrar el espacio de nombres DNS con independencia del nombre de dominio de Active Directory. Para obtener más información acerca de WINS. Antes de implementar un espacio de nombres no contiguo es preciso comprobar si existen problemas de compatibilidad en las aplicaciones. consulte la referencia técnica de WINS en http://go. puede separar el espacio de nombres basándose en nombres de unidades de negocio o ubicaciones físicas. Planeación de la transición de un espacio de nombres Antes de modificar un espacio de nombres.com/fwlink/?LinkId=102303 ﴾puede estar en inglés﴿. Para obtener más información acerca de los pasos que se pueden dar para compensar estas desventajas. Si se implementan nuevamente. debe usar el nombre de dominio de Active Directory y el sufijo DNS primario adecuados al configurar los certificados LDAPS. en caso necesario. vea el artículo 932834 de Microsoft Knowledge Base en http://go. Pídales que comprueben si sus aplicaciones son compatibles con entornos en los que se usan espacios de nombres no contiguos. puede que los controladores de dominio no seleccionen un certificado apropiado hasta que se reinicien. b.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Si usa el Protocolo ligero de acceso a directorios ﴾LDAP﴿ a través de Capa de sockets seguros ﴾SSL﴿ ﴾lo que se conoce como LDAPS﴿ con una CA de una implementación que tiene controladores de dominio configurados en un espacio de nombres no contiguo. El propietario de DNS para AD DS es responsable del diseño de DNS para AD DS del bosque. Cree un plan que le permita realizar.microsoft. Para obtener más información acerca de los requisitos de certificado del controlador de dominio.com/fwlink/?LinkId=106639 ﴾puede estar en inglés﴿.com/fwlink/?LinkId=102307 ﴾puede estar en inglés﴿.microsoft. El propietario de DNS para AD DS del bosque es una persona ﴾o grupo de personas﴿ responsable de supervisar la implementación de DNS en la infraestructura de AD DS y de asegurarse de que los nombres de dominio se registren ﴾en caso necesario﴿ ante las correspondientes entidades de Internet. Si la organización opera actualmente un servicio Servidor DNS. 4.microsoft. Windows Server 2008 R2 El propietario del bosque asigna un Sistema de nombres de dominio ﴾DNS﴿ al propietario de los Servicios de dominio de Active Directory ﴾AD DS﴿ del bosque.windows. Planeación de implementaciones de espacios de nombres no contiguos Adopte las siguientes precauciones al implementar equipos en un entorno que tenga un espacio de nombres no contiguo: 1. Pruebe todas las versiones de sistemas operativos y aplicaciones en entornos de laboratorio de espacios de nombres no contiguos. 2.1/9/2015 Mi colección estar en inglés﴿. Si desea delegar permisos para modificar SPN en administradores subordinados. Asegúrese de que los administradores y el personal del departamento de soporte técnico conozcan el espacio de nombres no contiguo y sus repercusiones. 3.blob. El propietario de DNS para AD DS del bosque mantiene contacto también con el grupo del Protocolo de configuración dinámica de host ﴾DHCP﴿ y el grupo DNS de la organización y coordina los planes de los propietarios de DNS individuales de cada dominio del bosque ﴾si los hay﴿ con estos grupos. Nota Los controladores de dominio que usan certificados para LDAPS pueden requerir que se vuelvan a implementar sus certificados. Si es posible.core. siga estas recomendaciones: a. la transición desde un espacio de nombres no contiguo a otro contiguo. el diseñador de DNS para el servicio Servidor DNS trabaja con el propietario de DNS para AD DS a fin de delegar el nombre DNS raíz del bosque a los servidores DNS que se ejecutan en los controladores de dominio. 5. © 2015 Microsoft Integración de AD DS en una infraestructura DNS existente Actualizado: abril de 2008 http://pabprod. Al hacerlo. consulte lo relativo a delegación de autoridad para modificar SPN en http://go. © 2015 Microsoft Asignación de DNS para la función de propietario de AD DS Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Informe a los proveedores de aplicaciones y sistemas operativos de la importancia de admitir los espacios de nombres no contiguos. participe en las pruebas de las versiones beta de los sistemas operativos y las aplicaciones que planea implementar en espacios de nombres no contiguos.html 45/80 .com/fwlink/?LinkId=102308 ﴾puede estar en inglés﴿. Notifique a todos los fabricantes de software con los que haga negocios que deben probar y admitir un espacio de nombres no contiguo. El propietario de DNS del bosque se asegura de que los grupos DHCP y DNS participen en el proceso de diseño de DNS para AD DS a fin de que cada grupo esté al corriente del plan de diseño de DNS y pueda realizar sus aportaciones con prontitud. vea el artículo 321051 de Microsoft Knowledge Base en http://go. Para obtener más información acerca de la autenticación LDAPS y una actualización relacionada para Windows Server 2003. Resuelva todos los problemas del software antes de implementarlo en el entorno. Creación de una configuración de servidor de DNS Al integrar AD DS en un espacio de nombres de DNS existente recomendamos lo siguiente: Instale el servicio Servidor DNS en cada controlador de dominio del bosque.html 46/80 . Puesto que la información de la zona debe estar ampliamente disponible.   Elemento de diseño Configuración Asignación de nombres de equipos Use la nomenclatura predeterminada. tendrán dos nombres diferentes: http://pabprod. En la siguiente tabla se enumeran las configuraciones recomendadas para estos elementos de diseño. Para obtener más información.1/9/2015 Mi colección Se aplica a: Windows Server 2008. consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 en http://go. todas las tareas anteriores se realizan automáticamente. Windows XP.core. la zona _msdcs. De esta manera.microsoft. Windows Server 2008 o Windows Vista se une a un dominio. Esto simplifica también el entorno de administración. Windows Server 2008 R2 Si la organización ya dispone de un servicio de servidor de Sistema de nombres de dominio ﴾DNS﴿. el DNS para el propietario de AD DS debe especificar el esquema de asignación de nombres del equipo y la forma en que los clientes encontrarán los servidores DNS.nombreDeBosque﴿ para replicar en todos los servidores DNS del bosque usando la partición del directorio de aplicaciones DNS de todo el bosque. Configure la zona que contiene los registros de ubicador de todo el bosque de Active Directory ﴾es decir.windows. esta zona se replica en todos los servidores DNS del bosque mediante la partición del directorio de aplicaciones DNS de todo el bosque. porque todos los controladores de dominio tienen una configuración uniforme. Configuración de resolución de cliente Configure los equipos cliente para que señalen a cualquier servidor DNS de la red.nombreDeBosque. los controladores de dominio no necesitan depender de otros servidores DNS para la resolución de nombres.blob. Nota Cuando el servicio de servidor DNS se instala con el Asistente para la instalación de los Servicios de dominio de Active Directory ﴾opción recomendada﴿. cuando el dominio al que están unidos se actualice a AD DS de Windows Server 2008. Ello implica crear un servidor de DNS y una configuración de cliente de DNS. el equipo se asigna a sí mismo un nombre de dominio completo ﴾FQDN﴿ que incluye el nombre de host del equipo y el nombre del dominio de Active Directory.com/fwlink/?LinkId=89028 ﴾puede estar en inglés﴿. Sólo es preciso crear una delegación para las zonas DNS integradas en Active Directory desde la jerarquía de DNS existente. Si los equipos cliente ya tienen un nombre DNS registrado. Windows Server 2003. AD DS almacena los registros de ubicador de todo el bosque en la zona _msdcs. Configure los controladores de dominio para que cada dominio regional hospede las zonas DNS correspondientes a sus dominios de Active Directory. Nota AD DS usa los registros de ubicador de todo el bosque para que los asociados de replicación se encuentren y los clientes encuentren los servidores de catálogo global. Nota Los controladores de dominio y clientes de Active Directory pueden registrar dinámicamente sus nombres DNS aunque no estén señalando al servidor DNS autoritativo para sus nombres. Creación de la configuración de cliente DNS Para configurar DNS en equipos cliente. Cuando un equipo basado en Windows 2000. Un equipo podría tener un nombre DNS distinto si la organización ha registrado estáticamente el equipo en DNS con anterioridad o si la organización ha implementado antes una solución de Protocolo de configuración dinámica de host ﴾DHCP﴿ integrada. Ello proporciona tolerancia a errores si alguno de los servidores DNS no está disponible.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. No es necesario mover ningún servidor o zona. La estructura DNS existente permanece intacta. Configure el controlador de dominio raíz del bosque de Active Directory a fin de hospedar la zona de DNS para el bosque de Active Directory. el propietario del DNS para los Servicios de dominio de Active Directory ﴾AD DS﴿ debe colaborar con el propietario del DNS a fin de que la organización integre AD DS en la infraestructura existente. Es importante documentar el diseño de la unidad organizativa. Esto permite al propietario del bosque corregir errores. Documentar el diseño de la unidad organizativa para cada dominio Forme un equipo para diseñar la estructura de la unidad organizativa que usará para delegar el control sobre los recursos del bosque. descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. Si está implementando un nuevo dominio de AD DS. Cuando haya terminado el diseño de la unidad organizativa. Si desea beneficiarse de la autenticación Kerberos cuando se conecte a un servidor que ejecute Windows 2000. grupo y equipo. Las unidades organizativas proporcionan autonomía administrativa y los medios para controlar la visibilidad de los objetos del directorio. DHCP o DNS/DHCP integrada se mantiene intacta. También pueden crear nuevos subárboles y delegar la administración de las unidades organizativas de los mismos. debe asegurarse de que el cliente se conecte al servidor usando el nombre principal. Los nuevos nombres principales se crean automáticamente y se actualizan mediante actualización dinámica. como un error en una lista de control de acceso ﴾ACL﴿. Y. Haga una lista con los nombres de las unidades organizativas que planea crear. Puesto que los propietarios de una unidad organizativa no poseen ni controlan el funcionamiento del servicio de directorio.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go. Las unidades organizativas de recursos contienen recursos y las cuentas que son responsables de administrar dichos recursos. cree una unidad organizativa de cuenta para el dominio a fin de poder delegar el control de las cuentas del dominio. Unidades organizativas de recursos y de cuentas Las unidades organizativas de cuentas contienen objetos de usuario.blob. diseñe la estructura de la unidad organizativa para habilitar la delegación de las tareas administrativas. En esta sección Revisión de los conceptos de diseño de la unidad organizativa Delegación de la administración mediante objetos de unidad organizativa http://pabprod. © 2015 Microsoft Creación del diseño de una unidad organizativa Actualizado: abril de 2008 Se aplica a: Windows Server 2008. pero no respecto de los administradores de servicios. Windows Server 2003 o Windows Server 2008.doc﴿. Se limpian automáticamente mediante eliminación.com/fwlink/?LinkId=106655 ﴾puede estar en inglés﴿. El propietario del bosque es responsable también de crear una estructura de unidad organizativa para administrar esos recursos y para delegar el control de dicha estructura en el propietario de la unidad organizativa. Para ver una hoja de trabajo que le ayude a documentar el diseño de la unidad organizativa.core. Función de propietario de unidad organizativa El propietario del bosque designa a un propietario para cada una de las unidades organizativas que diseñe para el dominio. documente el tipo. Si bien los propietarios de una unidad organizativa tienen el control sobre un subárbol de objetos.microsoft. Las unidades organizativas ofrecen aislamiento respecto de otros administradores de datos.1/9/2015 Mi colección El nombre DNS existente El nuevo nombre de dominio completo ﴾FQDN﴿ Los clientes pueden buscarse por cualquiera de los dos nombres.com/fwlink/?LinkID=102558 ﴾puede estar en inglés﴿ y abra "Identifying OUs for Each Domain" ﴾DSSLOGI_9. el propietario del bosque conserva pleno control sobre todos los subárboles. para cada unidad organizativa. lo que reducirá el número de administradores de servicios que tienen niveles elevados de acceso. Para obtener más información.html 47/80 . así como la unidad organizativa principal ﴾si procede﴿.microsoft. delegar el control de la estructura al propietario de la unidad organizativa. Cree las unidades organizativas de recursos que sean necesarias de acuerdo con los requisitos de cada grupo de la organización en materia de autonomía para la administración de datos y equipos.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. a continuación. Entre los participantes en el equipo de diseño podría incluirse a los administradores de datos que trabajarán en las unidades organizativas y a los propietarios de las unidades organizativas que serán responsables de administrarlas. En principio. puede crear estructuras de unidad organizativa adicionales para aplicar la directiva de grupo a los usuarios y equipos y limitar la visibilidad de los objetos. Los propietarios de unidades organizativas son administradores de datos que controlan un subárbol de objetos en Servicios de dominio de Active Directory ﴾AD DS﴿. propietario y origen de la unidad organizativa. El propietario del bosque podría intervenir en el proceso de diseño y deberá aprobar el diseño de la unidad organizativa. asignar la función de propietario de la misma y crear unidades organizativas de recursos y cuentas. También podría implicar al menos a un administrador de servicios a fin de garantizar que el diseño sea válido. Los propietarios del bosque deben crear una estructura de unidad organizativa para administrar estos objetos y. Crear un diseño de unidad organizativa implica diseñar la estructura de la unidad organizativa. consulte lo relativo al diseño de una infraestructura de directiva de grupo en http://go. Windows Server 2008 R2 Los propietarios del bosque son los responsables de la creación de diseños de unidad organizativa ﴾OU﴿ para sus dominios. y recuperar subárboles delegados cuando los administradores de datos finalicen. Cualquier solución DNS. es posible separar la propiedad y la administración del servicio de directorio de la propiedad y la administración de los objetos.windows. Los propietarios de las unidades organizativas pueden controlar la forma en que se delega la administración y se aplica la directiva a los objetos de sus unidades organizativas. Por ejemplo. como usuarios o equipos. eliminar y administrar cuentas de usuario dentro de la unidad organizativa y. puede crearse una unidad organizativa denominada OURecursos y usarla para almacenar todas las cuentas del equipo que pertenecen a los servidores de impresión y archivo administrados por un grupo. a continuación. Las unidades organizativas se crean para una finalidad específica.html 48/80 . Técnicamente. coloque al individuo o grupo en el que desee delegar los derechos administrativos dentro de un grupo. es decir. coloque el conjunto de objetos que desee controlar dentro de una unidad organizativa y. Por ejemplo. cree unidades organizativas adicionales y coloque en ellas dichos objetos. Por ejemplo. como la delegación de tareas de administración o la aplicación de una directiva de grupo. Lo mejor es que los administradores del servicio sigan controlando dichos contenedores.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. asignar a otro grupo únicamente los derechos para crear. La estructura de la unidad organizativa puede refinarse aun más mediante la creación de subárboles de unidades organizativas para fines concretos. si necesita aplicar una directiva de grupo a un grupo seleccionado de usuarios o recursos. como la aplicación de una directiva de grupo. aplicarle a la misma la citada directiva de grupo. Ello hace posible http://pabprod. Las unidades organizativas representan límites administrativos y permiten controlar el ámbito de autoridad de los administradores de datos. De esta manera se impide que los administradores de datos de otros grupos manipulen las cuentas del servidor de impresión y archivo. Delegue el control sobre dichas unidades organizativas en los administradores de datos apropiados. Es posible diseñar una estructura de unidad organizativa propia con el fin de delegar la administración en individuos o grupos de la organización que requieran autonomía para administrar sus propios datos y recursos. o bien para limitar la visibilidad de los objetos. Estos permisos pueden hacerse heredables de manera que se apliquen a cualquier unidad organizativa que se coloque en subárboles de la unidad organizativa original. o para limitar la visibilidad de los objetos protegidos de manera que sólo puedan verlos usuarios determinados. la ruta LDAP ﴾Protocolo ligero de acceso a directorios﴿ completa al objeto del directorio o al número de niveles de la unidad organizativa dentro de la jerarquía. © 2015 Microsoft Delegación de la administración mediante objetos de unidad organizativa Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Posteriormente es posible configurar la seguridad de la unidad organizativa para que sólo los administradores del grupo tengan acceso a la misma. es posible asignar a un grupo el control total de todos los objetos de una unidad organizativa.blob. También se puede usar la jerarquía de la unidad organizativa para habilitar una mayor delegación del control administrativo. de la unidad organizativa en el individuo o grupo que se haya designado. el número de unidades organizativas de cada nivel no tiene límite. La estructura de la unidad organizativa es una herramienta administrativa para los administradores de datos y del servicios. No se pretende que la estructura de la unidad organizativa en AD DS sea visible para los usuarios finales. asignar a un tercer grupo el derecho a restablecer contraseñas de cuentas de usuario. a continuación. Windows Server 2008 R2 Las unidades organizativas pueden usarse para delegar la administración de los objetos. Tenga en cuenta que las aplicaciones habilitadas para Servicios de dominio de Active Directory ﴾AD DS﴿ pueden imponer restricciones al número de caracteres usados en el nombre distintivo.1/9/2015 Mi colección © 2015 Microsoft Revisión de los conceptos de diseño de la unidad organizativa Actualizado: abril de 2008 Se aplica a: Windows Server 2008. no existe límite en el número de niveles que puede tener la estructura de una unidad organizativa. desde el punto de vista técnico. delegue las tareas administrativas de la unidad organizativa a dicho grupo.windows. Windows Server 2008 R2 La estructura de una unidad organizativa ﴾OU﴿ para un dominio incluye lo siguiente: Un diagrama de la jerarquía de la unidad organizativa Una lista de unidades organizativas Para cada unidad organizativa: La finalidad de la unidad organizativa Una lista de usuarios o grupos que tienen control sobre la unidad organizativa o los objetos de la misma El tipo de control que los usuarios y grupos tienen sobre los objetos de la unidad organizativa La jerarquía de la unidad organizativa no tiene por qué reflejar la jerarquía de los departamentos de la organización o grupo. Siga revisando y actualizando el diseño de la estructura de la unidad organizativa para reflejar los cambios en la estructura administrativa y admitir la administración basada en directiva. Servicios de dominio de Active Directory ﴾AD DS﴿ permite controlar las tareas administrativas que pueden delegarse en un nivel muy detallado.core. Si es preciso delegar el control sobre los objetos del directorio. por razones de capacidad de administración se recomienda que no supere los 10 niveles. Si bien. y es fácil cambiarla. finalmente. puede agregar dichos usuarios o recursos a una unidad organizativa y. Durante la instalación de AD DS se crean contenedores y unidades organizativas predeterminadas que controlan los administradores del servicio. Para delegar la administración usando una unidad organizativa. Si está creando un nuevo dominio de Active Directory. Para aplicar la directiva de grupo a los usuarios y equipos. los contenedores de equipos y de usuarios son las ubicaciones predeterminadas para todas las nuevas cuentas de usuario y cuentas de equipo que no sean de controlador de dominio del dominio. no modifique la configuración predeterminada de los contenedores de equipos y usuarios. Contenedores de equipos y usuarios Cuando realice una actualización del dominio en vigor desde Windows Server 2003 a Windows Server 2008. Delegue el control sobre las nuevas unidades organizativas. el usuario tiene la capacidad implícita de crear y manipular cualquier objeto que se coloque en el contenedor. que tiene las cuentas de administrador de servicios predeterminadas Contenedor de usuarios. Tampoco pueden aplicarse las opciones de la directiva de grupo a los contenedores de equipos y usuarios predeterminados. si el objeto que se crea es un contenedor. que la ubicación predeterminada para las nuevas cuentas de equipo creados en el dominio Unidad organizativa ﴾OU﴿ Controladores de dominio. En lugar de ello. Si lo desea. que la ubicación predeterminada para las nuevas cuentas de usuario y grupos creados en el dominio Contenedor de equipos. A continuación se enumeran algunas: Contenedor de dominio. Grupos y usuarios conocidos y cuentas integradas De manera predeterminada. No delegue el control de este contenedor. Contenedor de dominio El contenedor de dominio es el contenedor raíz de la jerarquía de un dominio. Conceder a un usuario la capacidad de crear un objeto en la unidad organizativa implica otorgar a dicho usuario la capacidad de manipular cualquier atributo de cualquier objeto creado por el usuario. Dicha autoridad puede oscilar entre la capacidad para crear y manipular objetos dentro de la unidad organizativa a tener únicamente el control sobre un solo atributo de un único tipo de objeto en la unidad organizativa. Importante Si necesita delegar el control sobre los usuarios o equipos. Los cambios que se realicen en las directivas o la lista de control de acceso ﴾ACL﴿ de este contenedor pueden repercutir en todo el dominio. cree nuevas unidades organizativas y mueva los objetos de equipo y usuario a las mismas. que es la ubicación predeterminada para las cuentas de equipo de las cuentas de equipo de controladores de dominio El propietario del bosque controla estas unidades organizativas y contenedores predeterminados. Se recomienda no modificar quién controla los contenedores predeterminados.core.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. en caso necesario. en un nuevo dominio se crean varios grupos y usuarios conocidos y cuentas integradas. también puede redirigir la creación de los objetos que se colocan en los contenedores predeterminados para que se sitúen en los contenedores de su elección. Aplique las opciones de la directiva de grupo a las nuevas unidades organizativas. El propietario del bosque determina el nivel de autoridad que se delega al propietario de una unidad organizativa.blob.1/9/2015 Mi colección delegar el control sobre los objetos del directorio sin cambiar el control predeterminado concedido a los administradores del servicio. los equipos y usuarios existentes se colocan automáticamente en los contenedores de equipos y de usuarios. En esta sección Delegación de la administración de unidades organizativas ﴾OU﴿ y contenedores predeterminados Delegación de la administración de unidades organizativas de recursos y cuentas © 2015 Microsoft Delegación de la administración de unidades organizativas (OU) y contenedores predeterminados Actualizado: abril de 2008 Se aplica a: Windows Server 2008.windows. cree una nueva unidad organizativa ﴾en caso necesario﴿ y mueva los objetos de equipo y de usuario desde sus contenedores predeterminados a las nuevas unidades organizativas ﴾OU﴿. Además. que debe estar en manos de los administradores de servicios. Windows Server 2008 R2 Todos los dominios de Active Directory contienen un conjunto estándar de contenedores y unidades organizativas ﴾OU﴿ que se crean durante la instalación de los Servicios de dominio de Active Directory ﴾AD DS﴿.html 49/80 . Se recomienda que la administración de estas http://pabprod. que sirve de contenedor raíz para la jerarquía Contenedor integrado. No delegue la administración de estas cuentas a una persona que no sea un administrador de servicios.windows. los administradores de servicios controlan esta unidad organizativa.core.blob. los objetos de sus equipos se agregan automáticamente a la unidad organizativa Controlador de dominio. grupos y cuentas de servicio. De manera predeterminada. La estructura de unidad organizativa de cuenta es un subárbol de unidades organizativas para cada tipo de cuenta que debe controlarse independientemente.   Grupos y usuarios conocidos Cuentas integradas Publicadores de certificados Administrador Controlador de dominio Invitado Propietarios del creador de directivas de grupo Invitados KRBTGT Operadores de cuentas Invitados de dominio Administradores Administrador Operadores de copia de seguridad Admins. El propietario del bosque es responsable de crear una estructura de unidad organizativa para administrar esos objetos y recursos y para delegar el control de dicha estructura en el propietario de la unidad organizativa. No delegue el control de esta unidad organizativa a personas que no sean administradores de servicios. Si las directivas predeterminadas no se aplican. Para garantizar que estas directivas se apliquen uniformemente a todos los controladores de dominio. http://pabprod. Delegación de la administración de unidades organizativas de cuentas Delegue una estructura de unidad organizativa de cuenta en los administradores de datos si necesitan crear y modificar objetos de usuario. del dominio Creadores de confianza de bosque de entrada Administradores de esquema ﴾sólo dominio raíz del bosque﴿ Operadores de impresión Administradores de organización ﴾sólo dominio raíz del bosque﴿ Acceso compatible con versiones anteriores a Windows 2000 Usuarios del dominio Operadores de servidores Usuarios Unidad organizativa Controlador de dominio Cuando se agregan al dominio controladores de dominio. Esta unidad organizativa tiene aplicadas un conjunto de directivas predeterminadas. © 2015 Microsoft Delegación de la administración de unidades organizativas de recursos y cuentas Actualizado: abril de 2008 Se aplica a: Windows Server 2008. equipos. el propietario de la unidad organizativa puede delegar un control específico en varios administradores de datos a través de unidades organizativas secundarias en una unidad organizativa de cuenta para usuarios. el controlador de dominio podría no funcionar adecuadamente.1/9/2015 Mi colección cuentas permanezca bajo el control de los administradores de servicios. grupo y equipo. Windows Server 2008 R2 Las unidades organizativas de cuentas contienen objetos de usuario. En la siguiente ilustración se muestra un ejemplo de una estructura de unidad organizativa de cuenta. grupo y equipo. En la tabla siguiente se enumeran los grupos y usuarios conocidos y las cuentas integradas que necesitan permanecer bajo el control de los administradores de servicios.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Por ejemplo.html 50/80 . se recomienda no mover los objetos de equipo de los controladores de dominio fuera de esta unidad organizativa. Las unidades organizativas de recursos contienen recursos y las cuentas que son responsables de administrar dichos recursos. colocar los distintos tipos de cuentas de usuario en unidades organizativas independientes permite administrarlas conforme a sus requisitos administrativos específicos. Esta unidad organizativa se crea para separar las cuentas de usuarios de servicios de las cuentas de usuario incluidas en la unidad organizativa de los usuarios.core. Admins Contiene cuentas de grupo y usuario para los administradores de datos de la estructura de la unidad organizativa de cuenta. Así mismo. http://pabprod.html 51/80 . Grupos Contiene grupos de todos los tipos.   OU Propósito Usuarios Contiene cuentas de usuario para personal no administrativo. que se administran por separado.blob. salvo grupos administrativos. Habilite la auditoría para esta unidad organizativa con el fin de que pueda realizar un seguimiento de los cambios en los grupos y usuarios administrativos.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.1/9/2015 Mi colección En la siguiente tabla se enumeran y describen las posibles unidades organizativas secundarias que se pueden crear en una estructura de unidad organizativa de cuenta. En la siguiente ilustración se muestra un ejemplo de un diseño de grupo administrativo para una estructura de unidad organizativa de cuenta. Equipos Contiene cuentas para equipos que no sean controladores de dominio. a fin de poder administrarlos de forma independiente a los usuarios regulares. Cuentas de servicio Algunos servicios que requieren acceso a los recursos de red se ejecutan como cuentas de usuario.windows. 1/9/2015 Mi colección A los grupos que administran las unidades organizativas secundarias se les concede control total únicamente sobre la clase específica de objetos de cuya administración son responsables. Los tipos de grupos que se usan para delegar el control dentro de una estructura de unidad organizativa se basan en la ubicación de las cuentas con respecto a la estructura de unidad organizativa que se va a administrar. Si las cuentas de usuarios administrativos y la estructura de la unidad organizativa existen en un único dominio, los grupos que se creen para delegación deben ser grupos globales. Si la organización tiene un departamento que administra sus propias cuentas de usuario y está presente en más de una región, podría tener un grupo de administradores de datos responsables de administrar unidades organizativas de cuenta en más de un dominio. Si las cuentas de los administradores de datos existen todas en un dominio único y tiene estructuras de unidades organizativas en varios dominios en los que necesita delegar el control, convierta a dichas cuentas administrativas en miembros de grupos globales y delegue el control de las estructuras de unidad organizativa de cada dominio en dichos grupos globales. Si las cuentas de administradores de datos en las que delegue el control de una estructura de unidad organizativa proceden de varios dominios, debe usar un grupo universal. Los grupos universales pueden contener usuarios de diferentes dominios y, por tanto, se pueden usar para delegar el control en varios dominios. Delegación de la administración de unidades organizativas de recursos Las unidades organizativas de recursos se usan para administrar el acceso a los recursos. El propietario de la unidad organizativa de recursos crea cuentas de equipo para los servidores que están unidos al dominio en las que se incluyen recursos como recursos compartidos de archivos, bases de datos e impresoras. El propietario de la unidad organizativa de recursos crea también grupos para controlar el acceso a dichos recursos. En la siguiente ilustración se muestran las dos posibles ubicaciones para la unidad organizativa de recursos. La unidad organizativa de recursos puede encontrarse en la raíz del dominio o como una unidad organizativa secundaria de la unidad organizativa de cuenta correspondiente en la jerarquía administrativa de la unidad organizativa. Las unidades organizativas de recursos no tienen ninguna unidad organizativa secundaria estándar. Los equipos y grupos se colocan directamente en la unidad organizativa de recursos. http://pabprod.blob.core.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.html 52/80 1/9/2015 Mi colección El propietario de la unidad organizativa de recursos posee los objetos de la unidad organizativa, pero no el contenedor de la unidad organizativa en sí. Los propietarios de unidades organizativas de recursos administran únicamente objetos de grupo y equipo; no pueden crear otras clases de objetos dentro de la unidad organizativa, ni tampoco crear unidades organizativas secundarias. Nota El creador o propietario de un objeto tiene la capacidad de definir la lista de control de acceso ﴾ACL﴿ del objeto, con independencia de los permisos que se hereden del contenedor primario. Si el propietario de una unidad organizativa de recursos puede restablecer la ACL de una unidad organizativa, también puede crear cualquier clase de objeto en la unidad organizativa, incluidos usuarios. Por este motivo, los propietarios de unidades organizativas de recursos no tienen permiso para crear unidades organizativas. Para cada unidad organizativa de recursos del dominio, cree un grupo global que represente a los administradores de datos responsables de administrar el contenido de la unidad organizativa. Este grupo tiene control total sobre los objetos de equipo y grupo de la unidad organizativa, pero no sobre el contenedor de la unidad organizativa en sí. En la siguiente ilustración se muestra el diseño de grupo administrativo para una unidad organizativa de recursos. Colocar las cuentas de equipo en una unidad organizativa de recursos otorga al propietario de la misma el control sobre los objetos de cuenta, pero no le convierte en administrador de los equipos. En un dominio de Active Directory, el grupo Admins. del dominio se coloca, de forma predeterminada, en el grupo Administradores local de todos los equipos. Es decir, los administradores de servicios tienen el control sobre dichos equipos. Si los propietarios de unidades organizativas de recursos requieren el control administrativo sobre los equipos de sus unidades organizativas, el propietario del bosque puede aplicar una directiva de grupo de grupos restringidos para convertir al propietario de la unidad organizativa de recursos en miembro del grupo Administradores en los equipos de dicha unidad organizativa. © 2015 Microsoft Búsqueda de recursos adicionales para el diseño de la estructura lógica de Active Directory de Windows Server 2008 Actualizado: abril de 2008 Se aplica a: Windows Server 2008, Windows Server 2008 R2 En los sitios web de TechCenter de Windows Server 2003 y Windows Server 2008 dispone de la siguiente documentación ﴾puede estar en inglés﴿ acerca de los Servicios de dominio de Active Directory ﴾AD DS﴿: Para obtener más información sobre el diseño de la topología del sitio, consulte el tema que trata acerca del diseño de la topología del sitio de los Servicios de dominio de Active Directory en http://go.microsoft.com/fwlink/?LinkId=89026 ﴾puede estar en inglés﴿. http://pabprod.blob.core.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.html 53/80 1/9/2015 Mi colección Para ver una hoja de trabajo que le ayude a documentar el diseño propuesto para el bosque, el dominio, la infraestructura del Sistema de nombres de dominio ﴾DNS﴿ y la unidad organizativa ﴾OU﴿, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558. Para obtener más información acerca de la autenticación delegada y la delegación restringida, consulte el tema que trata acerca de la delegación de autenticación en http://go.microsoft.com/fwlink/?LinkID=106614. Para obtener información acerca de cómo configurar firewalls para su uso con AD DS, consulte la documentación sobre Active Directory en redes segmentadas por firewalls en http://go.microsoft.com/fwlink/?LinkId=37928. Para obtener más información sobre la actualización de dominios de Active Directory a Windows Server 2008, consulte el tema que trata acerca de la actualización de dominios de AD DS a Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkId=89032. Para obtener más información acerca de la reestructuración de los dominios de AD DS dentro de los bosques y entre bosques, consulte la guía de migración de la herramienta de migración de Active Directory versión 3.1 en http://go.microsoft.com/fwlink/?LinkId=82740. Para obtener información acerca de la implementación de un dominio raíz del bosque, consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkId=89028. Para obtener más información acerca de la implementación de DNS, consulte el tema que trata acerca de la implementación del Sistema de nombres de dominio ﴾DNS﴿ en http://go.microsoft.com/fwlink/?LinkId=93656. Para obtener más información acerca del proceso de resolución de nombres y la jerarquía de DNS, consulte la referencia técnica de DNS en http://go.microsoft.com/fwlink/?LinkId=106636. Para obtener más información acerca de la compatibilidad de DNS y AD DS, consulte la referencia técnica de compatibilidad entre DNS y AD DS en http://go.microsoft.com/fwlink/?LinkId=106660. Para obtener más información acerca de WINS, consulte la referencia técnica de WINS en http://go.microsoft.com/fwlink/?LinkId=106661. Para obtener más información acerca de la creación de un espacio de nombres no contiguo, consulte lo relativo a la creación de un espacio de nombres no contiguo en http://go.microsoft.com/fwlink/?LinkID=106638. Para obtener más información acerca de cómo configurar nombres principales de servicio ﴾SPN﴿, consulte lo relativo a errores de inicio de sesión de servicio provocados por SPN definidos incorrectamente en http://go.microsoft.com/fwlink/?LinkId=102304. Si desea más información acerca de cómo delegar permisos para modificar SPN en administradores subordinados, consulte lo relativo a delegación de autoridad para modificar SPN en http://go.microsoft.com/fwlink/?LinkId=106639. Para obtener más información acerca de los requisitos de certificado del controlador de dominio, vea el artículo 321051 de Microsoft Knowledge Base enhttp://go.microsoft.com/fwlink/?LinkId=102307. Para obtener más información acerca de la autenticación del Protocolo ligero de acceso a directorios ﴾LDAP﴿ a través de Capa de sockets seguros ﴾SSL﴿ y una actualización relacionada para Windows Server 2003, vea el artículo 932834 de Microsoft Knowledge Base en http://go.microsoft.com/fwlink/?LinkId=102308. Para obtener más información acerca de la infraestructura de la directiva de grupo, consulte lo relativo al diseño de una infraestructura de directiva de grupo en http://go.microsoft.com/fwlink/?LinkId=106655. Para obtener más información acerca de los controladores de dominio de sólo lectura ﴾RODC﴿, consulte lo relativo a los controladores de dominio de sólo lectura de AD DS en http://go.microsoft.com/fwlink/?LinkId=106616. Para obtener más información acerca de las directivas de bloqueo de cuenta y contraseña específica, consulte la Guía paso a paso de configuración de directivas de bloqueo de cuentas y contraseñas específicas en http://go.microsoft.com/fwlink/?LinkID=91477. Para obtener más información acerca de las convenciones de nomenclatura en AD DS, vea el artículo 90926 de Microsoft Knowledge Base en http://go.microsoft.com/fwlink/?LinkID=106629. © 2015 Microsoft Apéndice A: Inventario de DNS Actualizado: abril de 2008 Se aplica a: Windows Server 2008, Windows Server 2008 R2 Puede usar las siguientes tablas como ayuda para documentar el método de resolución de nombres recursivos de la estructura del Sistema de nombres de dominio ﴾DNS﴿ actual como parte del diseño de la estructura lógica para los Servicios de dominio de Active Directory ﴾AD DS﴿ de Windows Server 2008. Sugerencias de raíz   Nombre Dirección IPv4 http://pabprod.blob.core.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.html Dirección IPv6 54/80 1/9/2015 Mi colección Reenvío   Nombre Dirección IPv4 Dirección IPv6 Ubicación física © 2015 Microsoft Active Directory Maximum Limits - Scalability Actualizado: noviembre de 2012 Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 This topic describes Active Directory scalability and other limitations, as well as recommendations that apply when you are designing or implementing an Active Directory infrastructure. These limitations include the following: Maximum Number of Objects Maximum Number of Security Identifiers Maximum Number of entries in Discretionary and Security Access Control Lists Group Memberships for Security Principals FQDN Length Limitations File Name and Path Length Limitations Additional Name Length Limitations Maximum Number of GPOs Applied Trust Limitations Maximum Number of Accounts per LDAP Transaction Recommended Maximum Number of Users in a Group Recommended Maximum Number of Domains in a Forest Recommended Maximum Number of Domain Controllers in a Domain Recommended Maximum Kerberos Settings Maximum Number of Objects Each domain controller in an Active Directory forest can create a little bit less than 2.15 billion objects during its lifetime. Each Active Directory domain controller has a unique identifier that is specific to the individual domain controller. These identifiers, which are called Distinguished Name Tags ﴾DNTs﴿, are not replicated or otherwise visible to other domain controllers. The range of values for DNTs is from 0 through 2,147,483,393 ﴾231 minus 255﴿. As objects are created on a domain controller, a unique value is used. A DNT is not reused when an object is deleted. Therefore, domain controllers are limited to creating approximately 2 billion objects ﴾including objects that are created through replication﴿. This limit applies to the aggregate of all objects from all partitions ﴾domain NC, configuration, schema, and any application directory partitions﴿ that are hosted on the domain controller. Because new domain controllers start with low initial DNT values ﴾typically, anywhere from 100 up to 2,000﴿, it may be possible to work around the domain controller lifetime creation limit—assuming, of course, that the domain is currently maintaining less than 2 billion objects. For example, if the lifetime creation limit is reached because approximately 2 billion objects are created, but 500 million objects are removed from the domain ﴾for example, deleted and then permanently removed from the database through the garbage collection process﴿, installing a new domain controller and allowing it to replicate the remaining objects from the existing domain controllers is a potential workaround. However, it is important that the new domain controller receives the objects through replication and that such domain controllers not be promoted with the Install from Media ﴾IFM﴿ option. Domain controllers that are installed with IFM inherit the DNT values from the domain controller that was used to create the IFM backup. At the database level, the error that occurs when the DNT limit is reached is “Error: Add: Operations Error. <1> Server error: 000020EF: SvcErr: DSID‐0208044C, problem 5012 ﴾DIR_ERROR﴿, data ‐1076.” Maximum Number of Security Identifiers Beginning with Windows Server 2012, the maximum number of security identifiers that can be created over the life of a domain is increased to 2,147,483,647 RIDs. This increase is part of a series of improvements made to how RIDS are issued and monitored. For more information, see Managing RID Issuance. http://pabprod.blob.core.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.html 55/80 northamerica. The limitation is not affected by how the groups may or may not be nested. see: [MS‐PAC]: Privilege Attribute Certificate Data Structure ﴾http://msdn. it is not valid in an Active Directory domain: server10.microsoft. user.aspx﴿ 3. see How Security Descriptors and Access Control Lists Work ﴾http://go. Beginning in Windows Server 2012. There are also adjustable Lightweight Directory Access Protocol ﴾LDAP﴿ policies that are set by default to improve domain controller performance. This limitation is due to the MAX_PATH length of 260 characters that the Win32 application programming interfaces ﴾APIs﴿ define. However.microsoft. The actual limit is 230 or 1.820. This limitation is due to the size limit for the access token that is created for each security principal.5.microsoft. and computer accounts﴿ can be members of a maximum of approximately 1.” A partial work‐around to this limitation is to create an additional domain to hold accounts and then migrate accounts to the new domain. You can adjust this value by using the Filter Options settings on the View menu.13﴿. For more information.microsoft. which is also known as a trust user account.4.823 RIDs.westernregion. No further account‐identifier pools can be allocated to domain controllers in this domain. see article 328889 in the Microsoft Knowledge Base ﴾http://go. For more information about how a domain controller creates the data structure that is used for authorization decisions.microsoft.015 groups.” If you run Dcdiag when all the available RIDs are assigned for a domain. For example.com/fwlink/?LinkId=146571﴿.southaz. there is a limit of approximately 1 billion security identifiers ﴾SIDs﴿ over the life of a domain. when all the available RIDs are assigned for a domain.3. such as organizational units ﴾OUs﴿. the following host name has 65 characters.5.1/9/2015 Mi colección In Windows Server 2008 R2 and earlier operating systems. the actual number of entries ﴾SIDs﴿ is approximately 1. This limit is due to the size of the global relative identifier ﴾RID﴿ pool of 30 bits that makes each SID ﴾that is assigned to user. For more information.branch‐15. even if there are less than 1 billion security principals in the domain.microsoft. For a detailed discussion of access token limitations. you see the error message “The DS has corrupt data: rIDAvailablePool value is not valid. These policies are described in article 315071 in the Microsoft Knowledge Base ﴾http://go. an artificial ceiling is introduced when the number of available RIDs reaches within 10 percent of the limit for the global RID space.000 objects per container. in combination with the way in which Group Policy objects ﴾GPOs﴿ are stored in the SYSVOL share.com/fwlink/?LinkID=115219﴿. For more information about this limit.13﴿.﴿.741. domain controllers that request RID pools will log Directory‐Services‐SAM warning event 16656 to their System event log.2 Initial Population of the PAC ﴾http://msdn.microsoft.core.com/fwlink/?LinkID=115213﴿.com This is an important limitation to keep in mind when you name domains. In Windows Server 2008 R2 and earlier operating systems. Since access control entries ﴾ACEs﴿ vary in size. Creating a trust requires the creation of a security principal. For more information about naming limitations.com/fwlink/? LinkId=214683﴿.com/en‐us/library/cc233950﴾PROT. you must create a trust relationship to migrate accounts in advance of reaching the limit. Nota RIDs are assigned in blocks of 500 by default from the domain controller that holds the RID operations master role in each domain.microsoft.contoso. the unused RIDs that were allocated to the domain controller are not returned to the global RID pool and are therefore no longer available for use in the domain. see Addressing Problems Due to Access Token Limitation ﴾http://go. the Directory Service log in the Application and Service Logs of Event Viewer also displays Event ID 16644 from an event log source of the Security Accounts Manager ﴾SAM﴿ that reads “The maximum domain account identifier value has been reached.com/en‐us/library/cc237917﴾PROT. see Managing RID Issuance. see article 909264 in the Microsoft Knowledge Base ﴾http://go. For additional details. see article 245809 in the Microsoft Knowledge Base ﴾http://go.073. If a domain controller is demoted.microsoft.com/fwlink/?LinkID=135481﴿.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. group. see articles 316201 ﴾http://go. http://pabprod.aspx﴿ FQDN Length Limitations Fully qualified domain names ﴾FQDNs﴿ in Active Directory cannot exceed 64 characters in total length. which is 64K.3. For example.html 56/80 . For more information.com/fwlink/?LinkID=115211﴿ and 305475 ﴾http://go. You might experience limits when you work with multiple thousands of objects. These limits are configured to help provide a certain level of application or service availability.com/en‐us/library/cc233956﴾PROT. therefore. Nota The Active Directory database does not set limits on the number of objects in a container. Group Memberships for Security Principals Security principals ﴾that is.13﴿.windows.3 Domain Local Group Membership ﴾http://msdn. Maximum Number of entries in Discretionary and Security Access Control Lists The limitation for the number of entries in a discretionary access control list ﴾DACL﴿ or a security access control list ﴾SACL﴿ of an Active Directory object using the ntSecurityDescriptor attribute comes from a limitation in the size of the access control list ﴾ACL﴿. including hyphens and periods ﴾. When within one percent of the artificial ceiling.com/fwlink/?LinkID=106629﴿.microsoft.aspx﴿ 3.3.com/fwlink/? LinkId=115212﴿ in the Microsoft Knowledge Base.microsoft. and computer accounts﴿ in a domain unique.blob. group. Because RIDs are not reused—even if security principals are deleted—the maximum limit applies. the Active Directory Users and Computers snap‐in is configured by default to display a maximum of 2. microsoft.microsoft. for the purpose of backward compatibility the limit is 20 characters. This limit exists for performance reasons. such as SYSVOL. such as the following: Error <49>: ldap_simple_bind_s() failed: Invalid Credentials  Server error: 80090308: LdapErr: DSID‐0C0903AA. comment: AcceptSecurityContext error. Additional Name Length Limitations There are additional limitations regarding name lengths in Active Directory. the search is limited to the trusts that are established directly with a domain and the trusts that are transitive within a forest. Common names are limited to 64 characters. Rather. These items provide examples of schema‐limited name attributes: Display names are limited to 256 characters.OU=CorporateOfficers. OU names are limited to 64 characters. When a client searches out a trust path.windows.OU=CorporateVicePresidents. Name Length Limitations for LDAP Simple Bind Operations During binds to the directory. This does not mean that the total number of policy settings on the system is limited to 999. as defined by the Win32 APIs. simple LDAP bind operations limit the distinguished name ﴾also known as DN﴿ of the user to 255 total characters. see article 245809 in the Microsoft Knowledge Base ﴾http://go.microsoft.DIT﴿.OU=TopFloor. Name Length Limits from the Schema Default limits on attribute names for Active Directory objects that are imposed by the schema include the following. data 57. such as authentication across domains. Maximum Number of GPOs Applied There is a limit of 999 Group Policy objects ﴾GPOs﴿ that you can apply to a user account or computer account. Limitations that apply include the following: Kerberos clients can traverse a maximum of 10 trust links to locate a requested resource in another domain. the following distinguished name is 261 characters: CN=BobKelly.com/fwlink/?LinkId=153706﴿. the distinguished name for the user account BobKelly is only 242 characters. For more information. When you are determining where to place your SYSVOL and database files during Active Directory installation. For more information.400 TDOs. v1771  Error 0x80090308 The token supplied to the function is invalid You can avoid this issue by ensuring that the applications.OU=CorporateCampus.com/fwlink/? LinkId=153707﴿.com/fwlink/?LinkId=153705﴿. For more information. and utilities that attempt to bind to your directory use secure LDAP binds.OU=Red If the OU named CorporateVicePresidents is shortened to CVP.OU=ViewOfPugetSoundOffices.core.1/9/2015 Mi colección File Name and Path Length Limitations The physical files that Active Directory components use. The SAM‐Account‐Name attribute ﴾also known as the pre–Windows 2000 user logon name﴿ is limited to 256 characters in the schema. If the trust path between the domains exceeds this limit. you might experience authentication errors. However. and the ability of clients to discover available trusts. and log file paths. avoid nested folder structures that make the full file path to the SYSVOL folder. a single user or computer will not be able to process more than 999 GPOs. You can also avoid this issue by reducing the depth of the OU structure or the length of the OU names. If you attempt a simple LDAP bind with more than 255 characters.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Trust Limitations Trust limitations arise from the number of trusted domain objects ﴾TDOs﴿. see Common‐Name Attribute ﴾http://go.OU=Building1557. database.html 57/80 .com/fwlink/?LinkId=115219﴿.com/fwlink/?LinkID=106629﴿: NetBIOS computer and domain names are limited to 15 characters.blob. For more information. the length of trust paths. For example. see Display‐Name Attribute ﴾http://go. Domain Name System ﴾DNS﴿ host names are limited to 24 characters.microsoft. scripts. deteriorates performance noticeably if the Active Directory implementation in an organization contains more than 2. are constrained by the MAX_PATH length of 260 characters. and log files longer than 260 characters.microsoft. http://pabprod. The following limits are described in article 909264 in the Microsoft Knowledge Base ﴾http://go. see SAM‐Account‐Name Attribute ﴾http://go. Previous testing shows that the increased time to complete TDO‐related operations. the attempt to access the domain fails. database ﴾NTDS. Recommended Maximum Number of Domains in a Forest For Windows 2000 Server. see the FRS Technical Reference ﴾http://go. you are at risk of running into resource limits and an operational time‐out. So far. see How the Active Directory Replication Model Works ﴾http://go.microsoft. the recommended maximum number of domains in a forest is 800.microsoft. Recommended Maximum Number of Users in a Group For Windows 2000 Active Directory environments. Recommended Maximum Kerberos Settings The maximum recommended size for a Kerberos ticket is 65. As an example. Increasing this value from the default may cause errors.000 directory operations in a single transaction.NET Framework.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. the recommended maximum number of members in a group is 5. Nota Regardless of the method that you use for LDAP transactions.com/fwlink/?LinkId=115221﴿.windows. see “Maximum Database Record Size” in How the Data Store Works ﴾http://go. particularly when Web browsers or Web servers are used. For more information about linked attributes. Any group members that you either add or remove after the forest functional level is increased will be LVR enabled. An LDAP transaction is a group of directory operations ﴾such as add. Maximum Number of Accounts per LDAP Transaction When you write scripts or applications that perform LDAP transactions.535 bytes. which is configured through the MaxTokenSize REG_DWORD value in the registry ﴾HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lsa\Kerberos\Parameters﴿. additions.CommitChanges ﴾﴿ ﴾http://go.000.000 operations per LDAP transaction. Increasing the forest functional level changes the way that group membership ﴾and other linked multivalued attributes﴿ is stored in the database and replicated between domain controllers.blob. Production environments have been reported to exceed 4 million members.200. the recommended maximum number of domains when the forest functional level is set to Windows Server 2003 ﴾also known as forest functional level 2﴿ is 1. and Microsoft scalability testing reached 500 million members.com/fwlink/?LinkId=115222﴿. For more information about FRS limitations.com/fwlink/?LinkID=4487﴿. when you use the System.com/fwlink/? LinkID=35356﴿. the recommended limit is to perform no more than 5.CommitChanges method completes an LDAP transaction.microsoft. see LDAPMod ﴾http://go. This allows the number of group memberships to exceed the former recommended limit of 5. For more information about ADSI Methods.microsoft. For additional information about Kerberos tickets. see Active Directory Service Interfaces ﴾http://go.com/fwlink/?LinkId=115302﴿. To learn more about the LDAP data structure that commits changes. and modify﴿ that are treated as one unit.microsoft. For more information about the DirectoryEntry. delete. This restriction is a limitation of multivalued.microsoft. all the operations ﴾changes. you must remove the members that were added to the group before the forest functional level was increased to Windows Server 2003 and then add them back again to the appropriate groups. see Additional Resources for Troubleshooting Kerberos ﴾http://go. you should plan to send less than 5. For more information.com/fwlink/?LinkId=134791﴿. including error conditions that can occur when Kerberos ticket size limits are set too low or too high. the DirectoryEntry.com/fwlink/?LinkId=142909﴿. even if the group contains other members that are not LVR enabled. you must increase the forest functional level to at least Windows Server 2003 interim. For more information about the replication process.000 for Windows 2000 or Windows Server 2003 at a forest functional level of Windows 2000.CommitChanges method. the SetInfo method completes a transaction. © 2015 Microsoft http://pabprod. see DirectoryEntry. which means that you lose all those changes.microsoft.microsoft.html 58/80 .microsoft.core. we recommend a limit of 1200 domain controllers per domain. For Windows Server 2003. As another example. and modifications﴿ in the transaction are rolled back. Importante Increasing the forest functional level to Windows Server 2003 interim or higher does not modify the way that existing group members are stored or replicated. Recommended Maximum Number of Domain Controllers in a Domain To ensure reliable recovery of SYSVOL. This recommendation is based on the number of concurrent atomic changes that can be committed in a single database transaction. see “Practical Limitations of Trusts” in How Domain and Forest Trusts Work ﴾http://go. if you are using Active Directory Service Interfaces ﴾ADSI﴿ to write a script.000 operations in a single LDAP transaction.microsoft.com/fwlink/?LinkId=142908﴿.1/9/2015 Mi colección For more information about trust limitations. If that happens.DirectoryServices ﴾S. review article 267855 in the Microsoft Knowledge Base ﴾http://go. To enable LVR. To do that.com/fwlink/?LinkId=134740﴿.   If any Active Directory domain in your network is expected to exceed 800 domain controllers and those domain controllers are hosting Active Directory–integrated Domain Name System ﴾DNS﴿ zones. If your script or application performs more than 5.DS﴿ namespace in the Microsoft . see Linked Attributes ﴾http://go.com/fwlink/?LinkId=115220﴿. Starting with Windows Server 2003. the ability to replicate discrete changes to linked multivalued properties was introduced as a technology called Linked Value Replication ﴾LVR﴿. nonlinked attributes in Windows Server 2003. testing in this area has yet to reveal any new recommended limits to the number of members in a group or any other linked multivalued attribute. Minimizar los esfuerzos administrativos necesarios para mantener la topología del sitio. Antes de comenzar a diseñar la topología de un sitio. Windows Server 2008 Enterprise y Windows Server 2008 Datacenter.com/fwlink/?LinkId=89026. debe comprobar que los controladores de dominio cumplan los requisitos de hardware de los sistemas operativos Windows Server® 2008 Standard.microsoft. En esta guía Descripción de la topología del sitio de Active Directory Recopilación de información de la red Planeación de la ubicación de los controladores de dominio Creación del diseño de un sitio Creación del diseño de los vínculos a sitios Creación del diseño de un puente de vínculos a sitios Búsqueda de recursos adicionales para el diseño de la topología del sitio de Active Directory de Windows Server 2008 © 2015 Microsoft Descripción de la topología del sitio de Active Directory Actualizado: abril de 2008 Se aplica a: Windows Server 2008. puede estar en inglés﴿. las distintas topologías de red que suelen usar las organizaciones. El diseño de la topología del sitio de los Servicios de dominio de Active Directory® ﴾AD DS﴿ requiere planear la ubicación de los controladores de dominio y diseñar sitios.core.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Diseñar una topología del sitio ayuda a enrutar eficazmente las consultas de los clientes y el tráfico de replicación de Active Directory. En esta sección Funciones de los sitios http://pabprod.windows. el plan del bosque y el plan de dominios de cada bosque. consulte el tema que trata acerca de la planeación de la capacidad de los controladores de dominio ﴾http://go. consulte el tema que trata acerca del diseño de la estructura lógica de los Servicios de dominio de Active Directory de Windows Server 2008 ﴾http://go. la función de propietario de la topología del sitio y algunas nociones sobre la replicación en Active Directory. Para obtener más información sobre cómo diseñar la infraestructura de DNS y la estructura lógica de Active Directory. Una topología del sitio bien diseñada proporciona a la organización las siguientes ventajas: Minimizar el costo de la replicación de los datos de Active Directory. puede estar en inglés﴿. De esta forma.microsoft. primero debe diseñar la estructura lógica de Active Directory. se puede reducir el tráfico de red a través de vínculos de red de área extensa ﴾WAN﴿ lentos. Además. Windows Server 2008 R2 La topología de un sitio afecta significativamente al rendimiento de la red y a la capacidad de los usuarios para tener acceso a los recursos de la red. Windows Server 2008 R2 La topología del sitio de un servicio de directorio es una representación lógica de la red física.1/9/2015 Mi colección Diseño de la topología del sitio para AD DS en Windows Server 2008 Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Programar la replicación de manera que las ubicaciones con vínculos de red lentos o de acceso telefónico puedan replicar los datos de Active Directory durante las horas de menos actividad. Antes de empezar a diseñar la topología del sitio. Para obtener más información sobre cómo determinar el número correcto de controladores de dominio y sus requisitos de hardware.com/fwlink/?LinkId=89027. vínculos a sitios y puentes de vínculos a sitios para garantizar el enrutamiento eficaz del tráfico de consultas y replicación. Después de completar el diseño de la topología del sitio. como la jerarquía administrativa. También debe completar el diseño de la infraestructura del Sistema de nombres de dominio ﴾DNS﴿ para AD DS. subredes. También debe determinar el número correcto de controladores de dominio para cada dominio representado en cada sitio. Optimizar la capacidad de los equipos cliente para ubicar los recursos más cercanos. es necesario que conozca la estructura de la red física.html 59/80 .blob. mejorar los procesos de inicio y cierre de sesión y agilizar las operaciones de descarga de archivos. familiarícese con la funcionalidad de Windows Server 2008 para los sitios. como controladores de dominio y servidores del Sistema de archivos distribuido ﴾DFS﴿. el controlador de dominio de Bilbao determina a qué sitio pertenece realmente el cliente y le devuelve la información del sitio. que un cliente del sitio de Valencia no conoce su afiliación al sitio y se pone en contacto con un controlador de dominio del sitio de Bilbao. Cuando la replicación se produce entre sitios. según se define en la topología del sitio. Si no hay ningún controlador de dominio en el sitio del cliente. el cliente no tiene que comunicarse a través de vínculos WAN.1/9/2015 Mi colección Función de propietario de la topología del sitio Nociones acerca de la replicación en Active Directory © 2015 Microsoft Funciones de los sitios Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Para obtener más información acerca del diseño y la implementación de servidores de impresión. Si DFSN no encuentra una copia de los datos en el sitio donde está el cliente. DFSN DFSN usa la información del sitio para dirigir a un cliente al servidor que hospeda los datos solicitados en el sitio.html 60/80 . Los controladores de dominio que se publican en DNS son los del sitio más cercano.com/fwlink/?LinkId=107041. Afinidad del cliente Los controladores de dominio usan la información del sitio para informar a los clientes de Active Directory acerca de los controladores de dominio que se encuentran en el sitio más próximo al cliente.com/fwlink/?LinkID=88626. que se comunica con un tercero. se optimiza la velocidad de la replicación: las actualizaciones de datos desencadenan la replicación y los datos se envían sin la sobrecarga que requiere su compresión. FRS y DFSR replican estos cambios de acuerdo con la programación creada durante el diseño de la topología del sitio.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. El cliente almacena en caché la información del sitio proporcionada por el controlador de dominio de Bilbao. Replicación de enrutamiento Los Servicios de dominio de Active Directory ﴾AD DS﴿ usan un método de replicación de almacenamiento y reenvío con varios maestros. usa la información del sitio en AD DS para determinar qué servidor de archivos que tiene datos compartidos con DFSN está más próximo al cliente. Replicación de SYSVOL SYSVOL es un conjunto de carpetas del sistema de archivos que existe en cada controlador de dominio de un dominio.blob. replicación del volumen del sistema ﴾SYSVOL﴿. Dentro de los sitios. la replicación entre sitios se comprime para minimizar el costo de la transmisión a través de vínculos de red de área extensa ﴾WAN﴿. Un controlador de dominio comunica los cambios de directorio a un segundo controlador de dominio. Imaginemos. en este sitio se anuncia el controlador de dominio cuyas conexiones tengan un menor costo en relación con los otros sitios conectados ﴾registra un registro de recurso de servicio ﴾SRV﴿ específico del sitio en DNS﴿. solicita el registro de recurso de servicio ﴾SRV﴿ específico del sitio ﴾un registro de recurso del Sistema de nombres de dominio ﴾DNS﴿ que se usa para encontrar controladores de dominio para AD DS﴿ y así encuentra un controlador de dominio dentro del mismo sitio. © 2015 Microsoft Función de propietario de la topología del sitio http://pabprod. incluidos los objetos de directiva de grupo ﴾GPO﴿. espacios de nombres del Sistema de archivos distribuido ﴾DFSN﴿ y ubicación de servicios. Windows Server 2008 puede usar el servicio de replicación de archivos ﴾FRS﴿ o la replicación del sistema de archivos distribuido ﴾DFSR﴿ para replicar los cambios que se efectúen en las carpetas de SYSVOL desde un controlador de dominio en otros controladores de dominio. Windows Server 2008 R2 Windows Server 2008 usa la información del sitio con varios propósitos. Las carpetas de SYSVOL proporcionan una ubicación predeterminada de Active Directory para los archivos que deben replicarse en todo un dominio. para controlar la replicación de Active Directory. en el momento programado. El controlador de dominio le indica también si el controlador de dominio elegido es el que tiene más cerca. Ubicación de servicio Mediante la publicación de servicios tales como los servicios de archivo e impresión de AD DS. a un controlador de dominio de otro sitio.core. Para obtener más información acerca del proceso de ubicación de un controlador de dominio. un solo controlador de dominio por dominio en cada sitio recopila y almacena los cambios de directorio y los comunica. Los servicios de impresión usan el atributo de ubicación que se almacena en AD DS para permitir a los usuarios buscar impresoras por ubicación sin conocer dónde se encuentran de forma precisa. se permite a los clientes de Active Directory encontrar el servicio solicitado en el mismo sitio o en uno próximo. consulte el tema donde se explica cómo diseñar e implementar servidores de impresión ﴾http://go. puede estar en inglés﴿. Al encontrar un controlador de dominio en el mismo sitio. afinidad del cliente. los scripts de inicio y apagado del equipo y los scripts de inicio y cierre de sesión. por ejemplo.microsoft. y así sucesivamente hasta que todos los controladores de dominio reciben el cambio. la topología del sitio distingue entre la replicación que se produce dentro del sitio y la que se produce entre sitios. puede estar en inglés﴿. consulte el compendio de Active Directory ﴾http://go. A fin de lograr el equilibrio perfecto entre la reducción de la latencia de replicación y la reducción del tráfico.microsoft. Este proceso garantiza que todos los sitios tienen un controlador de dominio preferente para la autenticación. como para la replicación de enrutamiento. A partir de la dirección IP del cliente. A la inversa.windows. html 61/80 . KCC crea topologías de replicación independientes en función de si la replicación se produce dentro de un sitio o entre sitios. Siempre que se cambia un objeto de conexión creado por KCC. El propietario de la topología del sitio debe mantener una lista con las direcciones de subred. las conexiones entre los controladores de dominio de escritura siempre están dispuestas en un anillo bidireccional. El objeto de conexión es un elemento secundario del objeto de configuración NTDS en el servidor de destino. contiene una programación de replicación y especifica un transporte de replicación. Windows Server 2008 R2 Antes de diseñar la topología del sitio. KCC KCC es un proceso integrado que se ejecuta en todos los controladores de dominio y genera la topología de replicación del bosque de Active Directory.core. KCC ajusta dinámicamente la topología para admitir la incorporación de nuevos controladores de dominio. Además. Las responsabilidades del propietario de la topología del sitio son: Controlar los cambios de la topología del sitio si cambia la conectividad de la red.blob. la modificación de costos y programaciones. En cualquier caso. Para que tenga lugar la replicación entre dos controladores de dominio.windows. Dentro de un sitio. Dichos cambios afectan a los cambios en la topología de replicación. Obtener y mantener la información sobre los enrutadores y las conexiones de red del grupo responsable de la red.1/9/2015 Mi colección Actualizado: abril de 2008 Se aplica a: Windows Server 2008. familiarícese con la terminología que se usa en la replicación de Active Directory. El propietario de la topología del sitio debe conocer también los problemas de velocidad y capacidad de la red que afecten a la topología del sitio para establecer eficazmente los costos de los vínculos a sitios. Todas las conexiones de replicación de un controlador de dominio se almacenan como objetos de conexión bajo el objeto de configuración de NTDS. el propietario de la topología del sitio debe mover manualmente el objeto de servidor de Active Directory del controlador de dominio al nuevo sitio. Objeto de conexión KKC Funcionalidad de conmutación por error Subred Site Vínculo a sitios Puente de vínculos a sitios Transitividad de los vínculos a sitios Servidor de catálogo global Almacenamiento en caché de pertenencia a grupos universales Objeto de conexión Un objeto de conexión es un objeto de Active Directory que representa una conexión de replicación entre un controlador de dominio de origen y un controlador de dominio de destino. y los controladores de dominio que se encuentran en un estado de error o dejan de estar disponibles temporalmente. Mover los objetos de servidor de Active Directory que representen controladores de dominio entre los sitios si la dirección IP de un controlador de dominio cambia a una subred diferente de un sitio diferente o si la propia subred se asigna a otro sitio. el traslado de controladores de dominio entre sitios. Cada objeto de servidor tiene un objeto de configuración NTDS secundario que representa el controlador de dominio de replicación del sitio. el objeto de servidor de uno debe tener un objeto de conexión que represente la replicación de entrada del otro. Un controlador de dominio es un miembro de un sitio que se representa en el sitio mediante un objeto de servidor de los Servicios de dominio de Active Directory ﴾AD DS﴿. pero también se pueden crear de forma manual.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. © 2015 Microsoft Nociones acerca de la replicación en Active Directory Actualizado: abril de 2008 Se aplica a: Windows Server 2008. se convierte automáticamente en un objeto de conexión manual. El comprobador de coherencia de la información ﴾KCC﴿ crea objetos de conexión automáticamente. El objeto de conexión identifica el servidor de origen de replicación. El propietario de la topología del sitio conoce las condiciones de la red entre los sitios y tiene autoridad para cambiar la configuración de los Servicios de dominio de Active Directory ﴾AD DS﴿ para implementar cambios en la topología. KCC no realiza cambios en objetos de conexión manuales. con conexiones directas http://pabprod. la eliminación de controladores de dominio existentes. Windows Server 2008 R2 El administrador que se encarga de la topología del sitio se conoce como propietario de la topología del sitio. las máscaras de subred y la ubicación a la que cada una pertenece. Un escenario de implementación típico de los RODC es el de sucursal.1/9/2015 Mi colección adicionales para reducir la latencia en los sitios grandes. KCC revisa el estado de replicación de las conexiones existentes para determinar si hay conexiones que no funcionan. Subred Una subred es un segmento de una red TCP/IP a la que se asigna un conjunto de direcciones IP lógicas. puede reequilibrar la carga de trabajo con una herramienta como Adlb. puede estar en inglés﴿. Si una conexión no funciona porque hay problemas en un controlador de dominio. con lo que se elimina la necesidad de usar herramientas adicionales como Adlb. Para obtener más información sobre los árboles de expansión y la topología de replicación de Active Directory. el proceso de selección aleatorio tiene lugar una sola vez: la primera vez que se agregan los objetos de conexión al sitio. En Windows Server 2008. Los objetos de sitio están asociados a un conjunto de subredes y cada controlador de dominio de un bosque está asociado a un sitio de Active Directory en función de su dirección IP. Para los RODC de Windows Server 2008. lo que reduce la administración y el uso de la red. Cuando hay varios sitios.com/fwlink/?LinkId=107114.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. disponible en la guía de implementación de sucursales de Windows Server 2003 ﴾http://go. Se puede deshabilitar al agregar la siguiente clave del Registro en el RODC: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters “Random BH Loadbalancing Allowed” 1 = habilitada ﴾valor predeterminado﴿. Un objeto de vínculo a sitios representa un conjunto de sitios que se pueden comunicar con un costo uniforme a través de un transporte entre sitios especificado.exe. En el caso de los controladores de dominio del mismo sitio.com/fwlink/?LinkID=28523﴿. consulte el tema que trata acerca de la planeación e implementación de los Servicios de dominio de Active Directory para sucursales ﴾http://go.com/fwlink/?LinkID=93578. KCC crea automáticamente conexiones de replicación entre los controladores de dominio de otro sitio. una de las dificultades administrativas que sacó a la luz la topología de concentrador y radio en versiones anteriores del sistema operativo Windows Server es que. Los sitios deben enlazarse manualmente a otros sitios mediante vínculos a sitios de manera que los controladores de dominio de un sitio puedan replicar los cambios de directorio de los controladores de dominio de otro sitio. la topología entre sitios es una estructura de árboles de expansión en capas. Las conexiones de replicación creadas por el KCC se distribuyen aleatoriamente entre todos los candidatos a servidores cabeza de puente de un sitio para compartir la carga de trabajo de replicación.microsoft. la funcionalidad normal de KCC proporciona un cierto reequilibrado. De manera predeterminada. La nueva funcionalidad está habilitada de manera predeterminada. Cuando dos sitios están conectados mediante un vínculo a sitios. que reciben el nombre de servidores cabeza de puente.blob. KCC crea objetos de conexión automáticamente. Por otra parte. Debido a que los vínculos a sitios no se corresponden con la ruta de acceso real que usan los paquetes de red en la red física durante la replicación.core. En cada controlador de dominio. Los servidores cabeza de puente no tienen que replicarse desde el RODC. KCC se ejecuta en los intervalos especificados para ajustar la topología de replicación con los cambios que se producen en AD DS. después de agregar un nuevo controlador de dominio cabeza de puente al concentrador. Los sitios pueden hospedar controladores de dominio de más de un dominio y un dominio puede estar representado en más de un sitio. Site Los sitios son objetos de Active Directory que representan una o más subredes TCP/IP con conexiones de red rápidas y altamente confiables. 0 = deshabilitada Para obtener más información sobre el funcionamiento de estas mejoras del KCC.html 62/80 . todos los controladores de dominio de un sitio que hospedan la misma partición de directorio son candidatos a ser elegidos servidores cabeza de puente. Vínculo a sitios Los vínculos a sitios son objetos de Active Directory que representan rutas de acceso lógicas que KCC usa para establecer una conexión para la replicación de Active Directory.microsoft. KCC crea rutas de replicación mediante la creación de objetos de conexión de entrada unidireccionales que definen las conexiones desde otros controladores de dominio. se configuran vínculos a sitios entre ellos y un KCC en cada sitio crea automáticamente las conexiones entre los sitios. no es necesario crear vínculos a sitios redundantes para mejorar la eficacia de replicación de Active Directory. Mejoras del KCC para los RODC en Windows Server 2008 KCC incluye varias mejoras para admitir el nuevo controlador de dominio de sólo lectura ﴾RODC﴿ de Windows Server 2008. no hay un mecanismo automático que redistribuya las conexiones de replicación entre los controladores de dominio de sucursal y los controladores de dominio de concentrador para aprovechar las ventajas del nuevo controlador de dominio de concentrador. KCC crea conexiones temporales con otros asociados de replicación ﴾si están disponibles﴿ para garantizar que la replicación tiene lugar.windows. consulte la referencia técnica de la topología de replicación de Active Directory ﴾http://go. como cuando se agregan nuevos controladores de dominio y se crean sitios.microsoft. el sistema de replicación automáticamente crea conexiones entre determinados controladores de dominio de cada sitio. La información del sitio permite a los administradores configurar el acceso y la replicación en Active Directory para optimizar el uso de la red física. Si ninguno de los controladores de dominio de un sitio está disponible. Una de las ventajas de implementar RODC en este escenario es la replicación unidireccional. Los objetos de subred de AD DS identifican las direcciones de red que se usan para asignar los equipos a los sitios. lo que significa que existe una conexión entre dos sitios dados para cualquier partición del directorio y generalmente no contiene conexiones directas. Todos los sitios incluidos en el vínculo a sitios se consideran conectados por el mismo tipo de red. http://pabprod. Las subredes agrupan los equipos de una manera que identifica su proximidad física en la red. Para los controladores de dominio de Windows Server 2003. Sin embargo. La topología de replicación de Active Directory que más se implementa en este escenario se basa en un diseño de concentrador y radio donde los controladores de dominio de sucursal de varios sitios se replican con un pequeño número de servidores cabeza de puente en un sitio de concentrador. puede estar en inglés﴿. sin intervención administrativa.exe. Funcionalidad de conmutación por error Los sitios garantizan que la replicación se enruta cuando la red no funciona y los controladores de dominio están sin conexión. consulte Planeación de la ubicación de los servidores de catálogo global. Para obtener más información sobre cuándo se debe usar el almacenamiento en caché de la pertenencia al grupo universal. dos sitios desconectados establecerían las conexiones de replicación con el controlador de dominio y no usarían el puente. que se encuentra en las propiedades de los contenedores de transporte entre sitios IP y SMTP ﴾Protocolo simple de transferencia de correo﴿. Un puente de vínculos a sitios crea una conexión lógica entre dos vínculos a sitios. Al habilitar el almacenamiento en caché de la pertenencia al grupo universal se elimina la necesidad de tener un servidor de catálogo global en todos los sitios de un dominio.windows. Los puentes de vínculos a sitios permiten que se repliquen entre sí controladores de dominio que no están conectados directamente mediante un vínculo de comunicación. Por lo general. Cada puente representa un entorno de comunicación aislado para el tráfico de red. Para el generador de topología entre sitios ﴾ISTG﴿. lo que minimiza el uso del ancho de banda de la red.html 63/80 . la replicación continuará a través de los vínculos a sitios combinados hasta que el KCC quite los vínculos. Nota La replicación SMTP no se admitirá en futuras versiones de AD DS. De manera predeterminada el KCC puede crear una ruta transitiva a través de todos y cada uno de los vínculos a sitios que tienen sitios en común. un servidor de catálogo global almacena una réplica de sólo lectura parcial de los demás dominios del bosque. Almacenamiento en caché de pertenencia a grupos universales El almacenamiento en caché de la pertenencia al grupo universal permite al controlador de dominio almacenar en caché la información de pertenencia al grupo universal para los usuarios. Los puentes de vínculos a sitios sólo son necesarios si un sitio contiene un controlador de dominio que hospeda una partición de directorio que no está hospedada también en un controlador de dominio de un sitio adyacente. Si la red no está completamente enrutada. Si el sitio provisional tuviese un controlador de dominio que hospedase la partición de directorio. con lo que se obtiene un costo total para la ruta de acceso resultante. Un puente de vínculos a sitios permite al KCC usar cualquier combinación de los vínculos a sitios incluidos con el fin de determinar la ruta menos costosa para interconectar las particiones de directorio que se mantienen en esos sitios. sino que transitivamente a través de un conjunto de sitios comunes. Si este comportamiento está deshabilitado. Los puentes de vínculos a sitios son un mecanismo para representar de manera lógica la conectividad física transitiva entre los sitios. El costo de cada vínculo a sitios se suma. deben crearse puentes de vínculos a sitios para evitar intentos de replicación imposibles. Como sucede con todos los controladores de dominio. Sin embargo. porque un controlador de dominio no necesita replicar todos los objetos situados en el bosque. El puente de vínculos a sitios no proporciona conectividad real con los controladores de dominio. Normalmente. no es necesario crear puentes de vínculos a sitios a menos que se desee controlar el flujo de los cambios de replicación. en cuyo caso no se necesitaría un puente de vínculos a sitios.1/9/2015 Mi colección Puente de vínculos a sitios Un puente de vínculos a sitios es un objeto de Active Directory que representa un conjunto de vínculos a sitios que se pueden comunicar a través de un transporte común. Los sitios adyacentes son dos o más sitios que están incluidos en un mismo vínculo a sitios. los que se usan con más frecuencia para buscar el objeto. Transitividad de los vínculos a sitios De forma predeterminada. También se reducen los tiempos de inicio de sesión. un servidor de catálogo global almacena réplicas de escritura completas de las particiones de directorio de esquema y configuración y una réplica de escritura completa de la partición de directorio de dominio del dominio que hospeda. porque los controladores de dominio que se autentican no siempre necesitan tener acceso a un catálogo global para obtener la información de pertenencia al grupo universal. cada vínculo a sitios representa su propia red. un puente de vínculos a sitios se corresponde con un enrutador ﴾o conjunto de enrutadores﴿ en una red IP. diferenciada y aislada. El enlace predeterminado de los vínculos a sitios se crea automáticamente y el puente no está representado por ningún objeto de Active Directory. Cuando los vínculos a sitios están conectados y las programaciones se superponen.blob. proporcionando una ruta de acceso transitiva entre dos sitios desconectados a través de un sitio provisional. pero sólo un subconjunto de los atributos.core. Esto significa que es posible conectar un sitio con otro sitio a través de una combinación de vínculos a sitios. Los controladores de dominio que ejecutan Windows Server 2008 se habilitan para almacenar en caché la pertenencia al grupo universal mediante el complemento Sitios y servicios de Active Directory. todos los vínculos a sitios son transitivos o están enlazados mediante un puente. éste sería el caso si el sitio provisional tuviese un controlador de dominio que hospedase la partición de directorio que se debe replicar. implementa el enlace automático de los vínculos a sitios. © 2015 Microsoft Recopilación de información de la red http://pabprod. Las réplicas de dominio parciales de sólo lectura contienen todos los objetos del dominio. pero un controlador de dominio que hospeda esa partición de directorio se encuentra en uno o más sitios diferentes del bosque. por lo que no recomendamos crear objetos de vínculos a sitios en el contenedor SMTP. el puente supone la conectividad física mediante el uso del sitio provisional. El puente de vínculos a sitios se usaría si el sitio provisional no tuviese un controlador de dominio que hospedase la partición de directorio y no existiese un vínculo de menor costo. Si se quita el puente de vínculos a sitios. en una red totalmente enrutada. Todos los vínculos a sitios correspondientes a un transporte específico pertenecen implícitamente a un mismo puente de vínculos a sitios para ese transporte. Los conjuntos de vínculos a sitios que se pueden tratar como una sola ruta se expresan a través de un puente de vínculos a sitios.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. el KCC crea conexiones de replicación que determinan los asociados de replicación del controlador de dominio entre los sitios. donde los sitios no están conectados directamente mediante vínculos a sitios. La opción Enlazar todos los vínculos a sitios. Además. Servidor de catálogo global Un servidor de catálogo global es un controlador de dominio que almacena información acerca de todos los objetos del bosque de forma que las aplicaciones puedan buscar en AD DS sin hacer referencia a controladores de dominio específicos donde se almacenen los datos solicitados. El puente no supone que un controlador de dominio del sitio provisional vaya a proporcionar la ruta de acceso de replicación. com/fwlink/?LinkID=102558. pregunte al grupo responsable de la red.windows. consulte el tema que trata acerca de la supervisión del tráfico de red ﴾http://go.zip y abra el documento de ubicaciones geográficas y vínculos de comunicación ﴾DSSTOPO_1. Para obtener una lista de los tipos de circuitos WAN comunes y sus anchos de banda. planee dónde desea colocar los controladores de dominio. como el Monitor de red. la velocidad del vínculo y el ancho de banda disponible entre las ubicaciones. los dominios representados en cada ubicación y el número de usuarios de cada dominio representado en cada ubicación. Windows Server 2008 admite los prefijos de subred IP versión 6 ﴾IPv6﴿. y comunicarse con dicho grupo con regularidad para conocer la topología de la red física. Si desea obtener una hoja de trabajo que le ayude a enumerar los prefijos de subred IPv6. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. que es el siguiente paso del proceso de diseño de la topología del sitio.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. que tiene previsto colocar un controlador de dominio regional en una ubicación que tiene más de 100 usuarios de dominio regional de manera que puedan seguir iniciando sesión en el dominio si deja de funcionar el vínculo WAN. En dicho mapa. AD DS asocia una estación de trabajo a un sitio mediante la comparación de la dirección IP de la estación de trabajo con las subredes que están asociadas a cada sitio.zip y abra el documento para los dominios y usuarios de cada ubicación ﴾DSSTOPO_3. puede estar en inglés﴿. Documente cada ubicación y las ubicaciones restantes que están vinculadas a ésta.microsoft. Para obtener información acerca de la instalación del Monitor de red.core. http://pabprod. Lista de los dominios y del número de usuarios de cada ubicación El número de usuarios de cada dominio regional representado en una ubicación es uno de los factores que determinan la ubicación de los controladores de dominio regionales y los servidores de catálogo global.html 64/80 . Puede obtener una hoja de trabajo donde le resultará fácil enumerar los vínculos de comunicación y el ancho de banda disponible en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go. Windows Server 2008 R2 El primer paso para diseñar una topología de sitio eficaz en los Servicios de dominio de Active Directory ﴾AD DS﴿ es consultar al grupo que es responsable de la red de la organización con el fin de recopilar información. Lista de vínculos de comunicación y ancho de banda disponible Una vez que disponga de un mapa de ubicación. © 2015 Microsoft Planeación de la ubicación de los controladores de dominio Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Puede obtener una hoja de trabajo donde le resultará fácil enumerar los dominios y el número de usuarios representados en cada ubicación en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go. Nota Además de direcciones IP versión 4 ﴾IPv4﴿. El ancho de banda disponible es la cantidad de ancho de banda que AD DS puede usar actualmente.com/fwlink/?LinkId=107058. Windows Server 2008 R2 Una vez que haya recopilado toda la información de la red que usará para diseñar la topología del sitio.doc﴿. Creación de un mapa de ubicación Cree un mapa de ubicación donde se represente la infraestructura de red física de la organización. Anote también el tipo de vínculo de comunicación y el ancho de banda disponible. Necesitará esta información para crear vínculos de sitio más adelante.doc﴿. consulte Apéndice A: Ubicaciones y prefijos de subred. Puede preguntar cuál es el ancho de banda disponible al grupo responsable de la red o puede analizar el tráfico de cada vínculo con ayuda de un analizador de protocolos. puede estar en inglés﴿. Lista de las subredes IP de cada ubicación Después de documentar los vínculos de comunicación y el ancho de banda disponible entre las ubicaciones.com/fwlink/?LinkID=102558.microsoft. Puede obtener una hoja de trabajo donde le resultará fácil enumerar las subredes IP de cada ubicación en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go. Si todavía no conoce la dirección IP y la máscara de subred de cada ubicación. Supongamos.zip y abra el documento de ubicaciones y subredes ﴾DSSTOPO_2. por ejemplo. AD DS examina también sus direcciones IP y los coloca en el sitio más apropiado.doc﴿. los controladores de dominio regionales.blob.1/9/2015 Mi colección Actualizado: abril de 2008 Se aplica a: Windows Server 2008. identifique las ubicaciones geográficas que contienen grupos de equipos con conectividad interna de 10 megabits por segundo ﴾Mbps﴿ o más ﴾velocidad de red de área local ﴾LAN﴿ o superior﴿. puede estar en inglés﴿. Solicite una topología de la red de área extensa ﴾WAN﴿ al grupo responsable de la red.com/fwlink/?LinkID=102558. Tome nota de las ubicaciones. consulte la sección sobre determinación del costo en el tema Creación del diseño de los vínculos a sitios. tome nota de las subredes IP de cada ubicación.microsoft.microsoft. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. los propietarios de las funciones del maestro de operaciones y los servidores de catálogo global. documente el tipo de vínculo de comunicación. A medida que se agregan controladores de dominio a un dominio. incluidos los controladores de dominio raíz del bosque. puede estar en inglés﴿. Ancho de banda se refiere a la cantidad de datos que se pueden transmitir a través de un canal de comunicación en un tiempo dado. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. en el proceso de diseño de la topología del sitio. que es un componente que se incluye con Windows Server 2008. puede agregar un controlador de dominio raíz del bosque a esa ubicación o crear una confianza directa entre ambos dominios. consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 ﴾http://go.com/fwlink/?LinkId=89027. Para obtener más información acerca de cómo implementar un RODC. Un RODC es un tipo de controlador de dominio nuevo que hospeda particiones de sólo lectura de la base de datos de Active Directory. Para obtener más información sobre la implementación del dominio raíz del bosque.microsoft.microsoft. no se pueden efectuar cambios en la base de datos almacenada en el RODC.html 65/80 . Puede obtener una hoja de trabajo donde le resultará fácil documentar la ubicación del controlador de dominio raíz del bosque en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go. puede estar en inglés﴿. Si los usuarios de una ubicación dada necesitan tener acceso a los recursos de otros dominios que se encuentran en la misma ubicación y la disponibilidad de la red entre el centro de datos y la ubicación de los usuarios no es confiable.doc﴿. Nota En esta guía no se explica la manera de determinar cuál es el número adecuado de controladores de dominio ni los requisitos de hardware del controlador de dominio de cada dominio representado en cada sitio.zip y abra el documento para ubicar controladores de dominio ﴾DSSTOPO_4. a menos que haya otros motivos para colocar el controlador de dominio raíz del bosque en esa ubicación.1/9/2015 Mi colección En Windows Server 2008. Es más rentable crear una confianza directa entre los dominios.microsoft. puede estar en inglés﴿.windows.blob. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. Necesitará consultar esta información cuando cree el dominio raíz del bosque. No obstante. que normalmente tienen pocos usuarios. Coloque los controladores de dominio raíz del bosque en ubicaciones de concentradores y en ubicaciones que hospeden centros de datos.microsoft. un RODC contiene todos los objetos y atributos de Active Directory que se guardan en un controlador de dominio de escritura. puede estar en inglés﴿. puede estar en inglés﴿. consulte el tema que trata acerca de la planeación de la capacidad de los controladores de dominio ﴾http://go.microsoft. Las confianzas directas ayudan a optimizar las solicitudes de autenticación que realicen usuarios ubicados en cualquiera de los dos dominios. © 2015 Microsoft Planeación de la ubicación de los controladores de dominio regionales Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Un RODC está diseñado principalmente para su implementación en entornos de oficinas remotas o sucursales. Para obtener más información acerca de las características de los RODC.com/fwlink/?LinkId=107061. Para obtener más información acerca de las confianzas directas entre dominios. En esta sección Planeación de la ubicación del controlador de dominio raíz del bosque Planeación de la ubicación de los controladores de dominio regionales Planeación de la ubicación de los servidores de catálogo global Planeación de la ubicación de las funciones del maestro de operaciones © 2015 Microsoft Planeación de la ubicación del controlador de dominio raíz del bosque Actualizado: abril de 2008 Se aplica a: Windows Server 2008.com/fwlink/?LinkID=106616.com/fwlink/?LinkId=89028.microsoft.com/fwlink/?LinkID=92728. consulte la Guía paso a paso para controladores de dominio de sólo lectura ﴾http://go.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.com/fwlink/?LinkID=102558. puede estar en inglés﴿.core. consulte el tema donde se describe cuándo se debe crear una confianza directa ﴾http://go. Los cambios deben efectuarse en un controlador de dominio de escritura y después deben volver a replicarse en el RODC. consulte el tema sobre AD DS que trata acerca de los controladores de dominio de sólo lectura ﴾http://go. puede estar en inglés﴿. Para obtener más información sobre cómo determinar el número adecuado de controladores de dominio para cada dominio que está representado en cada sitio. Windows Server 2008 R2 Los controladores de dominio raíz del bosque son necesarios para crear rutas de acceso de confianza para los clientes que deben obtener acceso a recursos en dominios que no son los suyos. Salvo las contraseñas de cuenta. relativamente poco ancho de banda con el sitio del concentrador y personal con conocimientos limitados de tecnologías de la información ﴾TI﴿. Windows Server 2008 R2 http://pabprod. poca seguridad física. también puede aprovechar las ventajas de los controladores de dominio de sólo lectura ﴾RODC﴿. La implementación de RODC mejora la seguridad y la eficacia del acceso a los recursos de la red. core. Además. compruebe la seguridad física de los controladores de dominio de las ubicaciones de concentrador y satélite de forma que no estén accesibles para el personal no autorizado. la solución recomendada suele ser la implementación de un RODC. Disponibilidad de experiencia técnica in situ Los controladores de dominio requieren una administración continua por varias razones. Para autenticar el acceso y los inicios de sesión de cliente en los servidores de archivos locales. un RODC contiene todos los objetos y atributos de Active Directory que se guardan en un controlador de dominio de escritura. la colocación de un controlador de dominio en la ubicación depende de los requisitos de rendimiento del inicio de http://pabprod. Una persona con acceso físico a un controlador de dominio de escritura puede atacar el sistema de las siguientes formas: Puede tener acceso a los discos físicos si inicia un sistema operativo alternativo en un controlador de dominio. Rendimiento del inicio de sesión a través de vínculos WAN Si la disponibilidad del vínculo WAN es muy alta. no se pueden efectuar cambios en la base de datos almacenada en el RODC.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Disponibilidad de la autenticación Algunas organizaciones. el usuario de la sucursal no puede iniciar sesión en otro controlador de dominio ni realizar otras tareas de administración en el dominio. Agregue controladores de dominio regionales de escritura sólo en las ubicaciones donde pueda garantizar su seguridad física. se reducen los costos de soporte técnico asociados al mantenimiento de infraestructuras de servidores remotos. coloque un controlador de dominio regional en las ubicaciones donde los usuarios requieran la posibilidad de iniciar sesión o cambiar el acceso al servidor cuando el vínculo WAN no sea funcional. la solución recomendada es implementar un controlador de dominio de sólo lectura ﴾RODC﴿.blob. Disponibilidad del enlace WAN Los vínculos WAN que experimentan interrupciones con frecuencia pueden provocar pérdidas de productividad significativas para los usuarios si la ubicación no incluye un controlador de dominio que pueda autenticarlos. No ubique controladores de dominio de escritura en ubicaciones de concentrador y satélite donde no se pueda garantizar la seguridad física del controlador de dominio. En la ilustración siguiente se muestra cómo determinar si se deben colocar controladores de dominio en ubicaciones satélite. se puede delegar en el usuario de la sucursal la capacidad de administrar eficazmente el RODC de la sucursal sin poner en peligro la seguridad del resto del dominio o del bosque.html 66/80 . Puede quitar ﴾y posiblemente reemplazar﴿ los discos físicos de un controlador de dominio. Los permisos administrativos locales de un RODC se pueden delegar en cualquier usuario del dominio sin tener que concederle derechos de usuario para el dominio ni para otros controladores de dominio. No obstante.windows. Sin embargo. Coloque los controladores de dominio regionales únicamente en ubicaciones que dispongan de personal que pueda administrarlos o asegúrese de que se puedan administrar de manera remota.1/9/2015 Mi colección Para garantizar la rentabilidad. como los bancos. Si la disponibilidad del vínculo WAN no es del 100 por cien y los sitios remotos no pueden tolerar una interrupción del servicio. Si se eliminan los controladores de dominio regionales innecesarios de las ubicaciones satélite. En ubicaciones cuya seguridad física es inadecuada. De esta manera. como actualizar un controlador. Primero revise la hoja de trabajo de ubicaciones geográficas y vínculos de comunicación ﴾DSSTOPO_1. Piense en designar controladores de dominio regionales para cada dominio representado en cada ubicación de concentrador. Los cambios deben efectuarse en un controlador de dominio de escritura y después deben volver a replicarse en el RODC. Salvo las contraseñas de cuenta. use el menor número de controladores de dominio regionales que sea posible. En los entornos de sucursal. Puede obtener y manipular una copia de la copia de seguridad del estado del sistema de un controlador de dominio. evalúe la necesidad de colocar controladores de dominio regionales en las ubicaciones satélite. deben tenerse en cuenta muchas variables a la hora de evaluar si una ubicación empresarial requiere que sus clientes se autentiquen localmente o si la autenticación y las consultas de los clientes se pueden realizar a través de un vínculo de red de área extensa ﴾WAN﴿. Una vez que sitúe los controladores de dominio regionales en todas las ubicaciones de concentrador.doc﴿ que usó en el tema Recopilación de información de la red para determinar si una ubicación es un concentrador. Esto permite que un usuario de una sucursal local inicie sesión en un RODC y lleve a cabo tareas de mantenimiento en el servidor. Coloque un controlador de dominio regional en una ubicación donde la disponibilidad del vínculo WAN no sea del 100 por cien y los usuarios necesiten autenticarse en todo momento. requieren que los usuarios estén autenticados en todo momento. No obstante. la mayoría de las organizaciones designan controladores de dominio regionales para todos los dominios regionales que están representados en una ubicación dada. donde normalmente la seguridad física es insuficiente y el personal carece de conocimientos de tecnologías de la información. existe la posibilidad de centralizar los controladores de dominio de ese dominio y no colocar controladores de dominio regionales en la ubicación o la posibilidad de colocar controladores de dominio de sólo lectura ﴾RODC﴿ en la ubicación. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. y un usuario puede ser miembro de un grupo universal que existe en un dominio diferente. Número de usuarios y perfiles de uso El número de usuarios y los perfiles de uso de una ubicación dada pueden ayudar a determinar si es necesario colocar controladores de dominio regionales en esa ubicación. Si el uso de ancho de banda promedio de un vínculo de red supera un valor admisible.blob. y características tales como las carpetas sin conexión. el número de usuarios y sus perfiles de uso. Coloque un controlador de dominio en una ubicación si el rendimiento del inicio de sesión a través del vínculo WAN es inaceptable. el número y tamaño de los objetos de directiva de grupo ﴾GPO﴿. considere el caso de una red que tiene sucursales conectadas a la oficina central a través de vínculos lentos y donde se pueden agregar fácilmente controladores de dominio. Esta condición especial de los bosques de un solo dominio se da por diseño. compare el costo del tráfico de inicio de sesión generado en una ubicación sin controlador de dominio y el costo del tráfico de replicación que se genera cuando se coloca un controlador de dominio en esa ubicación. Algunos de los factores que influyen en el rendimiento del inicio de sesión a través del vínculo WAN son el ancho de banda disponible y la velocidad del vínculo. uso de CPU o tráfico de replicación adicionales. © 2015 Microsoft Planeación de la ubicación de los servidores de catálogo global Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Como todos los controladores de dominio almacenan la única partición de directorio de dominio del bosque. el redireccionamiento de carpetas y los perfiles móviles. el cliente genera tráfico de inicio de sesión en la red. siempre que un usuario use Inicio\Buscar\Personas o Buscar impresoras o expanda Grupos universales. Tráfico de red para el inicio de sesión y tráfico de replicación Si un controlador de dominio no está disponible en la misma ubicación que el cliente de Active Directory.1/9/2015 Mi colección sesión a través del vínculo WAN. Los perfiles de usuario indican cómo emplean los usuarios los recursos de la red. En un bosque de un solo dominio. En la ilustración siguiente se muestra cómo determinar qué ubicaciones requieren servidores de catálogo global. impresoras o volúmenes. lo recomendable sería agregar un controlador de dominio a la sucursal. Velocidad del vínculo WAN y uso de ancho de banda Las actividades de un solo usuario pueden congestionar un vínculo WAN lento. consulte el tema que trata sobre la implementación de dominios regionales de Windows Server 2008 ﴾http://go. sólo los controladores de dominio que hayan sido designados servidores de catálogo global pueden responder a consultas de catálogo global en el puerto de catálogo global 3268. Sin embargo. puede estar en inglés﴿.microsoft. Para simplificar la administración en este escenario y para garantizar la coherencia en las respuestas. todos los controladores de dominio actúan como servidores de catálogo global virtuales. Si la reducción de los costos de mantenimiento de los controladores de dominio es más importante que el tráfico de la red.zip y abra el documento de ubicación de controladores de dominio ﴾DSSTOPO_4. coloque controladores de dominio regionales en las ubicaciones con 100 usuarios o más. Para evitar pérdidas de productividad si el vínculo WAN deja de funcionar.microsoft. los scripts de inicio de sesión. En concreto. El porcentaje promedio de uso de ancho de banda indica la congestión de un vínculo de red.com/fwlink/?LinkID=102558. Necesitará consultar la información sobre las ubicaciones donde necesita colocar controladores de dominio regionales cuando implemente los dominios regionales. Las solicitudes de autenticación no requieren el contacto con un servidor de catálogo global como sucede cuando hay varios dominios. http://pabprod. Windows Server 2008 R2 A menos que se disponga de un bosque con un solo dominio. coloque un controlador de dominio en esa ubicación. como las pertenencias a grupos. Por otra parte. la ubicación del catálogo global requiere planeación.core. puede estar en inglés﴿. no tendrá que preocuparse de qué controladores de dominio pueden responder a las consultas de catálogo global. Los distintos tipos de actualizaciones que pueden tener lugar en las particiones hospedadas en los controladores de dominio son agregar o cambiar usuarios y atributos de usuario.doc﴿. En bosques con varios dominios. configure todos los controladores de dominio como servidores de catálogo global. En un bosque de un solo dominio. si designa todos los controladores de dominio servidores de catálogo global. Para obtener más información sobre la implementación de dominios regionales. Puede obtener una hoja de trabajo donde le resultará fácil documentar la ubicación de los controladores de dominio regionales y el número de usuarios de cada dominio representado en cada ubicación en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go. todos ellos pueden responder a cualquier solicitud de autenticación o servicio. estas solicitudes se dirigen sólo al catálogo global. Si el tráfico diario que representan el inicio de sesión y las búsquedas de directorio de unos pocos usuarios de sitios remotos genera más tráfico de red que la replicación de todos los datos de la empresa en la sucursal. la configuración de cada controlador de dominio como servidor de catálogo global no implica el uso de espacio de disco. Por ejemplo.com/fwlink/?LinkId=89029. los servidores de catálogo global facilitan las solicitudes de inicio de sesión de los usuarios y las búsquedas en todo el bosque. y la cantidad de tráfico de red para el inicio de sesión frente al tráfico de replicación.windows. Para determinar si es necesario colocar un controlador de dominio regional en una ubicación. es decir. No es necesario colocar un controlador de dominio en una ubicación con pocos usuarios que no tienen acceso a los recursos de la red con frecuencia. un controlador de dominio que se encuentra en una ubicación dada genera tráfico de replicación en la red. y agregar o cambiar grupos globales. cambiar contraseñas.html 67/80 . La frecuencia y cantidad de las actualizaciones que se efectúan en las particiones hospedadas en los controladores de dominio influyen en la cantidad de tráfico de replicación que se genera en la red.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. La cantidad de tráfico de inicio de sesión que se genera en la red física se ve afectado por varios factores. no ofrecen una respuesta adecuada a través de vínculos de red de área extensa ﴾WAN﴿ latentes y.1/9/2015 Mi colección Incorporación de servidores de catálogo global en función de los requisitos de aplicación Algunas aplicaciones. Si en las ubicaciones hay aplicaciones que no ofrecen la respuesta adecuada a través de un vínculo WAN.core.windows. Exchange Server 2003 también omite los RODC en condiciones predeterminadas en que los componentes de Exchange detectan automáticamente los controladores de dominio disponibles. coloque un catálogo global en una ubicación visitada por un gran número de usuarios móviles. debe colocar un servidor de catálogo global en la ubicación para reducir la latencia de consulta. Nota Es posible aumentar el nivel de los controladores de dominio de sólo lectura ﴾RODC﴿ al estado de servidor de catálogo global. Microsoft Exchange Server funciona en entornos que incluyen RODC. que tiene menos de 100 usuarios y que también está conectada a otra ubicación que tiene un servidor de catálogo global a través de un vínculo WAN que está disponible al 100 por cien para los Servicios de dominio de Active Directory ﴾AD DS﴿. Message Queue Server ﴾también conocido como MSMQ﴿ y las aplicaciones que usan DCOM. sin un gran número de usuarios móviles o aplicaciones que requieran un servidor de catálogo global. siempre cuando estén disponibles controladores de dominio de escritura.microsoft. Asegúrese de que los servidores de catálogo global no estén a más de un salto de replicación del controlador de dominio en el que se ha habilitado el almacenamiento en caché de la pertenencia al grupo universal de manera que se pueda actualizar la información de grupo universal de la memoria caché. Determine si en las ubicaciones hay aplicaciones que presenten un bajo rendimiento a través de un vínculo WAN lento o si las ubicaciones requieren Microsoft Exchange Server. intentar que los servicios y herramientas de administración de Exchange Server 2003 usen RODC de manera forzada puede tener resultados imprevisibles. Sin embargo. En este caso. consulte el tema que trata acerca del funcionamiento del catálogo global ﴾http://go. No se hizo ningún cambio en Exchange Server 2003 para que reconozca los servidores de directorio de sólo lectura. como Microsoft Exchange. precisan de una infraestructura de catálogo global de alta disponibilidad para proporcionar una latencia de consulta baja. Por ejemplo. Los usuarios móviles necesitan establecer contacto con los servidores de catálogo global siempre que inician sesión por primera vez en cualquier ubicación. por lo tanto.html 68/80 .net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.com/fwlink/?LinkId=107063. ninguna versión de Microsoft Exchange Server usa RODC. los usuarios pueden tener acceso al servidor de catálogo global a través del vínculo WAN. Por lo tanto. Sin embargo. puede implementar controladores de dominio que ejecuten Windows Server 2008 y habilitar el almacenamiento en caché de la pertenencia al grupo universal. puede estar en inglés﴿. Para obtener información acerca del funcionamiento del almacenamiento en caché del grupo universal. Si el tiempo de inicio de sesión a través del vínculo WAN es inaceptable. algunas aplicaciones habilitadas para directorio no admiten un RODC como servidor de catálogo global. Incorporación de servidores de catálogo global para un gran número de usuarios Coloque servidores de catálogo global en todas las ubicaciones que contengan más de 100 usuarios con el fin de reducir la congestión de los vínculos WAN de la red y evitar las pérdidas de productividad si los vínculos WAN dejan de funcionar.blob. Habilitación del almacenamiento en caché de la pertenencia al grupo universal En el caso de ubicaciones con menos de 100 usuarios. Uso de ancho de banda de alta disponibilidad No es necesario que coloque un catálogo global en una ubicación que no tiene aplicaciones que requieran un servidor de catálogo global. Puede obtener una hoja de trabajo donde le resultará fácil documentar dónde tiene previsto ubicar los servidores de catálogo global y los controladores de dominio con el almacenamiento en caché de la pertenencia al grupo universal habilitado en la página donde se incluyen los recursos auxiliares para el Kit de implementación de http://pabprod. Exchange Server 2007 omite eficazmente los RODC. Windows Server 2008 R2 Los Servicios de dominio de Active Directory ﴾AD DS﴿ admiten la replicación de los datos de directorio con varios maestros. El maestro de operaciones de identificadores relativos ﴾RID﴿ mantiene el conjunto de RID global del dominio y asigna conjuntos de RID locales a todos los controladores de dominio para garantizar que todas las entidades de seguridad creadas en el dominio tengan un identificador único. lo que significa que cualquier controlador de dominio puede aceptar cambios de directorio y replicar los cambios en todos los demás controladores de dominio. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. Aunque todos los controladores de dominio se actualicen a Windows 2000. Aparte de las tres funciones de maestro de operaciones existentes en el nivel de dominio. puede estar en inglés﴿. También debería designar maestros de operaciones de reserva ﴾alternativos﴿ para todas las funciones de maestro de operaciones. denominados maestros de operaciones.core. Sólo un controlador de dominio actúa como emulador del PDC en cada dominio del bosque.doc﴿.windows. ese controlador de dominio reenvía la solicitud de autenticación al emulador del PDC antes de decidir si acepta o rechaza el intento de inicio de sesión. En cada dominio existen tres funciones de maestro de operaciones. Las dos funciones de nivel de bosque ﴾maestro de esquema y maestro de nomenclatura de dominio﴿ se asignan al primer controlador de dominio que se crea en un bosque. Planeación de la ubicación del emulador del PDC El emulador del PDC procesa los cambios de contraseña de los clientes. Para evitarlo.zip y abra el documento de ubicación de controladores de dominio ﴾DSSTOPO_4. maestro de infraestructura y maestro de emulador del PDC﴿ se asignan al primer controlador de dominio que se crea en un dominio.1/9/2015 Mi colección Windows Server 2003 ﴾http://go. El maestro de operaciones de infraestructura de un dominio dado mantiene una lista de las entidades de seguridad de otros dominios que son miembros de grupos dentro de su dominio. asigne ﴾transfiera﴿ las funciones de maestro de operaciones a varios controladores de dominio del bosque o del dominio.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. llamadas también operaciones FSMO ﴾Flexible Single Master Operations﴿. Asegúrese de que los maestros de operaciones de reserva sean asociados de replicación directos de los maestros de operaciones reales. Debido a la naturaleza de sólo lectura de la base de datos de Active Directory en un controlador de dominio de sólo lectura ﴾RODC﴿. El maestro de operaciones de nomenclatura de dominio agrega y quita dominios y otras particiones de directorio ﴾por ejemplo.html 69/80 .microsoft. El maestro de operaciones de emulador del controlador de dominio principal ﴾PDC﴿ procesa todas las actualizaciones de contraseña. © 2015 Microsoft Planeación de la ubicación de las funciones del maestro de operaciones Actualizado: junio de 2010 Se aplica a: Windows Server 2008. adoptan las funciones responsables de aceptar las solicitudes de determinados cambios. en cada bosque hay dos funciones de maestro de operaciones: El maestro de operaciones de esquema controla los cambios del esquema. Si una contraseña se ha modificado recientemente.blob. algunos cambios. Por este motivo. el emulador del PDC recibe la replicación preferente de los cambios de contraseña realizados por otros controladores de dominio del dominio. como pueden ser las modificaciones del esquema.com/fwlink/?LinkID=102558. Estas asignaciones automáticas de funciones de maestro de operaciones generan un uso de CPU muy elevado en el primer controlador de dominio creado en el bosque o en el dominio. Consulte la información acerca de las ubicaciones en las que es necesario colocar servidores de catálogo global cuando implemente el dominio raíz del bosque y los dominios regionales. Coloque los controladores de dominio que hospedan estas funciones de maestro de operaciones en áreas donde la confiabilidad de la red sea elevada y asegúrese de que el maestro de emulador del PDC y el maestro de RID estén siempre disponibles. Windows Server 2003 y Windows Server 2008 y el dominio opere en el nivel funcional nativo de Windows 2000. las tres funciones de nivel de dominio ﴾maestro de RID. Los maestros de operaciones de reserva son controladores de dominio a los que se pueden transferir las funciones del maestro de operaciones si dejan de funcionar los propietarios originales de las funciones. los RODC no pueden actuar como propietarios de funciones del maestro de operaciones. Por otro lado. las particiones del directorio de aplicaciones del Sistema de nombres de dominio ﴾DNS﴿﴿ en el bosque. Sin embargo. Nota Los propietarios de las funciones del maestro de operaciones deben poder escribir cierta información en la base de datos de Active Directory. Si se produce un error en la autenticación de inicio de sesión en otro controlador de dominio debido a que la contraseña es incorrecta. Los propietarios de funciones del maestro de operaciones se asignan automáticamente cuando se crea el primer controlador de dominio de un dominio dado. no son practicables con el modelo de varios maestros. algunos controladores de dominio. Coloque los controladores de dominio que hospeden funciones de maestro de operaciones en áreas donde la red sea confiable y donde los maestros de operaciones estén accesibles para los demás controladores de dominio del bosque. http://pabprod. ese cambio tarda en replicarse en todos los controladores de dominio del dominio. Ubicación del maestro de operaciones en redes con conectividad limitada Debe saber que.com/fwlink/?LinkId=89028.microsoft. Para obtener más información sobre la implementación de dominios regionales. DNS o personalizadas. el segundo dominio no recibe ninguna notificación de que es necesario actualizar el nombre del usuario en la lista de pertenencias del grupo. si el bosque tiene un solo dominio. el maestro de infraestructura realiza la actualización y después replica el cambio en los demás controladores de dominio de su dominio. No coloque el maestro de infraestructura en un controlador de dominio que sea también servidor de catálogo global.doc﴿. el controlador de dominio que hospeda la función de maestro de infraestructura es intrascendente. El maestro de infraestructura supervisa constantemente las pertenencias a grupos. porque no existen entidades de seguridad de otros dominios. Debido a que los controladores de dominio de un dominio no replican las entidades de seguridad en los controladores de dominio de otro dominio. Los controladores de dominio de los sitios C y D no pueden realizar cambios en el esquema. Si encuentra una. El maestro de infraestructura nunca encontrará datos que estén desactualizados. comprueba en el dominio de la entidad de seguridad si la información está actualizada. por lo que nunca replicará ningún cambio en los demás controladores de dominio del dominio. Puede obtener una hoja de trabajo donde le resultará fácil planear la ubicación de las funciones del maestro de operaciones en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go. crear objetos de subred y asociar las subredes a los sitios. Los controladores de dominio de los sitios C y D no pueden agregar ni quitar particiones de aplicaciones de directorio. Necesitará consultar esta información cuando cree el dominio raíz del bosque y los dominios regionales. si un usuario de un dominio es miembro de un grupo de un segundo dominio y se modifica el nombre del usuario en el primer dominio. si en el entorno hay una ubicación central o un sitio de concentrador donde se puedan colocar los propietarios de las funciones del maestro de operaciones.com/fwlink/?LinkId=89029. La primera es que. Para obtener más información sobre la implementación de dominios regionales. el maestro de infraestructura no funcionará. por ejemplo. asegúrese de que la ubicación esté bien conectada a otras ubicaciones para minimizar la latencia de replicación. puede estar en inglés﴿. © 2015 Microsoft Creación del diseño de un sitio Actualizado: abril de 2008 Se aplica a: Windows Server 2008. las funciones del maestro de operaciones tienen las siguientes limitaciones: Los controladores de dominio de los sitios C y D no pueden tener acceso al emulador del PDC del sitio A para actualizar una contraseña o para comprobar en él una contraseña que se ha actualizado recientemente. crear objetos de sitio. puede estar en inglés﴿. La conectividad de red refleja con exactitud la conectividad de red de los vínculos a sitios.core.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.com/fwlink/?LinkID=102558. Si el maestro de infraestructura y el catálogo global se encuentran en el mismo controlador de dominio. podrían verse afectadas algunas operaciones del controlador de dominio que dependen de la disponibilidad de esos propietarios de funciones del maestro de operaciones. Si no lo está. que una organización crea los sitios A.microsoft. el segundo dominio nunca conocerá el cambio si no está presente el maestro de infraestructura. si son necesarias. Windows Server 2008 R2 La creación del diseño de un sitio implica decidir qué ubicaciones serán sitios. porque los catálogos globales replican la información actualizada con independencia del dominio al que pertenezcan.doc﴿. C y D. Existen vínculos a sitios entre A y B. Necesitará consultar la información sobre las ubicaciones donde necesita colocar emuladores de PDC cuando implemente los dominios regionales. y entre C y D.com/fwlink/?LinkID=102558.blob.com/fwlink/?LinkId=89029. La segunda es que. puede estar en inglés﴿. Además. En este ejemplo.microsoft. todas las funciones del maestro de operaciones se encuentran en el sitio A y la opción Enlazar todos los vínculos a sitios no está activada. consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 ﴾http://go. puede estar en inglés﴿. Aunque con esta configuración la replicación entre todos los sitios es correcta. Supongamos. entre B y C. consulte el tema que trata sobre la implementación de dominios regionales de Windows Server 2008 ﴾http://go. Para obtener más información sobre la implementación del dominio raíz del bosque.windows. consulte el tema que trata sobre la implementación de dominios regionales de Windows Server 2008 ﴾http://go. Por ejemplo. Los controladores de dominio de los sitios C y D no pueden tener acceso al maestro de RID del sitio A para obtener un conjunto de RID inicial después de la instalación de Active Directory y para actualizar los conjuntos de RID cuando se agoten. http://pabprod.zip y abra el documento de ubicación de controladores de dominio ﴾DSSTOPO_4. Puede obtener una hoja de trabajo donde le resultará fácil documentar la información sobre dónde tiene previsto ubicar los emuladores de PDC y el número de usuarios de cada dominio representado en cada ubicación en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go.zip y abra el documento de ubicación de controladores de dominio ﴾DSSTOPO_4. el controlador de dominio que hospeda la función de maestro de infraestructura es intrascendente. puede estar en inglés﴿. buscando las entidades de seguridad en otros dominios.1/9/2015 Mi colección Coloque el emulador del PDC en una ubicación que contenga muchos usuarios de ese dominio para las operaciones de reenvío de contraseñas.microsoft. si todos los controladores de dominio son servidores de catálogo global. B.html 70/80 . Requisitos para la ubicación del maestro de infraestructura El maestro de infraestructura actualiza los nombres de las entidades de seguridad de otros dominios que se agregan a grupos de su propio dominio. Esta regla tiene dos excepciones. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.microsoft. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. zip y abra el documento de asociación de subredes a sitios ﴾DSSTOPO_6.252.windows.html 71/80 .doc﴿. planee crear objetos de subred en AD DS que representen todas las direcciones IP del sitio. Windows Server 2008 admite también los prefijos de subred IP versión 6 ﴾IPv6﴿. Cuando cree vínculos a sitios. Si una ubicación no requiere un sitio. use la lista de ubicaciones y ubicaciones vinculadas que registró en la hoja de trabajo de ubicaciones geográficas y vínculos de comunicación ﴾DSSTOPO_1. Siempre que agregue sitios a un vínculo a sitios recién creado. Para obtener más información sobre cómo se crean objetos de sitio.1/9/2015 Mi colección Decisión de qué ubicaciones serán sitios Decida para qué ubicaciones creará sitios con ayuda de la siguiente información: Cree sitios para todas las ubicaciones en las que tenga previsto colocar controladores de dominio. Después de crear el vínculo a sitios. planee crear objetos de sitio en los Servicios de dominio de Active Directory ﴾AD DS﴿. cambie el nombre del vínculo a sitios. consulte el tema que trata acerca de la creación de una subred ﴾http://go.doc﴿ que se menciona en la sección "Decisión de qué ubicaciones serán sitios" para determinar qué subred se debe asociar a cada sitio. Asocie cada objeto de subred a un objeto de sitio con ayuda de la hoja de trabajo de asociación de subredes a sitios ﴾DSSTOPO_6. Creación del diseño de un objeto de subred Para cada subred IP y máscara de subred asociadas a cada ubicación. 3FFE:FFFF:0:C000::/64.doc﴿. Debe conectar los sitios con vínculos a sitios para que los controladores de dominio de cada sitio puedan replicar los cambios de Active Directory. si convierte un sitio en miembro de Default‐First‐Site‐Link al crear el sitio inicialmente.com/fwlink/?LinkID=102558. Documente el objeto de subred de Active Directory que está asociado a cada ubicación en la hoja de trabajo de asociación de subredes a sitios ﴾DSSTOPO_6. lo que podría resultar en un enrutamiento incorrecto.doc﴿ que encontrará en Recopilación de información de la red y el tema Apéndice A: Ubicaciones y prefijos de subred. como los espacios de nombres del Sistema de archivos distribuido ﴾DFSN﴿.microsoft. usan objetos de sitio para encontrar los servidores más próximos a los clientes. Documente las ubicaciones que se convertirán en sitios en la hoja de trabajo de asociación de subredes a sitios. determine si el sitio que se agrega es miembro de otros vínculos a sitios y. puede estar en inglés﴿. el comprobador de coherencia de la información ﴾KCC﴿ tomará sus decisiones de enrutamiento según la pertenencia de ambos vínculos a sitios.core. http://pabprod.16.com/fwlink/? LinkId=107067. Además. consulte el tema que trata acerca de la creación de un sitio ﴾http://go.4. Para identificar los sitios miembro que desea conectar con un vínculo a sitios. Windows Server 2008 R2 Cree un diseño de vínculos a sitios para conectar los sitios a vínculos a sitios. la dirección IP versión 4 ﴾IPv4﴿ 172. por ejemplo.microsoft.0/22. Cree sitios para las ubicaciones que incluyen servidores que ejecutan aplicaciones que requieren que se cree un sitio. asegúrese de que todos los sitios están conectados entre sí a través de otros vínculos a sitios de manera que se puedan replicar los cambios desde los controladores de dominio de cualquier sitio a todos los demás sitios. Algunas aplicaciones. Para obtener más información acerca de las subredes IP de cada ubicación.com/fwlink/? LinkId=107068.4. Además de las direcciones IPv4. Para obtener más información sobre cómo se crean objetos de subred. puede conectarlos con el mismo vínculo a sitios. después.doc﴿. Por ejemplo. puede pasar a establecer sus propiedades. Al crear un objeto de subred de Active Directory.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Creación del diseño de un objeto de sitio Para cada ubicación en la que haya decidido crear sitios.microsoft. puede estar en inglés﴿. Si no lo hace. © 2015 Microsoft Creación del diseño de los vínculos a sitios Actualizado: abril de 2008 Se aplica a: Windows Server 2008. cree un objeto de vínculo a sitios en el contenedor de transportes entre sitios correspondiente y.16. Puede obtener una hoja de trabajo donde le resultará fácil documentar los sitios en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go. Conexión de sitios con vínculos a sitios Para conectar sitios con vínculos a sitios. cambie la pertenencia a vínculos a sitios del sitio. si es necesario. asegúrese de quitar el sitio de Default‐First‐Site‐Link después de agregar el sitio a un nuevo vínculo a sitios. Documente las ubicaciones que se convertirán en sitios y las direcciones de red y máscaras de subred de cada ubicación. puede estar en inglés﴿.255. la información acerca de la subred IP y máscara de subred se convierte automáticamente al formato de notación de longitud de prefijo de red <dirección IP>/<longitud del prefijo>. Los vínculos a sitios reflejan la conectividad entre los sitios y el método que se usa para transferir el tráfico de replicación. Consulte la información documentada en la hoja de trabajo de ubicación de controladores de dominio ﴾DSSTOPO_4. Por ejemplo. agregue la subred de la ubicación a un sitio para el cual la ubicación tenga el máximo ancho de banda disponible y la máxima velocidad de red de área extensa ﴾WAN﴿. Si hay varios sitios que tienen la misma conectividad y disponibilidad entre sí. se generará un mensaje de error en el registro del servicio de directorio del Visor de eventos para indicar que la topología del sitio no está conectada.0 se muestra como 172. Si no quita el sitio de Default‐First‐Site‐Link.0 con máscara de subred 255. asegúrese de que se incluyen todos los sitios en el vínculo a sitios. consulte la hoja de trabajo de ubicaciones y subredes ﴾DSSTOPO_2. identifique los sitios miembro que desea conectar con cada vínculo a sitios.blob. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.doc﴿ para identificar las ubicaciones que incluyen controladores de dominio. 1/9/2015 Mi colección El contenedor de transportes entre sitios proporciona la manera de asignar los vínculos a sitios al transporte que usa el vínculo. Determinación de la programación que define las horas durante las cuales puede producirse la replicación entre sitios. Determinadas aplicaciones y servicios. Cada objeto de vínculo a sitios representa una conexión de red de área extensa ﴾WAN﴿ entre dos o más sitios.doc﴿. En esta guía Configuración de las propiedades de los vínculos a sitios © 2015 Microsoft Configuración de las propiedades de los vínculos a sitios Actualizado: abril de 2008 Se aplica a: Windows Server 2008. por lo que no recomendamos crear objetos de vínculos a sitios en el contenedor SMTP. Registre en una hoja de trabajo la lista de los sitios. puede estar en inglés﴿.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.com/fwlink/?LinkID=102558. Para mantener la seguridad de los datos en el tránsito. como el ubicador de controlador de dominio ﴾DCLocator﴿ y los espacios de nombres del Sistema de archivos distribuido ﴾DFSN﴿ también usan información de costo para http://pabprod.zip y abra el documento de sitios y vínculos a sitios asociados ﴾DSSTOPO_5. puede configurar la replicación entre sitios para que use SMTP.windows. que asocia el vínculo a sitios con el transporte RPC ﴾llamada a procedimiento remoto﴿ sobre IP.core. la funcionalidad de la replicación SMTP es limitada y requiere una entidad de certificación ﴾CA﴿ de empresa. Cuando el Comprobador de coherencia de la información ﴾KCC﴿ crea objetos de conexión. Puede obtener una hoja de trabajo donde le resultará fácil registrar los nombres de los sitios y los nombres de los vínculos a sitios asociados en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go. SMTP sólo puede replicar las particiones de configuración. En esta guía Determinación del costo Determinación de la programación Determinación del intervalo © 2015 Microsoft Determinación del costo Actualizado: abril de 2008 Se aplica a: Windows Server 2008. Cuando crea un objeto de vínculo a sitios. deriva la programación de replicación desde las propiedades de los objetos de vínculo a sitios. Sin embargo. use un esquema de nomenclatura coherente. La configuración de las propiedades de objetos de vínculo a sitios abarca los siguientes pasos: Determinación del costo que se asocia a la ruta de replicación. Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services. Nota La replicación SMTP no se admitirá en futuras versiones de los Servicios de dominio de Active Directory ﴾AD DS﴿. lo hace en el contenedor IP. Windows Server 2008 R2 Asigne los valores de costo a vínculos de sitios para fomentar las conexiones menos costosas frente a las costosas. Windows Server 2008 R2 La replicación entre sitios se produce de acuerdo con las propiedades de los objetos de conexión. que asocia el vínculo a sitios con el transporte SMTP. o en el contenedor SMTP ﴾Protocolo simple de transferencia de correo﴿. Determinación del intervalo de replicación que define con qué frecuencia debe producirse la replicación durante las horas en que está permitida.microsoft. según se definió en la programación. Cuando se crea un objeto de vínculo a sitios en el contenedor de transportes entre sitios correspondiente.blob. El KCC usa el costo para determinar la ruta menos costosa para la replicación entre dos sitios que replican la misma partición de directorio. AD DS usa RPC sobre IP para transferir la replicación entre sitios y dentro del sitio entre los controladores de dominio.html 72/80 . Para asignar nombres a los vínculos a sitios. la replicación RPC sobre IP usa el protocolo de autenticación Kerberos y el cifrado de datos. Cuando no hay ninguna conexión IP directa. y no admite la replicación de particiones de directorio de dominio. los sitios vinculados y los nombres de los vínculos a sitios que conectan esos sitios. de esquema y de directorio de aplicaciones. como nombre_del_sitio1‐nombre_del_sitio2. habitualmente entre 56 Kbps y 1. Consulte la hoja de trabajo de ubicaciones geográficas y vínculos de comunicación ﴾DSSTOPO_1. medido en Kbps.doc﴿ en Recopilación de información de la red para obtener información acerca de la velocidad de conexión identificada.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d.5 megabits por segundo ﴾Mbps﴿ T1 1.core.2 798 38.   Tipo de red Velocidad Muy lenta 56 kilobits por segundo ﴾Kbps﴿ Lenta 64 Kbps Red digital de servicios integrados ﴾ISDN ﴾RDSI﴿﴿ 64 Kbps o 128 Kbps Frame Relay Velocidad variable. sino también en la disponibilidad.6 1. El cliente se pone en contacto con el controlador de dominio mediante el vínculo a sitios con el menor costo asignado.042 19. Para determinar los costos que deben asignarse a los vínculos a sitios.html 73/80 . habitualmente entre 155 Mbps y 622 Mbps 100BaseT 100 Mbps Gigabit Ethernet 1 gigabit por segundo ﴾Gbps﴿ Use la tabla siguiente para calcular el costo de cada vínculo a sitios basado en la velocidad de vínculo de la velocidad de red de área extensa ﴾WAN﴿.048 309 4.1/9/2015 Mi colección encontrar los recursos más cercanos.024 340 2. puede calcular un factor de costo relativo dividiendo 1.   Ancho de banda disponible ﴾Kbps﴿ Costo 9. Defina costos más elevados en los vínculos de red más propensos a errores para saber que http://pabprod.4 644 56 586 64 567 128 486 256 425 512 378 1.024 por el registro de ancho de banda disponible.096 283 Estos costos no reflejan diferencias de confiabilidad entre vínculos de red. El costo del vínculo a sitios puede usarse para determinar con qué controlador de dominio se ponen en contacto los clientes en un sitio si el controlador del dominio especificado no existe en ese sitio.5 Mbps T3 45 Mbps 10BaseT 10 Mbps Modo de transferencia asincrónico ﴾ATM﴿ Velocidad variable. El costo suele basarse no sólo en el ancho de banda total del vínculo. la latencia y el costo económico del vínculo.blob. Se recomienda que el valor del costo se defina para todos los sitios. En la tabla siguiente se enumeran las velocidades de los diferentes tipos de redes. Si hubiera alguna velocidad de vínculo WAN que no apareciese en la tabla. documente la velocidad de conexión de cada vínculo de sitio. blob. Como práctica recomendada.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Si no está disponible ningún controlador de dominio en el siguiente sitio más cercano. Si no está disponible ningún controlador de dominio en el mismo sitio. Nota Es el mismo algoritmo que el ubicador de controlador de dominio usó en versiones anteriores de Active Directory. el ubicador de controlador de dominio usa el algoritmo siguiente para buscar un controlador de dominio: Intenta encontrar un controlador de dominio en el mismo sitio. De forma predeterminada. el ubicador de controlador de dominio usa el algoritmo siguiente para buscar un controlador de dominio: Intenta encontrar un controlador de dominio en el mismo sitio. supongamos que una topología de sitio contiene cuatro sitios cuyos valores de vínculo a sitios se muestran en la ilustración siguiente. la opción Intentar siguiente sitio más cercano no está habilitada. Para obtener más información. intenta encontrar otro en el dominio.core.windows. consulte el funcionamiento de la compatibilidad DNS para Active Directory ﴾http://go. todos los controladores de dominio son de escritura. especialmente en grandes empresas que cuentan con numerosas sucursales y sitios. esto simplifica los planes de control de situaciones en que los clientes de Windows Vista o Windows Server 2008 de un sitio deben conmutar por error a un controlador de dominio de otro sitio. © 2015 Microsoft Permitir a los clientes buscar el siguiente controlador de dominio más cercano Actualizado: diciembre de 2009 Se aplica a: Windows Server 2008. los equipos cliente que ejecutan Windows Vista o Windows Server 2008 pueden buscar controladores de dominio de forma más eficiente si habilita la opción de directiva de grupo Intentar siguiente sitio más cercano. puede controlar la conmutación por error de replicación cuando un vínculo a sitios genera un error.microsoft. En empresas que cuentan con numerosos sitios del concentrador. Por ejemplo. Esta nueva configuración puede afectar a la configuración de costos de vínculo de sitio porque afecta el orden en que se encuentran los controladores de dominio. Al definir costos de vínculo a sitios más elevados. Un sitio es más cercano si su costo de vínculo a sitios es inferior a otro sitio con un costo de vínculo a sitios superior.1/9/2015 Mi colección no debe confiar en esos vínculos para la replicación.html 74/80 . intenta encontrar otro en el siguiente sitio más cercano. intenta encontrar otro en el dominio. En las empresas que cuentan con numerosos sitios del concentrador y sucursales. debe simplificar la topología del sitio y los costos de vínculo de sitios tanto como sea posible si habilita la opción Intentar siguiente sitio más cercano. En este ejemplo. Si no está disponible ningún controlador de dominio en el mismo sitio. De forma predeterminada. Esta opción mejora el ubicador de controlador de dominio ﴾DC Locator﴿ al simplificar el tráfico de red. el ubicador de controlador de dominio no tiene en cuenta ningún sitio que contenga un controlador de dominio de sólo lectura ﴾RODC﴿ al determinar el siguiente sitio más cercano. se puede reducir de forma significativa el tráfico de Active Directory de la red si se asegura que los clientes conmutan por error con el siguiente sitio del concentrador más cercano cuando no encuentran un controlador de dominio en el sitio del concentrador más cercano.com/fwlink/?LinkId=108587﴿ ﴾puede estar en inglés﴿. http://pabprod. Windows Server 2008 R2 En un dominio de Windows Server 2008. Si habilita la opción Intentar siguiente sitio más cercano. Cuando la opción no está habilitada. La configuración de la hora en las programaciones de objeto de vínculo a sitios se ajusta a la hora local del sitio y del equipo donde se configura la programación. la programación del controlador de dominio muestra la configuración de la hora de acuerdo con la hora local del sitio del equipo. intenta buscarlo en el Sitio_A. Con el bloqueo de la replicación. Si la opción no está habilitada. consulte Permitir a los clientes buscar un controlador de dominio en el siguiente sitio más cercano. pero también incrementa la latencia de replicación. la intersección de las programaciones de replicación en todos los vínculos relevantes determina la programación de la conexión entre los dos sitios. establezca una programación para los vínculos a sitios.blob. Windows Server 2008 R2 Para controlar la disponibilidad de vínculo a sitios. primero intenta buscarlo en el propio Sitio_B. El intervalo de replicación predeterminado es de 180 minutos. El intervalo mínimo es de 15 minutos. la replicación se producirá cuatro veces durante el tiempo programado. es preferible una latencia baja. si la programación permite la replicación entre las 02:00 y las 04:00.core. Para obtener más información acerca de cómo establecer la opción Intentar siguiente sitio más cercano. Tenga en cuenta los criterios siguientes para determinar con qué frecuencia se produce la replicación dentro de la ventana de programación: Un intervalo breve reduce la latencia pero incrementa la cantidad de tráfico de red de área extensa ﴾WAN﴿. si un equipo cliente de Windows Vista o Windows Server 2008 del Sitio_B intenta buscar un controlador de dominio. Los controladores de dominio almacenan el tiempo en Hora universal coordinada ﴾UTC﴿. Para planear la configuración de la programación de vínculos a sitios. y el intervalo de replicación se ha configurado en 30 minutos. Windows Server 2008 R2 Debe configurar la propiedad de intervalo de replicación de vínculos a sitios para indicar con qué frecuencia desea que se produzca la replicación durante las horas en que la programación permite la replicación. da prioridad a otro tráfico. Cuando la replicación entre dos sitios cruza diversos vínculos a sitios.windows. Por ejemplo. Para mantener las particiones del directorio de dominio actualizadas.1/9/2015 Mi colección Cuando se habilita la opción de directiva de grupo Intentar siguiente sitio más cercano en este ejemplo. cree dos programaciones superpuestas entre los vínculos a sitios que contienen controladores de dominio que replican directamente entre sí. Use la programación predeterminada ﴾100 % disponible﴿ en esos vínculos a menos que desee bloquear el tráfico de replicación durante las horas de máximo uso. © 2015 Microsoft Determinación de la programación Actualizado: abril de 2008 Se aplica a: Windows Server 2008. o bien puede modificar la directiva predeterminada de dominio para que afecte a los clientes de Windows Vista y Windows Server 2008 en el dominio. © 2015 Microsoft Determinación del intervalo Actualizado: abril de 2008 Se aplica a: Windows Server 2008. el cliente de Windows Vista o Windows Server 2008 intenta encontrar un controlador de dominio en el Sitio_A. o 3 horas. puede crear un objeto de directiva de grupo ﴾GPO﴿ y vincularlo al objeto apropiado para la organización.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Para aplicar la opción Intentar siguiente sitio más cercano. Cuando un controlador de dominio se pone en contacto con un equipo que se encuentra en un sitio y una zona horaria diferentes.html 75/80 . el Sitio_C o el Sitio_D si no hay ninguno disponible en el Sitio_B. Si en el Sitio_B no hay ninguno disponible. http://pabprod. efectúe las tareas siguientes: Cree una tabla de todos los sitios de la red. Sin embargo.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Windows Server 2008 R2 Un puente de vínculos a sitios conecta dos o más vínculos a sitios y habilita la transitividad entre ellos.         0. Desde la programación de replicación.25 4+3+24 4.25       Los Ángeles     0. cree una tabla de latencias máximas entre el sitio del concentrador y cualquiera de sus sitios satélite.–Nueva York﴿ + 3 ﴾Nueva York–Seattle﴿ + 24 ﴾Seattle– Los Ángeles﴿.blob. la latencia de replicación máxima para este conjunto de vínculos ﴾Washington. D. Seattle 0.–Nueva York–Seattle–Los Ángeles﴿ es de 31 horas.1/9/2015 Mi colección Con una estrategia de replicación de almacenamiento y reenvío.00 Washington. todos los vínculos a sitios son transitivos. Para cada sitio del concentrador.00 Los Ángeles     0.25     Nueva York       0. Si el retraso de la replicación entre Nueva York y Seattle es el retraso programado más largo entre todos los sitios del concentrador. si la latencia máxima entre Seattle y el sitio satélite de Los Ángeles es de un día.25 24 + 3 24+3+4 Nueva York       0.25   Washington. Recomendamos que mantenga la transitividad habilitada. Seattle 0. De forma predeterminada. El comprobador de coherencia de la información ﴾KCC﴿ usa la información de cada vínculo a sitios para calcular el costo de la replicación entre los sitios de un vínculo a sitios y los sitios de los otros vínculos a sitios del puente. D.25 4. determine la latencia de replicación máxima que es posible en cualquier vínculo de sitios que conecte dos sitios del concentrador. resulta difícil determinar cuánto puede durar la replicación de una actualización de directorio para cada controlador de dominio. como se muestra en la tabla siguiente. tal como se muestra en el ejemplo siguiente:   Sitios Seattle Boston Los Ángeles Nueva York Washington.html 76/80 .C. la latencia máxima entre Nueva York y sus satélites es de cuatro horas.25 © 2015 Microsoft Creación del diseño de un puente de vínculos a sitios Actualizado: abril de 2008 Se aplica a: Windows Server 2008.25 La peor latencia posible dentro de un sitio se estima en 15 minutos.C.00 3. Por ejemplo. el retraso máximo para la replicación entre estos sitios es de tres horas. si la replicación se produce entre Seattle y Nueva York cada tres horas.C. Por ejemplo.         0. D. Por ejemplo. D.00 4+3 Boston   0. es decir.25         Boston   0. Para proporcionar una estimación conservadora de latencia máxima. si la replicación tiene lugar entre Nueva York y Washington. Si no hay un sitio común entre los vínculos a sitios. D.   Sitios Seattle Boston Los Ángeles Nueva York Washington.C. sin cambiar el valor predeterminado de Enlazar todos los vínculos a sitios.C.windows. Combine estas latencias máximas para determinar la latencia máxima de toda la red. D. deberá deshabilitar Enlazar todos los vínculos a sitios y completar el diseño de un puente de vínculos a sitios en los http://pabprod. Cada vínculo a sitios de un puente debe tener un sitio en común con otro vínculo a sitios del puente.core.00 4. 4 ﴾Washington.C.25 4+3 24. cada cuatro horas y éste es el retraso de replicación más prolongado ente Nueva York y cualquiera de los sitios satélite. KCC no puede establecer conexiones directas entre los controladores de dominio de los sitios que están conectados por el mismo puente de vínculos a sitios. D.C. la latencia máxima entre todos los concentradores es de tres horas. debe deshabilitar Enlazar todos los vínculos a sitios y crear puentes de vínculos a sitios de manera que se creen conexiones de replicación entre el sitio satélite y otro sitio de concentrador que se encuentre a uno o dos saltos del sitio satélite. consulte el compendio de Active Directory ﴾http://go.microsoft. Para obtener más información sobre cómo se usa el complemento Sitios y servicios de Active Directory para deshabilitar la opción Enlazar todos los vínculos a sitios.html 77/80 . puede estar en inglés﴿. Para obtener más información sobre cómo determinar el número adecuado de controladores de dominio para cada dominio que está representado en cada sitio. puede deshabilitar Enlazar todos los vínculos a sitios y crear puentes de vínculos a sitios para los sitios que se encuentran en el mismo lado del firewall. Para obtener más información acerca de las confianzas directas entre dominios. si la red está separada por firewalls. puede estar en inglés﴿. © 2015 Microsoft Búsqueda de recursos adicionales para el diseño de la topología del sitio de Active Directory de Windows Server 2008 Actualizado: abril de 2008 Se aplica a: Windows Server 2008. por lo general no se desea que los sitios satélite creen conexiones de replicación con otros sitios satélite si se produce un error en todos los controladores de dominio del concentrador. Al deshabilitar Enlazar todos los vínculos a sitios.microsoft.windows.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. consulte la documentación sobre Active Directory en redes segmentadas por firewalls ﴾http://go. En casos como éste.com/fwlink/?LinkId=107114. Windows Server 2008 R2 En los sitios web de TechCenter de Windows Server 2003 y Windows Server 2008 dispone de la siguiente documentación ﴾puede estar en inglés﴿ sobre los Servicios de dominio de Active Directory ﴾AD DS﴿: Para obtener más información acerca del proceso de ubicación de un controlador de dominio.com/fwlink/?LinkId=107074.com/fwlink/?LinkID=88626. Para obtener más información sobre la implementación del dominio raíz del bosque.com/fwlink/?LinkId=89028.microsoft. recomendamos que deshabilite la transitividad de los vínculos a sitios y cree puentes de vínculos a sitios para la red a un lado del firewall. consulte el tema donde se explica cómo diseñar e implementar servidores de impresión ﴾http://go. consulte el tema que trata acerca de la planeación de la capacidad de los controladores de dominio ﴾http://go. Para obtener información acerca de la instalación del Monitor de red.com/fwlink/?LinkId=107061. consulte el tema que trata acerca de la planeación e implementación de los Servicios de dominio de Active Directory para sucursales ﴾http://go. puede estar en inglés﴿.blob. puede estar en inglés﴿. puede estar en inglés﴿. consulte el tema que trata acerca de la habilitación y deshabilitación de puentes de vínculos a sitios ﴾http://go. Control de la conmutación por error en la replicación Si la organización tiene una topología de red de concentrador y radio.com/fwlink/?LinkId=107073. Por lo tanto.com/fwlink/?LinkId=89027.microsoft. puede estar en inglés﴿. Para obtener más información sobre los árboles de expansión y la topología de replicación de Active Directory. este último se convierte en el equivalente de una red inconexa.microsoft. puede estar en inglés﴿.microsoft. puede estar en inglés﴿.exe y la administración de entornos con 100 o más sitios de sucursal. Si deshabilita Enlazar todos los vínculos a sitios para el transporte IP de los vínculos a sitios y configura un puente de vínculos a sitios.microsoft.microsoft.com/fwlink/?LinkId=107058. consulte la referencia técnica de la topología de replicación de Active Directory ﴾http://go. Para obtener información sobre cómo administrar la replicación a través de firewalls.microsoft.com/fwlink/?LinkID=102558.microsoft. pero no se enrutan fuera del puente de vínculos a sitios. consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 ﴾http://go.core. Para obtener más información acerca del uso de Adlb. Control del flujo de replicación de AD DS Dos escenarios en los que se requiere un diseño de puente de vínculos a sitios para controlar el flujo de replicación son el control de la conmutación por error en la replicación y el control de la replicación a través de un firewall. puede estar en inglés﴿. puede estar en inglés﴿.com/fwlink/?LinkId=107041. consulte el tema donde se describe cuándo se debe crear una confianza directa ﴾http://go. Es necesario controlar el flujo de replicación de los cambios efectuados en los Servicios de dominio de Active Directory ﴾AD DS﴿. Para obtener más información acerca del diseño y la implementación de servidores de impresión. todos los vínculos a sitios se consideran no transitivos y es posible crear y configurar objetos de puente de vínculos a sitios para modelar el comportamiento del enrutamiento en la red. consulte el tema que trata acerca de la supervisión del tráfico de red ﴾http://go.com/fwlink/?LinkId=44137. http://pabprod.microsoft.1/9/2015 Mi colección siguientes casos: La red IP no está totalmente enrutada. Control de la replicación a través de un firewall Si dos controladores de dominio que representan al mismo dominio en dos sitios diferentes tienen permiso explícito para comunicarse entre sí únicamente a través de un firewall. Todos los vínculos a sitios del puente se enrutan transitivamente. Puede obtener hojas de trabajo donde le resultará fácil documentar el diseño de la topología del sitio de AD DS de Windows Server 2008 en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 ﴾http://go. puede estar en inglés﴿. Para obtener más información acerca del funcionamiento del almacenamiento en caché de la pertenencia al grupo universal.microsoft. puede estar en inglés﴿. Para obtener más información sobre cómo se crean objetos de sitio. Para obtener más información sobre cómo se usa el complemento Sitios y servicios de Active Directory para deshabilitar la opción Enlazar todos los vínculos a sitios. Windows Server 2008 R2 La tabla siguiente puede ayudarle a enumerar los prefijos de subred IP versión 6 ﴾IPv6﴿ cuando diseñe la topología del sitio de los Servicios de dominio de Active Directory ﴾AD DS﴿ de Windows Server 2008.com/fwlink/?LinkId=107063. puede estar en inglés﴿.com/fwlink/?LinkId=107068.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Para obtener información sobre cómo administrar la replicación a través de firewalls.com/fwlink/?LinkId=107067. puede estar en inglés﴿.core. consulte el tema que trata acerca de la creación de un sitio ﴾http://go. puede estar en inglés﴿. consulte el tema sobre AD DS que trata acerca de los controladores de dominio de sólo lectura ﴾http://go.com/fwlink/?LinkId=89029.microsoft.windows.microsoft. consulte la Guía paso a paso para controladores de dominio de sólo lectura ﴾http://go.microsoft. Para obtener más información sobre la implementación de dominios regionales. consulte el tema que trata acerca de la habilitación y deshabilitación de puentes de vínculos a sitios ﴾http://go.com/fwlink/?LinkId=28521.com/fwlink/?LinkID=92728. © 2015 Microsoft Apéndice A: Ubicaciones y prefijos de subred Actualizado: abril de 2008 Se aplica a: Windows Server 2008. consulte el tema que trata sobre la implementación de dominios regionales de Windows Server 2008 ﴾http://go.microsoft.com/fwlink/?LinkId=37928.microsoft.blob.microsoft.microsoft. puede estar en inglés﴿. consulte la documentación sobre Active Directory en redes segmentadas por firewalls ﴾http://go.com/fwlink/?LinkId=107073. Para obtener más información sobre cómo se crean objetos de subred.html 78/80 . consulte el tema que trata acerca de la creación de una subred ﴾http://go. consulte el tema que trata acerca del funcionamiento del catálogo global ﴾http://go. consulte la guía de procedimientos recomendados para proteger las instalaciones de Active Directory de Windows Server ﴾http://go.microsoft. puede estar en inglés﴿. puede estar en inglés﴿. Para obtener más información acerca de cómo implementar un RODC. puede estar en inglés﴿. puede estar en inglés﴿.   Ubicación Prefijo de subred de la red                                             © 2015 Microsoft http://pabprod.com/fwlink/?LinkID=106616.1/9/2015 Mi colección Para obtener más información acerca de la protección de los controladores de dominio. Para obtener más información acerca de las características de los controladores de dominio de sólo lectura ﴾RODC﴿. Si se produce algún error durante la recuperación a partir de un sitio de posposición. esto podría dar lugar a que los usuarios no autorizados tengan acceso a los recursos corporativos. No obstante. la cuenta de usuario del empleado se elimina inmediatamente de los Servicios de dominio de Active Directory ﴾AD DS﴿ en el sitio principal. Netlogon no está deshabilitado﴿.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. Por ejemplo. Por ejemplo. y el sitio de posposición no se puede usar para deshacer el desastre. Algunos usuarios consideran que un sitio de posposición. Cuanto más corta sea la latencia. Pero como Microsoft siempre recomienda encarecidamente. Algunas organizaciones que implementan sitios de posposición como parte de una estrategia de recuperación ante desastres podrían recurrir a varias formas de mitigar estos problemas. http://pabprod. Un administrador debe decidir la cantidad de latencia. Un sitio de posposición supone amenazas de seguridad en el entorno corporativo. y no se debe usar el comando repadmin /force. Windows Server 2003 with SP2. cuando un empleado cesa sus actividades en una organización. los administradores deben actuar de inmediato cuando se produce un desastre: se debe deshabilitar la replicación de entrada y salida. Configurar e implementar un sitio de posposición requiere de mucha consideración: Un administrador debe decidir el número de sitios de posposición que se implementarán en un bosque.blob. esto también significa que los administradores deben actuar rápidamente para detener la replicación en el sitio de posposición cuando se produce un desastre. si la latencia supera la duración del marcador de exclusión﴿ entre el evento de desastre y la última replicación en el sitio de posposición. otros productos de Microsoft. Además. En caso de que implementen un sitio de posposición para este propósito. que es de 180 días de forma predeterminada. En concreto. Microsoft admite una latencia de replicación hasta el equivalente a la duración del marcador de exclusión del bosque de Active Directory. como Exchange Server. No se recomienda a las organizaciones implementar un sitio de posposición como única solución de recuperación ante desastres. una organización podría implementar sitios de posposición escalonados para intentar solucionar el problema con la latencia de replicación o hacer uso de la virtualización para minimizar los costos de mantenimiento y hardware. Un sitio de posposición no reemplaza las copias de seguridad. más actualizados y útiles serán los datos del sitio de posposición. podría ser necesaria una recuperación de bosque para revertir los cambios. Windows Server 2008 R2 Un "sitio de posposición" es un sitio de Active Directory que está configurado con una latencia de replicación.windows. En este caso. en función de la cantidad de latencia ﴾por ejemplo. como Microsoft Operations Manager ﴾MOM﴿ y Microsoft System Center Operations Manager. así como los productos de supervisión. Microsoft no admite el uso de un sitio de posposición como estrategia de recuperación ante desastres. Windows Server 2003 with SP1. mayores probabilidades habrá de que un dominio pueda recuperarse de un desastre replicado. pero la cuenta puede permanecer activa en el sitio de posposición. esto también puede significar mayores costos de mantenimiento y hardware. se puede usar para recuperar los objetos eliminados de forma accidental más rápidamente al evitar la restauración de los controladores de dominio afectados a partir de las copias de seguridad.1/9/2015 Mi colección Apéndice B: no usar un sitio de posposición como estrategia de recuperación ante desastres Actualizado: octubre de 2008 Se aplica a: Windows Essential Business Server. las revisiones y los Service Packs. Windows SBS 2008. Por ejemplo. No obstante. Si el desastre no se detecta a tiempo antes de que se produzca la replicación. Debido a que un sitio de posposición contiene datos obsoletos.core. Windows SBS 2003. La replicación a partir de un sitio de posposición podría tener consecuencias irrecuperables. y comprobar estas copias de seguridad con regularidad a través de restauraciones de prueba. No obstante. Windows Server 2003 R2. y puede que haya otros problemas con la implementación de sitios de posposición como estrategia de recuperación ante desastres. no reconocen el estado de un controlador de dominio casi sin conexión que se diferencia mediante la replicación en funcionamiento y no mediante los equipos cliente que no usan los servicios del servidor. como la eliminación en masa de objetos de forma accidental. Windows Server 2008. Esta lista de consideraciones no es exhaustiva.html 79/80 . la mejor forma de prepararse para un funcionamiento incorrecto de Active Directory es realizar una copia de seguridad de los controladores de dominio con frecuencia. es probable que el sitio se replique solamente un día de la semana. un sitio de posposición es simplemente un sitio obsoleto en comparación con los datos que se guardan en la mayoría de las réplicas. Algunas organizaciones han incluido sitios de posposición como parte de sus estrategias de recuperación ante desastres. lo harán bajo su propio riesgo. no están diseñados para funcionar en un sitio de posposición y es posible que no funcionen correctamente con los controladores de dominio de un sitio de posposición. Por lo tanto. el problema se replica en el sitio de posposición. Microsoft no garantiza que nuestros productos de mantenimiento y supervisión no vuelvan a habilitar los servicios de Netlogon y el centro de distribución de claves ﴾KDC﴿ en un sitio de posposición. Windows Server 2000. A continuación se indican algunos puntos adicionales que se deben tener en cuenta si la organización decide implementar un sitio de posposición. incluso después de reconocer que Microsoft no admite el uso de un sitio de posposición como estrategia de recuperación ante desastres: No está garantizado que un sitio de posposición permanezca intacto ante un desastre. su uso como origen de la replicación podría conducir a la pérdida de datos. Cuantos más dominios haya con sitios de posposición. Windows Server 2003. con un "controlador de dominio casi sin conexión". Si los controladores de dominio del sitio de posposición permiten el inicio de sesión ﴾es decir. com/fwlink/?LinkID=132577﴿. puede configurar un sitio para replicarlo en una programación personalizada a fin de reducir los costos de uso de la red de área extensa ﴾WAN﴿ o de reservar el uso de vínculos WAN para otras aplicaciones. Por ejemplo. Se admite la deshabilitación de la replicación en su totalidad ﴾o el apagado de los controladores de dominio﴿ durante períodos que no superen la duración del marcador de exclusión del bosque de un controlador de dominio determinado o de todos los controladores de dominio de un sitio.microsoft. Consulte también http://pabprod. Para obtener más información.microsoft. puede estar en inglés﴿.blob.html 80/80 . use la papelera de reciclaje de Active Directory.windows. considere la posibilidad de usar instantáneas de Windows Server 2008.core. Se admite la deshabilitación del registro de las entradas del Sistema de nombres de dominio ﴾DNS﴿ específicas del registro de recurso de servicio ﴾SRV﴿ de dominio que apuntan a un sitio determinado.com/fwlink/?LinkID=139659. Para obtener más información. Se admite la restauración de objetos de forma autoritativa en cualquier controlador de dominio arbitrario de un dominio. Para ver datos de Active Directory anteriores. Para recuperar los objetos eliminados de forma accidental. Este sitio de replicación retrasado no se debe usar para restaurar datos de Active Directory o revertir cambios recientes. vea la guía paso a paso de la papelera de reciclaje de Active Directory ﴾http://go.net/books/64ed2483­9988­4d8a­b703­a02cefc84f2d. una nueva característica incluida en Windows Server 2008 R2. lo siguiente se seguirá admitiendo: Se admiten los sitios de replicación retrasados.1/9/2015 Mi colección Aunque Microsoft no admite el uso de un sitio de posposición como estrategia de recuperación ante desastres. vea la Guía paso a paso para usar la herramienta de montaje de bases de datos de Active Directory ﴾http://go.
Copyright © 2024 DOKUMEN.SITE Inc.