Página principal Sobre mi Premios recibidos Links de Interés Contacto Blogs de referencia

Translate

martes, 5 de mayo de 2015

Textual description of firstImageUrl

Active Directory DCPROMO: Promocionar un controlador de dominio.

Tradicionalmente, la forma de promocionar un servidor a controlador de dominio siempre ha sido, usando el comando Dcpromo.exe. Mediante este comando podemos hacer uso de un asistente gráfico que nos ayuda a instalar o quitar los servicios de dominio de Active Directory (AD DS).

A continuación veremos las opciones del comando Dcpromo.

/Answer [: <filename>  Especifica un archivo de respuesta que contiene los valores y parámetros de instalación.

/unattend [: <filename>] Especifica un archivo de respuesta que contiene los valores y parámetros de instalación. Este comando proporciona la misma función que /answer [: <filename>].

/unattend Especifica una instalación desatendida en el que se proporcionan los parámetros de instalación y los valores en la línea de comandos.

/Adv Realiza una instalación de la operación de medios (IFM).

/UninstallBinaries Desinstala los binarios de AD DS.

/CreateDCAccount Crea una cuenta de dominio de sólo lectura RODC de controlador. Sólo un miembro del grupo Administradores del dominio o del grupo Administradores de empresa puede ejecutar este comando.

/UseExistingAccount: adjuntar Se adjunta un servidor a una cuenta RODC existente. Un miembro del grupo Administradores de dominio o un usuario delegado puede ejecutar este comando.

/? Muestra ayuda para los parámetros de Dcpromo.

/?[: {Promoción | CreateDCAccount | UseExistingAccount | Degradación}] Muestra los parámetros que se aplican a la operación dcpromo.


En este laboratorio, veremos la manera tradicional de de promocionar un servidor a controlador de dominio en un servidor Windows 2008 R2, a partir de Windows 2012 el método varia un poco.

En primer lugar debemos asignar un nombre y una IP definitivos, a nuestro nuevo Controlador de dominio de Active Directory, cambiar el nombre a un controlador de dominio puede no resultar una tarea tan sencilla como lo es en este momento.

Para cambiar el nombre de un Domain Controler con, por ejemplo el nombre, SERVIDOR01 a SRVDC01 deberemos usar el comando NETDOM.

Supongamos que nuestro dominio DOM.LOCAL, accederemos a una consola de comandos y usaremos el comando siguiente.

NETDOM computername SERVIDOR01.DOM.LOCAL /add:SRVDC01.DOM.LOCAL

NETDOM, actualizará los atributos del nombre principal de servicio (SPN) en el directorio activo para la cuenta del equipo en cuestión, y registrara registros de recursos DNS para el nuevo nombre del servidor de dominio.

Estos cambios deben replicarse en todo el dominio y los registros de DNS para del nuevo nombre asignaso al servidor se debe distribuir a todos los servidores DNS autorizados de nuestro dominio DOM.LOCAL, si esto no se hace con sumo cuidado, puede que algunos ordenadores clientes no sean capaces de resolver el nombre del controlador de dominio, es muy importante controlar todo el proceso de replica.

Por eso es muy recomendable, tener bien claro que nombre asignaremos a nuestro nuevo controlador de dominio en este preciso momento, la operación de cambio de nombre de un controlador de dominio es un proceso que prefiero no realizar si no es estrictamente la única solución a un problema.

Teniendo esto claro, empezaremos con el procedimiento de promoción de in servidor a Controlador de Dominio de Active directory.

Nos dirigiremos a el botón inicio y en el cuadro de texto ejecutar, escribiremos DCPROMO.


Esperamos a que compruebe el sistema.


Pasaremos la pantalla se presentación del asistente presionado el botón Siguiente.


Pasaremos la advertencia presionado el botón Siguiente.


Nos solicitará si queremos agregar un nuevo controlador de dominio en un bosque ya existente o por lo contrario queremos crear un nuevo bosque y un nuevo dominio, para nuestro ejemplo crearemos un nuevo dominio.


Presionaremos el botón siguiente para continuar.


Nombres de dominio de Active Directory, por lo general son el sistema de nombres de dominio DNS. Sin embargo, para la compatibilidad con versiones anteriores, cada dominio también tiene un nombre anterior a Windows 2000 para el uso, de los equipos que ejecutan versiones de sistemas operativos anteriores a Windows 2000.

Los nombres de DNS pueden contener sólo caracteres alfabéticos de (A-z), caracteres numéricos de (0-9), el signo menos (-) y el punto (.). Se utilizar el punto (.) sólo cuando se utilizan para delimitar los componentes de los nombres de dominio.

En el sistema de nombres de dominio o DNS de Windows 2000 y Windows Server 2003, admite el uso de caracteres Unicode, pero deberemos evitar siempre los caracteres Unicode sobre todo si hemos de pasar las consultas a servidores que usan servidores de nombres que no son Microsoft.

Las buenas practicas, nos dicen, que para los nombres de dominio de Active Directory nuestro FQDN debe constar de uno o más subdominios que se combinan con un dominio de nivel superior que estará separado por un carácter de punto (.). Seguidamente veremos unos algunos ejemplos.

dom.com
dom.local
corp.dom.com

Nunca debemos utilizar nombres de dominio de etiqueta única, los nombres de etiqueta única consisten en una sola palabra como puede ser "dom"

Nombres de dominio de Active Directory deben consistir en dos o más etiquetas. Los nombres DNS de etiqueta única no pueden registrarse mediante un registrador de Internet.

Los equipos cliente y los controladores de dominio que se unen a los dominios de etiqueta única, requieren una configuración adicional, para registrar dinámicamente los registros DNS en las zonas DNS de etiqueta única.

Los equipos cliente y los controladores de dominio pueden requerir configuración adicional para resolver consultas DNS en zonas DNS de single label.

Muchas aplicaciones basadas en servidor que son incompatibles con los nombres de dominio de etiqueta única.

El cambio de un dominio de etiqueta única a un nombre DNS completo  no es una tarea fácil. Tenemos dos posibilidades, la primera posibilidad es migrar usuarios, equipos, grupos, etc.. a un nuevo bosque que ya tenga un nombre DNS completo, la segunda seria realizar un cambio de nombre del single label domain existente.

Algunas aplicaciones que podemos tener instaladas en nuestro servidor son incompatibles con un cambio de nombre de dominio. Estas incompatibilidades pueden bloquear la posibilidad de un cambio de nombre de dominio o pueden hacer, que cambiar el nombre de dominio de etiqueta única a un nombre DNS completo sea muy difícil.

Ejemplos de las aplicaciones que son incompatibles con un cambio de nombre de dominio.

Microsoft Exchange 2000 Server
Microsoft Exchange Server 2007
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Internet Security and Acceleration (ISA) Server 2004
Microsoft Live Communications Server 2005
Microsoft Operations Manager 2005
Microsoft SharePoint Portal Server 2003
Microsoft Management Server (SMS) 2003 Sistemas
Microsoft Office Communications Server 2007
Microsoft Office Communications Server 2007 R2
Microsoft System Center Operations Manager 2007 SP1
Administrador de Microsoft System Center Operations 2007 R2
Microsoft Lync Server 2010
Microsoft Lync Server 2013

El Asistente para instalación de Active Directory, Dcpromo, a partir de Windows Server 2008, si intentamos crear un nombre de dominio de etiqueta única, ya advierte que no debemos crear nuevos dominios de estas características. El Asistente para instalación de Active Directory en Windows Server 2008 R2, bloquea explícitamente la creación de single label domain.

Para nuestro ejemplo hemos usaremos e nombre de dominio, DOM.LOCAL, escribiremos pues el nombre de nuestro futuro dominio en el cuatro de texto.


Presionaremos el botón Next para continuar.


Esperaremos pacientemente a que termine el Checking.


Ahora deberemos seleccionar el nivel funcional de nuestro nuevo bosque.

Nivel funcional del bosque Windows 2000 nativo

Están disponibles todas las características predeterminadas de AD DS.

Los controladores de dominio admitidos son
Windows 2000
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2

Nivel funcional del bosque Windows Server 2003

Están disponibles todas las características predeterminadas de AD DS, además de las siguientes.
Confianza de bosque.
Cambio de nombre de dominio.
La replicación de valores vinculados, permite cambiar la pertenencia a grupos para almacenar y replicar valores para miembros individuales en lugar de replicar toda la pertenencia a grupos como una sola unidad. Para el almacenamiento y la replicación de valores de miembros individuales se usa menos ancho de banda de red y menos ciclos de procesador durante la replicación, y se evita la pérdida de actualizaciones al agregar o quitar varios miembros simultáneamente en distintos controladores de dominio.
Posibilidad de implementar un controlador de dominio de sólo lectura (RODC).
Mejora en la escalabilidad y los algoritmos de comprobación de coherencia de la información (KCC).
El generador de topología entre sitios (ISTG) usa algoritmos mejorados que se escalan para admitir bosques con un número mayor de sitios de los que AD DS admite en el nivel funcional de bosque de Windows 2000. El algoritmo de elección ISTG mejorado es un mecanismo menos intrusivo para elegir el ISTG en el nivel funcional de bosque de Windows 2000.
Posibilidad de crear instancias de la clase auxiliar dinámica llamada dynamicObject en una partición de directorio de dominio
Posibilidad de convertir una instancia de un objeto inetOrgPerson en una instancia de un objeto User y completar la conversión en la otra dirección
Crear instancias de nuevos tipos de grupo para admitir la autorización basada en funciones. 
Estos tipos reciben el nombre de grupos básicos de aplicación y grupos de consulta LDAP
Desactivación y nueva definición de atributos y clases en el esquema

Los controladores de dominio admitidos son
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2


Nivel funcional del bosque Windows Server 2008

Todas las características disponibles en el nivel funcional del bosque de Windows Server 2003, pero no características adicionales. Sin embargo, todos los dominios que se agreguen posteriormente al bosque funcionarán en el nivel funcional del dominio de Windows Server 2008 de manera predeterminada.

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2003 y las características siguientes:
Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicación más sólida y detallada del contenido de SYSVOL.

Compatibilidad con los Servicios de cifrado avanzado (AES 128 y 256) para el protocolo de autenticación Kerberos. 

Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número de intentos de inicio de sesión erróneos desde el último inicio de sesión.

Directivas de contraseña muy específicas, que permiten especificar directivas de contraseña y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

Los controladores de dominio admitidos son
Windows Server 2008
Windows Server 2008 R2

Nivel funcional del bosque Windows Server 2008 R2

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional del dominio de Windows Server 2008 y las características siguientes:

La comprobación del mecanismo de autenticación, que empaqueta la información sobre el tipo de método de inicio de sesión (tarjeta inteligente o nombre de usuario/contraseña) empleado para autenticar a usuarios del dominio dentro del token de Kerberos de cada usuario. Si esta característica está habilitada en un entorno de red que ha implementado una infraestructura de administración de identidades federadas, como Servicios de federación de Active Directory (AD FS), la información del token se puede extraer siempre que un usuario intente obtener acceso a cualquier aplicación para notificaciones que se haya desarrollado para determinar la autorización en función del método de inicio de sesión de un usuario.

Los controladores de dominio admitidos son
Windows Server 2008 R2

Como en nuestro ejemplo solo tendremos un único controlador de dominio y será Windows Server 2008 R2 seleccionaremos el nivel funcional del bosque más alto.


Presionaremos el botón Siguiente para continuar el asistente.


Esperaremos pacientemente.


Seleccionaremos los servicios adicionales que debe tener instalados nuestro nuevo controlador de dominio, en nuestro ejemplo el servidor de DNS, también será de forma inamovible Catalogo Global.

Cuando instalamos un nuevo servidor de Active Directory, se crea el catálogo global para un nuevo bosque de forma automática, en el primer controlador de dominio del bosque, también, se puede agregar la funcion de catálogo global a otros controladores de dominio posteriormente.

El catálogo global permite la búsquedas de objetos en el directorio activo, también resuelve el nombre principal de usuario UPN cuando el controlador de dominio de autenticación no conoce la cuenta de usuario. 

Los controladores de dominio usan el catálogo global para validar las referencias a objetos de otros dominios del bosque. Cuando un controlador de dominio contiene un objeto de directorio con un atributo que contiene una referencia a un objeto de otro dominio, el controlador de dominio valida la referencia poniéndose en contacto con un servidor de catálogo global.

También, proporciona información de pertenencia a grupos universales en los entornos de varios dominios.

Un controlador de dominio siempre puede descubrir grupos locales de dominio y pertenencias al grupo global de cualquier usuario de su dominio, y la pertenencia de estos grupos no se replica en el catálogo global. En un bosque de un único dominio, un controlador de dominio también puede descubrir pertenencias a grupos universales. Sin embargo, los grupos universales pueden tener miembros en diferentes dominios. Por este motivo, el atributo member de los grupos universales, que contiene la lista de miembros del grupo, se replica en el catálogo global. Cuando un usuario de un bosque de varios dominios inicia sesión en un dominio donde se permiten los grupos universales, el controlador de dominio debe ponerse en contacto con un servidor de catálogo global para recuperar cualquier pertenencia a grupos universales que el usuario pueda tener en otros dominios.

Si un servidor de catálogo global no está disponible, cuando un usuario inicia sesión en un dominio donde hay grupos universales disponibles, el equipo cliente del usuario puede usar credenciales almacenadas en caché para iniciar sesión si el usuario ha iniciado sesión en el dominio con anterioridad. Si el usuario no ha iniciado sesión en el dominio previamente, el usuario solo puede iniciar sesión en el equipo local. 

Presionaremos siguiente para continuar con el asistente.


Presionaremos el botón Yes para continuar con el asistente.


Dejaremos los directorios por defecto de la base de datos de Active Directory y presionaremos el botón siguiente para continuar.


Escribiremos una contraseña para el Restore Mode Administrator.


Presionaremos el botón  Next para continuar.


Comprobaremos que todas las selecciones son correctas y presionaremos el botón siguiente para iniciar el proceso de instalación de los servicios de Active Directory.


Esperaremos que el proceso de instalación termine.


Terminado el proceso de instalación, pulsaremos el botón Finish para terminar el asistente.


Reiniciaremos el servidor pulsando el botón Restart Now.


Esperaremos a que el nuevo controlador de dominio reinicie.


Ya podremos acceder con la cuneta de administrador del nuevo dominio DOM.LOCAL.


Podremos comprobar que tenemos instaladas todas las herramientas administrativas de Active Directory.


Tenemos también nuestro nuevo servidor de DNS.


Comprobaremos que nuestro nuevo controlador de dominio es Global Catalog o Catalogo Global.


No hay comentarios:

Publicar un comentario