Guia de Implementacion AD

7/23/2019 Guia de Implementacion AD

http://slidepdf.com/reader/full/guia-de-implementacion-ad 1/80

1/9/2015 Mi colección

http://pabprod.blob.core.windows.net/books/64ed2483-9988-4d8a-b703-a02cefc84f2d.htm l

Mi colección

Este documento se proporciona "tal cual". La información y los puntos de vista expresados en este documento, incluyendo las referencias a sitios web de Internet ydirecciones URL, está sujeta a cambios sin aviso. Este documento no implica ningún derecho legal respecto a ninguna propiedad intelectual de ningún nombre de

producto o producto de Microsoft. Puede copiar y utilizar este documento con fines internos y de referencia. Se permite que modifique este documento para sus finesinternos y de referencia. © 2015 Microsoft. Reservados todos los derechos. Términos de uso https://technet.microsoft.com/cc300389.aspx | Marcas comerciales

http://www.microsoft.com/library/toolbar/3.0/trademarks/en‐us.mspx




http://pabprod.blob.core.windows.net/books/64ed2483-9988-4d8a-b703-a02cefc84f2d.htm l 2

Table Of ContentsCapítulo 1

Planeamiento de una implementación de los Servicios de dominio de Active Directory

https://technet.microsoft.com/es-es/library/cc754678(v=ws.10).aspx





Capítulo 1Planeamiento de una implementación de los Servicios dedominio de Active DirectoryActualizado: abril de 2008

Se aplica a: Windows Server 2008, Windows Server 2008 R2

Al implementar los Servicios de dominio de Active Directory AD DS de Windows Server 2008 en un entorno, se aprovechan las ventajas del modelo administrativocentralizado y delegado, y de la funcionalidad de inicio de sesión único SSO que AD DS ofrece. Después de identificar las tareas de implementación y el entorno actuade la organización, se puede crear una estrategia de implementación de AD DS que reúna los requisitos de la misma.

Acerca de esta guía

Esta guía ofrece recomendaciones que ayudan a desarrollar una estrategia de implementación de AD DS a partir de los requisitos de la organización y del diseñoconcreto que se desee crear. Los destinatarios de esta guía son especialistas en infraestructuras o arquitectos de sistemas. Antes de leerla, es necesario conocer bien elfuncionamiento de AD DS en un nivel funcional, así como los requisitos organizativos que se verán reflejados en la estrategia de implementación de AD DS.

Esta guía describe conjuntos de tareas para los varios puntos de partida posibles para una implementación de AD DS de Windows Server 2008. La guía le ayudará adeterminar la estrategia de implementación más adecuada para su entorno.

Aunque las estrategias que se presentan en esta guía son adecuadas para casi todas las implementaciones de sistemas operativos de servidor, se han probado yvalidado específicamente para entornos que tienen menos de 100.000 usuarios y menos de 1.000 sitios, con conexiones de red de 28,8 kilobits por segundo Kbps como mínimo. Si su entorno no satisface estos criterios, considere la posibilidad de solicitar los servicios de una empresa de consultoría que tenga experiencia en laimplementación de AD DS en entornos más complejos.

Para obtener más información acerca de la comprobación del proceso de implementación de AD DS, consulte el tema que describe las pruebas y comprobaciones delproceso de implementación http://go.microsoft.com/fwlink/?LinkId=100206, puede estar en inglés .

En esta guía

Descripción de la implementación de AD DS

Identificación de las tareas de diseño e implementación de AD DS

Asignación de las tareas de diseño e implementación a una estrategia de implementación de AD DS

Ejemplos de evaluación de la estrategia de implementación de AD DS

Apéndice A: Revisión de los conceptos fundamentales de AD DS

© 2015 Microsoft

Descripción de la implementación de AD DSActualizado: febrero de 2011


Las organizaciones pueden usar los Servicios de dominio de Active Directory AD DS en Windows Server 2008 para simplificar la administración de usuarios y recursosal tiempo que se crean infraestructuras escalables, seguras y fáciles de administrar. AD DS se puede usar para administrar la infraestructura de la red, incluidos losentornos de sucursal, de Microsoft Exchange Server y de varios bosques.

Un proyecto de implementación de AD DS se compone de tres fases: una fase de diseño, una fase de implementación y una fase de operaciones. Durante la primerafase, el equipo de diseño crea un diseño para la estructura lógica de AD DS que se adapte a las necesidades de cada división de la organización que vaya a usar elservicio de directorio. Una vez aprobado el diseño, el equipo de implementación lo prueba en un entorno de laboratorio y, después, lo implementa en el entorno deproducción. Dado que las pruebas las realiza el equipo de implementación y existe la posibilidad de que afecten a la fase de diseño, es una actividad intermedia que sesolapa con el diseño y la implementación. Una vez completada la implementación, es el equipo de operaciones el responsable de mantener el servicio de directorio.





http://go.microsoft.com/fwlink/?LinkId=100206






Aunque las estrategias de diseño e implementación de AD DS de Windows Server 2008 que se presentan en esta guía se basan en exhaustivas pruebas de laboratorio ydel programa piloto y en su correcta implementación en entornos de clientes, es posible que deba personalizar el diseño y la implementación de AD DS para que seajusten a la perfección a entornos complejos específicos.

Para obtener más información acerca de la implementación de AD DS en un entorno de sucursal, consulte la guía de planeación de sucursales http://go.microsoft.com/fwlink/?LinkId=100207, puede estar en inglés .

Para obtener más información acerca de la implementación de AD DS en un entorno de Exchange, consulte el tema que trata acerca de la planeación deActive Directory para Exchange 2007 http://go.microsoft.com/fwlink/?LinkId=88904, puede estar en inglés .

Para obtener más información acerca de la implementación de AD DS en un entorno de varios bosques, consulte el tema donde se plantean las consideracionesacerca del uso de varios bosques en Windows 2000 y Windows Server 2003 http://go.microsoft.com/fwlink/?LinkId=88905, puede estar en inglés .

© 2015 Microsoft

Identificación de las tareas de diseño e implementación de ADDSActualizado: abril de 2008


Realizar una evaluación de alto nivel del entorno actual e identificar correctamente las tareas de implementación de los Servicios de dominio de Active Directory AD DS son puntos esenciales para el éxito de la estrategia de implementación de AD DS.

La estrategia de implementación de AD DS depende de la configuración de la red existente. Por ejemplo, si la organización ejecuta actualmente Windows Server 2003,se puede actualizar el sistema operativo a Windows Server 2008. El proceso de implementación puede requerir la reestructuración de los dominios existentes, ya seadentro de un bosque o entre bosques de Active Directory. Es posible que sea necesario reestructurar los dominios existentes después de implementar AD DS deWindows Server 2008 o después de realizar cambios organizativos o adquisiciones corporativas.

En la tabla siguiente se enumeran las principales tareas para formular, refinar y, finalmente, alcanzar los objetivos de implementación de AD DS.

Tareas de implementación Vínculos de referencia

Evaluar las tareas de implementación de AD DS predefinidas que seproporcionan en esta sección de la guía y combinarlas para lograrlos objetivos organizativos.

Diseño de AD DS

Diseño de la estructura lógica de los Servicios de dominio de Active Directory http://go.microsoft.com/fwlink/?LinkId=89024, puede estar en inglés

Diseño de la topología del sitio para los Servicios de dominio de Active Directory http://go.microsoft.com/fwlink/?LinkId=89026, puede estar en inglés

Planeación de la capacidad del controlador de dominio http://go.microsoft.com/fwlink/?LinkId=89027, puede estar en inglés

Habilitación de las características avanzadas de Windows Server 2008 para los Serviciosde dominio de Active Directory http://go.microsoft.com/fwlink/?LinkId=89030, puedeestar en inglés

Implementación de AD DS

Implementación de un dominio raíz del bosque de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89028, puede estar en inglés

Implementación de dominios regionales de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89029, puede estar en inglés

Actualización de dominios de AD DS a Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89032, puede estar en inglés

Reestructuración de los dominios de AD DS entre y dentro de bosques. Para obtenermás información, consulte la guía de migración de ADMT v3.1 http://go.microsoft.com/fwlink/?LinkId=82740, puede estar en inglés .

Asignar una tarea o una combinación de las tareas deimplementación de AD DS predefinidas a la estrategia de Asignación de las tareas de diseño e implementación a una estrategia de



















http://pabprod.blob.core.windows.net/books/64ed2483-9988-4d8a-b703-a02cefc84f 2d.html

implementación de AD DS que se ha seleccionado. implementación de AD DS

© 2015 Microsoft

Diseño de AD DSActualizado: abril de 2008


Diseño de la estructura lógica de Active DirectoryAntes de implementar los Servicios de dominio de Active Directory AD DS de Windows Server 2008, debe planear y diseñar la estructura lógica de AD DS para elentorno. La estructura lógica de AD DS determina la forma en que se organizan los objetos de directorio y constituye un método eficaz para administrar las cuentas yrecursos compartidos de la red. Cuando se diseña la estructura lógica de AD DS, se define una parte importante de la infraestructura de red de una organización.

Para diseñar la estructura lógica de AD DS, determine el número de bosques que la organización requiere y, después, cree diseños para los dominios, la infraestructuradel Sistema de nombres de dominio DNS y las unidades organizativas OU . En la ilustración siguiente se muestra el proceso de diseño de la estructura lógica.

Para obtener más información, consulte el tema que trata acerca del diseño de la estructura lógica de los Servicios de dominio de Active Directory http://go.microsoft.com/fwlink/?LinkId=89024, puede estar en inglés .

Diseño de la topología del sitioUna vez que haya diseñado la estructura lógica de la infraestructura de AD DS, debe diseñar la topología del sitio para la red. La topología del sitio es unarepresentación lógica de la red física. Contiene información sobre la ubicación de los sitios de AD DS, los controladores de dominio de AD DS de cada sitio y losvínculos a sitios y puentes de vínculos a sitios que admiten la replicación de AD DS entre los sitios. En la siguiente ilustración se muestra el proceso de diseño de latopología del sitio.








Para obtener más información, consulte el tema que trata acerca del diseño de la topología del sitio para los Servicios de dominio de Active Directory http://go.microsoft.com/fwlink/?LinkId=89026, puede estar en inglés .

Planeamiento de la capacidad del controlador de dominioPara garantizar un rendimiento eficaz de AD DS, es necesario determinar cuál es el número adecuado de controladores de dominio para cada sitio y comprobar quecumplen los requisitos de hardware de Windows Server 2008. Si se planea exhaustivamente la capacidad de los controladores de dominio, se garantiza que no seinfravaloren los requisitos de hardware, lo que puede provocar un mal rendimiento del controlador de dominio y un tiempo de respuesta de aplicación lento. En lailustración siguiente se muestra el proceso de planeación de la capacidad del controlador de dominio.

Para obtener más información, consulte el tema donde se explica el procedimiento para planear la capacidad del controlador de dominio http://go.microsoft.com/fwlink/?LinkId=89027, puede estar en inglés .

Habilitación de las características avanzadas de AD DS de Windows Server 2008Puede usar AD DS de Windows Server 2008 para dotar a su entorno de características avanzadas mediante la elevación del nivel funcional del dominio o del bosque.Puede elevar el nivel funcional a Windows Server 2008 cuando todos los controladores de dominio del bosque o del dominio ejecutan Windows Server 2008.

Para obtener más información, consulte el tema que explica cómo habilitar las características avanzadas de Windows Server 2008 para los Servicios de dominio deActive Directory http://go.microsoft.com/fwlink/?LinkId=89030, puede estar en inglés .

© 2015 Microsoft

Implementación de AD DSActualizado: abril de 2008


La estructura del entorno existente determina la estrategia de implementación de los Servicios de dominio de Active Directory AD DS de Windows Server 2008. Si va acrear un entorno con AD DS pero no tiene una estructura de dominios existente, complete el diseño de AD DS antes de empezar a crear el entorno de AD DS. Despuéspuede implementar un nuevo dominio raíz del bosque y la estructura de dominios restante de acuerdo con su diseño.

Asimismo, como parte de la implementación de AD DS, tiene la opción de actualizar y reestructurar el entorno, si así lo decide. Por ejemplo, si la organización cuentacon una estructura de dominios de Windows 2000 existente, puede realizar una actualización en contexto de algunos dominios y reestructurar otros. Además, puedeque decida reducir la complejidad del entorno mediante la reestructuración de dominios entre bosques o la reestructuración de dominios dentro de un bosquedespués de implementar AD DS.

Implementación de un dominio raíz del bosque de Windows Server 2008El dominio raíz del bosque ofrece las bases para la infraestructura del bosque de AD DS. Para implementar AD DS, primero se debe implementar un dominio raíz delbosque. Para ello, debe revisar el diseño de AD DS, configurar el servicio DNS para el dominio raíz del bosque y crear el dominio raíz del bosque, que consiste en laimplementación de controladores de dominio raíz del bosque, la configuración de la topología del sitio para el dominio raíz del bosque y la configuración de lasfunciones del maestro de operaciones también conocidas como FSMO o Flexible Single Master Operations , y elevar los niveles funcionales del bosque y del dominio.En la ilustración siguiente se muestra a grandes rasgos el proceso de implementar un dominio raíz del bosque.








Para obtener más información, consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89028, puede estar en inglés .

Implementación de los dominios regionales de Windows Server 2008Después de completar la implementación del dominio raíz del bosque, puede implementar cualquier dominio regional nuevo de Windows Server 2008 que el diseñoespecifique. Con este fin, deberá implementar controladores de dominio para cada dominio regional. En la ilustración siguiente se muestra el proceso deimplementación de los dominios regionales.

Para obtener más información, consulte el tema que trata acerca de la implementación de los dominios regionales de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89029, puede estar en inglés .

Actualización de dominios de Active Directory a Windows Server 2008Actualizar los dominios de Windows 2000 o Windows Server 2003 a dominios de Windows Server 2008 es una manera eficaz y sencilla de aprovechar las característicasy funcionalidad adicionales de Windows Server 2008. Puede actualizar los dominios para mantener la configuración actual de red y dominios al tiempo que mejora laseguridad, escalabilidad y facilidad de administración de la infraestructura de red. La actualización de Windows 2000 o Windows Server 2003 a Windows Server 2008requiere una configuración de red mínima. Por otra parte, tiene poco impacto en las operaciones de los usuarios. Para obtener más información, consulte el tema que

trata acerca de la actualización de dominios de AD DS a Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89032, puede estar en inglés .

Reestructuración de dominios de AD DSCuando se reestructuran dominios entre bosques de Windows Server 2008 reestructuración entre bosques , se puede reducir el número de dominios del entorno y, polo tanto, también la complejidad y la carga administrativas. Cuando se migran objetos entre bosques como parte de este proceso de reestructuración, el entorno deldominio de origen y el entorno del dominio de destino coexisten. Esto permite revertir al entorno de origen durante la migración, si es necesario.

Cuando se reestructuran dominios de Windows Server 2008 en un bosque de Windows Server 2008 reestructuración dentro del bosque , se puede consolidar laestructura de dominios y, por lo tanto, reducir la complejidad y la carga administrativas. Cuando se reestructuran dominios dentro de un bosque, las cuentas migradasdejan de existir en el dominio de origen.

Para obtener más información acerca del uso de la herramienta de migración de Active Directory ADMT versión 3.1 ADMT v3.1 para reestructurar dominios, consultela guía de migración de ADMT v3.1 http://go.microsoft.com/fwlink/?LinkId=82740, puede estar en inglés .

© 2015 Microsoft









Asignación de las tareas de diseño e implementación a unaestrategia de implementación de AD DSActualizado: junio de 2009


Cuando termine de revisar e identificar las tareas de diseño e implementación de los Servicios de dominio de Active Directory AD DS y después de determinar cuálesestán asociadas con su implementación concreta, puede asignarlas a una estrategia de implementación de AD DS específica.

Use la tabla siguiente para determinar qué estrategia de implementación de AD DS se corresponde con la combinación correcta de tareas de diseño e implementaciónde AD DS de su organización. "Sí" significa que se requiere una tarea específica para la estrategia de implementación; "No" significa que no se requiere una tareaespecífica para la estrategia de implementación.

Esta tabla se refiere únicamente a las tres estrategias de implementación de AD DS principales que se describen en esta guía. Sin embargo, puede crear una estrategiade implementación de AD DS personalizada o combinar las tareas de diseño e implementación de AD DS para satisfacer las necesidades de la organización.

Tareas de diseño eimplementación de AD DS

Planeamiento de la implementación de AD DSen una organización nueva

Planeamiento de laimplementación de AD DS en unaorganización con Windows Server2003

Planeamiento de laimplementación de AD DS en unaorganización con Windows 2000

Diseño de la estructura lógica delos Servicios de dominio deActive Directory http://go.microsoft.com/fwlink/?LinkId=89024, puede estar eninglés .

Yes Yes Yes

Diseño de la topología del sitiopara los Servicios de dominio deActive Directory http://go.microsoft.com/fwlink/?LinkId=89026, puede estar eninglés .

Yes Yes Yes

Planeación de la capacidad delcontrolador de dominio http://go.microsoft.com/fwlink/?LinkId=89027, puede estar eninglés

Yes Yes Yes

Implementación de un dominioraíz del bosque deWindows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89028, puede estar eninglés

Yes No No

Implementación de dominiosregionales deWindows Server 2008

http://go.microsoft.com/fwlink/?LinkId=89029, puede estar eninglés

Yes Yes Yes

Habilitación de las característicasavanzadas de Windows Server2008 para los Servicios dedominio de Active Directory http://go.microsoft.com/fwlink/?LinkId=89030, puede estar eninglés

Yes Sí, pero todos los controladores dedominio del entorno debenejecutar Windows Server 2008antes de establecer el nivelfuncional del dominio o del bosqueen Windows Server 2008.

Sí, pero todos los controladores dedominio del entorno deben ejecutarWindows Server 2008 antes deestablecer el nivel funcional deldominio o del bosque en WindowsServer 2008.

Actualización de dominios deAD DS a Windows Server 2008 http://go.microsoft.com/fwlink/?

No Yes Yes














http://pabpr od.blob.core.windows.net/books/64ed2483-9988-4d8a-b703-a02cefc84f2d.html 9

LinkId=89032, puede estar eninglés

Reestructuración de dominios deAD DS entre bosques http://go.microsoft.com/fwlink/?LinkId=82740, puede estar eninglés

Sí, si desea migrar un dominio piloto en elentorno de producción, realizar una fusión conotra organización y consolidar las dosinfraestructuras de tecnologías de la información TI o consolidar los dominios de recursos ycuentas que se actualizaron en contexto desdeentornos con Windows 2000 o WindowsServer 2003.

Sí, si desea realizar una fusión conotra organización y consolidar lasdos infraestructuras de TI oconsolidar los dominios de recursosy cuentas que se actualizaron encontexto desde entornos conWindows 2000 o WindowsServer 2003.

Sí, si desea realizar una fusión conotra organización y consolidar lasdos infraestructuras de TI oconsolidar los dominios de recursosy cuentas que se actualizaron encontexto desde entornos conWindows 2000 o WindowsServer 2003.

Reestructuración de dominios deAD DS dentro de bosques http://go.microsoft.com/fwlink/?LinkId=82740, puede estar eninglés

No Sí, si es necesario reducir el númerode dominios, el tráfico dereplicación y el volumen deadministración de usuarios ygrupos, o simplificar laadministración de la directiva degrupo.

Sí, si es necesario reducir el númerode dominios, el tráfico dereplicación y el volumen deadministración de usuarios ygrupos, o simplificar laadministración de la directiva degrupo.

© 2015 Microsoft

Planeamiento de la implementación de AD DS en unaorganización nuevaActualizado: abril de 2008


Es esencial preparar minuciosamente el diseño de los Servicios de dominio de Active Directory AD DS para que la implementación sea rentable. Si su entorno de redactualmente funciona sin un servicio de directorio, diseñe un plan integral de la estructura lógica de AD DS antes de implementar AD DS. Después, puede implementarun nuevo dominio raíz del bosque y la estructura de dominios restante de acuerdo con su diseño.

En la ilustración siguiente se muestran los pasos para implementar AD DS de Windows Server 2008 en un entorno de red que actualmente carece de un servicio dedirectorio.

© 2015 Microsoft

Planeamiento de la implementación de AD DS en unaorganización con Windows Server 2003Actualizado: abril de 2008










Si actualmente su organización ejecuta Active Directory de Windows Server 2003, puede implementar los Servicios de dominio de Active Directory AD DS de WindowServer 2008 por medio de la actualización en contexto de una parte o la totalidad de los sistemas operativos de los controladores de dominio a Windows Server 2008 omediante la incorporación al entorno de controladores de dominio que e jecuten Windows Server 2008.

Antes de agregar un controlador de dominio que ejecute Windows Server 2008 a un dominio existente de Active Directory de Windows Server 2003, es preciso ejecutaadprep, una herramienta de línea de comandos. Adprep extiende el esquema de AD DS, actualiza los descriptores de seguridad predeterminados de objetosseleccionados y agrega los nuevos objetos de directorio que requieren determinadas aplicaciones. Adprep está disponible en el disco de instalación de WindowsServer 2008 \sources\adprep\adprep.exe . Para obtener más información, consulte Adprep http://go.microsoft.com/fwlink/?LinkId=99215, puede estar en inglés .

En la ilustración siguiente se muestran los pasos para implementar AD DS de Windows Server 2008 en un entorno de red que actualmente ejecuta Active Directory deWindows Server 2003.

Nota

Si desea establecer el nivel funcional del dominio o del bosque en Windows Server 2008, todos los controladores de dominio del entorno deben ejecutar el sistemaoperativo Windows Server 2008.

La consolidación de dominios de recursos y dominios de cuentas que se actualizan en contexto desde un entorno de Windows Server 2003 como parte de laimplementación de AD DS de Windows Server 2008 puede requerir la reestructuración de dominios entre bosques o dentro del bosque. La reestructuración dedominios de AD DS entre bosques ayuda a reducir la complejidad de la representación de la organización en AD DS, así como los costos administrativos asociados. Lareestructuración de dominios de AD DS dentro de un bosque ayuda a reducir la carga administrativa de la organización al disminuir el tráfico de replicación y elvolumen de administración de usuarios y grupos, y al simplificar la administración de la directiva de grupo. Para obtener más información, consulte la guía de migracióde ADMT v3.1 http://go.microsoft.com/fwlink/?LinkId=82740, puede estar en inglés .

© 2015 Microsoft

Planeamiento de la implementación de AD DS en una

organización con Windows 2000Actualizado: abril de 2008


Si actualmente su organización ejecuta Active Directory de Windows 2000, puede implementar los Servicios de dominio de Active Directory AD DS de WindowsServer 2008 por medio de la actualización en contexto de una parte o la totalidad de los sistemas operativos de los controladores de dominio a Windows Server 2008 omediante la incorporación al entorno de controladores de dominio que e jecuten .

Antes de agregar un controlador de dominio que ejecute Windows Server 2008 a un dominio existente de Active Directory de Windows 2000, es preciso ejecutaradprep, una herramienta de línea de comandos. Adprep extiende el esquema de AD DS, actualiza los descriptores de seguridad predeterminados de objetosseleccionados y agrega los nuevos objetos de directorio que requieren determinadas aplicaciones. Adprep está disponible en el disco de instalación de WindowsServer 2008 \sources\adprep\adprep.exe . Para obtener más información, consulte Adprep http://go.microsoft.com/fwlink/?LinkId=99215, puede estar en inglés .








Nota

Si desea realizar una actualización en contexto de un controlador de dominio de AD DS de Windows 2000 existente a Windows Server 2008, primero debe actualizarel servidor a Windows Server 2003 y después a Windows Server 2008.

En la ilustración siguiente se muestran los pasos para implementar AD DS de Windows Server 2008 en un entorno de red que actualmente ejecuta Active Directory deWindows 2000.

Nota

Si desea establecer el nivel funcional del dominio o del bosque en Windows Server 2008, todos los controladores de dominio del entorno deben ejecutar el sistemaoperativo Windows Server 2008.

La consolidación de dominios de recursos y de cuentas que se actualizan en contexto desde un entorno de Windows 2000 como parte de la implementación de AD DSde Windows Server 2008 puede requerir la reestructuración de dominios entre bosques o dentro del bosque. La reestructuración de dominios de AD DS entre bosques

ayuda a reducir la complejidad de la organización y los costos administrativos asociados. La reestructuración de dominios de AD DS dentro de un bosque ayuda areducir la carga administrativa de la organización al disminuir el tráfico de replicación y el volumen de administración de usuarios y grupos, y al simplificar laadministración de la directiva de grupo. Para obtener más información, consulte la guía de migración de ADMT v3.1 http://go.microsoft.com/fwlink/?LinkId=82740,puede estar en inglés .

© 2015 Microsoft

Diseño de una estructura lógica para AD DS en Windows Server2008Actualizado: abril de 2008


Los Servicios de dominio de Active Directory® AD DS del sistema operativo de Windows Server® 2008 permiten a las organizaciones crear una infraestructura seguraescalable y administrable para la administración de recursos y usuarios, y admiten también aplicaciones habilitadas para directorio.

Una estructura lógica de Active Directory bien diseñada presenta las siguientes ventajas:

Administración simplificada de redes basadas en Microsoft® Windows® que contienen un gran número de objetos

Una estructura de dominio consolidada y costos de administración reducidos

La capacidad de delegar el control administrativo sobre los recursos, según corresponda

Una repercusión reducida sobre el ancho de banda de la red

El uso compartido simplificado de los recursos






Óptimo rendimiento de búsqueda

Un bajo costo total de propiedad

Una estructura lógica de Active Directory bien diseñada facilita la integración eficaz en el sistema de características tales como directiva de grupo, bloqueo de escritoriodistribución de software y administración de usuarios, grupos, estaciones de trabajo y servidores. Además, una estructura lógica diseñada cuidadosamente facilta laintegración de servicios y aplicaciones de Microsoft y que no son de Microsoft, como Microsoft Exchange Server, infraestructura de clave pública PKI y un sistema dearchivos distribuido DFS basado en dominio.

Cuando se diseña una estructura lógica de Active Directory antes de implementar AD DS, es posible optimizar el proceso de implementación para aprovechar mejor lasventajas que ofrecen las características de Active Directory de Windows Server 2008. Para diseñar la estructura lógica de Active Directory, el equipo de diseño identifica

en primer lugar los requisitos de la organización y, basándose en esa información, decide dónde colocar los límites del dominio y el bosque. A continuación, el equipode diseño decide cómo configurar el entorno del Sistema de nombres de dominio DNS para satisfacer las necesidades del bosque. Por último, el equipo de diseñoidentifica la estructura de la unidad organizativa OU necesaria para delegar la administración de los recursos de la organización.

En esta guía

Descripción del modelo lógico de Active Directory

Identificación de los participantes en el proyecto de implementación

Creación del diseño de un bosque

Creación del diseño de un dominio

Creación del diseño de una infraestructura DNS

Creación del diseño de una unidad organizativa

Búsqueda de recursos adicionales para el diseño de la estructura lógica de Active Directory de Windows Server 2008

Apéndice A: Inventario de DNS

© 2015 Microsoft

Descripción del modelo lógico de Active DirectoryActualizado: abril de 2008


Diseñar la estructura lógica de los Servicios de dominio de Active Directory AD DS implica definir las relaciones entre los contenedores del directorio. Estas relacionespueden basarse en requisitos administrativos, como la delegación de autoridad, o pueden venir definidas por requisitos operativos, como la necesidad de controlar lareplicación.

Antes de diseñar la estructura lógica de Active Directory, es importante entender el modelo lógico de Active Directory. AD DS es una base de datos distribuida quealmacena y administra información acerca de los recursos de red así como datos específicos de las aplicaciones con directorio habilitado. AD DS permite a losadministradores organizar los elementos de una red por ejemplo, los usuarios, los equipos y los dispositivos en una estructura de contención jerárquica. El contenedode nivel superior es el bosque. Dentro de los bosques están los dominios y dentro de los dominios, las unidades organizativas OU . Se trata de un modelo lógicoporque es independiente de los aspectos físicos de la implementación, como el número de controladores de dominio necesarios en cada dominio y topología de red.

Bosque de Active DirectoryUn bosque es un conjunto de uno o varios dominios de Active Directory que comparten una estructura lógica, un esquema del directorio definiciones de clase yatributo , una configuración de directorio información de replicación y del sitio y un catálogo global capacidades de búsqueda en todo el bosque comunes. Losdominios del mismo bosque se vinculan automáticamente con relaciones de confianza transitivas bidireccionales.

Dominio de Active DirectoryUn dominio es una partición dentro de un bosque de Active Directory. La partición de datos permite a las organizaciones replicar los datos únicamente donde esnecesario. De esta manera, el directorio se puede adaptar globalmente en una red que dispone de un ancho de banda limitado. Además, el dominio es compatible conotras funciones clave relacionadas con la administración, entre las que se incluyen:

Identidad de usuario en toda la red. El dominio permite crear identidades de usuario y hacer referencia a ellas en cualquier equipo unido al bosque en el que seencuentra el dominio. Los controladores de dominio que forman parte del mismo se usan para almacenar cuentas y credenciales de usuario como contraseñas certificados de forma segura.

Autenticación. Los controladores de dominio proporcionan servicios de autenticación a los usuarios y datos de autorización adicionales, como pertenencia agrupos de usuarios, que se pueden usar para controlar el acceso a los recursos de la red.

Relaciones de confianza. Los dominios pueden ampliar los servicios de autenticación a los usuarios de dominios situados fuera de su propio bosque medianterelaciones de confianza.













Replicación. El dominio define una partición del directorio que contiene datos suficientes para proporcionar servicios de dominio y, a continuación, la replicaentre los controladores del dominio. De esta manera, todos los controladores están en el mismo nivel dentro del dominio y se administran como una unidad.

Unidades organizativas de Active DirectoryLas OU se pueden usar para formar una jerarquía de contenedores dentro de un dominio. Las OU se usan para agrupar objetos con fines administrativos, como laaplicación de una directiva de grupo o la delegación de autoridad. El control sobre una OU y los objetos de la misma está determinado por las listas de control deacceso ACL de la OU y de los objetos de la OU. Para facilitar la administración de un gran número de objetos, AD DS es compatible con el concepto de delegación deautoridad. Mediante la delegación, los propietarios pueden transferir un control administrativo total o limitado sobre los objetos a otros usuarios o grupos. Ladelegación es importante porque ayuda a distribuir la administración de un gran número de objetos entre una serie de usuarios en quienes se confía para realizartareas de administración.

© 2015 Microsoft

Identificación de los participantes en el proyecto deimplementaciónActualizado: abril de 2008


El primer paso a la hora de establecer un proyecto de implementación para los Servicios de dominio de Active Directory AD DS consiste en configurar los equipos delproyecto de diseño e implementación que serán responsables de administrar las fases de diseño e implementación del ciclo de proyectos de Active Directory. Además,

deben identificarse las personas y grupos que serán los propietarios del directorio y los responsables de mantenerlo una vez completada la implementación.

Definición de las funciones específicas del proyecto

Determinación de los propietarios y administradores

Creación de los equipos del proyecto

Definición de las funciones específicas del proyectoUn paso importante a la hora de definir los equipos del proyecto es identificar a las personas que desempeñarán las funciones específicas del mismo. Entre ellas seincluyen el patrocinador ejecutivo, el arquitecto del proyecto y el administrador del proyecto. Estas personas son responsables de ejecutar el proyecto deimplementación de Active Directory.

Una vez designados el administrador y el arquitecto del proyecto, éstos establecerán los canales de comunicación en toda la organización, crearán las programaciones

del proyecto e identificarán a las personas que formarán parte de los equipos del proyecto, empezando por los diversos propietarios.

Patrocinador ejecutivoImplementar una infraestructura como AD DS puede tener una amplia repercusión en la organización. Por este motivo, es importante contar con un patrocinadorejecutivo que entienda el valor comercial de la implementación, apoye el proyecto en el nivel ejecutivo y pueda ayudar a resolver conflictos en toda la organización.

Arquitecto del proyectoToda implementación de Active Directory requiere un arquitecto de proyectos que administre el diseño y el proceso de toma de decisiones de la implementación. Elarquitecto aporta conocimientos técnicos que ayudan durante el proceso de diseño e implementación de AD DS.

Nota

Si el personal de la organización no tiene experiencia en el diseño de directorios, puede que desee contratar a un asesor externo experto en el diseño eimplementación de Active Directory.

Las responsabilidades del arquitecto del proyecto de Active Directory incluyen:

Ser propietario del diseño de Active Directory

Entender y registrar las razones que sustentan las decisiones clave del diseño

Asegurarse de que el diseño satisface las necesidades empresariales de la organización

Alcanzar el consenso entre los equipos de diseño, implementación y operaciones

Entender las necesidades de las aplicaciones integradas en AD DS

http://-/?-

http://-/?-

http://-/?-





El diseño final de Active Directory debe reflejar una combinación de objetivos empresariales y decisiones técnicas. Por lo tanto, el arquitecto del proyecto debe revisarlas decisiones de diseño para asegurarse de que se alinean con los objetivos empresariales.

Administrador del proyectoAl administrador del proyecto facilita la cooperación entre las unidades empresariales y entre los grupos de administración de tecnología. Lo ideal es que eladministrador del proyecto de implementación de Active Directory sea alguien de dentro de la organización que esté familiarizado tanto con las directivas operativasdel grupo de TI como con los requisitos de diseño de los grupos que se están preparando para implementar AD DS. El administrador del proyecto supervisa todo elproyecto de implementación, empezando por el diseño y continuando por la implementación, y se asegura de que el proyecto se ajuste a la programación y semantenga dentro del presupuesto. Entre las responsabilidades del administrador del proyecto se incluyen las siguientes:

Proporcionar la planificación básica del proyecto, como la programación y el presupuesto

Impulsar los progresos en el proyecto de diseño e implementación de Active Directory

Asegurarse de que las personas adecuadas participen en cada una de las fases del proceso de diseño

Servir como punto de contacto único para el proyecto de implementación de Active Directory

Establecer la comunicación entre los equipos de diseño, implementación y operaciones

Establecer y mantener la comunicación con el patrocinador ejecutivo en todo el proyecto de implementación

Determinación de los propietarios y administradoresPara los administradores, los propietarios en un proyecto de implementación de Active Directory son responsables de asegurarse de que las tareas de implementaciónse completan y de que las especificaciones de diseño de Active Directory satisfacen las necesidades de la organización. Los propietarios no necesariamente tendrán

acceso directo a la infraestructura del directorio ni podrán manipularlo. Los administradores son las personas responsables de realizar las tareas de implementaciónnecesarias. Los administradores tienen los permisos y el acceso de red necesarios para manipular el directorio y su infraestructura.

La función del propietario es estratégica y administrativa. Los propietarios son responsables de comunicar a los administradores las tareas necesarias para laimplementación del diseño de Active Directory, como la creación de nuevos controladores de dominio dentro del bosque. Los administradores son responsables deimplementar el diseño en la red conforme a las especificaciones de diseño.

En las organizaciones de gran tamaño, personas diferentes ocupan las funciones de propietario y administrador, mientras que en algunas organizaciones pequeñas, lamisma persona actúa como propietaria y administradora al mismo tiempo.

Propietarios de datos y serviciosEn la administración diaria de AD DS intervienen dos tipos de propietarios:

Propietarios de servicios, que son responsables de la planificación y el mantenimiento a largo plazo de la infraestructura de Active Directory y de garantizar queel directorio continúa funcionando y de que se mantienen los objetivos establecidos en los acuerdos de nivel de servicios.

Los propietarios de datos, que son responsables del mantenimiento de la información almacenada en el directorio. Ello incluye la administración de cuentas deequipo y usuario y la administración de recursos locales, como estaciones de trabajo y servidores miembro.

Es importante identificar con antelación a los propietarios de datos y servicios de Active Directory para que puedan participar en la mayor parte del proceso de diseñoque sea posible. Puesto que los propietarios de datos y servicios son responsables del mantenimiento a largo plazo del directorio una vez que ha finalizado el proyectode implementación, es importante que estas personas proporcionen información relativa a las necesidades organizativas y estén familiarizadas con los motivos y laforma en que se toman determinadas decisiones de diseño. Entre los propietarios de servicios se incluyen el propietario del bosque, el propietario del Sistema denombres de dominio DNS de Active Directory y el propietario de la topología del sitio. Entre los propietarios de datos se incluye a los propietarios de la unidadorganizativa OU .

Administradores de datos y serviciosDos tipos de administradores intervienen en el funcionamiento de AD DS: administradores de servicios y administradores de datos. Los administradores de serviciosimplementan las decisiones de la directiva tomadas por los propietarios de servicios y hacen cargo de las tareas diarias asociadas al mantenimiento de la infraestructury el servicio del directorio. Ello incluye administrar los controladores de dominio que hospedan el servicio de directorio, administrar otros servicios de red como DNS

necesarios para AD DS, controlar la configuración de las opciones de todo el bosque y garantizar que el directorio esté siempre disponible.

Los administradores de servicios son responsables también de completar las tareas continuas de implementación de Active Directory que son necesarias una vez que seha completado el proceso inicial de implementación de Active Directory de Windows Server 2008. Por ejemplo, a medida que aumentan las demandas sobre eldirectorio, los administradores de servicios crean controladores de dominio adicionales y establecen o eliminan las relaciones de confianza entre los dominios, segúnsea necesario. Por este motivo, el equipo de implementación de Active Directory necesita incluir a administradores de servicios.

Hay que tener cuidado de asignar las funciones de administrador de servicios únicamente a personas de confianza dentro de la organización. Puesto que estaspersonas tienenla capacidad de modificar los archivos del sistema en los controladores de dominio, pueden modificar el comportamiento de AD DS. Es precisoasegurarse de que los administradores de servicios de la organización sean personas que estén familiarizadas con las directivas operativas y de seguridad vigentes en lared y que entiendan la necesidad de hacer que se cumplan.

Los administradores de datos son usuarios de un dominio responsables tanto de mantener los datos que se almacenan en AD DS, como cuentas de grupo y usuario,como de mantener los equipos miembros del dominio. Los administradores de datos controlan subconjuntos de objetos dentro del directorio y no tienen ningúncontrol sobre la instalación o configuración del servicio de directorio.





De manera predeterminada no se proporcionan cuentas de administradores de datos. Una vez que el equipo de diseño determina cómo deben administrarse losrecursos para la organización, los propietarios del dominio deben crear cuentas de administradores de datos y delegar en ellos los permisos correspondientesbasándose en el conjunto de objetos de los que van a ser responsables los administradores.

Es mejor limitar el número de administradores de servicios de la organización al número mínimo necesario para garantizar que la infraestructura siga funcionando. Lamayor parte del trabajo administrativo pueden llevarla a cabo los administradores de datos. Los administradores de servicios requieren un conjunto de destrezas muchmás amplio, ya que son responsables de mantener el directorio y la infraestructura que lo sustenta. Los administradores de datos sólo requieren las habilidadesnecesarias para administrar su parte del directorio. Dividir las asignaciones de trabajo de esta manera tiene como resultado un ahorro de costos para la organización, yque sólo es preciso impartir formación a un número reducido de administradores para que haga funcionar y mantenga todo el directorio y su infraestructura.

Por ejemplo, un administrador de servicios necesita entender cómo agregar un dominio a un bosque. Ello incluye saber cómo instalar el software para convertir unservidor en un controlador de dominio y cómo manipular el entorno DNS para que el controlador de domino pueda combinarse sin problemas con el entorno de ActivDirectory. Un administrador de datos sólo necesita saber cómo administrar los datos específicos de los que son responsables, como la creación de nuevas cuentas deusuario para los empleados nuevos del departamento.

Implementar AD DS requiere la coordinación y la comunicación entre los diversos grupos involucrados en el funcionamiento de la infraestructura de red. Estos gruposdeben designar a los propietarios de datos y servicios responsables de representar a los distintos grupos durante el proceso de diseño e implementación.

Una vez que ha finalizado el proyecto de implementación, estos propietarios de datos y servicios siguen siendo responsables de la parte de la infraestructuraadministrada por su grupo. En un entorno de Active Directory, estos propietarios son el propietario del bosque, el propietario de DNS para AD DS, el propietario de latopología del sitio y el propietario de la unidad organizativa OU . Las funciones de estos propietarios de datos y servicios se explican en las siguientes secciones.

Propietario del bosqueEl propietario del bosque suele ser un administrador jefe de tecnologías de la información TI de la organización que es responsable del proceso de implementación dActive Directory y de administrar, en última instancia, la prestación de los servicios dentro del bosque una vez finalizada la implementación. El propietario del bosquedesigna a las personas que desempeñarán las demás funciones de propietarios identificando al personal clave de la organización capaz de aportar la informaciónnecesaria sobre la infraestructura de la red y las necesidades administrativas. El propietario del bosque es responsable de lo siguiente:

Implementación del dominio raíz del bosque para crear el bosque

Implementación del primer controlador de dominio de cada dominio para crear los dominios necesarios para el bosque

Pertenencias de los grupos de administradores de servicios de todos los dominios del bosque

Creación del diseño de la estructura de la unidad organizativa para cada dominio del bosque

Delegación de la autoridad administrativa a los propietarios de la OU

Cambios en el esquema

Cambios en las opciones de configuración de todo el bosque

Implementación de determinadas opciones de directiva de la directiva de grupo, incluidas las directivas de cuenta de usuario de dominio como las directivas debloqueo de cuenta y de contraseñas específicas.

Opciones de directiva de negocio que se aplican a los controladores de dominio

Cualquier otra configuración de directiva de grupo que se aplica en el nivel de dominio

El propietario del bosque tiene autoridad sobre todo el bosque. Es responsabilidad del propietario del bosque establecer las directivas de negocio y la directiva degrupo para seleccionar a las personas que serán administradores de servicios. El propietario del bosque es un propietario de servicios.

Propietario de DNS para AD DSEl propietario de DNS para AD DS es una persona que tiene un conocimiento profundo de la infraestructura de DNS y del espacio de nombres existentes de laorganización.

El propietario de DNS para AD DS es responsable de lo siguiente:

Servir como enlace entre el equipo de diseño y el grupo de TI que posee actualmente la infraestructura de DNS

Proporcionar información sobre el espacio de nombres de DNS existente en la organización para ayudar a crear el nuevo espacio de nombres de ActiveDirectory.

Trabajar con el equipo de implementación para garantizar que la nueva infraestructura de DNS se implemente conforme a las especificaciones del equipo dediseño y de que ésta está funcionando adecuadamente.

Administrar la infraestructura de DNS para AD DS, incluido el servicio Servidor DNS y los datos DNS

El propietario de DNS para AD DS es un propietario de servicios.

Propietario de la topología del sitioEl propietario de la topología del sitio está familiarizado con la estructura física de la red de la organización, incluida la asignación de subredes individuales, enrutadorey áreas de red que están conectadas mediante vínculos lentos. El propietario de la topología del sitio es responsable de lo siguiente:

Entender la topología de la red física y cómo afecta a AD DS





Entender cómo repercutirá la implementación de Active Directory en la red

Determinar los sitios lógicos de Active Directory que necesitan crearse

Actualizar los objetos del sitio para los controladores de dominio cuando se agrega, modifica o elimina una subred

Crear vínculos de sitio, puentes de vínculo a sitio y objetos de conexión manual

El propietario de la topología del sitio es un propietario de servicios.

Propietario de unidad organizativa OU

El propietario de la unidad organizativa OU es responsable de administrar los datos almacenados en el directorio. Esta persona necesita estar familiarizado con lasdirectivas operativas y de seguridad vigentes en la red. Los propietarios de la unidad organizativa OU sólo pueden realizar las tareas que han delegado en ellos losadministradores de servicios, y sólo pueden realizar dichas tareas en las unidades organizativas a las que están asignados. Entre las tareas que podrían asignarse alpropietario de la OU se incluyen las siguientes:

Realizar todas las tareas de administración de cuentas dentro de sus unidades organizativas OU asignadas

Administrar estaciones de trabajo y servicios miembro que son miembros de sus unidades organizativas asignadas

Delegar la autoridad en los administradores locales dentro de sus unidades organizativas OU asignadas

El propietario de la unidad organizativa OU es un propietario de datos.

Creación de los equipos del proyectoLos equipos de proyecto de Active Directory son grupos temporales responsables de completar las tareas de diseño e implementación de Active Directory. Cuandofinaliza el proyecto de implementación de Active Directory, los propietarios asumen la responsabilidad del directorio y los equipos de proyecto pueden disolverse.

El tamaño de los equipos de proyecto varía dependiendo del tamaño de la organización. En las organizaciones pequeñas, una única persona puede abarcar varias áreasde responsabilidad en un equipo de proyecto y participar en diversas fases de la implementación. Las organizaciones de gran tamaño pueden requerir equipos másgrandes con personas diferentes o incluso equipos distintos que abarquen las diversas áreas de responsabilidad. El tamaño de los equipos no es importante siempreque se asignen todas las áreas de responsabilidad y que los objetivos de diseño de la organización se satisfagan.

Identificación de los potenciales propietarios de bosqueIdentifique los grupos de la organización que poseen y tienen el control de los recursos necesarios para proporcionar los servicios de directorio a los usuarios de la redEstos grupos se consideran propietarios del bosque en potencia.

La separación entre la administración de datos y la de servicios en AD DS permite al grupo o grupos de TI de la infraestructura de una organización administrar elservicio de directorio mientras los administradores de cada grupo administran los datos que pertenecen a sus propios grupos. Los propietarios potenciales del bosquetienen la autoridad necesaria sobre la infraestructura de la red para implementar y dar soporte técnico a AD DS.

Para las organizaciones que tienen un grupo de TI de infraestructura centralizado, dicho grupo es generalmente el propietario del bosque y, por tanto, el propietario enpotencia del bosque para cualquier implementación futura. Las organizaciones que contienen una serie de grupos de TI de infraestructura independientes tienen unnúmero de propietarios potenciales del bosque. Si la organización ya tiene una infraestructura de Active Directory, los propietarios del bosque actuales son también lospropietarios potenciales del bosque para nuevas implementaciones.

Seleccione uno de los propietarios potenciales del bosque para que actúe como propietario de cualquier bosque que esté considerando implementar. Estospropietarios potenciales del bosque son responsables de trabajar con el equipo de diseño para determinar si se implementará realmente o no su bosque o si hay algúncurso de acción alternativo como unirse a un bosque existente con el que se haga un mejor uso de los recursos disponibles al tiempo que se satisfacen susnecesidades. El propietario o propietarios del bosque de la organización es miembro del equipo de diseño de Active Directory.

Creación de un equipo de diseñoEl equipo de diseño de Active Directory es responsable de reunir toda la información necesaria para tomar decisiones acerca del diseño de la estructura lógica de ActivDirectory.

Entre las responsabilidades del equipo de diseño se incluyen las siguientes:

Determinar cuántos bosques y dominios se necesitan y qué relaciones habrá entre los bosques y los dominios

Trabajar con los propietarios de los datos para garantizar que el diseño satisface sus requisitos administrativos y de seguridad

Trabajar con los administradores de red actuales para garantizar que la infraestructura de red existente es compatible con el diseño y que éste no tendrá efectosadversos sobre las aplicaciones implementadas en la red.

Trabajar con los representantes del grupo de seguridad de la organización para garantizar que el diseño satisface las directivas de seguridad establecidas.

Diseñar estructuras de unidad organizativa OU que permitan niveles de protección apropiados y una adecuada delegación de autoridad a los propietarios delos datos.

Trabajar con el equipo de implementación para probar el diseño en un entorno de laboratorio a fin de garantizar que funciona conforme a lo planeado, así compara modificarlo en caso de que sea necesario solucionar cualquier problema que pudiera surgir.





Crear un diseño de topología de sitio que satisfaga los requisitos de replicación del bosque al tiempo que evita la sobrecarga del ancho de banda disponible.Para obtener más información sobre el diseño de la topología del sitio, consulte el tema que trata acerca del diseño de la topología del sitio de los Servicios dedominio de Active Directory en http://go.microsoft.com/fwlink/?LinkId=89026 puede estar en inglés .

Trabajar con el equipo de implementación para garantizar que el diseño se implementa correctamente

Entre los miembros del equipo de diseño se incluyen:

Propietarios potenciales del bosque

Arquitecto del proyecto

Administrador del proyecto

Personas responsables de establecer y mantener las directivas de seguridad en la red

Durante el proceso de diseño de la estructura lógica, el equipo de diseño identifica a los demás propietarios. Estas personas deben empezar a participar en el procesode diseño tan pronto como sean designadas. Una vez que el proyecto de implementación se entrega al equipo de implementación, el equipo de diseño es responsablede supervisar el proceso de implementación para garantizar que el diseño se implemente correctamente. El equipo de diseño también se encarga de realizar loscambios en el diseño conforme a los comentarios recibidos de las pruebas.

Creación de un equipo de implementaciónEl equipo de implementación de Active Directory es responsable de probar e implementar el diseño de la estructura lógica de Active Directory. Esto conlleva realizar lassiguientes tareas:

Establecer un entorno de prueba que emule suficientemente el entorno de producciónProbar el diseño implementando la estructura de dominio y bosque propuesta en un entorno de laboratorio a fin de verificar que satisface los objetivos de cadauno de los propietarios de las funciones

Desarrollar y probar cualquiera de los escenarios de migración propuestos por el diseño en un entorno de laboratorio

Asegurarse de que los propietarios cierran la sesión en el proceso de comprobación para garantizar que se están comprobando las características de diseñocorrectas

Probar la operación de implementación en un entorno piloto

Una vez completadas las tareas de diseño y prueba, el equipo de implementación realiza las siguientes tareas:

Crea los bosques y dominios conforme al diseño de la estructura lógica de Active Directory

Crea los sitios y objetos de vínculo a sitios basándose en el diseño de la topología del sitio

Garantiza que la infraestructura de DNS se configure para admitir AD DS y que todos los espacios de nombres nuevos se integren en el espacio de nombresexistente de la organización

Entre los miembros del equipo de implementación de Active Directory se incluyen:

Propietario del bosque

Propietario de DNS para AD DS

Propietario de la topología del sitio

Propietarios de unidad organizativa OU

El equipo de implementación trabaja con los administradores de datos y servicios durante la fase de implementación para garantizar que los miembros del equipo deoperaciones están familiarizados con el nuevo diseño. Esto ayuda a garantizar que la transición de propiedad se realice con fluidez una vez completada la operación deimplementación. Al término del proceso de implementación, la responsabilidad de mantener el nuevo entorno de Active Directory pasa al equipo de operaciones.

Documentar los equipos de diseño e implementaciónDocumente los nombres y la información de contacto de las personas que participarán en el diseño e implementación de AD DS. Identifique a las personasresponsables de cada función dentro de los equipos de diseño e implementación. En principio, en esta lista se encuentran los propietarios potenciales del bosque, eladministrador del proyecto y e l arquitecto del proyecto. Cuando determine el número de bosques que desea implementar, puede que necesite crear nuevos equipos ddiseño para bosques adicionales. Tenga en cuenta que tendrá que actualizar su documentación a medida que cambien los miembros del equipo y a medida queidentifique a los distintos propietarios de Active Directory durante el proceso de diseño. Para ver una hoja de trabajo que le ayude a documentar los equipos de diseñoe implementación para cada bosque, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de implementación deWindows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 puede estar en inglés y abra "Design and Deployment Team Information" DSSLOGI_1.doc .

© 2015 Microsoft


http://go.microsoft.com/fwlink/?LinkID=102558





Creación del diseño de un bosqueActualizado: abril de 2008


La creación del diseño de un bosque conlleva identificar primero los grupos de la organización que disponen de recursos para alojar un bosque de Active Directory y, acontinuación, definir los requisitos de diseño del bosque. Por último, es preciso determinar el número de bosques que se requieren para satisfacer las necesidades de laorganización.

Una vez asignados todos los requisitos de diseño a modelos de bosque y seleccionado el modelo de bosque que satisface las necesidades de la organización, se debedocumentar el diseño de bosque propuesto. En la documentación se incluirá el nombre del grupo para el que se diseña el bosque, la información de contacto delpropietario del bosque, el tipo de cada uno de los bosques que incluya y los requisitos que cada bosque satisface. Esta documentación ayudará al equipo de diseño agarantizar que todas las personas adecuadas participen en el proceso de diseño y a aclarar el alcance del proyecto de implementación.

Para ver una hoja de trabajo que le ayude a documentar el diseño de bosque propuesto, descargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de implementación de Windows Server 2003 enhttp://go.microsoft.com/fwlink/?LinkID=102558 puede estar en inglés y abra "Forest Design" DSSLOGI_3.doc .

En esta sección

Identificación de los requisitos de diseño del bosque

Determinación del número de bosques requeridos

© 2015 Microsoft

Identificación de los requisitos de diseño del bosqueActualizado: abril de 2008


A la hora de crear el diseño de un bosque para la organización es preciso identificar los requisitos comerciales a los que necesita ajustarse la estructura del directorio.Esto conlleva determinar el grado de autonomía que los grupos de la organización necesitan para administrar sus recursos de red y si cada grupo necesita o no aislarsus recursos en la red de los demás grupos.

Los Servicios de dominio de Active Directory AD DS permiten diseñar una infraestructura de directorios que dé cabida a varios grupos de una organización conrequisitos de administración únicos y conseguir la independencia estructural y operativa que sea necesaria entre los grupos.

Los grupos de la organización podrían tener algunos de los siguientes tipos de requisitos:

Requisitos de estructura organizativa. Partes de una organización podrían participar en una infraestructura compartida para ahorrar costos, pero requerir lacapacidad de operar de forma independiente del resto de la organización. Por ejemplo, un grupo de investigación de una organización de gran tamaño podríanecesitar mantener el control sobre la totalidad de sus datos de investigación.

Requisitos operativos. Una parte de una organización podría imponer restricciones únicas sobre la seguridad, disponibilidad o configuración del servicio dedirectorio, o usar aplicaciones que impongan restricciones únicas en el directorio. Por ejemplo, unidades de negocio individuales dentro de una organizaciónpodrían implementar aplicaciones habilitadas para el uso de directorios que modifiquen el esquema del directorio y que no hayan implementado otras unidadede negocio. Puesto que todos los dominios del bosque comparten el esquema del directorio, crear varios bosques es una solución para casos como este. Sepueden encontrar otros ejemplos en los siguientes casos y organizaciones:

Organizaciones militares

Escenarios de hospedaje

Organizaciones que mantienen un directorio disponible tanto interna como externamente como aquellos a los que los usuarios pueden obtener accesopúblicamente en Internet .

Requisitos legales. Algunas organizaciones deben cumplir requisitos legales para operar de una forma determinada, como por ejemplo limitar el acceso aciertos datos especificados en un contrato comercial. Algunas organizaciones deben cumplir requisitos de seguridad para operar en redes internas aisladas. Elincumplimiento de dichos requisitos puede dar lugar a la pérdida del contrato y al inicio de posibles acciones legales.

Parte de la identificación de los requisitos de diseño del bosque consiste en identificar el grado de confianza que los grupos de la organización pueden tener en lospotenciales propietarios del bosque y sus administradores de servicios y en identificar los requisitos de autonomía y aislamiento de cada grupo de la organización.

El equipo de diseño debe documentar los requisitos de autonomía y aislamiento en materia de administración de datos y servicios para cada grupo de la organizaciónque desee usar AD DS. El equipo debe también tomar nota de las áreas de conectividad limitada que podrían repercutir en la implementación de AD DS.

El equipo de diseño debe documentar los requisitos de autonomía y aislamiento en materia de administración de datos y servicios para cada grupo de la organizaciónque desee usar AD DS. El equipo debe también tomar nota de las áreas de conectividad limitada que podrían repercutir en la implementación de AD DS. Para ver una








hoja de trabajo que le ayude a documentar las regiones identificadas, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aidsdel Kit de implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 puede estar en inglés y abra "Forest Design Requirements" DSSLOGI_2.doc .

En esta sección

Ámbito de autoridad del administrador de servicios

Autonomía y aislamiento

© 2015 Microsoft

Ámbito de autoridad del administrador de serviciosActualizado: abril de 2008


Si decide participar en un bosque de Active Directory, debe confiar en el propietario del bosque y en los administradores de servicios. Los propietarios del bosque sonresponsables de seleccionar y administrar a los administradores de servicios; por lo tanto, si confía en un propietario de bosque, también confiará en losadministradores de servicios que éste administra. Los administradores de servicios tienen acceso a todos los recursos del bosque. Antes de tomar la decisión departicipar en un bosque, es importante entender que el propietario del bosque y los administradores de servicios tendrán acceso total a los datos. Este acceso no puedimpedirse.

Todos los administradores de servicios de un bosque tienen un control absoluto sobre todos los datos y servicios de todos los equipos del bosque. Los administradore

de servicios tienen capacidad para hacer lo siguiente:

Corregir errores en listas de control de acceso ACL de objetos. Esto permite al administrador de servicios leer, modificar o eliminar objetos con independenciade las ACL definidas en los mismos.

Modificar el software del sistema de un controlador de dominio para pasar por alto las comprobaciones de seguridad normales. Esto permite al administrador dservicios ver o manipular cualquier objeto del dominio, con independencia de la ACL del objeto.

Usar la directiva de seguridad de grupos restringidos para conceder acceso administrativo a cualquier usuario o grupo a cualquier equipo unido al dominio. Deesta manera, los administradores de servicios pueden obtener el control de cualquier equipo unido al dominio con independencia de las intenciones delpropietario del equipo.

Restablecer contraseñas o cambiar la pertenencia a grupos de los usuarios.

Obtener acceso a otros dominios del bosque modificando el software del sistema de un controlador de dominio. Los administradores de servicios pueden influien el funcionamiento de cualquier dominio del bosque, ver o manipular los datos de configuración del mismo, ver o manipular los datos almacenados en

cualquier dominio, y ver o manipular los datos almacenados en cualquier equipo unido al bosque.

Por esta razón, los grupos que almacenan datos en unidades organizativas OU en el bosque y que unen equipos a un bosque deben confiar en los administradores deservicios. Un grupo que se una a un bosque debe decidir confiar en todos los administradores de servicios del bosque. Esto conlleva asegurarse de que:

Se puede confiar en que el propietario del bosque actuará conforme a los intereses del grupo y que no tiene motivos para comportarse de formamalintencionada en contra del grupo.

El propietario del bosque limita adecuadamente el acceso físico a los controladores de dominio. Los controladores de dominio de un bosque no se pueden aislaentre sí. Un atacante que tuviera acceso físico a un solo controlador de dominio podría realizar sin conexión cambios en la base de datos del directorio y, conello, interferir en el funcionamiento de cualquier dominio del bosque, ver o manipular datos almacenados en cualquier lugar del bosque, y ver o manipular datoalmacenados en cualquier equipo unido al bosque. Por este motivo, el acceso físico a los controladores de dominio debe estar limitado al personal de confianza

Entiende y acepta el riesgo potencial que supondría que los administradores de servicios de confianza fueran coaccionados a poner en peligro la seguridad delsistema.

Algunos grupos podrían determinar que las ventajas en cuanto a colaboración y ahorro de costos que supone participar en una infraestructura compartida superan alos riesgos de que los administradores de servicios hagan un mal uso de su autoridad o sean coaccionados para ello. Estos grupos pueden compartir un bosque y usarunidades organizativas OU para delegar autoridad. Sin embargo, otros grupos podrían no aceptar este riesgo porque las consecuencias de poner en peligro laseguridad sean demasiado graves. Estos grupos requieren bosques independientes.

© 2015 Microsoft

Autonomía y aislamientoActualizado: abril de 2008









Es posible diseñar la estructura lógica de Active Directory para conseguir uno de estos dos objetivos:

Autonomía. Implica el control independiente pero no exclusivo de un recurso. Cuando se logra la autonomía, los administradores tienen autoridad paraadministrar los recursos de forma independiente; no obstante, hay administradores con mayor autoridad que también tienen el control sobre dichos recursos ypueden retirar dicho control en caso necesario. Es posible diseñar la estructura lógica de Active Directory para conseguir los siguientes tipos de autonomía:

Autonomía del servicio. Este tipo de autonomía conlleva el control sobre la totalidad o parte de la administración del servicio.

Autonomía de datos. Este tipo de autonomía conlleva el control sobre la totalidad o parte de los datos almacenados en el directorio o en equiposmiembro unidos al directorio.

Aislamiento. Implica el control independiente y exclusivo de un recurso. Cuando se consigue el aislamiento, los administradores tienen autoridad para

administrar un recurso de forma independiente, y ningún otro administrador puede retirar dicho control. Es posible diseñar la estructura lógica de ActiveDirectory para conseguir los siguientes tipos de aislamiento:

Aislamiento del servicio. Impide a los administradores que no hayan sido designados específicamente para controlar la administración del servicio

controlar o interferir en la administración de los servicios.

Aislamiento de datos. Impide a los administradores que no hayan sido designados específicamente para controlar o ver los datos controlar o ver unsubconjunto de datos del directorio o de los equipos miembro unidos al directorio.

Los administradores que requieren sólo autonomía aceptan que otros administradores con una autoridad administrativa mayor o igual a la suya tengan un control iguao mayor que ellos sobre la administración de los datos y servicios. Los administradores que requieren aislamiento tienen el control exclusivo sobre la administración delos datos y servicios. Por lo general, es menos caro crear un diseño para lograr autonomía que crear un diseño para lograr aislamiento.

En Servicios de dominio de Active Directory AD DS , los administradores pueden delegar tanto la administración de datos como la de servicios para lograr bienautonomía o bien aislamiento entre las organizaciones. La combinación de los requisitos de administración de servicios, administración de datos, autonomía yaislamiento de una organización influye en los contenedores de Active Directory que se usan para delegar la administración.

Requisitos de aislamiento y autonomíaEl número de bosques que es preciso implementar se basa en los requisitos de autonomía y aislamiento de cada grupo de la organización. Para identificar los requisitode diseño del bosque deben identificarse los requisitos de autonomía y aislamiento de todos los grupos de la organización. Concretamente, hay que identificar lanecesidad de aislamiento de datos, autonomía de datos, aislamiento de servicios y autonomía de servicios. También es necesario identificar las áreas de conectividadlimitada de la organización.

Aislamiento de datosEl aislamiento de datos conlleva el control exclusivo sobre los datos por parte del grupo u organización dueños de los mismos. Es importante destacar que losadministradores de servicios tienen la capacidad de retirar el control de un recurso a los administradores de datos. Los administradores de datos no pueden impedirque los administradores de servicios obtengan acceso a los recursos que ellos controlan. Por lo tanto, no se puede lograr el aislamiento de datos si otro grupo de laorganización es responsable de la administración de los servicios. Si un grupo requiere aislamiento de datos, dicho grupo debe asumir también la responsabilidad de laadministración de los servicios.

Puesto que los datos almacenados en AD DS y en equipos unidos a AD DS no se pueden aislar de los administradores de servicios, la única manera de que un grupo deuna organización logre un completo aislamiento de datos es crear un bosque independiente para dichos datos. Las organizaciones para las que un ataque con softwaremalintencionado o por parte de un administrador de servicios coaccionado puede tener consecuencias importantes podrían optar por crear un bosque independiente fin de lograr el aislamiento de los datos. Normalmente, los requisitos legales crean la necesidad de este tipo de aislamiento de datos. Por ejemplo:

Por ley, una institución financiera se ve obligada a limitar el acceso a los datos pertenecientes a los clientes de una jurisdicción concreta a los usuarios, equipos yadministradores situados en dicha jurisdicción. Aunque la institución confíe en administradores de servicios que trabajan fuera del área protegida, si se infringela limitación de acceso la institución no podrá volver a realizar negocios en dicha jurisdicción. Por lo tanto, la institución financiera debe aislar los datos frente alos administradores de servicios que se encuentran fuera de esa jurisdicción. Hay que tener en cuenta que el cifrado no siempre es una alternativa a estasolución. El cifrado podría no proteger los datos frente a los aministradores de servicios.

Un contratista de defensa está obligado por ley a limitar el acceso a los datos protegidos a un conjunto de usuarios específico. Aunque el contratista confíe enadministradores de servicios que controlan sistemas informáticos relacionados con otros proyectos, cualquier infracción de esta limitación de acceso provocaráque el contratista pierda el negocio.

Nota

Si tiene un requisito de aislamiento de datos, deberá decidir si necesita aislar los datos frente a los administradores de servicios o frente a los administradoresde datos y los usuarios comunes. Si el requisito de aislamiento consiste en aislar los datos frente a administradores de datos y usuarios comunes, puede usarpara ello listas de control de acceso ACL . A los efectos de este proceso de diseño, el aislamiento frente a administradores de datos y usuarios comunes no seconsidera un requisito de aislamiento de datos.

Autonomía de datosLa autonomía de datos tiene que ver con la capacidad de un grupo u organización para administrar sus propios datos, incluida la toma de decisiones administrativasacerca de los datos y la realización de cualquier tarea administrativa necesaria sin que sea precisa la aprobación de otra autoridad.

La autonomía de datos no impide a los administradores de servicios del bosque obtener acceso a los datos. Por ejemplo, los miembros de un grupo de investigación d





una organización de gran tamaño podrían requerir la capacidad de administrar los datos específicos de un proyecto ellos mismos, pero no de proteger los datos frentea otros administradores del bosque.

Aislamiento de serviciosEl aislamiento de servicios conlleva el control exclusivo de la infraestructura de Active Directory. Los grupos que requieren aislamiento de servicios requieren queningún administrador externo al grupo pueda interferir en el funcionamiento del servicio de directorio.

Los requisitos legales o de funcionamiento suelen crear la necesidad de aislamiento de servicios. Por ejemplo:

Una empresa de fabricación tiene una aplicación crítica que controla los equipos de la fábrica. No se puede permitir que las interrupciones en el servicio de otrapartes de la red de la organización interfieran en el funcionamiento de la fábrica.

Una empresa de hospedaje da servicio a varios clientes. Cada uno de los clientes requiere aislamiento de servicios para que ninguna interrupción de los mismosque afecte a un cliente pueda afectar a los demás.

Autonomía del servicioLa autonomía del servicio conlleva la capacidad para administrar la infraestructura sin el requisito del control exclusivo; por ejemplo, cuando un grupo desea realizarcambios en la infraestructura como agregar o eliminar dominios, modificar el espacio de nombres del Sistema de nombres de dominio DNS o modificar el esquema

sin la aprobación del propietario del bosque.

La autonomía de servicios podría requerirse dentro de una organización para un grupo que requiriera la capacidad de controlar el nivel de servicio de AD DS agregando y eliminando controladores de dominio, en caso necesario o para un grupo que requiriera la capacidad de instalar aplicaciones habilitadas para directorioque requiriesen extensiones de esquema.

Conectividad limitadaSi un grupo dentro de la organización posee redes que están separadas mediante dispositivos que restringen o limitan la conectividad entre las redes, como firewalls ydispositivos de traducción de direcciones de red NAT , ello puede afectar al diseño del bosque. A la hora de identificar los requisitos de diseño del bosque, asegúresede anotar las ubicaciones en las que tiene una conectividad de red limitada. Esta información es necesaria para poder tomar decisiones en relación con el diseño delbosque.

© 2015 Microsoft

Determinación del número de bosques requeridosActualizado: abril de 2008


Para determinar el número de bosques que deben implementarse es necesario identificar y evaluar cuidadosamente los requisitos de autonomía y aislamiento de cada

grupo de la organización y asignar dichos requisitos a los modelos de diseño de bosque adecuados.

Tenga en cuenta lo siguiente a la hora de determinar el número de bosques que desea implementar en la organización:

Los requisitos de aislamiento limitan las opciones de diseño. Por lo tanto, si identifica requisitos de aislamiento, asegúrese de que los grupos realmentenecesitan aislamiento de datos y que la autonomía de datos no es suficiente para ellos. Asegúrese de que los diversos grupos de la organización entienden conclaridad los conceptos de aislamiento y autonomía.

La negociación del diseño puede ser un proceso largo. Puede que los grupos tengan dificultades para ponerse de acuerdo sobre la propiedad y los usos de losrecursos disponibles. Asegúrese de que los grupos de la organización tengan tiempo suficiente para realizar una investigación adecuada que les permitaidentificar sus necesidades. Establezca plazos estrictos para tomar las decisiones de diseño y obtenga el consenso de todas las partes respecto de los mismos.

La determinación del número de bosques que se van a implementar conlleva equilibrar costos y beneficios. Un modelo de bosque único es la opción másrentable y la que menos sobrecarga administrativa supone. Si bien algún grupo de la organización podría preferir un funcionamiento autónomo de los servicios,quizá sea más rentable para la organización suscribirse a un grupo de servicios centralizados de tecnologías de la información TI de confianza. Esto permite algrupo ser dueño de la administración de los datos sin incurrir en los costos añadidos de la administración de servicios. El equilibrio entre costos y beneficios

podría requerir la intervención del patrocinador ejecutivo.

Un bosque único es la configuración más fácil de administrar. Permite la máxima colaboración dentro del entorno, ya que:

Todos los objetos de un bosque único se incluyen en el catálogo global. Por lo tanto, no es necesaria ninguna sincronización entre bosques.

No es necesario administrar una infraestructura duplicada.

No se recomienda que dos organizaciones de TI autónomas e independientes compartan la propiedad de un bosque único. En el futuro podrían cambiar losobjetivos de los dos grupos de TI y dejar de aceptar el control compartido.

No se recomienda subcontratar la administración de servicios con más de un asociado externo. Las organizaciones multinacionales que tienen grupos endiferentes países o regiones podrían decidir subcontratar la administración de los servicios con un asociado externo diferente en cada país o región. Puesto queno es posible aislar entre sí a varios asociados externos, las acciones de uno de ellos pueden repercutir en el servicio de otro, lo que hace difícil exigirle a cadauno las correspondientes responsabilidades en el cumplimiento de los acuerdos de nivel de servicios.





Sólo debe haber una instancia de un dominio de Active Directory en cada momento. Microsoft no permite clonar, dividir o copiar los controladores de dominiode un dominio para intentar establecer una segunda instancia del mismo dominio. Para obtener más información sobre esta limitación, consulte la siguientesección.

Limitaciones de reestructuraciónCuando una empresa adquiere otra empresa, unidad de negocio o línea de productos, puede que desee adquirir también los correspondientes activos de TI alvendedor. Concretamente, el comprador podría desear adquirir la totalidad o parte de los controladores de dominio que hospedan las cuentas de usuario, cuentas deequipo y grupos de seguridad correspondientes a los activos comerciales que se van a comprar. Los únicos métodos que se admiten para que el comprador adquieralos activos de TI almacenados en el bosque de Active Directory del vendedor son los siguientes:

1. Adquirir la única instancia del bosque, incluidos todos los controladores de dominio y datos del directorio del bosque entero del vendedor.

2. Migrar los datos del directorio necesarios desde los dominios o el bosque del vendedor a uno o más dominios del comprador. El destino de dicha migraciónpodría ser un bosque totalmente nuevo o uno o más dominios existentes que ya estén implementados en el bosque del comprador.

Esta limitación existe porque:

A cada dominio de un bosque de Active Directory se le asigna una identidad única durante la creación del bosque. Copiar controladores de dominio de undominio original en un dominio clonado pone en peligro la seguridad tanto de los dominios como del bosque. Entre las amenazas al dominio original y eldominio clonado se incluyen las siguientes:

Uso compartido de contraseñas que se pueden usar para obtener acceso a los recursos

Conocimiento de los grupos y cuentas de usuario privilegiados

Asignación de direcciones IP a nombres de equipos

Adiciones, eliminaciones y modificaciones de información del directorio si los controladores de dominio de un dominio clonado establecen alguna vezuna conexión de red con los controladores de dominio del dominio original

Los dominios clonados comparten una misma identidad de seguridad; por lo tanto, no pueden establecerse entre ellos relaciones de confianza, aun cuando sehaya cambiado el nombre de uno o de los dos dominios.

En esta sección

Modelos de diseño de bosques

Asignación de requisitos de diseño a los modelos de diseño de bosque

Uso del modelo de bosque de dominio organizativo

© 2015 Microsoft

Modelos de diseño de bosquesActualizado: abril de 2008


Puede aplicar uno de los tres modelos de diseño de bosque siguientes en el entorno de Active Directory:

Modelo de bosque organizativo

Modelo de bosque de recursos

Modelo de bosque de acceso restringido

Es probable que necesite usar una combinación de estos modelos para satisfacer las necesidades de todos los grupos de la organización.

Modelo de bosque organizativoEn el modelo de bosque organizativo, el bosque contiene los recursos y cuentas de usuario, que se administran de forma independiente. El bosque organizativo sepuede usar para proporcionar autonomía de servicios, aislamiento de servicios o aislamiento de datos, si el bosque está configurado para impedir el acceso a cualquierusuario externo al mismo.

Si los usuarios de un bosque organizativo necesitan obtener acceso a los recursos de otros bosques o a la inversa , pueden establecer relaciones de confianza entre unbosque organizativo y los demás bosques. Esto permite que los administradores concedan acceso a los recursos de los demás bosques. En la siguiente ilustración semuestra el modelo de bosque organizativo.








Todos los diseños de Active Directory incluyen al menos un bosque organizativo.

Modelo de bosque de recursosEn el modelo de bosque de recursos se usa un bosque independiente para administrar los recursos. Los bosques de recursos no contienen cuentas de usuario distintasde las requeridas para la administración del servicio y de las necesarias para proporcionar acceso alternativo a los recursos de dicho bosque en caso de que las cuentasde usuario del bosque organizativo dejen de estar disponibles. Se establecen confianzas de bosque para que los usuarios de otros bosques puedan obtener acceso alos recursos incluidos en el bosque de recursos. En la siguiente ilustración se muestra el modelo de bosque de recursos.

Los bosques de recursos proporcionan un aislamiento de servicios que se usa para proteger las áreas de la red que necesitan mantener un estado de altadisponibilidad. Por ejemplo, si la empresa tiene unas instalaciones de fabricación que deben seguir funcionando cuando haya problemas en el resto de la red, puedecrear un bosque de recursos independiente para el grupo de fabricación.

Modelo de bosque de acceso restringidoEn el modelo de bosque de acceso restringido se crea un bosque independiente para incluir datos y cuentas de usuario que deban aislarse del resto de la organizaciónLos bosques de acceso restringido proporcionan aislamiento de datos en situaciones en las que poner en peligro los datos de un proyecto tenga graves consecuenciasEn la siguiente ilustración se muestra el modelo de bosque de acceso restringido.





No puede concederse el acceso a los datos restringidos a los usuarios de otros bosques porque no existe confianza. En este modelo, los usuarios tienen una cuenta enun bosque organizativo para obtener acceso a los recursos organizativos generales y una cuenta de usuario independiente en el bosque de acceso restringido paraobtener acceso a los datos clasificados. Estos usuarios deben disponer de dos estaciones de trabajo independientes: una conectada al bosque organizativo y la otraconectada al bosque de acceso restringido. Ello protege contra la posibilidad de que un administrador de servicios de un bosque pueda obtener acceso a una estación

de trabajo del bosque restringido.

En casos extremos, el bosque de acceso restringido podría mantenerse en una red física independiente. Las organizaciones que trabajan en proyectos gubernamentaleclasificados mantienen a veces bosques de acceso restringido en redes independientes para satisfacer los requisitos de seguridad.

© 2015 Microsoft

Asignación de requisitos de diseño a los modelos de diseño debosqueActualizado: abril de 2008


La mayoría de los grupos de la organización pueden compartir un único bosque organizativo administrado por un solo grupo de tecnología de la información quecontenga los recursos y cuentas de usuario de todos los grupos que comparten el bosque. Este bosque compartido, denominado bosque organizativo inicial, es la basedel modelo de diseño del bosque para la organización.

Puesto que el bosque organizativo inicial puede hospedar a varios grupos de la organización, el propietario del bosque debe formalizar acuerdos de nivel de serviciocon cada uno para que todas las partes entiendan lo que se espera de ellas. Esto protege tanto a los grupos individuales como al propietario del bosque gracias a lacreación de expectativas de servicio acordadas.

En caso de que no todos los grupos de la organización puedan compartir un único bosque organizativo, deberá ampliar el diseño del bosque para adaptarlo a lasnecesidades de los distintos grupos. Esto conlleva identificar los requisitos de diseño aplicables a los grupos basándose en sus necesidades de autonomía y aislamientoy en si tienen o no una red de conectividad limitada, y después identificar el modelo de bosque que se puede usar para dar respuesta a estos requisitos. En la tablasiguiente se enumeran los escenarios de modelos de diseño de bosque basados en los factores de autonomía, aislamiento y conectividad. Una vez identificado elescenario de diseño del bosque que mejor se adapta a los requisitos, determine si necesita tomar alguna decisión adicional para satisfacer sus especificaciones dediseño.

Nota

Si un factor se identifica como no aplicable, no es necesario tenerlo en cuenta porque está contemplado en otros requisitos.

EscenarioConectividadlimitada

Aislamientode datos

Autonomíade datos

Aislamientode servicios

Autonomíadel servicio

Escenario 1: Unirse a un bosque existente para obtener autonomía de datos No No Yes No No

http://-/?-





Escenario 2: Usar un dominio o bosque organizativo para obtener autonomía deservicios

No No Noaplicable

No Yes

Escenario 3: Usar un bosque organizativo o un bosque de recursos para obteneraislamiento de servicios

No No Noaplicable

Yes No aplicable

Escenario 4: Usar un bosque organizativo o un bosque de acceso restringido paraobtener aislamiento de datos

No aplicable Yes Noaplicable

No aplicable No aplicable

Escenario 5: Usar un bosque organizativo o reconfigurar el firewall para obtenerconectividad limitada

Yes No Noaplicable

No No

Escenario 6: Usar un dominio o bosque organizativo y reconfigurar el firewall paraobtener autonomía de servicios con conectividad limitada

Yes No Noaplicable

No Yes

Escenario 7: Usar un bosque de recursos y reconfigurar el firewall para obteneraislamiento de servicios con conectividad limitada

Yes No Noaplicable

Yes No aplicable

Escenario 1: Unirse a un bosque existente para obtener autonomía de datosPuede satisfacer el requisito de autonomía de datos con sólo hospedar el grupo en unidades organizativas OU dentro de un bosque organizativo existente. Delegue econtrol sobre las unidades organizativas en los administradores de datos de dicho grupo para lograr la autonomía de datos. Para obtener más información acerca de ladelegación de control mediante unidades organizativas OU , consulte Creación del diseño de una unidad organizativa.

Escenario 2: Usar un dominio o bosque organizativo para obtener autonomía de servicios

Si un grupo de la organización identifica la autonomía de servicios como un requisito, se recomienda en primer lugar reconsiderar este requisito. Lograr la autonomíade servicios crea una mayor sobrecarga administrativa y costos adicionales para la organización. Asegúrese de que el requisito de autonomía de servicios no se debesimplemente a razones de comodidad y de que puede justificar los costos derivados de satisfacer dicho requisito.

Para satisfacer un requisito de autonomía de servicios realice una de las acciones siguientes:

Crear un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo que requiere autonomía de servicios en un bosque organizativo distinto. Elija uindividuo de dicho grupo para que sea el propietario del bosque. Si el grupo necesita obtener acceso a recursos o compartirlos con otros bosques de laorganización, es posible establecer una relación de confianza entre el bosque organizativo y los demás bosques.

Usar dominios organizativos. Coloque los usuarios, grupos y equipos en un dominio distinto de un bosque organizativo existente. Este modelo proporcionaautonomía de servicios en el nivel del dominio únicamente, y no una total autonomía de servicios, aislamiento de servicios ni aislamiento de datos.

Para obtener más información acerca del uso de los dominios organizativos, consulte Uso del modelo de bosque de dominio organizativo.

Escenario 3: Usar un bosque organizativo o un bosque de recursos para obtener aislamiento deserviciosPara satisfacer un requisito de aislamiento de servicios realice una de las acciones siguientes:

Usar un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo que requiere aislamiento de servicios en un bosque organizativo distinto. Elija uindividuo de dicho grupo para que sea el propietario del bosque. Si el grupo necesita obtener acceso a recursos o compartirlos con otros bosques de laorganización, es posible establecer una relación de confianza entre el bosque organizativo y los demás bosques. No obstante, no se recomienda este enfoqueporque el acceso a recursos a través de grupos universales está muy restringido en escenarios de confianza de bosque.

Usar un bosque de recursos. Coloque las cuentas de servicios y recursos en un bosque de recursos diferente, manteniendo las cuentas de usuario en un bosqueorganizativo existente. Si es necesario, pueden crearse cuentas alternativas en el bosque de recursos para obtener acceso a los recursos del bosque de recursosen caso de que el bosque organizativo deja de estar disponible. Las cuentas alternativas deben contar con la autoridad necesaria para iniciar sesión en el bosquede recursos y mantener el control de los recursos hasta que el bosque organizativo vuelva a estar conectado.

Establecer una relación de confianza entre los bosques organizativos y de recursos, a fin de que los usuarios puedan obtener acceso a los recursos del bosquemientras usan sus cuentas de usuario habituales. Esta configuración permite la administración centralizada de las cuentas de usuario, al tiempo que permite a lousuarios volver a las cuentas alternativas del bosque de recursos en caso de que el bosque organizativo deje de estar disponible.

Entre las consideraciones para el aislamiento de servicios se incluyen:

Los bosques creados para el aislamiento de servicios pueden confiar en los dominios de otros bosques, pero no deben incluir a usuarios de otros bosques en sugrupos de administradores de servicios. Si se incluyen usuarios de otros bosques en grupos administrativos del bosque aislado, la seguridad del bosque aisladopodría ponerse en peligro porque los administradores de servicios del bosque no tienen el control exclusivo.

Siempre que se pueda obtener acceso a los controladores de dominio en una red, éstos serán susceptibles de sufrir ataques como los ataques de denegaciónde servicio por parte de software malintencionado en dicha red. Puede hacer lo siguiente para protegerse contra la posibilidad de un ataque:

Hospede a los controladores de dominio únicamente en redes que se consideren seguras.

Restrinja el acceso a la red o redes que hospedan a los controladores de dominio.

http://-/?-


http://-/?-

http://-/?-


http://-/?-

http://-/?-

http://-/?-





El aislamiento de servicios requiere la creación de un bosque adicional. Evalúe si el costo de mantener la infraestructura para que admita el bosque adicionalsupera los costos asociados a la pérdida de acceso a los recursos debido a que el bosque organizativo deje de estar disponible.

Escenario 4: Usar un bosque organizativo o un bosque de acceso restringido para obteneraislamiento de datosPara lograr el aislamiento de datos realice una de las acciones siguientes:

Usar un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo que requiere aislamiento de datos en un bosque organizativo distinto. Elija un

individuo de dicho grupo para que sea el propietario del bosque. Si el grupo necesita obtener acceso a recursos o compartirlos con otros bosques de laorganización, establezca una relación de confianza entre el bosque organizativo y los demás bosques. En el nuevo bosque organizativo sólo estarán los usuariosque requieran acceso a la información clasificada. Los usuarios tienen una cuenta que usan para obtener acceso tanto a los datos clasificados de su propiobosque como a los datos sin clasificar de otros bosques mediante relaciones de confianza.

Usar un bosque de acceso restringido. Se trata de un bosque distinto que contiene los datos restringidos y las cuentas de usuario que se usan para obteneracceso a dichos datos. En los bosques organizativos existentes se mantienen cuentas de usuario diferentes que se usan para obtener acceso a los recursos norestringidos de la red. No se crea ninguna relación de confianza entre el bosque de acceso restringido y los demás bosques de la empresa. Es posible restringiraún más el bosque implementándolo en una red física independiente, de manera que no pueda conectarse a otros bosques. Si implementa el bosque en otrared distinta, los usuarios deberán tener dos estaciones de trabajo: una para obtener acceso al bosque restringido y otra para obtener acceso a las áreas norestringidas de la red.

Entre las consideraciones para la creación bosques para aislamiento de datos se incluyen las siguientes:

Los bosques organizativos creados para aislamiento de datos pueden confiar en los dominios de otros bosques, pero los usuarios de otros bosques no debenincluirse en ninguno de los siguientes grupos:

Grupos responsables de la administración de servicios o grupos que pueden administrar la pertenencia de los grupos de administradores de servicios

Grupos que tienen el control administrativo sobre los equipos que almacenan datos protegidos

Grupos que tienen acceso a datos protegidos o grupos que son responsables de administrar objetos de usuarios o de grupos con acceso a datosprotegidos

Si los usuarios de otro bosque se incluyen en cualquiera de estos grupos, en caso de que se ponga en peligro un bosque ello podría representar un peligro parael bosque aislado y conllevar la divulgación de los datos protegidos.

Se pueden configurar otros bosques para que confíen en el bosque organizativo creado para el aislamiento de datos de manera que los usuarios del bosqueaislado puedan obtener a los recursos de otros bosques. No obstante, los usuarios del bosque aislado no deben iniciar nunca la sesión interactivamente enestaciones de trabajo del bosque confiado. Un software malintencionado podría poner en peligro el equipo del bosque confiado y usarlo para captar lascredenciales de inicio de sesión del usuario.

Nota

Para evitar que los servidores de un bosque confiado suplanten a los usuarios del bosque aislado y después obtengan acceso a los recursos del bosqueaislado, el propietario del bosque puede deshabilitar la autenticación delegada o usar la característica de delegación limitada. Para obtener más informaciónacerca de la autenticación delegada y la delegación restringida, consulte el tema que trata acerca de la delegación de autenticación enhttp://go.microsoft.com/fwlink/?LinkID=106614 puede estar en inglés .

Podría ser necesario crear un firewall entre el bosque organizativo y los demás bosques de la organización para limitar el acceso de los usuarios a la informaciónsituada fuera del bosque.

Si bien crear un bosque distinto habilita el aislamiento de datos, siempre que se pueda obtener acceso a los controladores de dominio del bosque aislado y a loequipos que hospedan la información protegida en una red, éstos serán susceptibles de sufrir los ataques lanzados desde los equipos de dicha red. Lasorganizaciones que deciden que el riesgo de ataque es demasiado elevado o que las consecuencias de un ataque o una infracción de la seguridad son

demasiado grandes necesitan limitar el acceso a la red o redes que hospedan los controladores de dominio y a los equipos que hospedan los datos protegidos.El acceso puede limitarse mediante tecnologías como los firewalls y el protocolo de seguridad de Internet IPsec . En casos extremos, las organizaciones podríanelegir mantener los datos protegidos en una red independiente que no tenga conexión física con ninguna otra red de la organización.

Nota

Si hay algún tipo de conectividad de red entre un bosque de acceso restringido y otra red, existe la posibilidad de que los datos del área restringida setransmitan a la otra red.

Escenario 5: Usar un bosque organizativo o reconfigurar el firewall para obtener conectividadlimitada






Para satisfacer un requisito de conectividad limitada puede realizar una de las siguientes acciones:

Colocar a los usuarios en un bosque organizativo existente y, a continuación, abrir el firewall lo bastante para permitir que el tráfico de Active Directory pase através.

Usar un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo para los que la conectividad es limitada en un bosque organizativo distinto. Elijaun individuo de dicho grupo para que sea el propietario del bosque. El bosque organizativo proporciona un entorno independiente al otro lado del firewall. Elbosque incluye recursos y cuentas de usuario que se administran dentro del mismo, de manera que los usuarios no necesitan atravesar el firewall para realizarsus tareas diarias. Aplicaciones o usuarios específicos podrían tener necesidades especiales que requieran la capacidad de atravesar el firewall para entablarcontacto con otros bosques. Estas necesidades pueden abordarse de forma individual abriendo las interfaces correspondientes del firewall, incluidas lasnecesarias para que las relaciones de confianza funcionen.

Para obtener información acerca de cómo configurar firewalls para su uso con los Servicios de dominio de Active Directory AD DS , consulte la documentación sobreActive Directory en redes segmentadas por firewalls en http://go.microsoft.com/fwlink/?LinkId=37928 puede estar en inglés .

Escenario 6: Usar un dominio o bosque organizativo y reconfigurar el firewall para obtenerautonomía de servicios con conectividad limitadaSi un grupo de la organización identifica la autonomía de servicios como un requisito, se recomienda en primer lugar reconsiderar este requisito. Lograr la autonomíade servicios crea una mayor sobrecarga administrativa y costos adicionales para la organización. Asegúrese de que el requisito de autonomía de servicios no se debesimplemente a razones de comodidad y de que puede justificar los costos derivados de satisfacer dicho requisito.

Si la conectividad limitada es un problema y necesita autonomía de servicios, puede realizar una de las acciones siguientes:

Usar un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo que requiere autonomía de servicios en un bosque organizativo distinto. Elija unindividuo de dicho grupo para que sea el propietario del bosque. El bosque organizativo proporciona un entorno independiente al otro lado del firewall. El

bosque incluye recursos y cuentas de usuario que se administran dentro del mismo, de manera que los usuarios no necesitan atravesar el firewall para realizarsus tareas diarias. Aplicaciones o usuarios específicos podrían tener necesidades especiales que requieran la capacidad de atravesar el firewall para entablarcontacto con otros bosques. Estas necesidades pueden abordarse de forma individual abriendo las interfaces correspondientes del firewall, incluidas lasnecesarias para que las relaciones de confianza funcionen.

Coloque los usuarios, grupos y equipos en un dominio distinto de un bosque organizativo existente. Este modelo proporciona autonomía de servicios en el nivedel dominio únicamente, y no una total autonomía de servicios, aislamiento de servicios ni aislamiento de datos. Los demás grupos del bosque deben confiar enlos administradores de servicios del nuevo dominio en la misma medida en que confían en el propietario del bosque. Por esta razón, este enfoque no esrecomendable. Para obtener más información acerca del uso de los dominios organizativos, consulte Uso del modelo de bosque de dominio organizativo.

También es necesario abrir el firewall lo suficiente para permitir que el tráfico de Active Directory pase a través. Para obtener información acerca de cómo configurarfirewalls para su uso con AD DS, consulte la documentación sobre Active Directory en redes segmentadas por firewalls en http://go.microsoft.com/fwlink/?LinkId=3792 puede estar en inglés .

Escenario 7: Usar un bosque de recursos y reconfigurar el firewall para obtener aislamiento de

servicios con conectividad limitadaSi la conectividad limitada es un problema y necesita aislamiento de servicios, puede realizar una de las acciones siguientes:

Usar un bosque organizativo. Coloque los usuarios, grupos y equipos del grupo que requiere aislamiento de servicios en un bosque organizativo distinto. Elija uindividuo de dicho grupo para que sea el propietario del bosque. El bosque organizativo proporciona un entorno independiente al otro lado del firewall. Elbosque incluye recursos y cuentas de usuario que se administran dentro del mismo, de manera que los usuarios no necesitan atravesar el firewall para realizarsus tareas diarias. Aplicaciones o usuarios específicos podrían tener necesidades especiales que requieran la capacidad de atravesar el firewall para entablarcontacto con otros bosques. Estas necesidades pueden abordarse de forma individual abriendo las interfaces correspondientes del firewall, incluidas lasnecesarias para que las relaciones de confianza funcionen.

Usar un bosque de recursos. Coloque las cuentas de servicios y recursos en un bosque de recursos diferente, manteniendo las cuentas de usuario en un bosqueorganizativo existente. Podría ser necesario crear algunas cuentas de usuario alternativas en el bosque de recursos para mantener el acceso al bosque derecursos en caso de que el bosque organizativo deje de estar disponible. Las cuentas alternativas deben contar con la autoridad necesaria para iniciar sesión enel bosque de recursos y mantener el control de los recursos hasta que el bosque organizativo vuelva a estar conectado.

Establecer una relación de confianza entre los bosques organizativos y de recursos, a fin de que los usuarios puedan obtener acceso a los recursos del bosquemientras usan sus cuentas de usuario habituales. Esta configuración permite la administración centralizada de las cuentas de usuario, al tiempo que permite a lousuarios volver a las cuentas alternativas del bosque de recursos en caso de que el bosque organizativo deje de estar disponible.

Entre las consideraciones para el aislamiento de servicios se incluyen:

Los bosques creados para el aislamiento de servicios pueden confiar en los dominios de otros bosques, pero no deben incluir a usuarios de otros bosques en sugrupos de administradores de servicios. Si se incluyen usuarios de otros bosques en grupos administrativos del bosque aislado, la seguridad del bosque aisladopodría ponerse en peligro porque los administradores de servicios del bosque no tienen el control exclusivo.

Siempre que se pueda obtener acceso a los controladores de dominio en una red, éstos serán susceptibles de sufrir ataques como los ataques de denegaciónde servicio por parte de los equipos de dicha red. Puede hacer lo siguiente para protegerse contra la posibilidad de un ataque:

Hospede a los controladores de dominio únicamente en redes que se consideren seguras.








Limite el acceso a la red o redes que hospedan a los controladores de dominio.

El aislamiento de servicios requiere la creación de un bosque adicional. Evalúe si el costo de mantener la infraestructura para que admita el bosque adicionalsupera los costos asociados a la pérdida de acceso a los recursos debido a que el bosque organizativo deje de estar disponible.

Aplicaciones o usuarios específicos podrían tener necesidades especiales que requieran la capacidad de atravesar el firewall para entablar contacto con otrosbosques. Estas necesidades pueden abordarse de forma individual abriendo las interfaces correspondientes del firewall, incluidas las necesarias para que lasrelaciones de confianza funcionen.

Para obtener información acerca de cómo configurar firewalls para su uso con AD DS, consulte la documentación sobre Active Directory en redes segmentadas porfirewalls en http://go.microsoft.com/fwlink/?LinkId=37928 puede estar en inglés .

© 2015 Microsoft

Uso del modelo de bosque de dominio organizativoActualizado: abril de 2008


En el modelo de bosque de dominio organizativo, varios grupos autónomos poseen cada uno un dominio dentro del bosque. Cada grupo controla la administración deservicios del nivel del dominio, lo que les permite ocuparse de determinados aspectos de la administración de servicios de forma autónoma mientras el propietario delbosque controla la administración de servicios del nivel del bosque.

En la siguiente ilustración se muestra un modelo de bosque de dominio organizativo.

Autonomía de servicios del nivel de dominioEl modelo de bosque de dominio organizativo permite delegar la autoridad para la administración de servicios del nivel de dominio. En la tabla siguiente se enumeran

los tipos de administración de servicios que se pueden controlar en el nivel de dominio.

Tipo de administración de servicios Tareas asociadas

Administración de operaciones de controladorde dominio Creación y eliminación de controladores de dominio

Supervisión del funcionamiento de los controladores de dominio

Administración de los servicios que se ejecutan en controladores de dominio

Copia de seguridad y restauración del directorio






Configuración de las opciones de todo eldominio Creación de directivas de dominio y de cuenta de usuario de dominio, como directivas de bloqueo de

cuenta, Kerberos y contraseña

Creación y aplicación de directiva de grupo en todo el dominio

Delegación de administración de nivel dedatos Creación de unidades organizativas OU y delegación de administración

Solución de problemas de la estructura de la OU que los propietarios de la misma no pueden resolver por

falta de derechos de acceso

Administración de confianzas externasEstablecimiento de relaciones de confianza con dominios fuera del bosque

Otros tipos de administración de servicios, como la administración de esquemas o de topología de replicación, son responsabilidad del propietario del bosque.

Propietario del dominioEn un modelo de bosque de dominio organizativo, los propietarios del dominio son responsables de las tareas de administración de servicios del nivel de dominio. Lospropietarios del dominio tienen autoridad sobre todo el dominio, así como sobre el acceso a todos los demás dominios del bosque. Por este motivo, los propietariosdel dominio deben ser personas de confianza seleccionadas por el propietario del bosque.

Delegue la administración de servicios del nivel de dominio a un propietario de dominio si se cumplen las siguientes condiciones:

Todos los grupos que participan en el bosque confían en el nuevo propietario del dominio y en las prácticas de administración de servicios del nuevo dominio.

El nuevo propietario del dominio confía en el propietario del dominio y en todos los demás propietarios del mismo.

Todos los propietarios del dominio del bosque aceptan que el nuevo propietario del dominio disponga de prácticas y directivas de selección y administración deadministrador de servicios que sean iguales a las suyas o más estrictas.

Todos los propietarios de dominio del bosque aceptan que los controladores de dominio administrados por el nuevo propietario del dominio en el nuevodominio sean físicamente seguros.

Tenga en cuenta que si un propietario de dominio delega la administración de servicios del nivel de domino a un propietario de dominio, otros grupos podrían elegirno unirse a ese bosque si no confían en ese propietario del dominio.

Todos los propietarios del dominio deben tener en cuenta que, si cualquiera de estas condiciones cambia en el futuro, podría ser necesario mover los dominiosorganizativos a una implementación de varios bosques.

Nota

Otra forma de minimizar los riesgos de seguridad para un dominio de Active Directory de Windows Server 2008 es emplear una separación de funciones deadministrador, lo que requiere la implementación de un controlador de dominio de sólo lectura RODC en la infraestructura de Active Directory. Un RODC es untipo de controlador de dominio nuevo del sistema operativo de Windows Server 2008 que hospeda particiones de sólo lectura de la base de datos de ActiveDirectory. Antes del lanzamiento de Windows Server 2008, cualquier tarea de mantenimiento de servidores en un controlador de dominio tenía que realizarla unadministrador del dominio. En Windows Server 2008 puede delegar los permisos administrativos locales de un RODC en cualquier usuario de dominio sin conceder aese usuario derechos administrativos para el dominio ni para otros controladores de dominio. Esto permite que el usuario en el que se ha delegado inicie sesión enun RODC y lleve a cabo tareas de mantenimiento en el servidor, como actualizar un controlador. No obstante, el usuario en el que se ha delegado no puede iniciarsesión en otro controlador de dominio ni realizar otras tareas de administración en el dominio. De esta manera, se puede delegar en cualquier usuario de confianzala capacidad para administrar eficazmente el RODC sin poner en peligro la seguridad del resto del dominio. Para obtener más información acerca de RODC, consulte

lo relativo a los controladores de dominio de sólo lectura de AD DS en http://go.microsoft.com/fwlink/?LinkId=106616 puede estar en inglés .

© 2015 Microsoft

Creación del diseño de un dominioActualizado: abril de 2008


El propietario del bosque es responsable de crear el diseño de un dominio para el bosque. Crear el diseño de un dominio conlleva examinar los requisitos de replicacióy la capacidad de la infraestructura de red y, a continuación, crear una estructura de dominio que permita a los Servicios de dominio de Active Directory AD DS






funcionar de la forma más eficiente. Los dominios se usan para crear una partición del directorio de manera que la información del mismo se pueda distribuir yadministrar de forma eficiente en toda la empresa. El objetivo a la hora de diseñar un dominio es maximizar la eficacia de la topología de replicación de Active Directory garantizar, al mismo tiempo, que la replicación no consuma demasiado ancho de banda y no interfiera en el funcionamiento diario de la red.

En esta sección

Revisión de los modelos de dominio

Determinación del número de dominios requeridos

Determinación de si hay que actualizar los dominios existentes o implementar otros nuevos

Asignación de nombres de dominio

Selección del dominio raíz del bosque

© 2015 Microsoft

Revisión de los modelos de dominioActualizado: abril de 2008


Los siguientes factores repercuten en el modelo de diseño del dominio que elija:

Capacidad disponible en la red que desea asignar a los Servicios de dominio de Active Directory AD DS . El objetivo es seleccionar un modelo que proporcioneuna replicación eficaz de la información con una mínima repercusión sobre el ancho de banda disponible de la red.

Número de usuarios de la organización. Si la organización tiene un número elevado de usuarios, implementar más de un dominio permite hacer una partición dlos datos y proporciona un mayor control sobre el volumen de tráfico de replicación que pasará a través de una determinada conexión de red. Ello permitecontrolar dónde se replican los datos y reduce la carga creada por el tráfico de replicación sobre los vínculos de baja velocidad de la red.

El diseño de dominio más sencillo es el dominio único. En un diseño de dominio único, toda la información se replica para la totalidad de los controladores del dominioNo obstante, en caso necesario es posible implementar dominios regionales adicionales. Esto podría ocurrir si partes de la infraestructura de red están conectadas porvínculos de baja velocidad y el propietario del bosque desea asegurarse de que el tráfico de replicación no sobrepasa la capacidad asignada a AD DS.

Es mejor minimizar el número de dominios que se implementan en el bosque. Así se reduce la complejidad general de la implementación y, como resultado, se reduceel costo total de propiedad. En la siguiente tabla se relacionan los costos administrativos asociados a la adición de dominios regionales.

Costo Implicaciones

Administración de varios grupos de administradoresde servicios

Cada dominio tiene sus propios grupos de administradores de servicios que es preciso administrar deforma independiente. La pertenencia de estos grupos de administradores de servicios debe controlarsecuidadosamente.

Mantenimiento de la coherencia entre opciones dedirectiva de grupo que son comunes a varios dominios

La aplicación de las opciones de directiva de grupo que deban aplicarse en todo el bosque deberárealizarse por separado a cada dominio individual del bosque.

Mantenimiento de la coherencia entre opciones deauditoría y control de acceso que son comunes avarios dominios

La aplicación de las opciones de auditoría y control de acceso que deban aplicarse en el bosque deberárealizarse por separado a cada dominio individual del bosque.

Aumento de las probabilidades de que se muevanobjetos entre dominios

A mayor número de dominios, mayor es la probabilidad de que los usuarios necesiten moverse de undominio a otro. Este movimiento puede afectar a los usuarios finales.

Nota

Las directivas de bloqueo de cuenta y contraseña específica de Windows Server 2008 pueden repercutir también en el modelo de diseño del dominio que seseleccione. Antes de la aparición de esta versión de Windows Server 2008, sólo se podía aplicar una directiva de bloqueo de cuenta y contraseña, especificada en ladirectiva predeterminada de dominio del dominio, a todos los usuarios del dominio. Como resultado, si quería disponer de una configuración de bloqueo de cuentay contraseña distinta para varios conjuntos de usuarios, tenía que crear un filtro de contraseña, o bien implementar varios dominios. Ahora se pueden usar directivasde contraseña específica para establecer varias directivas de contraseña y para aplicar diversas restricciones de contraseña y directivas de bloqueo de cuenta agrupos de usuarios diferentes dentro de un solo dominio. Para obtener más información acerca de las directivas de bloqueo de cuenta y contraseña específica,consulte la Guía paso a paso de configuración de directivas de bloqueo de cuentas y contraseñas específicas en http://go.microsoft.com/fwlink/?LinkID=91477 puede estar en inglés .











Modelo de dominio únicoEl modelo de dominio único es el más fácil de administrar y el menos costoso de mantener. Se compone de un bosque que contiene un solo dominio. Este dominio esel dominio raíz del bosque, y contiene todas las cuentas de grupo y usuario del bosque.

El modelo de bosque de dominio único reduce la complejidad administrativa y ofrece las siguientes ventajas:

Cualquier controlador del dominio puede autenticar a cualquier usuario del bosque.

Todos los controladores de dominio pueden ser catálogos globales, por lo que no es necesario planear la ubicación de un servidor de catálogo global.

En un bosque de dominio único, todos los datos del directorio se replican en todas las ubicaciones geográficas que hospedan controladores de dominio. Si bien estemodelo es el más fácil de administrar, también crea el mayor volumen de tráfico de replicación de los dos modelos de dominio. La partición del directorio en variosdominios limita la replicación de objetos a regiones geográficas específicas, pero da lugar a una mayor sobrecarga administrativa.

Modelo de dominio regionalTodos los objetos de datos de un dominio se replican en todos los controladores de dominio de dicho dominio. Por este motivo, si el bosque tiene un gran número deusuarios distribuidos en diferentes ubicaciones geográficas conectadas por una red de área extensa WAN , podría ser necesario implementar dominios regionales a finde reducir el tráfico de replicación a través de los vínculos WAN. Los dominios regionales basados geográficamente se pueden organizar en función de la conectividadWAN de red.

El modelo de dominio regional permite mantener un entorno estable a lo largo del tiempo. Base las regiones usadas para definir los dominios del modelo en elementoestables, como límites continentales. Los dominios basados en otros factores, como los grupos de la organización, pueden cambiar con frecuencia y podrían requerir lareestructuración del entorno.

El modelo de dominio regional consiste en un dominio raíz del bosque y uno o más dominios regionales. Crear el diseño de un modelo de dominio regional conllevaidentificar el dominio raíz del bosque y determinar el número de dominios adicionales que se necesitan para satisfacer los requisitos de replicación. Si la organizaciónincluye grupos que requieren el aislamiento de datos o de servicios frente a otros grupos de la organización, cree un bosque independiente para dichos grupos. Losdominios no proporcionan aislamiento de datos ni aislamiento de servicios.

© 2015 Microsoft

Determinación del número de dominios requeridosActualizado: abril de 2008


Todos los bosques tienen al principio un único dominio. El número máximo de usuarios que puede contener un bosque de un solo dominio se basa en el vínculo de

menor velocidad que debe dar cabida a la replicación entre los controladores de dominio y el ancho de banda disponible que se desea asignar a los Servicios dedominio de Active Directory AD DS . En la tabla siguiente se indica el número máximo recomendado de usuarios que un dominio puede contener en función delbosque de un único dominio, la velocidad del vínculo más lento y el porcentaje de ancho de banda que se desea reservar para la replicación. Esta información se aplicaa bosques que contienen un máximo de 100.000 usuarios y una conectividad igual o superior a 28,8 kilobits por segundo Kbps . Consulte a un diseñador de ActiveDirectory experimentado para que le indique las recomendaciones aplicables a los bosques que contienen más de 100.000 usuarios o una conectividad inferior a 28,8Kbps. Los valores de la tabla siguiente se basan en el tráfico de replicación que se genera en un entorno con las siguientes características:

Cada año se une al bosque un 20% de nuevos usuarios.

Cada año deja el bosque un 15% de usuarios.

Cada usuario es miembro de cinco grupos globales y cinco grupos universales.

La relación entre usuarios y equipos es de 1:1.

Se usa el Sistema de nombres de dominio DNS integrado en Active Directory®.

Se usa la eliminación de DNS.

Nota

Las cifras indicadas en la tabla siguiente son aproximaciones. La cantidad de tráfico de replicación depende en gran medida en el número de cambios realizados enel directorio en un tiempo determinado. Confirme que la red puede dar cabida al tráfico de replicación comprobando en un laboratorio la cantidad y frecuenciaestimadas de los cambios en el diseño antes de implementar los dominios.





Vínculo de menor velocidad queconecta un controlador de dominio Kbps

Número máximo de usuarios si sedispone de un 1% de ancho debanda



28.8 10,000 25,000 40,000

32 10,000 25,000 50,000

56 10,000 50,000 100,000

64 10,000 50,000 100,000

128 25,000 100,000 100,000

256 50,000 100,000 100,000

512 80,000 100,000 100,000

1,500 100,000 100,000 100,000

Para usar esta tabla:

1. En la columna Vínculo de menor velocidad que conecta un controlador de dominio, busque el valor que coincida con la velocidad del vínculo más lento através del cual AD DS se replicará en el dominio.

2. En la fila correspondiente a la velocidad del vínculo más lento, busque la columna que representa el porcentaje de ancho de banda que desea asignar a AD DS.El valor en dicha ubicación es el número máximo de usuarios que puede contener el dominio de un bosque de un único dominio.

Si determina que el número total de usuarios del bosque es inferior al número máximo de usuarios que puede contener el dominio, puede usar un dominio único.Asegúrese de tener en cuenta el crecimiento futuro planeado al tomar esta decisión. Si determina que el número total de usuarios del bosque es superior al númeromáximo de usuarios que puede contener el dominio, necesitará reservar un porcentaje mayor de ancho de banda para la replicación, aumentar la velocidad del vínculoo dividir la organización en dominios regionales.

División de la organización en dominios regionalesSi no puede incluir a todos los usuarios en un único dominio, deberá seleccionar el modelo de dominio regional. Divida la organización en regiones de una manera quetenga sentido para la misma y para la red existente. Por ejemplo, podría crear regiones basadas en límites continentales.

Tenga en cuenta que, puesto que necesita crear un dominio de Active Directory para cada región que establezca, es recomendable minimizar el número de regionesque se van a definir para AD DS. Si bien es posible incluir un número ilimitado de dominios en un bosque, para facilitar la administración se recomienda que un boqueno contenga más de 10 dominios. Al dividir la organización en dominios regionales deberá alcanzar el adecuado equilibrio entre optimizar el ancho de banda de

replicación y minimizar la complejidad administrativa.

En primer lugar, determine el número máximo de usuarios que puede hospedar el bosque. Base esta decisión en el vínculo más lento del bosque a través del cual sereplicarán los controladores de dominio y en la cantidad media de ancho de banda que desea asignar a la replicación de Active Directory. En la siguiente tabla se indicael número máximo recomendado de usuarios que puede contener un bosque. Este número se basa en la velocidad del vínculo más lento y en el porcentaje de anchode banda que se desea reservar para la replicación. Esta información se aplica a bosques que contienen un máximo de 100.000 usuarios y una conectividad igual osuperior a 28,8 Kbps. Los valores de la tabla se basan en las siguientes suposiciones:

Todos los controladores de dominio son servidores de catálogo global.


Cada año deja al bosque un 15% de usuarios.

Los usuarios son miembros de cinco grupos globales y cinco grupos universales.


Se usa DNS integrado en Active Directory.


Nota






Vínculo de menor velocidad queconecta un controlador de dominio

Kbps




28.8 10,000 50,000 75,000

32 10,000 50,000 75,000

56 10,000 75,000 100,000

64 25,000 75,000 100,000

128 50,000 100,000 100,000

256 75,000 100,000 100,000

512 100,000 100,000 100,000

1,500 100,000 100,000 100,000


1. En la columna Vínculo de menor velocidad que conecta un controlador de dominio, busque el valor que coincida con la velocidad del vínculo más lento através del cual AD DS se replicará en el bosque.

2. En la fila correspondiente a la velocidad del vínculo más lento, busque la columna que representa el porcentaje de ancho de banda que desea asignar a AD DS.El valor que aparece ahí es el número máximo de usuarios que el bosque puede hospedar.

Si el número máximo de usuarios que el bosque puede hospedar es superior al número de usuarios que necesita hospedar, un único bosque funcionará para su diseñoSi necesita hospedar más usuarios que el número máximo identificado, necesita aumentar la velocidad mínima del vínculo, asignar un mayor porcentaje de ancho debanda para AD DS o implementar bosques adicionales.

Si determina que un único bosque dará cabida al número de usuarios que necesita hospedar, el siguiente paso es determinar el número máximo de usuarios que puedadmitir cada región basándose en el vínculo más lento de dicha región. Divida los bosques en regiones que tengan sentido desde su punto de vista. Asegúrese de quesu decisión se basa en factores que no es probable que cambien. Por ejemplo, use continentes en lugar de regiones de ventas. Estas regiones serán la base de laestructura del dominio cuando haya identificado el número máximo de usuarios.

Determine el número de usuarios que necesita hospedar en cada región y, a continuación, compruebe que no sobrepasa el máximo permitido conforme a la velocidaddel vínculo más lento y el ancho de banda asignado a AD DS en dicha región. En la siguiente tabla se indica el número máximo recomendado de usuarios que puedecontener un dominio regional. Este número se basa en la velocidad del vínculo más lento y en el porcentaje de ancho de banda que se desea reservar para lareplicación. Esta información se aplica a bosques que contienen un máximo de 100.000 usuarios y una conectividad igual o superior a 28,8 Kbps. Los valores de la tablase basan en las siguientes suposiciones:

Todos los controladores de dominio son servidores de catálogo global.


Cada año deja al bosque un 15% de usuarios.

Los usuarios son miembros de cinco grupos globales y cinco grupos universales.


Se usa DNS integrado en Active Directory.


Nota






Vínculo de menor velocidad queconecta un controlador de dominio Kbps




28.8 10,000 18,000 40,000

32 10,000 20,000 50,000

56 10,000 40,000 100,000

64 10,000 50,000 100,000

128 15,000 100,000 100,000

256 30,000 100,000 100,000

512 80,000 100,000 100,000

1,500 100,000 100,000 100,000


1. En la columna Vínculo de menor velocidad que conecta un controlador de dominio, busque el valor que coincida con la velocidad del vínculo más lento através del cual AD DS se replicará en la región.

2. En la fila correspondiente a la velocidad del vínculo más lento, busque la columna que representa el porcentaje de ancho de banda que desea asignar a AD DS.Ese valor representa el número máximo de usuarios que la región puede hospedar.

Evalúe cada una de las regiones propuestas y determine si el número máximo de usuarios de cada región es inferior al número máximo recomendado de usuarios quepuede contener un dominio. Si determina que la región puede hospedar el número de usuarios que necesita, puede crear un dominio para dicha región. Si determinaque no puede hospedar a tantos usuarios, considere la posibilidad de dividir el diseño en regiones más pequeñas y vuelva a calcular el número máximo de usuarios quse puede hospedar en cada una. Las otras alternativas son asignar más ancho de banda o aumentar la velocidad del vínculo.

Si bien el número total de usuarios que se puede incluir en un dominio de un bosque con varios dominios es menor que el número de usuarios del dominio de unbosque de dominio único, el número global de usuarios de un bosque con varios dominios puede ser más elevado. El número más pequeño de usuarios por dominiode un bosque con varios dominios se adapta a la sobrecarga de replicación adicional que se crea al mantener el catálogo global en dicho entorno. Consulte a undiseñador de Active Directory experimentado para que le indique las recomendaciones aplicables a los bosques que contienen más de 100.000 usuarios o unaconectividad inferior a 28,8 Kbps.

Documentación de las regiones identificadasUna vez dividida la organización en dominios regionales, documente las regiones que desea que estén representadas y el número de usuarios que habrá en cada una.Además, anote la velocidad de los vínculos más lentos de cada región que se usarán para la replicación de Active Directory. Esta información se usa para determinar sison necesarios dominios o bosques adicionales.

Para ver una hoja de trabajo que le ayude a documentar las regiones identificadas, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zipde Job Aids del Kit de implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 puede estar en inglés y abra "Identifying Regions" DSSLOGI_4.doc .

© 2015 Microsoft

Determinación de si hay que actualizar los dominios existenteso implementar otros nuevosActualizado: abril de 2008


Los dominios del diseño pueden ser dominios nuevos o actualizaciones de dominios existentes. Los usuarios de dominios existentes que no actualice deberán moversea dominios nuevos.

Mover cuentas de un dominio a otro puede afectar a los usuarios finales. Antes de elegir entre mover los usuarios a un dominio nuevo o actualizar los dominiosexistentes, evalúe las ventajas administrativas a largo plazo de contar con un dominio de AD DS nuevo frente a los costos de mover a los usuarios al dominio.

Para obtener más información sobre la actualización de dominios de Active Directory a Windows Server 2008, consulte el tema que trata acerca de la actualización dedominios de AD DS a Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkId=89032.

Para obtener más información acerca de la reestructuración de los dominios de AD DS dentro de los bosques y entre bosques, consulte la guía de migración de laherramienta de migración de Active Directory versión 3.1 en http://go.microsoft.com/fwlink/?LinkId=82740 puede estar en inglés .








Para ver una hoja de trabajo que le ayude a documentar los planes de dominios nuevos y actualizados, descargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de implementación de Windows Server 2003 enhttp://go.microsoft.com/fwlink/?LinkID=102558 puede estar en inglés y abra "Domain Planning" DSSLOGI_5.doc .

© 2015 Microsoft

Asignación de nombres de dominioActualizado: agosto de 2009


Debe asignarse un nombre a cada dominio del plan. Los dominios de Servicios de dominio de Active Directory AD DS tienen dos tipos de nombres: nombres DNS Sistema de nombres de dominio y nombres NetBIOS. En general, los usuarios finales pueden ver ambos nombres. Los nombres DNS de los dominios de ActiveDirectory constan de dos partes: un prefijo y un sufijo. Al crear nombres de dominio hay que determinar primero el prefijo DNS. Se trata de la primera etiqueta en elnombre DNS del dominio. El sufijo se determina al seleccionar el nombre del dominio raíz del bosque. En la siguiente tabla se detallan las reglas de nomenclatura deprefijos para nombres DNS.

Regla Explicación

Seleccione un prefijo que no tenga probabilidades dequedarse obsoleto.

Evite nombres como los de una línea de productos o un sistema operativo que pudieran cambiar en elfuturo. Se recomienda usar nombres geográficos.

Seleccione un prefijo que incluya únicamentecaracteres estándar de Internet.

A‐Z, a‐z, 0‐9 y ‐ , pero no enteramente numérico.

Incluya 15 caracteres o menos en el prefijo. Si elige un prefijo de longitud igual o inferior a 15 caracteres, el nombre NetBIOS será igual al prefijo.

Para obtener más información, consulte todo lo relativo a las convenciones de nomenclatura de Active Directory para equipos, dominios, sitios y unidades organizativa OU en http://go.microsoft.com/fwlink/?LinkId=106629 puede estar en inglés .

Nota

No se recomienda usar dominios de Active Directory que tengan nombres DNS de etiqueta única. Para obtener más información, consulte el artículo 30068 deMicrosoft Knowledge Base en http://go.microsoft.com/fwlink/?LinkID=106631 puede estar en inglés .

Si el nombre NetBIOS actual del dominio no es adecuado para representar la región o no satisface las reglas de nomenclatura de prefijos, seleccione otro prefijo. Eneste caso, el nombre NetBIOS del dominio será diferente al prefijo DNS del dominio.

Para cada dominio nuevo que implemente, seleccione un prefijo que sea apropiado a la región y que satisfaga las reglas de nomenclatura de prefijos. Se recomiendaque el nombre NetBIOS del dominio sea el mismo que el prefijo DNS.

Documente el prefijo DNS y los nombres NetBIOS que seleccione para cada dominio del bosque. Puede agregar la información del nombre NetBIOS y DNS a la hoja detrabajo "Domain Planning" que creó para documentar el plan de los dominios nuevos y actualizados. Para abrirla, descargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de implementación de Windows Server 2003 enhttp://go.microsoft.com/fwlink/?LinkID=102558 puede estar en inglés y abra "Domain Planning" DSSLOGI_5.doc .

© 2015 Microsoft

Selección del dominio raíz del bosqueActualizado: abril de 2008


El primer dominio que se implementa en un bosque de Active Directory se denomina dominio raíz del bosque. Este dominio permanece como dominio raíz del bosquedurante el ciclo de vida de la implementación de AD DS.

El dominio raíz del bosque contiene los grupos Administradores de organización y Administradores de esquema. Estos grupos de administradores de servicios se usanpara administrar operaciones en el nivel del bosque, como la adición o eliminación de dominios y la implementación de cambios en el esquema.

Seleccionar el dominio raíz del bosque implica determinar si uno de los dominios de Active Directory del diseño puede funcionar como dominio raíz del bosque o si esnecesario implementar uno dedicado.

Para obtener información sobre la implementación de un dominio raíz del bosque, consulte el tema que trata acerca de la implementación de un dominio raíz del











bosque de Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkId=89028 puede estar en inglés .

Elección de un dominio raíz del bosque dedicado o regionalSi se aplica un modelo de dominio único, éste funcionará como dominio raíz del bosque. Si se aplica un modelo de dominio múltiple, es posible elegir entreimplementar un dominio raíz del bosque dedicado o seleccionar un dominio regional para que funcione como dominio raíz del bosque.

Dominio raíz del bosque dedicadoUn dominio raíz del bosque dedicado es un dominio que se crea específicamente para funcionar como raíz del bosque. No contiene ninguna cuenta de usuario que nosean las cuentas del administrador del servicio para el dominio raíz del bosque. Además, no representa a ninguna región en la estructura de dominios. Todos los demásdominios del bosque son dominios secundarios del dominio raíz del bosque dedicado.

Usar una raíz del bosque dedicada ofrece las siguientes ventajas:

Separación operativa de los administradores de servicios del bosque de los administradores de servicios del dominio. En un entorno de dominio único, losmiembros de los grupos Administradores del dominio y Administradores integrado pueden usar procedimientos y herramientas estándar para convertirse a símismos en miembros de los grupos Administradores de organización y Administradores de esquema. En un bosque que usa un dominio raíz del bosquededicado, los miembros de los grupos Administradores del dominio y Administradores integrado de los dominios regionales no se pueden convertir enmiembros de los grupos de administradores de servicios del nivel del bosque usando procedimientos y herramientas estándar.

Protección frente a cambios operativos en otros dominios. Un dominio raíz del bosque dedicado no representa a ninguna región concreta en la estructura deldominio. Por este motivo, no se ve afectado por reorganizaciones u otros cambios que den lugar al cambio de nombre o reestructuración de los dominios.

Funciona como raíz neutral, por lo que ninguna región aparece subordinada a otra. Algunas organizaciones podrían preferir evitar que un país o regiónaparecieran subordinados a otros en el espacio de nombres. Cuando se usa un dominio raíz del bosque dedicado, todos los dominios regionales puedenencontrarse en el mismo nivel dentro de la jerarquía del dominio.

En un entorno de dominio regional múltiple en el que se usa una raíz del bosque dedicada, la replicación del dominio raíz del bosque tiene una repercusión mínimasobre la infraestructura de red. Esto es así porque la raíz del bosque sólo alberga cuentas de administradores de servicios. La mayoría de las cuentas de usuario delbosque y otros datos específicos del dominio se almacenan en los dominios regionales.

Una desventaja de usar un dominio raíz del bosque dedicado es que crea más carga administrativa para admitir el dominio adicional.

Dominio regional como dominio raíz del bosqueSi elige no implementar un dominio raíz del bosque dedicado, deberá seleccionar un dominio regional para que funcione como el dominio raíz del bosque. Estedominio es el dominio principal de todos los demás dominios regionales y será el primer dominio que implemente. El dominio raíz del bosque contiene cuentas deusuario y se administra de la misma manera que los demás dominios regionales. La diferencia principal es que incluye también los grupos Administradores deorganización y Administradores de esquema.

La ventaja de seleccionar un dominio regional para que funcione como el dominio raíz del bosque es que no crea la carga administrativa adicional que conllevamantener un dominio adicional. Seleccione un dominio regional adecuado para que sea la raíz del bosque, como el dominio que representa a sus oficinas centrales o laregión que tiene las conexiones de red más rápidas. Si a su organización le resulta difícil seleccionar un dominio regional para que sea el dominio raíz del bosque,

puede elegir en su lugar usar un modelo de raíz del bosque dedicado.

Asignación del nombre del dominio raíz del bosqueEl nombre del dominio raíz del bosque es también el nombre del bosque. El nombre de la raíz del bosque es un nombre del Sistema de nombres de dominio DNS quse compone de un prefijo y de un sufijo con el formato prefijo.sufijo. Por ejemplo, una organización podría tener el nombre de raíz del bosque corp.contoso.com,donde "corp" es el prefijo y "contoso.com", el sufijo.

Seleccione el sufijo de una lista de nombres existente en la red. Para el prefijo, seleccione un nombre nuevo que no se haya usado en la red con anterioridad.Agregando un prefijo nuevo a un sufijo existente se crea un espacio de nombres único. La creación de un espacio de nombres nuevo para los Servicios de dominio deActive Directory AD DS garantiza que cualquier infraestructura DNS existente no tenga que modificarse para acomodar a AD DS.

Selección de un sufijoPara seleccionar un sufijo para el dominio raíz del bosque:

1. Póngase en contacto con el propietario de DNS de la organización para obtener una lista de los sufijos de DNS registrados que se usan en la red que albergará AD DS. Tenga en cuenta que los sufijos usados en la red interna pueden ser diferentes de los que se usan externamente. Por ejemplo, una organización podríausar contosopharma.com en Internet y contoso.com en la red corporativa interna.

2. Consulte al propietario de DNS para seleccionar un sufijo que se pueda usar con AD DS. Si no existen sufijos adecuados, registre un nombre nuevo en unaentidad de nomenclatura de Internet.

Se recomienda usar nombres DNS que estén registrados en una entidad de Internet en el espacio de nombres de Active Directory. Sólo los nombres registrados tienengarantías de ser únicos globalmente. Si otra organización registra posteriormente el mismo nombre de dominio DNS o si su organización se fusiona con, adquiere o esadquirida por otra empresa que usa el mismo nombre DNS , las dos infraestructuras no podrán interactuar entre sí.

Precaución






No use nombres DNS de etiqueta única. Para obtener más información, consulte todo lo relativo a la configuración de Windows para dominios con nombres DNS deetiqueta única en http://go.microsoft.com/fwlink/?LinkId=106631 puede estar en inglés . Tampoco se recomienda usar sufijos no registrados, como .local.

Selección de un prefijoSi elige un sufijo registrado que ya se esté usando en la red, seleccione un prefijo para el nombre del dominio raíz del bosque usando las reglas para prefijos de la tablasiguiente. Agregue un prefijo que no se encuentre en uso actualmente para crear un nuevo nombre subordinado. Por ejemplo, si el nombre raíz de DNS escontoso.com, puede crear el nombre del dominio raíz del bosque de Active Directory concorp.contoso.com, siempre que el espacio de nombres concorp.contoso.comno se esté usando ya en la red. Esta nueva rama del espacio de nombres estará dedicará a AD DS y puede integrarse fácilmente con la implementación de DNSexistente.

Si ha seleccionado un dominio regional para que funcione como dominio raíz del bosque, podría ser necesario seleccionar un nuevo prefijo para el dominio. Puesto quel nombre del dominio raíz del bosque afecta a todos los demás nombres de dominio del bosque, un nombre basado en una región podría no ser adecuado. Si usa unsufijo nuevo que no se está usando actualmente en la red, puede utilizarlo como nombre del dominio raíz del bosque sin elegir ningún prefijo adicional.

En la siguiente tabla se enumeran las reglas de selección de prefijos para nombres DNS registrados.

Regla Explicación

Seleccione un prefijo que no tenga probabilidadesde quedarse obsoleto.

Evite nombres como los de una línea de productos o un sistema operativo que pudieran cambiar en el futuro.Se recomienda usar nombres genéricos, como corp o ds.

Seleccione un prefijo que incluya únicamente

caracteres estándar de Internet.

A‐Z, a‐z, 0‐9 y ‐ , pero no sólo números.

Incluya 15 caracteres o menos en el prefijo. Si elige un prefijo de longitud igual o inferior a 15 caracteres, el nombre NetBIOS será igual al prefijo.

Es importante que el propietario de DNS de Active Directory y el propietario de DNS trabajen juntos para que la organización obtenga la propiedad del nombre que seusará para el espacio de nombres de Active Directory. Para obtener más información sobre cómo diseñar una infraestructura de DNS para admitir AD DS, consulteCreación del diseño de una infraestructura DNS.

Documentar el nombre del dominio raíz del bosqueDocumente el sufijo y el prefijo de DNS seleccionados para el dominio raíz del bosque. Llegados a este punto, identifique el dominio que será la raíz del bosque. Puedeagregar la información del nombre del dominio raíz del bosque a la hoja de trabajo "Domain Planning" que creó para documentar el plan de los dominios nuevos yactualizados y los nombres de dominio. Para abrirla, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit deimplementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 puede estar en inglés y abra "Domain Planning" DSSLOGI_5.doc .

© 2015 Microsoft

Creación del diseño de una infraestructura DNSActualizado: abril de 2008


Una vez creados los diseños del dominio y el bosque de Active Directory, es preciso diseñar una infraestructura de Sistema de nombres de dominio DNS que seacompatible con la estructura lógica de Active Directory. DNS permite a los usuarios usar nombres descriptivos fáciles de recordar para conectarse a los equipos y otrosrecursos de las redes IP. Los Servicios de dominio de Active Directory AD DS de Windows Server 2008 requieren DNS.

El proceso para diseñar un DNS que admita AD DS varía dependiendo de si en la organización existe ya un servicio Servidor DNS o si se está implementando un nuevoservicio Servidor DNS:

Si ya existe una infraestructura DNS, se debe integrar el espacio de nombres de Active Directory en ese entorno. Para obtener más información, consulteIntegración de AD DS en una infraestructura DNS existente.

Si no tiene una infraestructura DNS, debe diseñar e implementar una nueva infraestructura DNS para que sea compatible con AD DS. Para obtener másinformación, consulte el tema que trata acerca de la implementación del Sistema de nombres de dominio DNS en http://go.microsoft.com/fwlink/?LinkId=93656 puede estar en inglés .

Si en la organización ya existe una infraestructura DNS, debe asegurarse de que comprende la forma en que ésta interactuará con el espacio de nombres deActive Directory. Para ver una hoja de trabajo que le ayude a documentar el diseño de la infraestructura DNS existente, descargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de implementación de Windows Server 2003 enhttp://go.microsoft.com/fwlink/?LinkID=102558 puede estar en inglés y abra "DNS Inventory" DSSLOGI_8.doc .

Nota











Además de con las direcciones IP versión 4 IPv4 , Windows Server 2008 es compatible también con las direcciones IP versión 6 IPv6 . Para ver una hoja de trabajoque le ayude a realizar una lista de las direcciones IPv6 mientras documenta el método de resolución de nombres recursivos de la estructura DNS actual, consulteApéndice A: Inventario de DNS.

Antes de diseñar la infraestructura DNS compatible con AD DS, puede ser útil leer información acerca de la jerarquía de DNS, el proceso de resolución de nombres deDNS y la compatibilidad de DNS con AD DS. Para obtener más información acerca del proceso de resolución de nombres y la jerarquía de DNS, consulte la referenciatécnica de DNS en http://go.microsoft.com/fwlink/?LinkID=48145 puede estar en inglés . Para obtener más información acerca de la compatibilidad de DNS y AD DS,consulte la referencia técnica de compatibilidad entre DNS y AD DS en http://go.microsoft.com/fwlink/?LinkID=48147 puede estar en inglés .

En esta secciónRevisión de los conceptos de DNS

DNS y AD DS

Asignación de DNS para la función de propietario de AD DS

Integración de AD DS en una infraestructura DNS existente

© 2015 Microsoft

Revisión de los conceptos de DNSActualizado: abril de 2008


El Sistema de nombres de dominio DNS es una base de datos distribuida que representa un espacio de nombres. El espacio de nombres contiene toda la informaciónnecesaria para que cualquier cliente consulte cualquier nombre. Todos los servidores DNS pueden responder a las consultas sobre cualquier nombre de su espacio denombres. Un servidor DNS responde a las consultas de una de las siguientes maneras:

Si la respuesta está en su caché, responde a la consulta desde la caché.

Si la respuesta se encuentra en una zona hospedada por el servidor DNS, responde a la consulta desde dicha zona. Una zona es una porción del árbol DNSalmacenada en un servidor DNS. Cuando un servidor DNS hospeda una zona, es autoritativo para los nombres de dicha zona es decir, el servidor DNS puederesponder a consultas sobre cualquier nombre de la zona . Por ejemplo, un servidor que hospede la zona contoso.com puede responder a consultas sobrecualquier nombre de contoso.com.

Si el servidor no puede responder a la consulta desde su caché o zonas, consultará la respuesta a otros servidores.

Es importante entender las principales características de DNS, como delegación, resolución de nombres recursivos y zonas DNS integradas en Active Directory, ya quetienen una repercusión directa sobre el diseño de la estructura lógica de Active Directory.

Para obtener más información acerca de DNS y los Servicios de dominio de Active Directory AD DS , consulte DNS y AD DS.

DelegaciónPara que un servidor DNS responda a consultas sobre cualquier nombre, debe tener una ruta de acceso directa o indirecta a todas las zonas del espacio de nombres.Estas rutas de acceso se crean mediante delegación. Una delegación es un registro en una zona principal que presenta un servidor de nombres autoritativo para la zondel siguiente nivel de la jerarquía. Las delegaciones permiten a los servidores de una zona enviar a los clientes a los servidores de otras zonas. En la siguiente ilustraciónse muestra un ejemplo de delegación.













El servidor de raíz DNS hospeda la zona raíz representada por un punto . . La zona raíz contiene una delegación a una zona del siguiente nivel de la jerarquía, la zonacom. La delegación de la zona raíz indica al servidor de raíz DNS que, para encontrar la zona com, debe ponerse en contacto con el servidor Com. De la misma manerala delegación de la zona com le indica al servidor Com que, para encontrar la zona contoso.com, debe ponerse en contacto con el servidor Contoso.

Nota

Una delegación usa dos tipos de registros. El registro de recursos de servidor de nombres NS proporciona el nombre de un servidor autoritativo. Los registros derecursos del host A y del host AAAA proporcionan las direcciones IP versión 4 IPv4 e IP versión 6 IPv6 de un servidor autoritativo.

Este sistema de zonas y delegaciones crea un árbol jerárquico que representa el espacio de nombres DNS. Cada zona representa una capa dentro de la jerarquía, y caddelegación, una rama del árbol.

Con la jerarquía de zonas y delegaciones, un servidor de raíz DNS puede encontrar cualquier nombre en el espacio de nombres DNS. La zona raíz incluye delegacionesque conducen, directa o indirectamente, a todas las demás zonas de la jerarquía. Cualquier servidor que pueda consultar al servidor de raíz DNS puede usar lainformación de las delegaciones para buscar cualquier nombre en el espacio de nombres.

Resolución de nombres recursivosLa resolución de nombres recursivos es el proceso por el cual un servidor DNS usa la jerarquía de zonas y delegaciones para responder a las consultas para las que noes autoritativo.

En algunas configuraciones, los servidores DNS incluyen sugerencias de raíz es decir, una lista de nombres y direcciones IP que les permiten consultar los servidoresde raíz DNS. En otras configuraciones, los servidores envían todas las consultas que no pueden responder a otro servidor. Tanto el reenvío como las sugerencias de raízson métodos que los servidores DNS pueden usar para resolver consultas para las que no son autoritativos.

Resolución de nombres mediante sugerencias de raízLas sugerencias de raíz permiten a cualquier servidor DNS encontrar los servidores de raíz DNS. Una vez que un servidor DNS encuentra el servidor de raíz DNS, puederesolver cualquier consulta para dicho espacio de nombres. En la siguiente ilustración se describe la forma en que DNS resuelve un nombre mediante sugerencias deraíz.





En este ejemplo se producen los siguientes eventos:

1. Un cliente envía una consulta recursiva a un servidor DNS para solicitar la dirección IP correspondiente al nombre ftp.contoso.com. Una consulta recursiva indicaque el cliente desea recibir una respuesta definitiva a su consulta. La respuesta a la consulta recursiva debe ser una dirección válida o un mensaje que indiqueque la dirección no se encuentra.

2. Puesto que el servidor DNS no es autoritativo para el nombre y no tiene la respuesta en su caché, el servidor DNS usa sugerencias de raíz para buscar ladirección IP del servidor de raíz DNS.

3. El servidor DNS usa una consulta iterativa para solicitarle al servidor de raíz DNS que resuelva el nombre ftp.contoso.com. Una consulta iterativa indica que elservidor aceptará una referencia a otro servidor en lugar de una respuesta definitiva a la consulta. Puesto que el nombre ftp.contoso.com termina con la etiquetacom, el servidor de raíz DNS devuelve una referencia al servidor Com que hospeda la zona com.

4. El servidor DNS usa una consulta iterativa para pedirle al servidor Com que resuelva el nombre ftp.contoso.com. Puesto que el nombre ftp.contoso.com terminapor contoso.com, el servidor Com devuelve una referencia al servidor Contoso que hospeda la zona contoso.com.

5. El servidor DNS usa una consulta iterativa para pedirle al servidor Contoso que resuelva el nombre ftp.contoso.com. El servidor Contoso encuentra la respuestaen los datos de su zona y devuelve entonces la respuesta al servidor.

6. A continuación, el servidor devuelve el resultado al cliente.

Resolución de nombres mediante reenvíoEl reenvío permite enrutar la resolución de nombres a través de servidores específicos en lugar de usar sugerencias de raíz. En la siguiente ilustración se describe laforma en que DNS resuelve un nombre mediante reenvío.





En este ejemplo se producen los siguientes eventos:

1. Un cliente consulta a un servidor DNS el nombre ftp.contoso.com.

2. El servidor DNS reenvía la consulta a otro servidor DNS, que se denomina reenviador.

3. Puesto que el reenviador no es autoritativo para el nombre y no tiene la respuesta en su caché, usa sugerencias de raíz para buscar la dirección IP del servidor draíz DNS.

4. El reenviador usa una consulta iterativa para pedirle al servidor de raíz DNS que resuelva el nombre ftp.contoso.com. Puesto que el nombre ftp.contoso.comtermina por com, el servidor de raíz DNS devuelve una referencia al servidor Com que hospeda la zona com.

5. El reenviador usa una consulta iterativa para pedirle al servidor Com que resuelva el nombre ftp.contoso.com. Puesto que el nombre ftp.contoso.com terminapor contoso.com, el servidor Com devuelve una referencia al servidor Contoso que hospeda la zona contoso.com.

6. El reenviador usa una consulta iterativa para pedirle al servidor Contoso que resuelva el nombre ftp.contoso.com. El servidor Contoso encuentra la respuesta enlos archivos de su zona y devuelve entonces la respuesta al servidor.

7. A continuación, el reenviador devuelve el resultado al servidor DNS original.

8. El servidor DNS original devuelve entonces el resultado al cliente.

© 2015 Microsoft

DNS y AD DSActualizado: abril de 2008


Los Servicios de dominio de Active Directory AD DS usan los servicios de resolución de nombres del Sistema de nombres de dominio DNS para permitir que los

clientes localicen controladores de dominio y que los controladores de dominio que hospedan el servicio de directorio se comuniquen entre sí.

AD DS permite una fácil integración del espacio de nombres de Active Directory en un espacio de nombres DNS existente. Características como las zonas DNSintegradas en Active Directory facilitan la implementación de DNS eliminando la necesidad de configurar zonas secundarias y, después, transferencias de zona.

Para obtener más información acerca de la compatibilidad de DNS y AD DS, consulte la referencia técnica de compatibilidad entre DNS y AD DS enhttp://go.microsoft.com/fwlink/?LinkID=48147 puede estar en inglés .

Nota

Si implementa un espacio de nombres no contiguo en el que el nombre de dominio de AD DS difiera del sufijo DNS primario que usan los clientes, la integración deAD DS con DNS es más compleja. Para obtener más información, consulte Espacio de nombres no contiguo.







En esta sección

Ubicación del controlador de dominio

Zonas DNS integradas en Active Directory

Nomenclatura de equipos

Espacio de nombres no contiguo

© 2015 Microsoft

Ubicación del controlador de dominioActualizado: abril de 2008


Los clientes usan el Sistema de nombres de dominio DNS para encontrar controladores de dominio que realicen operaciones como procesamiento de solicitudes deinicio de sesión o búsqueda del directorio de recursos publicados. Los controladores de dominio registran diversos registros en DNS para ayudar a los clientes y a otrosequipos a encontrarlos. En conjunto, estos registros se conocen como registros de ubicador.

Los controladores de dominio usan también DNS para buscar otros controladores de dominio y realizar tareas tales como la replicación. El proceso por el cual loscontroladores de dominio buscan otros controladores de dominio es igual al que usan los clientes para buscar controladores de dominio.

© 2015 Microsoft

Zonas DNS integradas en Active DirectoryActualizado: abril de 2008


Los servidores de Sistema de nombres de dominio DNS que se ejecutan en controladores de dominio pueden almacenar sus zonas en Servicios de dominio de ActiveDirectory AD DS . De esta manera, no es necesario configurar una topología de replicación de DNS independiente que use transferencias de zona DNS ordinarias, yaque todos los datos de la zona se replican automáticamente mediante replicación de Active Directory. Esto simplifica el proceso de implementación de DNS y

proporciona las siguientes ventajas:

Se crean varios maestros para la replicación de DNS. Por tanto, cualquier controlador de dominio del dominio en el que se ejecuta el servicio Servidor DNSpuede escribir actualizaciones en las zonas DNS integradas en Active Directory para el nombre de dominio para el que son autoritativas. No se necesita unatopología de transferencia de zonas DNS independiente.

Se admiten las actualizaciones dinámicas seguras. Las actualizaciones dinámicas seguras permiten a un administrador controlar qué equipos actualizan quénombres e impedir a los equipos no autorizados sobrescribir los nombres existentes en DNS.

El DNS integrado en Active Directory de Windows Server 2008 almacena los datos de zona en particiones del directorio de aplicaciones. No hay cambios decomportamiento respecto a la integración con Active Directory de DNS basado en Windows Server 2003. Durante la instalación de AD DS se crean las siguientesparticiones del directorio de aplicaciones específicas de DNS:

Una partición del directorio de aplicaciones de todo el bosque, denominada ForestDnsZones

Particiones del directorio de aplicaciones de todo el dominio para cada dominio del bosque, denominadas DomainDnsZones

Para obtener más información sobre cómo almacena AD DS la información de DNS en particiones de aplicaciones, consulte la referencia técnica de DNS enhttp://go.microsoft.com/fwlink/?LinkId=106636 puede estar en inglés .

Nota

Se recomienda instalar DNS al ejecutar el Asistente para la instalación de los Servicios de dominio de Active Directory Dcpromo.exe . Si lo instala, el asistente creaautomáticamente la delegación de zonas DNS. Para obtener más información consulte el tema que trata acerca de la implementación de un dominio raíz del bosquede Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkId=89028 puede estar en inglés .











© 2015 Microsoft

Nomenclatura de equiposActualizado: abril de 2008


Cuando un equipo con el sistema operativo Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008 o Windows Vista® se une a un dominio, seasigna a sí mismo de manera predeterminada un nombre. El nombre que se asigna se compone del nombre de host del equipo es decir, Nombre del equipo en

Propiedades del sistema y del nombre del Sistema de nombres de dominio DNS del dominio de Active Directory al que está unido el equipo es decir, Sufijo DNSprimario en Propiedades del sistema . La concatenación del nombre de host y del nombre DNS del dominio se conoce como nombre de dominio completo FQDN . Poejemplo: si un equipo con el nombre de host Server1 se une al dominio corp.contoso.com, el FQDN del equipo es server1.corp.contoso.com.

Si un equipo ya tiene un nombre de dominio DNS diferente que se especificó estáticamente en una zona DNS o fue registrado por un servicio de Servidor de Protocolode configuración dinámica de host DHCP /DNS integrado, el FQDN del equipo es distinto del nombre que se registró anteriormente. Cualquiera de los dos nombrespuede usarse para hacer referencia al equipo.

Para obtener más información acerca de las convenciones de nomenclatura en los Servicios de dominio de Active Directory AD DS , consulte todo lo relativo a lasconvenciones de nomenclatura de Active Directory para equipos, dominios, sitios y unidades organizativas OU en http://go.microsoft.com/fwlink/?LinkId=106629 puede estar en inglés .

© 2015 Microsoft

Espacio de nombres no contiguoActualizado: agosto de 2011

Se aplica a: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2

Un espacio de nombres no contiguo se produce cuando uno o más equipos miembros del dominio tienen un sufijo del Sistema de nombres de dominio DNS primarique no coincide con el nombre DNS del dominio de Active Directory del que son miembros los equipos. Por ejemplo, un equipo miembro que use un sufijo de DNSprimario de corp.fabrikam.com en un dominio de Active Directory de nombre na.corp.fabrikam.com estará usando un espacio de nombres no contiguo.

Un espacio de nombres no contiguo es más complejo en todo lo relativo a su administración, mantenimiento y solución de problemas que un espacio de nombrescontiguo. En un espacio de nombres contiguo, el sufijo de DNS primario coincide con el nombre del dominio de Active Directory. Las aplicaciones de red escritas paraasumir que el espacio de nombres de Active Directory es idéntico al sufijo de DNS primario de todos los equipos miembros del dominio no funcionan adecuadamenteen un espacio de nombres no contiguo.

Compatibilidad para espacios de nombres no contiguosLos equipos miembros del dominio, incluidos los controladores de dominio, pueden funcionar en un espacio de nombres no contiguo. Los equipos miembros deldominio pueden registrar su registro de recursos de host A y registro de recursos de host AAAA de IP versión 6 IPv6 en un espacio de nombres DNS no contiguo.Cuando los equipos miembros del dominio registran sus registros de recursos de esta manera, los controladores de dominio continúan registrando registros derecursos de servicio SRV específicos del sitio y globales en la zona DNS que es idéntica al nombre del dominio de Active Directory.

Por ejemplo, supóngase que un controlador de dominio para el dominio de Active Directory denominado na.corp.fabrikam.com que usa un sufijo de DNS primario decorp.fabrikam.com registra registros de recursos de host AAAA de IPv6 y de host A en la zona DNS de corp.fabrikam.com. El controlador de dominio sigueregistrando registros de recursos de servicio SRV específicos del sitio y globales en las zonas de DNS _msdcs.na.corp.fabrikam.y na.corp.fabrikam.com, lo que haceposible la ubicación del servicio.

Importante

Aunque los sistemas operativos de Windows pueden admitir un espacio de nombres no contiguo, las aplicaciones escritas para asumir que el sufijo de DNS primarioes el mismo que el sufijo del dominio de Active Directory pueden no funcionar en dicho entorno. Por este motivo, deberán comprobarse cuidadosamente todas las

aplicaciones y sus respectivos sistemas operativos antes de implementar un espacio de nombres no contiguo.

Un espacio de nombres no contiguo debería funcionar y se admite en las siguientes situaciones:

Cuando un bosque con varios dominios de Active Directory usa un espacio de nombres DNS único, lo que se conoce también como zona DNS.

Un ejemplo de e llo es una empresa que use dominios regionales, con nombres como na.corp.fabrikam.com, sa.corp.fabrikam.com y asia.corp.fabrikam.com, yque use un único espacio de nombres DNS, como corp.fabrikam.com.

Cuando un dominio de Active Directory se divide en espacios de nombres DNS independientes

Un ejemplo de ello es una empresa con un dominio de Active Directory de nombre corp.contoso.com que use zonas DNS como hr.corp.contoso.com,production.corp.contoso.com e it.corp.contoso.com






Un espacio de nombres no funciona adecuadamente y no se admite en las siguientes situaciones:

Cuando los controladores de dominio del mismo dominio no usan el mismo sufijo DNS primario

Cuando los servidores de entidad de certificación CA del miembro del dominio no usan el mismo sufijo DNS primario que usan los controladores de dominiodel dominio del que son miembros los servidores de CA.

Consideraciones para espacios de nombres no contiguosLas siguientes consideraciones pueden ayudarle a decidir si debe usar un espacio de nombres no contiguo.

Compatibilidad de aplicacionesComo se ha mencionado previamente, un espacio de nombres no contiguo puede causar problemas en cualquier aplicación o servicio escrito para asumir que un sufijoDNS primario de un equipo es idéntico al nombre del dominio del que es miembro. Antes de implementar un espacio de nombres no contiguo es preciso comprobar sexisten problemas de compatibilidad en las aplicaciones. Así mismo, hay que asegurarse de comprobar la compatibilidad de todas las aplicaciones que se usan pararealizar el análisis. Ello incluye las aplicaciones de Microsoft y de otros desarrolladores de software.

Ventajas de los espacios de nombres no contiguosUsar un espacio de nombres no contiguo puede tener las siguientes ventajas:

Puesto que el sufijo DNS primario de un equipo puede indicar información diferente, es posible administrar el espacio de nombres DNS con independencia delnombre de dominio de Active Directory.

Puede separarse el espacio de nombres DNS en función de la estructura empresarial o la ubicación geográfica. Por ejemplo, puede separar el espacio denombres basándose en nombres de unidades de negocio o ubicaciones físicas, como continente, país o región, o edificio.

Desventajas de los espacios de nombres no contiguosUsar un espacio de nombres no contiguo puede tener las siguientes desventajas:

Es preciso crear y administrar zonas DNS independientes para cada dominio de Active Directory del bosque que tiene equipos miembros que usan un espacio dnombres no contiguo. Es decir, se requiere una configuración adicional y más compleja.

Deben realizarse pasos manuales para modificar y administrar el atributo de Active Directory que permite a los miembros del dominio usar sufijos DNS primarioespecificados.

Para optimizar la resolución de nombres, es preciso realizar pasos manuales a fin de modificar y mantener la directiva de grupo para configurar equiposmiembros con sufijos DNS primarios alternativos.

Nota

Se puede usar el Servicio de nombres Internet de Windows WINS para contrarrestar esta desventaja resolviendo nombres de etiqueta única. Para obtenermás información acerca de WINS, consulte la referencia técnica de WINS en http://go.microsoft.com/fwlink/?LinkId=102303 puede estar en inglés .

Cuando el entorno requiere varios sufijos DNS primarios, es preciso configurar adecuadamente el orden de búsqueda de sufijos DNS para todos los dominios deActive Directory del bosque.

Para definir el orden de búsqueda de sufijos DNS se pueden usar objetos de directiva de grupo o parámetros del servicio de Servidor DHCP Protocolo deconfiguración dinámica de host . También puede modificarse el registro.

Es preciso comprobar cuidadosamente si hay problemas de compatibilidad en las aplicaciones.

Para obtener más información acerca de los pasos que se pueden dar para compensar estas desventajas, consulte lo relativo a creación de un espacio de nombres nocontiguo en http://go.microsoft.com/fwlink/?LinkId=106638 puede estar en inglés .

Planeación de la transición de un espacio de nombresAntes de modificar un espacio de nombres, lea las siguientes consideraciones, que se aplican a las transiciones de espacios de nombres contiguos a espacios denombres no contiguos o a la inversa :

Puede que los nombres principales de servicio SPN configurados manualmente ya no coincidan con los nombres DNS tras un cambio de espacio de nombres.Ello puede dar lugar a errores de autenticación.

Para obtener más información, consulte lo relativo a errores de inicio de sesión de servicio provocados por SPN definidos incorrectamenteenhttp://go.microsoft.com/fwlink/?LinkId=102304 puede estar en inglés .

Si usa equipos basados en Windows Server 2003 con delegación restringida, dichos equipos pueden requerir configuración adicional para cambiar losSPN. Para obtener más información, consulte el artículo 936628 de Microsoft Knowledge Base en http://go.microsoft.com/fwlink/?LinkId=102306 puede









estar en inglés .

Si desea delegar permisos para modificar SPN en administradores subordinados, consulte lo relativo a delegación de autoridad para modificar SPN enhttp://go.microsoft.com/fwlink/?LinkId=106639 puede estar en inglés .

Si usa el Protocolo ligero de acceso a directorios LDAP a través de Capa de sockets seguros SSL lo que se conoce como LDAPS con una CA de unaimplementación que tiene controladores de dominio configurados en un espacio de nombres no contiguo, debe usar el nombre de dominio de Active Directoryy el sufijo DNS primario adecuados al configurar los certificados LDAPS.

Para obtener más información acerca de los requisitos de certificado del controlador de dominio, vea el artículo 321051 de Microsoft Knowledge Base enhttp://go.microsoft.com/fwlink/?LinkId=102307 puede estar en inglés .

Nota

Los controladores de dominio que usan certificados para LDAPS pueden requerir que se vuelvan a implementar sus certificados. Si se implementannuevamente, puede que los controladores de dominio no seleccionen un certificado apropiado hasta que se reinicien. Para obtener más información acercade la autenticación LDAPS y una actualización relacionada para Windows Server 2003, vea el artículo 932834 de Microsoft Knowledge Base enhttp://go.microsoft.com/fwlink/?LinkId=102308 puede estar en inglés .

Planeación de implementaciones de espacios de nombres no contiguosAdopte las siguientes precauciones al implementar equipos en un entorno que tenga un espacio de nombres no contiguo:

1. Notifique a todos los fabricantes de software con los que haga negocios que deben probar y admitir un espacio de nombres no contiguo. Pídales que

comprueben si sus aplicaciones son compatibles con entornos en los que se usan espacios de nombres no contiguos.

2. Pruebe todas las versiones de sistemas operativos y aplicaciones en entornos de laboratorio de espacios de nombres no contiguos. Al hacerlo, siga estasrecomendaciones:

a. Resuelva todos los problemas del software antes de implementarlo en el entorno.

b. Si es posible, participe en las pruebas de las versiones beta de los sistemas operativos y las aplicaciones que planea implementar en espacios de nombresno contiguos.

3. Asegúrese de que los administradores y el personal del departamento de soporte técnico conozcan el espacio de nombres no contiguo y sus repercusiones.

4. Cree un plan que le permita realizar, en caso necesario, la transición desde un espacio de nombres no contiguo a otro contiguo.

5. Informe a los proveedores de aplicaciones y sistemas operativos de la importancia de admitir los espacios de nombres no contiguos.

© 2015 Microsoft

Asignación de DNS para la función de propietario de AD DSActualizado: abril de 2008


El propietario del bosque asigna un Sistema de nombres de dominio DNS al propietario de los Servicios de dominio de Active Directory AD DS del bosque. Elpropietario de DNS para AD DS del bosque es una persona o grupo de personas responsable de supervisar la implementación de DNS en la infraestructura de AD DSy de asegurarse de que los nombres de dominio se registren en caso necesario ante las correspondientes entidades de Internet.

El propietario de DNS para AD DS es responsable del diseño de DNS para AD DS del bosque. Si la organización opera actualmente un servicio Servidor DNS, el

diseñador de DNS para el servicio Servidor DNS trabaja con el propietario de DNS para AD DS a fin de delegar el nombre DNS raíz del bosque a los servidores DNS quese ejecutan en los controladores de dominio.

El propietario de DNS para AD DS del bosque mantiene contacto también con el grupo del Protocolo de configuración dinámica de host DHCP y el grupo DNS de laorganización y coordina los planes de los propietarios de DNS individuales de cada dominio del bosque si los hay con estos grupos. El propietario de DNS del bosquese asegura de que los grupos DHCP y DNS participen en el proceso de diseño de DNS para AD DS a fin de que cada grupo esté al corriente del plan de diseño de DNSy pueda realizar sus aportaciones con prontitud.

© 2015 Microsoft

Integración de AD DS en una infraestructura DNS existenteActualizado: abril de 2008









Si la organización ya dispone de un servicio de servidor de Sistema de nombres de dominio DNS , el propietario del DNS para los Servicios de dominio de ActiveDirectory AD DS debe colaborar con el propietario del DNS a fin de que la organización integre AD DS en la infraestructura existente. Ello implica crear un servidor deDNS y una configuración de cliente de DNS.

Creación de una configuración de servidor de DNSAl integrar AD DS en un espacio de nombres de DNS existente recomendamos lo siguiente:

Instale el servicio Servidor DNS en cada controlador de dominio del bosque. Ello proporciona tolerancia a errores si alguno de los servidores DNS no estádisponible. De esta manera, los controladores de dominio no necesitan depender de otros servidores DNS para la resolución de nombres. Esto simplifica

también el entorno de administración, porque todos los controladores de dominio tienen una configuración uniforme.

Configure el controlador de dominio raíz del bosque de Active Directory a fin de hospedar la zona de DNS para el bosque de Active Directory.

Configure los controladores de dominio para que cada dominio regional hospede las zonas DNS correspondientes a sus dominios de Active Directory.

Configure la zona que contiene los registros de ubicador de todo el bosque de Active Directory es decir, la zona _msdcs.nombreDeBosque para replicar entodos los servidores DNS del bosque usando la partición del directorio de aplicaciones DNS de todo el bosque.

Nota

Cuando el servicio de servidor DNS se instala con el Asistente para la instalación de los Servicios de dominio de Active Directory opción recomendada , todaslas tareas anteriores se realizan automáticamente. Para obtener más información, consulte el tema que trata acerca de la implementación de un dominio raízdel bosque de Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkId=89028 puede estar en inglés .

Nota

AD DS usa los registros de ubicador de todo el bosque para que los asociados de replicación se encuentren y los clientes encuentren los servidores decatálogo global. AD DS almacena los registros de ubicador de todo el bosque en la zona _msdcs.nombreDeBosque. Puesto que la información de la zona debeestar ampliamente disponible, esta zona se replica en todos los servidores DNS del bosque mediante la partición del directorio de aplicaciones DNS de todoel bosque.

La estructura DNS existente permanece intacta. No es necesario mover ningún servidor o zona. Sólo es preciso crear una delegación para las zonas DNS integradas enActive Directory desde la jerarquía de DNS existente.

Creación de la configuración de cliente DNSPara configurar DNS en equipos cliente, el DNS para el propietario de AD DS debe especificar el esquema de asignación de nombres del equipo y la forma en que losclientes encontrarán los servidores DNS. En la siguiente tabla se enumeran las configuraciones recomendadas para estos elementos de diseño.

Elemento dediseño

Configuración

Asignación denombres deequipos

Use la nomenclatura predeterminada. Cuando un equipo basado en Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008 oWindows Vista se une a un dominio, el equipo se asigna a sí mismo un nombre de dominio completo FQDN que incluye el nombre de host delequipo y el nombre del dominio de Active Directory.

Configuraciónde resoluciónde cliente

Configure los equipos cliente para que señalen a cualquier servidor DNS de la red.

Nota

Los controladores de dominio y clientes de Active Directory pueden registrar dinámicamente sus nombres DNS aunque no estén señalando al servidor DNSautoritativo para sus nombres.

Un equipo podría tener un nombre DNS distinto si la organización ha registrado estáticamente el equipo en DNS con anterioridad o si la organización haimplementado antes una solución de Protocolo de configuración dinámica de host DHCP integrada. Si los equipos cliente ya tienen un nombre DNS registrado,cuando el dominio al que están unidos se actualice a AD DS de Windows Server 2008, tendrán dos nombres diferentes:






El nombre DNS existente

El nuevo nombre de dominio completo FQDN

Los clientes pueden buscarse por cualquiera de los dos nombres. Cualquier solución DNS, DHCP o DNS/DHCP integrada se mantiene intacta. Los nuevos nombresprincipales se crean automáticamente y se actualizan mediante actualización dinámica. Se limpian automáticamente mediante eliminación.

Si desea beneficiarse de la autenticación Kerberos cuando se conecte a un servidor que ejecute Windows 2000, Windows Server 2003 o Windows Server 2008, debeasegurarse de que el cliente se conecte al servidor usando el nombre principal.

© 2015 Microsoft

Creación del diseño de una unidad organizativaActualizado: abril de 2008


Los propietarios del bosque son los responsables de la creación de diseños de unidad organizativa OU para sus dominios. Crear un diseño de unidad organizativaimplica diseñar la estructura de la unidad organizativa, asignar la función de propietario de la misma y crear unidades organizativas de recursos y cuentas.

En principio, diseñe la estructura de la unidad organizativa para habilitar la delegación de las tareas administrativas. Cuando haya terminado el diseño de la unidadorganizativa, puede crear estructuras de unidad organizativa adicionales para aplicar la directiva de grupo a los usuarios y equipos y limitar la visibilidad de los objetos.Para obtener más información, consulte lo relativo al diseño de una infraestructura de directiva de grupo en http://go.microsoft.com/fwlink/?LinkId=106655 puedeestar en inglés .

Función de propietario de unidad organizativaEl propietario del bosque designa a un propietario para cada una de las unidades organizativas que diseñe para el dominio. Los propietarios de unidades organizativasson administradores de datos que controlan un subárbol de objetos en Servicios de dominio de Active Directory AD DS . Los propietarios de las unidades organizativapueden controlar la forma en que se delega la administración y se aplica la directiva a los objetos de sus unidades organizativas. También pueden crear nuevossubárboles y delegar la administración de las unidades organizativas de los mismos.

Puesto que los propietarios de una unidad organizativa no poseen ni controlan el funcionamiento del servicio de directorio, es posible separar la propiedad y laadministración del servicio de directorio de la propiedad y la administración de los objetos, lo que reducirá el número de administradores de servicios que tienenniveles elevados de acceso.

Las unidades organizativas proporcionan autonomía administrativa y los medios para controlar la visibilidad de los objetos del directorio. Las unidades organizativasofrecen aislamiento respecto de otros administradores de datos, pero no respecto de los administradores de servicios. Si bien los propietarios de una unidadorganizativa tienen el control sobre un subárbol de objetos, el propietario del bosque conserva pleno control sobre todos los subárboles. Esto permite al propietario debosque corregir errores, como un error en una lista de control de acceso ACL , y recuperar subárboles delegados cuando los administradores de datos finalicen.

Unidades organizativas de recursos y de cuentasLas unidades organizativas de cuentas contienen objetos de usuario, grupo y equipo. Los propietarios del bosque deben crear una estructura de unidad organizativapara administrar estos objetos y, a continuación, delegar el control de la estructura al propietario de la unidad organizativa. Si está implementando un nuevo dominiode AD DS, cree una unidad organizativa de cuenta para el dominio a fin de poder delegar el control de las cuentas del dominio.

Las unidades organizativas de recursos contienen recursos y las cuentas que son responsables de administrar dichos recursos. El propietario del bosque es responsabletambién de crear una estructura de unidad organizativa para administrar esos recursos y para delegar el control de dicha estructura en el propietario de la unidadorganizativa. Cree las unidades organizativas de recursos que sean necesarias de acuerdo con los requisitos de cada grupo de la organización en materia de autonomíapara la administración de datos y equipos.

Documentar el diseño de la unidad organizativa para cada dominioForme un equipo para diseñar la estructura de la unidad organizativa que usará para delegar el control sobre los recursos del bosque. El propietario del bosque podríaintervenir en el proceso de diseño y deberá aprobar el diseño de la unidad organizativa. También podría implicar al menos a un administrador de servicios a fin degarantizar que el diseño sea válido. Entre los participantes en el equipo de diseño podría incluirse a los administradores de datos que trabajarán en las unidades

organizativas y a los propietarios de las unidades organizativas que serán responsables de administrarlas.

Es importante documentar el diseño de la unidad organizativa. Haga una lista con los nombres de las unidades organizativas que planea crear. Y, para cada unidadorganizativa, documente el tipo, propietario y origen de la unidad organizativa, así como la unidad organizativa principal si procede .

Para ver una hoja de trabajo que le ayude a documentar el diseño de la unidad organizativa, descargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de implementación de Windows Server 2003 enhttp://go.microsoft.com/fwlink/?LinkID=102558 puede estar en inglés y abra "Identifying OUs for Each Domain" DSSLOGI_9.doc .

En esta sección

Revisión de los conceptos de diseño de la unidad organizativa

Delegación de la administración mediante objetos de unidad organizativa









© 2015 Microsoft

Revisión de los conceptos de diseño de la unidad organizativaActualizado: abril de 2008


La estructura de una unidad organizativa OU para un dominio incluye lo siguiente:

Un diagrama de la jerarquía de la unidad organizativa

Una lista de unidades organizativas

Para cada unidad organizativa:

La finalidad de la unidad organizativa

Una lista de usuarios o grupos que tienen control sobre la unidad organizativa o los objetos de la misma

El tipo de control que los usuarios y grupos tienen sobre los objetos de la unidad organizativa

La jerarquía de la unidad organizativa no tiene por qué reflejar la jerarquía de los departamentos de la organización o grupo. Las unidades organizativas se crean parauna finalidad específica, como la delegación de tareas de administración o la aplicación de una directiva de grupo, o bien para limitar la visibilidad de los objetos.

Es posible diseñar una estructura de unidad organizativa propia con el fin de delegar la administración en individuos o grupos de la organización que requieran

autonomía para administrar sus propios datos y recursos. Las unidades organizativas representan límites administrativos y permiten controlar el ámbito de autoridad dlos administradores de datos.

Por ejemplo, puede crearse una unidad organizativa denominada OURecursos y usarla para almacenar todas las cuentas del equipo que pertenecen a los servidores deimpresión y archivo administrados por un grupo. Posteriormente es posible configurar la seguridad de la unidad organizativa para que sólo los administradores delgrupo tengan acceso a la misma. De esta manera se impide que los administradores de datos de otros grupos manipulen las cuentas del servidor de impresión yarchivo.

La estructura de la unidad organizativa puede refinarse aun más mediante la creación de subárboles de unidades organizativas para fines concretos, como la aplicaciónde una directiva de grupo, o para limitar la visibilidad de los objetos protegidos de manera que sólo puedan verlos usuarios determinados. Por ejemplo, si necesitaaplicar una directiva de grupo a un grupo seleccionado de usuarios o recursos, puede agregar dichos usuarios o recursos a una unidad organizativa y, a continuación,aplicarle a la misma la citada directiva de grupo. También se puede usar la jerarquía de la unidad organizativa para habilitar una mayor delegación del controladministrativo.

Si bien, desde el punto de vista técnico, no existe límite en el número de niveles que puede tener la estructura de una unidad organizativa, por razones de capacidad dadministración se recomienda que no supere los 10 niveles. Técnicamente, el número de unidades organizativas de cada nivel no tiene límite. Tenga en cuenta que las

aplicaciones habilitadas para Servicios de dominio de Active Directory AD DS pueden imponer restricciones al número de caracteres usados en el nombre distintivo, edecir, la ruta LDAP Protocolo ligero de acceso a directorios completa al objeto del directorio o al número de niveles de la unidad organizativa dentro de la jerarquía.

No se pretende que la estructura de la unidad organizativa en AD DS sea visible para los usuarios finales. La estructura de la unidad organizativa es una herramientaadministrativa para los administradores de datos y del servicios, y es fácil cambiarla. Siga revisando y actualizando el diseño de la estructura de la unidad organizativapara reflejar los cambios en la estructura administrativa y admitir la administración basada en directiva.

© 2015 Microsoft

Delegación de la administración mediante objetos de unidadorganizativaActualizado: abril de 2008


Las unidades organizativas pueden usarse para delegar la administración de los objetos, como usuarios o equipos, de la unidad organizativa en el individuo o grupoque se haya designado. Para delegar la administración usando una unidad organizativa, coloque al individuo o grupo en el que desee delegar los derechosadministrativos dentro de un grupo, coloque el conjunto de objetos que desee controlar dentro de una unidad organizativa y, a continuación, delegue las tareasadministrativas de la unidad organizativa a dicho grupo.

Servicios de dominio de Active Directory AD DS permite controlar las tareas administrativas que pueden delegarse en un nivel muy detallado. Por ejemplo, es posibleasignar a un grupo el control total de todos los objetos de una unidad organizativa, asignar a otro grupo únicamente los derechos para crear, eliminar y administrarcuentas de usuario dentro de la unidad organizativa y, finalmente, asignar a un tercer grupo el derecho a restablecer contraseñas de cuentas de usuario. Estos permisospueden hacerse heredables de manera que se apliquen a cualquier unidad organizativa que se coloque en subárboles de la unidad organizativa original.

Durante la instalación de AD DS se crean contenedores y unidades organizativas predeterminadas que controlan los administradores del servicio. Lo mejor es que losadministradores del servicio sigan controlando dichos contenedores. Si es preciso delegar el control sobre los objetos del directorio, cree unidades organizativasadicionales y coloque en ellas dichos objetos. Delegue el control sobre dichas unidades organizativas en los administradores de datos apropiados. Ello hace posible





delegar el control sobre los objetos del directorio sin cambiar el control predeterminado concedido a los administradores del servicio.

El propietario del bosque determina el nivel de autoridad que se delega al propietario de una unidad organizativa. Dicha autoridad puede oscilar entre la capacidadpara crear y manipular objetos dentro de la unidad organizativa a tener únicamente el control sobre un solo atributo de un único tipo de objeto en la unidadorganizativa. Conceder a un usuario la capacidad de crear un objeto en la unidad organizativa implica otorgar a dicho usuario la capacidad de manipular cualquieratributo de cualquier objeto creado por el usuario. Además, si el objeto que se crea es un contenedor, el usuario tiene la capacidad implícita de crear y manipularcualquier objeto que se coloque en el contenedor.

En esta sección

Delegación de la administración de unidades organizativas OU y contenedores predeterminados

Delegación de la administración de unidades organizativas de recursos y cuentas

© 2015 Microsoft

Delegación de la administración de unidades organizativas (OU)y contenedores predeterminadosActualizado: abril de 2008


Todos los dominios de Active Directory contienen un conjunto estándar de contenedores y unidades organizativas OU que se crean durante la instalación de losServicios de dominio de Active Directory AD DS . A continuación se enumeran algunas:

Contenedor de dominio, que sirve de contenedor raíz para la jerarquía

Contenedor integrado, que tiene las cuentas de administrador de servicios predeterminadas

Contenedor de usuarios, que la ubicación predeterminada para las nuevas cuentas de usuario y grupos creados en el dominio

Contenedor de equipos, que la ubicación predeterminada para las nuevas cuentas de equipo creados en el dominio

Unidad organizativa OU Controladores de dominio, que es la ubicación predeterminada para las cuentas de equipo de las cuentas de equipo de controladoresde dominio

El propietario del bosque controla estas unidades organizativas y contenedores predeterminados.

Contenedor de dominioEl contenedor de dominio es el contenedor raíz de la jerarquía de un dominio. Los cambios que se realicen en las directivas o la lista de control de acceso ACL de estecontenedor pueden repercutir en todo el dominio. No delegue el control de este contenedor, que debe estar en manos de los administradores de servicios.

Contenedores de equipos y usuariosCuando realice una actualización del dominio en vigor desde Windows Server 2003 a Windows Server 2008, los equipos y usuarios existentes se colocanautomáticamente en los contenedores de equipos y de usuarios. Si está creando un nuevo dominio de Active Directory, los contenedores de equipos y de usuarios sonlas ubicaciones predeterminadas para todas las nuevas cuentas de usuario y cuentas de equipo que no sean de controlador de dominio del dominio.

Importante

Si necesita delegar el control sobre los usuarios o equipos, no modifique la configuración predeterminada de los contenedores de equipos y usuarios. En lugar de

ello, cree una nueva unidad organizativa en caso necesario y mueva los objetos de equipo y de usuario desde sus contenedores predeterminados a las nuevasunidades organizativas OU . Delegue el control sobre las nuevas unidades organizativas, en caso necesario. Se recomienda no modificar quién controla loscontenedores predeterminados.

Tampoco pueden aplicarse las opciones de la directiva de grupo a los contenedores de equipos y usuarios predeterminados. Para aplicar la directiva de grupo a losusuarios y equipos, cree nuevas unidades organizativas y mueva los objetos de equipo y usuario a las mismas. Aplique las opciones de la directiva de grupo a las nuevaunidades organizativas.

Si lo desea, también puede redirigir la creación de los objetos que se colocan en los contenedores predeterminados para que se sitúen en los contenedores de suelección.

Grupos y usuarios conocidos y cuentas integradasDe manera predeterminada, en un nuevo dominio se crean varios grupos y usuarios conocidos y cuentas integradas. Se recomienda que la administración de estas







cuentas permanezca bajo el control de los administradores de servicios. No delegue la administración de estas cuentas a una persona que no sea un administrador deservicios. En la tabla siguiente se enumeran los grupos y usuarios conocidos y las cuentas integradas que necesitan permanecer bajo el control de los administradoresde servicios.

Grupos y usuarios conocidos Cuentas integradas

Publicadores de certificados

Controlador de dominio

Propietarios del creador de directivas de grupo

KRBTGT

Invitados de dominio

Administrador

Admins. del dominio

Administradores de esquema sólo dominio raíz del bosque

Administradores de organización sólo dominio raíz del bosque

Usuarios del dominio

Administrador

Invitado

Invitados

Operadores de cuentas

Administradores

Operadores de copia de seguridad

Creadores de confianza de bosque de entrada

Operadores de impresión

Acceso compatible con versiones anteriores a Windows 2000

Operadores de servidores

Usuarios

Unidad organizativa Controlador de dominioCuando se agregan al dominio controladores de dominio, los objetos de sus equipos se agregan automáticamente a la unidad organizativa Controlador de dominio.Esta unidad organizativa tiene aplicadas un conjunto de directivas predeterminadas. Para garantizar que estas directivas se apliquen uniformemente a todos loscontroladores de dominio, se recomienda no mover los objetos de equipo de los controladores de dominio fuera de esta unidad organizativa. Si las directivaspredeterminadas no se aplican, el controlador de dominio podría no funcionar adecuadamente.

De manera predeterminada, los administradores de servicios controlan esta unidad organizativa. No delegue el control de esta unidad organizativa a personas que nosean administradores de servicios.

© 2015 Microsoft

Delegación de la administración de unidades organizativas derecursos y cuentasActualizado: abril de 2008


Las unidades organizativas de cuentas contienen objetos de usuario, grupo y equipo. Las unidades organizativas de recursos contienen recursos y las cuentas que sonresponsables de administrar dichos recursos. El propietario del bosque es responsable de crear una estructura de unidad organizativa para administrar esos objetos yrecursos y para delegar el control de dicha estructura en e l propietario de la unidad organizativa.

Delegación de la administración de unidades organizativas de cuentasDelegue una estructura de unidad organizativa de cuenta en los administradores de datos si necesitan crear y modificar objetos de usuario, grupo y equipo. Laestructura de unidad organizativa de cuenta es un subárbol de unidades organizativas para cada tipo de cuenta que debe controlarse independientemente. Porejemplo, el propietario de la unidad organizativa puede delegar un control específico en varios administradores de datos a través de unidades organizativas secundariaen una unidad organizativa de cuenta para usuarios, equipos, grupos y cuentas de servicio.

En la siguiente ilustración se muestra un ejemplo de una estructura de unidad organizativa de cuenta.





En la siguiente tabla se enumeran y describen las posibles unidades organizativas secundarias que se pueden crear en una estructura de unidad organizativa de cuenta

OU Propósito

Usuarios Contiene cuentas de usuario para personal no administrativo.

Cuentasdeservicio

Algunos servicios que requieren acceso a los recursos de red se ejecutan como cuentas de usuario. Esta unidad organizativa se crea para separar lascuentas de usuarios de servicios de las cuentas de usuario incluidas en la unidad organizativa de los usuarios. Así mismo, colocar los distintos tipos decuentas de usuario en unidades organizativas independientes permite administrarlas conforme a sus requisitos administrativos específicos.

Equipos Contiene cuentas para equipos que no sean controladores de dominio.

Grupos Contiene grupos de todos los tipos, salvo grupos administrativos, que se administran por separado.

Admins Contiene cuentas de grupo y usuario para los administradores de datos de la estructura de la unidad organizativa de cuenta, a fin de poderadministrarlos de forma independiente a los usuarios regulares. Habilite la auditoría para esta unidad organizativa con el fin de que pueda realizar unseguimiento de los cambios en los grupos y usuarios administrativos.

En la siguiente ilustración se muestra un ejemplo de un diseño de grupo administrativo para una estructura de unidad organizativa de cuenta.





A los grupos que administran las unidades organizativas secundarias se les concede control total únicamente sobre la clase específica de objetos de cuyaadministración son responsables.

Los tipos de grupos que se usan para delegar el control dentro de una estructura de unidad organizativa se basan en la ubicación de las cuentas con respecto a laestructura de unidad organizativa que se va a administrar. Si las cuentas de usuarios administrativos y la estructura de la unidad organizativa existen en un únicodominio, los grupos que se creen para delegación deben ser grupos globales. Si la organización tiene un departamento que administra sus propias cuentas de usuario está presente en más de una región, podría tener un grupo de administradores de datos responsables de administrar unidades organizativas de cuenta en más de undominio. Si las cuentas de los administradores de datos existen todas en un dominio único y tiene estructuras de unidades organizativas en varios dominios en los quenecesita delegar el control, convierta a dichas cuentas administrativas en miembros de grupos globales y delegue el control de las estructuras de unidad organizativade cada dominio en dichos grupos globales. Si las cuentas de administradores de datos en las que delegue el control de una estructura de unidad organizativaproceden de varios dominios, debe usar un grupo universal. Los grupos universales pueden contener usuarios de diferentes dominios y, por tanto, se pueden usar paradelegar el control en varios dominios.

Delegación de la administración de unidades organizativas de recursosLas unidades organizativas de recursos se usan para administrar el acceso a los recursos. El propietario de la unidad organizativa de recursos crea cuentas de equipopara los servidores que están unidos al dominio en las que se incluyen recursos como recursos compartidos de archivos, bases de datos e impresoras. El propietario dela unidad organizativa de recursos crea también grupos para controlar el acceso a dichos recursos.

En la siguiente ilustración se muestran las dos posibles ubicaciones para la unidad organizativa de recursos.

La unidad organizativa de recursos puede encontrarse en la raíz del dominio o como una unidad organizativa secundaria de la unidad organizativa de cuentacorrespondiente en la jerarquía administrativa de la unidad organizativa. Las unidades organizativas de recursos no tienen ninguna unidad organizativa secundariaestándar. Los equipos y grupos se colocan directamente en la unidad organizativa de recursos.





El propietario de la unidad organizativa de recursos posee los objetos de la unidad organizativa, pero no el contenedor de la unidad organizativa en sí. Los propietariosde unidades organizativas de recursos administran únicamente objetos de grupo y equipo; no pueden crear otras clases de objetos dentro de la unidad organizativa, ntampoco crear unidades organizativas secundarias.

Nota

El creador o propietario de un objeto tiene la capacidad de definir la lista de control de acceso ACL del objeto, con independencia de los permisos que se heredendel contenedor primario. Si el propietario de una unidad organizativa de recursos puede restablecer la ACL de una unidad organizativa, también puede crearcualquier clase de objeto en la unidad organizativa, incluidos usuarios. Por este motivo, los propietarios de unidades organizativas de recursos no tienen permisopara crear unidades organizativas.

Para cada unidad organizativa de recursos del dominio, cree un grupo global que represente a los administradores de datos responsables de administrar el contenidode la unidad organizativa. Este grupo tiene control total sobre los objetos de equipo y grupo de la unidad organizativa, pero no sobre el contenedor de la unidadorganizativa en sí.

En la siguiente ilustración se muestra el diseño de grupo administrativo para una unidad organizativa de recursos.

Colocar las cuentas de equipo en una unidad organizativa de recursos otorga al propietario de la misma el control sobre los objetos de cuenta, pero no le convierte enadministrador de los equipos. En un dominio de Active Directory, el grupo Admins. del dominio se coloca, de forma predeterminada, en el grupo Administradores locade todos los equipos. Es decir, los administradores de servicios tienen el control sobre dichos equipos. Si los propietarios de unidades organizativas de recursosrequieren el control administrativo sobre los equipos de sus unidades organizativas, el propietario del bosque puede aplicar una directiva de grupo de gruposrestringidos para convertir al propietario de la unidad organizativa de recursos en miembro del grupo Administradores en los equipos de dicha unidad organizativa.

© 2015 Microsoft

Búsqueda de recursos adicionales para el diseño de laestructura lógica de Active Directory de Windows Server 2008Actualizado: abril de 2008


En los sitios web de TechCenter de Windows Server 2003 y Windows Server 2008 dispone de la siguiente documentación puede estar en inglés acerca de los Serviciosde dominio de Active Directory AD DS :

Para obtener más información sobre el diseño de la topología del sitio, consulte el tema que trata acerca del diseño de la topología del sitio de los Servicios dedominio de Active Directory en http://go.microsoft.com/fwlink/?LinkId=89026 puede estar en inglés .






Para ver una hoja de trabajo que le ayude a documentar el diseño propuesto para el bosque, el dominio, la infraestructura del Sistema de nombres de dominio DNS y la unidad organizativa OU , descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de implementaciónde Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558.

Para obtener más información acerca de la autenticación delegada y la delegación restringida, consulte el tema que trata acerca de la delegación deautenticación en http://go.microsoft.com/fwlink/?LinkID=106614.

Para obtener información acerca de cómo configurar firewalls para su uso con AD DS, consulte la documentación sobre Active Directory en redes segmentadaspor firewalls en http://go.microsoft.com/fwlink/?LinkId=37928.

Para obtener más información sobre la actualización de dominios de Active Directory a Windows Server 2008, consulte el tema que trata acerca de laactualización de dominios de AD DS a Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkId=89032.

Para obtener más información acerca de la reestructuración de los dominios de AD DS dentro de los bosques y entre bosques, consulte la guía de migración dela herramienta de migración de Active Directory versión 3.1 en http://go.microsoft.com/fwlink/?LinkId=82740.

Para obtener información acerca de la implementación de un dominio raíz del bosque, consulte el tema que trata acerca de la implementación de un dominioraíz del bosque de Windows Server 2008 en http://go.microsoft.com/fwlink/?LinkId=89028.

Para obtener más información acerca de la implementación de DNS, consulte el tema que trata acerca de la implementación del Sistema de nombres de domini DNS en http://go.microsoft.com/fwlink/?LinkId=93656.

Para obtener más información acerca del proceso de resolución de nombres y la jerarquía de DNS, consulte la referencia técnica de DNS enhttp://go.microsoft.com/fwlink/?LinkId=106636. Para obtener más información acerca de la compatibilidad de DNS y AD DS, consulte la referencia técnica decompatibilidad entre DNS y AD DS en http://go.microsoft.com/fwlink/?LinkId=106660.

Para obtener más información acerca de WINS, consulte la referencia técnica de WINS en http://go.microsoft.com/fwlink/?LinkId=106661.

Para obtener más información acerca de la creación de un espacio de nombres no contiguo, consulte lo relativo a la creación de un espacio de nombres nocontiguo en http://go.microsoft.com/fwlink/?LinkID=106638.

Para obtener más información acerca de cómo configurar nombres principales de servicio SPN , consulte lo relativo a errores de inicio de sesión de servicioprovocados por SPN definidos incorrectamente en http://go.microsoft.com/fwlink/?LinkId=102304.

Si desea más información acerca de cómo delegar permisos para modificar SPN en administradores subordinados, consulte lo relativo a delegación de autoridapara modificar SPN en http://go.microsoft.com/fwlink/?LinkId=106639.

Para obtener más información acerca de los requisitos de certificado del controlador de dominio, vea el artículo 321051 de Microsoft Knowledge Baseenhttp://go.microsoft.com/fwlink/?LinkId=102307.

Para obtener más información acerca de la autenticación del Protocolo ligero de acceso a directorios LDAP a través de Capa de sockets seguros SSL y unaactualización relacionada para Windows Server 2003, vea el artículo 932834 de Microsoft Knowledge Base en http://go.microsoft.com/fwlink/?LinkId=102308.

Para obtener más información acerca de la infraestructura de la directiva de grupo, consulte lo relativo al diseño de una infraestructura de directiva de grupo enhttp://go.microsoft.com/fwlink/?LinkId=106655.

Para obtener más información acerca de los controladores de dominio de sólo lectura RODC , consulte lo relativo a los controladores de dominio de sólo lecturde AD DS en http://go.microsoft.com/fwlink/?LinkId=106616.

Para obtener más información acerca de las directivas de bloqueo de cuenta y contraseña específica, consulte la Guía paso a paso de configuración de directivasde bloqueo de cuentas y contraseñas específicas en http://go.microsoft.com/fwlink/?LinkID=91477.

Para obtener más información acerca de las convenciones de nomenclatura en AD DS, vea el artículo 90926 de Microsoft Knowledge Base enhttp://go.microsoft.com/fwlink/?LinkID=106629.

© 2015 Microsoft

Apéndice A: Inventario de DNSActualizado: abril de 2008


Puede usar las siguientes tablas como ayuda para documentar el método de resolución de nombres recursivos de la estructura del Sistema de nombres de dominio DNS actual como parte del diseño de la estructura lógica para los Servicios de dominio de Active Directory AD DS de Windows Server 2008.

Sugerencias de raíz

Nombre Dirección IPv4 Dirección IPv6
























Reenvío

Nombre Dirección IPv4 Dirección IPv6 Ubicación física

© 2015 Microsoft

Active Directory Maximum Limits - ScalabilityActualizado: noviembre de 2012

Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

This topic describes Active Directory scalability and other limitations, as well as recommendations that apply when you are designing or implementing anActive Directory infrastructure. These limitations include the following:

Maximum Number of Objects

Maximum Number of Security Identifiers

Maximum Number of entries in Discretionary and Security Access Control Lists

Group Memberships for Security Principals

FQDN Length Limitations

File Name and Path Length Limitations

Additional Name Length Limitations

Maximum Number of GPOs Applied

Trust Limitations

Maximum Number of Accounts per LDAP Transaction

Recommended Maximum Number of Users in a Group

Recommended Maximum Number of Domains in a Forest

Recommended Maximum Number of Domain Controllers in a Domain

Recommended Maximum Kerberos Settings

Maximum Number of ObjectsEach domain controller in an Active Directory forest can create a little bit less than 2.15 billion objects during its lifetime.

Each Active Directory domain controller has a unique identifier that is specific to the individual domain controller. These identifiers, which are called Distinguished Nam

Tags DNTs , are not replicated or otherwise visible to other domain controllers. The range of values for DNTs is from 0 through 2,147,483,393 231 minus 255 . Asobjects are created on a domain controller, a unique value is used. A DNT is not reused when an object is deleted. Therefore, domain controllers are limited to creatingapproximately 2 billion objects including objects that are created through replication . This limit applies to the aggregate of all objects from all partitions domain NC,configuration, schema, and any application directory partitions that are hosted on the domain controller.

Because new domain controllers start with low initial DNT values typically, anywhere from 100 up to 2,000 , it may be possible to work around the domain controllerlifetime creation limit—assuming, of course, that the domain is currently maintaining less than 2 billion objects. For example, if the lifetime creation limit is reachedbecause approximately 2 billion objects are created, but 500 million objects are removed from the domain for example, deleted and then permanently removed fromthe database through the garbage collection process , installing a new domain controller and allowing it to replicate the remaining objects f rom the existing domaincontrollers is a potential workaround. However, it is important that the new domain controller receives the objects through replication and that such domain controllersnot be promoted with the Install from Media IFM option. Domain controllers that are installed with IFM inherit the DNT values from the domain controller that wasused to create the IFM backup.

At the database level, the error that occurs when the DNT limit is reached is “Error: Add: Operations Error. <1> Server error: 000020EF: SvcErr: DSID‐0208044C, problem5012 DIR_ERROR , data ‐1076.”

Maximum Number of Security IdentifiersBeginning with Windows Server 2012, the maximum number of security identifiers that can be created over the life of a domain is increased to 2,147,483,647 RIDs. Thisincrease is part of a series of improvements made to how RIDS are issued and monitored. For more information, see Managing RID Issuance.

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

https://technet.microsoft.com/en-us/library/jj574229.aspx

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-





In Windows Server 2008 R2 and earlier operating systems, there is a limit of approximately 1 billion security identifiers SIDs over the life of a domain. This limit is dueto the size of the global relative identifier RID pool of 30 bits that makes each SID that is assigned to user, group, and computer accounts in a domain unique. The

actual limit is 230 or 1,073,741,823 RIDs. Because RIDs are not reused—even if security principals are deleted—the maximum limit applies, even if there are less than1 billion security principals in the domain.

Nota

RIDs are assigned in blocks of 500 by default from the domain controller that holds the RID operations master role in each domain. If a domain controller isdemoted, the unused RIDs that were allocated to the domain controller are not returned to the global RID pool and are therefore no longer available for use in thedomain.

Beginning in Windows Server 2012, an artificial ceiling is introduced when the number of available RIDs reaches within 10 percent of the limit for the global RID space.When within one percent of the artificial ceiling, domain controllers that request RID pools will log Directory‐Services‐SAM warning event 16656 to their System eventlog. For more information, see Managing RID Issuance.

In Windows Server 2008 R2 and earlier operating systems, when all the available RIDs are assigned for a domain, the Directory Service log in the Application and ServicLogs of Event Viewer also displays Event ID 16644 from an event log source of the Security Accounts Manager SAM that reads “The maximum domain accountidentifier value has been reached. No further account‐identifier pools can be allocated to domain controllers in this domain.” If you run Dcdiag when all the availableRIDs are assigned for a domain, you see the error message “The DS has corrupt data: rIDAvailablePool value is not valid.”

A partial work‐around to this limitation is to create an additional domain to hold accounts and then migrate accounts to the new domain. However, you must create atrust relationship to migrate accounts in advance of reaching the limit. Creating a trust requires the creation of a security principal, which is also known as a trust useraccount. For more information about this limit, see articles 316201 http://go.microsoft.com/fwlink/?LinkID=115211 and 305475 http://go.microsoft.com/fwlink/?LinkId=115212 in the Microsoft Knowledge Base.

Nota

The Active Directory database does not set limits on the number of objects in a container, such as organizational units OUs . You might experience limits when youwork with multiple thousands of objects. These limits are configured to help provide a certain level of application or service availability. For example, theActive Directory Users and Computers snap‐in is configured by default to display a maximum of 2,000 objects per container. You can adjust this value by using theFilter Options settings on the View menu. There are also adjustable Lightweight Directory Access Protocol LDAP policies that are set by default to improve domaincontroller performance. These policies are described in article 315071 in the Microsoft Knowledge Base http://go.microsoft.com/fwlink/?LinkID=135481 .

Maximum Number of entries in Discretionary and Security Access Control ListsThe limitation for the number of entries in a discretionary access control list DACL or a security access control list SACL of an Active Directory object using thentSecurityDescriptor attribute comes from a limitation in the size of the access control list ACL , which is 64K. Since access control entries ACEs vary in size, the actual

number of entries SIDs is approximately 1,820. For additional details, see How Security Descriptors and Access Control Lists Work http://go.microsoft.com/fwlink/?LinkId=214683 .

Group Memberships for Security PrincipalsSecurity principals that is, user, group, and computer accounts can be members of a maximum of approximately 1,015 groups. This limitation is due to the size limit fothe access token that is created for each security principal. The limitation is not affected by how the groups may or may not be nested. For more information, seearticle 328889 in the Microsoft Knowledge Base http://go.microsoft.com/fwlink/?LinkID=115213 . For a detailed discussion of access token limitations, see AddressingProblems Due to Access Token Limitation http://go.microsoft.com/fwlink/?LinkId=146571 .

For more information about how a domain controller creates the data structure that is used for authorization decisions, see:

[MS‐PAC]: Privilege Attribute Certificate Data Structure http://msdn.microsoft.com/en‐us/library/cc237917 PROT.13 .aspx

3.3.5.3.2 Initial Population of the PAC http://msdn.microsoft.com/en‐us/library/cc233956 PROT.13 .aspx

3.3.5.4.3 Domain Local Group Membership http://msdn.microsoft.com/en‐us/library/cc233950 PROT.13 .aspx

FQDN Length LimitationsFully qualified domain names FQDNs in Active Directory cannot exceed 64 characters in total length, including hyphens and periods . . For example, the following hosname has 65 characters; therefore, it is not valid in an Active Directory domain:

server10.branch‐15.southaz.westernregion.northamerica.contoso.com

This is an important limitation to keep in mind when you name domains. This limitation is due to the MAX_PATH length of 260 characters that the Win32 applicationprogramming interfaces APIs define, in combination with the way in which Group Policy objects GPOs are stored in the SYSVOL share. For more information, seearticle 245809 in the Microsoft Knowledge Base http://go.microsoft.com/fwlink/?LinkID=115219 . For more information about naming limitations, see article 909264 inthe Microsoft Knowledge Base http://go.microsoft.com/fwlink/?LinkID=106629 .

https://msdn.microsoft.com/en-us/library/cc233950(PROT.13).aspx









https://technet.microsoft.com/en-us/library/jj574229.aspx







File Name and Path Length LimitationsThe physical files that Active Directory components use, such as SYSVOL, database NTDS.DIT , and log file paths, are constrained by the MAX_PATH length of 260characters, as defined by the Win32 APIs. When you are determining where to place your SYSVOL and database files during Active Directory installation, avoid nestedfolder structures that make the full file path to the SYSVOL folder, database, and log files longer than 260 characters. For more information, see article 245809 in theMicrosoft Knowledge Base http://go.microsoft.com/fwlink/?LinkId=115219 .

Additional Name Length LimitationsThere are additional limitations regarding name lengths in Active Directory. The following limits are described in article 909264 in the Microsoft Knowledge Base http://go.microsoft.com/fwlink/?LinkID=106629 :

NetBIOS computer and domain names are limited to 15 characters.

Domain Name System DNS host names are limited to 24 characters.

OU names are limited to 64 characters.

Name Length Limits from the SchemaDefault limits on attribute names for Active Directory objects that are imposed by the schema include the following. These items provide examples of schema‐limitedname attributes:

Display names are limited to 256 characters. For more information, see Display‐Name Attribute http://go.microsoft.com/fwlink/?LinkId=153705 .

Common names are limited to 64 characters. For more information, see Common‐Name Attribute http://go.microsoft.com/fwlink/?LinkId=153706 .

The SAM‐Account‐Name attribute also known as the pre–Windows 2000 user logon name is limited to 256 characters in the schema. However, for thepurpose of backward compatibility the limit is 20 characters. For more information, see SAM‐Account‐Name Attribute http://go.microsoft.com/fwlink/?LinkId=153707 .

Name Length Limitations for LDAP Simple Bind OperationsDuring binds to the directory, simple LDAP bind operations limit the distinguished name also known as DN of the user to 255 total characters. If you attempt a simpleLDAP bind with more than 255 characters, you might experience authentication errors, such as the following:

You can avoid this issue by ensuring that the applications, scripts, and utilities that attempt to bind to your directory use secure LDAP binds. You can also avoid thisissue by reducing the depth of the OU structure or the length of the OU names. For example, the following distinguished name is 261 characters:

If the OU named CorporateVicePresidents is shortened to CVP, the distinguished name for the user account BobKelly is only 242 characters.

Maximum Number of GPOs AppliedThere is a limit of 999 Group Policy objects GPOs that you can apply to a user account or computer account. This does not mean that the total number of policysettings on the system is limited to 999. Rather, a single user or computer will not be able to process more than 999 GPOs. This limit exists for performance reasons.

Trust LimitationsTrust limitations arise from the number of trusted domain objects TDOs , the length of trust paths, and the ability of clients to discover available trusts. Limitations thatapply include the following:

Kerberos clients can traverse a maximum of 10 trust links to locate a requested resource in another domain. If the trust path between the domains exceeds thislimit, the attempt to access the domain fails.

When a client searches out a trust path, the search is limited to the trusts that are established directly with a domain and the trusts that are transitive within aforest.

Previous testing shows that the increased time to complete TDO‐related operations, such as authentication across domains, deteriorates performance noticeablyif the Active Directory implementation in an organization contains more than 2,400 TDOs.

Error <49>: ldap_simple_bind_s() failed: Invalid Credentials

Server error: 80090308: LdapErr: DSID‐0C0903AA, comment: AcceptSecurityContext error, data 57, v1771

Error 0x80090308 The token supplied to the function is invalid

CN=BobKelly,OU=CorporateVicePresidents,OU=CorporateOfficers,OU=ViewOfPugetSoundOffices,OU=TopFloor,OU=Building1557,OU=CorporateC










For more information about trust limitations, see “Practical Limitations of Trusts” in How Domain and Forest Trusts Work http://go.microsoft.com/fwlink/?LinkID=35356 .

Maximum Number of Accounts per LDAP TransactionWhen you write scripts or applications that perform LDAP transactions, the recommended limit is to perform no more than 5,000 operations per LDAP transaction. AnLDAP transaction is a group of directory operations such as add, delete, and modify that are treated as one unit. If your script or application performs more than 5,000operations in a single LDAP transaction, you are at risk of running into resource limits and an operational time‐out. If that happens, all the operations changes,additions, and modifications in the transaction are rolled back, which means that you lose all those changes.

As an example, if you are using Active Directory Service Interfaces ADSI to write a script, the SetInfo method completes a transaction. For more information about ADSMethods, see Active Directory Service Interfaces http://go.microsoft.com/fwlink/?LinkID=4487 .

As another example, when you use the System.DirectoryServices S.DS namespace in the Microsoft .NET Framework, the DirectoryEntry.CommitChanges methodcompletes an LDAP transaction. For more information about the DirectoryEntry.CommitChanges method, see DirectoryEntry.CommitChangeshttp://go.microsoft.com/fwlink/?LinkId=115220 .

Nota

Regardless of the method that you use for LDAP transactions, you should plan to send less than 5,000 directory operations in a single transaction. To learn moreabout the LDAP data structure that commits changes, see LDAPMod http://go.microsoft.com/fwlink/?LinkId=115221 .

Recommended Maximum Number of Users in a GroupFor Windows 2000 Active Directory environments, the recommended maximum number of members in a group is 5,000. This recommendation is based on the number

of concurrent atomic changes that can be committed in a single database transaction.

Starting with Windows Server 2003, the ability to replicate discrete changes to linked multivalued properties was introduced as a technology called Linked ValueReplication LVR . To enable LVR, you must increase the forest functional level to at least Windows Server 2003 interim. Increasing the forest functional level changes thway that group membership and other linked multivalued attributes is stored in the database and replicated between domain controllers. This allows the number of group memberships to exceed the former recommended limit of 5,000 for Windows 2000 or Windows Server 2003 at a forest functional level of Windows 2000.

So far, testing in this area has yet to reveal any new recommended limits to the number of members in a group or any other linked multivalued attribute. Productionenvironments have been reported to exceed 4 million members, and Microsoft scalability testing reached 500 million members.

Importante

Increasing the forest functional level to Windows Server 2003 interim or higher does not modify the way that existing group members are stored or replicated. To dothat, you must remove the members that were added to the group before the forest functional level was increased to Windows Server 2003 and then add them back

again to the appropriate groups. Any group members that you either add or remove after the forest functional level is increased will be LVR enabled, even if thegroup contains other members that are not LVR enabled.

For more information about linked attributes, see Linked Attributes http://go.microsoft.com/fwlink/?LinkId=142909 . For more information about the replicationprocess, see How the Active Directory Replication Model Works http://go.microsoft.com/fwlink/?LinkId=142908 .

Recommended Maximum Number of Domains in a ForestFor Windows 2000 Server, the recommended maximum number of domains in a forest is 800. For Windows Server 2003, the recommended maximum number of domains when the forest functional level is set to Windows Server 2003 also known as forest functional level 2 is 1,200. This restriction is a limitation of multivalued,nonlinked attributes in Windows Server 2003. For more information, see “Maximum Database Record Size” in How the Data Store Works http://go.microsoft.com/fwlink/?LinkId=134791 .

Recommended Maximum Number of Domain Controllers in a DomainTo ensure reliable recovery of SYSVOL, we recommend a limit of 1200 domain controllers per domain.

If any Active Directory domain in your network is expected to exceed 800 domain controllers and those domain controllers are hosting Active Directory–integratedDomain Name System DNS zones, review article 267855 in the Microsoft Knowledge Base http://go.microsoft.com/fwlink/?LinkId=115222 .

For more information about FRS limitations, see the FRS Technical Reference http://go.microsoft.com/fwlink/?LinkId=115302 .

Recommended Maximum Kerberos SettingsThe maximum recommended size for a Kerberos ticket is 65,535 bytes, which is configured through the MaxTokenSize REG_DWORD value in the registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lsa\Kerberos\Parameters . Increasing this value from the default may cause errors, particularly when Webbrowsers or Web servers are used. For additional information about Kerberos tickets, including error conditions that can occur when Kerberos ticket size limits are settoo low or too high, see Additional Resources for Troubleshooting Kerberos http://go.microsoft.com/fwlink/?LinkId=134740 .

© 2015 Microsoft















Diseño de la topología del sitio para AD DS en Windows Server2008Actualizado: abril de 2008


La topología del sitio de un servicio de directorio es una representación lógica de la red f ísica. El diseño de la topología del sitio de los Servicios de dominio deActive Directory® AD DS requiere planear la ubicación de los controladores de dominio y diseñar sitios, subredes, vínculos a sitios y puentes de vínculos a sitios para

garantizar el enrutamiento eficaz del tráfico de consultas y replicación.

Diseñar una topología del sitio ayuda a enrutar eficazmente las consultas de los clientes y el tráfico de replicación de Active Directory. Una topología del sitio biendiseñada proporciona a la organización las siguientes ventajas:

Minimizar el costo de la replicación de los datos de Active Directory.

Minimizar los esfuerzos administrativos necesarios para mantener la topología del sitio.

Programar la replicación de manera que las ubicaciones con vínculos de red lentos o de acceso telefónico puedan replicar los datos de Active Directory durantelas horas de menos actividad.

Optimizar la capacidad de los equipos cliente para ubicar los recursos más cercanos, como controladores de dominio y servidores del Sistema de archivosdistribuido DFS . De esta forma, se puede reducir el tráfico de red a través de vínculos de red de área extensa WAN lentos, mejorar los procesos de inicio ycierre de sesión y agilizar las operaciones de descarga de archivos.

Antes de empezar a diseñar la topología del sitio, es necesario que conozca la estructura de la red física. Además, primero debe diseñar la estructura lógica deActive Directory, como la jerarquía administrativa, el plan del bosque y el plan de dominios de cada bosque. También debe completar el diseño de la infraestructura deSistema de nombres de dominio DNS para AD DS. Para obtener más información sobre cómo diseñar la infraestructura de DNS y la estructura lógica deActive Directory, consulte el tema que trata acerca del diseño de la estructura lógica de los Servicios de dominio de Active Directory de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89026, puede estar en inglés .

Después de completar el diseño de la topología del sitio, debe comprobar que los controladores de dominio cumplan los requisitos de hardware de los sistemasoperativos Windows Server® 2008 Standard, Windows Server 2008 Enterprise y Windows Server 2008 Datacenter. También debe determinar el número correcto decontroladores de dominio para cada dominio representado en cada sitio. Para obtener más información sobre cómo determinar el número correcto de controladoresde dominio y sus requisitos de hardware, consulte el tema que trata acerca de la planeación de la capacidad de los controladores de dominio http://go.microsoft.com/fwlink/?LinkId=89027, puede estar en inglés .

En esta guía

Descripción de la topología del sitio de Active Directory

Recopilación de información de la red

Planeación de la ubicación de los controladores de dominio

Creación del diseño de un sitio

Creación del diseño de los vínculos a sitios

Creación del diseño de un puente de vínculos a sitios

Búsqueda de recursos adicionales para el diseño de la topología del sitio de Active Directory de Windows Server 2008

© 2015 Microsoft

Descripción de la topología del sitio de Active DirectoryActualizado: abril de 2008


La topología de un sitio afecta significativamente al rendimiento de la red y a la capacidad de los usuarios para tener acceso a los recursos de la red. Antes de comenzaa diseñar la topología de un sitio, familiarícese con la funcionalidad de Windows Server 2008 para los sitios, las distintas topologías de red que suelen usar lasorganizaciones, la función de propietario de la topología del sitio y algunas nociones sobre la replicación en Active Directory.

En esta sección

Funciones de los sitios















Función de propietario de la topología del sitio

Nociones acerca de la replicación en Active Directory

© 2015 Microsoft

Funciones de los sitiosActualizado: abril de 2008


Windows Server 2008 usa la información del sitio con varios propósitos, como para la replicación de enrutamiento, afinidad del cliente, replicación del volumen delsistema SYSVOL , espacios de nombres del Sistema de archivos distribuido DFSN y ubicación de servicios.

Replicación de enrutamientoLos Servicios de dominio de Active Directory AD DS usan un método de replicación de almacenamiento y reenvío con varios maestros. Un controlador de dominiocomunica los cambios de directorio a un segundo controlador de dominio, que se comunica con un tercero, y así sucesivamente hasta que todos los controladores dedominio reciben el cambio. A fin de lograr el equilibrio perfecto entre la reducción de la latencia de replicación y la reducción del tráfico, para controlar la replicación dActive Directory, la topología del sitio distingue entre la replicación que se produce dentro del sitio y la que se produce entre sitios.

Dentro de los sitios, se optimiza la velocidad de la replicación: las actualizaciones de datos desencadenan la replicación y los datos se envían sin la sobrecarga querequiere su compresión. A la inversa, la replicación entre sitios se comprime para minimizar el costo de la transmisión a través de vínculos de red de área extensa WAN . Cuando la replicación se produce entre sitios, un solo controlador de dominio por dominio en cada sitio recopila y almacena los cambios de directorio y los

comunica, en el momento programado, a un controlador de dominio de otro sitio.

Afinidad del clienteLos controladores de dominio usan la información del sitio para informar a los clientes de Active Directory acerca de los controladores de dominio que se encuentranen el sitio más próximo al cliente. Imaginemos, por ejemplo, que un cliente del sitio de Valencia no conoce su afiliación al sitio y se pone en contacto con uncontrolador de dominio del sitio de Bilbao. A partir de la dirección IP del cliente, el controlador de dominio de Bilbao determina a qué sitio pertenece realmente elcliente y le devuelve la información del sitio. El controlador de dominio le indica también si el controlador de dominio elegido es el que tiene más cerca. El clientealmacena en caché la información del sitio proporcionada por el controlador de dominio de Bilbao, solicita el registro de recurso de servicio SRV específico del sitio un registro de recurso del Sistema de nombres de dominio DNS que se usa para encontrar controladores de dominio para AD DS y así encuentra un controlador dedominio dentro del mismo sitio.

Al encontrar un controlador de dominio en el mismo sitio, el cliente no tiene que comunicarse a través de vínculos WAN. Si no hay ningún controlador de dominio en esitio del cliente, en este sitio se anuncia el controlador de dominio cuyas conexiones tengan un menor costo en relación con los otros sitios conectados registra unregistro de recurso de servicio SRV específico del sitio en DNS . Los controladores de dominio que se publican en DNS son los del sitio más cercano, según se defineen la topología del sitio. Este proceso garantiza que todos los sitios tienen un controlador de dominio preferente para la autenticación.

Para obtener más información acerca del proceso de ubicación de un controlador de dominio, consulte el compendio de Active Directory http://go.microsoft.com/fwlink/?LinkID=88626, puede estar en inglés .

Replicación de SYSVOLSYSVOL es un conjunto de carpetas del sistema de archivos que existe en cada controlador de dominio de un dominio. Las carpetas de SYSVOL proporcionan unaubicación predeterminada de Active Directory para los archivos que deben replicarse en todo un dominio, incluidos los objetos de directiva de grupo GPO , los scriptsde inicio y apagado del equipo y los scripts de inicio y cierre de sesión. Windows Server 2008 puede usar el servicio de replicación de archivos FRS o la replicación delsistema de archivos distribuido DFSR para replicar los cambios que se efectúen en las carpetas de SYSVOL desde un controlador de dominio en otros controladores ddominio. FRS y DFSR replican estos cambios de acuerdo con la programación creada durante el diseño de la topología del sitio.

DFSNDFSN usa la información del sitio para dirigir a un cliente al servidor que hospeda los datos solicitados en el sitio. Si DFSN no encuentra una copia de los datos en elsitio donde está el cliente, usa la información del sitio en AD DS para determinar qué servidor de archivos que tiene datos compartidos con DFSN está más próximo alcliente.

Ubicación de servicioMediante la publicación de servicios tales como los servicios de archivo e impresión de AD DS, se permite a los clientes de Active Directory encontrar el serviciosolicitado en el mismo sitio o en uno próximo. Los servicios de impresión usan el atributo de ubicación que se almacena en AD DS para permitir a los usuarios buscarimpresoras por ubicación sin conocer dónde se encuentran de forma precisa. Para obtener más información acerca del diseño y la implementación de servidores deimpresión, consulte el tema donde se explica cómo diseñar e implementar servidores de impresión http://go.microsoft.com/fwlink/?LinkId=107041, puede estar eninglés .

© 2015 Microsoft

Función de propietario de la topología del sitio









Actualizado: abril de 2008


El administrador que se encarga de la topología del sitio se conoce como propietario de la topología del sitio. El propietario de la topología del sitio conoce lascondiciones de la red entre los sitios y tiene autoridad para cambiar la configuración de los Servicios de dominio de Active Directory AD DS para implementar cambioen la topología. Dichos cambios afectan a los cambios en la topología de replicación. Las responsabilidades del propietario de la topología del sitio son:

Controlar los cambios de la topología del sitio si cambia la conectividad de la red.

Obtener y mantener la información sobre los enrutadores y las conexiones de red del grupo responsable de la red. El propietario de la topología del sitio debemantener una lista con las direcciones de subred, las máscaras de subred y la ubicación a la que cada una pertenece. El propietario de la topología del sitio debe

conocer también los problemas de velocidad y capacidad de la red que afecten a la topología del sitio para establecer eficazmente los costos de los vínculos asitios.

Mover los objetos de servidor de Active Directory que representen controladores de dominio entre los sitios si la dirección IP de un controlador de dominiocambia a una subred diferente de un sitio diferente o si la propia subred se asigna a otro sitio. En cualquier caso, el propietario de la topología del sitio debemover manualmente el objeto de servidor de Active Directory del controlador de dominio al nuevo sitio.

© 2015 Microsoft

Nociones acerca de la replicación en Active DirectoryActualizado: abril de 2008


Antes de diseñar la topología del sitio, familiarícese con la terminología que se usa en la replicación de Active Directory.

Objeto de conexión

KKC

Funcionalidad de conmutación por error

Subred

Site

Vínculo a sitios

Puente de vínculos a sitios

Transitividad de los vínculos a sitios

Servidor de catálogo global

Almacenamiento en caché de pertenencia a grupos universales

Objeto de conexiónUn objeto de conexión es un objeto de Active Directory que representa una conexión de replicación entre un controlador de dominio de origen y un controlador dedominio de destino. Un controlador de dominio es un miembro de un sitio que se representa en el sitio mediante un objeto de servidor de los Servicios de dominio deActive Directory AD DS . Cada objeto de servidor tiene un objeto de configuración NTDS secundario que representa el controlador de dominio de replicación del sitio.

El objeto de conexión es un elemento secundario del objeto de configuración NTDS en el servidor de destino. Para que tenga lugar la replicación entre doscontroladores de dominio, el objeto de servidor de uno debe tener un objeto de conexión que represente la replicación de entrada del otro. Todas las conexiones de

replicación de un controlador de dominio se almacenan como objetos de conexión bajo el objeto de configuración de NTDS. El objeto de conexión identifica el servidode origen de replicación, contiene una programación de replicación y especifica un transporte de replicación.

El comprobador de coherencia de la información KCC crea objetos de conexión automáticamente, pero también se pueden crear de forma manual. Siempre que secambia un objeto de conexión creado por KCC, se convierte automáticamente en un objeto de conexión manual. KCC no realiza cambios en objetos de conexiónmanuales.

KCCKCC es un proceso integrado que se ejecuta en todos los controladores de dominio y genera la topología de replicación del bosque de Active Directory. KCC creatopologías de replicación independientes en función de si la replicación se produce dentro de un sitio o entre sitios. Además, KCC ajusta dinámicamente la topologíapara admitir la incorporación de nuevos controladores de dominio, la eliminación de controladores de dominio existentes, el traslado de controladores de dominioentre sitios, la modificación de costos y programaciones, y los controladores de dominio que se encuentran en un estado de error o dejan de estar disponiblestemporalmente.

Dentro de un sitio, las conexiones entre los controladores de dominio de escritura siempre están dispuestas en un anillo bidireccional, con conexiones directas

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-

http://-/?-





adicionales para reducir la latencia en los sitios grandes. Por otra parte, la topología entre sitios es una estructura de árboles de expansión en capas, lo que significa quexiste una conexión entre dos sitios dados para cualquier partición del directorio y generalmente no contiene conexiones directas. Para obtener más información sobrelos árboles de expansión y la topología de replicación de Active Directory, consulte la referencia técnica de la topología de replicación de Active Directory http://go.microsoft.com/fwlink/?LinkID=93578, puede estar en inglés .

En cada controlador de dominio, KCC crea rutas de replicación mediante la creación de objetos de conexión de entrada unidireccionales que definen las conexionesdesde otros controladores de dominio. En el caso de los controladores de dominio del mismo sitio, KCC crea objetos de conexión automáticamente, sin intervenciónadministrativa. Cuando hay varios sitios, se configuran vínculos a sitios entre ellos y un KCC en cada sitio crea automáticamente las conexiones entre los sitios.

Mejoras del KCC para los RODC en Windows Server 2008KCC incluye varias mejoras para admitir el nuevo controlador de dominio de sólo lectura RODC de Windows Server 2008. Un escenario de implementación típico delos RODC es el de sucursal. La topología de replicación de Active Directory que más se implementa en este escenario se basa en un diseño de concentrador y radiodonde los controladores de dominio de sucursal de varios sitios se replican con un pequeño número de servidores cabeza de puente en un sitio de concentrador.

Una de las ventajas de implementar RODC en este escenario es la replicación unidireccional. Los servidores cabeza de puente no tienen que replicarse desde el RODC,lo que reduce la administración y el uso de la red.

Sin embargo, una de las dificultades administrativas que sacó a la luz la topología de concentrador y radio en versiones anteriores del sistema operativoWindows Server es que, después de agregar un nuevo controlador de dominio cabeza de puente al concentrador, no hay un mecanismo automático que redistribuyalas conexiones de replicación entre los controladores de dominio de sucursal y los controladores de dominio de concentrador para aprovechar las ventajas del nuevocontrolador de dominio de concentrador.

Para los controladores de dominio de Windows Server 2003, puede reequilibrar la carga de trabajo con una herramienta como Adlb.exe, disponible en la guía deimplementación de sucursales de Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=28523 .

Para los RODC de Windows Server 2008, la funcionalidad normal de KCC proporciona un cierto reequilibrado, con lo que se elimina la necesidad de usar herramientasadicionales como Adlb.exe. La nueva funcionalidad está habilitada de manera predeterminada. Se puede deshabilitar al agregar la siguiente clave del Registro en elRODC:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

“Random BH Loadbalancing Allowed”

1 = habilitada valor predeterminado

, 0 = deshabilitada

Para obtener más información sobre el funcionamiento de estas mejoras del KCC, consulte el tema que trata acerca de la planeación e implementación de los Serviciosde dominio de Active Directory para sucursales http://go.microsoft.com/fwlink/?LinkId=107114, puede estar en inglés .

Funcionalidad de conmutación por errorLos sitios garantizan que la replicación se enruta cuando la red no funciona y los controladores de dominio están sin conexión. KCC se ejecuta en los intervalosespecificados para ajustar la topología de replicación con los cambios que se producen en AD DS, como cuando se agregan nuevos controladores de dominio y secrean sitios. KCC revisa el estado de replicación de las conexiones existentes para determinar si hay conexiones que no funcionan. Si una conexión no funciona porquehay problemas en un controlador de dominio, KCC crea conexiones temporales con otros asociados de replicación si están disponibles para garantizar que la

replicación tiene lugar. Si ninguno de los controladores de dominio de un sitio está disponible, KCC crea automáticamente conexiones de replicación entre loscontroladores de dominio de otro sitio.

SubredUna subred es un segmento de una red TCP/IP a la que se asigna un conjunto de direcciones IP lógicas. Las subredes agrupan los equipos de una manera que identificsu proximidad física en la red. Los objetos de subred de AD DS identifican las direcciones de red que se usan para asignar los equipos a los sitios.

SiteLos sitios son objetos de Active Directory que representan una o más subredes TCP/IP con conexiones de red rápidas y altamente confiables. La información del sitiopermite a los administradores configurar el acceso y la replicación en Active Directory para optimizar el uso de la red física. Los objetos de sitio están asociados a unconjunto de subredes y cada controlador de dominio de un bosque está asociado a un sitio de Active Directory en función de su dirección IP. Los sitios puedenhospedar controladores de dominio de más de un dominio y un dominio puede estar representado en más de un sitio.

Vínculo a sitiosLos vínculos a sitios son objetos de Active Directory que representan rutas de acceso lógicas que KCC usa para establecer una conexión para la replicación deActive Directory. Un objeto de vínculo a sitios representa un conjunto de sitios que se pueden comunicar con un costo uniforme a través de un transporte entre sitiosespecificado.

Todos los sitios incluidos en el vínculo a sitios se consideran conectados por el mismo tipo de red. Los sitios deben enlazarse manualmente a otros sitios mediantevínculos a sitios de manera que los controladores de dominio de un sitio puedan replicar los cambios de directorio de los controladores de dominio de otro sitio.Debido a que los vínculos a sitios no se corresponden con la ruta de acceso real que usan los paquetes de red en la red f ísica durante la replicación, no es necesariocrear vínculos a sitios redundantes para mejorar la eficacia de replicación de Active Directory.

Cuando dos sitios están conectados mediante un vínculo a sitios, el sistema de replicación automáticamente crea conexiones entre determinados controladores dedominio de cada sitio, que reciben el nombre de servidores cabeza de puente. En Windows Server 2008, todos los controladores de dominio de un sitio que hospedanla misma partición de directorio son candidatos a ser elegidos servidores cabeza de puente. Las conexiones de replicación creadas por el KCC se distribuyenaleatoriamente entre todos los candidatos a servidores cabeza de puente de un sitio para compartir la carga de trabajo de replicación. De manera predeterminada, elproceso de selección aleatorio tiene lugar una sola vez: la primera vez que se agregan los objetos de conexión al sitio.








Puente de vínculos a sitiosUn puente de vínculos a sitios es un objeto de Active Directory que representa un conjunto de vínculos a sitios que se pueden comunicar a través de un transportecomún. Los puentes de vínculos a sitios permiten que se repliquen entre sí controladores de dominio que no están conectados directamente mediante un vínculo decomunicación. Normalmente, un puente de vínculos a sitios se corresponde con un enrutador o conjunto de enrutadores en una red IP.

De manera predeterminada el KCC puede crear una ruta transitiva a través de todos y cada uno de los vínculos a sitios que tienen sitios en común. Si estecomportamiento está deshabilitado, cada vínculo a sitios representa su propia red, diferenciada y aislada. Los conjuntos de vínculos a sitios que se pueden tratar comouna sola ruta se expresan a través de un puente de vínculos a sitios. Cada puente representa un entorno de comunicación aislado para el tráfico de red.

Los puentes de vínculos a sitios son un mecanismo para representar de manera lógica la conectividad física transitiva entre los sitios. Un puente de vínculos a sitiospermite al KCC usar cualquier combinación de los vínculos a sitios incluidos con el fin de determinar la ruta menos costosa para interconectar las particiones de

directorio que se mantienen en esos sitios. El puente de vínculos a sitios no proporciona conectividad real con los controladores de dominio. Si se quita el puente devínculos a sitios, la replicación continuará a través de los vínculos a sitios combinados hasta que el KCC quite los vínculos.

Los puentes de vínculos a sitios sólo son necesarios si un sitio contiene un controlador de dominio que hospeda una partición de directorio que no está hospedadatambién en un controlador de dominio de un sitio adyacente, pero un controlador de dominio que hospeda esa partición de directorio se encuentra en uno o más sitiodiferentes del bosque. Los sitios adyacentes son dos o más sitios que están incluidos en un mismo vínculo a sitios.

Un puente de vínculos a sitios crea una conexión lógica entre dos vínculos a sitios, proporcionando una ruta de acceso transitiva entre dos sitios desconectados a travéde un sitio provisional. Para el generador de topología entre sitios ISTG , el puente supone la conectividad física mediante el uso del sitio provisional. El puente nosupone que un controlador de dominio del sitio provisional vaya a proporcionar la ruta de acceso de replicación. Sin embargo, éste sería el caso si el sitio provisionaltuviese un controlador de dominio que hospedase la partición de directorio que se debe replicar, en cuyo caso no se necesitaría un puente de vínculos a sitios.

El costo de cada vínculo a sitios se suma, con lo que se obtiene un costo total para la ruta de acceso resultante. El puente de vínculos a sitios se usaría si el sitioprovisional no tuviese un controlador de dominio que hospedase la partición de directorio y no existiese un vínculo de menor costo. Si el sitio provisional tuviese uncontrolador de dominio que hospedase la partición de directorio, dos sitios desconectados establecerían las conexiones de replicación con el controlador de dominio yno usarían el puente.

Transitividad de los vínculos a sitiosDe forma predeterminada, todos los vínculos a sitios son transitivos o están enlazados mediante un puente. Cuando los vínculos a sitios están conectados y lasprogramaciones se superponen, el KCC crea conexiones de replicación que determinan los asociados de replicación del controlador de dominio entre los sitios, dondelos sitios no están conectados directamente mediante vínculos a sitios, sino que transitivamente a través de un conjunto de sitios comunes. Esto significa que es posiblconectar un sitio con otro sitio a través de una combinación de vínculos a sitios.

Por lo general, en una red totalmente enrutada, no es necesario crear puentes de vínculos a sitios a menos que se desee controlar el flujo de los cambios de replicaciónSi la red no está completamente enrutada, deben crearse puentes de vínculos a sitios para evitar intentos de replicación imposibles. Todos los vínculos a sitioscorrespondientes a un transporte específico pertenecen implícitamente a un mismo puente de vínculos a sitios para ese transporte. El enlace predeterminado de losvínculos a sitios se crea automáticamente y el puente no está representado por ningún objeto de Active Directory. La opción Enlazar todos los vínculos a sitios, que sencuentra en las propiedades de los contenedores de transporte entre sitios IP y SMTP Protocolo simple de transferencia de correo , implementa el enlace automáticode los vínculos a sitios.

Nota

La replicación SMTP no se admitirá en futuras versiones de AD DS, por lo que no recomendamos crear objetos de vínculos a sitios en el contenedor SMTP.

Servidor de catálogo globalUn servidor de catálogo global es un controlador de dominio que almacena información acerca de todos los objetos del bosque de forma que las aplicaciones puedanbuscar en AD DS sin hacer referencia a controladores de dominio específicos donde se almacenen los datos solicitados. Como sucede con todos los controladores dedominio, un servidor de catálogo global almacena réplicas de escritura completas de las particiones de directorio de esquema y configuración y una réplica de escrituracompleta de la partición de directorio de dominio del dominio que hospeda. Además, un servidor de catálogo global almacena una réplica de sólo lectura parcial de lodemás dominios del bosque. Las réplicas de dominio parciales de sólo lectura contienen todos los objetos del dominio, pero sólo un subconjunto de los atributos, losque se usan con más frecuencia para buscar el objeto.

Almacenamiento en caché de pertenencia a grupos universalesEl almacenamiento en caché de la pertenencia al grupo universal permite al controlador de dominio almacenar en caché la información de pertenencia al grupouniversal para los usuarios. Los controladores de dominio que ejecutan Windows Server 2008 se habilitan para almacenar en caché la pertenencia al grupo universalmediante el complemento Sitios y servicios de Active Directory.

Al habilitar el almacenamiento en caché de la pertenencia al grupo universal se elimina la necesidad de tener un servidor de catálogo global en todos los sitios de undominio, lo que minimiza el uso del ancho de banda de la red, porque un controlador de dominio no necesita replicar todos los objetos situados en el bosque. Tambiése reducen los tiempos de inicio de sesión, porque los controladores de dominio que se autentican no siempre necesitan tener acceso a un catálogo global paraobtener la información de pertenencia al grupo universal. Para obtener más información sobre cuándo se debe usar el almacenamiento en caché de la pertenencia algrupo universal, consulte Planeación de la ubicación de los servidores de catálogo global.

© 2015 Microsoft

Recopilación de información de la red






Actualizado: abril de 2008


El primer paso para diseñar una topología de sitio eficaz en los Servicios de dominio de Active Directory AD DS es consultar al grupo que es responsable de la red dela organización con el fin de recopilar información, y comunicarse con dicho grupo con regularidad para conocer la topología de la red física.

Creación de un mapa de ubicaciónCree un mapa de ubicación donde se represente la infraestructura de red física de la organización. En dicho mapa, identifique las ubicaciones geográficas quecontienen grupos de equipos con conectividad interna de 10 megabits por segundo Mbps o más velocidad de red de área local LAN o superior .

Lista de vínculos de comunicación y ancho de banda disponibleUna vez que disponga de un mapa de ubicación, documente el tipo de vínculo de comunicación, la velocidad del vínculo y el ancho de banda disponible entre lasubicaciones. Solicite una topología de la red de área extensa WAN al grupo responsable de la red. Para obtener una lista de los tipos de circuitos WAN comunes y susanchos de banda, consulte la sección sobre determinación del costo en el tema Creación del diseño de los vínculos a sitios. Necesitará esta información para crearvínculos de sitio más adelante, en el proceso de diseño de la topología del sitio.

Ancho de banda se refiere a la cantidad de datos que se pueden transmitir a través de un canal de comunicación en un tiempo dado. El ancho de banda disponible esla cantidad de ancho de banda que AD DS puede usar actualmente. Puede preguntar cuál es el ancho de banda disponible al grupo responsable de la red o puedeanalizar el tráfico de cada vínculo con ayuda de un analizador de protocolos, como el Monitor de red, que es un componente que se incluye con Windows Server 2008.Para obtener información acerca de la instalación del Monitor de red, consulte el tema que trata acerca de la supervisión del tráfico de red http://go.microsoft.com/fwlink/?LinkId=107058, puede estar en inglés .

Documente cada ubicación y las ubicaciones restantes que están vinculadas a ésta. Anote también el tipo de vínculo de comunicación y el ancho de banda disponible.Puede obtener una hoja de trabajo donde le resultará fácil enumerar los vínculos de comunicación y el ancho de banda disponible en la página donde se incluyen losrecursos auxiliares para el Kit de implementación de Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . DescargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra el documento de ubicaciones geográficas y vínculos de comunicación DSSTOPO_1.doc

Lista de las subredes IP de cada ubicaciónDespués de documentar los vínculos de comunicación y el ancho de banda disponible entre las ubicaciones, tome nota de las subredes IP de cada ubicación. Si todavíano conoce la dirección IP y la máscara de subred de cada ubicación, pregunte al grupo responsable de la red.

AD DS asocia una estación de trabajo a un sitio mediante la comparación de la dirección IP de la estación de trabajo con las subredes que están asociadas a cada sitio.A medida que se agregan controladores de dominio a un dominio, AD DS examina también sus direcciones IP y los coloca en el sitio más apropiado.

Puede obtener una hoja de trabajo donde le resultará fácil enumerar las subredes IP de cada ubicación en la página donde se incluyen los recursos auxiliares para el Kitde implementación de Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . DescargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra el documento de ubicaciones y subredes DSSTOPO_2.doc .

Nota

Además de direcciones IP versión 4 IPv4 , Windows Server 2008 admite los prefijos de subred IP versión 6 IPv6 . Si desea obtener una hoja de trabajo que le ayudea enumerar los prefijos de subred IPv6, consulte Apéndice A: Ubicaciones y prefijos de subred.

Lista de los dominios y del número de usuarios de cada ubicaciónEl número de usuarios de cada dominio regional representado en una ubicación es uno de los factores que determinan la ubicación de los controladores de dominioregionales y los servidores de catálogo global, que es el siguiente paso del proceso de diseño de la topología del sitio. Supongamos, por ejemplo, que tiene previstocolocar un controlador de dominio regional en una ubicación que tiene más de 100 usuarios de dominio regional de manera que puedan seguir iniciando sesión en eldominio si deja de funcionar el vínculo WAN.

Tome nota de las ubicaciones, los dominios representados en cada ubicación y el número de usuarios de cada dominio representado en cada ubicación. Puede obteneuna hoja de trabajo donde le resultará fácil enumerar los dominios y el número de usuarios representados en cada ubicación en la página donde se incluyen losrecursos auxiliares para el Kit de implementación de Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . Descargue

Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra el documento para los dominios y usuarios de cada ubicación DSSTOPO_3.doc .

© 2015 Microsoft

Planeación de la ubicación de los controladores de dominioActualizado: abril de 2008


Una vez que haya recopilado toda la información de la red que usará para diseñar la topología del sitio, planee dónde desea colocar los controladores de dominio,incluidos los controladores de dominio raíz del bosque, los controladores de dominio regionales, los propietarios de las funciones del maestro de operaciones y losservidores de catálogo global.











En Windows Server 2008, también puede aprovechar las ventajas de los controladores de dominio de sólo lectura RODC . Un RODC es un tipo de controlador dedominio nuevo que hospeda particiones de sólo lectura de la base de datos de Active Directory. Salvo las contraseñas de cuenta, un RODC contiene todos los objetos yatributos de Active Directory que se guardan en un controlador de dominio de escritura. No obstante, no se pueden efectuar cambios en la base de datos almacenadaen el RODC. Los cambios deben efectuarse en un controlador de dominio de escritura y después deben volver a replicarse en el RODC.

Un RODC está diseñado principalmente para su implementación en entornos de oficinas remotas o sucursales, que normalmente tienen pocos usuarios, poca seguridafísica, relativamente poco ancho de banda con el sitio del concentrador y personal con conocimientos limitados de tecnologías de la información TI . Laimplementación de RODC mejora la seguridad y la eficacia del acceso a los recursos de la red. Para obtener más información acerca de las características de los RODC,consulte el tema sobre AD DS que trata acerca de los controladores de dominio de sólo lectura http://go.microsoft.com/fwlink/?LinkID=106616, puede estar en inglés

Para obtener más información acerca de cómo implementar un RODC, consulte la Guía paso a paso para controladores de dominio de sólo lectura http://go.microsoft.com/fwlink/?LinkID=92728, puede estar en inglés .

Nota

En esta guía no se explica la manera de determinar cuál es el número adecuado de controladores de dominio ni los requisitos de hardware del controlador dedominio de cada dominio representado en cada sitio. Para obtener más información sobre cómo determinar el número adecuado de controladores de dominio paracada dominio que está representado en cada sitio, consulte el tema que trata acerca de la planeación de la capacidad de los controladores de dominio http://go.microsoft.com/fwlink/?LinkId=89027, puede estar en inglés .

En esta sección

Planeación de la ubicación del controlador de dominio raíz del bosque

Planeación de la ubicación de los controladores de dominio regionales

Planeación de la ubicación de los servidores de catálogo global

Planeación de la ubicación de las funciones del maestro de operaciones

© 2015 Microsoft

Planeación de la ubicación del controlador de dominio raíz delbosqueActualizado: abril de 2008


Los controladores de dominio raíz del bosque son necesarios para crear rutas de acceso de confianza para los clientes que deben obtener acceso a recursos endominios que no son los suyos. Coloque los controladores de dominio raíz del bosque en ubicaciones de concentradores y en ubicaciones que hospeden centros dedatos. Si los usuarios de una ubicación dada necesitan tener acceso a los recursos de otros dominios que se encuentran en la misma ubicación y la disponibilidad de lared entre el centro de datos y la ubicación de los usuarios no es confiable, puede agregar un controlador de dominio raíz del bosque a esa ubicación o crear unaconfianza directa entre ambos dominios. Es más rentable crear una confianza directa entre los dominios, a menos que haya otros motivos para colocar el controladorde dominio raíz del bosque en esa ubicación.

Las confianzas directas ayudan a optimizar las solicitudes de autenticación que realicen usuarios ubicados en cualquiera de los dos dominios. Para obtener másinformación acerca de las confianzas directas entre dominios, consulte el tema donde se describe cuándo se debe crear una confianza directa http://go.microsoft.com/fwlink/?LinkId=107061, puede estar en inglés .

Puede obtener una hoja de trabajo donde le resultará fácil documentar la ubicación del controlador de dominio raíz del bosque en la página donde se incluyen losrecursos auxiliares para el Kit de implementación de Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . DescargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra el documento para ubicar controladores de dominio DSSTOPO_4.doc .

Necesitará consultar esta información cuando cree el dominio raíz del bosque. Para obtener más información sobre la implementación del dominio raíz del bosque,consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89028, puedeestar en inglés .

© 2015 Microsoft

Planeación de la ubicación de los controladores de dominioregionalesActualizado: abril de 2008
















Para garantizar la rentabilidad, use el menor número de controladores de dominio regionales que sea posible. Primero revise la hoja de trabajo de ubicacionesgeográficas y vínculos de comunicación DSSTOPO_1.doc que usó en el tema Recopilación de información de la red para determinar si una ubicación es unconcentrador.

Piense en designar controladores de dominio regionales para cada dominio representado en cada ubicación de concentrador. Una vez que sitúe los controladores dedominio regionales en todas las ubicaciones de concentrador, evalúe la necesidad de colocar controladores de dominio regionales en las ubicaciones satélite. Si seeliminan los controladores de dominio regionales innecesarios de las ubicaciones satélite, se reducen los costos de soporte técnico asociados al mantenimiento deinfraestructuras de servidores remotos.

Además, compruebe la seguridad física de los controladores de dominio de las ubicaciones de concentrador y satélite de forma que no estén accesibles para elpersonal no autorizado. No ubique controladores de dominio de escritura en ubicaciones de concentrador y satélite donde no se pueda garantizar la seguridad físicadel controlador de dominio. Una persona con acceso físico a un controlador de dominio de escritura puede atacar el sistema de las siguientes formas:

Puede tener acceso a los discos f ísicos si inicia un sistema operativo alternativo en un controlador de dominio.

Puede quitar y posiblemente reemplazar los discos físicos de un controlador de dominio.

Puede obtener y manipular una copia de la copia de seguridad del estado del sistema de un controlador de dominio.

Agregue controladores de dominio regionales de escritura sólo en las ubicaciones donde pueda garantizar su seguridad física.

En ubicaciones cuya seguridad física es inadecuada, la solución recomendada es implementar un controlador de dominio de sólo lectura RODC . Salvo las contraseñasde cuenta, un RODC contiene todos los objetos y atributos de Active Directory que se guardan en un controlador de dominio de escritura. No obstante, no se puedenefectuar cambios en la base de datos almacenada en el RODC. Los cambios deben efectuarse en un controlador de dominio de escritura y después deben volver areplicarse en el RODC.

Para autenticar el acceso y los inicios de sesión de cliente en los servidores de archivos locales, la mayoría de las organizaciones designan controladores de dominioregionales para todos los dominios regionales que están representados en una ubicación dada. Sin embargo, deben tenerse en cuenta muchas variables a la hora deevaluar si una ubicación empresarial requiere que sus clientes se autentiquen localmente o si la autenticación y las consultas de los clientes se pueden realizar a travésde un vínculo de red de área extensa WAN . En la ilustración siguiente se muestra cómo determinar si se deben colocar controladores de dominio en ubicacionessatélite.

Disponibilidad de experiencia técnica in situLos controladores de dominio requieren una administración continua por varias razones. Coloque los controladores de dominio regionales únicamente en ubicacionesque dispongan de personal que pueda administrarlos o asegúrese de que se puedan administrar de manera remota.

En los entornos de sucursal, donde normalmente la seguridad física es insuficiente y el personal carece de conocimientos de tecnologías de la información, la soluciónrecomendada suele ser la implementación de un RODC. Los permisos administrativos locales de un RODC se pueden delegar en cualquier usuario del dominio sin teneque concederle derechos de usuario para el dominio ni para otros controladores de dominio. Esto permite que un usuario de una sucursal local inicie sesión en unRODC y lleve a cabo tareas de mantenimiento en el servidor, como actualizar un controlador. No obstante, el usuario de la sucursal no puede iniciar sesión en otrocontrolador de dominio ni realizar otras tareas de administración en el dominio. De esta manera, se puede delegar en el usuario de la sucursal la capacidad deadministrar eficazmente el RODC de la sucursal sin poner en peligro la seguridad del resto del dominio o del bosque.

Disponibilidad del enlace WANLos vínculos WAN que experimentan interrupciones con frecuencia pueden provocar pérdidas de productividad significativas para los usuarios si la ubicación no incluyun controlador de dominio que pueda autenticarlos. Si la disponibilidad del vínculo WAN no es del 100 por cien y los sitios remotos no pueden tolerar una interrupcióndel servicio, coloque un controlador de dominio regional en las ubicaciones donde los usuarios requieran la posibilidad de iniciar sesión o cambiar el acceso al servidorcuando el vínculo WAN no sea funcional.

Disponibilidad de la autenticaciónAlgunas organizaciones, como los bancos, requieren que los usuarios estén autenticados en todo momento. Coloque un controlador de dominio regional en unaubicación donde la disponibilidad del vínculo WAN no sea del 100 por cien y los usuarios necesiten autenticarse en todo momento.

Rendimiento del inicio de sesión a través de vínculos WANSi la disponibilidad del vínculo WAN es muy alta, la colocación de un controlador de dominio en la ubicación depende de los requisitos de rendimiento del inicio de






sesión a través del vínculo WAN. Algunos de los factores que influyen en el rendimiento del inicio de sesión a través del vínculo WAN son el ancho de banda disponibly la velocidad del vínculo, el número de usuarios y sus perfiles de uso, y la cantidad de tráfico de red para el inicio de sesión frente al tráfico de replicación.

Velocidad del vínculo WAN y uso de ancho de bandaLas actividades de un solo usuario pueden congestionar un vínculo WAN lento. Coloque un controlador de dominio en una ubicación si el rendimiento del inicio desesión a través del vínculo WAN es inaceptable.

El porcentaje promedio de uso de ancho de banda indica la congestión de un vínculo de red. Si el uso de ancho de banda promedio de un vínculo de red supera unvalor admisible, coloque un controlador de dominio en esa ubicación.

Número de usuarios y perfiles de uso

El número de usuarios y los perfiles de uso de una ubicación dada pueden ayudar a determinar si es necesario colocar controladores de dominio regionales en esaubicación. Para evitar pérdidas de productividad si el vínculo WAN deja de funcionar, coloque controladores de dominio regionales en las ubicaciones con 100 usuarioo más.

Los perfiles de usuario indican cómo emplean los usuarios los recursos de la red. No es necesario colocar un controlador de dominio en una ubicación con pocosusuarios que no tienen acceso a los recursos de la red con frecuencia.

Tráfico de red para el inicio de sesión y tráfico de replicaciónSi un controlador de dominio no está disponible en la misma ubicación que el cliente de Active Directory, el cliente genera tráfico de inicio de sesión en la red. Lacantidad de tráfico de inicio de sesión que se genera en la red física se ve afectado por varios factores, como las pertenencias a grupos, el número y tamaño de losobjetos de directiva de grupo GPO , los scripts de inicio de sesión, y características tales como las carpetas sin conexión, el redireccionamiento de carpetas y los perfilemóviles.

Por otra parte, un controlador de dominio que se encuentra en una ubicación dada genera tráfico de replicación en la red. La frecuencia y cantidad de lasactualizaciones que se efectúan en las particiones hospedadas en los controladores de dominio influyen en la cantidad de tráfico de replicación que se genera en la red

Los distintos tipos de actualizaciones que pueden tener lugar en las particiones hospedadas en los controladores de dominio son agregar o cambiar usuarios yatributos de usuario, cambiar contraseñas, y agregar o cambiar grupos globales, impresoras o volúmenes.

Para determinar si es necesario colocar un controlador de dominio regional en una ubicación, compare el costo del tráfico de inicio de sesión generado en unaubicación sin controlador de dominio y el costo del tráfico de replicación que se genera cuando se coloca un controlador de dominio en esa ubicación.

Por ejemplo, considere el caso de una red que tiene sucursales conectadas a la oficina central a través de vínculos lentos y donde se pueden agregar fácilmentecontroladores de dominio. Si el tráfico diario que representan el inicio de sesión y las búsquedas de directorio de unos pocos usuarios de sitios remotos genera mástráfico de red que la replicación de todos los datos de la empresa en la sucursal, lo recomendable sería agregar un controlador de dominio a la sucursal.

Si la reducción de los costos de mantenimiento de los controladores de dominio es más importante que el tráfico de la red, existe la posibilidad de centralizar loscontroladores de dominio de ese dominio y no colocar controladores de dominio regionales en la ubicación o la posibilidad de colocar controladores de dominio desólo lectura RODC en la ubicación.

Puede obtener una hoja de trabajo donde le resultará fácil documentar la ubicación de los controladores de dominio regionales y el número de usuarios de cadadominio representado en cada ubicación en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra eldocumento de ubicación de controladores de dominio DSSTOPO_4.doc .

Necesitará consultar la información sobre las ubicaciones donde necesita colocar controladores de dominio regionales cuando implemente los dominios regionales.Para obtener más información sobre la implementación de dominios regionales, consulte el tema que trata sobre la implementación de dominios regionales deWindows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89029, puede estar en inglés .

© 2015 Microsoft

Planeación de la ubicación de los servidores de catálogo globalActualizado: abril de 2008


A menos que se disponga de un bosque con un solo dominio, la ubicación del catálogo global requiere planeación. En un bosque de un solo dominio, configure todoslos controladores de dominio como servidores de catálogo global. Como todos los controladores de dominio almacenan la única partición de directorio de dominio debosque, la configuración de cada controlador de dominio como servidor de catálogo global no implica el uso de espacio de disco, uso de CPU o tráfico de replicaciónadicionales. En un bosque de un solo dominio, todos los controladores de dominio actúan como servidores de catálogo global virtuales; es decir, todos ellos puedenresponder a cualquier solicitud de autenticación o servicio. Esta condición especial de los bosques de un solo dominio se da por diseño. Las solicitudes de autenticacióno requieren el contacto con un servidor de catálogo global como sucede cuando hay varios dominios, y un usuario puede ser miembro de un grupo universal queexiste en un dominio diferente. Sin embargo, sólo los controladores de dominio que hayan sido designados servidores de catálogo global pueden responder aconsultas de catálogo global en el puerto de catálogo global 3268. Para simplificar la administración en este escenario y para garantizar la coherencia en las respuestassi designa todos los controladores de dominio servidores de catálogo global, no tendrá que preocuparse de qué controladores de dominio pueden responder a lasconsultas de catálogo global. En concreto, siempre que un usuario use Inicio\Buscar\Personas o Buscar impresoras o expanda Grupos universales, estas solicitudes sedirigen sólo al catálogo global.

En bosques con varios dominios, los servidores de catálogo global facilitan las solicitudes de inicio de sesión de los usuarios y las búsquedas en todo el bosque. En lailustración siguiente se muestra cómo determinar qué ubicaciones requieren servidores de catálogo global.







Incorporación de servidores de catálogo global en función de los requisitos de aplicaciónAlgunas aplicaciones, como Microsoft Exchange, Message Queue Server también conocido como MSMQ y las aplicaciones que usan DCOM, no ofrecen una respuestaadecuada a través de vínculos de red de área extensa WAN latentes y, por lo tanto, precisan de una infraestructura de catálogo global de alta disponibilidad paraproporcionar una latencia de consulta baja. Determine si en las ubicaciones hay aplicaciones que presenten un bajo rendimiento a través de un vínculo WAN lento o silas ubicaciones requieren Microsoft Exchange Server. Si en las ubicaciones hay aplicaciones que no ofrecen la respuesta adecuada a través de un vínculo WAN, debecolocar un servidor de catálogo global en la ubicación para reducir la latencia de consulta.

Nota

Es posible aumentar el nivel de los controladores de dominio de sólo lectura RODC al estado de servidor de catálogo global. Sin embargo, algunas aplicacioneshabilitadas para directorio no admiten un RODC como servidor de catálogo global. Por ejemplo, ninguna versión de Microsoft Exchange Server usa RODC. Sinembargo, Microsoft Exchange Server funciona en entornos que incluyen RODC, siempre cuando estén disponibles controladores de dominio de escritura.

Exchange Server 2007 omite eficazmente los RODC. Exchange Server 2003 también omite los RODC en condiciones predeterminadas en que los componentes deExchange detectan automáticamente los controladores de dominio disponibles. No se hizo ningún cambio en Exchange Server 2003 para que reconozca losservidores de directorio de sólo lectura. Por lo tanto, intentar que los servicios y herramientas de administración de Exchange Server 2003 usen RODC de maneraforzada puede tener resultados imprevisibles.

Incorporación de servidores de catálogo global para un gran número de usuariosColoque servidores de catálogo global en todas las ubicaciones que contengan más de 100 usuarios con el fin de reducir la congestión de los vínculos WAN de la red yevitar las pérdidas de productividad si los vínculos WAN dejan de funcionar.

Uso de ancho de banda de alta disponibilidadNo es necesario que coloque un catálogo global en una ubicación que no tiene aplicaciones que requieran un servidor de catálogo global, que tiene menos de 100usuarios y que también está conectada a otra ubicación que tiene un servidor de catálogo global a través de un vínculo WAN que está disponible al 100 por cien para

los Servicios de dominio de Active Directory AD DS . En este caso, los usuarios pueden tener acceso al servidor de catálogo global a través del vínculo WAN.

Los usuarios móviles necesitan establecer contacto con los servidores de catálogo global siempre que inician sesión por primera vez en cualquier ubicación. Si el tiempde inicio de sesión a través del vínculo WAN es inaceptable, coloque un catálogo global en una ubicación visitada por un gran número de usuarios móviles.

Habilitación del almacenamiento en caché de la pertenencia al grupo universalEn el caso de ubicaciones con menos de 100 usuarios, sin un gran número de usuarios móviles o aplicaciones que requieran un servidor de catálogo global, puedeimplementar controladores de dominio que ejecuten Windows Server 2008 y habilitar el almacenamiento en caché de la pertenencia al grupo universal. Asegúrese deque los servidores de catálogo global no estén a más de un salto de replicación del controlador de dominio en el que se ha habilitado el almacenamiento en caché dela pertenencia al grupo universal de manera que se pueda actualizar la información de grupo universal de la memoria caché. Para obtener información acerca delfuncionamiento del almacenamiento en caché del grupo universal, consulte el tema que trata acerca del funcionamiento del catálogo global http://go.microsoft.com/fwlink/?LinkId=107063, puede estar en inglés .

Puede obtener una hoja de trabajo donde le resultará fácil documentar dónde tiene previsto ubicar los servidores de catálogo global y los controladores de dominiocon el almacenamiento en caché de la pertenencia al grupo universal habilitado en la página donde se incluyen los recursos auxiliares para el Kit de implementación de






Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . DescargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra el documento de ubicación de controladores de dominio DSSTOPO_4.doc . Consulte lainformación acerca de las ubicaciones en las que es necesario colocar servidores de catálogo global cuando implemente el dominio raíz del bosque y los dominiosregionales.

© 2015 Microsoft

Planeación de la ubicación de las funciones del maestro deoperacionesActualizado: junio de 2010


Los Servicios de dominio de Active Directory AD DS admiten la replicación de los datos de directorio con varios maestros, lo que significa que cualquier controladorde dominio puede aceptar cambios de directorio y replicar los cambios en todos los demás controladores de dominio. Sin embargo, algunos cambios, como puedenser las modificaciones del esquema, no son practicables con el modelo de varios maestros. Por este motivo, algunos controladores de dominio, denominados maestrosde operaciones, adoptan las funciones responsables de aceptar las solicitudes de determinados cambios.

Nota

Los propietarios de las funciones del maestro de operaciones deben poder escribir cierta información en la base de datos de Active Directory. Debido a la naturalezade sólo lectura de la base de datos de Active Directory en un controlador de dominio de sólo lectura RODC , los RODC no pueden actuar como propietarios de

funciones del maestro de operaciones.

En cada dominio existen tres funciones de maestro de operaciones, llamadas también operaciones FSMO Flexible Single Master Operations .

El maestro de operaciones de emulador del controlador de dominio principal PDC procesa todas las actualizaciones de contraseña.

El maestro de operaciones de identificadores relativos RID mantiene el conjunto de RID global del dominio y asigna conjuntos de RID locales a todos loscontroladores de dominio para garantizar que todas las entidades de seguridad creadas en el dominio tengan un identificador único.

El maestro de operaciones de infraestructura de un dominio dado mantiene una lista de las entidades de seguridad de otros dominios que son miembros degrupos dentro de su dominio.

Aparte de las tres funciones de maestro de operaciones existentes en el nivel de dominio, en cada bosque hay dos funciones de maestro de operaciones:

El maestro de operaciones de esquema controla los cambios del esquema.

El maestro de operaciones de nomenclatura de dominio agrega y quita dominios y otras particiones de directorio por ejemplo, las particiones del directorio deaplicaciones del Sistema de nombres de dominio DNS en el bosque.

Coloque los controladores de dominio que hospedan estas funciones de maestro de operaciones en áreas donde la confiabilidad de la red sea elevada y asegúrese deque el maestro de emulador del PDC y el maestro de RID estén siempre disponibles.

Los propietarios de funciones del maestro de operaciones se asignan automáticamente cuando se crea el primer controlador de dominio de un dominio dado. Las dosfunciones de nivel de bosque maestro de esquema y maestro de nomenclatura de dominio se asignan al primer controlador de dominio que se crea en un bosque.Por otro lado, las tres funciones de nivel de dominio maestro de RID, maestro de infraestructura y maestro de emulador del PDC se asignan al primer controlador dedominio que se crea en un dominio.

Estas asignaciones automáticas de funciones de maestro de operaciones generan un uso de CPU muy elevado en el primer controlador de dominio creado en elbosque o en el dominio. Para evitarlo, asigne transfiera las funciones de maestro de operaciones a varios controladores de dominio del bosque o del dominio.

Coloque los controladores de dominio que hospeden funciones de maestro de operaciones en áreas donde la red sea confiable y donde los maestros de operacionesestén accesibles para los demás controladores de dominio del bosque.

También debería designar maestros de operaciones de reserva alternativos para todas las funciones de maestro de operaciones. Los maestros de operaciones dereserva son controladores de dominio a los que se pueden transferir las funciones del maestro de operaciones si dejan de funcionar los propietarios originales de lasfunciones. Asegúrese de que los maestros de operaciones de reserva sean asociados de replicación directos de los maestros de operaciones reales.

Planeación de la ubicación del emulador del PDCEl emulador del PDC procesa los cambios de contraseña de los clientes. Sólo un controlador de dominio actúa como emulador del PDC en cada dominio del bosque.

Aunque todos los controladores de dominio se actualicen a Windows 2000, Windows Server 2003 y Windows Server 2008 y el dominio opere en el nivel funcionalnativo de Windows 2000, el emulador del PDC recibe la replicación preferente de los cambios de contraseña realizados por otros controladores de dominio deldominio. Si una contraseña se ha modificado recientemente, ese cambio tarda en replicarse en todos los controladores de dominio del dominio. Si se produce un erroren la autenticación de inicio de sesión en otro controlador de dominio debido a que la contraseña es incorrecta, ese controlador de dominio reenvía la solicitud deautenticación al emulador del PDC antes de decidir si acepta o rechaza el intento de inicio de sesión.






Coloque el emulador del PDC en una ubicación que contenga muchos usuarios de ese dominio para las operaciones de reenvío de contraseñas, si son necesarias.Además, asegúrese de que la ubicación esté bien conectada a otras ubicaciones para minimizar la latencia de replicación.

Puede obtener una hoja de trabajo donde le resultará fácil documentar la información sobre dónde tiene previsto ubicar los emuladores de PDC y el número deusuarios de cada dominio representado en cada ubicación en la página donde se incluyen los recursos auxiliares para el Kit de implementación deWindows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . DescargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra el documento de ubicación de controladores de dominio DSSTOPO_4.doc .

Necesitará consultar la información sobre las ubicaciones donde necesita colocar emuladores de PDC cuando implemente los dominios regionales. Para obtener másinformación sobre la implementación de dominios regionales, consulte el tema que trata sobre la implementación de dominios regionales de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89029, puede estar en inglés .

Requisitos para la ubicación del maestro de infraestructuraEl maestro de infraestructura actualiza los nombres de las entidades de seguridad de otros dominios que se agregan a grupos de su propio dominio. Por ejemplo, si unusuario de un dominio es miembro de un grupo de un segundo dominio y se modifica el nombre del usuario en el primer dominio, el segundo dominio no recibeninguna notificación de que es necesario actualizar el nombre del usuario en la lista de pertenencias del grupo. Debido a que los controladores de dominio de undominio no replican las entidades de seguridad en los controladores de dominio de otro dominio, el segundo dominio nunca conocerá el cambio si no está presente emaestro de infraestructura.

El maestro de infraestructura supervisa constantemente las pertenencias a grupos, buscando las entidades de seguridad en otros dominios. Si encuentra una,comprueba en el dominio de la entidad de seguridad si la información está actualizada. Si no lo está, el maestro de infraestructura realiza la actualización y despuésreplica el cambio en los demás controladores de dominio de su dominio.

Esta regla tiene dos excepciones. La primera es que, si todos los controladores de dominio son servidores de catálogo global, el controlador de dominio que hospeda lfunción de maestro de infraestructura es intrascendente, porque los catálogos globales replican la información actualizada con independencia del dominio al quepertenezcan. La segunda es que, si el bosque tiene un solo dominio, el controlador de dominio que hospeda la función de maestro de infraestructura es intrascendenteporque no existen entidades de seguridad de otros dominios.

No coloque el maestro de infraestructura en un controlador de dominio que sea también servidor de catálogo global. Si el maestro de infraestructura y el catálogoglobal se encuentran en el mismo controlador de dominio, el maestro de infraestructura no funcionará. El maestro de infraestructura nunca encontrará datos que esténdesactualizados, por lo que nunca replicará ningún cambio en los demás controladores de dominio del dominio.

Ubicación del maestro de operaciones en redes con conectividad limitadaDebe saber que, si en el entorno hay una ubicación central o un sitio de concentrador donde se puedan colocar los propietarios de las funciones del maestro deoperaciones, podrían verse afectadas algunas operaciones del controlador de dominio que dependen de la disponibilidad de esos propietarios de funciones delmaestro de operaciones.

Supongamos, por ejemplo, que una organización crea los sitios A, B, C y D. Existen vínculos a sitios entre A y B, entre B y C, y entre C y D. La conectividad de red reflejacon exactitud la conectividad de red de los vínculos a sitios. En este ejemplo, todas las funciones del maestro de operaciones se encuentran en el sitio A y la opciónEnlazar todos los vínculos a sitios no está activada.

Aunque con esta configuración la replicación entre todos los sitios es correcta, las funciones del maestro de operaciones tienen las siguientes limitaciones:

Los controladores de dominio de los sitios C y D no pueden tener acceso al emulador del PDC del sitio A para actualizar una contraseña o para comprobar en éluna contraseña que se ha actualizado recientemente.

Los controladores de dominio de los sitios C y D no pueden tener acceso al maestro de RID del sitio A para obtener un conjunto de RID inicial después de lainstalación de Active Directory y para actualizar los conjuntos de RID cuando se agoten.

Los controladores de dominio de los sitios C y D no pueden agregar ni quitar particiones de aplicaciones de directorio, DNS o personalizadas.

Los controladores de dominio de los sitios C y D no pueden realizar cambios en el esquema.

Puede obtener una hoja de trabajo donde le resultará fácil planear la ubicación de las funciones del maestro de operaciones en la página donde se incluyen los recursoauxiliares para el Kit de implementación de Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . DescargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra el documento de ubicación de controladores de dominio DSSTOPO_4.doc .

Necesitará consultar esta información cuando cree el dominio raíz del bosque y los dominios regionales. Para obtener más información sobre la implementación deldominio raíz del bosque, consulte el tema que trata acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89028, puede estar en inglés . Para obtener más información sobre la implementación de dominios regionales, consulte eltema que trata sobre la implementación de dominios regionales de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89029, puede estar en inglés .

© 2015 Microsoft

Creación del diseño de un sitioActualizado: abril de 2008


La creación del diseño de un sitio implica decidir qué ubicaciones serán sitios, crear objetos de sitio, crear objetos de subred y asociar las subredes a los sitios.










Decisión de qué ubicaciones serán sitiosDecida para qué ubicaciones creará sitios con ayuda de la siguiente información:

Cree sitios para todas las ubicaciones en las que tenga previsto colocar controladores de dominio. Consulte la información documentada en la hoja de trabajo dubicación de controladores de dominio DSSTOPO_4.doc para identificar las ubicaciones que incluyen controladores de dominio.

Cree sitios para las ubicaciones que incluyen servidores que ejecutan aplicaciones que requieren que se cree un sitio. Algunas aplicaciones, como los espacios denombres del Sistema de archivos distribuido DFSN , usan objetos de sitio para encontrar los servidores más próximos a los clientes.

Si una ubicación no requiere un sitio, agregue la subred de la ubicación a un sitio para el cual la ubicación tenga el máximo ancho de banda disponible y lamáxima velocidad de red de área extensa WAN .

Documente las ubicaciones que se convertirán en sitios y las direcciones de red y máscaras de subred de cada ubicación. Puede obtener una hoja de trabajo donde leresultará fácil documentar los sitios en la página donde se incluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . Descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra eldocumento de asociación de subredes a sitios DSSTOPO_6.doc .

Creación del diseño de un objeto de sitioPara cada ubicación en la que haya decidido crear sitios, planee crear objetos de sitio en los Servicios de dominio de Active Directory AD DS . Documente lasubicaciones que se convertirán en sitios en la hoja de trabajo de asociación de subredes a sitios.

Para obtener más información sobre cómo se crean objetos de sitio, consulte el tema que trata acerca de la creación de un sitio http://go.microsoft.com/fwlink/?LinkId=107067, puede estar en inglés .

Creación del diseño de un objeto de subredPara cada subred IP y máscara de subred asociadas a cada ubicación, planee crear objetos de subred en AD DS que representen todas las direcciones IP del sitio.

Al crear un objeto de subred de Active Directory, la información acerca de la subred IP y máscara de subred se convierte automáticamente al formato de notación delongitud de prefijo de red <dirección IP>/<longitud del prefijo>. Por ejemplo, la dirección IP versión 4 IPv4 172.16.4.0 con máscara de subred 255.255.252.0 semuestra como 172.16.4.0/22. Además de las direcciones IPv4, Windows Server 2008 admite también los prefijos de subred IP versión 6 IPv6 ; por ejemplo,3FFE:FFFF:0:C000::/64. Para obtener más información acerca de las subredes IP de cada ubicación, consulte la hoja de trabajo de ubicaciones y subredes DSSTOPO_2.doc que encontrará en Recopilación de información de la red y el tema Apéndice A: Ubicaciones y prefijos de subred.

Asocie cada objeto de subred a un objeto de sitio con ayuda de la hoja de trabajo de asociación de subredes a sitios DSSTOPO_6.doc que se menciona en la sección"Decisión de qué ubicaciones serán sitios" para determinar qué subred se debe asociar a cada sitio. Documente el objeto de subred de Active Directory que estáasociado a cada ubicación en la hoja de trabajo de asociación de subredes a sitios DSSTOPO_6.doc .

Para obtener más información sobre cómo se crean objetos de subred, consulte el tema que trata acerca de la creación de una subred http://go.microsoft.com/fwlink/LinkId=107068, puede estar en inglés .

© 2015 Microsoft

Creación del diseño de los vínculos a sitiosActualizado: abril de 2008


Cree un diseño de vínculos a sitios para conectar los sitios a vínculos a sitios. Los vínculos a sitios reflejan la conectividad entre los sitios y el método que se usa paratransferir el tráfico de replicación. Debe conectar los sitios con vínculos a sitios para que los controladores de dominio de cada sitio puedan replicar los cambios deActive Directory.

Conexión de sitios con vínculos a sitios

Para conectar sitios con vínculos a sitios, identifique los sitios miembro que desea conectar con cada vínculo a sitios, cree un objeto de vínculo a sitios en el contenedode transportes entre sitios correspondiente y, después, cambie el nombre del vínculo a sitios. Después de crear el vínculo a sitios, puede pasar a establecer suspropiedades.

Cuando cree vínculos a sitios, asegúrese de que se incluyen todos los sitios en el vínculo a sitios. Además, asegúrese de que todos los sitios están conectados entre sí através de otros vínculos a sitios de manera que se puedan replicar los cambios desde los controladores de dominio de cualquier sitio a todos los demás sitios. Si no lohace, se generará un mensaje de error en el registro del servicio de directorio del Visor de eventos para indicar que la topología del sitio no está conectada.

Siempre que agregue sitios a un vínculo a sitios recién creado, determine si el sitio que se agrega es miembro de otros vínculos a sitios y, si es necesario, cambie lapertenencia a vínculos a sitios del sitio. Por ejemplo, si convierte un sitio en miembro de Default‐First‐Site‐Link al crear el sitio inicialmente, asegúrese de quitar el sitiode Default‐First‐Site‐Link después de agregar el sitio a un nuevo vínculo a sitios. Si no quita el sitio de Default‐First‐Site‐Link, el comprobador de coherencia de lainformación KCC tomará sus decisiones de enrutamiento según la pertenencia de ambos vínculos a sitios, lo que podría resultar en un enrutamiento incorrecto.

Para identificar los sitios miembro que desea conectar con un vínculo a sitios, use la lista de ubicaciones y ubicaciones vinculadas que registró en la hoja de trabajo deubicaciones geográficas y vínculos de comunicación DSSTOPO_1.doc . Si hay varios sitios que tienen la misma conectividad y disponibilidad entre sí, puede conectarlocon el mismo vínculo a sitios.










El contenedor de transportes entre sitios proporciona la manera de asignar los vínculos a sitios al transporte que usa el vínculo. Cuando crea un objeto de vínculo asitios, lo hace en el contenedor IP, que asocia el vínculo a sitios con el transporte RPC llamada a procedimiento remoto sobre IP, o en el contenedor SMTP Protocolosimple de transferencia de correo , que asocia el vínculo a sitios con el transporte SMTP.

Nota

La replicación SMTP no se admitirá en futuras versiones de los Servicios de dominio de Active Directory AD DS , por lo que no recomendamos crear objetos devínculos a sitios en e l contenedor SMTP.

Cuando se crea un objeto de vínculo a sitios en el contenedor de transportes entre sitios correspondiente, AD DS usa RPC sobre IP para transferir la replicación entresitios y dentro del sitio entre los controladores de dominio. Para mantener la seguridad de los datos en el tránsito, la replicación RPC sobre IP usa el protocolo deautenticación Kerberos y el cifrado de datos.

Cuando no hay ninguna conexión IP directa, puede configurar la replicación entre sitios para que use SMTP. Sin embargo, la funcionalidad de la replicación SMTP eslimitada y requiere una entidad de certificación CA de empresa. SMTP sólo puede replicar las particiones de configuración, de esquema y de directorio de aplicacioney no admite la replicación de particiones de directorio de dominio.

Para asignar nombres a los vínculos a sitios, use un esquema de nomenclatura coherente, como nombre_del_sitio1‐nombre_del_sitio2. Registre en una hoja de trabajola lista de los sitios, los sitios vinculados y los nombres de los vínculos a sitios que conectan esos sitios. Puede obtener una hoja de trabajo donde le resultará fácilregistrar los nombres de los sitios y los nombres de los vínculos a sitios asociados en la página donde se incluyen los recursos auxiliares para el Kit de implementaciónde Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés . DescargueJob_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip y abra el documento de sitios y vínculos a sitios asociados DSSTOPO_5.doc .

En esta guíaConfiguración de las propiedades de los vínculos a sitios

© 2015 Microsoft

Configuración de las propiedades de los vínculos a sitiosActualizado: abril de 2008


La replicación entre sitios se produce de acuerdo con las propiedades de los objetos de conexión. Cuando el Comprobador de coherencia de la información KCC creaobjetos de conexión, deriva la programación de replicación desde las propiedades de los objetos de vínculo a sitios. Cada objeto de vínculo a sitios representa unaconexión de red de área extensa WAN entre dos o más sitios.

La configuración de las propiedades de objetos de vínculo a sitios abarca los siguientes pasos:

Determinación del costo que se asocia a la ruta de replicación. El KCC usa el costo para determinar la ruta menos costosa para la replicación entre dos sitios quereplican la misma partición de directorio.

Determinación de la programación que define las horas durante las cuales puede producirse la replicación entre sitios.

Determinación del intervalo de replicación que define con qué frecuencia debe producirse la replicación durante las horas en que está permitida, según sedefinió en la programación.

En esta guía

Determinación del costo

Determinación de la programación

Determinación del intervalo

© 2015 Microsoft

Determinación del costoActualizado: abril de 2008


Asigne los valores de costo a vínculos de sitios para fomentar las conexiones menos costosas frente a las costosas. Determinadas aplicaciones y servicios, como elubicador de controlador de dominio DCLocator y los espacios de nombres del Sistema de archivos distribuido DFSN también usan información de costo para










encontrar los recursos más cercanos. El costo del vínculo a sitios puede usarse para determinar con qué controlador de dominio se ponen en contacto los clientes en usitio si el controlador del dominio especificado no existe en ese sitio. El cliente se pone en contacto con el controlador de dominio mediante el vínculo a sitios con elmenor costo asignado.

Se recomienda que el valor del costo se defina para todos los sitios. El costo suele basarse no sólo en el ancho de banda total del vínculo, sino también en ladisponibilidad, la latencia y el costo económico del vínculo.

Para determinar los costos que deben asignarse a los vínculos a sitios, documente la velocidad de conexión de cada vínculo de sitio. Consulte la hoja de trabajo deubicaciones geográficas y vínculos de comunicación DSSTOPO_1.doc en Recopilación de información de la red para obtener información acerca de la velocidad deconexión identificada.

En la tabla siguiente se enumeran las velocidades de los diferentes tipos de redes.

Tipo de red Velocidad

Muy lenta 56 kilobits por segundo Kbps

Lenta 64 Kbps

Red digital de servicios integrados ISDN RDSI 64 Kbps o 128 Kbps

Frame Relay Velocidad variable, habitualmente entre 56 Kbps y 1,5 megabits por segundo Mbps

T1 1,5 Mbps

T3 45 Mbps

10BaseT 10 Mbps

Modo de transferencia asincrónico ATM Velocidad variable, habitualmente entre 155 Mbps y 622 Mbps

100BaseT 100 Mbps

Gigabit Ethernet 1 gigabit por segundo Gbps

Use la tabla siguiente para calcular el costo de cada vínculo a sitios basado en la velocidad de vínculo de la velocidad de red de área extensa WAN . Si hubiera algunavelocidad de vínculo WAN que no apareciese en la tabla, puede calcular un factor de costo relativo dividiendo 1.024 por el registro de ancho de banda disponible,medido en Kbps.

Ancho de banda disponible Kbps Costo

9.6 1,042

19.2 798

38.4 644

56 586

64 567

128 486

256 425

512 378

1,024 340

2,048 309

4,096 283

Estos costos no reflejan diferencias de confiabilidad entre vínculos de red. Defina costos más elevados en los vínculos de red más propensos a errores para saber que






no debe confiar en esos vínculos para la replicación. Al definir costos de vínculo a sitios más elevados, puede controlar la conmutación por error de replicación cuandoun vínculo a sitios genera un error.

© 2015 Microsoft

Permitir a los clientes buscar el siguiente controlador dedominio más cercanoActualizado: diciembre de 2009


En un dominio de Windows Server 2008, los equipos cliente que ejecutan Windows Vista o Windows Server 2008 pueden buscar controladores de dominio de formamás eficiente si habilita la opción de directiva de grupo Intentar siguiente sitio más cercano. Esta opción mejora el ubicador de controlador de dominio DC Locator al simplificar el tráfico de red, especialmente en grandes empresas que cuentan con numerosas sucursales y sitios.

Esta nueva configuración puede afectar a la configuración de costos de vínculo de sitio porque afecta el orden en que se encuentran los controladores de dominio. Enlas empresas que cuentan con numerosos sitios del concentrador y sucursales, se puede reducir de forma significativa el tráfico de Active Directory de la red si seasegura que los clientes conmutan por error con el siguiente sitio del concentrador más cercano cuando no encuentran un controlador de dominio en el sitio delconcentrador más cercano.

Como práctica recomendada, debe simplificar la topología del sitio y los costos de vínculo de sitios tanto como sea posible si habilita la opción Intentar siguiente sitiomás cercano. En empresas que cuentan con numerosos sitios del concentrador, esto simplifica los planes de control de situaciones en que los clientes deWindows Vista o Windows Server 2008 de un sitio deben conmutar por error a un controlador de dominio de otro sitio.

De forma predeterminada, la opción Intentar siguiente sitio más cercano no está habilitada. Cuando la opción no está habilitada, el ubicador de controlador dedominio usa el algoritmo siguiente para buscar un controlador de dominio:

Intenta encontrar un controlador de dominio en el mismo sitio.

Si no está disponible ningún controlador de dominio en el mismo sitio, intenta encontrar otro en el dominio.

Nota

Es el mismo algoritmo que el ubicador de controlador de dominio usó en versiones anteriores de Active Directory. Para obtener más información, consulte elfuncionamiento de la compatibilidad DNS para Active Directory http://go.microsoft.com/fwlink/?LinkId=108587 puede estar en inglés .

Si habilita la opción Intentar siguiente sitio más cercano, el ubicador de controlador de dominio usa el algoritmo siguiente para buscar un controlador de dominio:

Intenta encontrar un controlador de dominio en el mismo sitio.

Si no está disponible ningún controlador de dominio en el mismo sitio, intenta encontrar otro en el siguiente sitio más cercano. Un sitio es más cercano si sucosto de vínculo a sitios es inferior a otro sitio con un costo de vínculo a sitios superior.

Si no está disponible ningún controlador de dominio en el siguiente sitio más cercano, intenta encontrar otro en el dominio.

De forma predeterminada, el ubicador de controlador de dominio no tiene en cuenta ningún sitio que contenga un controlador de dominio de sólo lectura RODC aldeterminar el siguiente sitio más cercano.

Por ejemplo, supongamos que una topología de sitio contiene cuatro sitios cuyos valores de vínculo a sitios se muestran en la ilustración siguiente. En este ejemplo,todos los controladores de dominio son de escritura.






Cuando se habilita la opción de directiva de grupo Intentar siguiente sitio más cercano en este e jemplo, si un equipo cliente de Windows Vista o WindowsServer 2008 del Sitio_B intenta buscar un controlador de dominio, primero intenta buscarlo en el propio Sitio_B. Si en el Sitio_B no hay ninguno disponible, intentabuscarlo en el Sitio_A.

Si la opción no está habilitada, el cliente de Windows Vista o Windows Server 2008 intenta encontrar un controlador de dominio en el Sitio_A, el Sitio_C o el Sitio_D sino hay ninguno disponible en el Sitio_B.

Para aplicar la opción Intentar siguiente sitio más cercano, puede crear un objeto de directiva de grupo GPO y vincularlo al objeto apropiado para la organización, obien puede modificar la directiva predeterminada de dominio para que afecte a los clientes de Windows Vista y Windows Server 2008 en el dominio. Para obtener másinformación acerca de cómo establecer la opción Intentar siguiente sitio más cercano, consulte Permitir a los clientes buscar un controlador de dominio en elsiguiente sitio más cercano.

© 2015 Microsoft

Determinación de la programaciónActualizado: abril de 2008


Para controlar la disponibilidad de vínculo a sitios, establezca una programación para los vínculos a sitios. Cuando la replicación entre dos sitios cruza diversos vínculos

a sitios, la intersección de las programaciones de replicación en todos los vínculos relevantes determina la programación de la conexión entre los dos sitios.

Para planear la configuración de la programación de vínculos a sitios, cree dos programaciones superpuestas entre los vínculos a sitios que contienen controladores dedominio que replican directamente entre sí. Use la programación predeterminada 100 % disponible en esos vínculos a menos que desee bloquear el tráfico dereplicación durante las horas de máximo uso. Con el bloqueo de la replicación, da prioridad a otro tráfico, pero también incrementa la latencia de replicación.

Los controladores de dominio almacenan el tiempo en Hora universal coordinada UTC . La configuración de la hora en las programaciones de objeto de vínculo a sitiose ajusta a la hora local del sitio y del equipo donde se configura la programación. Cuando un controlador de dominio se pone en contacto con un equipo que seencuentra en un sitio y una zona horaria diferentes, la programación del controlador de dominio muestra la configuración de la hora de acuerdo con la hora local delsitio del equipo.

© 2015 Microsoft

Determinación del intervaloActualizado: abril de 2008


Debe configurar la propiedad de intervalo de replicación de vínculos a sitios para indicar con qué frecuencia desea que se produzca la replicación durante las horas enque la programación permite la replicación. Por ejemplo, si la programación permite la replicación entre las 02:00 y las 04:00, y el intervalo de replicación se haconfigurado en 30 minutos, la replicación se producirá cuatro veces durante el tiempo programado. El intervalo de replicación predeterminado es de 180 minutos, o3 horas. El intervalo mínimo es de 15 minutos.

Tenga en cuenta los criterios siguientes para determinar con qué frecuencia se produce la replicación dentro de la ventana de programación:

Un intervalo breve reduce la latencia pero incrementa la cantidad de tráfico de red de área extensa WAN .

Para mantener las particiones del directorio de dominio actualizadas, es preferible una latencia baja.






Con una estrategia de replicación de almacenamiento y reenvío, resulta difícil determinar cuánto puede durar la replicación de una actualización de directorio para cadcontrolador de dominio. Para proporcionar una estimación conservadora de latencia máxima, efectúe las tareas siguientes:

Cree una tabla de todos los sitios de la red, tal como se muestra en el ejemplo siguiente:

Sitios Seattle Boston Los Ángeles Nueva York Washington, D.C.

Seattle 0.25

Boston 0.25

Los Ángeles 0.25

Nueva York 0.25

Washington, D.C. 0.25

La peor latencia posible dentro de un sitio se estima en 15 minutos.

Desde la programación de replicación, determine la latencia de replicación máxima que es posible en cualquier vínculo de sitios que conecte dos sitios delconcentrador.

Por ejemplo, si la replicación se produce entre Seattle y Nueva York cada tres horas, el retraso máximo para la replicación entre estos sitios es de tres horas. Si elretraso de la replicación entre Nueva York y Seattle es el retraso programado más largo entre todos los sitios del concentrador, la latencia máxima entre todoslos concentradores es de tres horas.

Para cada sitio del concentrador, cree una tabla de latencias máximas entre el sitio del concentrador y cualquiera de sus sitios satélite.

Por ejemplo, si la replicación tiene lugar entre Nueva York y Washington, D.C. cada cuatro horas y éste es el retraso de replicación más prolongado ente NuevaYork y cualquiera de los sitios satélite, la latencia máxima entre Nueva York y sus satélites es de cuatro horas.

Combine estas latencias máximas para determinar la latencia máxima de toda la red.

Por ejemplo, si la latencia máxima entre Seattle y el sitio satélite de Los Ángeles es de un día, la latencia de replicación máxima para este conjunto de vínculos Washington, D.C.–Nueva York–Seattle–Los Ángeles es de 31 horas, es decir, 4 Washington, D.C.–Nueva York + 3 Nueva York–Seattle + 24 Seattle–Los Ángeles , como se muestra en la tabla siguiente.

Sitios Seattle Boston Los Ángeles Nueva York Washington, D.C.

Seattle 0.25 4+3 24.00 3.00 4+3

Boston 0.25 4+3+24 4.00 4.00

Los Ángeles 0.25 24 + 3 24+3+4

Nueva York 0.25 4.00

Washington, D.C. 0.25

© 2015 Microsoft

Creación del diseño de un puente de vínculos a sitiosActualizado: abril de 2008


Un puente de vínculos a sitios conecta dos o más vínculos a sitios y habilita la transitividad entre ellos. Cada vínculo a sitios de un puente debe tener un sitio en comúncon otro vínculo a sitios del puente. El comprobador de coherencia de la información KCC usa la información de cada vínculo a sitios para calcular el costo de lareplicación entre los sitios de un vínculo a sitios y los sitios de los otros vínculos a sitios del puente. Si no hay un sitio común entre los vínculos a sitios, KCC no puedeestablecer conexiones directas entre los controladores de dominio de los sitios que están conectados por el mismo puente de vínculos a sitios.

De forma predeterminada, todos los vínculos a sitios son transitivos. Recomendamos que mantenga la transitividad habilitada, sin cambiar el valor predeterminado deEnlazar todos los vínculos a sitios. Sin embargo, deberá deshabilitar Enlazar todos los vínculos a sitios y completar el diseño de un puente de vínculos a sitios en lo





siguientes casos:

La red IP no está totalmente enrutada. Al deshabilitar Enlazar todos los vínculos a sitios, todos los vínculos a sitios se consideran no transitivos y es posiblecrear y configurar objetos de puente de vínculos a sitios para modelar el comportamiento del enrutamiento en la red.

Es necesario controlar el flujo de replicación de los cambios efectuados en los Servicios de dominio de Active Directory AD DS . Si deshabilita Enlazar todos losvínculos a sitios para el transporte IP de los vínculos a sitios y configura un puente de vínculos a sitios, este último se convierte en el equivalente de una redinconexa. Todos los vínculos a sitios del puente se enrutan transitivamente, pero no se enrutan fuera del puente de vínculos a sitios.

Para obtener más información sobre cómo se usa el complemento Sitios y servicios de Active Directory para deshabilitar la opción Enlazar todos los vínculos a sitios,consulte el tema que trata acerca de la habilitación y deshabilitación de puentes de vínculos a sitios http://go.microsoft.com/fwlink/?LinkId=107073, puede estar en

inglés .

Control del flujo de replicación de AD DSDos escenarios en los que se requiere un diseño de puente de vínculos a sitios para controlar el flujo de replicación son el control de la conmutación por error en lareplicación y el control de la replicación a través de un firewall.

Control de la conmutación por error en la replicaciónSi la organización tiene una topología de red de concentrador y radio, por lo general no se desea que los sitios satélite creen conexiones de replicación con otros sitiossatélite si se produce un error en todos los controladores de dominio del concentrador. En casos como éste, debe deshabilitar Enlazar todos los vínculos a sitios ycrear puentes de vínculos a sitios de manera que se creen conexiones de replicación entre el sitio satélite y otro sitio de concentrador que se encuentre a uno o dossaltos del sitio satélite.

Control de la replicación a través de un firewall

Si dos controladores de dominio que representan al mismo dominio en dos sitios diferentes tienen permiso explícito para comunicarse entre sí únicamente a través deun firewall, puede deshabilitar Enlazar todos los vínculos a sitios y crear puentes de vínculos a sitios para los sitios que se encuentran en el mismo lado del firewall.Por lo tanto, si la red está separada por firewalls, recomendamos que deshabilite la transitividad de los vínculos a sitios y cree puentes de vínculos a sitios para la red aun lado del firewall. Para obtener información sobre cómo administrar la replicación a través de firewalls, consulte la documentación sobre Active Directory en redessegmentadas por firewalls http://go.microsoft.com/fwlink/?LinkId=107074, puede estar en inglés .

© 2015 Microsoft

Búsqueda de recursos adicionales para el diseño de latopología del sitio de Active Directory de Windows Server 2008Actualizado: abril de 2008


En los sitios web de TechCenter de Windows Server 2003 y Windows Server 2008 dispone de la siguiente documentación puede estar en inglés sobre los Servicios dedominio de Active Directory AD DS :

Para obtener más información acerca del proceso de ubicación de un controlador de dominio, consulte el compendio de Active Directory http://go.microsoft.com/fwlink/?LinkID=88626, puede estar en inglés .

Para obtener más información acerca del diseño y la implementación de servidores de impresión, consulte el tema donde se explica cómo diseñar e implementaservidores de impresión http://go.microsoft.com/fwlink/?LinkId=107041, puede estar en inglés .

Para obtener más información sobre los árboles de expansión y la topología de replicación de Active Directory, consulte la referencia técnica de la topología dereplicación de Active Directory http://go.microsoft.com/fwlink/?LinkId=44137, puede estar en inglés .

Para obtener más información acerca del uso de Adlb.exe y la administración de entornos con 100 o más sitios de sucursal, consulte el tema que trata acerca dela planeación e implementación de los Servicios de dominio de Active Directory para sucursales http://go.microsoft.com/fwlink/?LinkId=107114, puede estar en

inglés .

Para obtener información acerca de la instalación del Monitor de red, consulte el tema que trata acerca de la supervisión del tráfico de red http://go.microsoft.com/fwlink/?LinkId=107058, puede estar en inglés .

Puede obtener hojas de trabajo donde le resultará fácil documentar el diseño de la topología del sitio de AD DS de Windows Server 2008 en la página donde seincluyen los recursos auxiliares para el Kit de implementación de Windows Server 2003 http://go.microsoft.com/fwlink/?LinkID=102558, puede estar en inglés .

Para obtener más información sobre cómo determinar el número adecuado de controladores de dominio para cada dominio que está representado en cadasitio, consulte el tema que trata acerca de la planeación de la capacidad de los controladores de dominio http://go.microsoft.com/fwlink/?LinkId=89027, puedeestar en inglés .

Para obtener más información acerca de las confianzas directas entre dominios, consulte el tema donde se describe cuándo se debe crear una confianza directa http://go.microsoft.com/fwlink/?LinkId=107061, puede estar en inglés .

Para obtener más información sobre la implementación del dominio raíz del bosque, consulte el tema que trata acerca de la implementación de un dominio raízdel bosque de Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89028, puede estar en inglés .
















Para obtener más información acerca de la protección de los controladores de dominio, consulte la guía de procedimientos recomendados para proteger lasinstalaciones de Active Directory de Windows Server http://go.microsoft.com/fwlink/?LinkId=28521, puede estar en inglés .

Para obtener más información sobre la implementación de dominios regionales, consulte el tema que trata sobre la implementación de dominios regionales deWindows Server 2008 http://go.microsoft.com/fwlink/?LinkId=89029, puede estar en inglés .

Para obtener más información acerca del funcionamiento del almacenamiento en caché de la pertenencia al grupo universal, consulte el tema que trata acercadel funcionamiento del catálogo global http://go.microsoft.com/fwlink/?LinkId=107063, puede estar en inglés .

Para obtener más información sobre cómo se crean objetos de sitio, consulte el tema que trata acerca de la creación de un sitio http://go.microsoft.com/fwlink/?LinkId=107067, puede estar en inglés .

Para obtener más información sobre cómo se crean objetos de subred, consulte el tema que trata acerca de la creación de una subred http://go.microsoft.com/fwlink/?LinkId=107068, puede estar en inglés .

Para obtener más información sobre cómo se usa el complemento Sitios y servicios de Active Directory para deshabilitar la opción Enlazar todos los vínculos asitios, consulte el tema que trata acerca de la habilitación y deshabilitación de puentes de vínculos a sitios http://go.microsoft.com/fwlink/?LinkId=107073,puede estar en inglés .

Para obtener información sobre cómo administrar la replicación a través de firewalls, consulte la documentación sobre Active Directory en redes segmentadaspor firewalls http://go.microsoft.com/fwlink/?LinkId=37928, puede estar en inglés .

Para obtener más información acerca de las características de los controladores de dominio de sólo lectura RODC , consulte el tema sobre AD DS que trataacerca de los controladores de dominio de sólo lectura http://go.microsoft.com/fwlink/?LinkID=106616, puede estar en inglés .

Para obtener más información acerca de cómo implementar un RODC, consulte la Guía paso a paso para controladores de dominio de sólo lectura http://go.microsoft.com/fwlink/?LinkID=92728, puede estar en inglés .

© 2015 Microsoft

Apéndice A: Ubicaciones y prefijos de subredActualizado: abril de 2008


La tabla siguiente puede ayudarle a enumerar los prefijos de subred IP versión 6 IPv6 cuando diseñe la topología del sitio de los Servicios de dominio deActive Directory AD DS de Windows Server 2008.

Ubicación Prefijo de subred de la red

© 2015 Microsoft














Apéndice B: no usar un sitio de posposición como estrategia derecuperación ante desastresActualizado: octubre de 2008

Se aplica a: Windows Essential Business Server, Windows SBS 2003, Windows SBS 2008, Windows Server 2000, Windows Server 2003, Windows Server 2003 R2,Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Server 2008, Windows Server 2008 R2

Un "sitio de posposición" es un sitio de Active Directory que está configurado con una latencia de replicación. Por ejemplo, es probable que el sitio se repliquesolamente un día de la semana. Microsoft admite una latencia de replicación hasta el equivalente a la duración del marcador de exclusión del bosque deActive Directory, que es de 180 días de forma predeterminada. En este caso, un sitio de posposición es simplemente un sitio obsoleto en comparación con los datosque se guardan en la mayoría de las réplicas.

Algunos usuarios consideran que un sitio de posposición, con un "controlador de dominio casi sin conexión", se puede usar para recuperar los objetos eliminados deforma accidental más rápidamente al evitar la restauración de los controladores de dominio afectados a partir de las copias de seguridad. Algunas organizaciones hanincluido sitios de posposición como parte de sus estrategias de recuperación ante desastres.

No obstante, Microsoft no admite el uso de un sitio de posposición como estrategia de recuperación ante desastres. No se recomienda a las organizacionesimplementar un sitio de posposición como única solución de recuperación ante desastres. En caso de que implementen un sitio de posposición para este propósito, loharán bajo su propio riesgo.

En concreto, las revisiones y los Service Packs, así como los productos de supervisión, como Microsoft Operations Manager MOM yMicrosoft System Center Operations Manager, no reconocen el estado de un controlador de dominio casi sin conexión que se diferencia mediante la replicación enfuncionamiento y no mediante los equipos cliente que no usan los servicios del servidor. Microsoft no garantiza que nuestros productos de mantenimiento y

supervisión no vuelvan a habilitar los servicios de Netlogon y el centro de distribución de claves KDC

en un sitio de posposición. Además, otros productos deMicrosoft, como Exchange Server, no están diseñados para funcionar en un sitio de posposición y es posible que no funcionen correctamente con los controladores dedominio de un sitio de posposición.

A continuación se indican algunos puntos adicionales que se deben tener en cuenta si la organización decide implementar un sitio de posposición, incluso después dereconocer que Microsoft no admite el uso de un sitio de posposición como estrategia de recuperación ante desastres:

No está garantizado que un sitio de posposición permanezca intacto ante un desastre, como la eliminación en masa de objetos de forma accidental.

Si el desastre no se detecta a tiempo antes de que se produzca la replicación, el problema se replica en el sitio de posposición, y el sitio de posposición no sepuede usar para deshacer el desastre.

Por lo tanto, los administradores deben actuar de inmediato cuando se produce un desastre: se debe deshabilitar la replicación de entrada y salida, y no se debeusar el comando repadmin /force.

La replicación a partir de un sitio de posposición podría tener consecuencias irrecuperables.

Debido a que un sitio de posposición contiene datos obsoletos, su uso como origen de la replicación podría conducir a la pérdida de datos, en función de lacantidad de latencia por ejemplo, si la latencia supera la duración del marcador de exclusión entre el evento de desastre y la última replicación en el sitio deposposición.

Si se produce algún error durante la recuperación a partir de un sitio de posposición, podría ser necesaria una recuperación de bosque para revertir los cambios

Un sitio de posposición supone amenazas de seguridad en el entorno corporativo.

Por ejemplo, cuando un empleado cesa sus actividades en una organización, la cuenta de usuario del empleado se elimina inmediatamente de los Servicios dedominio de Active Directory AD DS en el sitio principal, pero la cuenta puede permanecer activa en el sitio de posposición. Si los controladores de dominio delsitio de posposición permiten el inicio de sesión es decir, Netlogon no está deshabilitado , esto podría dar lugar a que los usuarios no autorizados tenganacceso a los recursos corporativos.

Configurar e implementar un sitio de posposición requiere de mucha consideración:

Un administrador debe decidir el número de sitios de posposición que se implementarán en un bosque. Cuantos más dominios haya con sitios de posposición,mayores probabilidades habrá de que un dominio pueda recuperarse de un desastre replicado. No obstante, esto también puede significar mayores costos demantenimiento y hardware.

Un administrador debe decidir la cantidad de latencia. Cuanto más corta sea la latencia, más actualizados y útiles serán los datos del sitio de posposición. Noobstante, esto también significa que los administradores deben actuar rápidamente para detener la replicación en el sitio de posposición cuando se produce undesastre.

Esta lista de consideraciones no es exhaustiva, y puede que haya otros problemas con la implementación de sitios de posposición como estrategia de recuperación antdesastres. Algunas organizaciones que implementan sitios de posposición como parte de una estrategia de recuperación ante desastres podrían recurrir a varias formade mitigar estos problemas. Por ejemplo, una organización podría implementar sitios de posposición escalonados para intentar solucionar el problema con la latenciade replicación o hacer uso de la virtualización para minimizar los costos de mantenimiento y hardware. Pero como Microsoft siempre recomienda encarecidamente, lamejor forma de prepararse para un funcionamiento incorrecto de Active Directory es realizar una copia de seguridad de los controladores de dominio con frecuencia, ycomprobar estas copias de seguridad con regularidad a través de restauraciones de prueba. Un sitio de posposición no reemplaza las copias de seguridad.




Aunque Microsoft no admite el uso de un sitio de posposición como estrategia de recuperación ante desastres, lo siguiente se seguirá admitiendo:

Se admiten los sitios de replicación retrasados. Por ejemplo, puede configurar un sitio para replicarlo en una programación personalizada a fin de reducir loscostos de uso de la red de área extensa WAN o de reservar el uso de vínculos WAN para otras aplicaciones. Este sitio de replicación retrasado no se debe usarpara restaurar datos de Active Directory o revertir cambios recientes.

Se admite la restauración de objetos de forma autoritativa en cualquier controlador de dominio arbitrario de un dominio.

Se admite la deshabilitación del registro de las entradas del Sistema de nombres de dominio DNS específicas del registro de recurso de servicio SRV dedominio que apuntan a un sitio determinado.

Se admite la deshabilitación de la replicación en su totalidad o el apagado de los controladores de dominio durante períodos que no superen la duración del

marcador de exclusión del bosque de un controlador de dominio determinado o de todos los controladores de dominio de un sitio.

Para ver datos de Active Directory anteriores, considere la posibilidad de usar instantáneas de Windows Server 2008. Para obtener más información, vea la Guía paso apaso para usar la herramienta de montaje de bases de datos de Active Directory http://go.microsoft.com/fwlink/?LinkID=132577 .

Para recuperar los objetos eliminados de forma accidental, use la papelera de reciclaje de Active Directory, una nueva característica incluida en Windows Server 2008 R2Para obtener más información, vea la guía paso a paso de la papelera de reciclaje de Active Directory http://go.microsoft.com/fwlink/?LinkID=139659, puede estar eninglés .

Consulte también



Documents

Guia de Implementacion AD