2. Antes de instalar el rol de Active Directory Domain Server
en un servidor y promoverlo a servidor de dominio,
tenemos que planear la infraestructura de Active
Directory.
Tenemos que tener decidido el nombre del dominio y de
DNS. Un dominio solo puede tener un nombre de DNS.
Si el dominio que vamos a crear va a tener controladores
de dominio de versiones anteriores a Windows Server
2008. En ese caso tendremos que configurar bien el
“nivel funcional”.
3. Detallar como se implementara el DNS para
soportar Active Directory. Es una buena práctica
implementar el DNS para nuestros dominios
Windows utilizando el servicio DNS de Windows.
La configuración IP para el controlador de
dominio. Por supuesto una IP estática y los
valores de la máscara subred. También
deberemos configurar los servidores DNS para
que lleve a cabo resolución de nombres.
El nombre y contraseña de una cuenta de
administrador. La contraseña debe existir y
cuanto más compleja, mejor. Pero eso sí, que
podamos recordarla.
4. El el apartado de “Roles Summary” hacemos click en “Add
Roles”.
5. Este “Add Roles Wizard” es muy intuitivo.
Pulsamos en “next”.
6. A continuación tenemos una lista de los roles
que le podemos añadir al servidor.
7. Activamos la casilla de “Active
Directory Domain Services”.
8. Podemos leer lo que nos muestra para
entenderlo un mejor.
9. Después de pulsar en “Install”, comienza la
instalación de AD DS.
10. Al finalizar, nos muestra un resumen de la
instalación que ha realizado.
11. Volvemos al “Server Manager” y ahora podemos
ver que hay un Rol instalado.
12. En la parte izquierda, expandimos “Roles” y seleccionamos
“Active Directory Domain Services” para que nos muestre las
características del mismo:
Así, ya tenemos instalados los Servicios de Dominio del Directorio Activo.
13. Active Directory (AD) es el término que
usa Microsoft para referirse a su implementación
de servicio de directorio en una red
distribuida de computadores. Utiliza distintos
protocolos
(principalmente LDAP, DNS, DHCP, ...).
Su estructura jerárquica permite mantener una
serie de objetos relacionados con componentes
de una red, como usuarios, grupos de usuarios,
permisos y asignación de recursos y políticas de
acceso.
Active Directory permite a los administradores
establecer políticas a nivel de empresa, desplegar
programas en muchos ordenadores y aplicar
14. Active Directory está basado en una serie de
estándares llamados X.500, aquí se encuentra una
definición lógica a modo jerárquico.
Dominios y subdominios se identifican utilizando la
misma notación de las zonas DNS, razón por la cual
Active Directory requiere uno o más servidores DNS
que permitan el direccionamiento de los elementos
pertenecientes a la red, como por ejemplo el listado
de equipos conectados; y los componentes lógicos
de la red, como el listado de usuarios.
Un ejemplo de la estructura descendente (o
herencia), es que si un usuario pertenece a un
15. Active Directory se basa en una estructura jerárquica
de objetos. Los objetos se enmarcan en tres grandes
categorías. recursos (p.ej. impresoras), servicios
(p.ej. correo electrónico), y usuarios (cuentas, o
usuarios y grupos). El AD proporciona información
sobre los objetos, los organiza, controla el acceso y
establece la seguridad.
Cada objeto representa una entidad ya sea un
usuario, un equipo, una impresora, una aplicación o
una fuente compartida de datos y sus atributos. Los
objetos pueden contener otros objetos. Un objeto
está unívocamente identificado por su nombre y
tiene un conjunto de atributos las características e
información que el objeto puede contener definidos
16. Su funcionamiento es similar a otras
estructuras de LDAP (Lightweight Directory
Access Protocol), ya que este protocolo viene
implementado de forma similar a una base de
datos, la cual almacena en forma centralizada
toda la información relativa a un dominio de
autenticación. Una de sus ventajas es la
sincronización presente entre los distintos
servidores de autenticación de todo el
dominio.
17. Confianzas transitivas.
Las Confianzas transitivas son confianzas
automáticas de dos vías que existen entre dominios
en Active Directory.
Confianzas explícitas
Las Confianzas explícitas son aquellas que
establecen las relaciones de forma manual para
entregar una ruta de acceso para la autenticación.
Confianza de Acceso Directo
La Confianza de acceso directo es, esencialmente,
una confianza explícita que crea accesos directos
entre dos dominios en la estructura de dominios.
Confianza entre bosques
La Confianza entre bosques permite la
interconexión entre bosques de dominios, creando
relaciones transitivas de doble vía.
18. Los direccionamientos a recursos de Active Directory
son estándares con la Convención Universal de
Nombres (UNC), Localizador Uniforme de Recursos
(URL) y Nombres de LDAP.
Cada objeto de la red posee un nombre de
distinción (en inglés, Distinguished name (DN)), así
una impresora llamada Imprime en una Unidad
Organizativa (en inglés, Organizational Units, OU)
llamada Ventas y un dominio foo.org, puede
escribirse de las siguientes formas para ser
direccionado:
En DN
sería CN=Imprime,OU=Ventas,DC=foo,DC=org,
donde
◦ CN es el nombre común (en inglés, Common Name)
19. A diferencia del anterior sistema de
administración de dominios de Windows NT
Server, que proveía únicamente el dominio
de administración, Active Directory permite
también crear estructuras jerárquicas de
dominios y subdominios, facilitando la
estructuración de los recursos según su
localización o función dentro de la
organización a la que sirven. Otra diferencia
importante es el uso de estándares como
X.500 y LDAP para el acceso a la
20. Las interfaces de servicio de Active Directory
(ADSI) entregan al programador una interfaz
orientada a objetos, facilitando la creación de
programas de directorios mediante algunas
herramientas compatibles con lenguajes de alto
nivel, como Visual Basic, sin tener que lidiar con
los distintos espacios de nombres.
Mediante las ADSI se permite crear programas
que realizan un único acceso a varios recursos
del entorno de red, sin importar si están
basados en LDAP u otro protocolo. Además,
permite generar secuencias de comandos para
los administradores.
También se puede desarrollar la Interfaz de
21. Para crear un dominio hay que cumplir, por lo
menos, con los siguientes requisitos
recomendados:
Tener cualquier versión Server de Windows
2000, 2003 (Server, Advanced Server o
Datacenter Server) o Windows 2008.
Protocolo TCP/IP instalado y configurado
manualmente, es decir, sin contar con una
dirección asignada por DHCP,
Tener un servidor de nombre de DNS, para
resolver la dirección de los distintos recursos
físicos presentes en la red
Poseer más de 250 MB en una unidad de disco
22. Samba es un programa de código libre, que
tiene disponible un controlador de dominios
compatible con Windows NT 4, Windows
2003 y Windows 2008.
El programa de código libre Mandriva Directory
Server ofrece una interfaz web para manejar el
controlador de dominios de Samba y el servicio
de directorios de LDAP.
Otra alternativa es Novell eDirectory, que es
Multiplataforma: se puede correr sobre
cualquier sistema operativo: Linux, AIX, Solaris,
Novell Netware, UNIX e integra LDAP v.3 Nativo.
Sun Java ES Directory Server y OpenDS son otras
alternativas, el primero basado en java y el
23. Para llevar a cabo la configuración de red, se utilizará
“Initial Configuration Tasks” y en este caso hacemos “click”
en “Configure Networking” dentro del primer apartado:
“Provide Computer Information“.
Si no nos sale esta ventana al inicio, podemos abrirla
mediante la consola de comandos y utilizar el
comando: oobe.exe.
24. Seleccionamos “Local Area Connection” y en la barra
de herramientas elegimos “change settings of this
connection“.
Permitimos,
permitimos…
25. A continuación vemos la ventana de “Local Area
Connection Propieties“. Vamos, las propiedades de la
configuración de la conexión de red de área local,
para entendernos.
Nos posicionamos en “Internet Protocol Version 4
(TCP/IPv4)” y volvemos pulsamos el botón de
“propieties“.
26. Ahora la tenemos sin configurar, como se
puede observar en la captura siguiente:
27. Como nosotros estamos configurando el servidor para
hacer pruebas, no lo vamos a configurar ni en una red
empresarial ni por DHCP ni nada de eso. La red que
estamos montando es privada, solo se verán entre los
equipos que utilizaremos de pruebas.
A continuación podemos ver la configuración manual
propuesta, o utilizar otra que guste más.
28. Al pulsar en “Ok“, vemos el resultado en la
pantalla de “Initial Configuration Tasks“, en el
apartado de Networking. Ahora aparecera
configurada.
29. Como siempre, cuando hacemos un cambio en
la configuración de Windows que es un poco
importante, nos pedirá que reiniciemos el
equipo.
30. Cuando volvemos a iniciar el servidor y por lo
que sea no tenemos disponible la ventana “Initial
configuration Tasks” (seguramente hayamos
activado “do not show this windows at logon“)
podemos sacarla desde la consola de comandos
utilizando “Oobe.exe”.