04 chapter 1 planning an active directory deployment project

C A P Í T U L O 1

Al implementar el servicio de directorio de Active Directory® de Microsoft® Windows® Server 2003 en el

entorno, podrá beneficiarse del modelo centralizado de administración delegada y de la capacidad de inicio

de sesión único que ofrece Active Directory. Cuando haya identificado el entorno actual y los objetivos de

implementación en la empresa, podrá crear una estrategia de implementación de Active Directory que

cumpla las necesidades de la organización. Las pruebas de implementación en un entorno de laboratorio

aislado y el perfeccionamiento del proceso en determinadas áreas piloto del entorno de producción

contribuirán a garantizar una implementación sin complicaciones en toda la organización.

En este capítulo:

Información general sobre la planeación de un proyecto de implementación de Active Directory .......... 4

Determinación de la estrategia de diseño e implementación de Active Directory ...................................... 8

Pruebas y confirmación del proceso de implementación ..............................................................................19

Recursos adicionales ...........................................................................................................................................27

Información relacionada

Para obtener más información sobre planeación, pruebas y desarrollo piloto de un proyecto

de implementación, consulte las secciones “Diseño de un entorno de pruebas” y “Planeación

y pruebas de la implementación de aplicaciones”, incluidas en el apartado Planeación,

pruebas y desarrollo piloto de proyectos de implementación de este kit.

Para obtener más información sobre la implementación del Sistema de nombres de dominio

(DNS) de Windows Server 2003, consulte “Implementación de DNS”, en el apartado

Implementación de servicios de red de este kit.

Para obtener más información sobre la directiva de grupo, consulte la Guía de servicios

distribuidos del Kit de recursos de Microsoft® Windows® Server 2003 (puede estar en

inglés) o consulte la Guía de servicios distribuidos en Internet, en la dirección

http://www.microsoft.com/reskit (puede estar en inglés).

Plan de un proyecto de implementación de Active Directory

4 Capítulo 1 Plan de un proyecto de implementación de Active Directory

Información general sobre la planeación de un proyecto de implementación de Active Directory En los sistemas operativos Microsoft® Windows® Server 2003 Standard Edition, Windows® Server 2003

Enterprise Edition y Windows® Server 2003 Datacenter Edition, Active Directory permite a las

organizaciones simplificar la administración de usuarios y recursos al tiempo que posibilita la creación de

una infraestructura escalable, segura y fácil de administrar. Puede utilizar Active Directory para administrar

la infraestructura de red, por ejemplo, en entornos de sucursales, de Microsoft® Exchange Server y de varios

bosques.

Aunque las instrucciones proporcionadas en este libro son adecuadas para prácticamente cualquier

implementación de administración del sistema operativo de red (NOS), estas instrucciones se han probado y

validado específicamente en entornos con menos de 100.000 usuarios, un máximo de 1.000 sitios y

conexiones de red de un mínimo de 28,8 Kbps. Si su entorno no se ajusta a estos criterios, considere la

posibilidad de recurrir a una empresa de consultoría con experiencia en la implementación de Active

Directory en entornos más complejos.

La implementación de Active Directory ofrece las siguientes ventajas a su organización:

Administración general y de recursos simplificada. Podrá delegar la administración en

todos los niveles de la empresa y centralizarla mediante la directiva de grupo.

Seguridad de red mejorada e inicio de sesión único para los usuarios. Active Directory

admite varios protocolos de autenticación y certificados X.509, además de ofrecer

compatibilidad con tarjetas inteligentes.

Interoperabilidad con otros servicios de directorio. Active Directory proporciona

interfaces abiertas basadas en estándares que interoperan con otros servicios de directorio y

aplicaciones, por ejemplo, con programas de correo electrónico.

Características que reducen los costos de administración, incrementan la seguridad y

ofrecen funcionalidad ampliada. Las particiones de directorios de aplicaciones permiten

configurar parámetros de replicación de datos específicos a las aplicaciones en controladores

de dominio. La elevación de los niveles funcionales de dominio o bosque a Windows

Server 2003 le permitirá:

cambiar el nombre de dominios y controladores de dominio.

establecer confianzas de bosques bidireccionales.

reestructurar bosques.

mejorar la replicación.

eliminar algunas limiaciones en entornos con un gran volumen de sitios.

¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 5

Aunque las estrategias de diseño e implementación de Active Directory de Windows Server 2003

presentadas en este libro se basan en pruebas extensas de laboratorio y programa piloto, así como en

implementaciones satisfactorias en entornos de cliente, es probable que sea necesario personalizar el diseño y

la implementación de Active Directory para cumplir los requisitos de entornos complejos específicos. Para

obtener más información sobre la implementación de Active Directory en entornos de sucursales, consulte la

Guía de planeación de Active Directory en sucursales (puede estar en inglés). Para obtener más información

sobre la implementación de Active Directory en entornos de Exchange, consulte Recomendaciones para el

diseño de Active Directory con Exchange 2000 (puede estar en inglés). Para obtener más información sobre

la implementación de Active Directory en entornos de varios bosques, consulte Consideraciones sobre varios

bosques (puede estar en inglés). Para descargar estas guías, use el vínculo de Active Directory en la página

de recursos web en http://www.microsoft.com/windows/reskits/webresources y haga clic en “Guías de

planeación e implementación” (puede estar en inglés).

Este libro también proporciona diagramas de flujo, ayudas para trabajos y ejemplos de implementación que

le ayudarán a optimizar el diseño y la implementación de Active Directory en su organización.

Proceso de planeación de un proyecto de implementación de Active Directory Al planear un proyecto de implementación de Active Directory de Windows Server 2003, determine primero

su estrategia de diseño e implementación y, luego, realice las pruebas necesarias para validar el diseño y la

implementación. La figura 1.1 muestra el proceso de planeación de un proyecto de implementación de Active

Directory.

Figura 1.1 Planeación de un proyecto de implementación de Active Directory


Información general sobre Active Directory Antes de diseñar e implementar Active Directory de Windows Server 2003, familiarícese con el ciclo del

proyecto de implementación de Active Directory y con los términos relacionados con Active Directory

requeridos para el proceso de implementación de Active Directory de Windows Server 2003.

Ciclo del proyecto de implementación de Active Directory Un proyecto de implementación de Active Directory se compone de tres fases: diseño, implementación y

operaciones. El equipo encargado de la primera fase crea un diseño de la estructura lógica de Active

Directory con una adaptación óptima a las necesidades de cada división de la empresa que se disponga a

utilizar el servicio de directorio. Una vez que se ha aprobado este diseño, el equipo de implementación se

encarga de probarlo en un entorno de laboratorio y, seguidamente, lo implementa en el entorno de

producción. La realización de las pruebas queda al cargo del equipo de implementación y los resultados

pueden afectar a la fase de diseño, por lo que esta es una actividad intermedia que abarca ambas fases de

diseño e implementación. Cuando la implementación ha finalizado, el equipo de operaciones se ocupa del

mantenimiento del servicio de directorio.

Las pruebas en laboratorio y la implementación de un programa piloto continúan mientras dure la

implementación de Active Directory.

La figura 1.2 muestra la relación entre las fases del ciclo del proyecto de Active Directory con referencia a la

duración del proyecto de implementación.

Figura 1.2 Relación entre las fases del ciclo del proyecto de Active Directory


Términos y definiciones Los términos siguientes son importantes a la hora de entender el proceso de implementación de Active

Directory de Windows Server 2003.

Dominio de Active Directory

Unidad administrativa en una red de equipos que simplifica la administración mediante la agrupación de

varias capacidades, por ejemplo:

Identidad de usuarios en toda la red. Con los dominios, sólo es necesario crear las

identidades de usuario una vez. Es posible hacer referencia a estas identidades desde

cualquier equipo unido al bosque donde reside el dominio. Los controladores de dominio

que forman un dominio se utilizan para almacenar cuentas y credenciales de usuario (como

contraseñas y certificados) de un modo seguro.

Autenticación. Los controladores de dominio proporcionan servicios de autenticación para

usuarios y ofrecen datos adicionales de autorización, por ejemplo, relacionados con las

pertenencias a grupos de usuarios. Estos servicios pueden ser útiles para controlar el acceso a

los recursos en la red.

Relaciones de confianza. Los dominios extienden los servicios de autenticación a usuarios

de otros dominios en su propio bosque mediante confianzas bidireccionales automáticas, así

como a usuarios en dominios de otros bosques mediante confianzas externas o confianzas de

bosque creadas manualmente.

Administración de directivas. El dominio es un ámbito de las directivas administrativas,

por ejemplo, sobre reglas de complejidad y reutilización de contraseñas.

Replicación. El dominio define una partición del árbol de directorios que proporciona la

información adecuada para proporcionar los servicios requeridos y que se replica entre

controladores de dominio. Así, todos los controladores de dominio son elementos del mismo

nivel en un dominio y se administran como una sola unidad.

Bosque de Active Directory

Colección de uno o varios dominios de Active Directory que comparten la estructura lógica, el esquema de

directorios y la configuración de red, además de relaciones automáticas de confianza transitivas y

bidireccionales. Cada bosque constituye una instancia única del directorio y define un límite de seguridad.

Nivel funcional de Active Directory

Parámetro de configuración en Active Directory de Windows Server 2003 que habilita características

avanzadas de Active Directory en todo el dominio o todo el bosque.


Migración

Proceso de transferencia de un objeto de un dominio de origen a un dominio de destino, a la vez que se

conservan o se modifican las características del objeto para que resulte accesible en el dominio nuevo.

Reestructuración de dominios

Proceso de migración que implica la modificación de la estructura de dominios de un bosque. La

reestructuración de dominios puede conllevar la consolidación o la inclusión de dominios, y puede tener

lugar entre bosques o en un mismo bosque.

Consolidación de dominios

Proceso de reestructuración que implica la eliminación de dominios de Microsoft® Windows NT® 4.0 o de

Active Directory al combinar su contenido con el contenido de otros dominios.

Actualización de dominios

Proceso de actualización del servicio de directorio de un dominio a una versión posterior del servicio de

directorio. Esto incluye la actualización del sistema operativo en todos los controladores de dominio y la

elevación del nivel funcional de Active Directory donde corresponda.

Actualización local de dominios

Proceso de actualización del sistema operativo en todos los controladores de dominio basados en

Windows NT 4.0 o en Microsoft® Windows® 2000 y de elevación del nivel funcional del dominio si

corresponde, sin modificar la ubicación de los objetos de dominio, como usuarios y grupos.

Dominio regional

Dominio secundario creado según una región geográfica concreta para optimizar el tráfico de replicación.

Determinación de la estrategia de diseño e implementación de Active Directory Cuando haya realizado una evaluación detallada del entorno actual y haya identificado los objetivos de

implementación de Active Directory en la empresa, podrá determinar la estrategia de implementación que se

adaptará de forma óptima a su entorno. La figura 1.3 muestra los pasos de definición del proceso de

implementación de Active Directory.


Figura 1.3 Determinación de la estrategia de diseño e implementación

La estrategia de implementación de Active Directory que aplique variará en función de la configuración de

red existente. Por ejemplo, si actualmente la organización utiliza Windows 2000, bastará con que actualice

el sistema operativo a Windows Server 2003. Sin embargo, si la organización se basa en Windows NT 4.0 o

en un sistema operativo de red ajeno a Windows, tendrá que diseñar una infraestructura de Active Directory

antes de realizar la actualización a Windows Server 2003.

El proceso de implementación podría requerir la reestructuración de dominios existentes, ya sea en un mismo

bosque o entre bosques de Active Directory. Es posible que necesite reestructurar los dominios existentes

después de implementar Active Directory de Windows Server 2003 o cuando se produzcan cambios

organizativos o adquisiciones corporativas. También puede reestructurar dominios de un entorno de

Windows NT 4.0 a un bosque de Active Directory con el fin de actualizar el entorno de producción a

Windows Server 2003.


La tabla 1.1 enumera los posibles puntos de inicio y objetivos de una implementación de Active Directory de

Windows Server 2003, así como los pasos de implementación correspondientes y los capítulos de este libro

que se aplican a cada uno.

Tabla 1.1 Entorno actual, objetivos y capítulos correspondientes para la implementación

de Active Directory de Windows Server 2003

Entorno Objetivos de implementación

Capítulos correspondientes

Nueva

organización

Crear diseño de

bosques, dominios, DNS

y unidades

organizativas.

Capítulo 2: “Diseño de la estructura

lógica de Active Directory”

Crear un diseño de sitio

y de vínculo a sitios.

Capítulo 3: “Diseño de la topología

de sitios”

Evaluar los requisitos de

hardware.

Capítulo 4: “Planeación de la

capacidad de los controladores de

dominio”

Implementar el dominio

raíz de bosque.

Capítulo 6: “Implementación del

dominio raíz de bosque de Windows

Server 2003”

Implementar dominios

regionales.

Capítulo 7: “Implementación de

dominios regionales de Windows

Server 2003”

Elevar los niveles

funcionales de dominio y

bosque.

Capítulo 5: “Habilitación de

características avanzadas de Active

Directory de Windows Server 2003”

Windows NT 4.0

Crear diseño de

bosques, dominios, DNS

y unidades

organizativas.



Crear un diseño de sitio

y de vínculo a sitios.


de sitios”

Evaluar los requisitos de

hardware.

Capítulo 4: “Planeación de la

capacidad de los controladores de

dominio”

Implementar el dominio

raíz de bosque.

Capítulo 6: “Implementación del

dominio raíz de bosque de Windows

Server 2003”

Implementar dominios

regionales.

Capítulo 7: “Implementación de

dominios regionales de Windows

Server 2003”


Realizar actualización

local de dominios de

Windows NT 4.0 que

continuarán formando

parte de la estructura de

dominios de Active

Directory.

Capítulo 8: ““Actualización de

dominios de Windows NT 4.0 a

Active Directory de Windows

Server 2003”

Reestructurar otros

dominios de

Windows NT 4.0.

Capítulo 10: “Reestructuración de

dominios de Windows NT 4.0 en un

bosque de Active Directory”

Elevar los niveles


bosque.




Windows 2000

Actualizar los

controladores de

dominio de

Windows 2000.

Capítulo 9: “Actualización de

dominios de Windows 2000 a

dominios de Windows Server 2003”

Elevar los niveles


bosque.





La tabla 1.2 enumera los objetivos y los capítulos correspondientes aplicables a la reestructuración de

dominios, ya sea entre bosques o en un mismo bosque.

Tabla 1.2 Objetivos y capítulos correspondientes para la reestructuración de dominios de

Active Directory

Acción Objetivos de implementación Capítulos correspondientes

Reestructurar

dominios en

un mismo

bosque

Crear diseño de bosques,

dominios, DNS y unidades

organizativas.



Crear un diseño de sitio y de

vínculo a sitios.


de sitios”

Usar una herramienta como la

Herramienta de migración

Active Directory (ADMT) para

reestructurar dominios en un

mismo bosque.


dominios de Active Directory en un

mismo bosque”

Reestructurar

dominios

entre

bosques

Crear diseño de bosques,

dominios, DNS y unidades

organizativas.



Crear un diseño de sitio y de

vínculo a sitios.


de sitios”

Usar una herramienta como

ADMT para reestructurar

dominios entre bosques.


dominios de Active Directory entre

bosques”

Determinación de los requisitos de diseño de Active Directory Si su entorno de red opera actualmente sin un servicio de directorio o, si necesita modificar su infraestructura

actual de Active Directory, complete el proceso de diseño para la infraestructura de Active Directory. Debe

completar un diseño exhaustivo de la estructura lógica de Active Directory antes de implementar Active

Directory. La preparación rigurosa del diseño de Active Directory es fundamental para conseguir una

implementación rentable.

Diseño de la estructura lógica

Antes de implementar Active Directory de Windows Server 2003, debe planear y diseñar la estructura lógica

de Active Directory para el entorno. La estructura lógica de Active Directory determina la organización de

los objetos de directorio y proporciona un método eficaz para la administración de cuentas de red y recursos

compartidos. El diseño de la estructura lógica de Active Directory conlleva la definición de una parte

considerable de la infraestructura de red de la organización.

Para diseñar la estructura lógica de Active Directory, determine el número de bosques que requiere la

organización y, a continuación, cree diseños para dominios, DNS y unidades organizativas.


Diseño de la topología de sitios

Cuando ya tenga el diseño de la estructura lógica para la infraestructura de Active Directory, deberá diseñar

la topología de sitios para la red. La topología de sitios es una representación lógica de la red física de la

organización. Contiene información sobre la ubicación de sitios de Active Directory, los controladores de

dominio de Active Directory en cada sitio y los vínculos a sitios que admiten la replicación de Active

Directory entre sitios.

Planeación de la capacidad de los controladores de dominio

Con el fin de garantizar el rendimiento eficaz de Active Directory, deberá determinar el número adecuado de

controladores de dominio para cada sitio y comprobar que cumplen los requisitos de hardware de Windows

Server 2003. La planeación meticulosa de capacidades con referencia a los controladores de dominio evitará

que se subestimen los requisitos de hardware, lo que podría influir de forma negativa en el rendimiento de los

controladores de dominio y el tiempo de respuesta de las aplicaciones.

Características avanzadas de Active Directory

Los niveles funcionales de Active Directory de Windows Server 2003 permiten habilitar características

nuevas, por ejemplo, la replicación mejorada de pertenencia a grupos, la desactivación y la redefinición de

atributos y clases en el esquema y de relaciones de confianza de bosques que requieren la ejecución de

Windows Server 2003 por parte de todos los controladores de dominio en el dominio o el bosque

participante. Parte del proceso de diseño de Active Directory implica la identificación de los niveles

funcionales de dominio y bosque que requiere la organización. Para implementar estas características de

Active Directory de Windows Server 2003 en la empresa, primero deberá implementar Active Directory de

Windows Server 2003 y, seguidamente, elevar el bosque y el dominio al nivel funcional adecuado.

Determinación de los requisitos de implementación de Active Directory La estructura del entorno existente determina la estrategia para la implementación de Active Directory de

Windows Server 2003. Si se dispone a crear un entorno de Active Directory y no cuenta con una estructura

de dominios existente, deberá completar el diseño de Active Directory antes de empezar a crear el entorno.

Después, podrá implementar un nuevo dominio raíz de bosque y aplicar el resto de la estructura de dominios

de acuerdo con el diseño.

Raíz de bosque de Windows Server 2003 Para implementar Active Directory, primero es necesario implementar un dominio raíz de bosque de

Windows Server 2003. Esto se consigue mediante la configuración de DNS, la implementación de

controladores de dominio raíz de bosque, la configuración de la topología de sitios para el dominio raíz de

bosque y la configuración de funciones de maestro de operaciones.


Dominios regionales de Windows Server 2003 Si se dispone a crear uno o varios dominios regionales en un bosque de Windows Server 2003, deberá

implementar cada dominio regional posteriormente a la implementación del dominio raíz de bosque. Para

hacerlo, es necesario delegar una zona DNS e implementar controladores de dominio para cada dominio

regional.

Actualización de dominios de Windows NT 4.0 a Windows Server 2003 Cuando haya llevado a cabo una actualización local de dominios de Windows NT 4.0, podrá empezar a usar

Active Directory sin realizar modificación alguna en la estructura de dominios existente.

De forma alternativa, si no desea conservar la estructura de dominios existente, puede reestructurar los

dominios de Windows NT 4.0 en un bosque de Windows Server 2003. Para obtener más información sobre

la reestructuración de dominios de Windows NT 4.0 en un bosque de Windows Server 2003, consulte la

sección "Determinación de requisitos de reestructuración", incluida más adelante en este capítulo.

Actualización de dominios de Windows 2000 a Windows Server 2003 La actualización de dominios de Windows 2000 a dominios de Windows Server 2003 constituye una forma

eficaz y sencilla de aprovechar las características y la funcionalidad adicionales de Windows Server 2003. La

actualización de Windows 2000 a Windows Server 2003 requiere una configuración mínima de la red y tiene

un impacto reducido en las operaciones de usuario.

Determinación de los requisitos de reestructuración Quizás decida reestructurar el entorno existente como parte de la implementación de Active Directory. Antes

de hacerlo, deberá determinar cómo y cuándo se debe llevar a cabo la reestructuración. Las organizaciones

con una estructura de dominios existente basada en Windows NT 4.0 podrían decantarse por la actualización

local de algunos dominios y la reestructuración de otros. Además, es posible que decida reducir la

complejidad del entorno mediante la reestructuración de dominios entre bosques o la reestructuración de

dominios en un mismo bosque con posterioridad a la implementación de Active Directory.

Reestructuración de dominios de Windows NT 4.0 en un bosque de Windows Server 2003 Debido a su escalabilidad superior, un entorno de Active Directory de Windows Server 2003 requiere menos

dominios que un entorno de Windows NT 4.0. En lugar de llevar a cabo la actualización local de los

dominios de Windows NT 4.0, quizás resulte más eficiente consolidar cierto número de dominios pequeños

de recursos y cuentas de Windows NT 4.0 en unos pocos dominios más grandes de Active Directory.


Reestructuración de dominios de Active Directory entre bosques Al reestructurar dominios entre bosques de Windows Server 2003, es posible reducir el número de dominios

en el entorno y, así, reducir la sobrecarga y la complejidad de la administración. Cuando se produce la

migración de objetos entre bosques como parte del proceso de reestructuración, tenemos la existencia

simultánea de los entornos de dominio de origen y de destino. Esto permite revertir al entorno de origen

durante la migración, en caso de ser necesario.

Reestructuración de dominios de Active Directory en un mismo bosque Al reestructurar dominios de Windows Server 2003 en un mismo bosque de Windows Server 2003, puede

consolidar la estructura de dominios y, por lo tanto, reducir la sobrecarga y la complejidad de la

administración. A diferencia de lo que ocurre en el proceso de reestructuración de dominios de Windows

Server 2003 entre bosques, al reestructurar dominios en un mismo bosque, las cuentas migradas dejan de

existir en el dominio de origen.

La tabla 1.3 enumera las diferencias entre la reestructuración de dominios entre bosques y en un mismo

bosque.

Tabla 1.3 Diferencias entre la reestructuración de dominios entre bosques y en un mismo

bosque

Consideración de migración

Reestructuración entre bosques

Reestructuración en un mismo bosque

Conservación de objetos

Los objetos se clonan en

lugar de migrarse. El objeto

original permanece en la

ubicación de origen para

mantener el acceso de

usuario a los recursos.

Los objetos se migran y dejan de existir en la

ubicación de origen.

Mantenimiento de historial SID

El mantenimiento del

historial SID es opcional.

Se requiere el historial SID.

Retención de contraseñas

La retención de

contraseñas es opcional.

Las contraseñas se retienen siempre.

Migración de perfiles locales

Deberá usar herramientas

como ADMT para migrar

perfiles locales.

En estaciones de trabajo con Windows 2000 y

versiones posteriores, los perfiles locales se

migran automáticamente porque se conserva el

GUID del usuario. Sin embargo, deberá usar

herramientas como ADMT para migrar perfiles

locales en estaciones de trabajo con

Windows NT 4.0 y versiones anteriores.

Conjuntos cerrados

No es necesario migrar

cuentas en conjuntos

cerrados.

Deberá migrar cuentas en conjuntos cerrados.


Ejemplo: Establecimiento de una estrategia de implementación de Active Directory Para ilustrar el proceso de implementación de Active Directory, los capítulos de este libro presentan el

ejemplo del modo en que una empresa ficticia, Contoso Pharmaceuticals, implementa Active Directory en su

entorno. El entorno de Contoso incluye cuatro dominios; todos ellos ejecutan Active Directory de

Windows 2000. La figura 1.4 muestra la estructura de dominios actual de Contoso.

Figura 1.4 Estructura de dominios de Contoso

Después de revisar el entorno existente e identificar los objetivos de implementación, Contoso estableció la

estrategia de implementación de Active Directory siguiente:

Actualizar los dominios de Windows 2000 a dominios de Windows Server 2003.

Habilitar las características avanzadas de Active Directory mediante la elevación de los

niveles funcionales de dominio y bosque a Windows Server 2003.

Tras actualizar todos los dominios de Windows 2000 a dominios de Windows Server 2003, Contoso

reestructurará el dominio africa.concorp.contoso.com en el mismo bosque para consolidarlo con el dominio

emea.concorp.contoso.com.


La organización Contoso se encuentra en proceso de adquisición de una empresa llamada Trey Research,

que, actualmente, ejecuta un entorno basado en Windows NT 4.0, como muestra la figura 1.5.

Figura 1.5 Entorno actual de Trey Research

Contoso estableció la estrategia de implementación de Active Directory siguiente para la adquisición de Trey

Research:

Diseñar la estructura lógica de Active Directory para crear diseños de bosques, dominios,

DNS y unidades organizativas en el nuevo entorno de Windows Server 2003.

Diseñar la topología de sitios para crear los sitios, los vínculos a sitios y los puentes de

vínculos a sitios requeridos.

Planear la capacidad de los controladores de dominio para determinar los requisitos de

hardware del nuevo entorno de Windows Server 2003.

Implementar trccorp.treyresearch.net como dominio raíz de bosque.

Implementar tres dominios regionales. Diferentes equipos pueden crear estos dominios

simultáneamente.

Actualizar el dominio EAST a Windows Server 2003 para convertirlo en

east.trccorp.treyresearch.net.

Crear dos dominios regionales nuevos de Windows Server 2003 llamados

asia.trccorp.treyresearch.net y west.trccorp.treyresearch.net.

Reestructurar los dominios BOSTON, MAIL-APPS, PROD-APPS y OFFICE-APPS en el

dominio east.trccorp.treyresearch.net de Windows Server 2003 mediante ADMT.

Elevar los niveles funcionales de dominio y bosque a Windows Server 2003.

La figura 1.6 muestra el entorno intermedio para Trey Research.


Figura 1.6 Entorno intermedio para Trey Research

Posteriormente, Contoso determinó que un solo dominio sería más rentable para Europa, Oriente Medio y la

región asiática, de modo que el paso final del proceso de implementación consiste en reestructurar

asia.trccorp.treyresearch.net en el dominio emea.concorp.contoso.com del bosque de Contoso mediante

ADMT.

La figura 1.7 presenta la estructura de dominios para la empresa Contoso después de completar la

adquisición de Trey Research y el proceso de implementación de Active Directory de Windows Server 2003.

Figura 1.7 Entorno final de Contoso y Trey Research


Pruebas y confirmación del proceso de implementación En cualquier implementación de Active Directory, es posible reducir al mínimo el impacto en las operaciones

empresariales habituales mediante la realización de pruebas de suposiciones de diseño y la comprobación del

proceso de implementación en un programa piloto. Según vaya creando el primer borrador del diseño de

Active Directory, empiece a probar y confirmar. La realización de pruebas y la comprobación comienzan en

la fase de diseño y continúan durante las fases de implementación y operaciones.

La figura 1.8 muestra el proceso de pruebas y confirmación del diseño y la implementación de Active

Directory.

Figura 1.8 Pruebas y confirmación del diseño y la implementación de Active Directory

Pruebas de diseño e implementación en un entorno de laboratorio Las pruebas en laboratorio constituyen la primera evaluación del diseño de Active Directory. El proceso

consiste en confirmar las suposiciones realizadas por los arquitectos de diseño.

Cuando esté a punto de completar el primer borrador del diseño de Active Directory, empiece a probar

suposiciones de diseño específicas en el proceso de implementación en un entorno de laboratorio. De este

modo, descubrirá posibles dificultades de diseño que afectan al proceso de implementación y podrá

comunicárselas al equipo de diseño para que corrija los problemas de forma previa la implementación.


Asegúrese de que el entorno del laboratorio de pruebas está aislado del resto de la red de producción de la

empresa y que representa, a escala reducida, la configuración de sistema operativo y hardware de los equipos

de la organización. Incluya en el entorno de laboratorio los controladores de dominio necesarios para

respaldar una muestra representativa del diseño del sitio, incluidos asociados de replicación entre sitios y en

un mismo sitio, vínculos a sitios e intervalos de replicación razonables.

Incluya cuentas de usuario y grupo, y otros recursos designados exclusivamente para las pruebas. Compruebe

que el entorno de pruebas ofrece acceso a configuraciones de prueba de servicios externos, como mainframe

e Internet, según se requiera. Conserve el laboratorio permanentemente para probar procedimientos nuevos y

utilizarlo en sesiones de aprendizaje para el equipo de implementación.

El equipo de implementación puede hacer uso del entorno de laboratorio para identificar los aspectos

específicos de su proceso de implementación y familiarizarse con las herramientas de migración e

implementación utilizadas durante la implementación de Active Directory.

Comúnmente, las pruebas de suposiciones de diseño y las pruebas del proceso de implementación quedan al

cargo de equipos diferentes. La tabla 1.4 enumera las pruebas de laboratorio y los miembros de equipo que

las realizan.

Tabla 1.4 Pruebas de laboratorio y miembros de equipo correspondientes

Proceso de pruebas Pruebas de laboratorio Miembros de equipo

Probar suposiciones

de diseño

Analizar la topología de

sitios y la replicación de

Active Directory.

Equipo de diseño, propietario

de topología de sitios y

equipo de implementación.

Probar compatibilidad de

equipos de escritorio y

aplicaciones.

Equipo de diseño.

Probar proceso de

implementación

Probar recuperación ante

desastres.

Propietario del bosque y


Probar migración de

cuentas y recursos.

Propietario del bosque y


Evaluar delegación,

administración y dirección.

Propietario del bosque.

Pruebas de suposiciones de diseño El equipo encargado del proceso de diseño realiza suposiciones que se integran en el diseño de Active

Directory, como la compatibilidad de aplicaciones y la replicación de Active Directory. Cuando el equipo

haya completado el borrador del diseño, será necesario probar las suposiciones en el entorno de laboratorio.

Para hacerlo, el equipo de diseño debe:

analizar la topología de sitios y la replicación de Active Directory.

desarrollar un plan de pruebas y, seguidamente, probar la compatibilidad de los equipos de

escritorio y las aplicaciones.


Análisis de la topología de sitios y la replicación de Active Directory

El diseño de la topología de sitios especifica la latencia de replicación máxima, es decir, el período de

tiempo requerido para replicar cambios en todo el bosque. El equipo de diseño deberá asegurarse de que la

latencia de replicación en el bosque es inferior o igual a la latencia máxima de replicación especificada en el

diseño. El equipo debe realizar una prueba representativa del peor caso basada en el número máximo de

saltos supuestos en el diseño. El equipo deberá observar el período de tiempo que conlleva la convergencia

de replicación cuando se produce algún error en controladores de dominio o en vínculos de comunicaciones.

Para analizar la conmutación por error de la replicación entre sitios de Active Directory

1. Identifique los controladores de dominio responsables de la replicación entre sitios mediante

el uso de Sitios y servicios de Active Directory.

2. Desconecte los controladores de dominio o deshabilite los vínculos de comunicaciones que

se utilizan en la replicación entre sitios.

3. Permita que el comprobador de coherencia de la información (KCC) configure

automáticamente una topología de replicación nueva.

4. Identifique los controladores de dominio que se encargan ahora de la replicación entre sitios.

5. Vuelva a conectar los controladores de dominio o habilite de nuevo los vínculos de

comunicaciones.

6. Compruebe que la topología de replicación entre sitios recupera el estado original, como se

identifica en el paso 1.

Comprobación de la compatibilidad de equipos de escritorio y aplicaciones

Además, el equipo de diseño debe determinar la compatibilidad entre aplicaciones, sistemas operativos de

escritorio y Active Directory. Por lo general, los aspectos de las pruebas de aplicaciones que resultan

afectados por una migración o una actualización de Active Directory tienen que ver con aplicaciones que se

ejecutan en servidores y equipos cliente, y con el uso de acceso remoto.

Compruebe las suposiciones de diseño relativas a la compatibilidad de equipos escritorio y aplicaciones

mediante la creación de una lista de aplicaciones críticas. Los miembros del equipo de diseño deben probar

cada aplicación para garantizar que su funcionamiento será correcto en un entorno migrado.

Al comprobar la compatibilidad de equipos de escritorio y aplicaciones, confirme que:

las aplicaciones de servidor existentes, como las que se ejecutan actualmente en un

controlador de dominio de reserva (BDC) de Windows NT 4.0, pueden ejecutarse en

controladores de dominio y servidores miembro basados en Windows Server 2003.

Por ejemplo, algunas aplicaciones de servidor que se ejecutan en BDC hacen uso de grupos

locales compartidos. Para ejecutar estas aplicaciones de servidor en un controlador de

dominio basado en Windows Server 2003, compruebe que las aplicaciones se ejecutan

correctamente con el uso de grupos locales de dominio de Active Directory.

Las aplicaciones de servidor que se ejecutan en una combinación de servidores de Windows

Server 2003 y Windows NT 4.0 pueden interoperar unas con otras.


Por ejemplo, compruebe que un servidor basado en Windows Server 2003 con Microsoft®

SQL Server™ puede interactuar con un servidor basado en Windows NT 4.0 al ejecutar la

misma aplicación.

Las aplicaciones de escritorio existentes se ejecutan correctamente cuando se lleva a cabo la

migración de la infraestructura de dominios a Active Directory de Windows Server 2003.

Las aplicaciones existentes que usan la seguridad integrada de Windows se ejecutan

correctamente cuando se lleva a cabo la migración de la infraestructura de dominios a Active

Directory de Windows Server 2003.

Si encuentra que alguna aplicación de servidor no se puede migrar a un controlador de dominio basado en

Windows Server 2003, pruebe a instalar de nuevo la aplicación o instale una versión posterior de la misma en

un servidor miembro basado en Windows Server 2003. Si la aplicación no se ejecuta en un servidor con

Windows Server 2003, puede continuar ejecutándola en el servidor con Windows NT 4.0 o Windows 2000.

Comunique al equipo de diseño que no se puede realizar la actualización local del dominio de la aplicación

del servidor y tampoco se puede consolidar, por lo que deberá permanecer tal cual hasta que haya disponible

una versión de la aplicación que se pueda ejecutar en un controlador de dominio basado en Windows

Server 2003. Como objetivo de implementación a largo plazo, traslade las aplicaciones que actualmente se

ejecutan en controladores de dominio a servidores miembro.

Pruebas de procesos de implementación En un entorno de laboratorio y, de forma previa al comienzo del programa piloto, el equipo de

implementación debe probar tareas específicas fundamentales para el proceso de implementación de Active

Directory, por ejemplo, la migración de cuentas y recursos de Windows NT 4.0 a Active Directory de

Windows Server 2003.

Para comprobar el proceso de implementación en el entorno de laboratorio:

pruebe la recuperación ante desastres.

pruebe la migración de cuentas y recursos.

evalúe la delegación, administración y dirección.

Pruebas de recuperación ante desastres

Pruebe la recuperación ante desastres en el entorno de laboratorio para confirmar que los usuarios pueden

iniciar la sesión en un tiempo de respuesta aceptable en casos de restauración de controladores de dominio

con errores, así como para determinar el tiempo que requiere dicho proceso de restauración.

Para incluir un proceso de recuperación ante desastres en la implementación de Active Directory, realice una

copia de seguridad de los datos de estado del sistema en un mínimo de dos controladores de dominio del

entorno de laboratorio. Una vez hecho esto, compruebe la validez de la cinta de copia de seguridad y del

proceso de restauración. Realice las pruebas siguientes:

Lleve a cabo una restauración no autoritativa del controlador de dominio que presenta datos

dañados en la base de datos de servicios de directorio.

Lleve a cabo una restauración autoritativa de un controlador de dominio para recuperar los

datos de Active Directory eliminados.


Asegúrese de que las pruebas representan las velocidades de conexión mínimas en el entorno, así como el

número máximo de cuentas de usuario.

Por ejemplo, al determinar el tiempo requerido para restaurar un controlador de dominio con errores,

asegúrese de probar la restauración de los datos de estado del sistema de la copia de seguridad para cualquier

controlador de dominio que sea único en un sitio conectado con una velocidad de datos máxima de

128 Kbps. Pruebe también la restauración de los datos de estado del sistema de la copia de seguridad para

cualquier controlador de dominio en un dominio con más de 20.000 cuentas de usuario.

Cuando un controlador de dominio esté conectado a otros controladores de dominio con una velocidad de

datos igual o superior a 128 Kbps, pruebe el proceso para instalar Active Directory en un controlador de

dominio nuevo y dejar que la replicación de Active Directory vuelva a llenar la base de datos de Active

Directory.

Para obtener más información sobre pruebas de recuperación ante desastres, consulte Recuperación ante

desastres de Active Directory (.doc) en la página de recursos web en

http://www.microsoft.com/windows/reskits/webresources (puede estar en inglés).

Pruebas de migración de cuentas y recursos

Para probar el proceso de implementación con respecto a la migración de cuentas y recursos, use los

procedimientos del capítulo referentes al proceso de reestructuración que está planeando. Las organizaciones

que se disponen a reestructurar dominios de Windows NT 4.0 también pueden llevar a cabo las pruebas

siguientes relativas al proceso de reestructuración:

Para probar el proceso de implementación con respecto a la migración de cuentas y recursos

1. En un mínimo de dos dominios de cuentas de producción de Windows NT 4.0, cree nuevos

controladores de dominio de reserva (BDC).

2. Elimine los nuevos BDC de la red de producción.

3. Instale los nuevos BDC en el entorno de laboratorio.

4. Aumente el nivel de los nuevos BDC: conviértalos en controladores de dominio principales

(PDC).

5. Realice actualizaciones locales y reestructure los dominios de cuentas en el laboratorio.

6. Lleve a cabo la migración de cuentas y recursos con una herramienta como ADMT.

7. Compruebe que las cuentas migradas disponen de acceso a recursos y conservan los perfiles

de usuario.


Evaluación de delegación, administración y dirección

Evalúe los procesos de delegación, administración y dirección mediante la creación de la estructura de

unidades organizativas especificada en el diseño de Active Directory. Delegue el control de unidades

organizativas en cuentas de grupo concretas utilizadas para la administración. Siga estos pasos para

comprobar que la delegación se realiza correctamente:

Para confirmar la delegación correcta del control de unidades organizativas en grupos específicos

1. Inicie la sesión como usuario miembro de la cuenta de grupo en la que ha delegado el

control.

2. Realice tareas de administración en objetos de la unidad organizativa (por ejemplo,

modifique las propiedades de un usuario en una unidad organizativa de cuentas).

3. Intente realizar (sin éxito) tareas administrativas en unidades organizativas en las que el

grupo de administración no dispone de control delegado.

Comprobación de la implementación en un programa piloto En el entorno de laboratorio, deberá comprobar que el proceso de implementación funciona fuera del entorno

de producción en cuentas y recursos que asemejan el entorno de producción. Si su entorno ejecuta Active

Directory de Windows 2000, haga uso del programa piloto existente para comprobar la implementación de

Windows Server 2003. En el programa piloto de implementación, identifique un subconjunto controlado de

las cuentas (usuarios, grupos y servicios) y los recursos existentes en el entorno de producción. Aplique el

proceso de implementación en las cuentas y los recursos identificados.

Los objetivos del programa piloto incluyen:

realizar pruebas en un subconjunto del entorno de producción.

proporcionar un entorno de pruebas para otros grupos de diseño e implementación, como la

implementación de Exchange 2000.

comprobar el proceso y los procedimientos para actualizaciones de la infraestructura de red y

sistema operativo.

comprobar el funcionamiento adecuado de las actualizaciones de aplicaciones.

evaluar el impacto de soluciones de supervisión en la infraestructura de red y los servidores

supervisados.

descubrir problemas potenciales en el proceso de implementación causados por dificultades

que no fue posible probar en el entorno de laboratorio.

revisar el proceso de implementación para corregir cualquier problema descubierto de forma

previa a la implementación de producción.

En la implementación piloto, empiece por los usuarios involucrados en el proyecto de implementación y,

después, incluya usuarios representativos de la base de usuarios de la organización.


Para crear un programa piloto de implementación en su entorno

1. Cree dominio_raíz_bosque, donde dominio_raíz_bosque es el nombre de un dominio raíz de

bosque vacío de Active Directory creado, al anexar “-test” al nombre del dominio raíz de

bosque de producción.

2. Cree dominio_regional, donde dominio_regional es el nombre del dominio regional en el

programa piloto, al anexar “-test” al nombre del dominio regional de producción.

3. Establezca las relaciones de confianza adecuadas entre dominio_regional y dominio_winnt,

donde dominio_winnt es un dominio de cuentas o recursos de Windows NT 4.0.

4. Migre las cuentas y los recursos seleccionados de dominio_winnt a dominio_regional.

5. Compruebe que los usuarios y los administradores pueden realizar, aunque en grado mínimo,

las tareas que podían llevar a cabo antes de la migración (por ejemplo, obtener acceso a

recursos y administrar cuentas y recursos).

Ejemplo: Creación de un programa piloto de implementación para Trey Research Contoso y Trey Research crearon un programa piloto para la implementación de Active Directory. La

tabla 1.5 muestra los nombres que proporcionaron para la implementación piloto.

Tabla 1.5 Ejemplo de un programa piloto de implementación

Dominio Nombre

dominio_raíz_bosque trccorp-test.treyresearch.net

dominio_regional east-test.trccorp-test.treyresearch.net

dominio_winnt BOSTON para dominio de cuentas

OFFICE-APPS para dominio de recursos

La figura 1.9 ilustra la configuración de la implementación piloto.

Importante

Al realizar la migración de usuarios de producción al programa piloto, deje

las cuentas de usuario habilitadas en los entornos piloto y de producción. Al

mantener habilitadas las cuentas de usuario en el entorno de producción,

contará con un plan de reserva en caso de que se presente alguna

complicación en el entorno piloto.


Figura 1.9 Configuración de la implementación piloto

Finalización del programa piloto de implementación Cuando haya terminado el programa piloto de implementación, conserve el entorno de implementación piloto

y úselo como entorno de ensayo para la implementación de producción. Continúe utilizando el bosque piloto

para comprobar nuevos procesos de implementación como, por ejemplo, la inclusión de nuevas aplicaciones

o extensiones de esquema, la instalación de sistemas operativos, la creación de objetos de directiva de grupo

y la reestructuración de unidades organizativas.

Como mencionamos anteriormente, a modo de plan de reserva, debería dejar habilitadas las cuentas de

usuario tanto en el entorno de producción original como en el entorno de implementación piloto. Mantenga a

los usuarios en el entorno de implementación piloto para que realicen su trabajo de producción; no migre las

cuentas del entorno de implementación piloto al bosque de producción. En su lugar, si decide trasladar a

usuarios piloto a otro bosque de producción, lleve a cabo la migración a partir de su entorno de producción

original. Esto garantiza que todos los usuarios del bosque de producción disponen de cuentas coherentes y

facilita la solución de problemas.


Ejemplo: Finalización del programa piloto de implementación para Trey Research La figura 1.10 muestra una comparación entre el diseño del bosque piloto de Active Directory y la

implementación del bosque de producción.

Figura 1.10 Comparación del bosque piloto y el bosque de producción

Recursos adicionales Los recursos siguientes ofrecen información y herramientas adicionales con referencia a este capítulo.

Información relacionada

“Diseño de la estructura lógica de Active Directory”, en este libro.

“Diseño de la topología de sitios”, en este libro.

“Planeación de la capacidad de los controladores de dominio”, en este libro.

“Habilitación de características avanzadas de Active Directory de Windows Server 2003”,

en este libro.

“Implementación del dominio raíz de bosque de Windows Server 2003”, en este libro.


“Implementación de dominios regionales de Windows Server 2003”, en este libro.

“Actualización de dominios de Windows NT 4.0 a Active Directory de Windows

Server 2003”, en este libro.

“Actualización de dominios de Windows 2000 a dominios de Windows Server 2003”, en

este libro.

“Reestructuración de dominios de Windows NT 4.0 a un bosque de Active Directory”, en

este libro.

“Reestructuración de dominios de Active Directory entre bosques”, en este libro.

“Reestructuración de dominios de Active Directory en un mismo bosque”, en este libro.

“Implementación de DNS”, en el apartado Implementación de servicios de red de este kit.

Vínculo de Active Directory en la página de recursos web en

http://www.microsoft.com/windows/reskits/webresources (puede estar en inglés). Haga clic

en “Guías de planeación e implementación” (puede estar en inglés) para obtener acceso a

vínculos adicionales que le permitirán descargar las guías siguientes:

Guía de planeación de Active Directory en sucursales (puede estar en inglés)

Guía de operaciones de Active Directory (puede estar en inglés)

Recomendaciones para el diseño de Active Directory con Exchange 2000 (puede estar

en inglés)

Consideraciones sobre varios bosques (puede estar en inglés)

Guía de recomendaciones sobre la seguridad de instalaciones y operaciones habituales

de Active Directory: Parte I (puede estar en inglés)

Temas de Ayuda relacionados

Para obtener los mejores resultados al identificar temas de Ayuda por título, en el Centro de ayuda y soporte

técnico, bajo el cuadro Búsqueda, haga clic en Establecer opciones de búsqueda. Debajo de Temas de

Ayuda, active la casilla de verificación Buscar sólo en Título.

“Active Directory”, en el Centro de ayuda y soporte técnico de Windows Server 2003 (puede

estar en inglés).

“Herramientas de soporte de Windows”, dentro de “Herramientas”, en el Centro de ayuda y

soporte técnico de Windows Server 2003 (puede estar en inglés).

04 chapter 1 planning an active directory deployment project

Documents

implementacin en

experiencia en

incluidas en

diseo y

pruebas y planeacin

consulte implementacin

apartado implementacin

en este captulo