04 chapter 1 planning an active directory deployment project
DESCRIPTION
ADTRANSCRIPT
C A P Í T U L O 1
Al implementar el servicio de directorio de Active Directory® de Microsoft® Windows® Server 2003 en el
entorno, podrá beneficiarse del modelo centralizado de administración delegada y de la capacidad de inicio
de sesión único que ofrece Active Directory. Cuando haya identificado el entorno actual y los objetivos de
implementación en la empresa, podrá crear una estrategia de implementación de Active Directory que
cumpla las necesidades de la organización. Las pruebas de implementación en un entorno de laboratorio
aislado y el perfeccionamiento del proceso en determinadas áreas piloto del entorno de producción
contribuirán a garantizar una implementación sin complicaciones en toda la organización.
En este capítulo:
Información general sobre la planeación de un proyecto de implementación de Active Directory .......... 4
Determinación de la estrategia de diseño e implementación de Active Directory ...................................... 8
Pruebas y confirmación del proceso de implementación ..............................................................................19
Recursos adicionales ...........................................................................................................................................27
Información relacionada
Para obtener más información sobre planeación, pruebas y desarrollo piloto de un proyecto
de implementación, consulte las secciones “Diseño de un entorno de pruebas” y “Planeación
y pruebas de la implementación de aplicaciones”, incluidas en el apartado Planeación,
pruebas y desarrollo piloto de proyectos de implementación de este kit.
Para obtener más información sobre la implementación del Sistema de nombres de dominio
(DNS) de Windows Server 2003, consulte “Implementación de DNS”, en el apartado
Implementación de servicios de red de este kit.
Para obtener más información sobre la directiva de grupo, consulte la Guía de servicios
distribuidos del Kit de recursos de Microsoft® Windows® Server 2003 (puede estar en
inglés) o consulte la Guía de servicios distribuidos en Internet, en la dirección
http://www.microsoft.com/reskit (puede estar en inglés).
Plan de un proyecto de implementación de Active Directory
4 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Información general sobre la planeación de un proyecto de implementación de Active Directory En los sistemas operativos Microsoft® Windows® Server 2003 Standard Edition, Windows® Server 2003
Enterprise Edition y Windows® Server 2003 Datacenter Edition, Active Directory permite a las
organizaciones simplificar la administración de usuarios y recursos al tiempo que posibilita la creación de
una infraestructura escalable, segura y fácil de administrar. Puede utilizar Active Directory para administrar
la infraestructura de red, por ejemplo, en entornos de sucursales, de Microsoft® Exchange Server y de varios
bosques.
Aunque las instrucciones proporcionadas en este libro son adecuadas para prácticamente cualquier
implementación de administración del sistema operativo de red (NOS), estas instrucciones se han probado y
validado específicamente en entornos con menos de 100.000 usuarios, un máximo de 1.000 sitios y
conexiones de red de un mínimo de 28,8 Kbps. Si su entorno no se ajusta a estos criterios, considere la
posibilidad de recurrir a una empresa de consultoría con experiencia en la implementación de Active
Directory en entornos más complejos.
La implementación de Active Directory ofrece las siguientes ventajas a su organización:
Administración general y de recursos simplificada. Podrá delegar la administración en
todos los niveles de la empresa y centralizarla mediante la directiva de grupo.
Seguridad de red mejorada e inicio de sesión único para los usuarios. Active Directory
admite varios protocolos de autenticación y certificados X.509, además de ofrecer
compatibilidad con tarjetas inteligentes.
Interoperabilidad con otros servicios de directorio. Active Directory proporciona
interfaces abiertas basadas en estándares que interoperan con otros servicios de directorio y
aplicaciones, por ejemplo, con programas de correo electrónico.
Características que reducen los costos de administración, incrementan la seguridad y
ofrecen funcionalidad ampliada. Las particiones de directorios de aplicaciones permiten
configurar parámetros de replicación de datos específicos a las aplicaciones en controladores
de dominio. La elevación de los niveles funcionales de dominio o bosque a Windows
Server 2003 le permitirá:
cambiar el nombre de dominios y controladores de dominio.
establecer confianzas de bosques bidireccionales.
reestructurar bosques.
mejorar la replicación.
eliminar algunas limiaciones en entornos con un gran volumen de sitios.
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 5
Aunque las estrategias de diseño e implementación de Active Directory de Windows Server 2003
presentadas en este libro se basan en pruebas extensas de laboratorio y programa piloto, así como en
implementaciones satisfactorias en entornos de cliente, es probable que sea necesario personalizar el diseño y
la implementación de Active Directory para cumplir los requisitos de entornos complejos específicos. Para
obtener más información sobre la implementación de Active Directory en entornos de sucursales, consulte la
Guía de planeación de Active Directory en sucursales (puede estar en inglés). Para obtener más información
sobre la implementación de Active Directory en entornos de Exchange, consulte Recomendaciones para el
diseño de Active Directory con Exchange 2000 (puede estar en inglés). Para obtener más información sobre
la implementación de Active Directory en entornos de varios bosques, consulte Consideraciones sobre varios
bosques (puede estar en inglés). Para descargar estas guías, use el vínculo de Active Directory en la página
de recursos web en http://www.microsoft.com/windows/reskits/webresources y haga clic en “Guías de
planeación e implementación” (puede estar en inglés).
Este libro también proporciona diagramas de flujo, ayudas para trabajos y ejemplos de implementación que
le ayudarán a optimizar el diseño y la implementación de Active Directory en su organización.
Proceso de planeación de un proyecto de implementación de Active Directory Al planear un proyecto de implementación de Active Directory de Windows Server 2003, determine primero
su estrategia de diseño e implementación y, luego, realice las pruebas necesarias para validar el diseño y la
implementación. La figura 1.1 muestra el proceso de planeación de un proyecto de implementación de Active
Directory.
Figura 1.1 Planeación de un proyecto de implementación de Active Directory
6 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Información general sobre Active Directory Antes de diseñar e implementar Active Directory de Windows Server 2003, familiarícese con el ciclo del
proyecto de implementación de Active Directory y con los términos relacionados con Active Directory
requeridos para el proceso de implementación de Active Directory de Windows Server 2003.
Ciclo del proyecto de implementación de Active Directory Un proyecto de implementación de Active Directory se compone de tres fases: diseño, implementación y
operaciones. El equipo encargado de la primera fase crea un diseño de la estructura lógica de Active
Directory con una adaptación óptima a las necesidades de cada división de la empresa que se disponga a
utilizar el servicio de directorio. Una vez que se ha aprobado este diseño, el equipo de implementación se
encarga de probarlo en un entorno de laboratorio y, seguidamente, lo implementa en el entorno de
producción. La realización de las pruebas queda al cargo del equipo de implementación y los resultados
pueden afectar a la fase de diseño, por lo que esta es una actividad intermedia que abarca ambas fases de
diseño e implementación. Cuando la implementación ha finalizado, el equipo de operaciones se ocupa del
mantenimiento del servicio de directorio.
Las pruebas en laboratorio y la implementación de un programa piloto continúan mientras dure la
implementación de Active Directory.
La figura 1.2 muestra la relación entre las fases del ciclo del proyecto de Active Directory con referencia a la
duración del proyecto de implementación.
Figura 1.2 Relación entre las fases del ciclo del proyecto de Active Directory
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 7
Términos y definiciones Los términos siguientes son importantes a la hora de entender el proceso de implementación de Active
Directory de Windows Server 2003.
Dominio de Active Directory
Unidad administrativa en una red de equipos que simplifica la administración mediante la agrupación de
varias capacidades, por ejemplo:
Identidad de usuarios en toda la red. Con los dominios, sólo es necesario crear las
identidades de usuario una vez. Es posible hacer referencia a estas identidades desde
cualquier equipo unido al bosque donde reside el dominio. Los controladores de dominio
que forman un dominio se utilizan para almacenar cuentas y credenciales de usuario (como
contraseñas y certificados) de un modo seguro.
Autenticación. Los controladores de dominio proporcionan servicios de autenticación para
usuarios y ofrecen datos adicionales de autorización, por ejemplo, relacionados con las
pertenencias a grupos de usuarios. Estos servicios pueden ser útiles para controlar el acceso a
los recursos en la red.
Relaciones de confianza. Los dominios extienden los servicios de autenticación a usuarios
de otros dominios en su propio bosque mediante confianzas bidireccionales automáticas, así
como a usuarios en dominios de otros bosques mediante confianzas externas o confianzas de
bosque creadas manualmente.
Administración de directivas. El dominio es un ámbito de las directivas administrativas,
por ejemplo, sobre reglas de complejidad y reutilización de contraseñas.
Replicación. El dominio define una partición del árbol de directorios que proporciona la
información adecuada para proporcionar los servicios requeridos y que se replica entre
controladores de dominio. Así, todos los controladores de dominio son elementos del mismo
nivel en un dominio y se administran como una sola unidad.
Bosque de Active Directory
Colección de uno o varios dominios de Active Directory que comparten la estructura lógica, el esquema de
directorios y la configuración de red, además de relaciones automáticas de confianza transitivas y
bidireccionales. Cada bosque constituye una instancia única del directorio y define un límite de seguridad.
Nivel funcional de Active Directory
Parámetro de configuración en Active Directory de Windows Server 2003 que habilita características
avanzadas de Active Directory en todo el dominio o todo el bosque.
8 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Migración
Proceso de transferencia de un objeto de un dominio de origen a un dominio de destino, a la vez que se
conservan o se modifican las características del objeto para que resulte accesible en el dominio nuevo.
Reestructuración de dominios
Proceso de migración que implica la modificación de la estructura de dominios de un bosque. La
reestructuración de dominios puede conllevar la consolidación o la inclusión de dominios, y puede tener
lugar entre bosques o en un mismo bosque.
Consolidación de dominios
Proceso de reestructuración que implica la eliminación de dominios de Microsoft® Windows NT® 4.0 o de
Active Directory al combinar su contenido con el contenido de otros dominios.
Actualización de dominios
Proceso de actualización del servicio de directorio de un dominio a una versión posterior del servicio de
directorio. Esto incluye la actualización del sistema operativo en todos los controladores de dominio y la
elevación del nivel funcional de Active Directory donde corresponda.
Actualización local de dominios
Proceso de actualización del sistema operativo en todos los controladores de dominio basados en
Windows NT 4.0 o en Microsoft® Windows® 2000 y de elevación del nivel funcional del dominio si
corresponde, sin modificar la ubicación de los objetos de dominio, como usuarios y grupos.
Dominio regional
Dominio secundario creado según una región geográfica concreta para optimizar el tráfico de replicación.
Determinación de la estrategia de diseño e implementación de Active Directory Cuando haya realizado una evaluación detallada del entorno actual y haya identificado los objetivos de
implementación de Active Directory en la empresa, podrá determinar la estrategia de implementación que se
adaptará de forma óptima a su entorno. La figura 1.3 muestra los pasos de definición del proceso de
implementación de Active Directory.
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 9
Figura 1.3 Determinación de la estrategia de diseño e implementación
La estrategia de implementación de Active Directory que aplique variará en función de la configuración de
red existente. Por ejemplo, si actualmente la organización utiliza Windows 2000, bastará con que actualice
el sistema operativo a Windows Server 2003. Sin embargo, si la organización se basa en Windows NT 4.0 o
en un sistema operativo de red ajeno a Windows, tendrá que diseñar una infraestructura de Active Directory
antes de realizar la actualización a Windows Server 2003.
El proceso de implementación podría requerir la reestructuración de dominios existentes, ya sea en un mismo
bosque o entre bosques de Active Directory. Es posible que necesite reestructurar los dominios existentes
después de implementar Active Directory de Windows Server 2003 o cuando se produzcan cambios
organizativos o adquisiciones corporativas. También puede reestructurar dominios de un entorno de
Windows NT 4.0 a un bosque de Active Directory con el fin de actualizar el entorno de producción a
Windows Server 2003.
10 Capítulo 1 Plan de un proyecto de implementación de Active Directory
La tabla 1.1 enumera los posibles puntos de inicio y objetivos de una implementación de Active Directory de
Windows Server 2003, así como los pasos de implementación correspondientes y los capítulos de este libro
que se aplican a cada uno.
Tabla 1.1 Entorno actual, objetivos y capítulos correspondientes para la implementación
de Active Directory de Windows Server 2003
Entorno Objetivos de implementación
Capítulos correspondientes
Nueva
organización
Crear diseño de
bosques, dominios, DNS
y unidades
organizativas.
Capítulo 2: “Diseño de la estructura
lógica de Active Directory”
Crear un diseño de sitio
y de vínculo a sitios.
Capítulo 3: “Diseño de la topología
de sitios”
Evaluar los requisitos de
hardware.
Capítulo 4: “Planeación de la
capacidad de los controladores de
dominio”
Implementar el dominio
raíz de bosque.
Capítulo 6: “Implementación del
dominio raíz de bosque de Windows
Server 2003”
Implementar dominios
regionales.
Capítulo 7: “Implementación de
dominios regionales de Windows
Server 2003”
Elevar los niveles
funcionales de dominio y
bosque.
Capítulo 5: “Habilitación de
características avanzadas de Active
Directory de Windows Server 2003”
Windows NT 4.0
Crear diseño de
bosques, dominios, DNS
y unidades
organizativas.
Capítulo 2: “Diseño de la estructura
lógica de Active Directory”
Crear un diseño de sitio
y de vínculo a sitios.
Capítulo 3: “Diseño de la topología
de sitios”
Evaluar los requisitos de
hardware.
Capítulo 4: “Planeación de la
capacidad de los controladores de
dominio”
Implementar el dominio
raíz de bosque.
Capítulo 6: “Implementación del
dominio raíz de bosque de Windows
Server 2003”
Implementar dominios
regionales.
Capítulo 7: “Implementación de
dominios regionales de Windows
Server 2003”
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 11
Realizar actualización
local de dominios de
Windows NT 4.0 que
continuarán formando
parte de la estructura de
dominios de Active
Directory.
Capítulo 8: ““Actualización de
dominios de Windows NT 4.0 a
Active Directory de Windows
Server 2003”
Reestructurar otros
dominios de
Windows NT 4.0.
Capítulo 10: “Reestructuración de
dominios de Windows NT 4.0 en un
bosque de Active Directory”
Elevar los niveles
funcionales de dominio y
bosque.
Capítulo 5: “Habilitación de
características avanzadas de Active
Directory de Windows Server 2003”
Windows 2000
Actualizar los
controladores de
dominio de
Windows 2000.
Capítulo 9: “Actualización de
dominios de Windows 2000 a
dominios de Windows Server 2003”
Elevar los niveles
funcionales de dominio y
bosque.
Capítulo 5: “Habilitación de
características avanzadas de Active
Directory de Windows Server 2003”
12 Capítulo 1 Plan de un proyecto de implementación de Active Directory
La tabla 1.2 enumera los objetivos y los capítulos correspondientes aplicables a la reestructuración de
dominios, ya sea entre bosques o en un mismo bosque.
Tabla 1.2 Objetivos y capítulos correspondientes para la reestructuración de dominios de
Active Directory
Acción Objetivos de implementación Capítulos correspondientes
Reestructurar
dominios en
un mismo
bosque
Crear diseño de bosques,
dominios, DNS y unidades
organizativas.
Capítulo 2: “Diseño de la estructura
lógica de Active Directory”
Crear un diseño de sitio y de
vínculo a sitios.
Capítulo 3: “Diseño de la topología
de sitios”
Usar una herramienta como la
Herramienta de migración
Active Directory (ADMT) para
reestructurar dominios en un
mismo bosque.
Capítulo 12: “Reestructuración de
dominios de Active Directory en un
mismo bosque”
Reestructurar
dominios
entre
bosques
Crear diseño de bosques,
dominios, DNS y unidades
organizativas.
Capítulo 2: “Diseño de la estructura
lógica de Active Directory”
Crear un diseño de sitio y de
vínculo a sitios.
Capítulo 3: “Diseño de la topología
de sitios”
Usar una herramienta como
ADMT para reestructurar
dominios entre bosques.
Capítulo 11: “Reestructuración de
dominios de Active Directory entre
bosques”
Determinación de los requisitos de diseño de Active Directory Si su entorno de red opera actualmente sin un servicio de directorio o, si necesita modificar su infraestructura
actual de Active Directory, complete el proceso de diseño para la infraestructura de Active Directory. Debe
completar un diseño exhaustivo de la estructura lógica de Active Directory antes de implementar Active
Directory. La preparación rigurosa del diseño de Active Directory es fundamental para conseguir una
implementación rentable.
Diseño de la estructura lógica
Antes de implementar Active Directory de Windows Server 2003, debe planear y diseñar la estructura lógica
de Active Directory para el entorno. La estructura lógica de Active Directory determina la organización de
los objetos de directorio y proporciona un método eficaz para la administración de cuentas de red y recursos
compartidos. El diseño de la estructura lógica de Active Directory conlleva la definición de una parte
considerable de la infraestructura de red de la organización.
Para diseñar la estructura lógica de Active Directory, determine el número de bosques que requiere la
organización y, a continuación, cree diseños para dominios, DNS y unidades organizativas.
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 13
Diseño de la topología de sitios
Cuando ya tenga el diseño de la estructura lógica para la infraestructura de Active Directory, deberá diseñar
la topología de sitios para la red. La topología de sitios es una representación lógica de la red física de la
organización. Contiene información sobre la ubicación de sitios de Active Directory, los controladores de
dominio de Active Directory en cada sitio y los vínculos a sitios que admiten la replicación de Active
Directory entre sitios.
Planeación de la capacidad de los controladores de dominio
Con el fin de garantizar el rendimiento eficaz de Active Directory, deberá determinar el número adecuado de
controladores de dominio para cada sitio y comprobar que cumplen los requisitos de hardware de Windows
Server 2003. La planeación meticulosa de capacidades con referencia a los controladores de dominio evitará
que se subestimen los requisitos de hardware, lo que podría influir de forma negativa en el rendimiento de los
controladores de dominio y el tiempo de respuesta de las aplicaciones.
Características avanzadas de Active Directory
Los niveles funcionales de Active Directory de Windows Server 2003 permiten habilitar características
nuevas, por ejemplo, la replicación mejorada de pertenencia a grupos, la desactivación y la redefinición de
atributos y clases en el esquema y de relaciones de confianza de bosques que requieren la ejecución de
Windows Server 2003 por parte de todos los controladores de dominio en el dominio o el bosque
participante. Parte del proceso de diseño de Active Directory implica la identificación de los niveles
funcionales de dominio y bosque que requiere la organización. Para implementar estas características de
Active Directory de Windows Server 2003 en la empresa, primero deberá implementar Active Directory de
Windows Server 2003 y, seguidamente, elevar el bosque y el dominio al nivel funcional adecuado.
Determinación de los requisitos de implementación de Active Directory La estructura del entorno existente determina la estrategia para la implementación de Active Directory de
Windows Server 2003. Si se dispone a crear un entorno de Active Directory y no cuenta con una estructura
de dominios existente, deberá completar el diseño de Active Directory antes de empezar a crear el entorno.
Después, podrá implementar un nuevo dominio raíz de bosque y aplicar el resto de la estructura de dominios
de acuerdo con el diseño.
Raíz de bosque de Windows Server 2003 Para implementar Active Directory, primero es necesario implementar un dominio raíz de bosque de
Windows Server 2003. Esto se consigue mediante la configuración de DNS, la implementación de
controladores de dominio raíz de bosque, la configuración de la topología de sitios para el dominio raíz de
bosque y la configuración de funciones de maestro de operaciones.
14 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Dominios regionales de Windows Server 2003 Si se dispone a crear uno o varios dominios regionales en un bosque de Windows Server 2003, deberá
implementar cada dominio regional posteriormente a la implementación del dominio raíz de bosque. Para
hacerlo, es necesario delegar una zona DNS e implementar controladores de dominio para cada dominio
regional.
Actualización de dominios de Windows NT 4.0 a Windows Server 2003 Cuando haya llevado a cabo una actualización local de dominios de Windows NT 4.0, podrá empezar a usar
Active Directory sin realizar modificación alguna en la estructura de dominios existente.
De forma alternativa, si no desea conservar la estructura de dominios existente, puede reestructurar los
dominios de Windows NT 4.0 en un bosque de Windows Server 2003. Para obtener más información sobre
la reestructuración de dominios de Windows NT 4.0 en un bosque de Windows Server 2003, consulte la
sección "Determinación de requisitos de reestructuración", incluida más adelante en este capítulo.
Actualización de dominios de Windows 2000 a Windows Server 2003 La actualización de dominios de Windows 2000 a dominios de Windows Server 2003 constituye una forma
eficaz y sencilla de aprovechar las características y la funcionalidad adicionales de Windows Server 2003. La
actualización de Windows 2000 a Windows Server 2003 requiere una configuración mínima de la red y tiene
un impacto reducido en las operaciones de usuario.
Determinación de los requisitos de reestructuración Quizás decida reestructurar el entorno existente como parte de la implementación de Active Directory. Antes
de hacerlo, deberá determinar cómo y cuándo se debe llevar a cabo la reestructuración. Las organizaciones
con una estructura de dominios existente basada en Windows NT 4.0 podrían decantarse por la actualización
local de algunos dominios y la reestructuración de otros. Además, es posible que decida reducir la
complejidad del entorno mediante la reestructuración de dominios entre bosques o la reestructuración de
dominios en un mismo bosque con posterioridad a la implementación de Active Directory.
Reestructuración de dominios de Windows NT 4.0 en un bosque de Windows Server 2003 Debido a su escalabilidad superior, un entorno de Active Directory de Windows Server 2003 requiere menos
dominios que un entorno de Windows NT 4.0. En lugar de llevar a cabo la actualización local de los
dominios de Windows NT 4.0, quizás resulte más eficiente consolidar cierto número de dominios pequeños
de recursos y cuentas de Windows NT 4.0 en unos pocos dominios más grandes de Active Directory.
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 15
Reestructuración de dominios de Active Directory entre bosques Al reestructurar dominios entre bosques de Windows Server 2003, es posible reducir el número de dominios
en el entorno y, así, reducir la sobrecarga y la complejidad de la administración. Cuando se produce la
migración de objetos entre bosques como parte del proceso de reestructuración, tenemos la existencia
simultánea de los entornos de dominio de origen y de destino. Esto permite revertir al entorno de origen
durante la migración, en caso de ser necesario.
Reestructuración de dominios de Active Directory en un mismo bosque Al reestructurar dominios de Windows Server 2003 en un mismo bosque de Windows Server 2003, puede
consolidar la estructura de dominios y, por lo tanto, reducir la sobrecarga y la complejidad de la
administración. A diferencia de lo que ocurre en el proceso de reestructuración de dominios de Windows
Server 2003 entre bosques, al reestructurar dominios en un mismo bosque, las cuentas migradas dejan de
existir en el dominio de origen.
La tabla 1.3 enumera las diferencias entre la reestructuración de dominios entre bosques y en un mismo
bosque.
Tabla 1.3 Diferencias entre la reestructuración de dominios entre bosques y en un mismo
bosque
Consideración de migración
Reestructuración entre bosques
Reestructuración en un mismo bosque
Conservación de objetos
Los objetos se clonan en
lugar de migrarse. El objeto
original permanece en la
ubicación de origen para
mantener el acceso de
usuario a los recursos.
Los objetos se migran y dejan de existir en la
ubicación de origen.
Mantenimiento de historial SID
El mantenimiento del
historial SID es opcional.
Se requiere el historial SID.
Retención de contraseñas
La retención de
contraseñas es opcional.
Las contraseñas se retienen siempre.
Migración de perfiles locales
Deberá usar herramientas
como ADMT para migrar
perfiles locales.
En estaciones de trabajo con Windows 2000 y
versiones posteriores, los perfiles locales se
migran automáticamente porque se conserva el
GUID del usuario. Sin embargo, deberá usar
herramientas como ADMT para migrar perfiles
locales en estaciones de trabajo con
Windows NT 4.0 y versiones anteriores.
Conjuntos cerrados
No es necesario migrar
cuentas en conjuntos
cerrados.
Deberá migrar cuentas en conjuntos cerrados.
16 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Ejemplo: Establecimiento de una estrategia de implementación de Active Directory Para ilustrar el proceso de implementación de Active Directory, los capítulos de este libro presentan el
ejemplo del modo en que una empresa ficticia, Contoso Pharmaceuticals, implementa Active Directory en su
entorno. El entorno de Contoso incluye cuatro dominios; todos ellos ejecutan Active Directory de
Windows 2000. La figura 1.4 muestra la estructura de dominios actual de Contoso.
Figura 1.4 Estructura de dominios de Contoso
Después de revisar el entorno existente e identificar los objetivos de implementación, Contoso estableció la
estrategia de implementación de Active Directory siguiente:
Actualizar los dominios de Windows 2000 a dominios de Windows Server 2003.
Habilitar las características avanzadas de Active Directory mediante la elevación de los
niveles funcionales de dominio y bosque a Windows Server 2003.
Tras actualizar todos los dominios de Windows 2000 a dominios de Windows Server 2003, Contoso
reestructurará el dominio africa.concorp.contoso.com en el mismo bosque para consolidarlo con el dominio
emea.concorp.contoso.com.
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 17
La organización Contoso se encuentra en proceso de adquisición de una empresa llamada Trey Research,
que, actualmente, ejecuta un entorno basado en Windows NT 4.0, como muestra la figura 1.5.
Figura 1.5 Entorno actual de Trey Research
Contoso estableció la estrategia de implementación de Active Directory siguiente para la adquisición de Trey
Research:
Diseñar la estructura lógica de Active Directory para crear diseños de bosques, dominios,
DNS y unidades organizativas en el nuevo entorno de Windows Server 2003.
Diseñar la topología de sitios para crear los sitios, los vínculos a sitios y los puentes de
vínculos a sitios requeridos.
Planear la capacidad de los controladores de dominio para determinar los requisitos de
hardware del nuevo entorno de Windows Server 2003.
Implementar trccorp.treyresearch.net como dominio raíz de bosque.
Implementar tres dominios regionales. Diferentes equipos pueden crear estos dominios
simultáneamente.
Actualizar el dominio EAST a Windows Server 2003 para convertirlo en
east.trccorp.treyresearch.net.
Crear dos dominios regionales nuevos de Windows Server 2003 llamados
asia.trccorp.treyresearch.net y west.trccorp.treyresearch.net.
Reestructurar los dominios BOSTON, MAIL-APPS, PROD-APPS y OFFICE-APPS en el
dominio east.trccorp.treyresearch.net de Windows Server 2003 mediante ADMT.
Elevar los niveles funcionales de dominio y bosque a Windows Server 2003.
La figura 1.6 muestra el entorno intermedio para Trey Research.
18 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Figura 1.6 Entorno intermedio para Trey Research
Posteriormente, Contoso determinó que un solo dominio sería más rentable para Europa, Oriente Medio y la
región asiática, de modo que el paso final del proceso de implementación consiste en reestructurar
asia.trccorp.treyresearch.net en el dominio emea.concorp.contoso.com del bosque de Contoso mediante
ADMT.
La figura 1.7 presenta la estructura de dominios para la empresa Contoso después de completar la
adquisición de Trey Research y el proceso de implementación de Active Directory de Windows Server 2003.
Figura 1.7 Entorno final de Contoso y Trey Research
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 19
Pruebas y confirmación del proceso de implementación En cualquier implementación de Active Directory, es posible reducir al mínimo el impacto en las operaciones
empresariales habituales mediante la realización de pruebas de suposiciones de diseño y la comprobación del
proceso de implementación en un programa piloto. Según vaya creando el primer borrador del diseño de
Active Directory, empiece a probar y confirmar. La realización de pruebas y la comprobación comienzan en
la fase de diseño y continúan durante las fases de implementación y operaciones.
La figura 1.8 muestra el proceso de pruebas y confirmación del diseño y la implementación de Active
Directory.
Figura 1.8 Pruebas y confirmación del diseño y la implementación de Active Directory
Pruebas de diseño e implementación en un entorno de laboratorio Las pruebas en laboratorio constituyen la primera evaluación del diseño de Active Directory. El proceso
consiste en confirmar las suposiciones realizadas por los arquitectos de diseño.
Cuando esté a punto de completar el primer borrador del diseño de Active Directory, empiece a probar
suposiciones de diseño específicas en el proceso de implementación en un entorno de laboratorio. De este
modo, descubrirá posibles dificultades de diseño que afectan al proceso de implementación y podrá
comunicárselas al equipo de diseño para que corrija los problemas de forma previa la implementación.
20 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Asegúrese de que el entorno del laboratorio de pruebas está aislado del resto de la red de producción de la
empresa y que representa, a escala reducida, la configuración de sistema operativo y hardware de los equipos
de la organización. Incluya en el entorno de laboratorio los controladores de dominio necesarios para
respaldar una muestra representativa del diseño del sitio, incluidos asociados de replicación entre sitios y en
un mismo sitio, vínculos a sitios e intervalos de replicación razonables.
Incluya cuentas de usuario y grupo, y otros recursos designados exclusivamente para las pruebas. Compruebe
que el entorno de pruebas ofrece acceso a configuraciones de prueba de servicios externos, como mainframe
e Internet, según se requiera. Conserve el laboratorio permanentemente para probar procedimientos nuevos y
utilizarlo en sesiones de aprendizaje para el equipo de implementación.
El equipo de implementación puede hacer uso del entorno de laboratorio para identificar los aspectos
específicos de su proceso de implementación y familiarizarse con las herramientas de migración e
implementación utilizadas durante la implementación de Active Directory.
Comúnmente, las pruebas de suposiciones de diseño y las pruebas del proceso de implementación quedan al
cargo de equipos diferentes. La tabla 1.4 enumera las pruebas de laboratorio y los miembros de equipo que
las realizan.
Tabla 1.4 Pruebas de laboratorio y miembros de equipo correspondientes
Proceso de pruebas Pruebas de laboratorio Miembros de equipo
Probar suposiciones
de diseño
Analizar la topología de
sitios y la replicación de
Active Directory.
Equipo de diseño, propietario
de topología de sitios y
equipo de implementación.
Probar compatibilidad de
equipos de escritorio y
aplicaciones.
Equipo de diseño.
Probar proceso de
implementación
Probar recuperación ante
desastres.
Propietario del bosque y
equipo de implementación.
Probar migración de
cuentas y recursos.
Propietario del bosque y
equipo de implementación.
Evaluar delegación,
administración y dirección.
Propietario del bosque.
Pruebas de suposiciones de diseño El equipo encargado del proceso de diseño realiza suposiciones que se integran en el diseño de Active
Directory, como la compatibilidad de aplicaciones y la replicación de Active Directory. Cuando el equipo
haya completado el borrador del diseño, será necesario probar las suposiciones en el entorno de laboratorio.
Para hacerlo, el equipo de diseño debe:
analizar la topología de sitios y la replicación de Active Directory.
desarrollar un plan de pruebas y, seguidamente, probar la compatibilidad de los equipos de
escritorio y las aplicaciones.
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 21
Análisis de la topología de sitios y la replicación de Active Directory
El diseño de la topología de sitios especifica la latencia de replicación máxima, es decir, el período de
tiempo requerido para replicar cambios en todo el bosque. El equipo de diseño deberá asegurarse de que la
latencia de replicación en el bosque es inferior o igual a la latencia máxima de replicación especificada en el
diseño. El equipo debe realizar una prueba representativa del peor caso basada en el número máximo de
saltos supuestos en el diseño. El equipo deberá observar el período de tiempo que conlleva la convergencia
de replicación cuando se produce algún error en controladores de dominio o en vínculos de comunicaciones.
Para analizar la conmutación por error de la replicación entre sitios de Active Directory
1. Identifique los controladores de dominio responsables de la replicación entre sitios mediante
el uso de Sitios y servicios de Active Directory.
2. Desconecte los controladores de dominio o deshabilite los vínculos de comunicaciones que
se utilizan en la replicación entre sitios.
3. Permita que el comprobador de coherencia de la información (KCC) configure
automáticamente una topología de replicación nueva.
4. Identifique los controladores de dominio que se encargan ahora de la replicación entre sitios.
5. Vuelva a conectar los controladores de dominio o habilite de nuevo los vínculos de
comunicaciones.
6. Compruebe que la topología de replicación entre sitios recupera el estado original, como se
identifica en el paso 1.
Comprobación de la compatibilidad de equipos de escritorio y aplicaciones
Además, el equipo de diseño debe determinar la compatibilidad entre aplicaciones, sistemas operativos de
escritorio y Active Directory. Por lo general, los aspectos de las pruebas de aplicaciones que resultan
afectados por una migración o una actualización de Active Directory tienen que ver con aplicaciones que se
ejecutan en servidores y equipos cliente, y con el uso de acceso remoto.
Compruebe las suposiciones de diseño relativas a la compatibilidad de equipos escritorio y aplicaciones
mediante la creación de una lista de aplicaciones críticas. Los miembros del equipo de diseño deben probar
cada aplicación para garantizar que su funcionamiento será correcto en un entorno migrado.
Al comprobar la compatibilidad de equipos de escritorio y aplicaciones, confirme que:
las aplicaciones de servidor existentes, como las que se ejecutan actualmente en un
controlador de dominio de reserva (BDC) de Windows NT 4.0, pueden ejecutarse en
controladores de dominio y servidores miembro basados en Windows Server 2003.
Por ejemplo, algunas aplicaciones de servidor que se ejecutan en BDC hacen uso de grupos
locales compartidos. Para ejecutar estas aplicaciones de servidor en un controlador de
dominio basado en Windows Server 2003, compruebe que las aplicaciones se ejecutan
correctamente con el uso de grupos locales de dominio de Active Directory.
Las aplicaciones de servidor que se ejecutan en una combinación de servidores de Windows
Server 2003 y Windows NT 4.0 pueden interoperar unas con otras.
22 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Por ejemplo, compruebe que un servidor basado en Windows Server 2003 con Microsoft®
SQL Server™ puede interactuar con un servidor basado en Windows NT 4.0 al ejecutar la
misma aplicación.
Las aplicaciones de escritorio existentes se ejecutan correctamente cuando se lleva a cabo la
migración de la infraestructura de dominios a Active Directory de Windows Server 2003.
Las aplicaciones existentes que usan la seguridad integrada de Windows se ejecutan
correctamente cuando se lleva a cabo la migración de la infraestructura de dominios a Active
Directory de Windows Server 2003.
Si encuentra que alguna aplicación de servidor no se puede migrar a un controlador de dominio basado en
Windows Server 2003, pruebe a instalar de nuevo la aplicación o instale una versión posterior de la misma en
un servidor miembro basado en Windows Server 2003. Si la aplicación no se ejecuta en un servidor con
Windows Server 2003, puede continuar ejecutándola en el servidor con Windows NT 4.0 o Windows 2000.
Comunique al equipo de diseño que no se puede realizar la actualización local del dominio de la aplicación
del servidor y tampoco se puede consolidar, por lo que deberá permanecer tal cual hasta que haya disponible
una versión de la aplicación que se pueda ejecutar en un controlador de dominio basado en Windows
Server 2003. Como objetivo de implementación a largo plazo, traslade las aplicaciones que actualmente se
ejecutan en controladores de dominio a servidores miembro.
Pruebas de procesos de implementación En un entorno de laboratorio y, de forma previa al comienzo del programa piloto, el equipo de
implementación debe probar tareas específicas fundamentales para el proceso de implementación de Active
Directory, por ejemplo, la migración de cuentas y recursos de Windows NT 4.0 a Active Directory de
Windows Server 2003.
Para comprobar el proceso de implementación en el entorno de laboratorio:
pruebe la recuperación ante desastres.
pruebe la migración de cuentas y recursos.
evalúe la delegación, administración y dirección.
Pruebas de recuperación ante desastres
Pruebe la recuperación ante desastres en el entorno de laboratorio para confirmar que los usuarios pueden
iniciar la sesión en un tiempo de respuesta aceptable en casos de restauración de controladores de dominio
con errores, así como para determinar el tiempo que requiere dicho proceso de restauración.
Para incluir un proceso de recuperación ante desastres en la implementación de Active Directory, realice una
copia de seguridad de los datos de estado del sistema en un mínimo de dos controladores de dominio del
entorno de laboratorio. Una vez hecho esto, compruebe la validez de la cinta de copia de seguridad y del
proceso de restauración. Realice las pruebas siguientes:
Lleve a cabo una restauración no autoritativa del controlador de dominio que presenta datos
dañados en la base de datos de servicios de directorio.
Lleve a cabo una restauración autoritativa de un controlador de dominio para recuperar los
datos de Active Directory eliminados.
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 23
Asegúrese de que las pruebas representan las velocidades de conexión mínimas en el entorno, así como el
número máximo de cuentas de usuario.
Por ejemplo, al determinar el tiempo requerido para restaurar un controlador de dominio con errores,
asegúrese de probar la restauración de los datos de estado del sistema de la copia de seguridad para cualquier
controlador de dominio que sea único en un sitio conectado con una velocidad de datos máxima de
128 Kbps. Pruebe también la restauración de los datos de estado del sistema de la copia de seguridad para
cualquier controlador de dominio en un dominio con más de 20.000 cuentas de usuario.
Cuando un controlador de dominio esté conectado a otros controladores de dominio con una velocidad de
datos igual o superior a 128 Kbps, pruebe el proceso para instalar Active Directory en un controlador de
dominio nuevo y dejar que la replicación de Active Directory vuelva a llenar la base de datos de Active
Directory.
Para obtener más información sobre pruebas de recuperación ante desastres, consulte Recuperación ante
desastres de Active Directory (.doc) en la página de recursos web en
http://www.microsoft.com/windows/reskits/webresources (puede estar en inglés).
Pruebas de migración de cuentas y recursos
Para probar el proceso de implementación con respecto a la migración de cuentas y recursos, use los
procedimientos del capítulo referentes al proceso de reestructuración que está planeando. Las organizaciones
que se disponen a reestructurar dominios de Windows NT 4.0 también pueden llevar a cabo las pruebas
siguientes relativas al proceso de reestructuración:
Para probar el proceso de implementación con respecto a la migración de cuentas y recursos
1. En un mínimo de dos dominios de cuentas de producción de Windows NT 4.0, cree nuevos
controladores de dominio de reserva (BDC).
2. Elimine los nuevos BDC de la red de producción.
3. Instale los nuevos BDC en el entorno de laboratorio.
4. Aumente el nivel de los nuevos BDC: conviértalos en controladores de dominio principales
(PDC).
5. Realice actualizaciones locales y reestructure los dominios de cuentas en el laboratorio.
6. Lleve a cabo la migración de cuentas y recursos con una herramienta como ADMT.
7. Compruebe que las cuentas migradas disponen de acceso a recursos y conservan los perfiles
de usuario.
24 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Evaluación de delegación, administración y dirección
Evalúe los procesos de delegación, administración y dirección mediante la creación de la estructura de
unidades organizativas especificada en el diseño de Active Directory. Delegue el control de unidades
organizativas en cuentas de grupo concretas utilizadas para la administración. Siga estos pasos para
comprobar que la delegación se realiza correctamente:
Para confirmar la delegación correcta del control de unidades organizativas en grupos específicos
1. Inicie la sesión como usuario miembro de la cuenta de grupo en la que ha delegado el
control.
2. Realice tareas de administración en objetos de la unidad organizativa (por ejemplo,
modifique las propiedades de un usuario en una unidad organizativa de cuentas).
3. Intente realizar (sin éxito) tareas administrativas en unidades organizativas en las que el
grupo de administración no dispone de control delegado.
Comprobación de la implementación en un programa piloto En el entorno de laboratorio, deberá comprobar que el proceso de implementación funciona fuera del entorno
de producción en cuentas y recursos que asemejan el entorno de producción. Si su entorno ejecuta Active
Directory de Windows 2000, haga uso del programa piloto existente para comprobar la implementación de
Windows Server 2003. En el programa piloto de implementación, identifique un subconjunto controlado de
las cuentas (usuarios, grupos y servicios) y los recursos existentes en el entorno de producción. Aplique el
proceso de implementación en las cuentas y los recursos identificados.
Los objetivos del programa piloto incluyen:
realizar pruebas en un subconjunto del entorno de producción.
proporcionar un entorno de pruebas para otros grupos de diseño e implementación, como la
implementación de Exchange 2000.
comprobar el proceso y los procedimientos para actualizaciones de la infraestructura de red y
sistema operativo.
comprobar el funcionamiento adecuado de las actualizaciones de aplicaciones.
evaluar el impacto de soluciones de supervisión en la infraestructura de red y los servidores
supervisados.
descubrir problemas potenciales en el proceso de implementación causados por dificultades
que no fue posible probar en el entorno de laboratorio.
revisar el proceso de implementación para corregir cualquier problema descubierto de forma
previa a la implementación de producción.
En la implementación piloto, empiece por los usuarios involucrados en el proyecto de implementación y,
después, incluya usuarios representativos de la base de usuarios de la organización.
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 25
Para crear un programa piloto de implementación en su entorno
1. Cree dominio_raíz_bosque, donde dominio_raíz_bosque es el nombre de un dominio raíz de
bosque vacío de Active Directory creado, al anexar “-test” al nombre del dominio raíz de
bosque de producción.
2. Cree dominio_regional, donde dominio_regional es el nombre del dominio regional en el
programa piloto, al anexar “-test” al nombre del dominio regional de producción.
3. Establezca las relaciones de confianza adecuadas entre dominio_regional y dominio_winnt,
donde dominio_winnt es un dominio de cuentas o recursos de Windows NT 4.0.
4. Migre las cuentas y los recursos seleccionados de dominio_winnt a dominio_regional.
5. Compruebe que los usuarios y los administradores pueden realizar, aunque en grado mínimo,
las tareas que podían llevar a cabo antes de la migración (por ejemplo, obtener acceso a
recursos y administrar cuentas y recursos).
Ejemplo: Creación de un programa piloto de implementación para Trey Research Contoso y Trey Research crearon un programa piloto para la implementación de Active Directory. La
tabla 1.5 muestra los nombres que proporcionaron para la implementación piloto.
Tabla 1.5 Ejemplo de un programa piloto de implementación
Dominio Nombre
dominio_raíz_bosque trccorp-test.treyresearch.net
dominio_regional east-test.trccorp-test.treyresearch.net
dominio_winnt BOSTON para dominio de cuentas
OFFICE-APPS para dominio de recursos
La figura 1.9 ilustra la configuración de la implementación piloto.
Importante
Al realizar la migración de usuarios de producción al programa piloto, deje
las cuentas de usuario habilitadas en los entornos piloto y de producción. Al
mantener habilitadas las cuentas de usuario en el entorno de producción,
contará con un plan de reserva en caso de que se presente alguna
complicación en el entorno piloto.
26 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Figura 1.9 Configuración de la implementación piloto
Finalización del programa piloto de implementación Cuando haya terminado el programa piloto de implementación, conserve el entorno de implementación piloto
y úselo como entorno de ensayo para la implementación de producción. Continúe utilizando el bosque piloto
para comprobar nuevos procesos de implementación como, por ejemplo, la inclusión de nuevas aplicaciones
o extensiones de esquema, la instalación de sistemas operativos, la creación de objetos de directiva de grupo
y la reestructuración de unidades organizativas.
Como mencionamos anteriormente, a modo de plan de reserva, debería dejar habilitadas las cuentas de
usuario tanto en el entorno de producción original como en el entorno de implementación piloto. Mantenga a
los usuarios en el entorno de implementación piloto para que realicen su trabajo de producción; no migre las
cuentas del entorno de implementación piloto al bosque de producción. En su lugar, si decide trasladar a
usuarios piloto a otro bosque de producción, lleve a cabo la migración a partir de su entorno de producción
original. Esto garantiza que todos los usuarios del bosque de producción disponen de cuentas coherentes y
facilita la solución de problemas.
¡Error! Utilice la ficha Inicio para aplicar Heading 1,First Level Topic,h1 al texto que desea que aparezca aquí. 27
Ejemplo: Finalización del programa piloto de implementación para Trey Research La figura 1.10 muestra una comparación entre el diseño del bosque piloto de Active Directory y la
implementación del bosque de producción.
Figura 1.10 Comparación del bosque piloto y el bosque de producción
Recursos adicionales Los recursos siguientes ofrecen información y herramientas adicionales con referencia a este capítulo.
Información relacionada
“Diseño de la estructura lógica de Active Directory”, en este libro.
“Diseño de la topología de sitios”, en este libro.
“Planeación de la capacidad de los controladores de dominio”, en este libro.
“Habilitación de características avanzadas de Active Directory de Windows Server 2003”,
en este libro.
“Implementación del dominio raíz de bosque de Windows Server 2003”, en este libro.
28 Capítulo 1 Plan de un proyecto de implementación de Active Directory
“Implementación de dominios regionales de Windows Server 2003”, en este libro.
“Actualización de dominios de Windows NT 4.0 a Active Directory de Windows
Server 2003”, en este libro.
“Actualización de dominios de Windows 2000 a dominios de Windows Server 2003”, en
este libro.
“Reestructuración de dominios de Windows NT 4.0 a un bosque de Active Directory”, en
este libro.
“Reestructuración de dominios de Active Directory entre bosques”, en este libro.
“Reestructuración de dominios de Active Directory en un mismo bosque”, en este libro.
“Implementación de DNS”, en el apartado Implementación de servicios de red de este kit.
Vínculo de Active Directory en la página de recursos web en
http://www.microsoft.com/windows/reskits/webresources (puede estar en inglés). Haga clic
en “Guías de planeación e implementación” (puede estar en inglés) para obtener acceso a
vínculos adicionales que le permitirán descargar las guías siguientes:
Guía de planeación de Active Directory en sucursales (puede estar en inglés)
Guía de operaciones de Active Directory (puede estar en inglés)
Recomendaciones para el diseño de Active Directory con Exchange 2000 (puede estar
en inglés)
Consideraciones sobre varios bosques (puede estar en inglés)
Guía de recomendaciones sobre la seguridad de instalaciones y operaciones habituales
de Active Directory: Parte I (puede estar en inglés)
Temas de Ayuda relacionados
Para obtener los mejores resultados al identificar temas de Ayuda por título, en el Centro de ayuda y soporte
técnico, bajo el cuadro Búsqueda, haga clic en Establecer opciones de búsqueda. Debajo de Temas de
Ayuda, active la casilla de verificación Buscar sólo en Título.
“Active Directory”, en el Centro de ayuda y soporte técnico de Windows Server 2003 (puede
estar en inglés).
“Herramientas de soporte de Windows”, dentro de “Herramientas”, en el Centro de ayuda y
soporte técnico de Windows Server 2003 (puede estar en inglés).