Creación del Directorio Activo

Mediante el Directorio Activo seremos capaces de crear una Infraestructura de Gestión de Recursos Centralizada, tanto en lo que respecta a cuentas de usuarios, como a cuentas de equipo, privilegios o permisos en nuestra organización, todo ello de una manera centralizada.

Existen varios servicios o roles relacionados con el Directorio Activo. El más importante, sin duda, es el que va a permitir la promoción de un servidor a controlador de dominio. Este será el rol “Servicios de Dominio de Active Directory” (ADDS).

Existen varios servicios o roles relacionados con el Directorio Activo. El más importante, sin duda, es el que va a permitir la promoción de un servidor a controlador de dominio. Este será el rol “Servicios de Dominio de Active Directory” (ADDS).

Veamos los pasos para definir el Directorio Activo en nuestra organización.

Antes de promocionar un servidor a Controlador de Dominio hemos de estar seguros a la hora de asignar su nombre pues, una vez asignado e instalado el Controlador de Dominio no se podrá cambiar, a menos que despromocionemos previamente dicho servidor.

Si no hay ningún otro controlador en nuestra organización, lo anterior supondría perder la base de datos del Directorio Activo.

Si existiera al menos otro controlador de dominio en el dominio, sí que se podría realizar esta operativa sin miedo a perder cuentas e información.

Para cambiar el nombre del equipo hemos de ir a “Sistema” dentro de “Panel de Control”.

Si vamos a cambiar el nombre a un Controlador de Dominio (DC) nos aparecerá un asistente para su despromoción (paso de servidor CD a un servidor normal).

Para los que han trabajado con versiones anteriores del Server, en Windows Server 2012 ya no se utiliza el comando DCPROMO.

Asignamos el nombre a nuestro servidor.

Una vez asignado el nombre correcto, abrimos el “Server Manager” y Vamos a “Agregar Roles y Características”:

Elegimos la instalación basada en características y roles:

Y elegimos el servidor en el que instalar el DA:

Seleccionamos “Servicios de dominio de Active Directory” y seguimos:

Ahora nos muestra las características que necesita instalar para promover el servidor a Controlador de Dominio (DC):

Seguidamente se nos informa de los distintos requerimientos que se necesitaran para instalar dicho rol.

Nos aparecerá un resumen de las tareas que serán realizadas. Daremos a “Install” y se iniciara el proceso de instalación.

El proceso concluirá con el DA instalado, con su correspondiente consola de administración. Quedará pendiente promover el servidor a CD. Esta opción aparecerá en la ventana de instalación del controlador de dominio o podemos ir a “Server Manager” y en la pestaña AD DS seleccionamos el servidor que deseamos promocionar.

Seleccionamos “promover este servidor a controlador de dominio” y nos aparecerá otra ventana en la que tendremos que definir en qué ubicación se hallará nuestro controlador (bosque nuevo o existente) y si este controlador será nuevo en el dominio o adicional en un dominio ya existente:

En nuestro caso crearemos un árbol en un nuevo bosque.

Deberemos definir la contraseña de modo restauración de los servicios de directorio:

Nos invita a indicar qué nivel funcional vamos a dar a nuestro nuevo dominio en el bosque.

Este apartado es muy importante si tuviésemos otros dominios ya instalados en nuestra organización, es decir, controladores de dominio ya existentes, soportados por versiones de Windows Server anteriores a Windows Server 2012.

El elegir el nivel funcional correspondiente a Windows Server 2012, da ventajas al utilizar versiones mejorada (últimas) de los protocolos de autenticación (Kerberos) y de transporte de datos, entre otros. Siempre será conveniente elegir el máximo nivel funcional.

Se puede definir de forma independiente el nivel funcional del bosque y el del dominio. Como partimos de un nuevo bosque, instalaremos tanto el bosque como los dominios en el nivel funcional superior (Windows Server 2012).

Vemos que, por defecto, se instalará el Catálogo Global. El Catálogo Global (CG) es el conjunto de todos los objetos de un bosque de los servicios de dominio de Active Directory (AD DS). Un servidor de catálogo global es un controlador de dominio que almacena una copia completa de todos los objetos del directorio para su dominio host y una copia parcial de solo lectura de todos los objetos del resto de dominios del bosque. Los servidores del catálogo global responden a las consultas del catálogo global.

Un servidor de catálogo global permite:

  • Buscar objetos.
  • Proporciona autenticación del nombre principal de usuario.
  • Valida referencias de objeto de un bosque.
  • Proporciona información de pertenencia a grupos universales en un entorno de varios dominios.

Seguidamente nos aparece una ventana en la que se nos permite elegir si admitimos la delegación DNS. Esta opción está disponible en el caso de que tuviésemos un servidor DNS activo con la delegación DNS activada, es decir, que se permitiera disponer de otro servidor adicional DNS habilitado. En nuestro caso está deshabilitada.

A continuación, nos pide que indiquemos el nombre NetBIOS del nuevo dominio. Vemos como, aunque no sería necesario funcionar en nuestra red mediante estos nombres, Windows Server 2012 lo sigue pidiendo para guardar compatibilidad con equipos antiguos.

Nos mostrará las ubicaciones en las que va a almacenar la BBDD del dominio, la carpeta de archivos de registros y la carpeta SYSVOL.

Estas ubicaciones son modificables aunque si no existe ningún motivo importante se deberán dejarán en esas ubicaciones.

Carpeta NTDS

En esta carpeta se almacena la Base de Datos del Directorio Activo, es decir, todos los atributos públicos del dominio junto con sus registros.

Carpeta NETLOGON

La carpeta NetLogon se mantiene por compatibilidad con clientes heredados

Windows NT4 o 98 que van a buscar las políticas y “login scripts”.

Carpeta SYSVOL

El volumen del sistema (Sysvol) es un directorio compartido que almacena la copia del servidor de los archivos públicos del dominio que debe compartirse para tareas comunes de acceso y replicación a lo largo de un dominio.

La carpeta Sysvol en un controlador de dominio contiene los siguientes elementos:

‐ Las secuencias de inicio de sesión de red: Éstos suelen alojar las secuencias de comandos de inicio de sesión y los objetos de directiva para equipos cliente de red.

Secuencias de comandos de inicio de sesión de usuario para dominios en los que se utiliza el Administrador del Directorio Activo.

Directiva de grupos de Windows.

Servicio de Replicación de Archivos (FRS), carpetas y archivos que deben estar disponibles y sincronizadas entre controladores de dominio.

‐ La descripción de los volúmenes de los sistemas de archivos en el dominio.

Esta carpeta no debe ser “nunca” manipulada o modificada.

Las carpetas NETLOGON y SYSVOL son carpetas compartidas, por tanto, visibles en la red y ubicadas en cada Controlador de Dominio. Deben estar siempre presentes, pues si faltaran, los usuarios no podrían validarse en el dominio.

Una vez aceptadas estas opciones, nos aparece una ventana con las opciones elegidas.

Nos permite generar un “script” por si deseáramos realizar esta función de forma automatizada en más servidores, utilizando la “PowerShell”, es decir, mediante comandos.

A continuación, el sistema verifica todos los requisitos previos. Si todo ha ido bien, daremos a “Instalar”. Si faltara configurar algo, seleccionaríamos en la correspondiente advertencia.

Tras completarse la instalación y reiniciar el sistema, aparecerá la típica pantalla de inicio de sesión. Deberemos entrar con la cuenta de administrador del dominio.

Veremos como ya nos aparecen dos roles más en el “ServerManager” el del DA (AD DS) y el del DNS:

Lo primero es ver si todo funciona bien, si tenemos red y no aparecen “errores críticos” en el “Server Manager”.

En el supuesto de que apareciera algún servicio en rojo, se debe estudiar cuál es el motivo que lo provoca. El “Visor de eventos” es una opción, si bien el “Analizador de Procedimientos RecomendadosRecomendados ubicado en el mismo “Server Manager” es una buena utilidad para revisar a demanda y buscar el motivo de dicho fallo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *