Es posible instalar un controlador de dominio de sólo lectura (RODC) por fases: usuarios diferentes completan la instalación en dos etapas. Se puede usar el Asistente para la instalación de los Servicios de dominio de Active Directory para completar cada fase de la instalación.
-
Uso de la instalación en modo avanzado
-
Configuración de opciones adicionales del controlador de dominio
-
Delegación de la instalación y administración de controladores de dominio de sólo lectura
-
Especificación de la directiva de replicación de contraseñas
-
Selección de una cuenta de controlador de dominio de sólo lectura
Descripción de una instalación de RODC por fases
En la primera fase de la instalación se crea una cuenta para el RODC en los Servicios de dominio de Active Directory (AD DS). En la segunda fase de la instalación se asocia el servidor que será el RODC a la cuenta previamente creada para él.
Durante la primera fase, el Asistente para la instalación de los Servicios de dominio de Active Directory registra todos los datos del RODC que se van a almacenar en la base de datos distribuida de Active Directory, como el nombre de la cuenta del controlador de dominio del RODC y el sitio en el que se ubicará. Esta fase debe realizarla un miembro del grupo Admins. del dominio.
El usuario que crea la cuenta de RODC también puede especificar en ese momento qué usuarios o grupos pueden completar la siguiente fase de la instalación. La siguiente fase de la instalación la puede realizar en la sucursal cualquier usuario o miembro de un grupo en quien se haya delegado el derecho de completar la instalación cuando se creó la cuenta. Esta fase no requiere la pertenencia a grupos integrados, como el grupo Admins. del dominio. Si el usuario que crea la cuenta de RODC no especifica ningún delegado para completar la instalación (y administrar el RODC), únicamente un miembro del grupo Admins. del dominio o del grupo Administradores de organización podrá completarla.
Durante la segunda fase de la instalación, el asistente instala AD DS en el servidor que se convertirá en RODC. Normalmente, esta fase tiene lugar en la sucursal donde se implementa el RODC. Durante esta fase, todos los datos de AD DS que residen localmente, como la base de datos o los archivos de registro, se crean en el propio RODC. Los archivos de origen de instalación se pueden replicar en el RODC desde otro controlador de dominio a través de la red o mediante la característica de instalación desde medios (IFM). Si elige IFM, use Ntdsutil.exe para crear medios de instalación específicos para la instalación del RODC. Para obtener más información acerca del uso de IFM, consulte Instalación desde medios.
El servidor que será el RODC no debe unirse al dominio antes de intentar asociarlo a la cuenta de RODC. Como parte de la instalación, el Asistente para la instalación de los Servicios de dominio de Active Directory detecta de forma automática si el nombre del servidor coincide con los nombres de las cuentas de RODC creadas anticipadamente para el dominio. Cuando el asistente encuentra un nombre de cuenta coincidente, solicita al usuario que la use para completar la instalación del RODC.
Escenario para una instalación por fases
Cuando una organización decide usar la instalación por fases, puede implementar un controlador de dominio en una sucursal de forma más eficaz que en versiones anteriores de Windows Server. Por ejemplo, un miembro del grupo Admins. del dominio en una ubicación central puede crear una cuenta de RODC en AD DS. Esta fase de la instalación completa todas las tareas de implementación para las que se requieren credenciales de administración del dominio, como crear la cuenta de equipo para el controlador de dominio, especificar el sitio para el mismo y crear un objeto Configuración NTDS para el servidor.
Cuando un miembro del grupo Admins. del dominio crea la cuenta de RODC, puede delegar en otro usuario o grupo de seguridad el derecho de completar la instalación del RODC en la sucursal. La tarea de asociar el servidor a la cuenta de RODC existente no tiene que realizarla un miembro del grupo Admins. del dominio. Podrá realizar esta tarea cualquier administrador delegado (o miembro de grupo delegado) que haya especificado el miembro del grupo Admins. del dominio durante la primera fase de la instalación.
La organización puede solicitar el servidor y enviarlo directamente a la sucursal donde se puede completar la instalación del RODC. En el pasado, los controladores de dominio de las sucursales a menudo tenían que solicitarse y enviarse a una ubicación central o intermedia antes de enviarlos a la sucursal donde debían implementarse. Como alternativa, se creaban medios de instalación en una ubicación central y después se enviaban a la sucursal para completar la instalación del controlador de dominio. La instalación por fases de RODC simplifica el proceso de implementación de los controladores de dominio, ya que elimina estos pasos de instalación intermedios.
Procedimiento para realizar instalaciones por fases
Para poder instalar un RODC, es necesario preparar el bosque mediante la ejecución de adprep /rodcprep. Para obtener más información acerca de la preparación del bosque mediante adprep, veaElección de una configuración de implementación de los Servicios de dominio de Active Directory.
Después, se puede crear la cuenta de RODC con el complemento Usuarios y equipos de Active Directory. En el árbol de consola, haga clic con el botón secundario en el contenedor Controladores de dominio o haga clic en el contenedor Controladores de dominio y en Acción, y después haga clic en Crear previamente una cuenta de controlador de dominio de sólo lectura.
Para crear una cuenta de RODC también se puede ejecutar dcpromo en la línea de comandos, pero el comando debe especificar también el nombre del dominio donde se va a instalar el RODC. En la línea de comandos, escriba el siguiente comando y presione ENTRAR:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:DomainName
(donde DomainName es el nombre del dominio en el que se va a instalar el RODC).
Después de crear la cuenta de RODC, ésta aparece en el contenedor Controladores de dominio como una cuenta de controlador de dominio desocupada hasta que un usuario delegado le asocia el servidor.
Después de que el administrador delegado asigna una dirección IP estática y configura las opciones de cliente DNS para el servidor, puede ejecutar el Asistente para la instalación de los Servicios de dominio de Active Directory para asociar el servidor de la sucursal a la cuenta de RODC existente. Para asociar el servidor a la cuenta, se abre un símbolo del sistema en el servidor que va a ser el controlador de dominio, se escribe el comando siguiente y se presiona ENTRAR:
dcpromo /UseExistingAccount:Attach
El administrador delegado recibe una notificación de que se están instalando los binarios de AD DS. Después, el Asistente para la instalación de los Servicios de dominio de Active Directory inicia automáticamente la segunda fase de la instalación. El administrador delegado puede agregar el parámetro /adv al comando dcpromo o activar la casilla Usar la instalación en modo avanzado en la página Asistente para la instalación de los Servicios de dominio de Active Directory para especificar las siguientes opciones de instalación adicionales:
-
Si se van a replicar los datos a través de la red o desde medios
-
Qué controlador de dominio se usará como asociado de instalación
En la página Credenciales de red del asistente, el administrador delegado debe escribir el nombre del dominio del bosque donde se va a instalar el RODC, junto con las credenciales alternativas que se usarán para la instalación. Estas credenciales alternativas son necesarias para asociar el servidor a una cuenta de controlador de dominio existente porque lo debe hacer un usuario del dominio. Sin embargo, el administrador delegado tuvo que iniciar sesión en el servidor con una cuenta de administrador local, ya que el servidor todavía no estaba unido al dominio. Por lo tanto, ahora el administrador delegado debe especificar la cuenta de usuario del dominio (o una cuenta que sea miembro del grupo de administración delegado) en la que se delegó el derecho de instalar y administrar el RODC cuando el miembro del grupo Admins. del dominio creó la cuenta para el RODC.
Desinstalación de AD DS de un RODC
Un administrador delegado puede quitar AD DS del RODC mediante la ejecución de Dcpromo.exe. El Asistente para la instalación de los Servicios de dominio de Active Directory solicita información, como la contraseña de la nueva cuenta de administrador local, que es necesaria para quitar AD DS y convertir el equipo en un servidor independiente. Para completar la desinstalación de AD DS, es necesario reiniciar el servidor.
Detección de conflictos con el nombre y la cuenta del equipo
Después de que el administrador delegado selecciona el nombre de la cuenta de RODC a la que se va a asociar el servidor, el Asistente para la instalación de los Servicios de dominio de Active Directory comprueba si la cuenta no está siendo utilizada por un controlador de dominio activo. Si la comprobación es correcta, el asistente intenta asociar el servidor a esa cuenta y completar la instalación automáticamente.
Si el asistente no encuentra una cuenta de equipo con un nombre coincidente, proporciona al administrador delegado la oportunidad de cambiar el nombre del servidor de manera que coincida con una cuenta de equipo existente o realizar otros procedimientos para solucionar el conflicto de nombres.
Si el asistente encuentra un nombre de cuenta de controlador de dominio coincidente pero la cuenta está habilitada, intenta establecer contacto con el controlador de dominio para comprobar si está en línea. Después, el asistente procede de la siguiente forma:
-
Si el asistente puede determinar que hay otro controlador de dominio con el mismo nombre en línea, bloquea los pasos restantes de la instalación de AD DS. En este caso, el servidor en el que se está realizando la instalación del RODC debe cambiarse de nombre de manera que coincida con el nombre de una cuenta de RODC que no esté en uso.
-
Si el asistente no puede determinar si hay otro controlador de dominio con el mismo nombre en línea, advierte al administrador delegado de que, si continúa con la instalación, el controlador de dominio que tiene el mismo nombre de cuenta no funcionará correctamente (si de hecho está en línea) a pesar de que el asistente no pudo establecer contacto con él.
Esta situación puede darse si se intentó asociar el servidor a la cuenta existente con anterioridad, pero se canceló dicho intento antes de completar la instalación. En este caso, el estado de la cuenta de RODC podría cambiar de deshabilitada a habilitada antes de completarse la instalación. Si es así, el administrador delegado puede hacer clic en Aceptar para continuar después de la advertencia.
Para obtener más información, consulte Selección de una cuenta de controlador de dominio de sólo lectura.