Al instalar los Servicios de dominio de Active Directory (AD DS), se elige una de las posibilidades de implementación siguientes:
-
Adición de un nuevo controlador de dominio a un dominio
-
Agregar un nuevo dominio secundario a un bosque o la opción de agregar un nuevo árbol de dominios
Nota La opción de instalar un nuevo árbol de dominios sólo está disponible si se activa la casilla Usar la instalación en modo avanzado en la página Asistente para la instalación de los Servicios de dominio de Active Directory de dicho asistente.
-
Creación de un bosque
En las secciones siguientes se describe detalladamente cada una de estas configuraciones de implementación.
Adición de un nuevo controlador de dominio a un dominio
Si ya tiene un controlador de dominio en un dominio, puede agregarle otros controladores de dominio con el fin de mejorar la disponibilidad y confiabilidad de los servicios de red. Al agregar más controladores de dominio, puede facilitar la tolerancia a errores, el equilibrio de la carga de los controladores de dominio existentes y dotar a los sitios de una infraestructura más compatible.
Si un dominio tiene más de un controlador de dominio, puede seguir funcionando si uno de los controladores de dominio tiene problemas o debe desconectarse. Al tener varios controladores de dominio, también mejora el rendimiento, ya que para los clientes es más fácil conectarse a un controlador de dominio al iniciar sesión en la red.
Preparación de un dominio existente
Antes de agregar un controlador de dominio con Windows Server 2008 R2 a un dominio existente de Active Directory, debe preparar el bosque y el dominio mediante la ejecución de Adprep.exe. Asegúrese de que se ejecuta la versión de Adprep que se incluye en los medios de instalación de Windows Server 2008 R2. Esta versión de Adprep agrega atributos y objetos de esquema necesarios para los controladores de dominio en los que se ejecuta Windows Server 2008 R2, y modifica los permisos de los objetos nuevos y existentes.
Use los siguientes parámetros de adprep en función de los requisitos de su entorno:
-
Ejecute adprep /forestprep una vez en el controlador de dominio en el bosque que contiene el rol de maestro de operaciones de esquema (el maestro de esquema) antes de agregar un controlador de dominio con Windows Server 2008 R2. Para ejecutar este comando, debe ser miembro de los grupos Administradores de organización, Administradores de esquema y Admins. del dominio del dominio que incluye el maestro de esquema.
-
Además, ejecute adprep /domainprep /gpprep una vez en el controlador de dominio que contiene el rol de maestro de operaciones de infraestructura (el maestro de infraestructura) en cada dominio en el que tenga pensado agregar un controlador de dominio con Windows Server 2008 R2. Para ejecutar este comando, debe ser miembro del grupo Admins. del dominio.
-
Si tiene previsto implementar un controlador de dominio de sólo lectura (RODC) en cualquier dominio del bosque, también debe ejecutar adprep /rodcprep una vez en el bosque. Puede ejecutar este comando en cualquier equipo del bosque. Para ejecutar este comando, debe ser miembro del grupo Administradores de organización. Para obtener más información, consulte la página acerca de cómo preparar un bosque para un controlador de dominio de sólo lectura (
https://go.microsoft.com/fwlink/?LinkId=93244 ) (puede estar en inglés).
Instalación desde medios
Cuando se instala un nuevo controlador de dominio en un dominio existente, se puede elegir la opción de instalación desde medios (IFM) para copiar la base de datos del dominio desde un medio en lugar de hacerlo a través de la red. Esta opción está disponible en el Asistente para la instalación de los Servicios de dominio de Active Directory sólo si se activa la casilla Usar la instalación en modo avanzado en la primera página del asistente. El subcomando ntdsutil ifm es la herramienta recomendada para crear medios de instalación. Para obtener más información acerca del uso de IFM, vea Instalación desde medios.
Adición de un nuevo dominio a un bosque
De manera predeterminada, un bosque nuevo contiene un dominio, que se conoce como el dominio raíz del bosque. Este único dominio tiene cabida para miles de usuarios incluso aunque sólo se disponga de una pequeña cantidad de ancho de banda de red para la replicación de Active Directory. Por lo tanto, normalmente, para las organizaciones pequeñas y medianas suele ser suficiente un único dominio. Agregar más dominios al bosque aumenta en gran medida los requisitos de administración de este último.
Sin embargo, las organizaciones más grandes pueden decidir agregar dominios secundarios al bosque para que los datos del dominio se repliquen sólo donde sea necesario. Un dominio secundario comparte un espacio de nombres contiguo con su dominio primario. Por ejemplo, ventas.contoso.com es un dominio secundario de contoso.com. Un dominio secundario mantiene automáticamente una relación de confianza transitiva bidireccional con su dominio primario.
Si un dominio nuevo no comparte un espacio de nombres contiguo con su dominio primario, se trata de un nuevo árbol de dominios. Para obtener más información acerca de la creación de un árbol de dominios, consulte Creación de un árbol de dominios más adelante, en este mismo tema.
Cuando se agregan dominios al bosque, se crean particiones de AD DS, lo que permite replicar los datos sólo donde es necesario. De esta manera, un solo bosque de Active Directory se puede adaptar globalmente para admitir cientos de miles (e incluso millones) de usuarios en una red con un ancho de banda limitado.
Requisitos para la creación de un dominio
Para poder crear un dominio secundario, debe ser miembro del grupo Admins. del dominio en el dominio primario o del grupo Administradores de organización. Para poder crear un árbol de dominios, debe ser miembro del grupo Administradores de organización.
El Asistente para la instalación de los Servicios de dominio de Active Directory admite nombres de dominio de Active Directory de hasta 64 caracteres o 155 bytes. Si bien el límite de 64 caracteres suele alcanzarse antes que el límite de 155 bytes, podría darse el caso opuesto si el nombre contiene caracteres Unicode que usan tres bytes. Estos límites no se aplican a los nombres de equipo.
Durante la instalación, Dcpromo.exe crea una delegación de zona del Sistema de nombres de dominio (DNS). Si se produce un error en la creación de la delegación de zona DNS o decide no crearla, lo que no es aconsejable, deberá crear una delegación de zona de forma manual. Para obtener más información acerca de la creación de una delegación de zona, consulte Creación o actualización de una delegación DNS.
Para poder agregar un dominio a un bosque, es necesario crear una delegación DNS para la zona DNS que coincida con el nombre del dominio de Active Directory que se va a agregar. El Asistente para la instalación de los Servicios de dominio de Active Directory comprueba si existe la delegación DNS. Si no existe, el asistente ofrece la opción de crear la delegación DNS automáticamente durante la creación del dominio.
Creación de un árbol de dominios
Debería crear un árbol de dominios sólo si es necesario crear un dominio cuyo espacio de nombres DNS no está relacionado con los demás dominios del bosque. Esto significa que no es necesario que el nombre del dominio raíz del árbol (y todos sus dominios secundarios) contenga el nombre completo del dominio primario.
Por ejemplo, treyresearch.net puede ser un árbol de dominios del bosque contoso.com. Lo más habitual es que se creen árboles de dominios como parte de una adquisición comercial o una fusión de varias organizaciones. Un bosque puede contener uno o más árboles de dominios.
Antes de crear un árbol de dominios, cuando desee un espacio de nombres DNS diferente, considere la posibilidad de crear otro bosque. La opción de varios bosques proporciona autonomía administrativa, aislamiento de las particiones de directorio de configuración y esquema, límites de seguridad independientes y la flexibilidad de usar un diseño de espacio de nombres independiente para cada bosque.
Creación de un bosque
Para crear un bosque, debe ser miembro del grupo Administradores local en el servidor donde se instala AD DS.
Nombres DNS y NetBIOS
Antes de crear un bosque, asegúrese de que ha planeado completamente la infraestructura de DNS. Para crear un bosque, debe conocer su nombre DNS completo. Puede instalar el servicio Servidor DNS antes de instalar AD DS o, preferiblemente, puede elegir que lo instale el Asistente para la instalación de los Servicios de dominio de Active Directory de forma automática.
Si permite que el asistente instale el servicio Servidor DNS, el asistente usará el nombre DNS que se proporcione para generar automáticamente un nombre NetBIOS para el primer dominio del bosque. Antes de continuar, el asistente comprobará si el nombre DNS y el nombre NetBIOS son únicos en la red. Debe activar la casilla Usar la instalación en modo avanzado en la página Asistente para la instalación de los Servicios de dominio de Active Directory para especificar un nombre NetBIOS distinto del que el asistente genera de forma automática.
Nota | |
La página Nombre NetBIOS del dominio del asistente también aparece si el nombre NetBIOS generado automáticamente entra en conflicto con un nombre existente. |
De manera predeterminada, el servicio Servidor DNS se instala en el primer controlador de dominio de un bosque. Si ya tiene una infraestructura de DNS configurada para admitir la resolución de nombres para el nuevo bosque, puede desactivar la casilla Servidor DNS de la página Opciones adicionales del asistente. Sin embargo, si todavía no tiene establecida una infraestructura de DNS compatible, acepte la configuración predeterminada para que el asistente instale el servicio Servidor DNS en el primer controlador de dominio del bosque.
Al hacer clic en Siguiente para continuar, el Asistente para la instalación de los Servicios de dominio de Active Directory examina la infraestructura de DNS existente. Si desactivó la casilla Servidor DNS, el asistente realiza pruebas diagnósticas para comprobar que hay una infraestructura de DNS compatible. Si las pruebas de diagnóstico no generan resultados satisfactorios, de nuevo tiene la opción de instalar el servicio Servidor DNS mediante el asistente.
Niveles funcionales
Para un bosque nuevo, el nivel funcional predeterminado del bosque es Windows 2000 y el nivel funcional del dominio es el nativo de Windows 2000. Éstos son los niveles funcionales más bajos posibles y permiten que los controladores de dominio ejecuten Windows Server 2003, Windows® 2000 Server, Windows Server 2008 o Windows Server 2008 R2.
Si no tiene previsto agregar controladores de dominio que ejecuten estas versiones anteriores de Windows Server, seleccione niveles funcionales más altos para habilitar características avanzadas. Si selecciona Windows Server 2008 R2 como nivel funcional del bosque, todos los dominios que se agreguen posteriormente al bosque se crearán con el nivel funcional de dominio de Windows Server 2008 R2. Por consiguiente, la página Establecer el nivel funcional del dominio no aparece en el Asistente para la instalación de los Servicios de dominio de Active Directory. Si selecciona un nivel funcional de bosque distinto, puede establecer el nivel funcional del dominio por separado para cada dominio del bosque. Para obtener más información acerca de los niveles funcionales, consulte Establecimiento del nivel funcional del dominio o del bosque.
Roles de maestro de operaciones
El primer controlador de dominio de este dominio hospeda todos los roles de maestro de operaciones, también denominadas FSMO (Flexible Single Master Operations), para el bosque.
Recomendamos agregar más controladores de dominio al dominio para mejorar la disponibilidad y la tolerancia a errores de AD DS. Después de crear controladores de dominio adicionales, quizás desee transferirles algunos de los roles de maestro de operaciones que se hospedan en el primer controlador de dominio. Si tiene pensado crear un bosque con varios dominios y ninguno de los controladores de dominio del dominio raíz del bosque va a ser un servidor de catálogo global, debería transferir al menos el rol de maestro de infraestructura del dominio raíz del bosque a otro controlador de dominio del dominio que no sea un servidor de catálogo global.
Para obtener más información acerca de la administración de roles de maestro de operaciones, vea Administración de funciones del maestro de operaciones para garantizar el correcto funcionamiento de las operaciones de Active Directory.