Comprender Active Directory

Muchas veces he leído preguntas en los foros de Technet, donde veo que hay conceptos que algunos no tienen lo sufiencientemente claros, por lo que me he decidido a escribir esta nota, tratando de aclarar lo más resumidamente posible algunos conceptos fundamentales para comprender Active Directory.

Lo primero a tener en cuenta es la diferencia entre un “Grupo de Trabajo” y un “Dominio Active Directory”
Y la diferencia fundamental está en la forma de administrar:

  • Grupo de Trabajo: la administración se hace localmente en cada equipo. Cualquier cambio que queremos que se refleje en todas las máquinas debemos hacerlo una vez en cada una de ellas
  • Domino Active Directory: a diferencia del caso anterior, en este la administración es centralizada y se hace a nivel de dominio, y por lo tanto afectará a todas las cuentas de dominio: usuarios y máquinas

¿Cómo creamos un Dominio?

Bueno, lo primero es tener un equipo con sistema operativo de servidor, al cual le instalamos y configuramos la funcionalidad de Controlador de Dominio
Cuando al primer servidor le agregamos la funcionalidad nombrada, estamos creando nuestro Dominio.

Debemos tener en claro la diferencia entre “Dominio”, y “Controlador de Dominio”. Un “Dominio” es un concepto lógico, no es físico como el “Controlador de Dominio”

Para instalar la función de Controlador de Dominio, tenemos ciertos requerimientos:

  • Una máquina con sistema operativo servidor
  • Configuración manual de TCP/IP (no por DHCP)
  • Tener privilegios de Administrador local
  • Por lo menos una partición NTFS con suficiente espacio en disco
  • El servicio DNS, adecuadamente configurado, también es un requisito, pero podemos hacer que lo instale y configure el mismo asistente que nos permite agregar la función.

Cuando a un servidor le agregamos la función de Controlador de Dominio normalmente se dice que lo “promocionamos a Controlador de Dominio”.

Para llegar a esto tenemos dos opciones que nos llevarán al mismo resultado:

  1. Ingresar a la Herramienta Administrativa, Administración del Servidor, y agregar el Rol “Servicios de Dominio de Active Directory”. Cuando finaliza la instalación de los binarios necesarios, nos ofrecerá un enlace que nos permitirá la configuración del mismo (Nombre del Dominio, si creamos un Dominio nuevo, o si ponemos un Controlador de Dominio en un Dominio existente, etc.)
  2. Esta opción es directamente desde una línea de comandos con privilegios administrativos ejecutar: DCPROMO.EXE
    En este caso verificará si están instalados los binarios correspondientes, si no están los instalará, y luego automáticamente ejecutará el mismo asistente de configuración que en el caso anterior

La función principal de un Controlador de Dominio es autenticar las cuentas, tanto de usuarios como de máquinas.

Es totalmente recomendable que un Dominio, aunque sea pequeño, tenga más de un Controlador de Dominio. El motivo de esto es asegurarse tener tolerancia a fallas.
Si por cualquier razón un Controlador de Dominio no estuviera disponible, otro puede cumplir sus funciones. Inclusive si está adecuadamente configurada la red, esto es totalmente automático y transparente para los usuarios.

Para tener más de un Controlador de Dominio, simplemente debemos ejecutar el mismo proceso anterior, sólo que en este caso durante el asistente le diremos que es Controlador de Dominio adicional, en un Dominio ya existente. En este caso toda la información de Active Directory que está en el primero se replicará en el segundo Controlador de Dominio

¿Controlador de Dominio Primario?

Esta también es una de las dudas que circulan mucho. Primero que nada vamos a lidiar con nuestro idioma, que aunque para bien es muy rico en su expresión, puede traer confusiones

¿A qué se refiere la frase del título? ¿Será a un “Controlador primario” del Dominio? ¿O será a un Controlador del “Dominio primario”?

A decir verdad cualquiera de las dos expresiones no son válidas, y vemos el por qué de esto.

El concepto de “Controlador primario” (o PDC Primary Domain Controller) es de la época de los NTs, donde sólo un Controlador de Domino aceptaba cambios, que luego replicaba a los “Controladores Secundarios (o BDCs Backup Domain Controllers).
A partir de Windows Server 2000 esto ya no es así. Cualquier Controlador de Dominio acepta cambios en el Active Directory y luego esa información se replicará al resto de los Controladores de Dominio del Dominio

Tampoco es válido hablar de “Dominio primario”. En realidad si estuviéramos en un entorno con más de un Dominio en nuestra estructura deberíamos referirnos al “Dominio Raíz del Bosque” (si dicho Dominio en realidad lo es)

Algunos incorrectamente hablan del “Controlador primario” cuando se refieren al que tiene los cinco roles de Maestro de Operaciones, pero esto no es correcto, ya que estos roles pueden estar repartidos entre varios Controladores de Dominio, con lo cual sería imposible decir cuál sería el principal

En una futura nota hablaremos sobre los roles de “Maestros de Operaciones” (o FMSO Roles)

Tampoco es correcto decir que el “Controlador principal” es el que cumple funciones de Catálogo Global, ya que esta función puede, y debe, ser cumplida por más de un Controlador de Dominio, ya que es necesaria para que en caso de fallas todo siga funcionando normalemente, y sin tener que hacer “cambios de último momento”

Dejo para tres futuras notas:

  • Funcionalidad de los Maestros de Operaciones
  • Funcionalidad del Catálogo Global
  • Cómo tener tolerancia a fallas sobre Active Directory
Anuncios
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • Santiago Bonzanni  El 18/07/2011 a las 11:17

    Guillermo te felicito por esta pagina, haces que comprendamos muy facilmente cosas que por ahi son complejas. Muchas Gracias nuevamente.

  • MagicSys  El 16/08/2011 a las 18:09

    Igual que el anterior comentario, me diste luz en los conceptos para saberme expresar bien en el mundo de los blog cuando pregunte… gracias

  • Polte  El 23/11/2011 a las 13:52

    Realmente muy valiosa la información de este Blog. Creo que mas gente como tu debería compartir así sus conocimientos con aquellos que recién empezamos en esto. Felicitaciones!

  • leandro  El 08/03/2012 a las 09:06

    Muy bueno el material. Felicitaciones !!!

  • Luis  El 20/04/2012 a las 18:38

    Yeah!, muy buen post! Ya me quedo mas claro este rollo, la verdad si se me hacia medio complejo de digerir.

    Saludos!

  • Nicolas Valenzuela  El 23/08/2012 a las 13:17

    Gracias muy explicativa tu nota.

    Saludos.

  • Cristian  El 30/11/2012 a las 16:19

    Hola muy buena la explicación, te hago una consulta, si tengo 2 controladores de dominio 2003, puedo agregar un tercero con w2008?? y si se puede como debería hacerlo?

    • Delprato  El 30/11/2012 a las 16:56

      Si, no hay problema, pero primero hay que preparar el Schema y el Dominio
      Desde el DVD de W2008 debes ejecutar, en el DC que tiene todos los FSMO Roles los siguientes comandos
      ADPREP /FORESTPREP (esperar que replique a todos los DCs)
      ADPREP /DOMAINPREP (esperar que replique a todos los DCs)
      Dependiendo cómo esté configurado también ADPREP /FORESTPREP /GPPREP

      Si los W2003 fueran x86, entonces en lugar del ADPREP.EXE es ADPREP32.EXE
      Luego ya se puede promover el W2008 como DC

  • sandro  El 16/08/2014 a las 15:24

    Muchas gracias Guillermo por tremendo aporte.

    Saludos.

  • Javier Azogue  El 29/09/2014 a las 18:06

    En realidad una excelente nota. Muchas gracias por compartir estos conocimientos. Felicitaciones Guillermo.!

  • Alejandro  El 16/10/2014 a las 12:29

    Excelente todas las publicaciones Guillermo,sencillas y bien explicadas.Ahorras un montón de tiempo a la gente, que es lo mas valioso en estos dias…

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: