Muchas veces he leído preguntas en los foros de Technet, donde veo que hay conceptos que algunos no tienen lo sufiencientemente claros, por lo que me he decidido a escribir esta nota, tratando de aclarar lo más resumidamente posible algunos conceptos fundamentales para comprender Active Directory.
Lo primero a tener en cuenta es la diferencia entre un “Grupo de Trabajo” y un “Dominio Active Directory”
Y la diferencia fundamental está en la forma de administrar:
- Grupo de Trabajo: la administración se hace localmente en cada equipo. Cualquier cambio que queremos que se refleje en todas las máquinas debemos hacerlo una vez en cada una de ellas
- Domino Active Directory: a diferencia del caso anterior, en este la administración es centralizada y se hace a nivel de dominio, y por lo tanto afectará a todas las cuentas de dominio: usuarios y máquinas
¿Cómo creamos un Dominio?
Bueno, lo primero es tener un equipo con sistema operativo de servidor, al cual le instalamos y configuramos la funcionalidad de Controlador de Dominio
Cuando al primer servidor le agregamos la funcionalidad nombrada, estamos creando nuestro Dominio.
Debemos tener en claro la diferencia entre “Dominio”, y “Controlador de Dominio”. Un “Dominio” es un concepto lógico, no es físico como el “Controlador de Dominio”
Para instalar la función de Controlador de Dominio, tenemos ciertos requerimientos:
- Una máquina con sistema operativo servidor
- Configuración manual de TCP/IP (no por DHCP)
- Tener privilegios de Administrador local
- Por lo menos una partición NTFS con suficiente espacio en disco
- El servicio DNS, adecuadamente configurado, también es un requisito, pero podemos hacer que lo instale y configure el mismo asistente que nos permite agregar la función.
Cuando a un servidor le agregamos la función de Controlador de Dominio normalmente se dice que lo “promocionamos a Controlador de Dominio”.
Para llegar a esto tenemos dos opciones que nos llevarán al mismo resultado:
- Ingresar a la Herramienta Administrativa, Administración del Servidor, y agregar el Rol “Servicios de Dominio de Active Directory”. Cuando finaliza la instalación de los binarios necesarios, nos ofrecerá un enlace que nos permitirá la configuración del mismo (Nombre del Dominio, si creamos un Dominio nuevo, o si ponemos un Controlador de Dominio en un Dominio existente, etc.)
- Esta opción es directamente desde una línea de comandos con privilegios administrativos ejecutar: DCPROMO.EXE
En este caso verificará si están instalados los binarios correspondientes, si no están los instalará, y luego automáticamente ejecutará el mismo asistente de configuración que en el caso anterior
La función principal de un Controlador de Dominio es autenticar las cuentas, tanto de usuarios como de máquinas.
Es totalmente recomendable que un Dominio, aunque sea pequeño, tenga más de un Controlador de Dominio. El motivo de esto es asegurarse tener tolerancia a fallas.
Si por cualquier razón un Controlador de Dominio no estuviera disponible, otro puede cumplir sus funciones. Inclusive si está adecuadamente configurada la red, esto es totalmente automático y transparente para los usuarios.
Para tener más de un Controlador de Dominio, simplemente debemos ejecutar el mismo proceso anterior, sólo que en este caso durante el asistente le diremos que es Controlador de Dominio adicional, en un Dominio ya existente. En este caso toda la información de Active Directory que está en el primero se replicará en el segundo Controlador de Dominio
¿Controlador de Dominio Primario?
Esta también es una de las dudas que circulan mucho. Primero que nada vamos a lidiar con nuestro idioma, que aunque para bien es muy rico en su expresión, puede traer confusiones
¿A qué se refiere la frase del título? ¿Será a un “Controlador primario” del Dominio? ¿O será a un Controlador del “Dominio primario”?
A decir verdad cualquiera de las dos expresiones no son válidas, y vemos el por qué de esto.
El concepto de “Controlador primario” (o PDC Primary Domain Controller) es de la época de los NTs, donde sólo un Controlador de Domino aceptaba cambios, que luego replicaba a los “Controladores Secundarios (o BDCs Backup Domain Controllers).
A partir de Windows Server 2000 esto ya no es así. Cualquier Controlador de Dominio acepta cambios en el Active Directory y luego esa información se replicará al resto de los Controladores de Dominio del Dominio
Tampoco es válido hablar de “Dominio primario”. En realidad si estuviéramos en un entorno con más de un Dominio en nuestra estructura deberíamos referirnos al “Dominio Raíz del Bosque” (si dicho Dominio en realidad lo es)
Algunos incorrectamente hablan del “Controlador primario” cuando se refieren al que tiene los cinco roles de Maestro de Operaciones, pero esto no es correcto, ya que estos roles pueden estar repartidos entre varios Controladores de Dominio, con lo cual sería imposible decir cuál sería el principal
En una futura nota hablaremos sobre los roles de “Maestros de Operaciones” (o FMSO Roles)
Tampoco es correcto decir que el “Controlador principal” es el que cumple funciones de Catálogo Global, ya que esta función puede, y debe, ser cumplida por más de un Controlador de Dominio, ya que es necesaria para que en caso de fallas todo siga funcionando normalemente, y sin tener que hacer “cambios de último momento”
Dejo para tres futuras notas:
- Funcionalidad de los Maestros de Operaciones
- Funcionalidad del Catálogo Global
- Cómo tener tolerancia a fallas sobre Active Directory
Comentarios
Guillermo te felicito por esta pagina, haces que comprendamos muy facilmente cosas que por ahi son complejas. Muchas Gracias nuevamente.
Gracias Santiago
Con comentarios así da gusto hacer las notas :-)
Igual que el anterior comentario, me diste luz en los conceptos para saberme expresar bien en el mundo de los blog cuando pregunte… gracias
Gracias a ti
Realmente muy valiosa la información de este Blog. Creo que mas gente como tu debería compartir así sus conocimientos con aquellos que recién empezamos en esto. Felicitaciones!
Gracias :-)
Muy bueno el material. Felicitaciones !!!
¡Gracias por tu comentario Leandro!
:)
Yeah!, muy buen post! Ya me quedo mas claro este rollo, la verdad si se me hacia medio complejo de digerir.
Saludos!
¡Gracias Luis!
Gracias muy explicativa tu nota.
Saludos.
Hola muy buena la explicación, te hago una consulta, si tengo 2 controladores de dominio 2003, puedo agregar un tercero con w2008?? y si se puede como debería hacerlo?
Si, no hay problema, pero primero hay que preparar el Schema y el Dominio
Desde el DVD de W2008 debes ejecutar, en el DC que tiene todos los FSMO Roles los siguientes comandos
ADPREP /FORESTPREP (esperar que replique a todos los DCs)
ADPREP /DOMAINPREP (esperar que replique a todos los DCs)
Dependiendo cómo esté configurado también ADPREP /FORESTPREP /GPPREP
Si los W2003 fueran x86, entonces en lugar del ADPREP.EXE es ADPREP32.EXE
Luego ya se puede promover el W2008 como DC
Muchas gracias Guillermo por tremendo aporte.
Saludos.
Me alegro te sea útil Sandro
:-)
En realidad una excelente nota. Muchas gracias por compartir estos conocimientos. Felicitaciones Guillermo.!
¡Gracias Javier! me alegro te gusta y sea útil
:-)
Excelente todas las publicaciones Guillermo,sencillas y bien explicadas.Ahorras un montón de tiempo a la gente, que es lo mas valioso en estos dias…
¡Gracias Alejandro! :-)
Trackbacks
[…] Comprender Active Directory […]