Comprender Active Directory

Muchas veces he leído preguntas en los foros de Technet, donde veo que hay conceptos que algunos no tienen lo sufiencientemente claros, por lo que me he decidido a escribir esta nota, tratando de aclarar lo más resumidamente posible algunos conceptos fundamentales para comprender Active Directory.

Lo primero a tener en cuenta es la diferencia entre un “Grupo de Trabajo” y un “Dominio Active Directory”
Y la diferencia fundamental está en la forma de administrar:

• Grupo de Trabajo: la administración se hace localmente en cada equipo. Cualquier cambio que queremos que se refleje en todas las máquinas debemos hacerlo una vez en cada una de ellas
• Domino Active Directory: a diferencia del caso anterior, en este la administración es centralizada y se hace a nivel de dominio, y por lo tanto afectará a todas las cuentas de dominio: usuarios y máquinas

¿Cómo creamos un Dominio?

Bueno, lo primero es tener un equipo con sistema operativo de servidor, al cual le instalamos y configuramos la funcionalidad de Controlador de Dominio
Cuando al primer servidor le agregamos la funcionalidad nombrada, estamos creando nuestro Dominio.

Debemos tener en claro la diferencia entre “Dominio”, y “Controlador de Dominio”. Un “Dominio” es un concepto lógico, no es físico como el “Controlador de Dominio”

Para instalar la función de Controlador de Dominio, tenemos ciertos requerimientos:

• Una máquina con sistema operativo servidor
• Configuración manual de TCP/IP (no por DHCP)
• Tener privilegios de Administrador local
• Por lo menos una partición NTFS con suficiente espacio en disco
• El servicio DNS, adecuadamente configurado, también es un requisito, pero podemos hacer que lo instale y configure el mismo asistente que nos permite agregar la función.

Cuando a un servidor le agregamos la función de Controlador de Dominio normalmente se dice que lo “promocionamos a Controlador de Dominio”.

Para llegar a esto tenemos dos opciones que nos llevarán al mismo resultado:

1. Ingresar a la Herramienta Administrativa, Administración del Servidor, y agregar el Rol “Servicios de Dominio de Active Directory”. Cuando finaliza la instalación de los binarios necesarios, nos ofrecerá un enlace que nos permitirá la configuración del mismo (Nombre del Dominio, si creamos un Dominio nuevo, o si ponemos un Controlador de Dominio en un Dominio existente, etc.)
2. Esta opción es directamente desde una línea de comandos con privilegios administrativos ejecutar: DCPROMO.EXE
   En este caso verificará si están instalados los binarios correspondientes, si no están los instalará, y luego automáticamente ejecutará el mismo asistente de configuración que en el caso anterior

La función principal de un Controlador de Dominio es autenticar las cuentas, tanto de usuarios como de máquinas.

Es totalmente recomendable que un Dominio, aunque sea pequeño, tenga más de un Controlador de Dominio. El motivo de esto es asegurarse tener tolerancia a fallas.
Si por cualquier razón un Controlador de Dominio no estuviera disponible, otro puede cumplir sus funciones. Inclusive si está adecuadamente configurada la red, esto es totalmente automático y transparente para los usuarios.

Para tener más de un Controlador de Dominio, simplemente debemos ejecutar el mismo proceso anterior, sólo que en este caso durante el asistente le diremos que es Controlador de Dominio adicional, en un Dominio ya existente. En este caso toda la información de Active Directory que está en el primero se replicará en el segundo Controlador de Dominio

¿Controlador de Dominio Primario?

Esta también es una de las dudas que circulan mucho. Primero que nada vamos a lidiar con nuestro idioma, que aunque para bien es muy rico en su expresión, puede traer confusiones

¿A qué se refiere la frase del título? ¿Será a un “Controlador primario” del Dominio? ¿O será a un Controlador del “Dominio primario”?

A decir verdad cualquiera de las dos expresiones no son válidas, y vemos el por qué de esto.

El concepto de “Controlador primario” (o PDC Primary Domain Controller) es de la época de los NTs, donde sólo un Controlador de Domino aceptaba cambios, que luego replicaba a los “Controladores Secundarios (o BDCs Backup Domain Controllers).
A partir de Windows Server 2000 esto ya no es así. Cualquier Controlador de Dominio acepta cambios en el Active Directory y luego esa información se replicará al resto de los Controladores de Dominio del Dominio

Tampoco es válido hablar de “Dominio primario”. En realidad si estuviéramos en un entorno con más de un Dominio en nuestra estructura deberíamos referirnos al “Dominio Raíz del Bosque” (si dicho Dominio en realidad lo es)

Algunos incorrectamente hablan del “Controlador primario” cuando se refieren al que tiene los cinco roles de Maestro de Operaciones, pero esto no es correcto, ya que estos roles pueden estar repartidos entre varios Controladores de Dominio, con lo cual sería imposible decir cuál sería el principal

En una futura nota hablaremos sobre los roles de “Maestros de Operaciones” (o FMSO Roles)

Tampoco es correcto decir que el “Controlador principal” es el que cumple funciones de Catálogo Global, ya que esta función puede, y debe, ser cumplida por más de un Controlador de Dominio, ya que es necesaria para que en caso de fallas todo siga funcionando normalemente, y sin tener que hacer “cambios de último momento”

Dejo para tres futuras notas:

• Funcionalidad de los Maestros de Operaciones
• Funcionalidad del Catálogo Global
• Cómo tener tolerancia a fallas sobre Active Directory