Comprender Active Directory

Muchas veces he leído preguntas en los foros de Technet, donde veo que hay conceptos que algunos no tienen lo sufiencientemente claros, por lo que me he decidido a escribir esta nota, tratando de aclarar lo más resumidamente posible algunos conceptos fundamentales para comprender Active Directory.

Lo primero a tener en cuenta es la diferencia entre un “Grupo de Trabajo” y un “Dominio Active Directory”
Y la diferencia fundamental está en la forma de administrar:

  • Grupo de Trabajo: la administración se hace localmente en cada equipo. Cualquier cambio que queremos que se refleje en todas las máquinas debemos hacerlo una vez en cada una de ellas
  • Domino Active Directory: a diferencia del caso anterior, en este la administración es centralizada y se hace a nivel de dominio, y por lo tanto afectará a todas las cuentas de dominio: usuarios y máquinas

¿Cómo creamos un Dominio?

Bueno, lo primero es tener un equipo con sistema operativo de servidor, al cual le instalamos y configuramos la funcionalidad de Controlador de Dominio
Cuando al primer servidor le agregamos la funcionalidad nombrada, estamos creando nuestro Dominio.

Debemos tener en claro la diferencia entre “Dominio”, y “Controlador de Dominio”. Un “Dominio” es un concepto lógico, no es físico como el “Controlador de Dominio”

Para instalar la función de Controlador de Dominio, tenemos ciertos requerimientos:

  • Una máquina con sistema operativo servidor
  • Configuración manual de TCP/IP (no por DHCP)
  • Tener privilegios de Administrador local
  • Por lo menos una partición NTFS con suficiente espacio en disco
  • El servicio DNS, adecuadamente configurado, también es un requisito, pero podemos hacer que lo instale y configure el mismo asistente que nos permite agregar la función.

Cuando a un servidor le agregamos la función de Controlador de Dominio normalmente se dice que lo “promocionamos a Controlador de Dominio”.

Para llegar a esto tenemos dos opciones que nos llevarán al mismo resultado:

  1. Ingresar a la Herramienta Administrativa, Administración del Servidor, y agregar el Rol “Servicios de Dominio de Active Directory”. Cuando finaliza la instalación de los binarios necesarios, nos ofrecerá un enlace que nos permitirá la configuración del mismo (Nombre del Dominio, si creamos un Dominio nuevo, o si ponemos un Controlador de Dominio en un Dominio existente, etc.)
  2. Esta opción es directamente desde una línea de comandos con privilegios administrativos ejecutar: DCPROMO.EXE
    En este caso verificará si están instalados los binarios correspondientes, si no están los instalará, y luego automáticamente ejecutará el mismo asistente de configuración que en el caso anterior

La función principal de un Controlador de Dominio es autenticar las cuentas, tanto de usuarios como de máquinas.

Es totalmente recomendable que un Dominio, aunque sea pequeño, tenga más de un Controlador de Dominio. El motivo de esto es asegurarse tener tolerancia a fallas.
Si por cualquier razón un Controlador de Dominio no estuviera disponible, otro puede cumplir sus funciones. Inclusive si está adecuadamente configurada la red, esto es totalmente automático y transparente para los usuarios.

Para tener más de un Controlador de Dominio, simplemente debemos ejecutar el mismo proceso anterior, sólo que en este caso durante el asistente le diremos que es Controlador de Dominio adicional, en un Dominio ya existente. En este caso toda la información de Active Directory que está en el primero se replicará en el segundo Controlador de Dominio

¿Controlador de Dominio Primario?

Esta también es una de las dudas que circulan mucho. Primero que nada vamos a lidiar con nuestro idioma, que aunque para bien es muy rico en su expresión, puede traer confusiones

¿A qué se refiere la frase del título? ¿Será a un “Controlador primario” del Dominio? ¿O será a un Controlador del “Dominio primario”?

A decir verdad cualquiera de las dos expresiones no son válidas, y vemos el por qué de esto.

El concepto de “Controlador primario” (o PDC Primary Domain Controller) es de la época de los NTs, donde sólo un Controlador de Domino aceptaba cambios, que luego replicaba a los “Controladores Secundarios (o BDCs Backup Domain Controllers).
A partir de Windows Server 2000 esto ya no es así. Cualquier Controlador de Dominio acepta cambios en el Active Directory y luego esa información se replicará al resto de los Controladores de Dominio del Dominio

Tampoco es válido hablar de “Dominio primario”. En realidad si estuviéramos en un entorno con más de un Dominio en nuestra estructura deberíamos referirnos al “Dominio Raíz del Bosque” (si dicho Dominio en realidad lo es)

Algunos incorrectamente hablan del “Controlador primario” cuando se refieren al que tiene los cinco roles de Maestro de Operaciones, pero esto no es correcto, ya que estos roles pueden estar repartidos entre varios Controladores de Dominio, con lo cual sería imposible decir cuál sería el principal

En una futura nota hablaremos sobre los roles de “Maestros de Operaciones” (o FMSO Roles)

Tampoco es correcto decir que el “Controlador principal” es el que cumple funciones de Catálogo Global, ya que esta función puede, y debe, ser cumplida por más de un Controlador de Dominio, ya que es necesaria para que en caso de fallas todo siga funcionando normalemente, y sin tener que hacer “cambios de último momento”

Dejo para tres futuras notas:

  • Funcionalidad de los Maestros de Operaciones
  • Funcionalidad del Catálogo Global
  • Cómo tener tolerancia a fallas sobre Active Directory
Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Santiago Bonzanni  On 18/07/2011 at 11:17

    Guillermo te felicito por esta pagina, haces que comprendamos muy facilmente cosas que por ahi son complejas. Muchas Gracias nuevamente.

  • MagicSys  On 16/08/2011 at 18:09

    Igual que el anterior comentario, me diste luz en los conceptos para saberme expresar bien en el mundo de los blog cuando pregunte… gracias

  • Polte  On 23/11/2011 at 13:52

    Realmente muy valiosa la información de este Blog. Creo que mas gente como tu debería compartir así sus conocimientos con aquellos que recién empezamos en esto. Felicitaciones!

  • leandro  On 08/03/2012 at 09:06

    Muy bueno el material. Felicitaciones !!!

  • Luis  On 20/04/2012 at 18:38

    Yeah!, muy buen post! Ya me quedo mas claro este rollo, la verdad si se me hacia medio complejo de digerir.

    Saludos!

  • Nicolas Valenzuela  On 23/08/2012 at 13:17

    Gracias muy explicativa tu nota.

    Saludos.

  • Cristian  On 30/11/2012 at 16:19

    Hola muy buena la explicación, te hago una consulta, si tengo 2 controladores de dominio 2003, puedo agregar un tercero con w2008?? y si se puede como debería hacerlo?

    • Delprato  On 30/11/2012 at 16:56

      Si, no hay problema, pero primero hay que preparar el Schema y el Dominio
      Desde el DVD de W2008 debes ejecutar, en el DC que tiene todos los FSMO Roles los siguientes comandos
      ADPREP /FORESTPREP (esperar que replique a todos los DCs)
      ADPREP /DOMAINPREP (esperar que replique a todos los DCs)
      Dependiendo cómo esté configurado también ADPREP /FORESTPREP /GPPREP

      Si los W2003 fueran x86, entonces en lugar del ADPREP.EXE es ADPREP32.EXE
      Luego ya se puede promover el W2008 como DC

  • sandro  On 16/08/2014 at 15:24

    Muchas gracias Guillermo por tremendo aporte.

    Saludos.

  • Javier Azogue  On 29/09/2014 at 18:06

    En realidad una excelente nota. Muchas gracias por compartir estos conocimientos. Felicitaciones Guillermo.!

  • Alejandro  On 16/10/2014 at 12:29

    Excelente todas las publicaciones Guillermo,sencillas y bien explicadas.Ahorras un montón de tiempo a la gente, que es lo mas valioso en estos dias…

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: