36650861 plan-de-un-proyecto-de-implementacion-de-active-directory

Plan de un proyecto de
implementación de
Active Directory
C A P Í T U L O 1
Al implementar el servicio de directorio de Active Directory® de Microsoft® Windows® Server 2003 en el
entorno, podrá beneficiarse del modelo centralizado de administración delegada y de la capacidad de inicio
de sesión único que ofrece Active Directory. Cuando haya identificado el entorno actual y los objetivos de
implementación en la empresa, podrá crear una estrategia de implementación de Active Directory que
cumpla las necesidades de la organización. Las pruebas de implementación en un entorno de laboratorio
aislado y el perfeccionamiento del proceso en determinadas áreas piloto del entorno de producción
contribuirán a garantizar una implementación sin complicaciones en toda la organización.
En este capítulo:
Información general sobre la planeación de un proyecto de implementación de Active Directory4
Determinación de la estrategia de diseño e implementación de Active Directory.....................9
Pruebas y confirmación del proceso de implementación...........................................................21
Recursos adicionales.....................................................................................................................29
Información relacionada
· Para obtener más información sobre planeación, pruebas y desarrollo piloto de un
proyecto de implementación, consulte las secciones “Diseño de un entorno de
pruebas” y “Planeación y pruebas de la implementación de aplicaciones”, incluidas
en el apartado Planeación, pruebas y desarrollo piloto de proyectos de
implementación de este kit.
· Para obtener más información sobre la implementación del Sistema de nombres de
dominio (DNS) de Windows Server 2003, consulte “Implementación de DNS”, en el
apartado Implementación de servicios de red de este kit.
· Para obtener más información sobre la directiva de grupo, consulte la Guía de
servicios distribuidos del Kit de recursos de Microsoft® Windows® Server 2003
(puede estar en inglés) o consulte la Guía de servicios distribuidos en Internet, en la
dirección http://www.microsoft.com/reskit (puede estar en inglés).

4 Capítulo 1 Plan de un proyecto de implementación de Active Directory
Información general sobre la
planeación de un proyecto de
implementación de Active
Directory
En los sistemas operativos Microsoft® Windows® Server 2003 Standard Edition, Windows® Server 2003
Enterprise Edition y Windows® Server 2003 Datacenter Edition, Active Directory permite a las
organizaciones simplificar la administración de usuarios y recursos al tiempo que posibilita la creación de
una infraestructura escalable, segura y fácil de administrar. Puede utilizar Active Directory para administrar
la infraestructura de red, por ejemplo, en entornos de sucursales, de Microsoft® Exchange Server y de varios
bosques.
Aunque las instrucciones proporcionadas en este libro son adecuadas para prácticamente cualquier
implementación de administración del sistema operativo de red (NOS), estas instrucciones se han probado y
validado específicamente en entornos con menos de 100.000 usuarios, un máximo de 1.000 sitios y
conexiones de red de un mínimo de 28,8 Kbps. Si su entorno no se ajusta a estos criterios, considere la
posibilidad de recurrir a una empresa de consultoría con experiencia en la implementación de Active
Directory en entornos más complejos.
La implementación de Active Directory ofrece las siguientes ventajas a su organización:
· Administración general y de recursos simplificada. Podrá delegar la
administración en todos los niveles de la empresa y centralizarla mediante la directiva
de grupo.
· Seguridad de red mejorada e inicio de sesión único para los usuarios. Active
Directory admite varios protocolos de autenticación y certificados X.509, además de
ofrecer compatibilidad con tarjetas inteligentes.
· Interoperabilidad con otros servicios de directorio. Active Directory proporciona
interfaces abiertas basadas en estándares que interoperan con otros servicios de
directorio y aplicaciones, por ejemplo, con programas de correo electrónico.
· Características que reducen los costos de administración, incrementan la
seguridad y ofrecen funcionalidad ampliada. Las particiones de directorios de
aplicaciones permiten configurar parámetros de replicación de datos específicos a las
aplicaciones en controladores de dominio. La elevación de los niveles funcionales de
dominio o bosque a Windows Server 2003 le permitirá:
· cambiar el nombre de dominios y controladores de dominio.
· establecer confianzas de bosques bidireccionales.
· reestructurar bosques.
· mejorar la replicación.

Recursos adicionales 5
· eliminar algunas limiaciones en entornos con un gran volumen de sitios.

Aunque las estrategias de diseño e implementación de Active Directory de Windows Server 2003
presentadas en este libro se basan en pruebas extensas de laboratorio y programa piloto, así como en
implementaciones satisfactorias en entornos de cliente, es probable que sea necesario personalizar el diseño y
la implementación de Active Directory para cumplir los requisitos de entornos complejos específicos. Para
obtener más información sobre la implementación de Active Directory en entornos de sucursales, consulte la
Guía de planeación de Active Directory en sucursales (puede estar en inglés). Para obtener más información
sobre la implementación de Active Directory en entornos de Exchange, consulte Recomendaciones para el
diseño de Active Directory con Exchange 2000 (puede estar en inglés). Para obtener más información sobre
la implementación de Active Directory en entornos de varios bosques, consulte Consideraciones sobre
varios bosques (puede estar en inglés). Para descargar estas guías, use el vínculo de Active Directory en la
página de recursos web en http://www.microsoft.com/windows/reskits/webresources y haga clic en “Guías
de planeación e implementación” (puede estar en inglés).
Este libro también proporciona diagramas de flujo, ayudas para trabajos y ejemplos de implementación que
le ayudarán a optimizar el diseño y la implementación de Active Directory en su organización.
Proceso de planeación de un proyecto de
implementación de Active Directory
Al planear un proyecto de implementación de Active Directory de Windows Server 2003, determine primero
su estrategia de diseño e implementación y, luego, realice las pruebas necesarias para validar el diseño y la
implementación. La figura 1.1 muestra el proceso de planeación de un proyecto de implementación de Active
Directory.
Figura 1.1 Planeación de un proyecto de implementación de Active Directory

Información general sobre Active
Directory
Antes de diseñar e implementar Active Directory de Windows Server 2003, familiarícese con el ciclo del
proyecto de implementación de Active Directory y con los términos relacionados con Active Directory
requeridos para el proceso de implementación de Active Directory de Windows Server 2003.
Ciclo del proyecto de implementación de Active Directory
Un proyecto de implementación de Active Directory se compone de tres fases: diseño, implementación y
operaciones. El equipo encargado de la primera fase crea un diseño de la estructura lógica de Active
Directory con una adaptación óptima a las necesidades de cada división de la empresa que se disponga a
utilizar el servicio de directorio. Una vez que se ha aprobado este diseño, el equipo de implementación se
encarga de probarlo en un entorno de laboratorio y, seguidamente, lo implementa en el entorno de
producción. La realización de las pruebas queda al cargo del equipo de implementación y los resultados
pueden afectar a la fase de diseño, por lo que esta es una actividad intermedia que abarca ambas fases de
diseño e implementación. Cuando la implementación ha finalizado, el equipo de operaciones se ocupa del
mantenimiento del servicio de directorio.
Las pruebas en laboratorio y la implementación de un programa piloto continúan mientras dure la
implementación de Active Directory.
La figura 1.2 muestra la relación entre las fases del ciclo del proyecto de Active Directory con referencia a la
duración del proyecto de implementación.
Figura 1.2 Relación entre las fases del ciclo del proyecto de Active Directory

Términos y definiciones
Los términos siguientes son importantes a la hora de entender el proceso de implementación de Active
Directory de Windows Server 2003.
Dominio de Active Directory
Unidad administrativa en una red de equipos que simplifica la administración mediante la agrupación de
varias capacidades, por ejemplo:
· Identidad de usuarios en toda la red. Con los dominios, sólo es necesario crear las
identidades de usuario una vez. Es posible hacer referencia a estas identidades desde
cualquier equipo unido al bosque donde reside el dominio. Los controladores de
dominio que forman un dominio se utilizan para almacenar cuentas y credenciales de
usuario (como contraseñas y certificados) de un modo seguro.
· Autenticación. Los controladores de dominio proporcionan servicios de
autenticación para usuarios y ofrecen datos adicionales de autorización, por ejemplo,
relacionados con las pertenencias a grupos de usuarios. Estos servicios pueden ser
útiles para controlar el acceso a los recursos en la red.
· Relaciones de confianza. Los dominios extienden los servicios de autenticación a
usuarios de otros dominios en su propio bosque mediante confianzas bidireccionales
automáticas, así como a usuarios en dominios de otros bosques mediante confianzas
externas o confianzas de bosque creadas manualmente.
· Administración de directivas. El dominio es un ámbito de las directivas
administrativas, por ejemplo, sobre reglas de complejidad y reutilización de
contraseñas.
· Replicación. El dominio define una partición del árbol de directorios que
proporciona la información adecuada para proporcionar los servicios requeridos y
que se replica entre controladores de dominio. Así, todos los controladores de
dominio son elementos del mismo nivel en un dominio y se administran como una
sola unidad.
Bosque de Active Directory
Colección de uno o varios dominios de Active Directory que comparten la estructura lógica, el esquema de
directorios y la configuración de red, además de relaciones automáticas de confianza transitivas y
bidireccionales. Cada bosque constituye una instancia única del directorio y define un límite de seguridad.
Nivel funcional de Active Directory
Parámetro de configuración en Active Directory de Windows Server 2003 que habilita características
avanzadas de Active Directory en todo el dominio o todo el bosque.

Migración
Proceso de transferencia de un objeto de un dominio de origen a un dominio de destino, a la vez que se
conservan o se modifican las características del objeto para que resulte accesible en el dominio nuevo.
Reestructuración de dominios
Proceso de migración que implica la modificación de la estructura de dominios de un bosque. La
reestructuración de dominios puede conllevar la consolidación o la inclusión de dominios, y puede tener
lugar entre bosques o en un mismo bosque.
Consolidación de dominios
Proceso de reestructuración que implica la eliminación de dominios de Microsoft® Windows NT® 4.0 o de
Active Directory al combinar su contenido con el contenido de otros dominios.
Actualización de dominios
Proceso de actualización del servicio de directorio de un dominio a una versión posterior del servicio de
directorio. Esto incluye la actualización del sistema operativo en todos los controladores de dominio y la
elevación del nivel funcional de Active Directory donde corresponda.
Actualización local de dominios
Proceso de actualización del sistema operativo en todos los controladores de dominio basados en
Windows NT 4.0 o en Microsoft® Windows® 2000 y de elevación del nivel funcional del dominio si
corresponde, sin modificar la ubicación de los objetos de dominio, como usuarios y grupos.
Dominio regional
Dominio secundario creado según una región geográfica concreta para optimizar el tráfico de replicación.
Determinación de la estrategia de
diseño e implementación de
Active Directory
Cuando haya realizado una evaluación detallada del entorno actual y haya identificado los objetivos de
implementación de Active Directory en la empresa, podrá determinar la estrategia de implementación que se
adaptará de forma óptima a su entorno. La figura 1.3 muestra los pasos de definición del proceso de
implementación de Active Directory.

Figura 1.3 Determinación de la estrategia de diseño e implementación
La estrategia de implementación de Active Directory que aplique variará en función de la configuración de
red existente. Por ejemplo, si actualmente la organización utiliza Windows 2000, bastará con que actualice
el sistema operativo a Windows Server 2003. Sin embargo, si la organización se basa en Windows NT 4.0 o
en un sistema operativo de red ajeno a Windows, tendrá que diseñar una infraestructura de Active Directory
antes de realizar la actualización a Windows Server 2003.
El proceso de implementación podría requerir la reestructuración de dominios existentes, ya sea en un mismo
bosque o entre bosques de Active Directory. Es posible que necesite reestructurar los dominios existentes
después de implementar Active Directory de Windows Server 2003 o cuando se produzcan cambios
organizativos o adquisiciones corporativas. También puede reestructurar dominios de un entorno de
Windows NT 4.0 a un bosque de Active Directory con el fin de actualizar el entorno de producción a
Windows Server 2003.

La tabla 1.1 enumera los posibles puntos de inicio y objetivos de una implementación de Active Directory de
Windows Server 2003, así como los pasos de implementación correspondientes y los capítulos de este libro
que se aplican a cada uno.
Tabla 1.1 Entorno actual, objetivos y capítulos correspondientes para la implementación
de Active Directory de Windows Server 2003
Entorno Objetivos de
implementación
Capítulos correspondientes
Nueva
organización
Crear diseño de
bosques, dominios, DNS
y unidades
organizativas.
Capítulo 2: “Diseño de la estructura
lógica de Active Directory”
Crear un diseño de sitio
y de vínculo a sitios.
Capítulo 3: “Diseño de la topología
de sitios”
Evaluar los requisitos de
hardware.
Capítulo 4: “Planeación de la
capacidad de los controladores de
dominio”
Implementar el dominio
raíz de bosque.
Capítulo 6: “Implementación del
dominio raíz de bosque de Windows
Server 2003”
Implementar dominios
regionales.
Capítulo 7: “Implementación de
dominios regionales de Windows
Server 2003”
Elevar los niveles
funcionales de dominio y
bosque.
Capítulo 5: “Habilitación de
características avanzadas de Active
Directory de Windows Server 2003”
Windows NT 4.0 Crear diseño de
bosques, dominios, DNS
y unidades
organizativas.
Crear un diseño de sitio
y de vínculo a sitios.
de sitios”
Evaluar los requisitos de
hardware.
Capítulo 4: “Planeación de la
capacidad de los controladores de
dominio”
Implementar el dominio
raíz de bosque.
Capítulo 6: “Implementación del
dominio raíz de bosque de Windows
Server 2003”
Implementar dominios
regionales.
Capítulo 7: “Implementación de
dominios regionales de Windows
Server 2003”

Realizar actualización
local de dominios de
Windows NT 4.0 que
continuarán formando
parte de la estructura de
dominios de Active
Directory.
Capítulo 8: ““Actualización de
dominios de Windows NT 4.0 a
Active Directory de Windows
Server 2003”
Reestructurar otros
dominios de
Windows NT 4.0.
Capítulo 10: “Reestructuración de
dominios de Windows NT 4.0 en un
bosque de Active Directory”
Elevar los niveles
bosque.
Windows 2000
Actualizar los
controladores de
dominio de
Windows 2000.
Capítulo 9: “Actualización de
dominios de Windows 2000 a
dominios de Windows Server 2003”
Elevar los niveles
bosque.

La tabla 1.2 enumera los objetivos y los capítulos correspondientes aplicables a la reestructuración de
dominios, ya sea entre bosques o en un mismo bosque.
Tabla 1.2 Objetivos y capítulos correspondientes para la reestructuración de dominios de
Active Directory
Acción Objetivos de implementación Capítulos correspondientes
Reestructurar
dominios en
un mismo
bosque
Crear diseño de bosques,
dominios, DNS y unidades
organizativas.
Capítulo 2: “Diseño de la
estructura lógica de Active
Directory”
Crear un diseño de sitio y
de vínculo a sitios.
Capítulo 3: “Diseño de la
topología de sitios”
Usar una herramienta
como la Herramienta de
migración Active Directory
(ADMT) para reestructurar
dominios en un mismo
bosque.
Capítulo 12: “Reestructuración
de dominios de Active Directory
en un mismo bosque”
Reestructurar
dominios
entre
bosques
Crear diseño de bosques,
dominios, DNS y unidades
organizativas.
Crear un diseño de sitio y de
vínculo a sitios.
de sitios”
Usar una herramienta como
ADMT para reestructurar
dominios entre bosques.
Capítulo 11: “Reestructuración de
dominios de Active Directory entre
bosques”
Determinación de los requisitos de diseño
de Active Directory
Si su entorno de red opera actualmente sin un servicio de directorio o, si necesita modificar su infraestructura
actual de Active Directory, complete el proceso de diseño para la infraestructura de Active Directory. Debe
completar un diseño exhaustivo de la estructura lógica de Active Directory antes de implementar Active
Directory. La preparación rigurosa del diseño de Active Directory es fundamental para conseguir una
implementación rentable.
Diseño de la estructura lógica
Antes de implementar Active Directory de Windows Server 2003, debe planear y diseñar la estructura lógica
de Active Directory para el entorno. La estructura lógica de Active Directory determina la organización de
los objetos de directorio y proporciona un método eficaz para la administración de cuentas de red y recursos
compartidos. El diseño de la estructura lógica de Active Directory conlleva la definición de una parte
considerable de la infraestructura de red de la organización.

Para diseñar la estructura lógica de Active Directory, determine el número de bosques que requiere la
organización y, a continuación, cree diseños para dominios, DNS y unidades organizativas.

Diseño de la topología de sitios
Cuando ya tenga el diseño de la estructura lógica para la infraestructura de Active Directory, deberá diseñar
la topología de sitios para la red. La topología de sitios es una representación lógica de la red física de la
organización. Contiene información sobre la ubicación de sitios de Active Directory, los controladores de
dominio de Active Directory en cada sitio y los vínculos a sitios que admiten la replicación de Active
Directory entre sitios.
Planeación de la capacidad de los controladores de dominio
Con el fin de garantizar el rendimiento eficaz de Active Directory, deberá determinar el número adecuado de
controladores de dominio para cada sitio y comprobar que cumplen los requisitos de hardware de Windows
Server 2003. La planeación meticulosa de capacidades con referencia a los controladores de dominio evitará
que se subestimen los requisitos de hardware, lo que podría influir de forma negativa en el rendimiento de los
controladores de dominio y el tiempo de respuesta de las aplicaciones.
Características avanzadas de Active Directory
Los niveles funcionales de Active Directory de Windows Server 2003 permiten habilitar características
nuevas, por ejemplo, la replicación mejorada de pertenencia a grupos, la desactivación y la redefinición de
atributos y clases en el esquema y de relaciones de confianza de bosques que requieren la ejecución de
Windows Server 2003 por parte de todos los controladores de dominio en el dominio o el bosque
participante. Parte del proceso de diseño de Active Directory implica la identificación de los niveles
funcionales de dominio y bosque que requiere la organización. Para implementar estas características de
Active Directory de Windows Server 2003 en la empresa, primero deberá implementar Active Directory de
Windows Server 2003 y, seguidamente, elevar el bosque y el dominio al nivel funcional adecuado.
Determinación de los requisitos de
implementación de Active Directory
La estructura del entorno existente determina la estrategia para la implementación de Active Directory de
Windows Server 2003. Si se dispone a crear un entorno de Active Directory y no cuenta con una estructura
de dominios existente, deberá completar el diseño de Active Directory antes de empezar a crear el entorno.
Después, podrá implementar un nuevo dominio raíz de bosque y aplicar el resto de la estructura de dominios
de acuerdo con el diseño.
Raíz de bosque de Windows Server 2003
Para implementar Active Directory, primero es necesario implementar un dominio raíz de bosque de
Windows Server 2003. Esto se consigue mediante la configuración de DNS, la implementación de
controladores de dominio raíz de bosque, la configuración de la topología de sitios para el dominio raíz de
bosque y la configuración de funciones de maestro de operaciones.

Dominios regionales de Windows Server 2003
Si se dispone a crear uno o varios dominios regionales en un bosque de Windows Server 2003, deberá
implementar cada dominio regional posteriormente a la implementación del dominio raíz de bosque. Para
hacerlo, es necesario delegar una zona DNS e implementar controladores de dominio para cada dominio
regional.
Actualización de dominios de Windows NT 4.0 a
Windows Server 2003
Cuando haya llevado a cabo una actualización local de dominios de Windows NT 4.0, podrá empezar a usar
Active Directory sin realizar modificación alguna en la estructura de dominios existente.
De forma alternativa, si no desea conservar la estructura de dominios existente, puede reestructurar los
dominios de Windows NT 4.0 en un bosque de Windows Server 2003. Para obtener más información sobre
la reestructuración de dominios de Windows NT 4.0 en un bosque de Windows Server 2003, consulte la
sección "Determinación de requisitos de reestructuración", incluida más adelante en este capítulo.
Actualización de dominios de Windows 2000 a Windows
Server 2003
La actualización de dominios de Windows 2000 a dominios de Windows Server 2003 constituye una forma
eficaz y sencilla de aprovechar las características y la funcionalidad adicionales de Windows Server 2003. La
actualización de Windows 2000 a Windows Server 2003 requiere una configuración mínima de la red y tiene
un impacto reducido en las operaciones de usuario.
Determinación de los requisitos de
reestructuración
Quizás decida reestructurar el entorno existente como parte de la implementación de Active Directory. Antes
de hacerlo, deberá determinar cómo y cuándo se debe llevar a cabo la reestructuración. Las organizaciones
con una estructura de dominios existente basada en Windows NT 4.0 podrían decantarse por la actualización
local de algunos dominios y la reestructuración de otros. Además, es posible que decida reducir la
complejidad del entorno mediante la reestructuración de dominios entre bosques o la reestructuración de
dominios en un mismo bosque con posterioridad a la implementación de Active Directory.
Reestructuración de dominios de Windows NT 4.0 en un
bosque de Windows Server 2003
Debido a su escalabilidad superior, un entorno de Active Directory de Windows Server 2003 requiere menos
dominios que un entorno de Windows NT 4.0. En lugar de llevar a cabo la actualización local de los
dominios de Windows NT 4.0, quizás resulte más eficiente consolidar cierto número de dominios pequeños
de recursos y cuentas de Windows NT 4.0 en unos pocos dominios más grandes de Active Directory.

Reestructuración de dominios de Active Directory entre
bosques
Al reestructurar dominios entre bosques de Windows Server 2003, es posible reducir el número de dominios
en el entorno y, así, reducir la sobrecarga y la complejidad de la administración. Cuando se produce la
migración de objetos entre bosques como parte del proceso de reestructuración, tenemos la existencia
simultánea de los entornos de dominio de origen y de destino. Esto permite revertir al entorno de origen
durante la migración, en caso de ser necesario.
Reestructuración de dominios de Active Directory en un
mismo bosque
Al reestructurar dominios de Windows Server 2003 en un mismo bosque de Windows Server 2003, puede
consolidar la estructura de dominios y, por lo tanto, reducir la sobrecarga y la complejidad de la
administración. A diferencia de lo que ocurre en el proceso de reestructuración de dominios de Windows
Server 2003 entre bosques, al reestructurar dominios en un mismo bosque, las cuentas migradas dejan de
existir en el dominio de origen.
La tabla 1.3 enumera las diferencias entre la reestructuración de dominios entre bosques y en un mismo
bosque.
Tabla 1.3 Diferencias entre la reestructuración de dominios entre bosques y en un mismo
bosque
Consideración de
migración
Reestructuración entre
bosques Reestructuración en un mismo bosque
Conservación de
objetos
Los objetos se clonan en
lugar de migrarse. El objeto
original permanece en la
ubicación de origen para
mantener el acceso de
usuario a los recursos.
Los objetos se migran y dejan de existir en la
ubicación de origen.
Mantenimiento de
historial SID
El mantenimiento del
historial SID es opcional.
Se requiere el historial SID.
Retención de
contraseñas
La retención de
contraseñas es opcional.
Las contraseñas se retienen siempre.
Migración de
perfiles locales
Deberá usar herramientas
como ADMT para migrar
perfiles locales.
En estaciones de trabajo con Windows 2000 y
versiones posteriores, los perfiles locales se
migran automáticamente porque se conserva el
GUID del usuario. Sin embargo, deberá usar
herramientas como ADMT para migrar perfiles
locales en estaciones de trabajo con
Windows NT 4.0 y versiones anteriores.
Conjuntos
cerrados
No es necesario migrar
cuentas en conjuntos
cerrados.
Deberá migrar cuentas en conjuntos cerrados.

Ejemplo: Establecimiento de una
estrategia de implementación de
Active Directory
Para ilustrar el proceso de implementación de Active Directory, los capítulos de este libro presentan el
ejemplo del modo en que una empresa ficticia, Contoso Pharmaceuticals, implementa Active Directory en su
entorno. El entorno de Contoso incluye cuatro dominios; todos ellos ejecutan Active Directory de
Windows 2000. La figura 1.4 muestra la estructura de dominios actual de Contoso.
Figura 1.4 Estructura de dominios de Contoso
Después de revisar el entorno existente e identificar los objetivos de implementación, Contoso estableció la
estrategia de implementación de Active Directory siguiente:
· Actualizar los dominios de Windows 2000 a dominios de Windows Server 2003.
· Habilitar las características avanzadas de Active Directory mediante la elevación de
los niveles funcionales de dominio y bosque a Windows Server 2003.
Tras actualizar todos los dominios de Windows 2000 a dominios de Windows Server 2003, Contoso
reestructurará el dominio africa.concorp.contoso.com en el mismo bosque para consolidarlo con el dominio
emea.concorp.contoso.com.

La organización Contoso se encuentra en proceso de adquisición de una empresa llamada Trey Research,
que, actualmente, ejecuta un entorno basado en Windows NT 4.0, como muestra la figura 1.5.
Figura 1.5 Entorno actual de Trey Research
Contoso estableció la estrategia de implementación de Active Directory siguiente para la adquisición de Trey
Research:
· Diseñar la estructura lógica de Active Directory para crear diseños de bosques,
dominios, DNS y unidades organizativas en el nuevo entorno de Windows
Server 2003.
· Diseñar la topología de sitios para crear los sitios, los vínculos a sitios y los puentes
de vínculos a sitios requeridos.
· Planear la capacidad de los controladores de dominio para determinar los requisitos
de hardware del nuevo entorno de Windows Server 2003.
· Implementar trccorp.treyresearch.net como dominio raíz de bosque.
· Implementar tres dominios regionales. Diferentes equipos pueden crear estos
dominios simultáneamente.
· Actualizar el dominio EAST a Windows Server 2003 para convertirlo en
east.trccorp.treyresearch.net.
· Crear dos dominios regionales nuevos de Windows Server 2003 llamados
asia.trccorp.treyresearch.net y west.trccorp.treyresearch.net.
· Reestructurar los dominios BOSTON, MAIL-APPS, PROD-APPS y OFFICE-APPS
en el dominio east.trccorp.treyresearch.net de Windows Server 2003 mediante
ADMT.
· Elevar los niveles funcionales de dominio y bosque a Windows Server 2003.
La figura 1.6 muestra el entorno intermedio para Trey Research.

Figura 1.6 Entorno intermedio para Trey Research
Posteriormente, Contoso determinó que un solo dominio sería más rentable para Europa, Oriente Medio y la
región asiática, de modo que el paso final del proceso de implementación consiste en reestructurar
asia.trccorp.treyresearch.net en el dominio emea.concorp.contoso.com del bosque de Contoso mediante
ADMT.
La figura 1.7 presenta la estructura de dominios para la empresa Contoso después de completar la
adquisición de Trey Research y el proceso de implementación de Active Directory de Windows Server 2003.
Figura 1.7 Entorno final de Contoso y Trey Research

Pruebas y confirmación del
proceso de implementación
En cualquier implementación de Active Directory, es posible reducir al mínimo el impacto en las operaciones
empresariales habituales mediante la realización de pruebas de suposiciones de diseño y la comprobación del
proceso de implementación en un programa piloto. Según vaya creando el primer borrador del diseño de
Active Directory, empiece a probar y confirmar. La realización de pruebas y la comprobación comienzan en
la fase de diseño y continúan durante las fases de implementación y operaciones.
La figura 1.8 muestra el proceso de pruebas y confirmación del diseño y la implementación de Active
Directory.
Figura 1.8 Pruebas y confirmación del diseño y la implementación de Active Directory
Pruebas de diseño e implementación en
un entorno de laboratorio
Las pruebas en laboratorio constituyen la primera evaluación del diseño de Active Directory. El proceso
consiste en confirmar las suposiciones realizadas por los arquitectos de diseño.
Cuando esté a punto de completar el primer borrador del diseño de Active Directory, empiece a probar
suposiciones de diseño específicas en el proceso de implementación en un entorno de laboratorio. De este
modo, descubrirá posibles dificultades de diseño que afectan al proceso de implementación y podrá
comunicárselas al equipo de diseño para que corrija los problemas de forma previa la implementación.

Asegúrese de que el entorno del laboratorio de pruebas está aislado del resto de la red de producción de la
empresa y que representa, a escala reducida, la configuración de sistema operativo y hardware de los equipos
de la organización. Incluya en el entorno de laboratorio los controladores de dominio necesarios para
respaldar una muestra representativa del diseño del sitio, incluidos asociados de replicación entre sitios y en
un mismo sitio, vínculos a sitios e intervalos de replicación razonables.
Incluya cuentas de usuario y grupo, y otros recursos designados exclusivamente para las pruebas. Compruebe
que el entorno de pruebas ofrece acceso a configuraciones de prueba de servicios externos, como mainframe
e Internet, según se requiera. Conserve el laboratorio permanentemente para probar procedimientos nuevos y
utilizarlo en sesiones de aprendizaje para el equipo de implementación.
El equipo de implementación puede hacer uso del entorno de laboratorio para identificar los aspectos
específicos de su proceso de implementación y familiarizarse con las herramientas de migración e
implementación utilizadas durante la implementación de Active Directory.
Comúnmente, las pruebas de suposiciones de diseño y las pruebas del proceso de implementación quedan al
cargo de equipos diferentes. La tabla 1.4 enumera las pruebas de laboratorio y los miembros de equipo que
las realizan.
Tabla 1.4 Pruebas de laboratorio y miembros de equipo correspondientes
Proceso de pruebas Pruebas de laboratorio Miembros de equipo
Probar suposiciones
de diseño
Analizar la topología de
sitios y la replicación de
Active Directory.
Equipo de diseño, propietario
de topología de sitios y
equipo de implementación.
Probar compatibilidad de
equipos de escritorio y
aplicaciones.
Equipo de diseño.
Probar proceso de
implementación
Probar recuperación ante
desastres.
Propietario del bosque y
Probar migración de
cuentas y recursos.
Propietario del bosque y
Evaluar delegación,
administración y dirección.
Propietario del bosque.
Pruebas de suposiciones de diseño
El equipo encargado del proceso de diseño realiza suposiciones que se integran en el diseño de Active
Directory, como la compatibilidad de aplicaciones y la replicación de Active Directory. Cuando el equipo
haya completado el borrador del diseño, será necesario probar las suposiciones en el entorno de laboratorio.
Para hacerlo, el equipo de diseño debe:
· analizar la topología de sitios y la replicación de Active Directory.
· desarrollar un plan de pruebas y, seguidamente, probar la compatibilidad de los
equipos de escritorio y las aplicaciones.

Análisis de la topología de sitios y la replicación de Active Directory
El diseño de la topología de sitios especifica la latencia de replicación máxima, es decir, el período de
tiempo requerido para replicar cambios en todo el bosque. El equipo de diseño deberá asegurarse de que la
latencia de replicación en el bosque es inferior o igual a la latencia máxima de replicación especificada en el
diseño. El equipo debe realizar una prueba representativa del peor caso basada en el número máximo de
saltos supuestos en el diseño. El equipo deberá observar el período de tiempo que conlleva la convergencia
de replicación cuando se produce algún error en controladores de dominio o en vínculos de comunicaciones.
Para analizar la conmutación por error de la replicación entre sitios de Active
Directory
1. Identifique los controladores de dominio responsables de la replicación entre sitios
mediante el uso de Sitios y servicios de Active Directory.
2. Desconecte los controladores de dominio o deshabilite los vínculos de
comunicaciones que se utilizan en la replicación entre sitios.
3. Permita que el comprobador de coherencia de la información (KCC) configure
automáticamente una topología de replicación nueva.
4. Identifique los controladores de dominio que se encargan ahora de la replicación
entre sitios.
5. Vuelva a conectar los controladores de dominio o habilite de nuevo los vínculos de
comunicaciones.
6. Compruebe que la topología de replicación entre sitios recupera el estado original,
como se identifica en el paso 1.
Comprobación de la compatibilidad de equipos de escritorio y
aplicaciones
Además, el equipo de diseño debe determinar la compatibilidad entre aplicaciones, sistemas operativos de
escritorio y Active Directory. Por lo general, los aspectos de las pruebas de aplicaciones que resultan
afectados por una migración o una actualización de Active Directory tienen que ver con aplicaciones que se
ejecutan en servidores y equipos cliente, y con el uso de acceso remoto.
Compruebe las suposiciones de diseño relativas a la compatibilidad de equipos escritorio y aplicaciones
mediante la creación de una lista de aplicaciones críticas. Los miembros del equipo de diseño deben probar
cada aplicación para garantizar que su funcionamiento será correcto en un entorno migrado.
Al comprobar la compatibilidad de equipos de escritorio y aplicaciones, confirme que:
· las aplicaciones de servidor existentes, como las que se ejecutan actualmente en un
controlador de dominio de reserva (BDC) de Windows NT 4.0, pueden ejecutarse en
controladores de dominio y servidores miembro basados en Windows Server 2003.
Por ejemplo, algunas aplicaciones de servidor que se ejecutan en BDC hacen uso de grupos
locales compartidos. Para ejecutar estas aplicaciones de servidor en un controlador de
dominio basado en Windows Server 2003, compruebe que las aplicaciones se ejecutan
correctamente con el uso de grupos locales de dominio de Active Directory.
· Las aplicaciones de servidor que se ejecutan en una combinación de servidores de
Windows Server 2003 y Windows NT 4.0 pueden interoperar unas con otras.

Por ejemplo, compruebe que un servidor basado en Windows Server 2003 con Microsoft®
SQL Server™ puede interactuar con un servidor basado en Windows NT 4.0 al ejecutar la
misma aplicación.
· Las aplicaciones de escritorio existentes se ejecutan correctamente cuando se lleva a
cabo la migración de la infraestructura de dominios a Active Directory de Windows
Server 2003.
· Las aplicaciones existentes que usan la seguridad integrada de Windows se ejecutan
correctamente cuando se lleva a cabo la migración de la infraestructura de dominios a
Active Directory de Windows Server 2003.
Si encuentra que alguna aplicación de servidor no se puede migrar a un controlador de dominio basado en
Windows Server 2003, pruebe a instalar de nuevo la aplicación o instale una versión posterior de la misma en
un servidor miembro basado en Windows Server 2003. Si la aplicación no se ejecuta en un servidor con
Windows Server 2003, puede continuar ejecutándola en el servidor con Windows NT 4.0 o Windows 2000.
Comunique al equipo de diseño que no se puede realizar la actualización local del dominio de la aplicación
del servidor y tampoco se puede consolidar, por lo que deberá permanecer tal cual hasta que haya disponible
una versión de la aplicación que se pueda ejecutar en un controlador de dominio basado en Windows
Server 2003. Como objetivo de implementación a largo plazo, traslade las aplicaciones que actualmente se
ejecutan en controladores de dominio a servidores miembro.
Pruebas de procesos de implementación
En un entorno de laboratorio y, de forma previa al comienzo del programa piloto, el equipo de
implementación debe probar tareas específicas fundamentales para el proceso de implementación de Active
Directory, por ejemplo, la migración de cuentas y recursos de Windows NT 4.0 a Active Directory de
Windows Server 2003.
Para comprobar el proceso de implementación en el entorno de laboratorio:
· pruebe la recuperación ante desastres.
· pruebe la migración de cuentas y recursos.
· evalúe la delegación, administración y dirección.
Pruebas de recuperación ante desastres
Pruebe la recuperación ante desastres en el entorno de laboratorio para confirmar que los usuarios pueden
iniciar la sesión en un tiempo de respuesta aceptable en casos de restauración de controladores de dominio
con errores, así como para determinar el tiempo que requiere dicho proceso de restauración.
Para incluir un proceso de recuperación ante desastres en la implementación de Active Directory, realice una
copia de seguridad de los datos de estado del sistema en un mínimo de dos controladores de dominio del
entorno de laboratorio. Una vez hecho esto, compruebe la validez de la cinta de copia de seguridad y del
proceso de restauración. Realice las pruebas siguientes:
· Lleve a cabo una restauración no autoritativa del controlador de dominio que presenta
datos dañados en la base de datos de servicios de directorio.
· Lleve a cabo una restauración autoritativa de un controlador de dominio para
recuperar los datos de Active Directory eliminados.

Asegúrese de que las pruebas representan las velocidades de conexión mínimas en el entorno, así como el
número máximo de cuentas de usuario.
Por ejemplo, al determinar el tiempo requerido para restaurar un controlador de dominio con errores,
asegúrese de probar la restauración de los datos de estado del sistema de la copia de seguridad para cualquier
controlador de dominio que sea único en un sitio conectado con una velocidad de datos máxima de
128 Kbps. Pruebe también la restauración de los datos de estado del sistema de la copia de seguridad para
cualquier controlador de dominio en un dominio con más de 20.000 cuentas de usuario.
Cuando un controlador de dominio esté conectado a otros controladores de dominio con una velocidad de
datos igual o superior a 128 Kbps, pruebe el proceso para instalar Active Directory en un controlador de
dominio nuevo y dejar que la replicación de Active Directory vuelva a llenar la base de datos de Active
Directory.
Para obtener más información sobre pruebas de recuperación ante desastres, consulte Recuperación ante
desastres de Active Directory (.doc) en la página de recursos web en
http://www.microsoft.com/windows/reskits/webresources (puede estar en inglés).
Pruebas de migración de cuentas y recursos
Para probar el proceso de implementación con respecto a la migración de cuentas y recursos, use los
procedimientos del capítulo referentes al proceso de reestructuración que está planeando. Las organizaciones
que se disponen a reestructurar dominios de Windows NT 4.0 también pueden llevar a cabo las pruebas
siguientes relativas al proceso de reestructuración:
Para probar el proceso de implementación con respecto a la migración de cuentas
y recursos
1. En un mínimo de dos dominios de cuentas de producción de Windows NT 4.0, cree
nuevos controladores de dominio de reserva (BDC).
2. Elimine los nuevos BDC de la red de producción.
3. Instale los nuevos BDC en el entorno de laboratorio.
4. Aumente el nivel de los nuevos BDC: conviértalos en controladores de dominio
principales (PDC).
5. Realice actualizaciones locales y reestructure los dominios de cuentas en el
laboratorio.
6. Lleve a cabo la migración de cuentas y recursos con una herramienta como ADMT.
7. Compruebe que las cuentas migradas disponen de acceso a recursos y conservan los
perfiles de usuario.

Evaluación de delegación, administración y dirección
Evalúe los procesos de delegación, administración y dirección mediante la creación de la estructura de
unidades organizativas especificada en el diseño de Active Directory. Delegue el control de unidades
organizativas en cuentas de grupo concretas utilizadas para la administración. Siga estos pasos para
comprobar que la delegación se realiza correctamente:
Para confirmar la delegación correcta del control de unidades
organizativas en grupos específicos
1. Inicie la sesión como usuario miembro de la cuenta de grupo en la que ha delegado el
control.
2. Realice tareas de administración en objetos de la unidad organizativa (por ejemplo,
modifique las propiedades de un usuario en una unidad organizativa de cuentas).
3. Intente realizar (sin éxito) tareas administrativas en unidades organizativas en las que
el grupo de administración no dispone de control delegado.
Comprobación de la implementación en
un programa piloto
En el entorno de laboratorio, deberá comprobar que el proceso de implementación funciona fuera del entorno
de producción en cuentas y recursos que asemejan el entorno de producción. Si su entorno ejecuta Active
Directory de Windows 2000, haga uso del programa piloto existente para comprobar la implementación de
Windows Server 2003. En el programa piloto de implementación, identifique un subconjunto controlado de
las cuentas (usuarios, grupos y servicios) y los recursos existentes en el entorno de producción. Aplique el
proceso de implementación en las cuentas y los recursos identificados.
Los objetivos del programa piloto incluyen:
· realizar pruebas en un subconjunto del entorno de producción.
· proporcionar un entorno de pruebas para otros grupos de diseño e implementación,
como la implementación de Exchange 2000.
· comprobar el proceso y los procedimientos para actualizaciones de la infraestructura
de red y sistema operativo.
· comprobar el funcionamiento adecuado de las actualizaciones de aplicaciones.
· evaluar el impacto de soluciones de supervisión en la infraestructura de red y los
servidores supervisados.
· descubrir problemas potenciales en el proceso de implementación causados por
dificultades que no fue posible probar en el entorno de laboratorio.
· revisar el proceso de implementación para corregir cualquier problema descubierto de
forma previa a la implementación de producción.
En la implementación piloto, empiece por los usuarios involucrados en el proyecto de implementación y,
después, incluya usuarios representativos de la base de usuarios de la organización.

Importante
Al realizar la migración de usuarios de producción al programa piloto, deje
las cuentas de usuario habilitadas en los entornos piloto y de producción. Al
mantener habilitadas las cuentas de usuario en el entorno de producción,
contará con un plan de reserva en caso de que se presente alguna
complicación en el entorno piloto.
Para crear un programa piloto de implementación en su entorno
1. Cree dominio_raíz_bosque, donde dominio_raíz_bosque es el nombre de un dominio
raíz de bosque vacío de Active Directory creado, al anexar “-test” al nombre del
dominio raíz de bosque de producción.
2. Cree dominio_regional, donde dominio_regional es el nombre del dominio regional
en el programa piloto, al anexar “-test” al nombre del dominio regional de
producción.
3. Establezca las relaciones de confianza adecuadas entre dominio_regional y
dominio_winnt, donde dominio_winnt es un dominio de cuentas o recursos de
Windows NT 4.0.
4. Migre las cuentas y los recursos seleccionados de dominio_winnt a
dominio_regional.
5. Compruebe que los usuarios y los administradores pueden realizar, aunque en grado
mínimo, las tareas que podían llevar a cabo antes de la migración (por ejemplo,
obtener acceso a recursos y administrar cuentas y recursos).
Ejemplo: Creación de un programa piloto de
implementación para Trey Research
Contoso y Trey Research crearon un programa piloto para la implementación de Active Directory. La
tabla 1.5 muestra los nombres que proporcionaron para la implementación piloto.
Tabla 1.5 Ejemplo de un programa piloto de implementación
Dominio Nombre
dominio_raíz_bosque trccorp-test.treyresearch.net
dominio_regional east-test.trccorp-test.treyresearch.net
dominio_winnt BOSTON para dominio de cuentas
OFFICE-APPS para dominio de recursos
La figura 1.9 ilustra la configuración de la implementación piloto.

Figura 1.9 Configuración de la implementación piloto
Finalización del programa piloto de
implementación
Cuando haya terminado el programa piloto de implementación, conserve el entorno de implementación piloto
y úselo como entorno de ensayo para la implementación de producción. Continúe utilizando el bosque piloto
para comprobar nuevos procesos de implementación como, por ejemplo, la inclusión de nuevas aplicaciones
o extensiones de esquema, la instalación de sistemas operativos, la creación de objetos de directiva de grupo
y la reestructuración de unidades organizativas.
Como mencionamos anteriormente, a modo de plan de reserva, debería dejar habilitadas las cuentas de
usuario tanto en el entorno de producción original como en el entorno de implementación piloto. Mantenga a
los usuarios en el entorno de implementación piloto para que realicen su trabajo de producción; no migre las
cuentas del entorno de implementación piloto al bosque de producción. En su lugar, si decide trasladar a
usuarios piloto a otro bosque de producción, lleve a cabo la migración a partir de su entorno de producción
original. Esto garantiza que todos los usuarios del bosque de producción disponen de cuentas coherentes y
facilita la solución de problemas.

Ejemplo: Finalización del programa piloto de
implementación para Trey Research
La figura 1.10 muestra una comparación entre el diseño del bosque piloto de Active Directory y la
implementación del bosque de producción.
Figura 1.10 Comparación del bosque piloto y el bosque de producción
Recursos adicionales
Los recursos siguientes ofrecen información y herramientas adicionales con referencia a este capítulo.
Información relacionada
· “Diseño de la estructura lógica de Active Directory”, en este libro.
· “Diseño de la topología de sitios”, en este libro.
· “Planeación de la capacidad de los controladores de dominio”, en este libro.
· “Habilitación de características avanzadas de Active Directory de Windows
Server 2003”, en este libro.
· “Implementación del dominio raíz de bosque de Windows Server 2003”, en este
libro.

· “Implementación de dominios regionales de Windows Server 2003”, en este libro.
· “Actualización de dominios de Windows NT 4.0 a Active Directory de Windows
· “Actualización de dominios de Windows 2000 a dominios de Windows
· “Reestructuración de dominios de Windows NT 4.0 a un bosque de Active
Directory”, en este libro.
· “Reestructuración de dominios de Active Directory entre bosques”, en este libro.
· “Reestructuración de dominios de Active Directory en un mismo bosque”, en este
libro.
· “Implementación de DNS”, en el apartado Implementación de servicios de red de
este kit.
· Vínculo de Active Directory en la página de recursos web en
http://www.microsoft.com/windows/reskits/webresources (puede estar en inglés).
Haga clic en “Guías de planeación e implementación” (puede estar en inglés) para
obtener acceso a vínculos adicionales que le permitirán descargar las guías
siguientes:
· Guía de planeación de Active Directory en sucursales (puede estar en inglés)
· Guía de operaciones de Active Directory (puede estar en inglés)
· Recomendaciones para el diseño de Active Directory con Exchange 2000 (puede
estar en inglés)
· Consideraciones sobre varios bosques (puede estar en inglés)
· Guía de recomendaciones sobre la seguridad de instalaciones y operaciones
habituales de Active Directory: Parte I (puede estar en inglés)
Temas de Ayuda relacionados
Para obtener los mejores resultados al identificar temas de Ayuda por título, en el Centro de ayuda y soporte
técnico, bajo el cuadro Búsqueda, haga clic en Establecer opciones de búsqueda. Debajo de Temas de
Ayuda, active la casilla de verificación Buscar sólo en Título.
· “Active Directory”, en el Centro de ayuda y soporte técnico de Windows Server 2003
(puede estar en inglés).
· “Herramientas de soporte de Windows”, dentro de “Herramientas”, en el Centro de
ayuda y soporte técnico de Windows Server 2003 (puede estar en inglés).

36650861 plan-de-un-proyecto-de-implementacion-de-active-directory

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a 36650861 plan-de-un-proyecto-de-implementacion-de-active-directory

Similar a 36650861 plan-de-un-proyecto-de-implementacion-de-active-directory (20)

Último

Último (20)

36650861 plan-de-un-proyecto-de-implementacion-de-active-directory