Mdulo 9: Administracin de los maestros de operaciones

Contenido Introduccin Leccin: Introduccin a las funciones de maestro de operaciones Leccin: Transferencia y asuncin de funciones de maestro de operaciones Leccin: Planeamiento de la ubicacin de maestros de operaciones Prctica A: Administracin de los maestros de operaciones 1 2 11 24 37

La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos, dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico, mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint, Visio, Visual Basis, Visual C++ y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y/o en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas comerciales de sus respectivos propietarios.

Mdulo 9: Administracin de los maestros de operaciones

iii

Notas para el instructor

Presentacin: 60 minutos Prctica: 30 minutos Objetivos Este mdulo ofrece a los alumnos informacin acerca de la finalidad de cada funcin de maestro de operaciones, la forma de transferir y asumir dichas funciones, y cmo planear la ubicacin de maestros de operaciones en el servicio de directorio Active Directory. Despus de completar este mdulo, los alumnos podrn:

Explicar el propsito de las cinco funciones de maestro de operaciones en Active Directory. Transferir y asumir funciones de maestro de operaciones en Active Directory. Planear la ubicacin de maestros de operaciones en Active Directory.

Material necesario

Para impartir este mdulo, necesitar el material siguiente:

Archivo 2196A_09.ppt de Microsoft PowerPoint Archivo 2196A_2279a_9_a_GC.swf de Macromedia Flash

Importante Se recomienda utilizar PowerPoint 2002 o una versin posterior para mostrar las diapositivas de este curso. Si usa PowerPoint Viewer o una versin anterior de PowerPoint, puede que no aparezcan correctamente todas las caractersticas de las diapositivas. Tareas de preparacin Para preparar este mdulo, debe:

Leer todo el material del mdulo y diverso material relacionado que se encuentra en los discos compactos Material del alumno y Material del instructor, prever las cuestiones que los alumnos puedan formular y preparar las respuestas apropiadas para cada una de ellas. Completar la prctica. Estudiar los ejercicios, las preguntas de evaluacin y las respuestas que se proporcionan. Cuando sea posible, debe prever respuestas alternativas que puedan sugerir los alumnos y preparar rplicas apropiadas para dichas respuestas.

iv

Mdulo 9: Administracin de los maestros de operaciones

Recomendaciones para impartir este mdulo

En esta seccin se incluye informacin para ayudarle a impartir este mdulo. Importante Este mdulo contiene evaluaciones de cada leccin que se encuentran en el disco compacto Material del alumno. Puede utilizarlas como valoraciones previas para ayudar a los alumnos a identificar reas de dificultad o bien como valoraciones posteriores para validar el aprendizaje. Considere la posibilidad de utilizarlas con el fin de reforzar la leccin al final del da. Tambin puede usarlas al principio del da como revisin del contenido impartido el da anterior. D 10 minutos a los alumnos para preparar las respuestas a las preguntas de evaluacin. Puede optar por debatir las preguntas y respuestas todos juntos o pedir a los alumnos que preparen las respuestas ellos solos. Nota En algunos temas se hace referencia a informacin adicional que encontrar en los apndices. Los alumnos no necesitan esta informacin complementaria para realizar las tareas de este mdulo. Antes de impartir la clase, revise esta informacin en la pgina de los apndices del disco compacto Material del alumno. Durante la clase, sugiera a los alumnos que consulten la pgina de los apndices para obtener informacin adicional. Pginas de instrucciones, ejercicios y prcticas Explique a los alumnos el diseo para este curso de las pginas de instrucciones, los ejercicios y las prcticas. Un mdulo incluye dos lecciones o ms. La mayor parte de las lecciones contienen pginas de instrucciones y un ejercicio. Una vez que los alumnos completen las lecciones, el mdulo finaliza con una prctica.

Pginas de instrucciones
Las pginas de instrucciones estn diseadas para que el instructor demuestre cmo llevar a cabo una tarea. Los alumnos no tienen que realizar con el instructor las tareas de la pgina de instrucciones. Seguirn los pasos que se indiquen para efectuar el ejercicio al final de cada leccin.

Ejercicios
Despus de introducir un tema y de realizar las demostraciones de los procedimientos de las pginas de instrucciones de la leccin, explique que los ejercicios proporcionan a los alumnos la oportunidad de llevar a cabo las tareas que se tratan en ella.

Mdulo 9: Administracin de los maestros de operaciones

Prcticas
Al final de cada modulo, los alumnos utilizan la prctica para realizar las tareas que se explican en l. Cada prctica presenta una situacin de ejemplo que tiene que ver con la funcin de trabajo de los alumnos y un conjunto de instrucciones en una tabla de dos columnas. En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo, crear un grupo). La columna de la derecha contiene instrucciones especficas para realizar la tarea (por ejemplo, en Usuarios y equipos de Active Directory, haga doble clic en el nodo de dominio). En el disco compacto Material del alumno se encuentran las respuestas de los ejercicios de cada prctica, por si los alumnos necesitan instrucciones paso a paso para completarla. Tambin pueden remitirse a los ejercicios y a las pginas de instrucciones del mdulo.

vi

Mdulo 9: Administracin de los maestros de operaciones

Leccin: Introduccin a las funciones de maestro de operaciones

En esta leccin, se describe el propsito de las cinco funciones de maestro de operaciones en Active Directory. Cuando presente las funciones, explique el propsito de cada una y cmo actan en los bosques y en los dominios. Antes de impartir el tema Qu es el emulador de PDC, defina los trminos controlador de dominio principal (PDC, Primary Domain Controller) y controlador de dominio de reserva (BDC, Backup Domain Controller). Remita a los alumnos a los apndices para obtener informacin adicional acerca de cmo administrar la sincronizacin de hora en un bosque. Ejercicio En esta leccin no hay ningn ejercicio.

Leccin: Transferencia y asuncin de funciones de maestro de operaciones

En esta leccin, se describen los procedimientos para transferir y asumir las funciones de maestro de operaciones. Cuando exponga el tema Transferencia de funciones de maestro de operaciones, compruebe que los alumnos entienden cundo y cmo se deben transferir dichas funciones. Al exponer el tema Cundo asumir las funciones de maestro de operaciones, compruebe que los alumnos entienden las implicaciones derivadas de dicha accin. Demuestre los procedimientos para localizar un maestro de operaciones, transferir una funcin de maestro de operaciones y asumirla. Ejercicio Al final de esta leccin, pida a los alumnos que transfieran la funcin de maestro de infraestructura en su dominio.

Leccin: Planeamiento de la ubicacin de maestros de operaciones

En esta leccin se detallan directrices para ubicar maestros de operaciones y sus cinco funciones, y se explica tambin cmo asumirlas. Cuando exponga los temas de esta leccin, use sus experiencias personales en el planeamiento de la ubicacin de maestros de operaciones como ayuda para reforzarlos. Cuando exponga el tema Directrices para ubicar el maestro emulador de PDC, remita a los alumnos a la pgina de los apndices del disco compacto Material del alumno para obtener informacin adicional acerca de cmo ubicar el maestro emulador de PDC y reducir la carga de trabajo en l. Ejercicio Al final de la leccin, pida a los alumnos que completen el ejercicio multimedia Planeamiento de la ubicacin de maestros de operaciones.

Mdulo 9: Administracin de los maestros de operaciones

vii

Prctica A: Administracin de los maestros de operaciones

La prctica de este mdulo permitir a los alumnos asumir y transferir una funcin de maestro de operaciones. Los alumnos trabajarn en parejas. En el primer ejercicio, simularn el fallo del servidor que desempea la funcin de maestro de infraestructura y asumirn dicha funcin. En el segundo, usarn Ntdsutil.exe para transferir varias funciones desde un servidor a otro.

Informacin de personalizacin
Esta seccin identifica los requisitos de configuracin de las prcticas para un mdulo y los cambios de configuracin que ocurren en los equipos de los alumnos durante las mismas. Esta informacin pretende ayudarle a replicar o personalizar el material del curso Microsoft Official Curriculum (MOC).

Configuracin de la prctica
En la lista siguiente, se describen los requisitos de configuracin para la prctica de este mdulo. Requisito 1 de configuracin Las prcticas de este mdulo requieren que los equipos de cada pareja de alumnos se configuren como controladores de dominio de su propio bosque. Para preparar los equipos de los alumnos de modo que cumplan este requisito, realice la configuracin manual o automatizada para este curso y, despus, complete las prcticas del mdulo 7, Implementacin de sitios para administrar la replicacin de Active Directory, del curso 2196A, Planeamiento, implementacin y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.

Resultados de la prctica
Al realizar la prctica de este mdulo se trasladan las funciones de emulador de DC, maestro de infraestructura y maestro de identificadores relativos (RID, Relative ID) al segundo equipo del dominio. Nota Si el maestro de infraestructura se transfiriera al segundo equipo del dominio durante el ejercicio, se pasara de nuevo al primero durante esta prctica.

Mdulo 9: Administracin de los maestros de operaciones

Introduccin

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Un maestros de operaciones es un controlador de dominio que realiza una funcin especfica en el servicio de directorio Active Directory. Conocer las funciones de maestro de operaciones especficas de cada controlador de dominio de una red Active Directory puede servirle de ayuda a la hora de replicar los datos y usar el ancho de banda de la red de forma eficaz. En este mdulo, se describen las funciones de maestro de operaciones, cmo transferirlas y asumirlas, y cmo planear la ubicacin de los maestros de operaciones. Despus de finalizar este mdulo, podr:

Objetivos

Explicar el propsito de las cinco funciones de maestro de operaciones en Active Directory. Transferir y asumir funciones de maestro de operaciones en Active Directory. Planear la ubicacin de maestros de operaciones en Active Directory.

Mdulo 9: Administracin de los maestros de operaciones

Leccin: Introduccin a las funciones de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Active Directory define cinco funciones de maestro de operaciones: maestro de esquema, maestro de nombres de dominio, emulador de controlador de dominio principal (PDC, Primary Domain Controller), maestro de identificadores relativos (RID, Relative Identifier) y maestro de infraestructura. En esta leccin se explica la finalidad de cada funcin de maestro de operaciones. Despus de finalizar esta leccin, podr:

Objetivos de la leccin

Explicar el propsito de un maestro de esquema. Explicar el propsito de un maestro de nombres de dominio. Explicar el propsito de un emulador de PDC. Explicar el propsito de un maestro de RID. Explicar el propsito de un maestro de infraestructura.

Mdulo 9: Administracin de los maestros de operaciones

Qu es el maestro de esquema

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Un esquema de Active Directory define los tipos de objetos y de informacin acerca de los mismos que puede almacenar en Active Directory. Active Directory guarda estas definiciones en forma de objetos y administra los objetos de esquema mediante las operaciones de administracin de objetos que utiliza con el resto de objetos del directorio. El maestro de esquema lleva a cabo las funciones siguientes:

Funciones realizadas por el maestro de esquema

Controla todas las actualizaciones originarias del esquema. Contiene la lista maestra de clases y atributos de objetos que se usan para crear todos los objetos de Active Directory. Replica las actualizaciones del esquema de Active Directory en todos los controladores de dominio del bosque mediante la replicacin estndar de la particin de esquema. Slo permite modificar el esquema a los miembros del grupo Administradores de esquema.

Cada bosque tiene nicamente un maestro de esquema. De esta forma se evitan los conflictos que se produciran si dos o ms controladores de dominio intentaran actualizar simultneamente el esquema. Si el maestro de esquema no est disponible, no puede modificar el esquema ni instalar aplicaciones que lo modifiquen.

Mdulo 9: Administracin de los maestros de operaciones

Qu es el maestro de nombres de dominio

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Funciones realizadas por el maestro de nombres de dominio Cuando agrega o quita un dominio de un bosque, el cambio se registra en Active Directory. El maestro de nombres de dominio controla la adicin o eliminacin de dominios en el bosque. En cada bosque, slo hay un maestro de nombres de dominio. Cuando agrega un dominio nuevo al bosque, nicamente el controlador de dominio que desempee la funcin de maestro de nombres de dominio podr agregarlo. El maestro de nombres de dominio impide que se unan al bosque varios dominios con el mismo nombre. Cuando usa el Asistente para instalacin de Active Directory con el fin de crear un dominio secundario, ste se pone en contacto con el maestro de nombres de dominio y solicita la adicin o eliminacin. Si el maestro de nombres de dominio no est disponible, no puede agregar ni quitar dominios.

Mdulo 9: Administracin de los maestros de operaciones

Qu es el emulador de PDC

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El emulador de PDC acta como un controlador de dominio principal (PDC) de Microsoft Windows NT para admitir cualquier controlador de dominio de reserva (BDC, Backup Domain Controller) que ejecute Windows NT en un dominio en modo mixto. Cuando crea un dominio, Active Directory asigna la funcin de emulador de PDC al primer controlador de dominio del mismo. El emulador de PDC realiza las funciones siguientes:

Funciones realizadas por el emulador de PDC

Acta como PDC para los BDC existentes. Si un dominio contiene algn BDC o equipo cliente donde se ejecute NT 4.0 o una versin anterior, el emulador de PDC funciona como PDC de Windows NT. El emulador de PDC replica los cambios del directorio en los BDC que ejecuten Windows NT. Administra los cambios de contrasea de equipos con Windows NT, Microsoft Windows 95 o Windows 98. Active Directory escribe los cambios de contrasea directamente en el emulador de PDC. Reduce la latencia de replicacin en los cambios de contrasea. El tiempo necesario para que un controlador de dominio reciba un cambio que se haya efectuado en otro se denomina latencia de replicacin. Cuando la contrasea de un equipo cliente con Windows 2000 o posterior se cambia en un controlador de dominio, ste reenva de inmediato el cambio al emulador de PDC. Si la autenticacin de un inicio de sesin falla en otro controlador de dominio debido a que una contrasea no es correcta, ese controlador de dominio reenviar la solicitud de autenticacin al emulador de PDC antes de rechazar el intento de inicio de sesin.

Mdulo 9: Administracin de los maestros de operaciones

Sincroniza la hora en todos los controladores de dominio del dominio con la suya. El protocolo de autenticacin Kerberos versin 5 requiere que la hora de los controladores de dominio est sincronizada para permitir la autenticacin. Los equipos cliente de un dominio tambin sincronizan su hora con el controlador de dominio que autentica al usuario. Evita la posibilidad de sobrescribir objetos de directiva de grupo (GPO, Group Policy Object). De forma predeterminada, el uso de directivas de grupo reduce la probabilidad de que se produzcan conflictos de replicacin al ejecutarse en el controlador de dominio que desempea la funcin de emulador de PDC para ese dominio.

Nota Para obtener ms informacin acerca de cmo administrar la sincronizacin de hora, consulte Qu es el emulador de PDC en el mdulo 9, en la pgina de los apndices del disco compacto Material del alumno.

Mdulo 9: Administracin de los maestros de operaciones

Qu es el maestro de RID

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El maestro de identificadores relativos (RID) es un controlador de dominio que asigna bloques de RID a cada controlador de dominio del dominio. Siempre que un controlador de dominio crea un nuevo principal de seguridad, como un objeto de equipo, usuario o grupo, asigna al objeto un identificador de seguridad nico (SID, Unique Security Identifier). Este SID consta de un SID de dominio, que es el mismo para cada principal de seguridad creado en el dominio, y un RID, que tambin es nico para cada principal de seguridad del dominio. El maestro de RID permite la creacin y el movimiento de objetos de la forma siguiente:

Cmo permite el maestro de RID la creacin y el traslado de movimiento de objetos

Creacin de objetos. Para permitir que una operacin con varios maestros cree objetos en un controlador de dominio, el maestro de RID le asigna un bloque de RID. Cuando un controlador de dominio requiere un bloque adicional de RID, se pone en contacto con el maestro de RID, que asigna otro bloque de RID al controlador de dominio, que a su vez los asigna a los nuevos objetos. Si el grupo de RID de un controlador de dominio est vaco y el maestro de RID no est disponible, no puede crear nuevos principales de seguridad en ese controlador de dominio. Puede ver la asignacin del grupo de RID mediante la utilidad Domain Controller Diagnostic (el comando dcdiag). Nota Puede instalar la utilidad Dcdiag al instalar las herramientas de soporte, que se encuentran en la carpeta \Support\Tools del disco compacto del producto.

Mdulo 9: Administracin de los maestros de operaciones

Movimiento de objetos. Cuando mueve un objeto entre dominios, el movimiento se inicia en el maestro de RID que lo contiene. De este modo no se duplican. Si mueve un objeto pero ningn maestro conserva esta informacin, podra moverlo a varios dominios sin darse cuenta de que ya lo haba movido anteriormente.

El maestro de RID elimina el objeto del dominio cuando ste se mueve a otro dominio diferente.

Mdulo 9: Administracin de los maestros de operaciones

Qu es el maestro de infraestructura

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El maestro de infraestructura es un controlador de dominio que actualiza las referencias a los objetos de su dominio que sealan a los objetos de otro dominio. La referencia a un objeto contiene el identificador nico global (GUID, Globally Unique Identifier) del mismo, su nombre completo y, en ocasiones, un SID. Active Directory actualiza peridicamente el nombre completo y el SID para reflejar los cambios que se hayan efectuado en el objeto, por ejemplo, cuando se mueve dentro de un dominio o entre dominios distintos, o cuando se elimina. Si el SID o el nombre completo de una cuenta de usuario o grupo se modifica en otro dominio, Active Directory debe actualizar la pertenencia al grupo para los grupos del dominio que hagan referencia al usuario o grupo que haya cambiado. Para actualizar la pertenencia al grupo, el maestro de infraestructura correspondiente al dominio en el que el grupo o la referencia resida replica el cambio en todo el dominio. El maestro de infraestructura actualiza la identificacin del objeto de acuerdo con las reglas siguientes:

Identificacin de la pertenencia a un grupo

Si el objeto se mueve, su nombre completo cambia dado que representa su ubicacin exacta en el directorio. Si el objeto se mueve dentro del dominio, su SID sigue siendo el mismo. Si el objeto se mueve a otro dominio, el SID cambia para incorporar el SID del nuevo dominio. El GUID no cambia con independencia de la ubicacin, ya que es nico en todos los dominios.

Nota En un bosque con un nico dominio, no se necesita la funcin de maestro de infraestructura puesto que no hay referencias a objetos externos que tenga que actualizar.

10

Mdulo 9: Administracin de los maestros de operaciones

El maestro de infraestructura y el catlogo global

No debe convertir en maestros de infraestructura los controladores de dominio que alojen el catlogo global. Si el maestro de infraestructura y el catlogo global estn en el mismo equipo, el primero no funciona porque no contiene ninguna referencia a los objetos que no se encuentran en l. Peridicamente, el maestro de infraestructura de un dominio examina las referencias de su replicado de los datos de directorio correspondientes a los objetos que no se hallan en ese controlador de dominio. Para ello, consulta en un servidor de catlogo global la informacin acerca del nombre completo y el SID de cada objeto al que se ha hecho referencia. Si esta informacin ha cambiado, el maestro de infraestructura hace el cambio en su replicado local. A continuacin, replica estos cambios en el resto de controladores de dominio dentro del dominio.

Mdulo 9: Administracin de los maestros de operaciones

11

Leccin: Transferencia y asuncin de funciones de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se describe la transferencia y asuncin de las funciones de maestro de operaciones. En ella se explica cmo determinar qu servidor ejerce una funcin de maestro de operaciones y cmo se transfieren y asumen dichas funciones. Despus de finalizar esta leccin, podr:

Objetivos de la leccin

Explicar el propsito de la transferencia de una funcin de maestro de operaciones. Explicar el propsito de la asuncin de una funcin de maestro de operaciones. Determinar qu servidor desempea una funcin de maestro de operaciones. Transferir una funcin de maestro de operaciones. Asumir una funcin de maestro de operaciones.

12

Mdulo 9: Administracin de los maestros de operaciones

Transferencia de funciones de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Las funciones de maestro de operaciones se ubican en un bosque al implementar la estructura de los dominios y del bosque. Slo debe transferir alguna funcin cuando haga un cambio importante en la infraestructura de dominios. Por ejemplo, cuando d de baja un controlador de dominio que desempee una de estas funciones o agregue un nuevo controlador de dominio que est mejor preparado para ejercer una funcin concreta. La transferencia de una funcin de maestro de operaciones implica pasarla de un controlador de dominio en funcionamiento a otro. Para transferir las funciones, ambos controladores debe estar activos y funcionando, y, adems, conectados a la red. Al transferir una funcin de maestro de operaciones, no se pierden datos. Active Directory replica el directorio del maestro de operaciones actual en el nuevo controlador de dominio, lo que garantiza que el nuevo maestro tenga la informacin ms reciente. En esta transferencia se utiliza el mecanismo de replicacin de directorios.

Implicaciones de la transferencia de una funcin

Mdulo 9: Administracin de los maestros de operaciones

13

Permisos requeridos

Para transferir una funcin de maestro de operaciones, debe tener los permisos apropiados. En la tabla siguiente se enumeran los grupos a los que debe pertenecer para ello.
Maestro de operaciones Maestro de esquema Grupo autorizado El permiso Cambiar el maestro de esquema se concede, de forma predeterminada, al grupo Administradores de esquema. El permiso Cambiar el maestro de nombres de dominio se concede, de forma predeterminada, al grupo Administradores de organizacin. El permiso Cambiar el PDC se concede, de forma predeterminada, al grupo Administradores de dominio. El permiso Cambiar el maestro de RID se concede, de forma predeterminada, al grupo Administradores de dominio. El permiso Cambiar el maestro de infraestructura se concede, de forma predeterminada, al grupo Administradores de dominio.

Maestro de nombres de dominio Emulador de PDC Maestro de RID

Maestro de infraestructura

Nota Cuando un controlador de dominio se degrada a servidor miembro, renuncia a cualquier funcin de maestro de operaciones que desempeara en favor de cualquier otro controlador de dominio arbitrario. Para controlar los controladores de dominio que ejercern la funcin, debe transferir las funciones antes de degradar el controlador de dominio.

14

Mdulo 9: Administracin de los maestros de operaciones

Cundo asumir las funciones de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Asumir una funcin de maestro de operaciones significa obligar a otro controlador de dominio a ejercerla, el cual no puede ponerse en contacto con el controlador de dominio que deja de desempearla en el momento de la asuncin. Para asumir una funcin, debe ser miembro de un grupo autorizado. La asuncin de una funcin de maestro de operaciones es un paso radical. Ejectelo nicamente en el caso de que el maestro de operaciones actual no vaya a volver a estar disponible en ningn momento y no pueda transferir la funcin. Puesto que el controlador de dominio que desempeaba anteriormente la funcin de maestro de operaciones no est disponible al asumir dicha funcin, no es posible reconfigurarlo o informarle de que otro controlador de dominio realiza ahora la funcin. Para reducir riesgos, nicamente debe asumir una funcin si la funcin de maestro de operaciones que ha fallado afecta al rendimiento de Active Directory de forma inaceptable. Para calcular su repercusin, compare el efecto que tiene el que la funcin de maestro de operaciones no est disponible con respecto a la cantidad de trabajo que debe realizar para poner en conexin de nuevo el controlador de dominio que la desempeaba antes, una vez asumida dicha funcin. Importante Antes de asumir una funcin, debe desconectar definitivamente de la red el controlador de dominio que la desempeaba. Si intenta reparar el controlador que realizaba anteriormente una funcin de maestro de operaciones y ponerlo de nuevo en conexin despus de asumirla, dicho controlador de dominio esperar hasta que se haya producido un ciclo completo de replicacin antes de reanudar dicha funcin. De este modo, puede determinar si existe otro maestro de operaciones antes de volver a ponerse en conexin. Si lo detecta, se reconfigura para dejar de desempear la funcin en cuestin.

Implicaciones de la asuncin de una funcin

Mdulo 9: Administracin de los maestros de operaciones

15

Active Directory sigue funcionando cuando las funciones de maestro de operaciones no estn disponibles. Si el controlador que realiza la funcin nicamente est fuera de conexin durante un breve perodo, puede no ser necesario asumirla. En la tabla siguiente se describen los riesgos y consecuencias de restituir el servicio de un maestro de operaciones una vez asumida su funcin.
Recomendacin con respecto a restituir el servicio despus de asumirse la funcin

Funcin de maestro de operaciones Maestro de esquema

Consecuencia si la funcin no est disponible No se pueden hacer cambios en el esquema.

Riesgo que supone una restauracin inapropiada

Se pueden introducir No se recomienda. Puede algunos cambios daar el bosque y tener que conflictivos en el esquema reconstruirlo por completo. si ambos maestros de esquema intentan modificarlo al mismo tiempo. Este conflicto puede provocar la fragmentacin del esquema. No se pueden agregar o quitar dominios ni limpiar los metadatos. Los dominios pueden aparecer incorrectamente como si estuvieran an en el bosque. La validacin de contraseas puede ser correcta o fallar al azar. Los cambios en las contraseas pueden tardar mucho ms en replicarse a travs del dominio. Se muestran nombres de usuario incorrectos en las listas de miembros de grupos en la interfaz de usuario despus de mover usuarios de un grupo a otro. Se pueden asignar grupos de RID duplicados a controladores de dominio, lo que provoca daos en los datos del directorio y puede conducir a riesgos en la seguridad y a accesos no autorizados. No se recomienda. Puede hacer necesaria la reconstruccin de los dominios.

Maestro de nombres de dominio

No se pueden agregar o quitar dominios del bosque.

Emulador de PDC

No se pueden cambiar las contraseas en los equipos cliente que no tengan instalado el software cliente de Active Directory. No se produce la replicacin en los controladores de dominio de reserva de Windows NT 4.0. Se produce un retardo al mostrar las listas actualizadas de miembros de grupos en la interfaz de usuario al mover usuarios de un grupo a otro. A la larga, los controladores de dominio no pueden crear nuevos objetos de directorio porque se reducen sus grupos de RID.

Se permite. La autenticacin de usuarios puede mostrar un comportamiento variable durante un tiempo pero no se produce ningn dao permanente. Se permite. Puede afectar al rendimiento del controlador de dominio que desempee la funcin pero no se producen daos en el directorio. No se recomienda. Puede provocar daos en los datos que hagan necesaria la reconstruccin del dominio.

Maestro de infraestructura

Maestro de RID

16

Mdulo 9: Administracin de los maestros de operaciones

Cmo determinar el titular de una funcin de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Antes de considerar si mover una funcin de maestro de operaciones, determine qu controlador de dominio la desempea. Slo los usuarios autenticados tienen permiso par determinar dnde se desempean las funciones de maestro de operaciones. Debe utilizar alguno de los complementos de Active Directory siguientes, dependiendo de la funcin:

Usuarios y equipos de Active Directory (funciones de maestro de PDC, RID e infraestructura) Dominios y confianzas de Active Directory (funcin de maestro de nombres de dominio) Esquema de Active Directory (funcin de maestro de esquema)

Procedimiento para determinar el maestro de RID, el emulador de PDC y el maestro de infraestructura

Para determinar qu controlador de dominio desempea la funcin de maestro de RID, de emulador de PDC o de maestro de infraestructura, realice los pasos siguientes. 1. Abra Usuarios y equipos de Active Directory. 2. En el rbol de la consola, haga clic con el botn secundario del mouse (ratn) en el dominio para el que desee ver los maestros de operaciones y haga clic en Maestro de operaciones. 3. En Maestro de operaciones, en las fichas RID, Controlador principal de dominio (PDC) o Infraestructura, observe el nombre del maestro de operaciones actual.

Mdulo 9: Administracin de los maestros de operaciones

17

Procedimiento para determinar al maestro de nombres de dominio

Para determinar qu controlador de dominio desempea la funcin de maestro de nombres de dominio, realice los pasos siguientes: 1. Abra Dominios y confianzas de Active Directory. 2. Haga clic con el botn secundario del mouse en Dominios y confianzas de Active Directory y, despus, haga clic en Maestro de operaciones. 3. En el cuadro de dilogo Cambiar el maestro de operaciones, observe el nombre del maestro de nombres de dominio actual.

Procedimiento para determinar al maestro de esquema

Para determinar qu controlador de dominio desempea la funcin de maestro de esquema, realice los pasos siguientes: 1. Ejecute el comando siguiente para registrar el esquema de Active Directory: regsvr32.exe %systemroot%\system32\schmmgmt.dll 2. Haga clic en Aceptar. 3. Cree una consola de Microsoft Management Console (MMC) personalizada y, despus, agrguele el complemento Esquema de Active Directory. 4. En el rbol de la consola, expanda Esquema de Active Directory y haga clic con el botn secundario del mouse en l; despus, haga clic en Maestro de operaciones. 5. En el cuadro de dilogo Cambiar el maestro de esquema, observe el nombre del maestro de esquema actual. Nota Para identificar un maestro de operaciones en un dominio diferente, conctese al dominio antes de hacer clic en Maestro de operaciones, en el paso 4. Si desea identificar los maestros de operaciones de un bosque diferente, para conectarse al dominio, escriba el nombre de dominio del bosque antes de hacer clic en Maestro de operaciones.

18

Mdulo 9: Administracin de los maestros de operaciones

Cmo transferir una funcin de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede transferir las tres funciones de maestro de operaciones relativas a los dominios con Usuarios y equipos de Active Directory. Para transferir la funcin de maestro de nombres de dominio, debe usar Dominios y confianzas de Active Directory. Si desea transferir la funcin de maestro de esquema de Active Directory, debe utilizar la herramienta Esquema de Active Directory. Para transferir las funciones de maestro de operaciones maestro de RID, emulador de PDC o maestro de infraestructura, realice los pasos siguientes. 1. Abra Usuarios y equipos de Active Directory. 2. En el rbol de la consola, haga clic con el botn secundario del mouse en Usuarios y equipos de Active Directory y, despus, en Conectar con el controlador de dominio. 3. En la lista O seleccione un controlador de dominio disponible, haga clic en el controlador de dominio que vaya a convertirse en el nuevo maestro de operaciones y, despus, haga clic en Aceptar. 4. En el rbol de la consola, haga clic con el botn secundario del mouse en el dominio que contenga el servidor que se convertir en el nuevo maestro de operaciones y haga clic en Maestro de operaciones. 5. En la ficha Infraestructura, Controlador principal de dominio (PDC) o RID, haga clic en Cambiar y, despus, en S. Precaucin Asegrese de que no transfiere la funcin de maestro de infraestructura a un controlador de dominio que aloje el catlogo global.

Procedimiento para transferir las funciones de maestro de RID, emulador de PDC y maestro de infraestructura

Mdulo 9: Administracin de los maestros de operaciones

19

Procedimiento para transferir la funcin de maestro de nombres de dominio

Para transferir la funcin de maestro de nombres de dominio a otro controlador de dominio, realice los pasos siguientes: 1. Abra Dominios y confianzas de Active Directory. 2. En el rbol de la consola, haga clic con el botn secundario del mouse en Dominios y confianzas de Active Directory y, despus, en Conectar con el controlador de dominio. 3. En la lista O seleccione un controlador de dominio disponible, haga clic en el controlador de dominio que vaya a convertirse en el nuevo maestro de nombres de dominio y, despus, haga clic en Aceptar. 4. En el rbol de la consola, haga clic con el botn secundario del mouse en Dominios y confianzas de Active Directory y haga clic en Maestro de operaciones. 5. Cuando aparezca el nombre del controlador de dominio que seleccion en el paso 3, haga clic en Cambiar y, despus, en S.

Procedimiento para transferir la funcin de maestro de esquema

Para transferir la funcin de maestro de esquema, realice los pasos siguientes: 1. Abra Esquema de Active Directory. 2. En el rbol de la consola, haga clic con el botn secundario del mouse en Esquema de Active Directory y, despus, en Cambiar el controlador de dominio. 3. Haga clic en Especificar nombre, escriba el nombre del controlador de dominio al que desee transferir la funcin de maestro de esquema y, despus, haga clic en Aceptar. 4. En el rbol de la consola, haga clic con el botn secundario del mouse en Esquema de Active Directory y, despus, haga clic en Maestro de operaciones. 5. Cuando aparezca el nombre del controlador de dominio que escribi en el paso 3, haga clic en Cambiar y, despus, en S. Nota Antes de abrir el Esquema de Active Directory, debe usar la utilidad Regsvr32.exe para registrar el complemento Esquema de Active Directory, Schmmgmt.dll, y crear a continuacin una nueva consola de MMC personalizada.

20

Mdulo 9: Administracin de los maestros de operaciones

Cmo asumir una funcin de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede usar la herramienta de lnea de comandos Ntdsutil para asumir una funcin de maestro de operaciones. El procedimiento vara ligeramente dependiendo de la funcin que se asuma. Puesto que las funciones de emulador de PDC y maestro de infraestructura se pueden asumir sin perder datos, para ello se puede usar Usuarios y equipos de Active Directory. Para asumir el resto de funciones, nicamente debe usar la utilidad Ntdsutil con el fin de evitar que se asuman accidentalmente. Si desea recuperar el sistema ante un problema con un maestro de RID, de esquema o de nombres de dominio, realice las tareas siguientes: 1. Desconecte el maestro de operaciones actual de la red antes de asumir la funcin. 2. Utilice el comando ntdsutil. 3. Espere hasta que todas las actualizaciones que haya realizado el controlador de dominio que ha fallado se repliquen en el controlador de dominio que asume la funcin. 4. Compruebe que el controlador de dominio cuya funcin se asume se quita del dominio y no se restaura a continuacin. 5. Antes de conectar ese equipo a la red, vuelva a dar formato a la particin que contena los archivos del sistema operativo de los maestros de operaciones originales y reinstale Windows Server 2003.

Tareas de recuperacin

Mdulo 9: Administracin de los maestros de operaciones

21

Procedimiento para asumir una funcin mediante Usuarios y equipos de Active Directory

Para asumir la funcin de maestro de operaciones emulador de PDC o maestro de infraestructura, realice los pasos siguientes. 1. Abra Usuarios y equipos de Active Directory. 2. En el rbol de la consola, haga clic con el botn secundario del mouse en el dominio para el que desee asumir una funcin de maestro de operaciones y haga clic en Maestro de operaciones. Se puede tardar varios segundos en que aparezcan los datos, ya que Usuarios y equipos de Active Directory est esperando la respuesta del titular actual de la funcin de maestro de operaciones. 3. En el cuadro de dilogo Maestro de operaciones, en la ficha Infraestructura, Controlador principal de dominio (PDC) o RID, haga clic en Cambiar. 4. En el cuadro de dilogo Active Directory, haga clic en S. 5. Cuando aparezca un cuadro de dilogo Active Directory donde se indique que este equipo no es un asociado de replicacin, haga clic en S. 6. Cuando aparezca un cuadro de dilogo Active Directory donde se indique que no se puede realizar una transferencia, haga clic en S. 7. En el cuadro de dilogo Active Directory, haga clic en Aceptar y, despus, en Cerrar. 8. Cierre Usuarios y equipos de Active Directory.

Procedimiento para asumir una funcin mediante Ntdsutil

Para usar el comando ntdsutil con el fin de asumir una funcin de maestro de esquema, realice los pasos siguientes: 1. En el cuadro Ejecutar, escriba cmd y haga clic en Aceptar. 2. En el smbolo del sistema, escriba ntdsutil y presione ENTRAR. 3. En la lnea de comandos de ntdsutil, escriba roles y presione ENTRAR. 4. En la lnea de comandos fsmo maintenance, escriba connections y presione ENTRAR. 5. En la lnea de comandos server connections, escriba connect to server seguido del nombre completo de dominio (FQDN, Fully Qualified Domain Name) del controlador de dominio que se convertir en el nuevo titular de la funcin y presione ENTRAR. 6. Escriba quit y presione ENTRAR. 7. En la lnea de comandos fsmo maintenance, escriba uno de los comandos siguientes para asumir la funcin de maestro de operaciones apropiado, presione ENTRAR, escriba quit y, despus, presione ENTRAR de nuevo. Seize RID master Seize PDC Seize infrastructure master Seize domain naming master Seize schema master 8. En la lnea de comandos de ntdsutil, escriba quit y presione ENTRAR.

22

Mdulo 9: Administracin de los maestros de operaciones

Ejercicio: Transferencia de funciones de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos En este ejercicio, se ocupar de:

Determinar qu controlador de dominio desempea la funcin de maestro de infraestructura en su dominio. Transferir la funcin de maestro de infraestructura al otro servidor del dominio.

Instrucciones

Trabaje con un compaero cuyo controlador de dominio est en el mismo dominio de Active Directory que el suyo. Este ejercicio slo se puede realizar en un servidor del dominio, por lo que deben trabajar juntos en un servidor. Northwind Traders est desarrollando un plan de recuperacin ante desastres. Una consideracin importante es cmo se distribuirn las funciones de maestro de operaciones. El equipo de implementacin de Active Directory ha decidido que ubicar la funcin de maestro de infraestructura en un servidor distinto al que la desempea actualmente.

Situacin de ejemplo

Mdulo 9: Administracin de los maestros de operaciones

23

Ejercicio

Transfiera la funcin de maestro de infraestructura

1. Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd 2. Haga clic en Inicio, seleccione Herramientas administrativas, haga clic con el botn secundario del mouse en Usuarios y equipos de Active Directory y haga clic en Ejecutar como. 3. En el cuadro de dilogo Ejecutar como, haga clic en El usuario siguiente, escriba el nombre de usuario Nwtradersx\Administrador con la contrasea P@ssw0rd y haga clic en Aceptar. 4. En el rbol de la consola, haga clic con el botn secundario del mouse en nw.nwtradersx.msft y, a continuacin, haga clic en Maestro de operaciones. 5. En la ficha Infraestructura, en el cuadro Maestro de operaciones, registre el nombre del actual maestro de operaciones y haga clic en Cerrar. ____________________________________________________________ ____________________________________________________________ 6. En el rbol de la consola, haga clic con el botn secundario del mouse en nw.nwtradersx.msft y, a continuacin, haga clic en Conectar con el controlador de dominio. 7. En el cuadro de dilogo Conectar con el controlador de dominio, en la lista O seleccione un controlador de dominio disponible, seleccione un servidor que no desempee en este momento la funcin de maestro de infraestructura y haga clic en Aceptar. 8. En el rbol de la consola, haga clic con el botn secundario del mouse en nw.nwtradersx.msft y, a continuacin, haga clic en Maestro de operaciones. 9. En la ficha Infraestructura, haga clic en Cambiar. 10. En el cuadro de dilogo Active Directory, haga clic en S y, despus, en Aceptar. 11. En el cuadro de dilogo Maestros de operaciones, observe que el maestro de operaciones se ha transferido al controlador de dominio seleccionado y haga clic en Cerrar. 12. Cierre Usuarios y equipos de Active Directory.

24

Mdulo 9: Administracin de los maestros de operaciones

Leccin: Planeamiento de la ubicacin de maestros de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivos de la leccin En esta leccin se explican directrices para ubicar y asumir las funciones de maestro de operaciones. Despus de finalizar esta leccin, podr:

Explicar las directrices que se aplican al ubicar maestros de operaciones. Explicar las directrices que se aplican al ubicar el maestro de esquema. Explicar las directrices que se aplican al ubicar el maestro de nombres de dominio. Explicar las directrices que se aplican al ubicar el maestro emulador de PDC. Explicar las directrices que se aplican al ubicar el maestro de RID. Explicar las directrices que se aplican al ubicar el maestro de infraestructura. Explicar las directrices que se aplican al asumir las funciones de maestro de operaciones.

Mdulo 9: Administracin de los maestros de operaciones

25

Directrices para ubicar maestros de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Windows Server 2003 ubica las funciones de maestro de operaciones en los controladores de dominio automticamente. Esta ubicacin funciona bien en un bosque que se implemente con pocos controladores de dominio en un sitio. Sin embargo, si el bosque tiene muchos controladores de dominio o varios sitios, debe planear la ubicacin de las funciones de maestro de operaciones para lograr el mximo rendimiento y reducir el riesgo en caso de que un controlador de dominio deje de estar disponible. Aplique las directrices siguientes al ubicar maestros de operaciones:

Directrices

En un bosque con un nico dominio, deje todas las funciones en el primer controlador de dominio del bosque. Designe cada controlador de dominio como servidor de catlogo global porque los datos del catlogo global slo se refieren al dominio. En un bosque con varios dominios, siga estas directrices: En el dominio raz del bosque: Si todos los controladores de dominio tambin son servidores de catlogo global, deje todas las funciones en el primer controlador de dominio del bosque. En caso contrario, mueva todos los maestros de operaciones a un controlador de dominio que no sea servidor de catlogo global. En cada dominio secundario, deje las funciones de emulador de PDC, maestro de RID y maestro de infraestructura en el primer servidor del dominio y asegrese de que este servidor no se designe nunca como servidor de catlogo global.

26

Mdulo 9: Administracin de los maestros de operaciones

En cada servidor que desempee alguna de las funciones, haga que otro controlador de dominio del mismo dominio est disponible como maestro de operaciones en espera. Este controlador de dominio debe cumplir lo siguiente: No debe actuar como servidor de catlogo global, excepto en un entorno con un nico dominio, donde todos los controladores de dominio son tambin servidores de catlogo global. Debe tener una conexin creada manualmente para la replicacin con el controlador de dominio para el que acte como maestro de operaciones en espera y debe hallarse en el mismo sitio.

Mdulo 9: Administracin de los maestros de operaciones

27

Directrices para ubicar el maestro de esquema

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La funcin de maestro de operaciones maestro de esquema abarca a todo el bosque. Controla todas las actualizaciones originarias del esquema. Si el maestro de esquema no est disponible, no puede modificar el esquema. De forma predeterminada, el primer controlador de dominio de cada bosque nuevo desempea dicha funcin. Al determinar la ubicacin del maestro de esquema, aplique las directrices siguientes:

Directrices

Haga que sea maestro de esquema un controlador de dominio que tenga una gran disponibilidad. Puesto que el esquema define todos los objetos que Active Directory puede almacenar, es fundamental para Active Directory registrar todos los cambios que se efectan en l. Un controlador de dominio con una gran disponibilidad es aqul que usa hardware informtico para seguir estando operativo incluso durante un problema de hardware. Por ejemplo, si un controlador de dominio dispone de una matriz redundante de discos independientes (RAID, Redundant Array of Independent Disks), puede seguir en ejecucin incluso si un disco duro falla.

No exija que el maestro de esquema sea un controlador de dominio de gran capacidad. Este requisito es innecesario puesto que los cambios en el esquema se realizan con poca frecuencia, el promedio de carga del servidor es mnimo y el promedio de trfico de replicacin no es importante. Un controlador de dominio de gran capacidad es aqul que tiene una eficacia de procesamiento comparativamente mayor que otros con el fin de hacer frente a la carga de trabajo adicional que supone la funcin de maestro de esquema. Tiene una CPU ms rpida y, posiblemente, ms memoria y ancho de banda de red.

28

Mdulo 9: Administracin de los maestros de operaciones

Directrices para ubicar el maestro de nombres de dominio

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La funcin de maestro de nombres de dominio abarca a todo el bosque. Controla la adicin o eliminacin de dominios en el bosque. De forma predeterminada, el primer controlador de dominio de un bosque nuevo desempea dicha funcin. Al determinar la ubicacin del maestro de nombres de dominio, aplique las directrices siguientes:

Directrices

Use como maestro de nombres de dominio un controlador de dominio que tenga una gran disponibilidad. Se requiere una alta disponibilidad para agregar un dominio al bosque o guitarlo de l. No exija que el maestro de nombres de dominio sea un controlador de dominio de gran capacidad. La adicin y eliminacin de dominios son tareas que se realizan con poca frecuencia y el promedio de carga del servidor es mnima.

Nota Si el bosque se configura con un nivel funcional Windows 2000 nativo, debe localizar el maestro de nombres de dominio en un servidor que contenga el catlogo global. Si el bosque se configura con un nivel funcional Windows Server 2003, no es necesario que el maestro de nombres de dominio est en un servidor de catlogo global.

Mdulo 9: Administracin de los maestros de operaciones

29

Directrices para ubicar el maestro emulador de PDC

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La funcin de maestro emulador de controlador de dominio principal (PDC, Primary Domain Controller) abarca a todo el dominio. Acta como un PDC en Windows NT para permitir que se utilicen los controladores de dominio de reserva (BDC, Backup Domain Controllers) que ejecutan Windows NT en un dominio configurado en un modo mixto de Windows 2000 o una funcionalidad de dominio de Windows provisional. La funcin de emulador de PDC se le asigna al primer controlador de dominio que crea en el nuevo dominio. Al determinar la ubicacin del maestro emulador de PDC, aplique las directrices siguientes:

Directrices

Use como maestro emulador de PDC un controlador de dominio que tenga una gran disponibilidad. Todos los controladores de dominio tienen acceso con frecuencia al emulador de PDC cuando se realizan cambios de contrasea, al reenviar contraseas que no coinciden durante los inicios de sesin, al sincronizar la hora y para permitir la compatibilidad de BDCs y clientes que ejecutan Windows NT o una versin anterior. Use como maestro emulador de PDC un controlador de dominio que tenga una gran capacidad. Puesto que la carga que se destina a este controlador de dominio aumenta, elija entre: Aumentar la capacidad de procesamiento del controlador de dominio. No ubicar el servidor de catlogo global en el controlador de dominio. Reducir la prioridad y el peso del registro (SRV) de servicio para dar preferencia en la autenticacin a otros controladores de dominio del sitio.

30

Mdulo 9: Administracin de los maestros de operaciones

No exija que el controlador de dominio en espera sea un asociado de replicacin directo. Al asumir la funcin de emulador de PDC no se pierden datos, por lo que no hay necesidad de reducir la latencia de replicacin en este tipo de operacin. Ubique este controlador de dominio de forma centralizada para dar cabida a la mayora de los usuarios del dominio. De este modo, se reducir la cantidad de trfico en la red.

Nota Para obtener ms informacin acerca de cmo ubicar el maestro emulador de PDC y reducir la carga de trabajo del emulador de PDC, consulte Directrices para ubicar el maestro emulador de PDC en el mdulo 9, en la pgina de los apndices del disco compacto Material del alumno.

Mdulo 9: Administracin de los maestros de operaciones

31

Directrices para ubicar el maestro de RID

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El maestro de RID asigna bloques de identificadores relativos (RID, Relative Identifier) a cada controlador de dominio del dominio. Siempre que un controlador de dominio crea un nuevo principal de seguridad, como un objeto de equipo, usuario o grupo, asigna al objeto un identificador de seguridad nico (SID, Unique Security Identifier). En cada dominio, slo hay un maestro de RID. Al determinar la ubicacin del maestro de RID, aplique las directrices siguientes:

Directrices

Use como maestro de RID un controlador de dominio que tenga una gran disponibilidad. Una elevada disponibilidad es fundamental en la creacin continua de principales de seguridad y para ayudar a evitar la necesidad de asumir una funcin de maestro de operaciones. No exija que el maestro de RID sea un controlador de dominio de gran capacidad. Generalmente, los principales de seguridad se crean de forma continuada, lo que no provoca picos en la utilizacin de la CPU. Adems, como los RID se distribuyen a cada controlador de dominio en bloques de 500, el promedio de carga del servidor y el trfico de replicacin son mnimos. Ubique el maestro de RID en un sitio donde cree un gran nmero de objetos principales de seguridad, como un objeto de usuario o de grupo. Esta ubicacin es comn cuando un grupo de administradores crea todas las cuentas de usuario de la organizacin porque la mayor parte de ellas se hallan en la misma ubicacin que la de los usuarios, lo que reduce los posibles efectos de un fallo en un vnculo de red.

32

Mdulo 9: Administracin de los maestros de operaciones

Ubique el maestro de RID de forma centralizada en la red si la mayor parte de las cuentas de usuario no se crean en un sitio. De este modo, se reducir la cantidad de trfico en la red. Configure el maestro de RID como asociado de replicacin directo con el maestro de RID de reserva o en espera. Esta configuracin reduce el riesgo de perder datos al asumir la funcin dado que reduce la latencia de replicacin.

Mdulo 9: Administracin de los maestros de operaciones

33

Directrices para ubicar el maestro de infraestructura

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El maestro de infraestructura es responsable de realizar actualizaciones rpidas de las referencias que abarcan a varios dominios, como cambios en la pertenencia a un grupo que contiene cuentas de usuario de otros dominios. En un dominio hay un nico maestro de infraestructura. Al determinar la ubicacin del maestro de infraestructura, aplique las directrices siguientes:

Directrices

No exija que el maestro de infraestructura sea un controlador de dominio de gran capacidad. No existe un riesgo potencial de perder la informacin controlada por este maestro de operaciones. Adems, la repercusin de poner fuera de conexin al maestro de infraestructura durante un perodo breve es insignificante puesto que no afecta a los usuarios finales. No exija que el maestro de infraestructura sea un controlador de dominio de gran capacidad. El maestro de infraestructura usa poco los recursos del servidor. Evite ubicar la funcin de maestro de infraestructura en un controlador de dominio que contenga el catlogo global. Si un controlador de dominio que desempea la funcin de maestro de infraestructura tambin acta como servidor de catlogo global, las referencias de ese dominio a objetos que sean de otros dominios no se actualizan. Ubique el maestro de infraestructura en el mismo sitio que el servidor de catlogo global. El maestro de infraestructura debe comunicarse con un servidor de catlogo global para actualizar las referencias que abarcan a varios dominios.

34

Mdulo 9: Administracin de los maestros de operaciones

Directrices para asumir funciones de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Asuma las funciones de maestro de operaciones nicamente cuando no pueda restaurar el controlador de dominio que desempee la funcin, por ejemplo, si se destruye fsicamente y no se puede restaurar a partir de un soporte de copia de seguridad. Antes de asumir una funcin de maestro de operaciones, desconecte fsicamente el controlador de dominio de la red. Aplique la directriz siguiente para responder ante problemas con los maestros de operaciones:

Directrices

Determine por anticipado la duracin de la interrupcin del servicio. Si espera que sea breve, espere hasta que el controlador de dominio titular de la funcin vuelva a estar disponible antes de realizar alguna operacin que tenga que ver con dicha funcin. Si la interrupcin es ms larga, puede que haya que asumir la funcin de maestro de operaciones desde un controlador de dominio. Esta decisin depende de la funcin y del tiempo que se prev que vaya a durar la interrupcin.

Aplique la directriz siguiente para asumir la funcin de maestro emulador de PDC:

Repare un problema con un emulador de PDC rpidamente. Una usuaria que utilice Windows NT Workstation, Windows NT 4.0, Windows 95 o Windows 98 sin el cliente Active Directory no podr cambiar su contrasea sin que su equipo se comunique con el emulador de PDC. Si su contrasea ha caducado, no podr iniciar sesin. Asuma la funcin de emulador de PDC en un controlador de dominio que acte como maestro de operaciones en espera si el emulador de PDC est fuera de conexin durante un perodo significativo.

Mdulo 9: Administracin de los maestros de operaciones

35

Aplique la directriz siguiente para asumir la funcin de maestro de infraestructura:

Espere en lugar de solucionar la prdida temporal del maestro de infraestructura. La prdida temporal de la funcin no es apreciable para los usuarios finales ni los administradores, a menos que haya movido o haya quitado recientemente un gran nmero de cuentas. Asuma la funcin de maestro de infraestructura si espera que la interrupcin del servicio va a ser larga y debe repararlo.

Aplique las directrices siguientes para asumir las funciones de maestro de esquema, de RID o de nombres de dominio:

Espere en lugar de solucionar la prdida temporal del maestro de esquema, de nombres de dominio o de RID. Estas funciones pasan desapercibidas para los usuarios finales y no impiden su trabajo como administrador. Desconecte fsicamente de la red el controlador de dominio para asegurarse de que la interrupcin del servicio es permanente. Un controlador de dominio cuya funcin de maestro de esquema, maestro de nombres de dominio o maestro de RID se asuma nunca debe volver a ponerse en conexin.

36

Mdulo 9: Administracin de los maestros de operaciones

Ejercicio multimedia: Asignacin de funciones de maestro de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Ubicacin de los archivos Para ver el ejercicio multimedia Asignacin de funciones de maestro de operaciones, abra la pgina Web del disco compacto Material del alumno, haga clic en Multimedia y, a continuacin, haga clic en el ttulo del ejercicio. No abra este ejercicio a menos que el instructor se lo indique. En este ejercicio, planear la ubicacin de un maestro de operaciones. Esta actividad incluye varios ejercicios con varias opciones de tipo arrastrar y colocar que le permiten demostrar sus conocimientos. Lea las instrucciones y comience el ejercicio.

Objetivo Instrucciones

Mdulo 9: Administracin de los maestros de operaciones

37

Prctica A: Administracin de los maestros de operaciones

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos Requisitos previos Situacin de ejemplo Despus de finalizar esta prctica, podr transferir y asumir las funciones de maestro de operaciones en Active Directory. Antes de trabajar en esta prctica, debe conocer el propsito de cada una de las cinco funciones de maestro de operaciones en Active Directory. Trabaja como administrador en Northwind Traders y es responsable de administrar las funciones de maestro de operaciones. Asumir una funcin de maestro de operaciones y, a continuacin, transferir las funciones de acuerdo con el plan correspondiente que el equipo de diseo de Active Directory ha desarrollado.

Tiempo previsto para completar esta prctica: 30 minutos

38

Mdulo 9: Administracin de los maestros de operaciones

Ejercicio 1 Asuncin de funciones de maestro de operaciones

En este ejercicio, usar Ntdsutil.exe para asumir la funcin de maestro de infraestructura desde el servidor de su compaero. El controlador de dominio que desempea dicha funcin ha experimentado una sobretensin debido al mal funcionamiento de un sistema de alimentacin ininterrumpida (SAI). El problema se debe a que se ha derramado una bebida. El equipo no volver a funcionar.

Tareas
1.

Instrucciones especiales Importante: realice esta tarea en ambos servidores del dominio.

Use Usuarios y equipos de Active Directory para determinar qu servidor de su dominio desempea la funcin de maestro de infraestructura. Qu servidor desempea la funcin?

2.

Para simular el fallo de un servidor, apague el servidor que desempee la funcin de maestro de infraestructura en su dominio. Use Ntdsutil.exe para asumir la funcin de maestro de infraestructura.
a.

Importante: realice esta tarea nicamente en el servidor que desempee dicha funcin.

3.

Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd Smbolo del sistema y, despus, haga clic en Ejecutar como.

b. Haga clic en Inicio, haga clic con el botn secundario del mouse en c.

En el cuadro de dilogo Ejecutar como, haga clic en El usuario siguiente, escriba el nombre de usuario Nwtradersx\Administrador con la contrasea P@ssw0rd y haga clic en Aceptar. Importante: realice esta tarea nicamente en el servidor que no desempee la funcin de maestro de infraestructura.

4.

Inicie el servidor que apag en el paso 2.

Mdulo 9: Administracin de los maestros de operaciones

39

Ejercicio 2 Transferencia de funciones de maestro de operaciones

En este ejercicio, transferir funciones de maestro de operaciones a otro servidor. El equipo de IT de Northwind Traders ha decidido ubicar las funciones de emulador de PDC y de maestro de RID en un servidor que no ejerza las funciones de maestro de esquema ni maestro de nombres de dominio. Debe transferir las funciones de emulador de PDC y maestro de RID al otro servidor.

Tareas
1.

Instrucciones especiales
a.

Transfiera la funcin de emulador de PDC al otro servidor de su dominio.

Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd en Smbolo del sistema y, despus, haga clic en Ejecutar como.

b. Haga clic en Inicio, haga clic con el botn secundario del mouse c.

En el cuadro de dilogo Ejecutar como, haga clic en El usuario siguiente, escriba el nombre de usuario Nwtradersx\Administrador con la contrasea P@ssw0rd y haga clic en Aceptar. Importante: realice esta tarea nicamente en el servidor que desempee actualmente las funciones de emulador de PDC y maestro de RID.

2.

Transfiera la funcin de maestro de RID a su servidor.

a.

Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd Smbolo del sistema y, despus, haga clic en Ejecutar como.

b. Haga clic en Inicio, haga clic con el botn secundario del mouse en c.

En el cuadro de dilogo Ejecutar como, haga clic en El usuario siguiente, escriba el nombre de usuario Nwtradersx\Administrador con la contrasea P@ssw0rd y haga clic en Aceptar. Importante: realice esta tarea nicamente en el servidor que no desempee la funcin de maestro de RID.

3.

Use Usuarios y equipos de Active Directory para comprobar que las funciones se han transferido correctamente.

Importante: realice esta tarea en ambos servidores del dominio.

THIS PAGE INTENTIONALLY LEFT BLANK