Sitios y servicios de Active Directory

Sitios y servicios de Active Directory es un complemento de Microsoft Management Console (MMC) que utilizan los administradores para crear y administrar los sitios que constituyen una red de Microsoft Windows 2000 y para establecer vínculos entre los sitios. Un sitio, en la terminología de Active Directory, se define como un grupo de equipos de una o varias subredes de protocolo de Internet (Internet Protocol, IP) que están bien conectadas. Una subred es una red que forma parte de otra red de mayor tamaño.

Bien conectadas significa que los sistemas comparten un transporte de red que proporciona comunicaciones de bajo coste y gran velocidad entre las máquinas y, generalmente, hace referencia a sistemas de una misma ubicación que están conectados mediante LAN. Los sistemas que no están bien conectados son los que utilizan comunicaciones relativamente lentas y caras. Active Directory consta de uno o varios sitios, pero los sitios no forman parte de los espacios de nombres con los que se trabaja al crear la jerarquía de Active Directory.

Al diseñar los árboles y los bosques para la instalación de Active Directory, las fronteras entre bosques, árboles, dominios y unidades organizativas (OU) suelen estar motivadas por razones políticas. Por ejemplo, Active Directory en una gran empresa puede consistir en árboles diferentes correspondientes a divisiones de la empresa, dominios para los diferentes departamentos y OU para los grupos de trabajo. Los sitios, por otro lado, se basan siempre en ubicaciones geográficas y en los tipos de conexiones existentes entre esas ubicaciones.

A modo de ejemplo, supóngase que una empresa imaginaria tiene dos divisiones, cada una de las cuales tiene su propia LAN de Fast Ethernet LAN a 100 Mbps. Si las dos divisiones se hallan en edificios diferentes de la misma instalación, puede que tengan una conexión de fibra óptica de gran velocidad entre las dos LAN que también transmita a 100 Mbps. En este caso, dado que todos los equipos de las dos divisiones están igual de bien conectados, se puede decir que forman un único sitio. Si, por el contrario, las dos divisiones se hallaran en ciudades diferentes y estuvieran conectadas mediante un enlace T-1 a solo 1,544 Mbps, las divisiones formarían dos sitios diferentes ya que no todos los equipos de la red estarían igual de bien conectadas.

Los sitios no aparecen como objetos en el espacio de nombres de Active Directory; se hallan apartados completamente de la jerarquía de bosques, árboles y dominios. Un sitio puede contener objetos de diferentes dominios, y los objetos de un dominio pueden estar repartidos entre sitios diferentes. La razón fundamental para dividir la red de una empresa en varios sitios es aprovechar las comunicaciones eficientes entre los sistemas bien conectados y regular el tráfico por las conexiones mas lentas y caras. Más concretamente, Active Directory utiliza los sitios durante la autenticación y la réplica.

• Autentificación: Cuando un usuario inicia una sesión en la red desde una estación de trabajo, el sistema lo autentifica siempre que sea posible con un controlador de dominio ubicado en el mismo sitio. Esto acelera el proceso de autentificación y ayuda a reducir el tráfico WAN.
• Réplica: Las actividades de réplica de los controladores de dominios que deben atravesar los limites de los sitios están sometidas a condiciones especiales debido a la necesidad de utilizar las conexiones WAN.

Los sitios de Active Directory están asociados a subredes IP concretas utilizadas por la red. Durante el proceso de autentificación, la estación de trabajo transmite información acerca de la subred en la que reside. Los controladores de dominios utilizan esta información para hallar los servidores de Active Directory de la misma subred que la estación de trabajo.

El uso de sitios durante la réplica es algo más complejo. Cuando dos controladores de dominios se hallan en el mismo sitio, la réplica se realiza con toda la velocidad de la LAN, generalmente, de 10 a 100 Mbps. Por otro lado, es probable que dos controladores de dominios situados en edificios o en ciudades diferentes estén conectados mediante tecnología WAN, que es mucho más lenta y, también, mucho más cara que la tecnología LAN. Por tanto, maximizar la eficacia de las comunicaciones entre los sitios suele ser cuestión del momento y de la frecuencia de las réplicas que utilizan los vínculos WAN.

Definición de los objetos sitio

Cuando se crea el primer controlador de dominio de Windows 2000 de la red, el Asistente para Active Directory crea el primer sitio, lo denomina Primer sitio predeterminado (se trata de su nombre verdadero) y lo asocia con el servidor que se acaba de promover. Se puede dejar este nombre o proporcionar a este sitio un nombre más descriptivo si se desea. Si todos los servidores de Active Directory de la red van a estar ubicados lo bastante cerca unos de otros como para comunicarse mediante conexiones LAN no hace falta ningún sitio más ni el complemento Sitios y servicios. A medida que se promueve cada servidor de la red a controlador de dominio, Active Directory lo añade al sitio y configura automáticamente la topología de réplica entre los servidores.

Si se van a tener servidores en ubicaciones remotas, sin embargo, se pueden crear otros sitios utilizando Sitios y servicios de Active Directory. Al crear objetos subred y asociarlos con sitios concretos, se ofrece a Active Directory la información que necesita para añadir de manera automática al sitio correspondiente a cada servidor que se promueve a controlador de dominio, de acuerdo con la subred en la que se halla la máquina. Si se desplaza un servidor a una ubicación nueva en un sitio diferente, no obstante, hay que trasladar manualmente el objeto servidor al nuevo objeto sitio. Por tanto, si se piensa instalar y configurar un controlador` de dominio en la oficina principal y luego enviarlo a una ubicación remota, hay que utilizar Sitios y servicios para desplazar el objeto al sitio correspondiente.

Para desplazar un servidor a un sitio nuevo, hay que seguir el procedimiento siguiente:

1. Hay que abrir Sitios y servicios de Active Directory.
2. Hay que pulsar el signo más (+) situado junto a Sitios para abrir la lista de los sitios disponibles.
3. Para abrir la lista de servidores, hay que pulsar el sitio en que se halla actualmente el servidor.
4. Hay que pulsar con el botón derecho del ratón el servidor que se desea desplazar y escoger Mover en el menú de accesos directos.
5. En la ventana Mover Servidor, hay que seleccionar el nuevo sitio para el servidor y pulsar Aceptar.

Objetos subred

Active Directory utiliza los objetos subred para definir los limites de los sitios. Los objetos subred consisten en una dirección de red y en una máscara de subred utilizada por todos los equipos del sitio o por algunos de estos. Un sitio puede asociarse con varios objetos subred para que, si la red tiene varias subredes en una misma ubicación, se puedan incluir todas en un solo sitio. En redes con dos o más sitios, el Asistente para la instalación de Active Directory necesita los objetos subred para ubicar los objetos servidor de los controladores de dominios recién promovidos en los sitios correctos. Sin los objetos subred, el Asistente puede crear el objeto servidor en el lugar equivocado. Si esto sucede, se puede desplazar de manera manual el objeto servidor hasta el sitio correspondiente.

Objetos servidor

Los objetos servidor son siempre secundarios de los objetos Sitio y los crea el Asistente para instalación siempre que promueve un servidor de Windows 2000 a controlador de dominio. No hay que confundir los objetos servidor de Active Directory con los objetos equipo que también crea el asistente durante el proceso de promoción. Los dos, aunque relacionados, son objetos completamente diferentes con propósitos distintos. Se pueden crear objetos servidor de manera manual en el complemento Sitios y servicios, pero esto no debería ser necesario.

Cuando la instalación de Active Directory incluye dos o más sitios, el Asistente para instalación utiliza las subredes asociadas con los objetos sitio para determinar el sitio apropiado para el objeto servidor. Aunque no haya ningún sitio asociado con la subred utilizada por el nuevo controlador de dominio, el asistente crea el objeto servidor. Posteriormente hay que crear el sitio al que pertenece el servidor y desplazarlo hasta el o bien habrá que crear un nuevo objeto subred y asociarlo con un sitio existente.

Introducción a la réplica de dominios

La réplica es el proceso de copia de datos de Active Directory entre los controladores de dominio para asegurarse de que todos poseen la misma información. Las posibilidades de réplicación con múltiples maestros de Windows 2000 hacen todo el proceso de réplica más complejo que en Microsoft Windows NT. En las redes de Windows NT los servidores escriben en primer lugar todas las modificaciones de los directorios de dominio en el controlador de dominios principal, que luego propaga la información a los controladores de dominios de reserva. Este proceso es una réplicación de un sólo maestro. En Windows 2000 los administradores pueden modificar Active Directory escribiendo en cualquier controlador de dominio. Todos los controladores de dominios ejecutan eventos de réplica periódicos que copian las modificaciones en todos los demás controladores de dominios. El calendario y la topología de estos eventos de réplica varia en función de si los controladores de dominios se hallan en el mismo sitio o en sitios diferentes.

Réplica intrasitios

La réplica entre controladores de dominios ubicados en el mismo sitio se denomina réplica intrasitios y es completamente automática y autorregulada. Un módulo denominado comprobador de la consistencia del conocimiento (Knowledge Consistency Checker, KCC) crea conexiones entre los controladores de dominios del sitio y activa los eventos de réplica siempre que se modifica la información de directorio de un controlador de dominio. Como se supone que todos los controladores de dominios del sitio están bien conectados, el proceso de réplica esta diseñado para conservar la latencia (es decir, el retraso entre la escritura en el directorio y su propagación a los demás controladores de dominios) en un valor mínimo, incluso a costa de la anchura de banda de la red.

El KCC crea de manera dinámica objetos conexión en Active Directory; cuando la comunicación entre los controladores de dominios de un mismo sitio se interrumpe, el KCC crea de manera inmediata nuevas conexiones para asegurar el oportuno contacto entre los sistemas. Oportuno contacto en el interior de un sitio significa que ningún controlador de dominio se halla a más de tres conexiones (o saltos) de cualquiera de los demás. Los administradores pueden crear objetos conexión adicionales, lo que puede mejorar la comunicación entre los controladores y reducir aun más la latencia mediante la reducción del número máximo de saltos permitidos, pero este enfoque también aumenta los recursos del sistema utilizados por el proceso de réplica, incluidos los ciclos del procesador, los accesos al disco y la anchura de banda de la red. Como regla general, la topología de réplicas en el interior de un sitio no necesita mantenimiento administrativo.

Réplica entre sitios

Cuando se crean varios sitios en Active Directory, los controladores de dominios dan por supuesto que las conexiones de red entre los sitios son más lentas que las establecidas en su interior, más caras o ambas cosas. En consecuencia, los controladores de dominios utilizan la réplica entre sitios para intentar minimizar el tráfico de réplica entre los sitios y para proporcionar a los administradores una topología de réplica mucho más flexible.

Cuando hay controladores de dominios en varios sitios, Active Directory sigue creando una topología de réplica predeterminada de manera automática durante el proceso de instalación. Sin embargo, hay varias diferencias entre los modelos de réplica predeterminados de las topologías en el interior de un sitio y entre sitios. Entre esas diferencias están las siguientes:

• Número de conexiones: El KCC sigue creando de manera automática conexiones entre los controladores de dominios de los diferentes sitios, pero crea menos. Entre sitios no se tiene en cuenta la regla del máximo de tres saltos con objeto de minimizar el ancho de banda utilizado.
• Calendario de réplicas: Las actividades de réplica en el interior de un sitio se activan por cambios en la base de datos de Active Directory de los controladores de dominios. La réplica entre sitios tiene lugar a la hora y con el intervalo previstos. Los administradores pueden personalizar el calendario para aprovechar los momentos en que el tráfico es bajo y el ancho de banda resulta menos caro.
• Compresión: Los controladores de dominios transmiten los datos de réplica en el interior de los sitios sin comprimirlos, con lo que le ahorran al procesador los ciclos necesarios para descomprimirlos en destino. El tráfico entre sitios se transmite siempre comprimido para conservar el ancho de banda.

Una de las funciones principales del complemento Sitios y servicios es la configuración del modelo de réplica entre los sitios. Para ello hay que crear objetos de vínculos a sitios y puentes de vínculos a sitios que especifiquen el modo y el momento de transmisión de los datos de réplica entre los sitios.

Inicio de Sitios y servicios

La herramienta Sitios y servicios es un complemento estándar de la aplicación MMC que se inicia seleccionando Sitios y servicios de Active Directory en Herramientas Administrativas del grupo Programas del menú Inicio. El modulo del complemento se denomina Dssite.msc; también se puede iniciar Sitios y servicios ejecutando ese nombre de archivo desde la línea de comandos o desde el cuadro de dialogo Ejecutar.

Examen de los objetos de réplica

La interfaz de Sitios y servicios utiliza los mismos paneles del árbol de consola y de resultados que gran parte de las demás herramientas administrativas de Active Directory. El contenedor Sites del árbol de la consola contiene el objeto Nombre-Predeterminado-Primer-Sitio creado de manera automática por la instalación de Active Directory y otros dos contenedores denominados Inter-Site Transports y Subnets. Cuando se crean mas sitios, aparecen como objetos diferentes en el contenedor Sites. Los objetos creados por los administradores aparecen en el contenedor bajo el epígrafe Sites, los objetos subred en el contenedor Subnets y los objetos de vínculos a sitios y de puentes de vínculos a sitios en el contenedor Inter-Site Transports.

Creación de los objetos sitio

La creación de mas objetos sitio en Active Directory sólo es cosa de pulsar el contenedor Sites con el botón derecho del ratón y escoger Nuevo Sitio en el menú de contexto. Cuando aparezca el cuadro de dialogo Nuevo objeto - Sitio hay que darle un nombre al objeto sitio y seleccionar el vínculo a sitios que debe utilizar para definir el mecanismo de transporte del sitio. El Asistente para instalación de Active Directory crea el objeto Defaultipsitelink durante el proceso de instalación, por lo que este objeto siempre está disponible si no se ha creado todavía ningún otro vínculo a sitios. Después de crear el objeto sitio, se le pueden introducir los objetos servidor y asociarlos con las subredes en que se hallan.

Examen de las propiedades de los objetos sitio: Cada objeto sitio de Active Directory tiene un contenedor Servers que guarda los objetos que representan los servidores del sitio, un objeto Licensing Site Settings y un objeto NTDS Settings. La ventana Propiedades del objeto sitio permite especificar una descripción del sitio y de su ubicación, así como contener las fichas estándar Objeto, Seguridad y Directiva de grupo que se hallan en la ventana equivalente de tantos otros objetos de Active Directory.

El objeto Licensing Site Settings especifica el equipo y el dominio que conceden la licencia al sitio. En la ventana Propiedades del objeto NTDS Settings, se puede desactivar la generación automática por KCC de una topología de réplicas en el mismo sitio, entre ese sitio y otros o de ambos modos. Si se desea configurar manualmente el comportamiento de réplica de un sitio, se pueden activar estas opciones, pero suele resultar innecesario. Se pueden crear mas conexiones para complementar las creadas por KCC y configurar el comportamiento de réplica del sitio de otra manera sin desactivar su funcionalidad primordial.

Creación de objetos servidor y conexión

Los objetos servidor se crean durante la instalación de Active Directory en cada controlador de dominio, en el sitio asociado con la subred en que se halla el servidor. Cada objeto servidor contiene un objeto NTDS Settings que, a su vez, contiene los objetos que representan las conexiones de ese servidor con otros controladores de dominios de la red. Estas conexiones deben existir para que los controladores de dominios repliquen los datos de su Active Directory. Todas las conexiones, tanto las creadas automáticamente por KCC como las creadas manualmente por un administrador, aparecen como objetos asociados con un servidor. Un objeto conexión es un camino unidireccional hasta otro controlador de dominio de la red, bien se halle en el mismo sitio o en uno distinto. Para que el tráfico de réplica se realice en los dos sentidos debe haber objetos conexión para cada uno de los servidores.

El KCC crea de manera automática objetos conexión que aseguran la réplica continua de los datos de Active Directory a todos los controladores de dominios en funcionamiento de cada dominio. Cuando la situación de la red se modifica como ocurre cuando cae un controlador de dominio y eso obliga a que el tráfico de réplica entre otros dos controladores de dominios cualesquiera del sitio recorra más de dos saltos-, el KCC crea nuevos objetos conexión para reducir ese recorrido del tráfico a tres saltos o a menos. Cuando el controlador de dominio que no funcionaba vuelve a estar operativo, el KCC puede eliminar los objetos conexión para devolver el tráfico de réplica a su topología recomendada.

Normalmente, la única razón por la que hay que crear manualmente objetos conexión es la personalización de la topología de réplica de la red. Si, por ejemplo, se desea que las actividades de réplica sólo tengan lugar a unas horas dadas, se puede crear un objeto conexión y configurar su calendario. también se pueden crear objetos conexión para disminuir el número de saltos entre determinados controladores de dominios.

La principal diferencia entre los objetos conexión creados manualmente y los creados por el KCC es que los objetos creados manualmente siguen en su sitio hasta que se eliminan manualmente; el KCC no los elimina independientemente de la manera en que cambie la topología de réplica. Los objetos conexión creados por el KCC, sin embargo, se eliminan de manera automática cuando se modifica la topología de réplica. 

Para crear un objeto conexión:

1. Hay que pulsar con el botón derecho del ratón el objeto NTDS Settings de un servidor en el árbol Sitios y servicios de la consola y escoger Nueva conexión de Active Directory en el menú de accesos directos. Esto hace que aparezca el cuadro de dialogo Buscar controladores de dominio.
2. Hay que seleccionar el controlador de dominio para el que se desea crear una conexión y pulsar Aceptar para abrir el cuadro de diálogo Nuevo objeto - conexión.
3. Hay que darle un nombre a la nueva conexión y pulsar Aceptar. El programa añade un objeto conexión al panel de detalles.

La ventana Propiedades de los objetos conexión contiene la conocida ficha Objeto, la ficha Seguridad y una ficha conexión de Active Directory. En esta ficha se puede escribir una expresión descriptiva de la conexión, seleccionar el modo de transporte de los mensajes de réplica (IP, RPC o SMTP) y programar los eventos de réplica.

El cuadro de dialogo que aparece cuando se pulse el botón Cambiar programación permite especificar las horas del día en que debe tener lugar la réplica y el intervalo entre los eventos de réplica (una, dos o cuatro veces por hora). Hay que tener en cuenta que esta conexión solo controla los mensajes de réplica que viajan desde el servidor bajo el que aparece el objeto hasta el servidor seleccionado como destino al crear el objeto. El tráfico en el otro sentido lo controla el objeto conexión del otro servidor (si es que existe).

Creación de objetos subred

El contenedor Subnets es el lugar en que los administradores crean los objetos que representan las subredes IP de la red y las asocian con objetos sitio concretos. Cuando se promueve el primer servidor a controlador de dominio, el Asistente para instalación de Active Directory crea un sitio y ubica el objeto servidor en ese sitio. Si se crean más sitios, se utilizan los objetos subred para asegurar que cada controlador de dominio que se instale posteriormente se situé en el sitio adecuado. Durante el proceso de promoción, el asistente identifica la subred en la que reside el servidor y busca en Active Directory el objeto subred correspondiente. Cuando el asistente halla el objeto subred, lee sus propiedades para determinar el sitio con el que esta asociada esa subred y crea en el el nuevo objeto servidor.

Los objetos subred no resultan esenciales para la topología de réplicas de Active Directory. Se pueden crear sitios y desplazar a ellos manualmente los objetos servidor. Sin embargo, si se van a instalar muchos servidores, los objetos subred automatizan la construcción de la topología de réplicas y hacen más manejable todo el proceso de implantación del sitio. Para crear un objeto subred, hay que seguir este procedimiento:

1. Hay que pulsar el contenedor Subnets con el botón derecho del ratón en el árbol de la consola del complemento Sitios y servicios y escoger Nueva subred en el menú de accesos directos.
2. En el cuadro de dialogo Nuevo objeto - Subred hay que escribir el nombre del objeto, que debe ser la dirección y la máscara de red de la subred.
3. Hay que seleccionar el sitio con el que la subred va a estar asociada y pulsar Aceptar.

A este sitio se añadirá de manera automática cualquier servidor de la subred que se promueva a controlador de dominio. Se pueden asociar varias subredes con un solo sitio para soportar una red de prácticamente cualquier tamaño.

Creación de objetos vínculo a sitios

El contenedor Inter-Site Transports es el lugar donde se crean los objetos vínculo a sitios y puente de vínculos a sitios que determinan el modo en que se transmite entre los sitios el tráfico de réplicas. Dos contenedores de Inter-Site Transports representan los dos protocolos de transporte soportados por Active Directory: IP y el protocolo sencillo de transporte de correo (Simple Mail Transport Protocol, SMTP).

Los objetos vínculo a sitios representan el mecanismo WAN utilizado para transmitir los datos entre los dos sitios, como puede ser una conexión T1 alquilada o un soporte con modo de transferencia asíncrono (Asynchronous Transfer Mode, ATM) en el caso IP, o cualquier medio por el que los sistemas envíen correo electrónico utilizando SMTP Active Directory crea un objeto vínculo a sitios predeterminado, denominado Defaultipsitelink, cuando crea el primer sitio de la red durante la promoción del primer servidor a controlador de dominio. Si todos los sitios están vinculados utilizando tecnologías con la misma velocidad, no hace falta crear mas vínculos a sitios. Cuando se tienen diferentes tecnologías en las conexiones entre los sitios, sin embargo, hay que crear varios objetos vínculo a sitios para tener diferentes programas de réplicas para cada una de ellas.

Al crear un objeto vínculo a sitios, hay que seleccionar dos o mas sitios que estén conectados por el mecanismo de transporte y especificar un valor para el coste del enlace. El valor del coste permite asignar prioridades a las diferentes conexiones WAN en función de sus velocidades relativas. Un mayor valor del coste indica que la conexión es mas caro de utilizar y el KCC programa, en consecuencia, réplicas menos frecuentes en las conexiones entre esos dos sitios. Cada incremento en el valor del coste representa quince minutos en el programa de réplicas. Un valor de coste de tres, por ejemplo, haría que la réplica tuviera lugar cada cuarenta y cinco minutos.

Para crear un objeto vínculo a sitios, hay que seguir este procedimiento:

1. Hay que pulsar con el botón derecho del ratón el transporte IP o SMTP en el árbol de la consola de Sitios y servicios y escoger Nuevo vínculo a sitios en el menú de accesos directos.
2. En el cuadro de dialogo Nuevo objeto - Vínculo de sitio, hay que especificar el nombre del objeto y seleccionar los sitios que conecta el enlace. Si el enlace va a representar una conexión punto a punto como las de tipo T1, hay que seleccionar solo dos sitios. Para tecnologías como los soportes ATM, que pueden conectar varios sitios, hay que seleccionar más de dos objetos sitio. Cuando el objeto vínculo a sitios conecta mas de dos objetos sitio, se puede suponer que cualquiera de los sitios escogidos puede transmitir a cualquier otro.
3. Hay que pulsar el botón Aceptar y el administrador crea el objeto de vínculo.

Los objetos vínculo a sitios no pueden encaminar el tráfico de réplicas. Esto significa que, si un vínculo a sitios conecta el sitio A con el sitio B y otro enlace conecta el sitio B con el C, el sitio A no puede transmitir al C. Para que esto suceda, hay que crear un puente de vínculos a sitios.

Configuración de los vínculos a Sitios: Hay que pulsar el nuevo objeto de vínculo con el botón derecho del ratón y seleccionar Propiedades pare configurar sus propiedades. La ventana Propiedades de los objetos de vínculos a sitios contiene las fichas estándar Objeto y Seguridad, así como una ficha General, en la que se puede aportar una descripción del objeto y especificar los sitios conectados por el vínculo. Se pueden añadir nuevo sitios al enlace después de crear el objeto si es necesario.

La ficha General también contiene campos con los que especificar el coste del enlace (desde 1 hasta 32.767) y el intervalo entre los eventos de réplica (desde 15 hasta 10.080 minutos). Pulsar el botón Cambiar programación permite especificar periodos de tiempo en los que las réplicas están autorizadas o prohibidas. Si se desea limitar las actividades de réplicas a las horas de menor tráfico, por ejemplo, se puede especificar que los eventos de réplica no tengan lugar entre las 9 A.M. y las 5 P.M. El KCC observa los limites de calendario del objeto vínculo a sitios cuando crea de manera dinámica conexiones entre los controladores de dominios.

Aunque el valor del coste determina el intervalo entre los eventos de réplica, se puede ajustar la frecuencia de las réplicas utilizando el selector Réplicar cada de la ficha General de la ventana Propiedades de los vínculos a sitios. Si los clientes reciben de manera habitual información de directorio incorrecto de los controladores de dominios, hay que aumentar la frecuencia de las réplicas.

Creación de objetos de puentes de vínculos a sitios

Los objetos de puentes de vínculos a sitios actúan de manera similar a los vínculos a sitios, salvo que, en lugar de agrupar sitios, agrupan vínculos a sitios. Un objeto de puente de vínculos a sitios suele representar un enrutador de la infraestructura de la red. Se crean objetos de puentes de vínculos a sitios para permitir el encaminamiento del tráfico de réplicas entre los sitios enlazados. Cuando se crea un puente de vínculos a sitios que contiene dos enlaces que conectan el sitio A con el sitio B y el sitio B con el C, el puente permite que el sitio A transmita los datos de réplica al sitio C a través del sitio B.

El procedimiento para crear un objeto de puente de vínculos a sitios es prácticamente idéntico al de la creación de objetos de vínculos a sitios, salvo que se seleccionan dos o más vínculos a sitios en lugar de seleccionarse sitios. No hace falta especificar el coste de enrutamiento para los puentes de vínculos a sitios porque Active Directory lo calcula de manera automática sumando los costes de enrutamiento de todos los sitios del puente. Por tanto, un objeto de puente de vínculos a sitios que contenga dos sitios con costes de enrutamiento de tres y de cuatro tendrá un coste de enrutamiento de siete.

El esquema de Active Directory

El esquema es el sello de Active Directory, lo que indica el tipo de objetos que puede haber en la base de datos y sus atributos. Para personalizar Active Directory para su uso en la red, se puede modificar el esquema para crear nuevos tipos de objetos, añadir nuevos atributos a los tipos de objetos existentes y modificar el tipo de información incluída en un atributo. Para ello hay que utilizar el complemento de MMC denominado Esquema de Active Directory.

La modificación del esquema es una tarea que, por lo general, los administradores no tienen que realizar nunca. Como mucho, se llega a modificar el esquema de manera ocasional o, quizás, solo una vez. Las modificaciones del esquema son objeto de las mismas advertencias que las modificaciones del registro del sistema de Windows 2000, salvo que a mayor escala. Igual que las modificaciones inadecuadas del registro pueden afectar negativamente a un solo sistema, las modificaciones inadecuadas del esquema pueden tener un efecto devastador en toda la red.

Examen de la seguridad del esquema

Como la modificación del esquema de Active Directory no es algo que se deba hacer a tontas y a locas, Windows 2000 utiliza varios mecanismos de seguridad para evitar que se modifique el esquema de modo accidental o sin que existan buenas razones para ello. Solo se puede modificar el esquema cuando se hayan satisfecho los requisitos de los tres mecanismos de seguridad.

Permisos de administrador del esquema

Para modificar el esquema hay que haber iniciado la sesión en un servidor o estación de trabajo de Windows 2000 utilizando una cuenta que pertenezca al grupo Administradores de esquema. Se trata de un grupo intrínseco que se crea durante la instalación de Active Directory y concede a sus componentes el permiso para escribir en el objeto esquema. La cuenta del administrador pasa a formar parte de manera automática del grupo Administradores de esquema. Los usuarios que no forman parte de este grupo también pueden modificar el esquema si algún administrador les ha concedido los permisos correspondientes para el objeto esquema.

Operaciones del esquema flexibles de un solo maestro

Active Directory utiliza un sistema de réplica de varios maestros para las modificaciones del contenido de la base de datos, pero para las modificaciones del esquema utiliza un sistema de un único maestro. Esto significa que solo un controlador de dominio puede modificar el esquema en cada momento. A diferencia de la mayoría de los modelos de réplica de maestro único, que exigen que todas las modificaciones se escriban en un sistema determinado y que se copien con posterioridad a las demás réplicas, los administradores pueden modificar el esquema de Active Directory desde cualquier controlador de dominio. El mecanismo que hace posible esto se denomina operaciones del esquema flexibles de un solo maestro. Mientras un administrador modifica el esquema en un controlador de dominio, se deniegan las solicitudes de acceso para escritura al esquema en todos los otros controladores de dominios.

Acceso al esquema solo para lectura

Finalmente, todos los controladores de dominios se configuran de manera predeterminada durante la instalación de Active Directory para que permitan el acceso al esquema sólo para lectura. Para permitir el acceso para escritura, hay que crear una entrada nueva en el Registro. Hay que explorar esta clave utilizando uno de los editores del Registro de Windows 2000 (Regedit.exe o Regedt32.exe):

HKEY_LOCAL_MACHINE
    \System
        \Current Control ser
            \Services
                \NTDS
                    \Parameters

Hay que crear una nueva entrada DWORD denominada Schema Update Allowed. Hay que asignar a la entrada un valor de 1 para permitir el acceso de escritura. Hay que cambiar el valor a 0 para volver a desactivar el acceso para escritura después de haber completado las modificaciones.

Inicio del Esquema de Active Directory

Debido a su uso poco frecuente y al riesgo potencial que supone, el Administrador del esquema se halla separado dos pasos del menú Herramientas administrativas Aunque al instalar Active Directory se instalan algunas Herramientas Administrativas, es posible que Esquema de Active Directory no se haya instalado). Para examinar o modificar el esquema, hay que instalar antes todas las Herramientas administrativas. Luego hay que ejecutar el complemento Esquema de Active Directory en una consola MMC.

1. Inicie la sesión como administrador.
2. Inserte el disco compacto de Windows 2000 Server en la unidad de CD-ROM y, a continuación, haga clic en Explorar este CD.
3. Haga doble clic en la carpeta I386, haga doble clic en Adminpak y, a continuación, siga las instrucciones que aparecen en el Asistente para instalación de herramientas de administración de Windows 2000.
4. Haga clic en Inicio y en Ejecutar, escriba mmc /a (en modo autor) y, a continuación, haga clic en Aceptar.
5. Hay que seleccionar Agregar o guitar complemento en el menú Consola.
6. Hay que pulsar el botón Agregar y seleccionar Esquema de Active Directory en la lista de complementos que se proporciona. Una vez cargado el complemento, se puede guardar la pantalla de la consola en un archivo para proporcionar un acceso sencillo al complemento en un futuro. Cuando se abra el panel de vistas, se podrán ver dos contenedores en el árbol de la consola que guardan las clases y los atributos de los objetos que configuran esas clases. Al destacar cualquiera de esos dos contenedores, aparecen las clases o los atributos de Active Directory en el panel de resultados.

No obstante, antes de modificar el esquema conviene asegurarse de que el complemento esquema tiene acceso a la base de datos de Active Directory en el controlador de dominio que actúa como principal en ese momento (es decir, el controlador de dominio en el que se permite acceso para escritura). Para determinar el controlador de dominio al que se tiene acceso en un momento dado, hay que seguir el procedimiento siguiente:

1. Hay que seleccionar Esquema de Active Directory y escoger Cambiar el controlador de dominio en el menú contextual. En el cuadro de dialogo Cambiar el controlador de dominio, se puede ver el controlador de dominio vigente y se puede cambiar el foco a cualquier otro controlador de dominio o especificar uno concreto.
2. Hay que pulsar con el botón derecho del ratón el objeto Esquema de Active Directory del árbol de la consola y escoger Maestro de operaciones en el menú contextual.
3. En el cuadro de dialogo Cambiar el maestro de esquema, se puede ver el controlador de dominio que actúa como maestro de operaciones y especificar si se puede modificar el esquema en ese sistema. Para cambiar el esquema, hay que cambiar la réplica principal al controlador de dominio que se esta utilizando o cambiar la réplica que se esta empleando al maestro.

Modificación del esquema

El proceso de modificación del esquema de Active Directory implica la creación o modificación de las clases y los tipos de atributos de los objetos que aparecen en el Administrador del esquema. Las clases son fundamentalmente conjuntos de atributos que forman un tipo de objeto de Active Directory por si mismos o contribuyen con determinados atributos a otros tipos de objetos. Este ultimo caso se conoce como clase auxiliar. Para añadir atributos a un tipo de objeto ya existente, el mejor método es crear una clase nueva que contenga los nuevos atributos y añadirla al tipo de objeto como clase auxiliar. Este método es mas manejable y menos arriesgado que la modificación de las clases que representan al propio tipo de objeto.

Puede que los productos de software de otros fabricantes proporcionen sus propias modificaciones del esquema que creen tipos de objetos completamente nuevos, pero la adición de atributos a tipos de objetos ya existentes es la forma mas frecuente de modificación del esquema llevada a cabo manualmente por los administradores -por ejemplo, la adición de atributos al tipo de objeto de usuario que permite guardar información adicional relativa al usuario en Active Directory-. Este proceso, relativamente sencillo, consta de los pasos que se describen a continuación, que se examinaran con más detalle en apartados posteriores.

• Creación de nuevos objetos atributo correspondientes a los campos de información que se desea añadir al objeto.
• Creación de un nuevo objeto clase para utilizarlo como clase auxiliar del tipo de objeto ya existente.
• adición de los atributos recién creados a la nueva clase auxiliar.
• adición de la clase auxiliar a la clase objeto ya existente.

Creación de atributos

La creación de atributos es cuestión de proporcionar un nombre mediante el cual se identificara al atributo y de especificar el tipo de datos que se va a guardar en él. Los datos pueden ser numéricos o de texto y se pueden aplicar restricciones que los limiten a una longitud o a un valor concretos. Por ejemplo, para añadir un atributo que guarde el número de la seguridad social del usuario, se especificaría que los datos del atributo deben estar en forma de número entero y limitados a nueve cifras. Para crear un objeto atributo hay que seguir este procedimiento:

1. Hay que pulsar con el botón derecho del ratón el contenedor Atributos del árbol de la consola del Administrador del esquema y escoger Crear atributo en el menú contextual. Esto hace aparecer al cuadro de dialogo Crear atributo nuevo.
2. En el cuadro Identificación, hay que especificar el nombre del nuevo objeto.  
   • Nombre común debe contener el nombre con el que aparecerá el atributo en los cuadros de dialogo estándar.
   • Nombre LDAP para mostrar debe contener el nombre por el que se conocerá en la jerarquía de directorios LDAP (LDAP es el acrónimo de Lightweight Directory Access Protocol, Protocolo de compacto de acceso a directorios.) A menudo, los dos nombres serán iguales.
   • Id. de objeto X500 único debe contener una cadena de caracteres numérica que identifique de manera univoca al objeto atributo en el espacio de nombres X.500. Los organismos de normalización, como la Unión International de Comunicaciones, emiten Id. de objeto (OID, Object ID) para asegurar que tengan valores únicos.
3. En el cuadro Sintaxis a intervalo hay que definir la naturaleza de los datos que se vayan a guardar en el atributo.
   • Sintaxis ofrece mas de una docena de opciones que definen el tipo de información que puede guardarse en los atributos. 
   • Mínimo y Máximo permiten definir el rango de valores posibles. También se puede especificar si el atributo debe poder tomar varios valores.
4. Hay que pulsar el botón Aceptar y el administrador creara el nuevo objeto atributo.

No hay que intentar inventar OID. Aunque se ejecute Active Directory en una red aislada es muy fácil asignar un OID a un atributo o a una clase nuevos que duplique alguno de los cientos de OID ya asignados a los objetos de Active Directory.

Hay que configurar el nuevo objeto atributo (o cualquier otro) abriendo la ventana Propiedades desde el menú de contexto. Desde esta ventana se puede especificar una descripción del objeto, modificar el rango de valores posibles y activar cualquiera de las opciones siguientes:

• Mostrar los objetos de la misma clase al explorar.
• Desactivar el atributo.
• Incluir el atributo en el índice de Active Directory.
• La resolución de nombres ambiguos (Ambiguous Name resolución, ANR).
• Réplicar el atributo en el Catalogo Global (Global Catalog, GC).
• Copiar el atributo al duplicar un usuario.

Creación de clases de objetos

Los objetos atributo en si mismos son inútiles hasta que forman parte de una clase de objetos. Los objetos atributo creados se pueden añadir a una clase ya existente, pero suele resultar mas practico crear un nuevo objeto clase para ellos. Para crear un objeto clase, hay que pulsar con el botón derecho del ratón el contenedor Clases del complemento Esquema y escoger Crear clase en el menú contextual.

Al igual que ocurre con los objetos atributo, en primer lugar hay que especificar un nombre común, un nombre LDAP para mostrar y un Id. de objeto X.500 único. Luego, en el cuadro Herencia y tipo, hay que especificar la clase primaria del objeto nuevo (es decir, la clase de la que debe obtenerse el objeto nuevo) y escoger uno de los tipos de clase siguientes:

• Clase estructural: Los objetos de directorio con los que se trabaja habitualmente en programas como el Administrador de Active Directory. Un objeto de clase estructural puede tener come, objeto primario una clase abstracta a otra clase estructural.
• Clase abstracta: Son los objetos de los que se obtienen los objetos de clase estructural. también se puede especificar una clase abstracta ya existente como primario de los objetos nuevos de clase abstracta.
• Clase auxiliar: Los conjuntos de atributos que se pueden añadir tanto a los objetos de clase abstracta como a los de clase estructural para aumentar sus capacidades. Los objetos de clase auxiliar nuevos solo pueden obtenerse de una clase abstracta.

Para guardar los atributos nuevos conviene crear un tipo de clase auxiliar

Adición de atributos a las clases

Después de crear los objetos atributo y el objeto clase que los vaya a contener, hay que añadir los atributos a la clase. Esto se lleva a cabo abriendo la ventana Propiedades del objeto clase recién creado. La ventana de los objetos clase tiene cuatro fichas, incluida la ficha Seguridad estándar. En la ficha General, hay que escribir una descripción del objeto y especificar si la clase objeto debe ser visible al explorar. también se puede desactivar el objeto seleccionando la casilla de verificación Desactivar esta clase.

En la ficha Atributos, hay que añadir a la clase los objetos atributo recién creados pulsando el botón Agregar de la lista Obligatorio o el de la lista Opcional y seleccionando los objetos por su nombre. Cuando un atributo sea obligatorio, hay que asignarle un valor al crear un objeto nuevo de esa clase. Si, por ejemplo, se crea un atributo número de la seguridad social, hay que añadirlo a la clase auxiliar como atributo obligatorio y luego añadir la clase auxiliar a la clase usuario; la próxima vez que se cree un nuevo objeto usuario, se exigirá un número de seguridad social para el usuario. No se exige ningún valor para los atributos opcionales.

Adición de clases auxiliares a las clases estructurales

Los objetos de clases auxiliares no pueden guardar información de los atributos hasta haberse añadido a un objeto de clase estructural, como puede ser un usuario o un equipo. Para ello, hay que abrir la ventana Propiedades del objeto de clase estructural y seleccionar la ficha Relación.

En esta ficha, hay que pulsar el botón Agregar de la lista Clases auxiliares y seleccionar el objeto clase que se acaba de crear. Esto hace que Active Directory añada los atributos de la clase auxiliar a la clase estructural. En la lista Superior posible, hay que especificar las otras clases de objetos que pueden contener esa clase de objetos. Por ejemplo, la clase de objetos usuario tiene en su lista Superior posible la clase de objetos unidad organizativa, lo que permite la creación de usuarios nuevos en las OU. Lo contrario no se cumple, sin embargo; no se puede crear una OU por debajo de un usuario, por lo que los objetos usuarios no son superiores posibles de los objetos OU.

Introducción a las funciones de maestros de operaciones

Los controladores de dominios deben manejar cinco funciones de maestros de operaciones en cada bosque de Active Directory. Algunas de las funciones de maestros de operaciones resultan fundamentales para la red y, si la máquina que los facilita falla, se pondrá de manifiesto inmediatamente. Otras pueden no estar disponibles durante mucho tiempo sin que ni el operador ni los usuarios se den cuenta. Las funciones son las siguientes:

• Emulador del controlador principal de dominio (PDC, Primary Domain Controller): actúa como el controlador principal de dominio de Windows NT en los dominios que tienen controladores de dominio secundarios de Windows NT o que tienen equipos sin el software cliente de Windows 2000.
• Maestro de esquema: Controla todas las actualizaciones y modificaciones del esquema.
• Maestro de nombres de dominio: Controla la adición o eliminación de dominios.
• Maestro de identificadores relativos (RID, Relative Identifier): Asigna ID relativos   cada controlador de dominio.
• Maestro de infraestructuras: Actualiza los cambios en las referencias de grupo a usuario cuando se modifican las pertenencias a los grupos.

Generalmente no hay motivo para interferir en los maestros de operaciones. La transferencia de funciones resulta relativamente trivial. Se realiza una transferencia cuando el titular original de la función está disponible. En circunstancias graves, cuando el controlador que posee la función no esta disponible, se puede tomar una función, pero se trata de una medida drástica y no se debe adoptar a la ligera. En todos los casos, salvo con el emulador PDC, cuando se toma una función de maestro de operaciones (en lugar de transferirla), no se debe reactivar al titular original de la función tomada sin volver a dar formato completo al disco de inicio y reinstalar Windows 2000. Los siguientes apartados explican con mas detalle las funciones de maestros de operaciones.

El emulador del controlador principal de dominio

A1 actualizar un dominio de Windows NT, solo un controlador de dominio puede crear cuentas de usuario, de grupo y de equipo -el fundamento de la seguridad-. Este controlador de dominio de Windows 2000 se configura como maestro de operaciones PDC y emula a los controladores principales de dominios de Windows NT. El emulador PDC soporta los protocolos Kerberos y NTLM, lo que permite que los controladores de dominios de Windows NT se sincronicen con los entornos de Windows 2000 que se ejecutan en modo mixto.

Cada dominio debe tener un controlador de dominio que actúe como emulador de PDC mientras ese dominio contenga clientes sin software cliente de Windows 2000 o controladores secundarios de dominios de Windows NT. Que el controlador que actúa como emulador PDC no este disponible afecta a los usuarios porque la propia red queda afectada. Por tanto, si se sabe que el controlador que actúa como emulador PDC no va a estar disponible, hay que transferir esa función.

Transferencia del emulador PDC: Para transferir la función de emulador PDC, hay que seguir el procedimiento siguiente:

1. Hay que elegir Usuarios y equipos de Active Directory en el menú Herramientas administrativas.
2. Hay que pulsar con el botón derecho del ratón el nodo del dominio y escoger Conectar con el controlador de dominio en el menú de accesos directos.
3. Hay que seleccionar el controlador de dominio al que se desea atribuir la función de emulador PDC y pulsar Aceptar.
4. Hay que pulsar el nodo del dominio con el botón derecho del ratón y escoger Maestro de operaciones en el menú de accesos directos. Hay que pulsar la ficha PDC para ver el foco actual (el controlador que pasara a ser emulador PDC) y el controlador que es el maestro de operaciones actual.
5. Hay que pulsar Cambiar y Aceptar.

Toma del emulador PDC: Si el emulador PDC deja de estar disponible de manera inesperada y no se puede volver a poner en servicio rápidamente, hay que forzar a otro controlador de dominio para que tome su función. Para tomar el emulador PDC, hay que seguir el procedimiento siguiente:

Para asumir la función de maestro de nombres de dominio

1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
2. En el símbolo del sistema, escriba ntdsutil.
3. En el símbolo del sistema de ntdsutil, escriba roles.
4. En el símbolo del sistema fsmo maintenance, escriba connections.
5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
6. En el símbolo del sistema server connections , escriba quit.
7. En el símbolo del sistema fsmo maintenance, escriba seize domain naming master.
8. En el símbolo del sistema fsmo maintenance , escriba quit.
9. En el símbolo del sistema de ntdsutil, escriba quit.

Asumir la función de maestro de nombres de dominio es un paso drástico que únicamente se debe considerar si el servidor de operaciones actual nunca va a volver a estar disponible.

Antes de asumir esta función, quite el servidor principal de operaciones actual de la red y compruebe que el nuevo servidor principal de operaciones esté actualizado. Para obtener más información acerca de las operaciones con un sólo servidor principal, consulte los temas relacionados.

Cuando el emulador PDC original vuelve a estar disponible, se puede utilizar el mismo procedimiento para devolverle la función de emulador PDC.

Maestro de esquema

No puede resultar una sorpresa que el maestro de esquema maneje todas las actualizaciones del esquema. Solo existe un maestro de esquema en todo el bosque. El maestro de esquema se asigna al primer controlador de dominio del dominio y permanece allí a menos que se cambie. Como las modificaciones del esquema son poco frecuentes, el maestro de esquema puede no estar operativo durante un amplio periodo de tiempo sin que ello afecte a los usuarios.

Transferencia del maestro de esquema: Para transferir la función de maestro de esquema, hay que seguir el procedimiento siguiente:

1. Hay que abrir el complemento Esquema de Active Directory.
2. Hay que pulsar con el botón derecho del ratón en Esquema de Active Directory en la ventana de la consola y escoger Cambiar el controlador de dominio. Hay que cambiar el foco al controlador que vaya a asumir la función de maestro de esquema.
3. Hay que pulsar con el botón derecho del ratón en Esquema de Active Directory en la ventana de la consola y escoger Maestro de operaciones en el menú de accesos directos. Hay que pulsar el botón Cambiar y Aceptar.

Toma del maestro de esquema: No hay que tomar el maestro de esquema a menos que no queden esperanzas de volver a poner en servicio el controlador original. Antes de tomar la función de maestro de esquema, el maestro de esquema original debe estar desconectado de la red. Para tomar la función de maestro de esquema, hay que seguir el procedimiento siguiente:

1. Hay que escoger Ejecutar en el menú Inicio (o abrir una ventana de comandos), escribir ntdsutil y pulsar INTRO.
2. A cada petición, hay que facilitar la siguiente información y pulsar INTRO:
   • En ntdsutil, hay que escribir roles.
   • En fsmo maintenance, hay que escribir connections.
   • En server connections, hay que escribir connect to server seguido del nombre de dominio completo del controlador que vaya a ser el nuevo schema master.
   • En server connections, hay que escribir quit.
   • En fsmo maintenance, hay que escribir seize schema master.
   • En ntdsutil, hay que escribir quit.

La toma de la función de maestro de esquema es una medida radical. No debe hacerse a menos que el maestro de esquema original quede definitivamente fuera de servicio. Si se volviera a reactivar el maestro de esquema original, hay que volver a dar formato a su disco de arranque y volver a instalar Windows 2000 para evitar problemas graves con la actualización del esquema.

Maestro de nombres de dominio

Sólo un servidor de la empresa adopta la función de maestro de nombres de dominio, por lo que el maestro de nombres de dominio se crea en el primer dominio y la función sigue allí independientemente del tamaño del bosque. El maestro de nombres de dominio puede no estar disponible durante algún tiempo y la red no se vera afectada hasta que se necesite establecer un dominio nuevo. Por tanto, a menos que el controlador que desempeña esta función vaya a eliminarse de la red de manera permanente, normalmente no será necesario transferir ni tomar esta función.

Transferencia del maestro de nombres de dominio: Si hace falta transferir esta función a otro controlador hay que seguir el procedimiento siguiente.

1. Hay que escoger Dominios y confianzas de Active Directory en el menú Herramientas administrativas.
2. Hay que pulsar con el botón derecho del ratón Dominios y confianzas de Active Directory y escoger Conectar con el controlador de dominio en el menú de accesos directos.
3. Hay que seleccionar el controlador de dominio al que se desea atribuir la función de maestro de hombres de dominio y pulsar Aceptar.
4. Hay que pulsar otra vez con el botón derecho del ratón Dominios y confianzas de Active Directory y seleccionar Maestro de operaciones en el menú de accesos directos. Se abrirá un cuadro de dialogo que muestra el maestro de hombres de dominio actual y el equipo que va a pasar a ser maestro de hombres de dominio.
5. Hay que pulsar Cambiar y Aceptar.

Toma del maestro de hombres de dominio: Si el maestro de hombres de dominio debe que dar apartado de la red de manera imprevista y permanente se puede tomar la función de maestro de nombres de dominio y reasignarlo a otro controlador de dominio. Para tomar la función, hay que seguir el procedimiento siguiente:

1. Hay que escoger Ejecutar en el menú Inicio (o abrir una ventana de comandos), escribir ntdsutil y pulsar INTRO.
2. A cada petición, hay que facilitar la siguiente información y pulsar INTRO:
   • En ntdsutil, hay que escribir roles.
   • En fsmo maintenance, hay que escribir connections.
   • En server connections, hay que escribir connect to server seguido del hombre de dominio completo del controlador que vaya a ser el nuevo maestro.
   • En server connections, hay que escribir quit.
   • En fsmo maintenance, hay que escribir seize domain naming master.
   • En ntdsutil, hay que escribir quit.

Antes de tomar el maestro de hombres de dominio, el controlador titular de la función de maestro de hombres de dominio debe quedar completamente desconectado de la red. La Coma de la función de maestro de hombres de dominio es una medida radical y no debe hacerse a menos que el maestro de hombres de dominio original quede fuera de servicio de manera permanente. Si se vuelve a reactivar el maestro de hombres de dominio original previamente, hay que volver a dar formato a su disco de arranque y reinstalar Windows 2000.

Maestro de identificadores relativos

Cuando un controlador de dominio crea un objeto de seguridad -una cuenta de usuario, de grupo 0 de equipo-, asigna a ese objeto un identificador único (SID). El SID se compone de dos partes: el ID de seguridad del dominio, que es común para todos los objetos de seguridad del dominio, y el ID relativo, que es único para cada objeto. El maestro RID es el controlador de cada dominio que asigna y controla las secuencias de ID relativos.

Los usuarios no advierten la pédida temporal del maestro RID. Tampoco es probable que los administradores lo noten, a menos que estén creando objetos de seguridad y el dominio agote los números ID relativos. Por tanto, la transferencia de la función de maestro RID no suele ser necesaria, a menos que el maestro RID se vaya a eliminar de la red de manera permanente.

Transferencia del maestro RID :Si hay que transferir esta función a otro controlador, hay que seguir el procedimiento siguiente:

1. Hay que escoger Usuarios y equipos de Active Directory en el menú Herramientas administrativas.
2. Hay que pulsar con el botón derecho del ratón el nodo del dominio y escoger Conectar con el controlador de dominio en el menú de accesos directos.
3. Hay que seleccionar el controlador de dominio al que se le desea asignar la función de maestro RID. Hay que pulsar Aceptar.
4. Hay que pulsar el nodo del dominio con el botón derecho del ratón y escoger Maestro de operaciones en el menú de accesos directos. Se abrirá un cuadro de dialogo. En la ficha RID aparecerá el foco actual (el controlador que va a pasar a ser maestro RID) junto con el maestro de operaciones actual.
5. Hay que pulsar Cambiar y Aceptar.

Toma del maestro RID: Si el maestro RID debe quedar eliminado de la red de manera imprevista y permanente, se puede tomar la función de maestro RID y reasignárselo a otro controlador de dominio. Para tomar la función hay que seguir este procedimiento:

1. Hay que escoger Ejecutar en el menú Inicio (o abrir una ventana de comandos), escribir ntdsutil y pulsar INTRO.
2. A cada petición hay que facilitar la siguiente información y pulsar INTRO:
   • En ntdsutil hay que escribir roles.
   • En fsmo maintenance hay que escribir connections.
   • En server connections hay que escribir connect lo server seguido del nombre de dominio completo del controlador que vaya a ser el nuevo maestro.
   • En server connections hay que escribir quit.
   • En fsmo maintenance hay que escribir seize RID master.
   • En ntdsutil hay que escribir quit.

Antes de proceder a la toma, el controlador titular de la función de maestro RID debe estar completamente desconectado de la red. La toma de la función de maestro RID es una medida radical. No hay que hacerlo a menos que el maestro RID está definitivamente fuera de servicio. Si se vuelve a reactivar el maestro RID original antes, hay que volver a dar formato a su disco de arranque y reinstalar Windows 2000.

Maestro de infraestructuras

El maestro de infraestructuras es responsable de tener al día los cambios en la pertenencia a los grupos y de la distribución de las actualizaciones a los otros dominios. Hay un maestro de infraestructuras en cede dominio. Si el controlador titular de la función de maestro de infraestructuras deja de estar disponible, los usuarios no se verán afectados. Ni siquiera los administradores se dan cuenta hasta que varias modificaciones en las cuentas de los usuarios no aparezcan en otros controladores de dominios. Por tanto, es mejor no transferir la función de maestro de infraestructuras a menos que el controlador no vaya a estar disponible durante un periodo de tiempo considerable.

A menos que el dominio solo tenga un controlador de dominio, no hay que asignar el rol de maestro de infraestructuras al controlador que alberga el GC. Para averiguar si hay que distribuir los cambios a otros dominios, el maestro de infraestructuras examina un GC y se actualiza con su información. Si el GC y el maestro de infraestructuras están en el mismo controlador, el maestro de infraestructuras no va a encontrar datos desactualizados, por lo que no se replicará nada a otros dominios.

Transferencia del Maestro de infraestructuras: Para transferir la función de maestro de infraestructuras a otro controlador hay que seguir el procedimiento siguiente:

1. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
2. En el árbol de la consola, haga clic con el botón secundario del ratón en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal de infraestructuras y, a continuación, haga clic en Conectar con el dominio.
3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista.
4. En el árbol de la consola, haga clic con el botón secundario del ratón en Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones.
5. En la ficha Infraestructura haga clic en Cambiar.

Toma del maestro de infraestructuras: Si el maestro de infraestructuras queda apartado de la red de manera inesperada y permanente, se puede tomar la función de maestro de infraestructuras y asignársela a otro controlador de dominio. Para tomar la función hay que seguir este procedimiento:

1. Hay que escoger Ejecutar en el menú Inicio (o abrir una ventana de comandos), escribir ntdsutil y pulsar INTRO.
2. A cada petición hay que facilitar la siguiente información y pulsar INTRO:
   • En ntdsutil, hay que escribir roles.
   • En fsmo maintenance, hay que escribir connections.
   • En server connections, hay que escribir connect to server seguido del nombre de dominio completo del controlador que vaya a ser el nuevo maestro.
   • En server connections, hay que escribir quit.
   • En fsmo maintenance, hay que escribir seize infrastructure master.
   • En ntdsutil, hay que escribir quit.

Antes de proceder a la toma, el controlador titular de la función de maestro de infraestructuras debe estar completamente desconectado de la red. La toma de la función de maestro de infraestructuras es una medida radical. No hay que hacerlo a menos que el maestro de infraestructuras este definitivamente fuera de servicio. Si se vuelve a reactivar el maestro de infraestructuras original antes, hay que volver a dar formato a su disco de arranque y reinstalar Windows 2000.